【摘要】平台经济下数据价值日益凸显,平衡数据竞争与保护的关系成为平台经济健康发展的重中之重。数据竞争是数据实现价值的方式,数据保护则是数据实现价值的前提。当前,数据竞争与数据保护的平衡仍面临诸多难题和挑战,主要症结表现为隐私、数据与个人信息三者关系界定不清晰,数据类型划分不明确,数据竞争与保护规则及司法适用不完善。竞争法以鼓励和保护市场公平竞争为目的,兼顾经营者利益、消费者利益和社会公共利益等多元利益,其显著的社会法属性契合在数据竞争与数据保护间寻求平衡的需求。然而,实践中对平台经济下数据治理的回应与处置,已超越了竞争法特别是《反不正当竞争法》的范畴。因此,在完善《反不正当竞争法》的同时,有必要结合《个人信息保护法》《数据安全法》等法律,推动竞争法与数据专门法之间的协同,推动多主体、多制度、多工具协同治理。
【关键词】数据竞争 数据保护 保护优先 协同治理 平衡
【中图分类号】 D922.16 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2021.21.009
陈兵,南开大学竞争法研究中心主任、法学院教授、博导。研究方向为竞争法学、数据法学、人工智能法学。主要著作有《自由与秩序——互联网经济法治精神》、《大数据的竞争法属性及规制意义》(论文)、《因应超级平台对反垄断法规制的挑战》(论文)等。
背景与问题
近年来,平台经济迅速兴起。数据显示,截至2020年年底,我国市值超10亿美元的数字平台企业达197家,比2015年新增133家,以平均每年新增26家的速度快速扩张,市值规模达3.5万亿美元。2015~2020年,我国超10亿美元的数字平台总市值由7702亿美元增长到35043亿美元,年复合增长率达35.4%,在2020年全球经济低迷的背景下,实现了56.3%的超高速逆势增长。[1]其中,数据作为平台经济高速发展的核心原料已成为平台经济健康发展的基础和保障。
在平台经济高速增长的过程中,新业态、新产业、新模式不断涌现,推动了数据分析与应用技术在商业领域的创新应用,使各类平台主体得以更大程度地挖掘数据价值,提高数据应用效能,特别是在数据收集和使用中不断强化和扩展网络效应和规模效应。譬如,平台借助数据和算法等技术,能够广泛收集用户数据和市场经营信息,对数据进行精细化整理,高效绘制用户画像,实现精准营销、创新产品等经营策略,有效降低预测成本和决策成本,提高产品或服务的市场竞争力。然而,平台在满足广大用户经济、社会、文化等需求的同时,也引发了对个人数据(信息)过度或非法收集、泄露用户隐私、大数据杀熟、强制“二选一”、恶意封禁、数据封锁、信息茧房等滥用数据限制、排除竞争、实施不正当竞争的行为,给广大用户的信息安全、社会公共利益、市场竞争秩序乃至国家总体安全带来现实危害和潜在威胁。为此,我国相继出台多部与数据相关的政策文件和法律法规,将数据列为生产要素,提出加快培育数据要素市场,要求尽快明确数据产权、完善数据传输标准等。相关法律主要包括《反不正当竞争法》、《数据安全法》和《个人信息保护法》(本文法律均使用简称)等,已形成较完善的数据要素市场治理法律体系。其中,如何平衡数据要素竞争与数据信息保护的关系成为平台经济发展中社会各界普遍关注的重点与难点。
实践中,大多数与数据相关的法律纠纷都围绕对数据竞争性权益的释明、确认及保护产生,相关的法律规制主要表现为如何运用现行竞争法律法规来规范和救济与数据相关的行为引发的扰乱市场竞争秩序、侵害消费者权益及损害其他经营者权益的情形,其中以《反不正当竞争法》对数据抓取行为的规制为重要表现。竞争法以鼓励和保护公平竞争、维护市场经济秩序为目的,兼顾经营者、消费者和社会公共多方利益,故在强调数据商业利益的同时,也对数据上承载的大量与用户相关的信息安全利益起到了一定的保护作用。但是,竞争法在数据竞争与数据保护问题上仍存在不足,而当前数据治理法律机制亦呈现过度依赖竞争法的弊端。
2021年《数据安全法》和《个人信息保护法》的相继施行,为调整数据开放竞争与数据安全保护的关系提供了新的规则,对完善现在以竞争法为主的数据治理法律机制而言既是机遇,也带来了新的挑战。具体而言,一方面,新法尤其是《个人信息保护法》这一重点在于回应个人数据(信息)保护的专门法的颁布,有利于弥补目前主要依赖竞争法规制数据竞争与数据保护问题的不足,也有利于推动《反不正当竞争法》进一步完善;另一方面,《数据安全法》《个人信息保护法》倾向于数据“保护优先”,以《反不正当竞争法》《反垄断法》为主的市场监管法则倾向于将数据要素置于整个市场竞争秩序中予以调整,两类法律的立法目的与实现路径各有侧重,客观上很可能导致法律适用的竞合甚至冲突,使参与其中的各方主体,特别是作为数据收集、使用、控制主体的平台面临多法适用与多部门监管的挑战。
《个人信息保护法》《反不正当竞争法》《数据安全法》《反垄断法》等法律在平衡数据保护与数据竞争的关系时均发挥着相应的作用。但是,鉴于从理论和实践上看《数据安全法》和《反垄断法》在规制数据保护与竞争中的定位及作用如何表现尚不充分,同时囿于篇幅,本文仅聚焦于《个人信息保护法》下的“保护优先”与以《反不正当竞争法》适用为主要实践场景的数据竞争治理协同模式两个方面来讨论平台经济下数据治理的法治基调及未来走向。
平衡数据竞争与数据保护的法治困境
