欧盟《数字市场法》建议稿到底“建议”了什么
(图源:IC Photo)
【超级平台】
前几天,一条“欧盟通过《数字市场法》”的消息开始在我的朋友圈刷屏。看到这条消息,我赶紧去欧洲委员会的网站上确认了一下,真实的情况是《数字市场法》的建议案在欧洲议会的内部市场委员会获得了通过。而其是否可以成为一项法律,则要看12月欧洲议会的最终表决结果。
不过从现在的形势看,法案大概率是可以通过的。从这个意义上看,分析这个建议稿其实是和分析正式颁布的《数字市场法》意义相同的。想到这点,我就干脆把最新的建议稿找来,对比去年年底的初稿,好好对比学习了一下。
应该说,对比去年年底的最初版,这次的建议稿改动还是挺多的。从总体上看,修改体现了两个非常重要的方向,即监管对象的精准化和监管手段的严格化。其中,前者指的是对监管的主要对象——“守门人”(gatekeeper)的概念作了进一步的廓清,并适当提高了其认定的标准;而后者指的则是对“守门人”赋予了更多的责任,并大幅提升了对于违法行为的处罚标准。在本文中,我们就将对这些修改进行一个简要的介绍。
“守门人”的概念和认定
《数字市场法》主要是针对“守门人”制定的。根据初版的《数字市场法》草案,所谓的“守门人”,指的是满足了一系列条件的“核心平台服务提供者”(provider of core platform services)。这些条件包括:(a)对内部市场有重大影响;(b)其运营的核心平台服务中,有一项是沟通商业用户(business users)和终端用户(end users)的重要门户(gateway);(c)在运营中有稳固持久的地位,或在可以预见的将来能够拥有这样的地位。
在修改版当中,对于“守门人”的定义作了两处改动。一是把“核心平台服务提供者”改成了“企业”(undertaking);二是对条件(b)进行了增补,把“沟通商业用户和终端用户的重要门户”改成了“沟通商业用户和终端用户,或终端用户与终端用户的重要门户”。
很显然,第一处修改是为了廓清监管对监管目标的定义。在现实中,一个企业可能经营多种平台服务。仅以谷歌为例,其旗下的平台服务就包括在线搜索引擎、操作系统、云计算服务、广告服务,以及视频分享平台服务等。因此,“平台服务的提供者”可以理解为企业当中的一个业务部门、一个子公司,或者企业本身,这显然存在着很大的歧义。而将其更改为“企业”,就明确了企业是作为监管的基本单位,从而也就消除了不必要的误解。
第二处的修改则是为了堵上原本规定当中的一个漏洞。根据原稿的规定,所谓的“守门人”,“守”的是商业用户与终端用户之间的“门”,或者用业界更为习惯的用语,“守”的是B端和C端之间的“门”。但按照这样的规定,一些明显具有强大力量的企业就可以通过巧妙的设计来规避掉“守门人”这顶帽子。
举例来说,我们可以设想,一个企业在社交领域占有显著并且稳定的力量,然后,它再将这个力量传导到广告、搜索、视频等一系列其他的业务领域。但是,在这些市场上,它都保持了“克制”,只把业务做到恰到好处,有一定规模,但绝不争业内第一。那么,这样的企业是不是应该被认为是“守门人”,并被要求承担“守门人”责任呢?从直观上看,当然是应该的。但是,如果按照原稿的规定细究,它还真不满足“守门人”的定义。而在对条件(b)进行了修改后,上面这个明显的逻辑漏洞就被堵上了。
除了定义外,这次的建议稿还对实践当中推定“守门人”的标准进行了修改。推定标准是“守门人”的具象化。很显然,根据定义,要成为“守门人”,平台首先应当是提供核心平台服务的。在原稿中,一共规定了八类核心平台服务,即在线中介服务、在线搜索引擎、在线社交网络服务、视频分享平台服务、号码独立的人际通信服务、操作系统、云计算服务,以及广告服务,只有提供以上八类服务之一的企业,才具有了成为“守门人”的可能性。当然,除了业务要求外,要成为“守门人”还需要满足一系列的量化指标。在原稿当中,这些量化指标包括:(a)该企业在过去三个财年内在欧洲经济区的年均营业额达到或超过65亿欧元,或者该企业平均市值或等值的市场公允价值在过去一财年内至少达到650亿欧元,并且在至少三个欧盟成员国提供核心平台服务。(b)其所提供的核心平台服务在欧盟境内的月终端活跃用户数超过4500万,并且在过去一个财年内在欧盟境内有超过1万的活跃商业用户。(c)过去三个财年内每一年度均达到(b)条件所规定的标准。很显然,这里的三个标准,分别对应了“守门人”定义当中的“影响重大”、“掌握门户”,以及“持久稳定”这三个特征。
