《国际经济评论》曾雄：在数字时代以反垄断制度保护个人信息的路径与模式选择

《国际经济评论》曾雄：在数字时代以反垄断制度保护个人信息的路径与模式选择（缩略版）

原创 曾雄 国际经济评论

用户个人信息保护不足的一个重要原因是科技巨头“垄断”数据，拥有“私权力”，现有的反垄断制度适用不充分。该研究为个人信息保护被纳入反垄断制度构建路径，通过文本研究和案例研究的方法，对美欧相关立法与执法实践进行分析，并结合中国本土情况提出对策。将个人信息保护纳入反垄断有两种路径：一是为个人信息保护与市场竞争找到连接点，当企业为用户提供更好的个人信息保护而展开竞争时，个人信息保护成为非价格竞争的重要方面；二是将个人信息归为消费者福利的内容，侵害个人信息权益就是损害消费者福利。在规则设计上，建议在禁止滥用市场支配地位行为中新增附加不合理的隐私政策这一新型滥用行为，在合并控制审查中增加考虑交易对个人信息保护水平的影响，在禁止垄断协议中新增固定或降低个人信息保护水平的新型垄断协议。

关键词：个人信息反垄断质量竞争消费者福利

作者简介：曾雄系清华大学人工智能国际治理研究院助理研究员，清华大学公共管理学院博士后。

全文请见：曾雄：“在数字时代以反垄断制度保护个人信息的路径与模式选择”，《国际经济评论》，2022年第3期，第156~176页．

个人信息权益容易受到侵犯的一个重要原因在于一些占据主导地位的科技巨头经营网络平台，掌握了海量的用户数据。用户在使用产品或服务过程中，平台采集、存储和使用数据，用户往往难以知悉自己的数据被收集的范围和程度，也无法控制自己的数据将被如何使用。虽然根据各大平台的隐私政策，其收集和使用用户的数据都需要获得用户的同意，但是用户个体与平台之间呈现出明显的力量不对等和信息不对称的情况，导致通过隐私政策来保护用户隐私徒有其表。特别是在那些没有可替代的产品或服务领域中，用户被迫接受单个平台的隐私政策。此时，平台有动力和能力要求用户选择“同意”，在合规的“假象”之下“剥削”用户信息权益。面对如此困境，人们开始讨论是否可以利用反垄断这一强有力的制度工具来约束科技巨头的数据行为，以强化对个人信息的保护，从而摆脱因用户个体与科技巨头之间力量失衡带来的个人信息保护不足的困境。

一、关于是否将个人信息保护纳入反垄断监管的争论

（一）肯定说

首先，基于共同保护公平的目标而主张将个人信息保护纳入反垄断监管。

其次，基于保护质量上的竞争而主张将个人信息保护纳入反垄断监管。

最后，基于保护消费者福利而主张将个人信息保护纳入反垄断。

（二）否定说

第一，从法律分工的角度主张个人信息保护不应被纳入反垄断监管。

第二，从执法困难的角度主张个人信息保护不应被纳入反垄断监管。

二、将个人信息保护纳入反垄断监管的必要性与可行性

（一）必要性分析：补充而非替代

1．个人信息保护问题严峻，而“通知—同意”框架存在制度性缺陷

“通知—同意”模式是个人信息处理中的黄金原则，但存在制度性缺陷。首先，现实中用户无法对隐私事项拥有全面和准确的认知。其次，在平台具有“垄断”势力的情形下，用户的同意无法体现出意思自治（非自愿的同意）。最后，用户获得的救济效果有限。在“通知—同意”的模式下，用户的救济方式主要为撤回同意。实际上这对用户的保护并不充分，无法要求平台在收集最少用户信息的同时提供优质的服务。

2．平台垄断行为与个人信息密不可分，反垄断与个人信息保护是一个交叉问题

平台的业务由数据驱动，数据成为平台市场势力的主要来源。在数据的正反馈效应、平台的网络效应和规模经济效应的作用下，互联网平台越来越大。相对于用户个体而言，平台的信息优势、技术优势和谈判优势显著，平台壮大后，一旦缺乏竞争约束就可能没有动力维持原来的隐私保护水平。平台将利用垄断地位实施滥用行为，包括过度收集用户信息、利用隐私政策排挤竞争者等。个人信息也会成为平台“剥削”用户的工具。