当前,如何规制平台经济领域的数据竞争与数据保护行为并保持两者间的平衡面临诸多挑战。实践中,规制重点主要在于对数据抓取或爬取行为引发的竞争纠纷的处理上。具体而言,以数据抓取方为代表的主体具有希望加快数据的获取、流动、使用等数据竞争诉求,反数据抓取方则主张数据保护,包括保护平台经营者数据利益、平台用户个人数据(信息)安全以及可能涉及的市场竞争秩序。这类纠纷主要体现为平台经营者之间围绕数据商业利益或者说数据财产性利益产生的竞争纠纷,解决纠纷的依据主要是现行反不正当竞争法律。
随着平台经济向纵深发展,上述现象发生了改变,纠纷主体更加多元,所涉利益更为复杂,给平衡数据竞争和保护带来更大挑战,也向相关法律的完善提出新的要求。譬如,数据、隐私与个人信息三者内涵及关系的界定有待厘清,这直接关系到平台经营者、平台内经营者、平台用户等多元主体基于数据行为而产生的各项财产性或人身利益的保护;又如,平台经营者持有、控制或生产加工的数据类型划分不明确,这直接影响数据的收集、流通、使用、加工、交易等行为的正当与否;再如,与数据利益相关的竞争与保护规则及司法适用不完善,直接影响数据竞争与数据保护在实践中的边界划定,不利于数据价值的释放和数据主体正当利益的实现。这些都是困扰我国平台经济健康发展的数据治理关键节点。
数据、隐私与个人信息三者内涵及关系有待厘清。数据是对客观事物的逻辑归纳,侧重财产属性和动态价值;隐私是不欲为人知的领域、事务或信息,强调私密性和安宁价值;个人信息是数据的可视化表达,侧重识别性与安全性。三者分别指向不同的权益内涵、责任及救济方式。对三者间的关系进行界分,是确定数据权益、权益属性以及救济路径的前提。
在立法设计上,我国法律对隐私与个人信息采取“二元制”的保护模式,即区分隐私与个人信息,分别进行保护。例如,《民法典》第1034条第1款规定:“自然人的个人信息受法律保护。”该条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”然而,我国法律目前并未对数据赋予明确的权利属性,仅在《民法典》第127条肯定其财产属性,即“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。
法律规范的尚待清晰最终影响到司法实践。在司法实践中,对数据、隐私和个人信息的界分同样不甚明确,主要表现为个人信息、用户数据、个人数据、数据信息、数据资源等术语使用随意。譬如,2017年杭州互联网法院(铁路运输法院)在对淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案作出的一审判决中,同时使用了“用户信息”“用户数据”“数据资源”等词;[2]又如,2019年,深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案中,法院同时提到“个人身份数据”“数据资源”等词[3]。此外,在2019年的“微信读书案”中,则出现了原告与法院对个人信息和私密信息的理解不一致的问题。[4]
学界对数据、隐私和个人信息三者的关系也存在不同认识。部分学者认为应严格区分隐私和个人信息。譬如,王利明教授认为,就整体而言个人信息这一概念的外延远远超出了隐私权的范畴,虽然个人信息权和隐私权在权利主体、权利客体、权利内容以及侵害后果等方面具有相似性,个人信息和隐私之间的关联性也会随着网络技术和高科技的进一步发展而加深,但正是在此背景下,界分个人信息权和隐私权反而显得更加必要。[5]张新宝教授也认为,个人隐私与个人信息存在交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开而不属于隐私。[6]也有部分学者并未对数据、个人信息与隐私加以严格区分。譬如,程啸教授认为信息是数据的内容,数据是信息的形式,在大数据时代,无法将数据与信息加以分离而抽象地讨论数据上的权利;[7]周汉华教授在探索建立激励相容的个人数据治理体系过程中,也并未严格区分数据与个人信息。[8]
数据、隐私与个人信息三者之间的关系犹如传说中的戈尔迪乌姆之结(Gordian Knot),几者交错难辨。[9]随着数字数据技术与信息技术的结合,数据、隐私与个人信息的内涵与外延也呈现动态变化,更加难以辨别。三个概念的混淆乃至混同使用,会影响数据主体利益的合理确认与保护,给数据收集、流动、使用等数据竞争行为与数据安全保护之间的动态平衡带来困难。
数据类型划分不明确。实践中对各类数据的类型化区分标准不明确,直接影响对与数据相关的各类行为的正当性判断,不利于数据价值的合法实现。譬如,对数据的开放、流通及交易利益与数据的持有、控制及保护利益在何种环节或何种场景下做何取舍,这些都依赖对数据行为的准确识别与认定。随着数字数据技术和信息通信技术的飞速进步,平台经济及平台组织已经成为日益重要的经济形态和生产力组织方式,数据作为推动平台经济发展的关键要素,围绕其产生的行为类型也日益多样,给准确有效地评价和平衡各类数据行为的法律属性及利益关系带来挑战。
首先,数据涉及的主体多样,相关主体对数据分类产生的影响也不同。随着数字经济深入生活中的方方面面,数据行为不仅涉及市场主体、用户个人,也涉及政府部门、社会团体。数据的生命力在于流动,同样的数据在不同主体中可能会产生不同的价值。以提供搜索服务为核心业务的平台为例,在保障自身利益和用户数据安全的情况下,将用户在该平台搜索不同内容形成的数据进行分类,分享给以视频、销售等不同业务为核心的其他平台企业,可以实现数据资源的有效配置,充分发挥数据资源的最大价值。又如,在社会公共事件的治理上,政府部门充分利用数据资源应对公共事件,有助于提升社会治理效率,促进社会公共利益。在新冠肺炎疫情的治理中,政府在保障个人隐私安全的同时,协同科技企业,充分利用个人数据,结合个人数据中的医疗、交通等信息,建立起一体化的联防联控疫情防控机制,为阻止疫情进一步蔓延提供了强大的技术保障,为赢得抗“疫”战“疫”的最终胜利提供了有力支撑。