在修改稿当中,对以上的推定标准进行了一定的改动:
一方面,在“核心平台业务”当中,建议稿加入了三类核心平台业务:网络浏览器、虚拟助理(virtual assistants)和联网电视(connected TV),并对原来的核心平台服务之一“广告服务”加了限定,改为了“在线广告服务”。应该说,这样的修改除了是法律上的考虑外,其实还在一定程度上体现了欧盟对于未来数字经济走向的预判。随着物联网技术的发展,万物互联已经成为了一种趋势,而虚拟助理和联网电视很可能会成为物联网时代最为重要的智能终端。或许正是由于这样的考虑,欧盟也将它们划入了核心平台服务的范畴之中。
另一方面,建议稿对推定“守门人”的数量标准做了较大的改动。首先,原来条件(a)中“在欧盟营业额达到65亿欧元”或“市值(估值)达到650亿欧元”的标准被提高到了“在欧盟营业额达到80亿欧元”或“市值(估值)达到800亿欧元”。也就是说,从规模指标上看,“守门人”的门槛大幅度提高了。当然,这个数额其实和欧洲本土企业的关系不是很大,因为在欧洲提供核心平台业务的几乎都是国外企业。唯一有影响的一家欧洲本土企业可能是Spotify,它去年的营收达到了78.8亿欧元(注:是全球收入,而不是欧洲),按照原标准,它和“守门人”的距离已经不远了。但如果按照新的标准,那么Spotify就可以暂时松一口气了。
其次,原来条件(b)只是讲用户规模超过一定的标准,并没有说是某一个业务的用户规模还是所有业务的用户总规模。而在建议稿当中,表述则更为精确化了,改成了“其中任何一项业务的规模”达到标准。这个明确在实践当中是很重要的。例如,一个企业同时经营浏览器和搜索业务,用户各为2500万,加总用户为5000万(注:在现实中,不少企业为了突出本企业的力量,也乐于宣传自己的总用户是多少)。如果按照原稿,或许可以将这个企业解读为达到了“守门人”的标准,而根据建议稿,则不会再出现这个问题。
再次,原来条件(c)中的“持续三年”被改为了“持续两年”。也就是说,现在认定企业的影响具有持久性的标准降低了。很显然,这对于一些迅速崛起的平台企业来说,并不是一个特别好的消息。
综合以上几点,可以看到,标准是有收紧有放松。这样的标准调整显然是有很强的针对性,可以尽可能把欧洲本土的平台企业划在“守门人”范围之外,而将监管的矛头主要指向以GAFA为代表的美国大企业。
“守门人”的义务
在《数字市场法》当中,“守门人”需要承担的义务有两大类,分别是第五条所规定的“守门人义务”、第六条规定的“需进一步明确的守门人义务”、第十二条所规定的“集中申报义务”,以及第十三条规定的“审核义务”。其中,“守门人义务”是最为基本的义务,是所有“守门人”都需要遵守的。“需进一步明确的守门人义务”则是前述义务的补充,是专门针对从事某些业务的“守门人”的。
(1)“守门人义务”
先看“守门人义务”,这是“守门人”需要履行的最重要义务。在原稿当中,“守门人义务”一共有七项:(a)不得将从核心平台服务获得的个人数据同其他业务获得的个人数据合并,除非得到用户的同意;(b)允许商业用户通过第三方向终端用户以和守门人不同的价格或条件提供与之类似的产品或服务;(c)允许商业用户向通过核心平台服务所获得的终端用户推广要约,以及同该等终端用户签订合同;(d)不阻止和限制商业用户向监管部门反映平台问题;(e)在商业用户使用守门人的核心平台服务时,不得要求商业用户使用、提供或同守门人的身份认证服务互通;(f)不得将使用“守门人”的某项其他核心业务作为接入核心平台业务的条件;(g)向其提供广告服务的对象提供关于发布广告的价格信息。