3．尊重各个部门法的基本分工，但处理交叉问题需要法律之间相互补充

根据德国学者尼可拉斯·卢曼（NiklasLuhmann）的社会系统理论和德国社会学家乌尔里希·贝克（UlrichBeck）的风险社会理论，现代社会成为“由于功能分化和诸子系统实现自创生而造成复杂性急剧增长的风险社会”。个人信息保护实际上是一个系统性的复杂问题，需要多个部门法提供体系化的解决路径。总之，《个人信息保护法》为个人信息提供专门保护，《反垄断法》可以实现强化保护，两者之间相互补充，不存在替代关系。这一点也逐渐体现在其他司法辖区的实践中，欧盟委员会、美国FTC和美国DOJ作为竞争执法机构，非常重视数据保护法与反垄断法的交叉问题，并认为两种规则是互补的。特别是德国，在有《通用数据保护条例》（GDPR）这一强有力的专门法的情况下，还通过反垄断制度强势约束Facebook收集和使用个人信息，甚至表态为了实现数据保护的系统性治理，拆分措施也是一个可选项，这对Facebook产生了巨大的威慑力。

（二）可行性分析：两种不同的路径

1．“关联保护”模式

该模式的认定逻辑为：若企业降低个人信息保护水平，会被视为降低产品质量的行为，其后果为损害消费者福利，所以应被认定为违反反垄断法（见图1）

图1“关联保护”模式的逻辑链条

2．“直接保护”模式

“直接保护”模式的认定逻辑为：若企业侵犯个人信息权益，等同于损害消费者福利，应直接被认定为违反反垄断法（见图2）。

图2“直接保护”模式的逻辑链条

3．同时采用“关联保护”和“直接保护”模式

其一，在适用条件的限定上。只有当一个企业拥有市场支配地位时，其对用户的个人信息进行“剥削”才有可能被视为滥用市场支配地位行为。其二，在新的损害理论方面，需要明确个人信息权益的实质内涵，需要为个人隐私保护水平明确判断标准，也需要进一步研究市场垄断与个人信息保护之间的关系。其三，在法律规则的改造上。因为将“直接保护”模式限定适用于禁止滥用市场支配地位的行为，所以需要调整滥用市场支配地位行为的构成要件，可以将《反垄断法》第六条修改为“具有市场支配地位的经营者，不得滥用市场支配地位，排除、限制竞争，损害消费者利益”。这种规定对滥用行为的构成要件进行了延展，顺接了“直接保护”模式的逻辑链条，即“剥削”用户个人信息的行为也可以被视为滥用市场支配地位行为。

三、将个人信息保护纳入反垄断监管的规则设定

（一）禁止滥用市场支配地位侵害个人信息权益

本文认为，“关联保护”的模式可以解决那些通过个人信息保护政策排挤其他竞争者而损害竞争的问题。对于那些直接侵害个人信息权益的行为，有必要进行理论突破，按照“直接保护”模式将其归类为剥削型滥用。理由在于，首先，从学理逻辑上分析，禁止排他型滥用与剥削型滥用是互补的而非排斥的：禁止排他型滥用侧重保护竞争过程，最终目的在于保障最终用户的利益；禁止剥削型滥用直接保护最终用户；禁止排他型滥用是执法机构的“前置规制手段”，其目的就在于避免出现剥削型滥用，所以两种规定殊途同归。但将过度收集和使用个人信息的行为视为剥削型滥用需要满足一个前提条件，即企业拥有市场支配地位。个人信息被“剥削”的根源在于竞争机制遭到破坏，采用“直接保护”模式在根本上符合反垄断制度通过保护竞争来保护消费者福利的内在逻辑和整体目标。其次，虽然剥削型滥用行为存在一些争议，但有不少司法辖区设定了规则并开展了执法行动。最后，中国《反垄断法》第十七条第一项和第五项分别涉及施加不公平高价和不合理交易条件，可将其视作剥削型滥用行为类型。

因此，针对具有市场支配地位的企业损害用户个人信息的行为可以按照排他型滥用和剥削型滥用这两种类型分别设定具体规则。其一，一个拥有市场支配地位的企业通过不合理的隐私政策获得竞争者无法获得的用户数据，并使用这些数据排挤竞争者或提高市场进入壁垒，应被视为排他型滥用行为。其二，如果一个拥有市场支配地位的企业利用优势地位对用户施加不合理的隐私政策，以不当收集和使用个人信息，类似“过高定价”的行为，可以将其直接归类为剥削型滥用。

