其他
解正山 | 约束数字守门人:超大型数字平台加重义务研究
作者:解正山(上海对外经贸大学法学院教授,法学博士)
出处:《比较法研究》2023年第4期
目次
一、超大型数字平台的数据权力及其滥用问题
二、守门人视角下超大型数字平台加重义务的证成三、超大型数字平台加重义务的结构化配置四、超大型数字平台加重义务间的潜在冲突及其化解五、结语移动互联网、大数据、人工智能等新一代信息技术造就了为数众多的网络服务提供者,这些数据驱动的平台也被称为“数字平台”或“在线平台”(以下行文将不加区分地使用这些称谓)。它们正在推动着数字空间与物理空间的交织与融合,并在降低交易成本、提供更多创业与交易机会、构建多方之间的信任关系方面发挥着显著作用。在这一进程中,数字平台尤其是那些具有系统重要性影响的超大型数字平台获得了特别权力,包括足以影响公共政策议程的“软实力”以及用来将其竞争对手排除在市场之外的“市场权力”。这些权力的行使不仅导致了竞争法意义的经济后果,而且还产生了更广泛且难以预料的社会后果,包括对社会生活、生产方式尤其对个人行为及其权利的深刻影响。总之,在增进个人及社会福利的同时,数字平台巨头们也在利用不断增强的数字优势挑战现有的经济与法律秩序。此外,借助超大型网络平台建构的数字空间,第三方同样可能对参与其间的普通个人用户造成一系列新型的数字损害。这些都已引起数字政策制定者、监管机构、裁判者乃至公众的普遍关注。
为抑制超大型数字平台的负外部性,确保数字生态系统的可持续运行与发展,国内外要求管制它们权力、增强它们责任的呼声日渐高涨。如何界定超大型数字平台的角色定位以及如何约束或规范它们的行为已成为各国立法或司法面临的共同难题。法学领域现有针对超大型数字平台的理论研究,一是着眼于反垄断法分析,二是侧重一般性隐私或数据保护问题。国内学者还结合欧盟立法经验,主要就设立专门针对超大型数字平台的“守门人条款”的可行性与经济合理性以及我国个人信息保护法相应条款的特点与适用等问题进行了有益探讨。不过,这些研究既未深入论证数字守门人理论本身及其为何可用于解释超大型数字平台应承担加重义务,也未涉及作为守门人的超大型数字平台多重角色所对应的不同义务及其潜在冲突问题。有鉴于此,本文从超大型数字平台的数据权力切入并基于守门人理论的视角,对其应负的加重义务及其结构化配置问题进行探讨,尤其对隐私保护与数据共享这一数据保护法与反垄断法交错地带的冲突性问题进行剖析,以期为我国个人信息保护法第58条“守门人”条款提供更全面的解释论框架;同时,对如何兼顾隐私或数据保护与数字竞争这对相互竞争法益进行理论阐释。
01
(一)平台崛起:超大型数字平台的数据权力
平台崛起标志着一种全新的社会与经济形态勃兴,各种平台尤其是超大型数字平台(即下文所称的“数字守门人”)已成数字世界中的关键角色。同时,互联网呈现由“去中心化”到“再中心化”的趋势,超大型数字平台的涌现则加剧了这一趋势。学理上,一般多从双边或多边视角定义数字平台,但也有定义侧重揭示平台的数字化特征及法权关系。虽然很难对数字平台进行统一定义,但至少能刻画出它们所具有的一些经济特征,包括:有能力塑造市场并在收集处理大量数据的基础上组织全新的市场参与方式或开展商业活动;对不同用户群组的互动享有控制权;依赖并受益于网络效应;即时访问用户;通过聚合数据、促进创业、创建新的依赖关系等,在数字价值创造中发挥不可或缺的作用。
作为数字空间的塑造者与组织者,超大型数字平台不断推动着商业活动和社会生活的“数字化”。同时,借助“商业化”与“筛选机制”(即通过评价、分享、关注、订阅等手段,并借助平台的界面与算法,实现用户与平台等多方的交互,进而影响用户订制的内容,确保某些特定内容、服务和人员的可及性),超大型数字平台正不断创造数字红利,并在平台与用户(指个人,下同)、用户与平台内企业以及平台与其竞争者的关系塑造方面具有特殊影响力。它们控制着数字生态参与者之间的数据流动或所呈现的内容,并在不断地收集他们的行为数据。更重要的是,借助网络效应、中介功能、数据集成与分析能力以及多元化的数据利用等,超大型数字平台实现了对网上分销渠道与数据流动等数字生态关键环节或核心资源的控制。这种独特的优势或地位使它们获得了相应的数字权威与控制力。此种基于大量且不同类型数据的控制、处理与利用而形成的控制权或独特影响力,被形象地称为“数据权力”。虽然“所有数字平台均具有控制和收集数据的潜能,但囿于可获得数据的数量与种类,通常只有一些大型平台才具有如此卓越的数字能力,正是它们才拥有‘数据权力’”。本质上,这是“一种……全新的社会权力”,其虽由私主体行使但却具有了公权力的某些性质与特征,包括数字空间的规则制定权、内容审查权以及相应的处罚权(执法权)等。而且,凭借自我强化的数据优势,这些超大型数字平台正在加剧其与用户或其竞争对手之间的权力不对称。难被洞悉的数字技术,加上巨大的用户规模,特别是用户对超大型数字平台的依赖,进一步放大了此种权力不对称及其对经济乃至社会构成的特殊风险,其中一个突出表现是,用户或其他数字市场参与者面对超大型数字平台时的脆弱性。正是由于其广泛且深远的公共影响,因而这些数字巨头也被视为“系统重要性平台”。
(二)权力异化:超大型数字平台的负外部性
不可否认,超大型数字平台已是一支不可或缺的创新力量,它们正在不断地向个人提供搜索以及个性化产品与服务定制等数字福利。然而,随着更多数据与权力向超大型数字平台集中,尤其在数据分析与算法等方面所具备的超级能力,它们往往会迫使用户提供更多个人数据以换取服务。即便用户看穿了它们正使用欺骗性或危险技术操纵他们,他们也可能无能为力,因为并无替代选择。更多情形是在用户毫无察觉时,超大型数字平台过度收集用户个人数据。而且,为实现数据价值最大化,它们进行数据再利用时或不再受限于收集数据时的原始目的。甚至,它们收集个人数据时还会变得机会主义而非那么充满目的性。这不仅使超大型数字平台形成自我增强的数据优势,而且还会导致用户更难了解它们的真实目的,从而对个人隐私及数据保护构成重大风险。当然,过度采集或滥用数据并非超大型数字平台才会发生的行为,中小数字平台同样会如此行事。然而,数据规模的倍增,特别是对敏感个人信息等高价值数据的控制,以及数据处理能力的不断增强,包括更强的用户行为分析或预测能力,以及对数字市场参与者之间数据流的控制能力,意味着超大型数字平台更具数字优势,其行为风险更大,数字生态中的个人权益侵害风险也将随之上升。正如Google Spain案揭示的,那些无处不在且互联互通的超大型数字平台行为,更可能对个人隐私以及个人数据受保护权构成影响。它们处理的个人数据规模越大,对个人基本权利的潜在干扰就越大。
具体而言,借助“数据权力”,超大型数字平台或将导致一系列新型的数字损害:
一是行为或信息操纵与数字成瘾。数字实践表明,通过对浏览历史、消费倾向、个人偏好等个人数据的处理,数字平台能够以不受监管或难被察觉的方式向用户进行个性化推荐或展示,塑造并利用他们的“认知偏见”,从而诱使其购买并非真正需要的服务或以不合理高价购买。更有甚者,接连不断的个性化推荐还令用户不堪其扰,致使其生活安宁受到显著影响。基于用户数量、数据规模以及算法等资源或技术上的优势,超大型数字平台更有能力与动机通过对用户获取的信息内容,以及何时获取信息进行控制以影响他们的判断。很多情形下,用户不仅依赖这些信息,而且深信这些数字巨头正在为其提供客观中立的信息或服务。殊不知,这“为操纵消费者行为打开了全新途径”,或将构成“搜索引擎操纵效应”。对此,用户要么浑然不知,要么知晓但却无法摆脱已悄然形成的“数字依赖”。所有这些都不可避免地对用户的隐私与信息自决构成威胁。毫不夸张地说,与令人上瘾的烟草一样,超大型数字平台“同样是建立在人们成瘾基础之上。虽然世界上规模最大的一些数字平台通常都是‘免费’供用户使用,但同时,它们也在利用用户心瘾以尽可能多地消耗他们的时间和注意力……社会不应再忽视大型科技公司引起的重大公共问题的关键原因就是它们故意让数以亿计的人上瘾”。
二是歧视、限制乃至剥夺用户的权利或机会。基于其所控制的大量数据并在大数据技术加持下,超大型数字平台可对用户进行画像,并根据画像结果区别对待,向他们提供不同质量或价格的商品与服务或不当地标记他们。前者如不断爆出的大数据杀熟事件,后者主要表现为根据性别、学历、职业、年龄、民族等信息将用户能力、品行或倾向等贴上某种负面标签。国外的一项针对谷歌搜索的研究就表明,基于搜索姓名的假定种族,其所呈现的广告结果存在显著歧视。我国司法实践也表明,用户可能因数字平台的信息处理行为而遭致负面评价进而丧失工作机会,甚至遭遇人肉搜索乃至被冒用身份等未来侵害风险。利用信用评分算法限制某类特定群体获得信贷也是比较常见的隐形歧视情形。以上权益侵害情形虽非超大型数字平台所独有,但至少,它们更可能利用数字优势实施这些行为,且更具广泛性与系统性。加之“数据权力”的不透明性与软权力性(“采用协调、诱导、舆论等软性力量促使他人‘自愿’行事,以达到影响、支配他人之目的”),从而使得“数据权力的支配行为变得难以识别与监管”。当然,借助超大型数字平台构建的数字空间,平台内企业或一般数字用户等其他数字参与者同样可能侵害用户权益,不时发生的数字霸凌以及其他有害或虚假信息的恶意传播等就是例证。这不仅恶化了数字生态的整体环境,而且也让很多用户深受其害。
除与个人自主及隐私等有关的损害外,超大型数字平台还会滥用数据权力造成竞争损害。出于自身声誉及利益的考虑,超大型数字平台总在标榜自己的某些特权。例如,对在线数据的控制权或竞争性权益以及维护网络用户隐私的特权等,用以恐吓或阻止那些试图违背自己意愿访问其网站或获取其网站数据的潜在竞争者。现有法律似乎也在迎合这些超大型数字平台的此种特权。或因如此,它们以意想不到或不受限制的方式成为了公共决策者,建立并执行数字生态中的可访问性与数字规则等,从而对希望借助平台获取必要信息或协助的研究者、媒体业者、数字生态系统中的其他市场参与者等产生深远影响。得益于网络效应,超大型数字平台常常拥有海量用户,它们采集并控制着源自用户的大量数据。这些数据不仅有益于平台自身,也可能惠及公共部门或其他市场参与者。然而,多数情形下,超大型数字平台不仅不愿共享数据,而且还会阻碍他人合理访问/获取数据尤其是用户同意共享的公开数据,这将对创新型数字公司与其他初创企业向市场提供替代性产品或服务构成阻碍,最终会影响公共服务质量和整体数字福利的提升。此外,利用数据优势,尤其是服务获取、商业声誉、操纵排名方面的控制能力,超大型数字平台还将导致其他一系列竞争法层面的问题,包括自我优待、捆绑销售、向商家与个人用户施加不合理的条款与条件、不当限制或拒绝用户基于自身目的获取或再使用其个人信息等。所有这些无疑将造成市场壁垒,若不加干预,势必对消费者选择、隐私保护、数字服务创新与竞争等产生负面影响。
综上所述,作为数字生态的关键角色,超大型数字平台往往有权决定其中的赢家和输家。对依赖这一平台的用户和其他市场参与者而言,超大型数字平台往往不怒自威并在扼杀竞争对手的同时赚取大量利润。同时,技术与数据的完美结合赋予了这些大型平台他人难以企及的“数据权力”,而且这些私人机构还行使着本由公共机构行使的部分权力,从而“将原来由政府和政治程序控制的公共空间转译并重构为去政治的、私有化和商业化的‘平台空间’”。但与公共机构受到严格约束不同,超大型数字平台如何行使“数据权力”尚未被完全纳入法律框架。它们不仅带来了经济性损害,而且还导致更广泛的社会性损害,包括信息操纵、数字欺诈与歧视乃至数字成瘾等。无论对个人还是对其竞争对手,它们导致的不利影响均非尚不具备此种权力的数字平台所能比拟。所有这些已让公众对此种权力的不断集中特别是对其被滥用的担忧越发强烈。因此,要求对拥有此种权力的超大型数字平台施加额外的法律义务,严格约束它们的特殊权力也就具备了实践基础。总之,超大型数字平台“正处在吸引我们注意力的零和竞赛之中,并采用最普遍的策略确保自己获胜”。如何更深刻地认识这些数据巨头的角色地位并采取必要的约束机制,已成为各国立法者与司法裁判者努力破解的一项法律难题。
02
成为超大型数字平台并因此具有数据权力这一事实本身并无过错,滥用这一权力才是问题所在。值得追问的是,卓越的数字能力尤其是数字生态塑造者与主导者地位对超大型数字平台而言意味着什么?在其创设的数字空间中,超大型数字平台应承担何种“角色责任”?特别是,作为数字生态的最大受益者,如何建构其与用户的互惠共生关系?如果说滥用数据权力构成超大型数字平台负担加重义务的实践基础,那么,这些问题的解答将进一步增强它们负担加重义务的理论基础。
(一)平台特殊角色:数字守门人概念的引入
超大型数字平台崛起及其导致的负外部性问题引发了如何更好监管它们的法律之问。此前,针对数字平台的监管与理论呼吁多围绕“平台权力”展开,未能厘清此类监管所要解决的核心问题。其原因在于:第一,平台概念过于宽泛且是一个充满争议的术语,无论从双边性或多边性,还是从其他角度定义平台,均无法回答为什么须对它们进行专门监管。第二,“平台权力”几乎等同于反垄断意义上的“市场权力”这一狭义概念,但在数字经济背景下,即便不具备足够的市场力量,一些数字平台也能发挥显著的影响力。而且,“市场权力”概念以及以此概念为出发点的法律机制(例如竞争法与市场监管)所关注的是经济损害而非广泛的社会损害。两相比较,数字守门人概念能够更准确地刻画超大型数字平台在数字生态中的角色以及它们引发的种种问题,有助于把对数字平台的认识从完全结构化的方法转向功能视角,监管重点则可从平台的多边性或数字化特性转向它们在控制数据流动与可访问性以及构建数字生态方面所发挥的独特作用及影响。