其次,与数据相关的行为复杂,涵盖数据生命全周期,致使数据在不同行为下体现不同利益。数据在不同周期的特性不同,导致数据行为多样。数字经济涵盖数据的采集、传输、存储、使用、共享、清理等多个环节。下面以采集和存储两个环节为例说明数据行为的多样性。所谓数据采集,是指从产生数据的源头进行数据记录和预处理的过程;数据存储,是指将数据存于特定介质之中。有关主体在数据采集环节中实施数据行为时,应当注意避免未经采集对象同意非法获取数据;在数据存储环节中,要注意避免外部人员可能通过入侵存储系统威胁数据的安全或因自身的不当操作造成数据泄露。可见,在数据全周期的不同环节,相关主体实施数据行为应予注意之处不尽相同。
最后,数据敏感程度不同导致对数据行为的规制要求不同。对数据行为发生中承载的各类信息,可根据信息敏感程度,作不同分类。[10]敏感的数据信息一旦泄露,将给数据主体带来巨大利益损失,故在实施涉及敏感数据的行为时,应当注意对这类数据采取严格的保护措施。值得注意的是,数据主体对数据的敏感程度会随着场景的变化而不同。以基因序列为例。基因序列信息的理解和利用需要在医学、生物学等专业场景中实现,于常人来说并非易事。因此,基因序列信息敏感度在一般社会场景中远低于在专业场景(如科学研究)中,后一场景中基因序列数据信息的滥用风险大大提高,[11]由此引发的数据开放与数据保护的需求度亦不尽相同。
综上,虽然实践中数据类型多样,但是现行法律法规对数据行为的区分却不够明确,这直接影响数据分类标准的选择与确定。目前,对数据类型的区分较为简单。虽然《数据安全法》第21条第1款明确规定“对数据实行分类分级保护”,第3款进一步指出“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”,但实际上只强调对“重要数据”的保护,并没有规定详细的数据分级分类保护制度。[12]此外,将数据分为私人数据、企业数据、政府数据、国家数据,采纳的依然是传统的依据数据主体性质界分的标准,分类过于简单,数据权属通常表现为一次确权始终有效,权属状态呈现静态化排他性。[13]这种静态化的分类依然是传统的私法逻辑下的分类方法,忽略了数据流通的特性,无法有效回应数字经济特别是平台经济高度跨界动态竞争下数据所承载的多元利益之间的平衡需求。
数据竞争与保护的规则及法律适用有待完善。目前,与数据相关的纠纷多围绕数据权属、数据竞争与数据保护展开,其中又以个人数据(信息)保护和数据反不正当竞争纠纷为主。在个人数据(信息)保护方面,以侵犯个人(数据)隐私和信息泄露为典型。在反不正当竞争方面,数据相关纠纷以数据确权、数据获取、数据利用为争议焦点。
如前所述,平台经济下数据纠纷多表现为数据抓取行为引发的竞争纠纷。笔者以“反垄断纠纷”“反不正当竞争纠纷”为案由,借助“数据”“爬虫”“抓取”“爬取”等关键词,在中国裁判文书网、北大法宝以及中国市场监管行政处罚文书网等数据库进行检索,目前共梳理出20例数据抓取类案件,均涉及反不正当竞争纠纷。[14]其中,有1例案件仅适用了《反不正当竞争法》第12条(下文简称为“互联网专条”)第2款第4项;[15]有1例案件同时涉及“互联网专条”和《反不正当竞争法》第2条(下文简称为“一般条款”),但是因原告举证不能,被驳回诉讼请求;[16]另有16例案件仅适用了《反不正当竞争法》“一般条款”。以上案件中,有17例判定数据抓取行为违法,仅有2例判定该行为不构成不正当竞争,[17]剩余1例因原告举证不能,法院未支持其主张。
通过对上述案件的整理分析,可以发现,目前司法实践中依据竞争法处理涉及数据抓取行为的纠纷时存在以下主要问题,导致对数据竞争与保护之间正当界限的法律认定不清。
一是反不正当竞争法适用规则需进一步细化。由于现行《反不正当竞争法》对数据抓取行为并未设置具体的类型化条款予以规定,致使司法实践中多援引该法“一般条款”或“互联网专条”第2款第4项予以处理。“一般条款”的适用存在较大弹性甚至不确定性,易引发同案不同判的风险。譬如,北京市高级人民法院认定百度通过Robots协议限制360搜索引擎抓取网页内容构成不正当竞争违法,[18]而北京市海淀区人民法院一审判决字节跳动利用技术手段抓取新浪微博内容的行为构成不正当竞争,[19]两案都针对数据抓取行为,但对行为的定性截然相反。此外,尽管现行《反不正当竞争法》设置了“互联网专条”,并对互联网领域的新型不正当竞争行为作了类型化规定,但仍有不少法院在审理数据抓取案件时,优先适用“一般条款”。由此可见,对数据抓取行为的法律适用有待进一步明确。最高人民法院2021年8月18日发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》对此有所规定,但由于该司法解释还未正式发布,因此实践中相关问题尚未得到解决。
二是数据竞争行为的正当性判定标准需具体明确。实践中,法院对数据竞争行为正当与否的判定尚未形成统一标准,特别是在适用“互联网专条”的案件中,鲜有法院对“妨碍、破坏”等作出详细具体的文义解释,以及符合立法目的的扩张或限缩性解释。[20]部分法院在适用“互联网专条”时,存在简单字面化理解和宽泛化适用的问题。在适用“一般条款”处理数据竞争案件时,不同法院采用的诚信原则和商业道德标准也存在一定差异性和模糊性,容易出现同案不同判的现象。
