1. 引言
市场经济是法治经济,法治经济的主要战场是全国统一大市场,法治经济的核心任务是反对垄断维护自由公平竞争。正是在这个意义上,反垄断法是社会主义市场经济最重要的基础性法律,素有“经济宪法”之美誉。
为了贯彻落实党中央关于强化反垄断和防止资本无序扩张的决策部署,推动数字经济高质量可持续健康发展,我国从2020年开始了《反垄断法》的第一次修订,针对数字平台垄断乱象,修法明确反垄断相关制度适用于平台经济领域,规定经营者不得利用数据和算法、技术、资本优势以及平台规则等,从事垄断行为。同时第二十二条新增第二款规定“具有市场支配地位的经营者不得利用数据和算法、技术以及平台规则等从事前款规定的滥用市场支配地位的行为。”为数字经济领域滥用行为的界定提供法律依据,有利于加强对互联网平台的法律监管,为科技创新和新业态、新模式的发展提供更多空间。
数字经济背景下平台企业倾向于收集并分析包括隐私和个人信息在内的数据,平台企业作为利益主体频繁针对终端消费者实施过度收集数据、算法价格歧视等剥削性滥用行为 [1] 。然而本次修订只是对个人信息保护纳入反垄断法的分析框架进行了原则性的概括,对经营者滥用市场支配地位行为尤其是剥削性滥用行为违法性的判断仍然困扰着互联网产业的发展和互联网市场的治理。德国脸书案第一次以剥削性滥用为切入点将个人数据保护与反垄断法相结合起来,为世界范围内剥削性滥用行为的反垄断执法开辟先河 [2] 。在这样的背景下,为针对数字平台通过数据及算法表现出的新型剥削性滥用形式,探讨其反垄断规制问题不仅十分必要,且恰逢其时。
2. 既有规制方式的困境及反垄断法的补充作用
2.1. 个人信息侵害问题迭起
根据2018年Veritas《全球消费者隐私数据报告》研究,一半以上受访的中国消费者会因为个人信息保护不当而拒绝服务,更多的消费者会考虑选择其他替代服务;从另一方面,对于保障个人信息安全的经营者,消费者愿意提高自己的支付水平 [3] 。但事实上,行业内个人信息保护所存在的问题与用户对个人信息保护的重视形成鲜明对比。根据中国信通院报告显示,当前的移动应用市场中存在APP以各种方式违法获取个人信息及隐私的行为,整体市场上,企业提供服务时往往通过服务政策一次性获取长久的个人信息收集授权,而且呈现出无个人信息则无服务的交易关系,消费者的选择有限。
即使已搭建起以《个人信息法》《数据安全法》等诸多规范的保护体系、并且已进行大规模专项治理活动,部分侵犯个人信息的行为仍然屡禁不止,促使我们不得不去检视现有保护体系。
2.2. 个人信息保护现有体系及缺陷
数据经济的健康发展和个人信息的有序利用是近年来我国经济发展的重点之一,对于个人信息保护问题已经基本上搭建起一定的法律规范框架。
整体而言,该框架基于个人信息的私益基础进行保护,呈现多层级、多领域的结构。从层级来看,包括以《个人信息保护法》、《数据安全法》等为代表的法律,《深圳经济特区数据条例》等地方性法规,《中国人民银行金融消费者权益保护实施办法》等部门规章,以及《常见类型移动互联网应用程序必要个人信息范围规定》等部门规范性文件 [4] 。从发挥作用的角度,当前的保护体系以《个人信息法》为基本法,其他法律各有侧重,从自身规范的价值目标出发保护个人信息。如民法典主要从自然人的个人信息权益出发,消费者权益保护法从网络消费者权利角度,而数据安全法和网络安全法则从整体数据市场及数据安全的角度对个人信息保护问题进行顶层设计,再比如上述金融消费者权益保护则围绕特定主体进行规定。虽然不同的规范具有不同层级及价值目标,但均是从个人信息的概念与处理利用规则出发,总体而言具有规范的原则化、格式化的底线规则、以“知情–同意”为基础的特征。