根据网络守门一般理论,“守门”一般指信息控制过程,具体指当信息通过“门”时对其进行控制;守门人不再限于记者与律师等精英人群,而是通过守门机制,包括渠道机制、审查机制以及安全机制等,有权行使守门权的个人、组织或政府等实体,包括搜索引擎、内容提供者、网络或应用服务提供者,不仅可进行信息甄选,而且还将决定守门行为对象能否进入某个网络。但与传统守门人理论不同,网络守门人可与守门行为对象进行互动,且守门人须对守门行为对象的反馈作出回应。同时,守门行为对象也能进行信息生产且议价能力增强。除强调守门行为对象的作用之外,网络守门理论已把守门行为的关注焦点转向数据信息控制。通过访问控制或限制信息范围等手段控制信息获取,这些在政府能力有限的情形下有能力改变他人行为的非政府机构(网络信息守门人,亦即本文所称的“数字守门人”)扮演着创新者、交易代理人、流通渠道、协调者等多重角色。其不仅拥有作出规范评价的权威,而且对不同用户群组间的数据流具有控制力。
数字守门人概念已得到越来越多的学者的青睐,他们使用这一术语描绘数字时代私人控制的不同特征,包括将超大型数字平台视为“新守门人”或在内容审核背景下使用这一概念。受守门人理论的影响,一些立法例引入了这一概念并确立数字守门人的识别标准。例如,欧盟《数字市场法》第3条采用定性与定量相结合的方式界定数字守门人。类似地,我国《互联网平台分类分级指南(征求意见稿)》也采用定性与定量相结合的标准将网络平台区分为超级平台、大型平台与中小平台。其中,前两种类型平台与欧盟法上的数字守门人地位相当。这对我国个人信息保护法第58条“守门人条款”中原则性识别标准——“提供重要互联网平台服务、用户数量巨大、业务类型复杂”——作了必要补充。识别数字守门人固然重要,但非问题核心。真正的挑战在于,数字平台成为守门人的事实本身意味着什么?作为守门人,超大型数字平台应履行何种职责或遵守哪些特别的行为准则?
(二)超大型平台作为数字守门人的特殊责任
一般认为,“当某人在社会组织中占据独特位置或要职时,即对增进他人福利或以某种特定方式促进组织目标或宗旨的实现负有特殊义务,且有责任采取措施履行这些义务。这就是他的‘角色责任’”。怠于履行此种责任,就将承担法律责任或受到道德谴责。很大程度上,这是因为此种特殊角色或地位令其获得了控制资源或影响他人的独特优势,从而使其能直接或间接影响更多人的权益。据此原理,超大型数字平台同样应承担因其独特数字权威而衍生的“角色责任”。作为数字生态的塑造者与主导者,超大型数字平台为不同用户群组创设进行社交或商业活动的数字空间,并制定相应的行为规范。经由特定的服务条款与条件,它们对用户或其他第三方访问平台或利用数字服务享有了显著的控制权或影响力。正是这些塑造了超大型数字平台独特的数字权威。这就要求它们应充分考虑其管控领域内第三方行为对处于弱势地位的用户的权益,以及数据安全与开放等更广泛的社会利益的不利影响,并采取合理必要措施保护这些利益。这正是超大型平台作为数字守门人理应为第三方导致的网络损害而负担的特殊责任。其实,根据侵权法的一般原理,超大型数字平台创设了自己能但用户却无法控制的具有一定风险/危险的虚拟场所,因而就对防范该领域中的风险负有了特殊义务。正所谓“每项社会交往的开启都会对他人产生影响,其中潜在的危险也会对他人产生危害”,因此,“每个开启或主导社会交往之人都应适当注意相关人员的安全”。独特的数字优势正好为超大型数字平台抑制数字空间内的风险提供了技术或能力上的条件。即使无力根除这些风险,它们也有能力减少风险发生的几率,从而从总体上降低虚拟空间内的风险水平,尽其所能地避免数字用户受他人侵害。
根据守门人的经典理论,鉴于以下情形,故向担任守门人的中介机构施加特别责任/义务被认为可以有效地减轻损害:一是行政处罚等直接的行政执法难以阻止侵害,相反,中介机构在监督并防范其服务对象违法行为方面具有天然的成本优势;二是“守门”的私人激励缺乏或激励不充分;三是守门人有能力且有意愿阻止不当行为发生;四是施加责任可促使守门人以合理成本制止不当行为。根据这一标准,要求担任守门人的超大型数字平台承担“监管”职责,并在特定情形下承担平台内不法或不当行为的责任不仅是合理的,而且能有效减少这些行为的社会危害:首先,平台内企业或其他数字用户的相对匿名性,以及逃避管辖或制裁的能力,使得传统执法难以发挥成效,因此,发挥守门人的角色责任可有效约束守门对象的行为;其次,不具有法律约束力的私人激励或道德说教难以促使超大型数字平台阻止他人不当或不法行为,当能从这些行为中获利且能将行为的有害影响外部化时,它们就没有动力限制作恶者的访问权限;再次,超大型数字平台的访问控制权与事后“处罚权”使其具备制止不当或不法行为的能力与权威,且这些措施的成本并不高昂;最后,数字生态的安全与稳定不仅关乎用户利益,同时也是超大型数字平台自身利益所在,因此,要求它们承担守门职责并不全然是利他的。
进一步而言,作为守门人还应避免自身行为对用户及其他第三方产生不利影响,这也是守门人“角色责任”的应有之义。数字生态中,用户生产或提供了大量数据或内容,这也是数字平台取得成功的“秘诀”。他们为科技公司进行人工智能或人脸识别等数据驱动型科技创新提供了关键资源,同时对数字平台盈利尤其是广告营收贡献卓著,因为用户数量是吸引广告商投放广告的关键原因。不可否认,超大型数字平台向用户提供了不少“免费”服务以及全新体验,而且还在不时地升级技术以改善用户体验。然而,与它们获得的权力或利益相比,这些“回报”显然与其应承担的责任不相称。况且,表面上,数字平台虽未向用户收取费用,但实际上后者正以其个人数据或注意力作为服务对价。较之于传统公司更多依赖于自身努力,新型的数字科技公司不仅得益于自身努力,更重要的是离不开数字用户的巨大贡献。因为与传统用户不同,不计其数的用户也在积极参与数字产品或服务的生产,通过发布、上传、更新平台内容并与平台共享丰富多样的个人数据,他们直接或间接地成为数字产品或服务的一部分或重要素材。因此,超大型数字平台应认真对待自己对用户的责任,珍视用户对自身成功所作的贡献。否则,一旦双方互惠关系被打破,用户用脚投票,最终将损及数字平台自身利益。就此而言,即便花费不菲成本(包括因承担加重义务而增加的法律成本)用于更好地保护用户也不为过。长远地看,这不仅有助于赢得用户及社会的信任,而且也能更好地塑造其与用户间的互惠关系。这种可持续且共生的数字生态的构建,将进一步为用户及社会创造更多数字福利,同时,平台自身也能从中获得丰厚回报。可见,超大型数字平台实施不公平甚至是非法的行为往往都是短视的,其疏于承担作为守门人的“角色责任”同样如此。总之,用户是数字平台进行财富创造或创新的源泉,互惠意味着它们更应珍惜用户贡献,并采取措施保护用户的个人数据,尤其是关乎其人格或财产利益的个人数据,而非利用“数据权力”盘剥用户或在第三方侵害用户权益时放任不管。这不仅是超大型数字平台的伦理责任,更是其法律责任。