三是司法中对“妨碍正常竞争秩序”“不正当竞争行为”的识别标准不一致,缺乏规范性的司法推理。譬如,在深圳市谷米科技有限公司诉武汉元光科技有限公司不正当竞争一案中,法院审理认为,“被告元光公司利用网络爬虫技术大量获取并且无偿使用原告谷米公司‘酷米客’软件的实时公交信息数据的行为,具有非法占用他人无形财产权益,破坏他人市场竞争优势,并为自己谋取竞争优势的主观故意,违反了诚实信用原则,扰乱了竞争秩序,构成不正当竞争行为”。[21]然而,在“奇虎科技诉百度不正当竞争案”中,法院审理认为,“百度在线公司、百度网讯公司在缺乏合理、正当理由的情况下,以对网络搜索引擎经营主体区别对待的方式,限制奇虎公司360搜索引擎抓取其相关网站网页内容,影响该通用搜索引擎的正常运行,损害了奇虎公司的合法权益和相关消费者的利益,妨碍了正常的互联网竞争秩序,违反公平竞争原则,且违反诚实信用原则和公认的商业道德而具有不正当性”。[22]可见,相关案件虽然都涉及数据竞争与数据保护的判断,法院也将判断的焦点集中在对“正常竞争秩序”“竞争行为正当性”等关键问题的说理上,然而,却呈现“公说公有理,婆说婆有理”的怪象,致使平台经济下各参与主体难以准确预判其数据行为可能引发的法律风险,在一定程度上抑制了数据价值的开发和增长。
综上,当前对平台经济下数据治理的主要挑战,在于如何平衡数据竞争与保护的关系,特别是数据作为重要的生产要素的作用日益凸显,数据安全问题直接关系到平台经济能否健康发展。没有及时、充分、有效的数据保护,就很难保障数据的高效流通与开放使用,数据的竞争价值就难以得到释放。问题在于是“保护优先”,还是以“竞争为中心”,抑或做到“竞争与保护”的尺度符合黄金比例,实现两者的动态平衡,以及现有的法律及其适用能否提供充分有效的法治支撑。毫无疑问,通过对前述三个主要问题的解析,可知依赖单一法律及实践路径已经很难满足数据多元主体及复杂行为引发的多元利益平衡的诉求,必须对现行以竞争法为主的单一治理模式予以扩维。引入《个人信息保护法》的相关原则、规则及方法,搭建平台经济下数据治理的多主体、多规则、多工具法治框架,无疑是建立健全以数据“竞争与保护”动态平衡为目标的数据治理法治体系的一个重要维度。
“保护优先”下数据治理的规则设定及发展:以《个人信息保护法》为中心
在数据和算法的双轮驱动下,平台经济的竞争要素从价格转向诸多非价格要素,[23]数据成为平台经营者实现创新效率的重要要素。数据中承载着大量的用户信息,特别是海量的消费信息成为各大平台经营者争夺的关键要素。平台经由大数据技术、人工智能算法的归集与计算,利用碎片化的用户信息数据绘制出针对用户的消费画像,实现对用户的个性化定价推荐、内容推荐等,逐渐演化为大数据杀熟、个人信息茧房等滥用用户数据威胁用户利益的情形。实践中,有的平台向消费者用户(端)免费(零定价)提供商品或服务,以最大限度获取消费者数据(信息)。在数据的收集、使用、流动、分享中,个人数据(信息)被滥用、泄露、交易的风险也成倍增加,严重威胁着个人人身和财产利益,以及社会公共利益、国家安全利益。
鉴于此,对平台经济下数据的治理首要体现为对海量数据中蕴含的大量个人信息的保护和合理使用,以更好地规范个人(数据)信息的开放与竞争,充分激活数据要素的商业价值,消解数据开放竞争中的数据安全风险。因此,可利用2021年刚施行的《个人信息保护法》,根据其中与个人信息保护与合理使用相关的主要规则,有针对性地回应平台经济下与个人数据(信息)保护与竞争相关的问题,以此搭建“保护优先”下平衡数据治理中“竞争与保护”关系的基本架构,即“保护优先”并非排除合理使用下的有序竞争,而是鼓励高质量竞争,只有高质量竞争才能解决当前保护水平有限的问题。换言之,虽然《个人信息保护法》在立法目的、原则规则、实施方法、法律责任等条款设计上体现了对个人信息保护的主旨,但是,也为规范个人信息保护行为设定了边界,即强调保护,但保护优先并非无限度、无规则,而是要在法定框架下做好规范保护与合理开发的平衡。具体而言,《个人信息保护法》可能在以下方面促进数据竞争与保护之间的平衡。
厘清数据、隐私、个人信息之间的关系。《个人信息保护法》清晰界定了个人信息的内涵与外延。第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的判断可从识别标准与关联标准两方面入手。识别标准是指从信息到个人,即由信息本身的特殊性即可识别出特定自然人;关联标准是指从个人到信息,即已知特定自然人,由该特定自然人识别其在活动中产生的信息。符合关联标准与识别标准的个人信息均受到保护。
与个人信息具有相对确定性的特征不同,隐私的确定性较弱,涵摄的范围可能更广。第一,隐私具有私密性。隐私又称私人生活秘密或私生活秘密,是指私人生活安宁不受他人非法干扰,私人保密信息不受他人非法搜集、刺探和公开。第二,隐私权是一种消极的、防御性的权利。在该权利遭受侵害之前,个人无法积极主动地行使权利,只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。《民法典》有关隐私权的规定也多为禁止性条款,譬如“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”“除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列(笔者按:侵害隐私权)行为……”等。相较于隐私权,个人信息权益更为积极主动,在符合法律规定的条件下,有关主体可以积极主张其信息权益。第三,相较于隐私较强的私人属性,个人信息兼具私人属性与公共属性。譬如,在疫情防控场景下,政府部门利用个人信息,特别是涉及个人交通出行、医疗卫生方面的信息,建立全国统一的疫情联防联控机制,及时有效地控制疫情,这一做法具有合理性与正当性。《个人信息保护法》第13条对涉及公共利益的个人信息处理作出特殊规定,即为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,在处理个人信息时不需取得个人同意。