当前的个人信息保护体系建立发挥了极大的作用,但不可否认的是,以个体信息权益为基础的保护体系无法应对市场及行业的某些固有问题,存在规制不足的情形。
第一,个人信息保护缺乏良性的市场化竞争。一方面,概括的、不确定的底线保护规则为企业试探底线提供机会;另一方面,个人信息的价值吸引企业进行争夺,而市场支配地位则使企业不必担心竞争约束和消费者流失,二者共同作用下产生了“逐底竞争”的恶性市场环境,彻底破环隐私友好型产品或服务的潜在市场 [5] 。
第二,“知情同意”模式在当前市场存在制度性缺陷。首先,消费者不完全“知情”。其一,企业处理个人信息的行为本身即具有高度专业性,同时操作隐蔽,消费者在日常生活难以感知。其二,个人信息保护政策通常为格式条款,且内容晦涩、冗长,由于缺乏专业知识以及接受服务时的心理状态,大多数人并不能充分理解企业处理个人信息的具体内容。其次,同意无法完全体现意思自治。数字市场的结构性垄断格局阻碍消费者的选择。完全体现意思自治的同意,意味着具有不同意的可能性。但是如前所述,数字市场已然形成了由少数寡头企业主导的市场结构,整体市场呈现出竞争不足的特征,消费者的选择范围较小;同时由于锁定效应,用户放弃获取服务所带来的损失远低于企业放弃单个用户的损失 [6] ,用户在选择的过程面临着“拒绝即无服务”的困境,等同于只能同意。
2.3. 反垄断法对个人信息保护体系的补充作用
具体来说,反垄断法对当前个人信息保护具有以下几个方面的补充作用。
首先,反垄断法以立足于市场的公共利益为导向。以私益为基础的个人信息保护规范聚焦个体消费者与特定企业的问题,而以公共利益为导向的反垄断法立足于整体市场,调整市场固有的系统性问题。从市场有序发展的公共利益角度,反垄断法能够介入并平衡数字企业、消费者、创新发展,维护整体市场的运行。
其次,反垄断法更强有力的干预手段。一方面,反垄断法规制手段可以进行利益结构调整,反垄断法在竞争分析过程中综合企业处理个人信息造成的多种后果,进而通过对滥用行为科以责任即赋予违法成本,通过该种方式促使企业在效益和成本之间衡量,进而实施恰当的市场行为 [7] 。
另一方面,反垄断法特有的救济手段更具有威慑力,如强制拆分、强制数据共享等手段能够化解市场结构问题,再如反垄断处罚公示性更强(如对阿里巴巴、美团的处罚),相比于个体的侵权诉讼,对于应对数字平台等企业所造成的针对不特定多数人的规模化风险,反垄断法更为有效 [8] 。
最后,反垄断法固有的培育市场竞争环境的功能。良好的竞争机制与竞争环境是企业不断改进与完善服务的必要基础。在既有的保护体系之上,反垄断法能够围绕个人信息保护领域,引进竞争机制、营造良性的竞争环境,如通过设置反垄断法责任强调个人信息保护问题,以及强化用户对个人信息保护服务的选择,以此形成企业针对个人信息保护水平进行竞争的机制。
3. 滥用市场支配地位侵犯个人信息行为的类型化分析
3.1. 过度收集个人信息行为
3.1.1. 表现形式
既有实践中通常表现为两种形式:第一,直接作用于消费者,即在提供免费服务时超出必要范围和数量直接向用户收集个人信息;第二,通过与自己相关联主体或其他企业获得非自身用户或自身用户未提供的个人信息。上述行为通常以企业提供的个人信息保护政策为工具,以“拒绝即无服务”为保障。实践中的案例以Facebook通过整合第三方数据的方式过度收集用户个人信息为典型代表。
3.1.2. 垄断损害