在几项义务当中,(a)针对的主要是对于消费者隐私保护,以及可能的数据垄断问题。在现实当中,很多大型平台企业都会把各种业务之间的数据进行聚合,从而增强数据分析能力。这一方面会对消费者隐私产生潜在的危害,另一方面则会大幅增强企业的市场力量,从而对竞争造成排除和限制。而限制了数据的聚合,就可以在相当程度上遏制类似问题的发生。(b)、(c)、(e)、(f)考虑的主要是对用户联通功能的保护。从功能上看,平台服务的主要特征就是联通用户。但在现实中,用户是否可以获得联通,以什么代价获得联通,很大程度上是由“守门人”掌控的。出于自身利益的考量,不少“守门人”会在提供联通服务的时候附加很多条件,如收费、搭售服务,或者要求采用自己提供的身份认证等。这样一来,平台的联通功能就被破坏了,联通从一种用户本身的权利成为了“守门人”控制用户的权力。而这几项义务的要求,则是取消了“守门人”的这些特权,把联通的权利还给了用户。此外,(d)、(g)两项保护的,则分别是用户申诉,以及知情的权利。因此,综合来看,原稿当中规定的“守门人义务”其实还是比较基本的,其宗旨在于还平台服务之初心。
在修改稿当中,“守门人责任”的改动是比较大的:
首先,建议稿将原本属于第六条“进一步明确责任”当中的两项移到了第五条“守门人责任”当中。这两项分别是原本第六条的(a)“不在与商业用户的竞争中使用非公开的数据,包括由用户基于使用核心平台服务而产生的数据或用户向核心平台服务提供的数据”和原本第六条的(b)“允许终端用户在使用核心平台时卸载预装的软件应用”。
从目的上看,将这两条移到“守门人”责任,应该是要对所谓的“自我优待”(self-preferencing)问题进行遏制。在实践当中,不少提供核心平台服务的企业都会利用其平台业务来对它的其他自营业务进行扶持。这种扶持可能是多方面的,不同的平台企业有不同的表现:例如,亚马逊就经常通过搜集和分析在电商平台上进行经营的商户的数据,以此来确定其自营电商的采购品类、采购数量,以及销售价格。很显然,在这种信息优势的加持之下,亚马逊的自营业务就可以轻松碾压那些与之竞争的商户,而这对于那些商户而言显然是不公平的。
其次,对于“守门人”当中的一些条文,建议稿也进行了修改:
一是原稿的(a)改为了“不得将从核心平台服务获得的个人数据同其他业务获得的个人数据合并或对数据进行交叉使用(cross-using),除非以清晰简洁的方式(in a explicit and clear manner)得到用户的同意”。很显然,这种修改一方面是把不同业务之间的数据交叉使用纳入了禁止项,另一方面则是对征求用户同意的方式进行了限制。应该说,这些修改都是很有必要的。现实中,很多企业号称是在使用用户数据前请求了授权,但事实上,它们通常是把一份长到一般消费者根本无法阅读完的协议交给用户。结果就是,大部分用户根本不看协议就点了同意。而如果对征求意见的方式进行了限制,就禁止了企业玩这种把戏的可能。
二是(c)项的措辞进行了比较多的修改,变为了“允许商业用户向通过核心平台服务或其他渠道所获得的终端用户沟通和推广要约,以及同该等终端用户签订合同或进行交易支付”。很显然,这里的要点在于加入了“其他渠道”,以及“交易支付”这两点。尽管条文中并没有明确指出,但其矛头的指向很可能是苹果、谷歌等应用内支付的垄断问题。可以想见,一旦法案通过,则这些公司的支付业务可能会受到很大的挑战。此外,(c)项的结尾还加入了一句“除非守门人可以证明开放会对个人信息数据保护和网络安全构成损害”。也就是说,对于本项规定的义务,也根据情况给出了抗辩可能,而个人信息安全和网络安全就是最重要的抗辩理由。
三是对(g)给出了补充,对守门人应该公开的广告定价信息给出了十分具体的规定。这个规定可能是考虑到现实中在线广告定价的方法十分复杂,即使守门人给出了一个笼统的定价,广告商也很难判断自己有没有在价格上遭到歧视。而新规定的加入,则可以有效扭转这个局面。
再次,修改稿也对相关的表述进行了修正。在原稿中用“应该”等词语正面表达的地方,基本斗替换成了“禁止”等负面的表达方式。应该说,这种表述的修改对于企业进行相关的合规,以及监管部门进行对应的执法都是更为方便的。
(2)“需要进一步明确的守门人义务”
现在的第六条下,总共有十项规定。
其中,新增的(aa)项是关于禁止出于商业目的合并个人数据,以供定向化广告(targeted advertising)和微定向化广告(micro-targeted advertising)使用(注:微定向化广告指要比定向广告更为精准。定向广告的投放只能精确到人群,而微定向化广告则可以精确到个人)。这一项,可以被视为对第五条“守门人义务”中(a)项禁止使用合并数据的补充。只不过,相对于后者,这一项更加强调了对定向广告这种商业模式的关注。在现实当中,定向广告是数据滥用最为严重的领域,很多平台企业搜集数据的主要用途就是用于定向广告。因此,这一项规定的引入,很可能会对很多平台的商业模式产生影响。