此外,参照《数据安全法》《网络安全法》中有关数据、网络数据和个人信息的规定,《个人信息保护法》进一步区分了个人信息与数据。譬如,《网络安全法》第76条规定,“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”;“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。再如,《数据安全法》第3条规定“本法所称数据,是指任何以电子或者其他方式对信息的记录。”在上述规范的基础上,《个人信息保护法》第4条对个人信息作出界定。可见,在我国现行有关数据和信息的法律规定下,数据是信息的表现形式和载体,两者之间有着密切关联,其重要区别在于一旦涉及个人的数据具备了识别性和关联性,那么就可以将其认定为个人信息。这就为更好地平衡个人信息保护与信息开放利用之间的关系提供了法律依据,有助于数据价值的释放。
细化数据分级分类,规范数据有序流动。在《个人信息保护法》施行前,《数据安全法》对数据分级分类作出了规定,要求根据数据的重要程度以及一旦泄露造成的危害程度,制定国家数据分级分类保护制度。然而,《数据安全法》没有进一步作细化规定,有关数据分级分类的标准和具体规范仍不够明确。实践中,对于数据分级分类,常见的思路或依据数据主体的属性进行区分,包括私人数据、企业数据、政务数据、社会公共数据、国家安全或自然数据等,或依据数据行为所处的不同环节进行区分。这些分类标准和方式均体现了对当前平台经济高速发展下海量数据差异性的重视,有利于针对不同主体、不同领域以及不同重要程度制定相应的保护和开放规则,实现数据保护与数据竞争的统筹。然而,以上分级分类思路依然呈现静态化保护的特点,对数据在流通过程中面临的系统风险缺乏关注,忽视了不同场景下的数据治理需要不同的模式,难以满足统筹数据安全与数据发展的需要,很有可能增加数据流通和使用的成本,造成制度性的数据壁垒、信息孤岛、数据断供等现实危害和潜在风险。
《个人信息保护法》的施行,为数据分级分类提供了相对具体的标准,在一定程度上实现了数据(信息)分级分类的可操作性,区分了一般个人信息、敏感个人信息、国家机关处理的个人信息、跨境个人信息等多种信息类型,细致规定了针对不同类型个人信息(数据)的处理原则和方式。同时,《个人信息保护法》针对个人信息(数据)的收集、处理、使用等不同场景确定了相应规则,特别是着重对信息(数据)的处理行为及运行场景予以明确,为形成多维度、多场景的个人信息(数据)分类处理规则提供了制度基础。
譬如,当平台自身采集用户的原始数据时,应当依据《个人信息保护法》第6条的“最小必要原则”,即收集个人信息应限于实现处理目的的最小范围,不得过度收集个人信息。又如,在平台竞争场景下,依据《个人信息保护法》第45条关于个人信息(数据)可携带的规定,除赋予个人对其信息的复制权、控制权外,还可增强平台间数据的互操作性,使个人用户可以自由公平地选择平台,避免优势平台实施数据封锁、拒绝交易等排除、限制竞争或不公平竞争的行为,这些规则都为平台经济下数据竞争与保护提供了平衡之道。
明确数据保护与开放规则。由于《反不正当竞争法》并非平台经济领域数据治理的专门法,因此,利用该法解决平台竞争中引发的各类数据纠纷,面临很大的行业性与技术性难题,以及基于竞争法立法目的设定而产生的制度性局限,即对不同类型和级别的数据分别需要采取何种程度的保护才不会妨碍数据的开放使用尚不清晰。《个人信息保护法》的施行,在一定程度上有助于达成数据保护与数据开放使用之间的动态平衡。
《个人信息保护法》对数据保护与开放使用的平衡促进作用主要体现在以下几点。第一,《个人信息保护法》第13条明确了“广泛同意+个人单独同意”的“告知—同意”原则,原则上平台在处理个人信息时,需取得个人的同意。在法律规定的特殊情形下,可以不取得个人同意,譬如,在有合同约定、履行法定职责或义务以及紧急情况下等。第13条确立的“告知—同意”原则强化了个人信息提供者对自身信息的控制权,增加了个人信息收集者(譬如平台)的数据(信息)行为的合规成本,在很大程度上有助于防止信息收集者和控制者过度收集和滥用个人信息。
第二,在个人信息主体的权利与个人信息处理者的义务方面,《个人信息保护法》明确赋予个人信息主体知情权、决定权、查阅权、复制权、可携带权、删除权等,其中对个人数据信息可携带权的规定对平衡平台对数据保护与数据开放使用的关系具有十分重要的价值。根据《个人信息保护法》第45条,可携带权是指个人信息主体在符合国家网信部门规定条件的前提下,有权将个人信息转移至其指定的个人信息处理者。这里的个人信息处理者除互联网平台外,还可以指其他自主决定处理目的、处理方式的组织、个人,譬如用户数量巨大、业务类型复杂的组织、个人。该规定有助于增强个人信息主体对其个人数据信息的控制权,打破平台在形成市场优势地位后对信息收集的垄断地位——这种垄断地位不仅针对个人信息主体,也可以针对其他中小型平台或其他数据需求企业,以达到限制、排除竞争或其他不公平竞争的目的。因此,赋予用户数据信息的可携带权,客观上有利于激发数据要素的市场竞争活力。