从法律后果上看,因守门人角色而应承担的责任更多是一种间接责任(守门人自身行为侵权时则应承担直接责任),是其对平台内处于弱势地位的用户的特殊保护责任。这也意味着数字守门人应该承担与此相匹配的特殊义务,利用自身数字权威或能力,防范、制止其控制领域内不法或不当行为对用户权益的侵害。违反这一义务,通常须对利用数字守门人基本服务的第三方不法或不当行为造成的损害承担间接责任。为免于承担这种责任,数字守门人即应通过停止提供服务等措施,增加第三方违法违规或滥用其提供的基本数字服务的机会成本,阻断其获利渠道并防止损害的扩大。本质上,这与公平有着内在的联系。其要求超大型数字平台抵制财富从用户到平台内企业或其他数字服务提供者的不法转移、反对不公平的数据处理行为、避免歧视或剥削用户、阻止侵犯隐私、消除误导性或煽动性信息等,从而确保平台内企业或其他当事人行为符合公平要求。很大程度上,用户之所以选择“进入”超大型平台创设的数字世界,主要也是因为他们信任该虚拟空间并对这一场所抱有公开、稳定、安全、公平的合理期待。总之,既然获得了创设使自己受益的数字基础设施的权力,那么,超大型数字平台就有义务规范其所设计的程序或提供的内容,避免其中的歧视或其他不法侵害。
总而言之,作为数字市场守门人,超大型平台理应承担与其角色相匹配的加重义务。其中,基于用户视角,超大型数字平台不仅应避免自身行为侵害个人的隐私或其他数据权益,还应在用户与平台内企业或其他数字用户之间充任守护者或准监管者角色,制止后者对前者权益的侵害。该情形中的超大型数字平台常被视为“监管式”守门人。同时,基于平台内企业或数字市场其他参与者的视角,超大型数字平台也不得利用其守门人地位限制或排除竞争或实施其他滥用行为。此种情形下的超大型数字平台多被视为“自律式”守门人。鉴于超大型数字平台在数字生态系统中具有多重身份且不同身份应遵守不同的行为规范,因此,立法上,还应考虑如何根据它们的多重角色或行为配置不同的义务内容。
03
作为对超大型数字平台导致的负外部性问题以及其作为守门人的“角色责任”的回应,数据保护法与反垄断法从不同视角规定了它们应承担与守门人角色相匹配,且有别于其他数字平台的加重义务。不过,需指出的是,虽然这些义务本身旨在强化数字守门人的自律或问责机制,但一定程度上,它们可能会意外地导致某些不利影响或相反效果。因此,解释论上或当执法与司法适用时,还应考虑如何克服其内在局限。不仅如此,数据法上的隐私或数据保护义务与反垄断法上的竞争促进义务之间也存在潜在冲突,这更需要考虑两项立法的价值目标之间如何权衡与取舍。
(一)数据法上合规与“准监管”义务设定
1.数据(隐私)合规义务
一般认为,企业合规的根本要义在于“针对企业内部可能出现的违法违规行为建立管理机制”并要求其“建立旨在防范、识别和应对合规风险的自我监管机制”。由此可见,风险的评估与防范应为合规制度体系中不可或缺的组成部分。依此原理,超大型数字平台数据(隐私)合规治理体系也应着眼于此。根据我国个人信息保护法第58条第1项的规定,超大型数字平台应“建立健全个人信息保护合规制度体系”,并设置由外部人员组成的独立机构对数据保护情况进行监督。这是法律专门对超大型数字平台科加的一项特别义务。该义务旨在要求超大型数字平台确保自身的个人信息处理行为以及针对他人的管理行为合乎规范,从而最大程度地避免其系统性或大规模地侵害用户权益,更好地保护用户隐私、信息自主与行为自由等基本权利;同时,防范自身因不当或不法数据行为而遭致监管处罚、经济损失或声誉受损等风险。立法上要求设置独立监督机构则在于强化超大型平台数据合规治理的外部监督,本质上,这仍是自律监管范畴,是合规治理体系的组成部分。
值得注意的是,我国个人信息保护法第28条至第32条以及第55条特别规定了“敏感个人信息特殊保护”与“数据保护影响评估”等内容,这些条款侧重数据处理行为对个人权益的侵害风险,而非数据处理者的规模或处理的个人数据数量,意在建立一套普遍适用的数据隐私保护框架。此种基于风险的立法框架仅仅意味着对高风险行为应适用更严格的义务,对低风险行为则适用较少负担的义务。因此,除应遵守这些一般性的隐私风险防范义务外,超大型数字平台隐私或数据合规体系尤应关注因其规模、核心服务或主导地位而衍生的全新风险。此种风险已被欧盟《数字服务法》定义为“系统性风险”。担任守门人的超大型数字平台因而负有管理此等风险的特别义务,主要包括对源自超大型数字平台服务功能或其用户潜在滥用行为所导致的系统性风险进行定期评估,并采取增强内容审查、优化算法设计、调整服务条款等措施防范或降低这些风险等措施。立法上,一般可将以下情形视为系统性风险:一是第三方滥用平台服务衍生的风险,例如散布仇恨言论等非法内容,以及销售法律禁止的产品或服务等非法活动等;二是平台自身的算法设计或第三方滥用平台服务对用户隐私、信息自由以及儿童权利等构成的侵害风险;三是故意且经常以通谋方式操纵平台服务,从而对未成年人、公共安全以及公共健康等构成侵害风险,包括数字成瘾或其他可能对用户个人身心或财产安全等造成的严重不利影响。一定程度上,通过同意以及数据访问权、更正权、删除权、可携带权等一系列“微权利”,用户可实现对其个人数据的控制并对数据处理行为施加必要限制。然而,数字守门人处理的数据数量以及数据价值链的复杂性限制了他们可在其中发挥的作用。因此,“个人控制”式(亦称“个人赋权”式)的隐私或数据保护策略已难以充分保护越来越被“数字化”的个人。这也是数字立法引入超大型数字平台加重义务的重要原因之一。此种双层义务结构更是基于超大型数字平台在社会与经济方面所具有的系统重要性影响,以及其作为数字守门人的特殊职责,是对它们导致的更高风险行为的立法回应。
2.数字“准监管”义务