过度收集个人信息行为的垄断损害主要包括消费者利益损害和竞争损害。一是个人信息的过度收集损害了消费者对于是否提供个人信息的控制能力,导致消费者的个人信息价值与接受服务的价值不对等。消费者提供的个人信息范围、内容代表了其价值,虽然数字市场中企业所提供的服务价值与个人信息价值之间没有明确的判断标准,但是从对比衡量的角度:提供类似服务的不同企业在收集个人信息范围方面存在显著差别,或者同一企业在不同阶段收集不同范围的个人信息而提供相同的服务,足以说明服务的价值与个人信息所附带的价值并不对等,价值的显著差别可以视为对消费者利益的损害,即收集更多的数据而对于消费者福利并未显著提升的情况可以认定为企业对消费者个人信息的剥削 [9] 。二是企业通过实施过度收集行为,一方面收集到其他企业无法获得的个人信息进而获得竞争优势;另一方面,基于个人信息、用户注意力、用户之间的联系,更多的个人信息意味着更多的用户和用户注意力,因此排除了其他企业收集个人信息的机会,其他竞争者因为无法收集相应的个人信息而难以进入循环,提高市场进入壁垒。通过上述两种影响,企业或排挤其他竞争者、或阻碍新的竞争者进入市场,产生市场的竞争损害 [10] 。
3.2. 不当利用个人信息行为
3.2.1. 表现形式
企业在收集之后对于消费者个人信息的具体利用,包括分析个人信息及基于分析制定商业策略。对于企业来说,更为深入和详细的分析挖掘更利于商业抉择及改善服务,如在网约车服务中,简单的定位、时间信息仅为司机接单提供必要的指引;但企业进一步整合分析用户持续的上述信息并且结合算法工具,能够对用户进行更为深刻的画像,预测用户通常的上车地点、经常用车时间甚至进一步预测特定时间及情景下用户对于服务价格的预期等消费意愿和偏好。上述分析如果在用户未充分知情或者未获用户同意的情况下进行,则极大地损害了用户对于个人信息的控制和决定权,甚至深入的探查有可能侵犯用户的个人隐私。基于分析个人信息所获得的指引,企业进一步实施的部分经营行为则会进一步损害消费者利益,常见的如大数据价格歧视行为和其他过度自动化决策行为等 [11] 。
3.2.2. 消费者损害
基于上述的行为归纳,企业过度分析个人信息并作用于消费者的过程中,虽然也有可能发生限制竞争的行为(如自动推荐中基于竞争利益进行选择性推荐),但更多是基于所获得的个人信息内容制定策略进而剥削消费者利益获得垄断利润,因此行为主要产生损害消费者利益的效果。
首先,分析范围及深度带来消费者个人信息损害。在利用阶段,消费者的个人信息权益表现为对个人信息如何分析、何种程度上分析及利用的控制权。以大数据价格歧视为代表,企业预测和推荐的前提是全面而准确的对用户进行画像,提高差异化定价的准确性,因此对于个人信息的分析会突破消费者的控制范围,造成个人信息损害。除此之外,过度分析会侵犯消费者隐私利益。
其次,分析后不当利用剥削消费者剩余及影响消费者选择。消费者剩余是指消费者能够承担的最高价格与商品基于市场机制形成的价格之差,大数据价格歧视作为“一级价格歧视”最为典型的影响后果是消费者剩余被完全剥削。
4. 反垄断法保护个人信息的制度构建
4.1. 反垄断法保护个人信息的制度基础及完善
学理上,反垄断法规制的滥用市场支配地位行为可以分为剥削性滥用与妨碍性滥用 [12] ,基于个人信息的滥用市场支配地位行为与传统行为有所不同,体现为兼具剥削与妨碍的属性,如过度收集个人信息行为既可能是剥削消费者个人信息利益的剥削型滥用,又会因获得其他竞争者无法获得的个人信息而取得市场优势,排除限制竞争,体现出妨碍属性。
具体规范层面,现行《反垄断法》第十七条分别规定了六项具体的滥用行为,《禁止滥用市场支配地位行为暂行规定》对上述行为进行细化规定。仅从行为规定的要件来看,过度收集个人信息行为应当属于第5项附加不合理交易条件,过度分析个人信息进而歧视性定价行为属于第6项差别待遇,限制个人信息转移则可定位为第4项限定交易。《平台反垄断指南》对上述行为也有所涉及,如第十六条规定强制收集非必要用户信息构成附加不合理交易条件,第十七条基于大数据和算法差别定价属于差别待遇行为。但从行为的市场效果与行为要件的对应关系而言,上述同一行为会造成不同的消费者利益损害、竞争损害等市场效果,甚至不同效果之间会产生交叉重叠,因而现有反垄断法制度仍有必要基于保护个人信息进行制度完善。