第三,《个人信息保护法》对当下“买卖个人信息”“不同意提供个人信息就拒绝服务”“大数据杀熟”“强制推送个性化广告”“公共场所人脸识别”等社会各界普遍关心的问题,作出了明确规定,扩展了个人信息的保护范围,将个人信息的保护与数据要素竞争的现实需求紧密结合,为《个人信息保护法》与其他法律的衔接留出了制度接口。
预留个人信息合理使用空间。《个人信息保护法》在个人信息定义、数据分级分类制度、规范数据保护等方面加强了对个人信息的保护,这就不可避免地会在一定程度上影响数据的开放使用与流动交易等数据动态竞争。然而,由于该法并未直接规定与个人信息相关的财产权益,这就为个人信息未来合法地使用预留了一定空间,有助于平衡数据开放使用与数据安全保护过程中的各方利益,减轻数据保护对数字经济特别是平台经济发展带来的负效应。譬如,该法第4条第1款规定个人信息“不包括匿名化处理后的信息”,明确将匿名化的信息排除在“个人信息”范畴外,有助于经匿名化处理后的个人数据(信息)的流通与使用,也有利于防止个人信息处理者特别是大型互联网平台滥用个人信息保护规则,形成对消费者用户数据(信息)商业化、市场化竞争行为的无正当理由的限制。
值得注意的是,在超大型互联网平台[24]垄断趋态不断凸显的数字经济市场竞争格局下,若不对个人信息保护设定合理边界,数字技术的进一步发展以及个人信息内涵的进一步扩容,势必会对数据开放流动产生阻碍,甚至“以数据保护之名,行数据封锁之实”。在当前平台经济领域的激烈竞争中,超大型互联网平台或凭借以流量、数据等资源与技术形成的“技术型垄断权力”与中小经营者签订不公平协议,剥夺中小经营者创新发展的机会,或利用人工智能算法技术侵夺消费者用户的数据利益及其他经营者获取数据资源的能力,扰乱数据市场自由公平竞争的秩序,其危害不断显现。因此,平衡数据(信息)保护与竞争理应成为《个人信息保护法》施行中无法回避的重点与难点,强调“保护优先”并不意味着“绝对保护”,而是要找准数据(信息)保护与竞争的黄金比例,寻求两者之间的平衡。
“竞争与保护”平衡下数据治理的基本理路:多主体、多制度、多工具协同
随着《个人信息保护法》的施行,平衡数据竞争与保护的关系有了更多的法律依据与实施工具,同时,需要考量的因素也随之增多。数据作为平台经济市场竞争中的关键底层要素,具有多重法律属性,譬如民事法属性、行政法属性、竞争法属性乃至刑事法属性等,[25]在不同场景和行为过程中其属性及相关形态也在发生变化,这使得对相关数据行为的治理变得越来越复杂,特别是对数据行为正当性与违法性的辨别需要更加灵巧和精细的标准和技术。不过,随着平台经济成为一种覆盖经济社会发展各方面的新业态、新产业、新模式,其对数据的应用场景不断扩围,各类数据行为日益丰富,使得实践中数据行为的正当性边界在受到质疑的同时也在不断被厘清,其关键性和基础性的分析框架也逐渐被固定下来,即统筹数据发展竞争与安全保护之间的多元利益,平衡数据竞争行为与数据保护措施之间的张力。因此,为更好地推进平台经济健康发展,需从规范性、整体性及实质性的维度,审视平台经济下的数据行为,以问题为导向,关注数据竞争引发的各类纠纷,并以竞争法特别是《反不正当竞争法》为引领,协同数据专门法来共同构筑多主体、多制度、多工具的数据治理模式,以实现平台经济下数据有序竞争与有效保护的平衡。
完善《反不正当竞争法》对数据竞争行为的规制。1.规范《反不正当竞争法》“互联网专条”与“一般条款”的适用。虽然2017年修订后的《反不正当竞争法》增加了“互联网专条”,在一定程度上有助于解决不当适用甚或滥用“一般条款”的问题,[26]但是,不能因此将其作为解决所有涉及平台数据竞争案件的“专用条款”。目前,“互联网专条”采用“概括+列举+兜底”的立法结构,尚存在概括条文模糊不清、列举行为类型有限、兜底条款过于简略等弊端。特别是对在“互联网专条”中未明确规定的数据抓取行为的适用,易出现过度适用该条中兜底条款的风险,进而使兜底条款成为处理涉及互联网平台技术不正当竞争案件的第二个“一般条款”。因此,在实践中应准确处理《反不正当竞争法》“一般条款”与“互联网专条”尤其是其“兜底条款”的适用。
因此,建议从互联网经济特别是平台经济市场竞争的主要特征出发,凝练“互联网专条”第1款、第2款前3项所规定的互联网基本特征,譬如,网络、数字技术特征、商业模式创新、用户导向等,进一步明确“妨碍、破坏”其他经营者合法提供的产品或服务的正常运行的成立条件,以规范该条中兜底条款的明确性和操作性。具体到处理平台涉数据竞争纠纷时,应优先考虑是否可适用“互联网专条”第2款所列举的具体行为类型。若不符合,则再考虑适用兜底条款。若平台数据行为没有实际干扰用户选择,其挖掘数据的频率不足以让对方系统繁忙而导致服务延迟,其给竞争对手带来的流量损失,也未达到需要外部救济的程度,则该数据行为难以落入“互联网专条”的适用范围,此时法院可以考虑转向适用“一般条款”,即考察该数据行为是否存在违反平台经济领域诚信原则和(或)商业道德的可能,以此做好“互联网专条”及其兜底条款与“一般条款”的衔接适用。