如上文所言,作为守门人,超大型数字平台应在数字生态中充任用户的守护者。作为立法回应,我国个人信息保护法第58条第2项特别规定,超大型数字平台应“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”。文义上,该条款旨在要求超大型数字平台通过平台规则对平台内企业的数据处理行为予以规范或提供指引。通常,作为直接的信息处理者,平台内企业自应遵守个人信息保护一般义务,例如我国民法典第111条、第1035条和个人信息保护法第5条、第6条等条款确立的同意原则以及合法、正当、必要、诚信、最小化等行为准则。之所以要求超大型数字平台在其平台规则中重申“处理个人信息的规范和保护个人信息的义务”或将此等义务或规范具体化,一方面是立法者对超大型数字平台作为守门人的角色责任的法律化,另一方面也是对所有数据处理者应负的隐私与数据保护义务的再次重申。逻辑上,有权制定数字规则(即“平台规则”),自然就涉及相应的“数字执法”。因而,我国个人信息保护法第58条第3项进一步规定了“停权处罚”,即“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”。一方面,这是立法者要求超大型数字平台在平台内企业“严重违反法律、行政法规处理个人信息”时履行停止提供平台服务的法定义务,另一方面,这也意味着超大型数字平台获得了对平台内不法或不当行为的裁罚权,即有权自行决定中止或禁止“严重违反法律、行政法规处理个人信息”的平台内企业的访问权或服务获取权。这是一项严厉的裁罚后果,针对的是“平台内的产品或者服务提供者”本身,而非仅仅是删除、屏蔽、断开其某个产品或服务的链接。
行为属性上,制定数字规则以及相应的“数字执法”均可被视为行政法上的第三方义务,即超大型数字平台“作为政府指定的私人主体”,负担采取干预措施防止数字空间有害行为发生或持续等特别义务。这些义务有助于确立超大型数字平台的“主体责任”。当然,作为守门人,超大型数字平台也有能力且理应履行这一额外的“准监管”义务。从民法视角看,制定数字规则与进行“数字执法”又是超大型数字平台应向用户负担的高度注意义务,这与我国民法典第1195条“通知—移除规则”以及第1197条“知道或应当知道规则”等具有内在的关联性与体系一致性。它们共同构筑了数字守门人对用户的“角色责任”框架。如果说,我国民法典第1195条只是要求网络服务提供者(数字平台,下同)被动履行平台内侵权行为的审查与制止义务,那么,民法典第1197条则转而要求守门人积极主动地履行注意义务。解释论上,第一,之所以说民法典第1195条仅要求守门人被动或事后履行审查与制止义务,主要是因为履行该义务的前提是“接到通知后”,这意味着在被侵权人通知前,其不知道或不应当知道平台内侵权事实的存在;相反,若在收到通知前已经知道或本应知道侵权事实,那么,适用情形即落入民法典第1197条的调整范围。第二,我国民法典第1197条承继原侵权责任法第36条第3款,并在“知道”这一事实判断基础之上增加“应当知道”情形。“应当知道”之措词意在表明,即便没有被侵权人的通知,网络服务提供者也应履行与其角色相称的注意义务,这意味着平台应该对其管控的数字空间内的不法行为负有一定的事先审查与制止义务。更重要的是,与美国法上“红旗规则”相比,我国民法典第1197条“应当知道”的范围更广泛、标准更宽松。因为,对应于中国法上过错归责原则的“应当知道”标准,只要根据理性人标准能注意到的即为“应当知道”。可见,我国民法典第1197条提高了网络服务提供者的注意义务。当然,为避免网络服务提供者承担过重的事前审查/注意义务,司法适用中应审慎认定“应当知道”。这也是权威立法释义所持的基本立场。基于体系视角,我国民法典第1195条与第1197条意在规定针对所有数字平台的普适性注意义务,我国个人信息保护法第58条则旨在进一步要求超大型数字平台履行更积极的事前作为义务,包括制定数字规则、进行“数字执法”等。
就其法律意义而言,上述高度注意义务首先有助于将网络侵权举证责任归于超大型数字平台或减轻被侵权人的举证负担。例如,违反我国个人信息保护法第58条第2项、第3项规定,造成用户个人信息权益受损的即可认定超大型数字平台存在民法上的过错,原因在于:一是根据个人信息保护法第1条的规定,该法意旨之一是保护个人信息权益这一私人法益;二是个人信息保护法第58条属于“以保护他人为目的”的公法规范,其保护的法益之一正是个人信息权益;三是一个公法规范若被视为“保护性规范”(以保护特定主体的民事权益免受侵害为目的的法律规范),那么违反该规范通常即可推定行为人具有私法上的过错/过失。其次,这些义务是预防性而非纠正性的,强调事前作为而非事后补救,其威慑效果以及在避免声誉损失、罚款和事后私人诉讼方面的效果更加显著。最后,高度注意义务的履行不仅有助于建构用户与超大型数字平台间的信任关系、创造更可预测的数字营商环境,进而促进数字服务业健康发展,而且也有助于减轻公共机构的监管负担。不过,访问控制虽体现了超大型数字平台的特殊角色与责任,且表明其具备阻止网络侵害行为的数字权威、技术能力与组织优势,但如何区分侵权行为与非侵权行为或判断行为违法性才是问题的核心,这也是作为守门人的超大型数字平台面临的特殊挑战。实践中,要求平台对数字空间内难以计数的用户或其他第三方行为是否构成侵权或是否涉嫌违法进行适时判断是不切实际的,况且其本身也非司法裁判者。因此,除非是一项明显的侵权/违法行为或能以合理成本即可发现的侵权或违法行为,例如网络诽谤、色情内容、有害信息、涉嫌侵犯知识产权等明显违法行为,否则,不应强求数字守门人对其控制的数字空间内的不法行为采取行动;不然,将使其承担不成比例的成本。个案判断上,权威立法释义提出的“理性人标准”可作为重要参考。
3.合规与“准监管”义务的局限性及其补正
广义上,要求超大型数字平台依托平台规则管理其创设的数字空间乃至进行数字执法,同样可视为平台合规治理体系的一部分。此种合规模式意味着法律将依靠超大型数字平台或其内部组织机构进行持续监管和合规管理,从而保护个人权利。然而,该模式试图以市场的“技术管理”替代传统意义上国家监管与政府干预的“政治判断”,或将导致新的不平等、市场操纵以及权力不对称等棘手问题。进一步而言,合规本位的协作治理虽然旨在将私营部门的专门知识及全新的执法机制引入数字治理之中,以弥补“命令—控制”模式下的规则工具箱与监管执法的局限性,但也意味将部分监管职责外包给了被监管实体,从而可能导致监管俘获或使政府监管退化为平台自我监管。如何破解这些难题,值得深入思考。
基于权利/权力视角,上述“守门人条款”已在事实上向超大型数字平台授予了“规则制定权”与“数字执法权”,即超大型数字平台可自行制定数字空间内的行为规范,并据此对平台内的失范行为进行执法的“权力”。这也是超大型数字平台发挥数字优势并行使其“私权力”的具体体现。不过,如上文所言,其也存在被滥用的风险。虽然我国个人信息保护法第58条第2项要求超大型数字平台应“公开、公平、公正”地制定平台规则,但这些数字规则几乎全由数字巨头单独制定,第三方很难参与其中。因此,“公开、公平、公正”这种笼统的法律原则可能无法有效地对超大型数字平台的数字规则制定权进行约束。相反,它们原本就享有的数据权力或数字优势则可能因此得到进一步加强,时有发生的超大型数字平台利用其服务条款与条件限制平台内企业或其他第三方访问其网站公开数据的行为就表明了这点。因此,为防止权力滥用,超大型数字平台制定隐私或数据行为规范时应以现有法律为限,尤应增强对其数字规则制定权的国家监管,包括扩大用户参与、建立外部审查,以及下文所论及的数据反垄断等机制。
