2023年9月,习近平总书记在中共中央政治局就世界贸易组织规则与世界贸易组织改革进行第八次集体学习时强调,发展数字贸易,以数字化绿色化为方向,进一步提升国际分工地位,向全球价值链中高端迈进;同时,要注意维护国家经济安全。
数字贸易发展与安全并重。新经济、新业态、新领域的不断涌现,必然推动法律制度的持续调整和创新。从技术变革看,自计算机时代到移动终端时代,再到物联网时代,隐私数据兼具信息载体和生产要素、财产利益和人格利益的多重属性,人们的吃穿住行、身份识别等隐私数据成为平台企业精准营销、精准服务的重要支撑。从国际司法看,自美国、欧盟2007年Google/Double Click案到德国2019年Facebook滥用案,再到2023年4月美国Epic Games诉Apple(苹果公司)滥用案被发回重审,数据隐私概念渐渐进入竞争法的视野,数据隐私与公平竞争的关系及其是否应当纳入反垄断分析框架,成为经济学家和法学家们讨论的焦点。
一、数据隐私的概念及其商业逻辑
(一)数据隐私的概念界定
严格来说,隐私数据不同于数据隐私。前者是记录隐私的数据,后者是用数据方式记录的隐私信息。我国《民法典》第1032条规定,“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”欧盟在司法实践中正由隐私与个人信息的二元论走向二者无法有效区分的一元论,这与美国法律的隐私概念理解趋同。美国是隐私权的概念发源地,也是隐私和个人信息不分的典型代表。与欧美等国家不同的是,我国《个人信息保护法》对敏感个人信息、个人信息进行了区分(见图1),并在对敏感个人信息处理上采取单独同意的制度设计。从概念界定看,《民法典》虽然没有给出隐私信息的外延,但是可以判断,所有的隐私信息都是敏感个人信息。从制度比较看,中国法律在隐私保护力度上要强于美国和欧盟的授权同意制度。
(二)隐私数据驱动型企业的商业逻辑
在数字经济时代,隐私数据驱动型企业尤其是手机终端平台企业,表现出四种不同特性:市场属性、数据属性、用户黏性、资本属性。四种属性交织混合、优势集成,促进了资源不断流向平台,加剧了平台同行兼并和跨界竞争。隐私数据驱动型企业在成本效益分析上具有如下关系:
一是隐私保护与合规成本、广告收益成反比。隐私保护质量越高,企业的合规成本越低,广告收益变现难度越大。与传统企业降低质量意味着节省成本不同的是,隐私数据的匹配和转化涉及数据清洗、数据标签、数据合规等成本,因此,个人信息处理者在合规的前提下降低数据隐私质量水平,反而会增加企业成本。但是,隐私披露程度和广告投标价格是正相关的。隐私保护质量越低,广告收益变现难度越小,得到的广告收益越多。当广告的边际收益大于合规的边际成本时,企业会选择降低隐私保护质量和水平,反之亦然。
二是隐私保护与服务质量成正比。在“价格为零”的数字市场竞争机制中,用户一般会将隐私保护与数据保护视为一项重要的衡量服务质量的因素,平台经营者将围绕隐私与数据的保护水平展开竞争。比如,在美国Epic Games诉Apple滥用案中,苹果公司举证道,安全性和隐私是全球50%-62%的iPhone用户和76%-89%的iPad 用户购买设备的重要考量。
企业隐私保护水平的高低取决于盈利模式。当一个优势企业合并另一个企业时,将会降低还是提升整个行业的隐私水平?二者均有可能。在合法合规前提下,当不降低隐私水平得到的边际收益大于边际成本时,企业会选择隐私水平高、成本相对小的模式,这适用于非数据流动性、非广告盈利型企业。当提高隐私水平得到的边际收益小于边际成本时,企业会选择隐私水平较低、愿意进行数据匹配的模式,这适用于数据流动性、广告盈利型企业。
二、数据隐私与公平竞争的协调趋势与困境
(一)数据隐私与公平竞争协调面临的挑战
数据隐私与公平竞争的协调面临三个方面的挑战:一是当企业走隐私质量提升、非广告盈利型的发展之道时,随着市场力量的提升,可能会通过隐私政策封闭或提高市场进入门槛,改变市场结构,影响公平竞争;二是当企业走数据流动、广告盈利的发展之道时,数字经济“流量为王”的规则会促进数据流动性企业将数据隐私保护能力转化为市场力量和“垄断杠杆”,影响公平竞争;三是无论企业属于广告盈利型企业还是隐私保护型企业,当其处于支配地位时,都有足够动机做出利润最大化选择,通过剥削性滥用降低经济总福利和消费者利益,产生排除、限制的竞争效果。
数据隐私与公平竞争的协调不畅可能导致经营者集中后实体的隐私保护措施实质上违背大多数用户的意愿,抬高或者变相抬高相关市场的进入门槛,排斥或者限制潜在经营者提供更优质的服务、拉低整个行业隐私保护水平、损害经济总福利等情形。