2.引入创新在平台数据竞争行为正当性认定上的作用。在熊彼特理论中,颠覆式创新能够打破市场垄断,商业生产力的创新与促进经济成长紧密相关,很多情况下创新是经营绩效的主要驱动力。[27]创新研发可能会为消费者带来新的商品和服务,更好地满足消费者日益多样化的需求。因此,创新能够激发市场活力,提升消费者福利。同时,创新也需要健康的市场竞争秩序来维持。在平台经济高度动态竞争的市场环境下,一些企业会凭借自身的市场支配地位,通过收购或者掠夺式模仿等方式扼杀创新,以创新为标注的动态竞争效率已成为平台经济下经营者市场力量和竞争行为效果的重要评价指标,是在传统的市场产出或生产效率难以客观准确地反映平台经营者实际市场力量时的重要标准。
基于此,2021年2月7日发布的《国务院反垄断委员会关于平台经济领域的反垄断指南》中,为了凸显平台经济领域创新的激励作用,在第3条强调“激发创新创造活力。营造竞争有序开放包容发展环境,降低市场进入壁垒,引导和激励平台经营者将更多资源用于技术革新、质量改进、服务提升和模式创新”。同时,该指南进一步指出“防止和制止排除、限制竞争行为抑制平台经济创新发展和经济活力,有效激发全社会创新创造动力,构筑经济社会发展新优势和新动能”等。这些规定都强调创新可作为一种通过竞争性市场实现的目标,具有特定的竞争政策价值。由此,本文建议引入创新标准作为应对前述提及的在平台数据竞争案件中,因法院对“妨碍正常竞争秩序”“不正当竞争行为”识别标准的认定不一致而缺乏规范性的司法推理的弊端,从多元维度来评价平台数据竞争行为的价值,即激励创新可以成为正向的数据开放使用的正当理由,抑制创新则很可能落入不当使用数据或滥用数据保护的负面评价之中。
支持平台经济下多元主体参与数据治理。平台经济的高速增长引发的各类问题,已引起社会各界的普遍关注。如何规范发展平台经济,已成为当前平台经济治理的关键任务,其中平衡数据竞争与数据保护的关系成为重中之重。鉴于平台经济下数据治理所涉及的主体多、利益多、监管多的现实,有必要建立多元主体参与的共商共建的治理模式,以切实有效推动数据竞争与数据保护的平衡共进。
对平台而言,平台应严格按照《个人信息保护法》的规定履行法定义务,保障数据安全,规范数据采集、使用、处理等行为。《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者课以义务,督促其加强对平台内经营者处理个人信息行为的管理。首先,平台需按照国家规定建立健全个人信息保护合规制度体系,同时成立由外部成员组成的独立机构对个人信息保护情况进行监督;其次,平台要制定明确的平台内部经营规则,贯彻落实保护个人信息安全、规范处理个人信息的有关义务;再次,平台要严格执法,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,应及时停止其经营;最后,平台应提高其治理的透明度,秉持公开透明的原则,定期发布个人信息保护社会责任报告,接受社会监督。以上这些要求既是平台对数据治理的义务,也是平台对用户信息安全承担的责任。总体而言,平台在数据治理中的作用和职责正在不断强化,譬如数据合理开放的义务,协助中小科技企业创新的责任等,但也要注意对平台实施科学的分类分级,在落实平台主体责任的同时,关注和保护平台在数据持有、控制、加工、交易等过程中的正当利益。
对监管部门而言,应健全和完善科学化、专业化、常态化的平台经济领域的数据监管体系,实现事前事中事后全链条监管,事前加强监测预警和风险防控,事中加强管控,防止数据风险扩大化,事后强化追责机制。同时,要加强人才队伍建设,提升监督执法水平和监管效能,妥善应对平台经济发展引发的数据竞争行为对监督执法带来的新挑战。为此,建议从平台经济领域数据治理涉及的众多领域出发,建设一批涵盖法学、经济学、计算机科学、网络安全等专业领域的专家咨询队伍和专业执法队伍,增强监管的科学性、专业性及实效性。
对用户及其他组织而言,相关机构不仅要压实平台责任,譬如,除非符合法律规定的特殊情形,平台等个人信息处理者在处理个人信息时,均应取得个人明确同意,以从源头处阻断不当数据收集和隐私泄露,还应提升用户自身的数字素养和技能,强化用户对自身数据权益的认知与正当行使,在提倡数据保护的同时,鼓励数据经由正当程序和交易规则予以开放和流动,切实提高数据效能。这一点在日前中央网络安全和信息化委员会印发的《提升全民数字素养与技能行动纲要》中已有相关安排部署。此外,《个人信息保护法》第70条规定“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。可见,人民检察院、消费者组织及依法确定的其他组织也应成为数据权益保护的积极维护者,来充实数据保护的力量,制衡平台在数据收集、使用及管理中相对于用户所具有的强势地位。
做好竞争法与其他法律部门的协同。如前所述,《数据安全法》《个人信息保护法》等法律的施行,为平台经济领域数据治理提供了新路径和新方法。因此,在适用竞争法治理平台数据行为时,须注意竞争法与《数据安全法》《个人信息保护法》的有效衔接,做好系统治理与协同治理,形成治理合力。以平台经济下频发的数据抓取行为为例。一方面,数据抓取行为可能触犯包括《反不正当竞争法》《反垄断法》《数据安全法》《个人信息保护法》在内的多部法律,引发法律适用竞合;另一方面,尽管这几部法律对数据抓取行为均有一定规制作用,但是其侧重点不同。若不同法律间缺乏系统协同,相关平台主体就难以准确有效地选择法律做好自身合规,会给平台内经营者或平台上的用户在选择法律救济途径时带来困惑。这对平台而言,其数据行为的合规成本无疑会增加,违规风险亦会加大;对广大用户而言,也很难准确有效使用法律来保障自身合法利益;对监管部门而言,则面临着监管上的积极冲突与消极冲突,易出现规制过度与规制不足的现象。因此,实现竞争法与其他法律部门间的有效协同就变得很重要,也很迫切。
结语