此外,对“平台内的产品或者服务提供者”而言,“停权处罚”(“停止提供服务”)对其数字权利或福利影响重大。因而,有学者不无担忧地指出,允许数字平台自行裁断他人行为对错并进行处置,除其自身之外,其他任何人都可能无法从中获益。而且,“如果没有前置的行政决定或者司法决定作为基础,要求守门人独立地对平台内商户的个人信息处理行为进行合法性判断并决定停止提供服务,不但难度极大,而且蕴含各种法律风险”。笔者并不认同这一观点,原因在于:首先,文义上,我国个人信息保护法第58条第3项旨在向超大型数字平台科加一项独立的作为义务,且明确规定以平台内企业“严重违反法律、行政法规处理个人信息”为履行“停止提供服务”义务之前提;如果额外地将行政决定或司法裁决作为履行该义务的前置要求,既超出了立法本意,也使该义务沦为一般性或次要的协助义务,从而也将减损“停权处罚”的独立性与威慑性。其次,相较于数字监管机构或司法机关,作为守门人的超大型数字平台更了解平台内企业的具体行为且能更快地采取措施。不过,由于“停权处罚”的严厉性,因此超大型数字平台在作出这一决定时应谨慎判断,至少应确保决策过程公平、透明,包括适当通知、给予当事人答辩机会等,以满足“数字程序正义”的基本要求。如果不愿通过内部程序寻求救济或无法获得这一救济或对内部救济持有异议,那么,“被执法者”有权诉诸司法程序寻求救济。本质上,该程序为民事而非行政性质:一是因为超大型数字平台本身既非行政机关,也非获得授权而实施行政管理行为的组织;二是因为“公法规范为平台经营者划分私人干预义务的范围后,而后的义务履行过程显然就属于民法的调整范围了”。
(二)反垄断法上数字竞争促进义务的确立
立法上,我国民法典第1195条旨在规定数字平台的一般注意义务,民法典第1197条尤其是个人信息保护法第58条侧重向超大型数字平台科以加重的个人信息保护义务。这些规定共同构成“监管式”数字守门人的行为规范,但均不涉及超大型数字平台与数字市场其他参与者之间的公平竞争问题。对此,反垄断立法作出了回应。
比较法上,欧洲议会2022年审议通过了《数字市场法》(2022年11月1日生效)。该法旨在限制超大型数字平台的权力,通过将其视为守门人从而向它们科以额外的竞争促进义务,以促进数字市场的公平竞争。欧盟立法者指出:特定情形下,数字守门人拥有双重角色,一是作为核心平台服务的提供者为所有用户提供基本数字服务,二是作为竞争者与提供相同或相似服务的平台内企业或其他第三方展开竞争。在此过程中,数字守门人可能会利用其主导地位不当获取或使用平台内企业利用核心平台服务时提供或生成的数据,从而形成数字优势或以自我优待等方式限制或排除平台内的竞争者。因此,欧盟《数字市场法》专门向数字守门人科加了额外的竞争促进义务,其中,与数据密切相关的义务主要有两类。一类是数据访问/共享方面的义务,主要包括:(1)应确保数据可携带性,一是经终端用户请求向其本人或其授权的第三方免费开放该终端用户提供的个人数据或其在使用核心平台服务过程中生成的数据;二是经平台内企业请求,向其自身或其授权的第三方免费提供该企业用户在使用核心平台服务时提供或生成的数据,包括个人数据(对个人数据的访问和使用,不仅要求这些数据与终端用户使用平台内企业通过核心平台所提供的商品或服务直接相关,而且应取得用户同意)。(2)提供搜索服务的守门人还应在满足个人数据匿名化的前提下,经其他提供搜索服务的第三方企业的请求,以公平、合理和非歧视的条件向其提供用户搜索数据,包括排名、查询、点击、浏览等数据。另一类是与数据处理有关的义务,即除非终端用户同意,否则不得从事下列行为:为提供在线广告服务之目的对利用其核心平台服务的第三方终端用户的个人数据进行处理;进行数据混同——将从核心平台服务中采集的个人数据与从其他服务渠道获得的个人数据混同;在与平台内企业用户展开竞争时,不得利用该企业及其用户使用核心平台服务时提供或生成的非公开数据。上述各项义务旨在约束数字守门人借助数据混同或垄断增强其数字优势,同时保护用户免受超大型数字平台滥用行为的负面影响,并加强对用户隐私及选择自由的保护。此外,数字守门人还应允许第三方或应用商店与自己的系统或服务交互操作,允许平台内企业在核心平台之外向其用户进行商业推广,或通过第三方平台以不同价格或条件向其自身用户提供产品或服务。同时,数字守门人不得自我优待。
比较观之,欧盟《数字市场法》针对数字守门人设定的加重义务旨在解决超大型数字平台导致的竞争失序问题,侧重于促进超大型数字平台与平台内企业或其他第三方之间的公平竞争。这与我国个人信息保护法第58条有所不同,后者着眼于数字守门人额外的数据(隐私)保护义务尤其对个人隐私或信息权益的特殊保护责任。当然,欧盟立法者也强调,数字守门人还应遵守保护个人数据和隐私等法律中的一般性义务。实践表明,基于数据规模以及在此基础上衍生的一系列竞争损害问题也同样存在于我国数字经济之中。因此,与欧盟法类似,我国《互联网平台落实主体责任指南(征求意见稿)》第1条第1项、第2条以及第9条等条款也分别就平台内企业非公开数据使用、自我优待、数据混同等事项向超大型数字平台提出了额外要求,但未涉及数据访问与共享事项。《国务院反垄断委员会关于平台经济领域的反垄断指南》(国反垄发〔2021〕1号)第21条以及我国个人信息保护法第45条在一定程度上填补了这一空缺。前一条款将“开放网络、数据或者平台等基础设施”作为不予禁止的经营者集中的附加性限制条件,后一条款则规定了数据可携带权,但范围限于个人数据。这与欧盟法不同,后者将数据可携带权延伸至非个人数据。此外,我国最新修订的反垄断法也对与数据有关的垄断问题作了原则性规定。根据该法第9条、第22条第2款的规定,经营者尤其是具有市场支配地位的经营者“不得利用数据和算法、技术……平台规则”等实施垄断或滥用其市场支配地位。从文义上看,我国反垄断法第9条与第22条第2款构成一般与特殊的关系,其中,反垄断法第22条第2款规制的对象是“具有市场支配地位的经营者”,约束的行为主要是不公平高价、掠夺性低价以及无正当理由情形下的拒绝交易、限定交易、搭售与差别对待等滥用市场支配地位行为,通过对“其他滥用市场支配地位的行为”的扩张解释,也可将平台封禁与自我优待等新型的滥用市场支配地位的行为纳入调整范围;不在此列的其他经营者利用数据、算法、平台规则等从事的垄断行为则落入反垄断法第9条的调整范围。例如,具竞争关系的经营者利用平台收集并交换用户数据,或利用算法与平台规则协调一致,从而在价格、市场、产量等方面形成的横向垄断,以及平台经营者与交易相对人以数据、算法、平台规则等为媒介,在价格或其他交易条件方面形成的纵向垄断等。这些规定补全了我国超大型平台作为数字守门人的行为规范拼图。