4.2. 滥用市场支配地位侵害个人信息行为的分析及工具创新
4.2.1. 反垄断法框架及市场效果分析
在数字经济时代,反垄断法传统的SCP框架仍然可以作用于市场力量发现以及行为规制,但其中部分因素及工具需要适时发展。
首先在市场支配地位认定中,相关市场的界定应当以涉案行为为导向,区分单边市场、双边市场、多边市场进行个案分析;而在市场力量评估方面,市场力表现为控制个人信息和数据的能力,对于支配地位的认定应当考量企业对个人信息的集聚和控制 [13] 。其次,在行为要件方面,也应当根据数字市场的竞争行为,归纳要件,如《平台指南》第16条规定了“强制收集非必要用户信息”、第17条规定了“基于大数据和算法差异性定价”等行为,但是其中“强制”“非必要”等语词具有一定模糊性,仍然需要在具体案例中个案分析。当前,对于数字经济的竞争行为还未充分进行归纳,对于市场支配企业侵害消费者个人信息的行为认定,应当以损害后果分析为重点平衡多方利益,避免个人信息利用无序同时不抑制企业利用个人信息创新、提高效率的积极性。
最后,行为的市场效果分析应当是反垄断法保护个人信息分析的核心。从上述可知,对于行为效果的评估能够平衡多方利益,且分析市场效果及损害才能明确规制思路,同时损害后果的分析平衡也能限定反垄断法的适用边界。理论上SCP结构在具体实践中构建出“市场支配地位认定—滥用行为—损害后果—合理性抗辩”,其中损害后果与合理性抗辩是对市场效果的衡量。对于损害后果而言,行为所造成的损害应当达到一定程度。作为反垄断法固有的规制对象,从传统的滥用行为规制来看,排除限制竞争的竞争损害程度应当产生一种反竞争的市场封锁效应,即对于现存的竞争对手来说,因为被排挤而不得不退出市场或被边缘化;对于潜在竞争者来说,其表现为难以进入市场或进入市场后难以存活。对于消费者利益损害,上文所述三类行为均有可能导致个人信息损害,具体而言是对于个人信息的控制权损害,由此就需要对个人信息保护水平进行评估。从上述消费者个人信息保护体系来看,反垄断法保护消费者个人信息应当秉持谦抑性,即从市场整体出发,产生显著明显损害的情况下才能启动。有学者认为,消费者利益损害作为违法性判断的基准应当满足“显著性”和“不当性” [14] 。
4.2.2. 评估个人信息保护的工具创新
上述市场效果的分析最终要落脚于量化分析,如前文提及的“过度”标准等,均需具体的程度衡量。传统的价格分析工具难以准确衡量个人信息保护,因而需要构建新的个人信息保护评估工具。具体而言,需要评估个案中的个人信息保护水平,进而在与市场基准比较的过程中量化个人信息损害程度。
首先,对具体案例中企业对个人信息的保护水平进行评估,工具的创新在于进行定性或定量的分析。一种解决方法是进行定性分析,如以问卷调查的方式进行市场调研,了解用户对于个人信息保护水平的态度。另一种则是较为具体的定量评估,即通过加权计算,以企业的消费者个人信息保护政策为参照,计算出个人信息保护分数。具体来看,可基于用户隐私政策的条款,对个人信息收集、处理、个人信息存储等角度赋正分或负分。以微信APP的隐私政策为例,下列情况下应当赋正分进行激励:收集过程,基于服务的不同类型对信息的种类和收集方式进行分类处理,区别必要个人信息与非必要信息;建立专门的管理制度、操作规程和组织以保障信息的安全;在发生个人信息泄露等安全事件时,启动应急预案及补救措施;专门设置未成年人个人信息保护条款等。在上述评估过程中,应当注意消费者、企业利益相关主体的参与,保障评估结果的科学性。