(二)数据隐私与公平竞争协调的趋势
综观国际,涉及数据隐私的竞争法案件(见表1)有如下特征:一是除个别案件外,隐私一般不纳入竞争损害框架考虑;二是在反垄断分析中考虑更多的是数据的竞争影响,而不是隐私的竞争影响;三是自Facebook并购WhatsApp后,越来越多学者从数据法与竞争法的“严格分离”转向“整合主义”,呼吁在反垄断框架中考量隐私数据保护问题。尤其在美国Epic Games诉Apple滥用案和德国Facebook滥用案中,美国第九巡回上诉法院、欧盟法院分别于2023年4月和2023年7月的判决中,加重了隐私对于竞争影响的考量。
从涉及数据隐私的竞争法案件审判趋势看,有充分理由去改变将竞争法与数据法严格区分的做法,既要避免出现竞争法过度干预数据法的不良倾向,也要防止竞争法与数据法严格区分后泾渭分明;既不能用竞争法代替数据法进行规制,也不能说竞争法对数据隐私保护毫无用武之地。
(三)数据隐私与公平竞争协调发展的困境
如何将数据隐私嵌入竞争法框架,既有遵循竞争法传统的分析模式,又有突破竞争法框架,采用直接保护和间接保护的模式。传统模式正面对适用新业态、新场景的挑战,创新路径易带来理论融洽、法律竞合的困扰。
1.传统保护的困境
传统保护是以价格为中心的分析架构,明确数据法与竞争法立法宗旨不同。当前,德国Facebook滥用案和美国Epic Games诉Apple滥用案将肯定隐私对于竞争影响的分析,基本没有脱离传统保护模式。虽然这两个案例均作出较为明确的司法判决,但国内外学界、实务界仍存在不同观点。与美国Epic Games诉Apple滥用案类似但判决截然相反的案例是美国HiQ诉Linkedln滥用案,美国第九巡回上诉法院支持苹果公司将数据隐私作为支付市场封锁的抗辩理由,却否定Linkedln将数据隐私作为数据封锁的抗辩理由。在德国Facebook滥用案中,如何证明隐私损害与竞争损害之间的因果关系,能否因违反数据保护法的行为就跳过实际的反竞争效果的分析,成为德国联邦卡特尔局与杜塞尔多夫高等地区法院争论的焦点。
2.直接保护的困境
直接保护模式是指将数据隐私保护作为一项独立的消费者利益,数据隐私损害与传统的价格损害被视作具有同等地位,侵犯消费者的数据隐私就是对消费者利益的损害,此类行为可以规定为新型垄断行为。直接保护模式突破了传统的分析范式,一旦数字平台存在针对消费者隐私进行剥削的滥用行为即可被纳入规制范围。这种模式的最大问题是将消费者利益等同于消费者福利,违反了反垄断法的立法目的和基本精神,把反垄断法等同于个人信息保护法,绕开了竞争损害理论,将消费者福利简单化。其实,在不违反《通用数据保护条例》(GDPR)和个人信息保法的前提下,适当降低隐私保护力度,未必不利于数据加工和技术创新,应根据具体个案具体分析。
3.间接保护的困境
间接保护模式是指在现有的竞争分析框架下加入数据隐私保护的考量,在保护数据隐私的情形下,不能将隐私竞争等同于数据服务竞争。考虑到影响质量的非价格竞争因素,提出建立以质量、隐私等非价格竞争作为主要评估工具的分析范式。值得注意的是,间接保护模式肯定了隐私保护是数据服务质量的一个衡量维度,但数据服务质量的高低并非只有隐私保护一个维度,而是多个维度。《国务院反垄断委员会关于平台经济领域的反垄断指南》第20条第1款第6项规定,经营者集中对消费者的影响。可以考虑集中后经营者是否有能力和动机以提高商品价格、降低商品质量、减少商品多样性、损害消费者选择能力和范围、区别对待不同消费者群体、不恰当使用消费者数据等方式损害消费者利益。
在现有的分析框架下,数据隐私比重相对较小。隐私保护只是考察商品质量的一个维度,而商品质量是众多经营者集中对消费者影响的指标之一,对消费者的影响又是评估平台经济领域经营者集中的竞争影响的六个指标之一。
三、数据隐私与公平竞争的协调思路
数据隐私内含着安全与发展的协调、安全监管与秩序监管的协调、网络监管部门与市场监管部门的协调。数据隐私与公平竞争的协调应当把握安全与发展的辩证关系,做好安全监管与秩序监管、隐私安全与隐私质量的协调,推动有为政府和有效市场更好地结合。
(一)从安全与发展的关系把握平衡与协调数据隐私内含安全与发展的辩证关系和双重属性。正如数据具有“二重性”(作为信息载体的安全属性和作为生产要素的发展属性)一样,数据隐私同样因用户对隐私偏好的多样性的客观存在而具有“二重性”,即保障隐私安全的底线属性和提升隐私质量的发展属性。安全是底线要求,发展是高线需求;安全是发展的前提,发展是安全的保障。安全和发展犹如“车之两轮”“鸟之两翼”。从安全与发展的关系出发,把新安全格局落实到数据隐私层面,就是在使用个人隐私数据时应当合法合规。把新发展格局落实到数据隐私层面,就是在依法使用个人隐私数据时,应当充分尊重数据处理者的数据产品经营权,尊重市场规律和市场秩序,促进资源得到优化配置。从“数据法是安全规制法”与“经济法是发展促进法”的立法目的不同来看,可以针对数据隐私使用的不同情况进行不同处理:
一是当数据隐私主要涉及隐私安全时,应当从安全监管的视角考虑,这是网络监管部门的职责。2023年8月,我国国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》,正如GDPR提及的数据处理者应当接受数据控制者或其委托方审计的义务,明确超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息合规审计;其他个人信息处理者应当至少每2年开展一次个人信息保护合规审计。2023年5月,国家市场监督管理总局和国家标准化管理委员会发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》,明确“个人信息处理者取得同意时,原则上需使用明示同意的方式”,对“推定同意”进行明确限制,并通过附录详细列举了不同场景下的告知和同意。这些都是对数据隐私安全的明确要求。
二是当数据隐私主要涉及依法使用隐私数据产品或服务时,虽然不同产品或服务隐私的等级高低不同,但在均符合数据法要求的前提下,比如已经进行匿名化、履行了“告知—同意”甚至个人同意时,这时如果涉及竞争关切,应当从发展的视角考虑,这是市场监管部门的职责。比如,在欧盟Microsoft/LinkedIn案、欧盟Google/Fitbit案中,LinkedIn、Fitbit公司涉及大量用户的隐私数据。欧盟委员会虽然有处理数据保护、隐私保护和保护通信保密性的规则,但同样认为竞争分析并不影响双方遵守相关隐私保护规定,认为Microsoft或Google因各自拥有强大的市场力量可能对竞争产生不利影响,从而对这两个案件予以附条件批准。
(二)从安全监管与秩序监管的关系把握平衡与协调
在我国《刑法》中,明确将危害公共安全罪和破坏社会主义市场经济秩序罪分开。这启示我们,基于底线思维的安全监管和基于发展促进的秩序监管是明显区分的,二者几乎没有交叉。安全监管保护的是人身自由、人格尊严,遵循的是人类生存契约和自然界的规则;秩序监管保护的是市场秩序、社会秩序,遵循的是人类社会契约、商业道德和公序良俗。安全监管是0和1的选择,遵从择一重处原则,具有许可性、不可调节性、刚性约束、公众导向等特征;秩序监管是尊重市场的选择,遵从谦抑原则,具有非许可性、可调节性、柔性约束、消费者导向等特征。在现有的竞争法框架下,隐私保护是从秩序监管角度衡量,而不是从安全监管角度出发的,符合安全监管与秩序监管的二分法(见表2)。
与安全监管不同,当数据隐私纳入竞争法框架时,表现出来的不应是对人格尊严的保护,而是强调对市场秩序的维护;在审查上不是0-1之间的许可与否的问题,而是多层次的需求满足与监管考量;在执法上不应择一重处,而是恪守谦抑原则。只有数据隐私因素对市场竞争秩序产生损害时才是反垄断法调整的范围。
(三)把握隐私安全监管与隐私质量发展的平衡与协调
所谓隐私安全监管,指的是行政组织依据《民法典》《网络安全法》《数据安全法》《个人信息保护法》等法律法规,针对经营主体涉及的隐私安全底线行为进行干预和控制的管理活动。所谓隐私质量发展,指的是在依法依规的前提下,反映隐私保护水平由低级到高级的变化,满足公众多层次、不同偏好的需求。隐私质量的高低不是隐私是否安全的问题,而是满足隐私安全底线要求的品质高低不同。
反垄断法属于经济法范畴,应从发展促进的视角考虑新业态、新事物。因此,当公平竞争制度涉及数据隐私时,应从隐私质量发展的视角、而非隐私安全监管角度入手。排除、限制竞争是竞争法理论针对特定市场行为得出违法性判断结论的决定性因素。结合我国法律对敏感个人信息、隐私信息保护力度上强于美国和欧盟的授权同意制度的现实,不建议从隐私安全监管视角将反垄断法作为数据法的补充,而应从隐私质量发展的视角,坚持谦抑原则,着眼反垄断法保护竞争的立法目的,将竞争损害视为处理数据隐私与公平竞争协调的前提条件,把握好隐私质量发展与隐私安全监管、鼓励创新与数据合规之间的平衡。
【本文系国家社科基金重大项目“适应新时代市场监管需要的权力配置研究”(20&ZD194)子课题“我国新时代对市场监管权力配置的新需要”、国家社科基金重点课题“强化反垄断促进平台经济健康发展研究”(21AZD017)的阶段性成果】
(卢 雁:作者系国家市场监督管理总局发展研究中心处长、副研究员)