04
如前所述,中国法与欧盟法均从反垄断法层面额外地向超大型数字平台科加了一系列有别于中小数字平台的竞争促进义务,尤其是数据访问与共享等义务。此种双层义务结构旨在引入新的竞争以打破超大型数字平台的“瓶颈力量”。但问题是,数据访问或共享又衍生出如何兼顾隐私与数据保护的难题。而且,正如我国个人信息保护法第58条表明的,相较于一般数字平台,超大型数字平台应负的数据(隐私)保护义务正被不断强化。这并非为促进竞争,而是在不考虑竞争因素时更好保护用户隐私以及他们的数据权益。这也是我国个人数据保护立法的一大亮点。反观欧盟《通用数据保护条例》,原则上采“一刀切”策略,即各种类型数字平台一体适用同一套隐私与数据保护标准。不过,通过对《通用数据保护条例》相关条款的灵活解释,似也可得出超大型数字平台应该负担不对称的隐私与数据保护义务。不难看出,竞争促进与隐私或数据保护涉及反垄断法与数据保护法交叉地带,如何权衡这对相互竞争的法益已成极具挑战的理论与实务难题。
(一)隐私保护与竞争促进的交织与冲突
普遍认为,用户搜索历史、在线社交活动以及其他网上行为信息等个人数据已成为数字创新与竞争的核心要素,这些个人数据的资源化或商业化趋势已越发显著。为打破数据壁垒,反垄断法一般要求超大型数字平台开放或共享数据。然而,鉴于用户的在线数据多与私人活动密切相关,涉及他们的隐私与信息自主等多元权益。因此,如果强制或不当地要求共享这些个人数据以促进数字竞争或降低准入门槛,那么,用户隐私或将受到侵害,这也与个人有权控制自己个人数据的收集与使用这一数据保护法的基本原则相悖。虽然根据数据保护法的一般原理,用户可借“同意”机制对其个人数据实施控制,但在数据共享或被开放访问的过程中,用户通常无法真正了解他们的个人数据如何被数据持有者或第三方使用和共享。同时,他们也往往无法预测其个人数据是否会被用于可能违反其道德价值观的目的,其结果便是用户面临其个人数据被越来越多企业控制或使用的不利局面,从而也使他们的隐私或信息自主处于危险境地。实践已表明,大规模数据收集和共享将增加数据泄露的风险。实际上,增强的数据访问与共享所导致的风险并不限于数字安全与数据泄露,其还包括违反合同和事先商定的数据再利用条款风险,以及数据处理者或第三方以违背用户合理期待的方式处理他们个人数据的风险等。脸书与剑桥分析的数据丑闻就表明,即便数据共享或再利用获得个人同意,但第三方最终如何使用这些数据并非个人所能左右。在该丑闻中,用户数据被第三方剑桥分析用于商业和政治目的,这已超过了用户最初同意的学术目的。这也意味着,一旦数据被共享或访问,除非有特定的数据保护和处理规定,否则,这些数据未来被如何利用不仅脱离原数据持有者的控制,而且也将脱离最初同意再利用和共享的用户的控制。当数据被进一步共享时,原数据持有者和用户失去控制的风险就会成倍增加。可见,反垄断救济或与用户隐私及信息自决等权益产生冲突。
立法上,为兼顾隐私与数据保护的要求,一是规定数据共享时应取得用户同意,二是要求应在数据共享时确保个人数据足够匿名化。但问题是,同意机制不仅成效不彰,而且可能导致过高成本与时机延误,甚至导致用户最终减少数据供给,从而在无形中降低反垄断法意图实现的促进竞争与创新的成效,而过度匿名化又可能降低数据的价值。况且,匿名化本身也非那么可靠,数据分析技术的不断增强、数据数量和种类的不断增加以及对不同来源数据的集成能力,使得数据处理者通过非个人或匿名化数据推断或识别个人变得容易。有些匿名化数据一旦与足够的其他信息相关联,便可预测某个个体的特征并据此“画像”,此时,数据处理者在实现自身利益的同时便可能违背信息主体的最佳利益或期望。因此,仅仅匿名化是不充分的,其尚需得到其他数据治理机制的补充,包括设立独立审查机构以评估数据安全的充分性以及同态加密等隐私保护技术。然而,增强的隐私监管虽能更好地保护用户隐私与信息自主,但也可能阻碍数据共享进而抑制竞争。欧盟数据保护法就被认为对竞争和数字服务创新产生了不利影响:首先,其限制了市场竞争,导致了更集中的数字市场结构,具有“瓶颈力量”的数字守门人得以巩固本就强大的市场力量;其次,其提高了不同数据控制者之间共享数据的成本,阻止了某些数据协同乃至更多数据价值的实现。这些都表明了竞争与隐私或数据保护这对法益的潜在冲突。概言之,数据保护或隐私法正在不断加强隐私保护,却于无意间造成了数据壁垒。同时,反垄断法也会对竞争与隐私产生效果相反的影响:数据共享救济或强制访问虽有助于促进数字竞争,但也会对隐私保护产生不利影响。因此,无论对数字守门人,还是法院或监管机构,如何既能满足隐私或数据保护法的要求,同时又能确保数据开放或对第三方的实际效用,将是一个难题。
上述问题的复杂性已在数字司法中得到充分印证。实践中,为阻止潜在的竞争者或为保护自身的数据权益,超大型数字平台可能将隐私“武器化”,即平台往往以保护隐私为名阻止第三方获取数据或拒绝开放数据从而引发纷争,其中的焦点问题是:控制数据一方声称限制数据访问是增强隐私保护之举,要求访问或共享数据的一方则认为限制访问实为反竞争行为。对此,法院表现出两种不同的裁判倾向。在hiQ诉LinkedIn案中,原告hiQ指控被告LinkedIn阻止其抓取网站上由用户自行公开的简历等个人信息,且利用这些信息开发竞争性的数据产品,因而构成排他性滥用;但被告认为不加限制地允许他人抓取数据不仅鼓励其“搭便车”,而且将损及用户隐私。对于该争议,法院认为,即便被告的用户对其公开的个人信息仍保有隐私期待,但用户隐私或者说被告阻止他人抓取数据之利益并不比原告继续经营的利益重要(原告商业模式严重依赖被告向公众公开的用户个人信息,因此,法院认为,禁止原告使用这些数据将使其承受“不可弥补的损害”);更重要的是,若允许被告决定谁能收集并使用这些并非归其所有且本应开放的数据,那么潜在竞争者将被排除在外,如此,就有造成数据垄断进而损害公众利益的风险。hiQ诉LinkedIn案后被上诉至美国联邦最高法院且被发回重审,但法院再次裁令被告LinkedIn败诉。从竞争的视角看,LinkedIn试图充当守门人借以维护自身利益尤其以保护用户隐私为名的企图落空了。hiQ诉LinkedIn案中,审理法院对竞争法益的偏好虽收获不少赞誉,但也有法院不以为然,它们认可了隐私或数据保护是所谓反竞争行为的合理抗辩事由。例如,Stackla v. Facebook案中,美国加利福尼亚北区联邦地区法院就强调,脸书公司阻止第三方获取用户数据事关隐私保护这项重要的公共利益,因而拒绝作出恢复访问的裁令。Epic Games v. Apple案中,加利福尼亚北区联邦地区法院再次将隐私保护作为正当理由,被告苹果公司因而免于承担反垄断责任。同样,在我国的司法实践中,法院虽多从反不正当竞争法视角审查数据争议,但裁判说理已表现出明显的隐私偏好,对数据访问或共享可能导致的隐私风险以及对数据持有者数据权益的影响都极为重视。