其次,对于企业的个人信息保护评价需要在市场基准之上进行比较才能在一定程度上量化其程度,而数字市场个人信息保护的基准形成需要工具有所创新。
第一种分析工具,将个人信息保护规定作为基准。在《竞争法和数据》报告中,德国和法国竞争执法机构指出:可以以数据保护规范的规定为基准,评估企业所实施的行为是否违反上述规定、以及违反数据保护法规的程度深浅,作为认定企业实施剥削性滥用行为的基准之一。一方面,该标准类似于政府定价水平,属于较为低的保护标准;另一方面,该标准的形成以完备全面的个人信息保护规范为基础。
第二种分析工具,形成个人信息保护的市场基准,即引入个人信息保护的“价格”形成机制 [15] 。类比于普通商品的价格形成过程,数字市场的个人信息保护服务应当做到多样性和透明性。其一,保证个人信息保护服务的多样性。基于竞争机制所形成的市场价格,其中一个重要的基础在于充足的消费者选择,通过消费者挑选、对比、优胜劣汰最终产生“物美价廉”的效果,个人信息保护服务同样如此,相比于单一格式化的保护政策,基于服务类型、信息内容和消费者偏好直接打包定制可供选择的不同个人信息保护服务更能保证消费者对于市场价格的影响。具体而言,个人信息保护是情景化问题,因此不同的保护政策具有多样性的依据:一方面,基于提供服务的类型不同,如支付服务与导航服务所需要的个人信息有所区别;另一方面,不同个人信息的价值不同,如身高体重信息与金融账户信息的重要性有所区别;最后,基于用户偏好,漠不关心者、实用主义者、原教旨主义者对于个人信息的重视程度有所不同。其二,提高个人信息保护政策的透明度。消费者挑选服务的前提是对于服务内容的了解,因此个人信息保护服务中要达到充分的信息对称。如微信隐私政策中对重点个人信息进行明显的标示在一定程度可以提高透明度,除此之外还可以通过强制预留一定时间等方式确保消费者了解个人信息保护政策。
消费者选择下所形成的个人信息保护水平能发现个人信息及免费服务的实际价值,市场竞争机制下的保护标准可以视为互联网服务的“价格”,成为衡量具体行为的适当基准。为了引入上述市场竞争机制,可以在企业的个人信息保护水平评估中加重个人信息保护政策的理解难度、透明度、多样性等因素的赋分权重,逐渐引导企业围绕上述因素改进自身个人信息保护政策并展开个人信息保护竞争 [10] 。
5. 结语
个人信息作为数据要素的重要来源,在市场的利用及争夺中产生人身及财产属性,提高经济效率的同时,也产生企业通过不当方式收集或利用个人信息的风险。当前我国的个人信息保护体系无法全面涵盖个人信息保护问题,一方面由于市场竞争特性及市场垄断结构,另一方面由于“通知–同意”规则存在制度性缺陷,由于垄断行为多通过个人信息为媒介实施,因此反垄断法通过规制垄断行为补充个人信息保护的法律体系。在反垄断法理论上,个人信息保护与消费者福利保护的价值目标具有一致性,在理论路径上仍应当坚持反垄断法长期形成的分析框架,而在个人信息保护评估中引入独立的分析路径,通过衡量市场竞争利益、消费者利益和创新发展等多方利益,确保反垄断法发挥适当的作用。
在理论基础的指引下,反垄断法要对市场内企业通过损害用户个人信息实施的滥用行为进行类型化分析,构建反垄断法保护个人信息的制度,既要承继长期形成的制度优点,如损害理论等;又要发展新的分析工具,推动个人信息保护体系的完善和协调。个人信息作为数字市场的经营原料,促进其有序处理,一方面保障消费者个人信息权益,另一方面规范市场的高质量发展,在动态市场竞争中,要坚持个案分析原则,平衡个案之中不同群体利益,为数字经济健康发展保驾护航。