剩余的九项规定很庞杂,总体上看,其涉及的问题包括互操作、数据可携带,以及禁止自我优待这几个方面。在建议稿中也进行了相关的修改,但总体来说改动幅度并不大。限于篇幅,这里就不展开讨论了。
对违法行为的处罚
记得在去年的《数字市场法》初稿公布时,很多人对其规定的高处罚力度表示惊叹。而这次的建议稿出台后,很多当初表示惊讶的人都表示,自己的想象力还是赶不上欧盟的狠劲。
在去年公布的原稿当中规定,如果“守门人”没有承担相关的义务,那么可能面临上一财年全球收入10%的罚款。由于很多“守门人”的营收都是巨款,因此如果按照这个比例来罚款,金额很可能是天价的。以谷歌为例,2020年谷歌在全球的营收达到了1825亿美元,如果其被判定为违反了《数字市场法》,那么从理论上看,其处罚金额可能达到182.5亿美元。或许大家对这个数字并没有直观感觉,但我们可以简单做一个比较:2018年时,欧盟曾经对谷歌开出过43.4亿欧元的反垄断罚单,这已经是迄今为止世界上处罚金额最高的反垄断罚款。当时,这个罚款在全世界范围引起了轩然大波,时任美国总统的特朗普直接在推特上大骂欧洲人是在薅美国的羊毛。由此可以推测,如果10%的罚款金额被使用,会产生怎样的爆炸性效果。
但即使是这么高的处罚金额,也难以满足欧盟的胃口。在修改稿中,10%的处罚上限一下子翻了一倍,变成了20%。同时可能为了给监管部门“保底”,还设定了4%的处罚下限。这意味着,如果谷歌现在违反了《数字市场法》,其“保底”处罚就会达到73亿美元。不知道如果这样的事情发生,又会在全球引起怎样的后果。
应当如何借鉴《数字市场法》
最近几年,如何治理互联网平台已经成为了世界各国共同面对的问题。由于互联网平台有着很多传统企业所没有的特征,因此传统的反垄断和规制工具都很难完全解决与平台伴随的种种问题。在这种条件下,各国就开始各自在监管方式上进行探索。而《数字市场法》及其倡导的“守门人”监管,就是比较能够代表欧洲观点的一种尝试。
总体上看,《数字市场法》的可借鉴之处是很多的。例如,其对于监管对象的识别,对于规制义务的安排,以及对违法的处罚方法等,都很有借鉴价值。而其对于很多问题,如互操作、数据可携带,以及自我优待等的观点,也有很强的启发性。相信如果这次的建议稿通过,那么它不仅将会对欧洲的数字经济发展产生深远的影响,还会通过影响他国的立法,间接影响他国的数字经济发展。
目前,我国已经是世界上数字经济规模第二大的国家。对于我国来讲,平台的规制也是一个重要的挑战,因此对《数字市场法》中的一些观念和做法进行借鉴和学习就是必须的。事实上,在前不久公布的《互联网平台落实主体责任指南(征求意见稿)》当中,就已经借鉴了很多其中的条目。可以想见,在下一步的立法过程中,《数字市场法》和“守门人”制度也将会作为一个重要的参考。考虑到这样的情况,未来可能的立法还应该有两个值得关注的相关问题:
第一,在参考《数字市场法》和“守门人”制度的时候,应当要结合我国的国情进行综合的考虑。由于欧洲自身的特征,其数字经济发展一直不发达,除了Spotify之外,很少有在全世界排得上号的平台企业。因此,欧洲对于“守门人”的规制几乎是有利无害的,在一定程度上,它甚至可以作为一种扭转与美国在数字贸易逆差的手段——事实上,在《数字市场法》上,也已经说明了,其立法目的就是要保护欧洲自己的企业,尤其是中小企业。而对比之下,我国的数字经济要远比欧洲发达,相关领域的大企业也更多,涉及的利益也更复杂。在这样的背景下,我们在认定“守门人”、指定“守门人”义务、确定违法处罚等问题上,就需要进行一定的权衡。
第二,在《数字市场法》中,明确指出为了保证欧洲内部市场的统一性,各国在本法之外不得对“守门人”再单独、额外规定义务。我想,这一点是值得学习的。从去年开始,我国对平台的规制就趋于强化。在这个背景下,各地都出台了针对大型平台企业的相关规定,而在具体的规定上,各地的差别是很大的。这导致了很多企业在合规方面感到难以适从。我想,对于这个问题,我们有必要参考欧盟的经验,要在国家层面统一制定规定,而不要让各地的政策彼此打架。
总而言之,现在欧盟的《数字市场法》修改稿十分值得重视,也值得借鉴。但是,究竟借鉴什么、怎么借鉴,恐怕还需要结合中国实际,详加考虑。
阅读作者更多文章