(二)法益调和:隐私与竞争的权衡与取舍
学理上,对于隐私与竞争的交错问题,越来越多的“融合论”者主张将隐私保护纳入反垄断法的分析框架,即将隐私视为产品或服务质量的组成部分,并将隐私损害解释为是一种消费者损害,认为促进竞争有助于提升隐私保护水平。甚至有学者将反垄断视为“隐私保护工具箱中的一个基础性工具”。在“融合论”的支持者看来,没有竞争时,数字平台将以减少隐私保护等方式变相降低服务与产品质量或提高价格,且无需担心用户流失或收入减损。因此,促进数字市场竞争即可改善用户选择,包括隐私选择。然而,“分离论”却高度怀疑数据保护或隐私法在反垄断评估中的作用。他们强调反垄断法只适于处理对消费者福利或经济效率有害的不当行为;相反,因侧重于用户的知情选择与合理期待,数据保护法只适于解决隐私问题;更重要的是,市场竞争存在的局限性,包括数据获取的隐蔽性、用户认知的局限性以及他们对数字产品或服务价格的过度敏感等,决定了即便是充分竞争也难让用户选择隐私保护程度更高的数字平台。尤其令“分离论”者担忧的是,将消费者福利的范畴扩大到隐私等其他利益,将导致反垄断原则失去连贯性乃至合法性,甚至导致反垄断法偏离效率这一要义。比较而言,“融合论”被认为更成熟且更受青睐,国际反垄断执法实践也表明了这点。
进一步分析可知,无论是“分离论”,还是“融合论”,均强调隐私与竞争的互补性。只不过,“分离论”是将隐私与竞争视为“完整拼图”的一部分且并不重叠。更重要的是,鉴于竞争促进与隐私保护是反垄断法与数据保护法新近出现的交错区域,因此“分离论”与“融合论”均未深入考虑反垄断救济措施如何影响数据隐私,它们之间如何互动或协调还有不少尚待解决的法律难题。事实上,在数字经济背景下,两者并非总是互补;相反,它们可能带来负相关的后果,即更多竞争导致更少隐私。何况,人们期待的竞争并非总能如期而至,促进竞争的措施也非一定有效。例如,向竞争对手提供源自核心数字平台的用户数据就可能不足以激励其进入市场,或者,用户行使数据携带权时选择将数据提供给更具网络效应的数字平台而非新的市场参与者,其结果是强化垄断而非促进了竞争,尤其是隐私保护与竞争促进存在某种程度的紧张关系时,数据访问或共享就可能产生隐私风险。这不仅反映了“数据即资源”理念与个人数据人格化或权利化的潜在冲突(即反垄断法上的数据民主化政策与隐私法上的数据最小化策略之间的紧张状态),而且也凸显作为数字守门人的超大型平台履行义务时的两难之处。
可见,无论理论上还是司法上,对如何兼顾隐私与竞争这对相互竞争的法益尚未形成共识。但至少可以得出如下结论:如果一味强调数据保护或将隐私概念视为挡箭牌,势必阻碍合法且有益的数据利用及竞争,减损消费者所能获得的“免费”及个性化数字服务等福利;相反,过于强调竞争且在竞争促进名义下罔顾隐私,同样会损害消费者权益,且将侵蚀消费者对数字生态的信任并将最终阻碍数据共享与合理利用。这表明,不管是反垄断法抑或数据保护或隐私法,都无法独自解决超大型数字平台数据权力引发的且与竞争和隐私保护相关的复杂问题。因此,对隐私保护与竞争促进进行权衡与取舍时,首先,应考虑反垄断法与数据保护或隐私法之间的互动,尤其是它们对竞争和隐私的不同影响。但理念上“不应厚此薄彼,而应同等对待,这也意味着在判定行为违法与否时,反垄断法与数据保护或隐私法不应被推定为一方优先于另一方。某个法律领域鼓励或要求的行为并非必然免受另一项法律的约束。相反,应当考虑反垄断法和数据保护或隐私法各自关切利益的重要性并进行谨慎权衡”。此种个案式的权衡方法“需要法院与监管机构深入考察数据隐私与竞争法益的强度,一方面,应考虑数据保护或隐私法所涉原则的重要性,另一方面,也应兼顾被指控的不当行为阻碍竞争的程度”。其次,执法上,反垄断执法机构与数据保护机构或隐私监管者应打破不同执法领域间的藩篱,加强合作,并对涉及隐私与竞争双重法益的案件协同执法。形式上,可考虑共同制定事关隐私与竞争的行为指南或在个案执法上进行磋商与合作。这有助于填补反垄断法与数据保护或隐私法之间可能存在的“豁口”,即两法均认为某个对竞争或隐私产生不利影响的行为不属于各自管辖范围时导致的保护空白。总之,通过反垄断执法机构与数据或隐私监管者的合作,“实现竞争和隐私利益的平衡,确保我们享受数据驱动型经济的好处并避免由此带来的风险”。
05
数字革命以惊人的速度改变了现代经济的样态甚至重塑了当代生活。在这一进程中,超大型数字平台获得了非凡的影响力,在其创设的数字生态中,它们拥有创立特定的数字规范或价值的强大能力。通过对数据流或呈现内容的控制,超大型数字平台正在塑造用户与平台、用户与平台内企业,以及平台与数字市场其他参与者之间的关系。正是这种数字优势或权威使超大型数字平台拥有了某种排他性的“数据权力”。正当行使这一权力自将增进个人与社会的整体数字福利,但超大型数字平台通常不会主动地“为维持公共价值而付出任何代价”。相反,过度的数据逐利、隐蔽的数据壁垒、技术或算法“黑箱”等已对用户隐私与信息自主,以及数字市场其他参与者的权利构成了侵害或妨碍。所有这些为向超大型数字平台科予加重义务奠定了理论与实践基础。另一方面,数字优势尤其是强大的访问控制能力也让这些超大型数字平台披上了守门人的角色外衣,这在应然层面上要求它们负担加重的保护义务。总之,作为数字守门人,超大型数字平台“不应表现得像个骗子”,而应避免作出那些出乎意料或构成滥用的行为,尤不得以难以预计且对用户不利的方式或以违反其他重要社会规范的方式使用个人数据,防止用户因其行为而感到难堪或被操纵。同时,基于用户对超大型数字平台的信赖,特别是用户对其创设的数字空间的安全性与公平性的合理期待,这些超大型平台还应在防范第三方不法或不当行为方面承担特殊责任。表面上,要求超大型数字平台承担增强义务似乎加重了其负担,但在“用户即数据”的时代,数字平台盈利依赖网络效应,唯有更好地保护用户才能赢得用户的信任,进而吸引更多用户并获取其“生产”的数据,唯有如此方能获得更多的经济回报。长远来看,更好地保护用户并不与超大型数字平台自身利益相悖。
END
往期推荐:
黄辉|《公司法》修订背景下的股东知情权制度检讨:比较与实证的视角
比较法学研究院 编辑长按识别 扫码关注