（二）在合并控制中防止交易后的主体降低个人信息保护水平

对于免费的数字产品或服务而言，隐私政策是一种重要的质量竞争体现，因此，在合并控制中应该审查交易对个人信息保护的影响，以避免交易导致产品质量下降。多个司法辖区的监管机构也都意识到这个问题，如法国和德国在《竞争法与数据》报告中明确：“在合并控制案件中，如果特定企业从用户市场的市场势力中获益，应从竞争的视角考虑数据隐私的问题。实际上，通过一项合并获得很强的市场地位的企业能够通过收集更多用户数据和降低隐私水平的方式增强市场势力。因此，在具体规则设定上，可以在中国《反垄断法》第二十七条中增加一项考虑因素——“经营者集中对个人信息保护水平的影响”。

（三）禁止就个人信息保护达成共谋

本文认为，此建议中的“变更”一词包括联合提高个人信息保护水平和联合降低个人信息保护水平这两种情形，如果联合提高个人信息保护水平，实际上对用户有利，不应被禁止。因此，可以将修订建议改为“禁止具有竞争关系的经营者达成固定或者降低个人信息保护水平的垄断协议”。

四、反垄断与个人信息保护的规制协调

（一）反垄断救济中的数据开放与个人信息保护之间的冲突及其解决

其一，从规则设定的角度，实施数据开放的反垄断救济时应坚持“通知—同意”原则。个人信息保护的本质是“控制”，对于垄断平台而言，用户的信息受到双重控制：一个控制者是平台，另一个控制者是用户自己。反垄断救济中的数据开放要求平台放弃对用户信息的控制，但平台单方面放弃控制是不够的，还需要尊重用户对自己信息的控制权，因而需要得到用户的同意，“通知—同意”原则可以实现此目的。美国知名隐私学者弗兰克·帕斯奎尔（FrankPasquale）也认为，作为个人信息保护中已经被普遍运用的“通知—同意”原则可以被用于反垄断中。其二，从技术治理的角度，实施数据开放的反垄断救济时应采取创新的安全技术措施，包括加密、去标识化、“联邦学习”等。

（二）反垄断机构与个人信息保护机构之间职责衔接的问题

目前，中国对个人信息保护的监管执法分散于工信、公安、市场监管以及行业主管机构中，一直存在多头监管的问题。对此，《个人信息保护法》规定由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。从该规定可见：一是明确了统一协调机构为国家网信办；二是没有排除其他相关部门的职责，因而形成了以国家网信办为主体的多部门协调监管的格局。在反垄断中引入个人信息保护不会对此监管格局造成太大的冲突。确定了由国家网信办负责统筹协调个人信息保护工作后，确实需要进一步明确具体的协调机制，比如建立跨部门的联席协商机制、案件线索分享机制、立法共商机制等。

（三）实现《个人信息保护法》与《反垄断法》相应规则的双向衔接

《反垄断法》的修订为实现个人信息保护规则在这两个部门法中的双向衔接提供了宝贵时机，而且理论基础和实践基础已经初步形成。在理论方面，国内已有不少学者就反垄断规则中引入个人信息保护进行了理论探索，上文针对在反垄断三大支柱制度中引入个人信息保护也进行了专门论述。因此，可依据《反垄断法》审查平台收集用户数据的行为是否滥用市场支配地位。中国《个人信息保护法》已经出台，其实施效果有待检验。鉴于平台经济领域的产业发展和技术迭代都很迅速，《个人信息保护法》的实施过程中仍需要制度创新。基于此，可以考虑未来修法时在《个人信息保护法》第六条中增加一个条款“滥用垄断地位强制收集非必要个人信息的行为可能违反《反垄断法》”。

五、结   语

每一次技术革命都会对法律制度带来深刻影响，在第四次工业革命浪潮下，反垄断法律制度同样面临革新。美国出现的新布兰迪斯学派（Neo-BrandeisSchool）就是一个缩影，该学派反思了反垄断制度的目标与任务，主张经济效率不应该是反垄断的唯一标准，还应包括社会平等与经济民主，并提出对互联网巨头严格管制以保护包括个人隐私权在内的个体权益。本文就将个人信息保护纳入反垄断提出同时采用“关联保护”模式和“直接保护”模式，以期为完善数字时代的反垄断规则提供借鉴。反垄断制度的演进是历史潮流，是满足时代发展需要的必然结果，而个人信息与市场竞争的关系是一个重要的研究主题，亟需理论突破和创新。

（此为缩减版，注释从略）

责任编辑：梁斌SF055