针对平台经济下围绕数据竞争与保护不断涌现的新问题与新挑战,需要更为科学、更加有效的法治体系和法治工具予以系统治理。“在规范中发展,在发展中规范”,应当成为平台经济下数据治理的基本逻辑和思路,其核心在于平衡平台数据竞争与数据保护之间的关系,通过高质量竞争实现高水平保护。具体而言,一方面要防止平台垄断和资本无序扩张,打破数据垄断,推动数据有序开放和有效竞争,另一方面也要肯定和支持平台创新发展的积极成效和创新动能,保障数据权益,扎实数据安全的底线,维护平台经济下各参与主体正当的数据利益,在保障数据安全的基础上促进数据竞争,让真正对市场有序竞争有利、助力科技创新、保障和增进消费者利益的数据竞争行为得以在市场化和法治化的环境中开展。为此,应加快推进多主体、多制度、多工具协同的平台经济数据治理架构的建设与完善,促进数据竞争与数据保护之间的平衡。
(本文系国家社科基金后期资助项目“数字经济与竞争法治研究”、教育部人文社会科学重点研究基地重大项目“全球数据竞争中人权基准的考量与促进研究”的阶段性成果,项目编号分别为:19FFXB028、19JJD820009)
注释
[1]中国信息通信研究院政策与经济研究所:《平台经济与竞争政策观察(2021年)》,“前言”,中国信息通信研究院,,2021年5月更新。
[2]参见杭州铁路运输法院(2017)浙8601民初4034号民事判决书。
[3]参见杭州铁路运输法院(2019)浙8601民初1987号民事判决书。
[4]参见北京互联网法院(2019)京0491民初16142号民事判决书。
[5]王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》,2013年第4期。
[6]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》,2015年第3期。
[7]程啸:《论大数据时代的个人数据权利》,《中国社会科学》,2018年第3期。
[8]周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》,2018年第2期。
[9]姚佳:《企业数据的利用准则》,《清华法学》,2019年第3期。
[10]李谦:《美国场景化司法规制数据爬取的经验与启示》,《电子政务》,2020年第11期。
[11]宁园:《敏感个人信息的法律基准与范畴界定——以〈个人信息保护法〉第28条第1款为中心》,《比较法研究》,2021年第5期。
[12]陈兵:《保障数据安全促进数据开发利用》,《深圳特区报》,2020年10月20日,B04版。
[13]陈兵:《激发数据要素的生命力与创造力》,《人民论坛》,2021年第Z1期。
[14]本次共筛选出32份判决书,其中有12例案件涉及两审,即24份判决书,剩余8份判决书涉及8例案件,即共有20例涉及数据爬取纠纷的案件,未检索到与数据爬取相关的竞争法行政执法案件。
[15]参见北京市海淀区人民法院(2018)京0108民初22587号民事判决书和北京知识产权法院(2020)京73民终49号民事判决书(这两份判决分别是同一案件的初审和二审判决)。
[16]参见北京市朝阳区人民法院(2017)京0105民初69425号民事判决书。
[17]参见北京市第一中级人民法院(2013)一中民初字第13657号民事判决书和北京市高级人民法院(2017)京民终487号民事判决书(这两份判决分别是同一案件的初审和二审判决)、上海市杨浦区人民法院(2017)沪0110民初25167号民事判决书和上海知识产权法院(2019)沪73民终263号民事判决书(这两份判决分别是同一案件的初审和二审判决)。
[18]参见北京市高级人民法院(2017)京民终487号民事判决书。
[19]参见北京市海淀区人民法院(2017)京0108民初24530号民事判决书。
[20]谢晓尧:《法律文本组织技术的方法危机——反思“互联网专条”》,《交大法学》,2021年第3期。
[21]参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。
[22]参见北京市第一中级人民法院(2013)一中民初字第13657号民事判决书和北京市高级人民法院(2017)京民终487号民事判决书(这两份判决书是同一案件的初审和终审裁判书)。
[23]陈兵、林思宇:《“数据+算法”双轮驱动下互联网平台生态型垄断的规制》,《知识产权》,2021年第8期。
[24]2021年10月29日,国家市场监督管理总局发布了《互联网平台分类分级指南(征求意见稿)》,其中单独对“超大型平台”做了界定。所谓“超大型平台”,是指在中国的上年度活跃用户不低于五千万(超级平台为五亿)、具有表现突出的主营业务、上年度市值(或估值)不低于一千亿元人民币(超级平台为一万亿元人民币)、具有较强的限制平台内经营者接触消费者(用户)能力的平台。这是在国家市场监管部门的官方文件中首次拟对“超大型平台”作出明确界定。
[25]陈兵:《大数据的竞争法属性及规制意义》,《法学》,2018年第8期。
[26]陈兵、徐文:《优化〈反不正当竞争法〉一般条款与互联网专条的司法适用》,《天津法学》,2019年第3期。
[27][比]保罗·尼豪尔、[比]彼得·范·克莱恩布吕格尔:《创新在竞争法分析中的角色》,韩伟等译,北京:法律出版社,2020年,第33页。
The Legal Tone and Future Development of Data Governance of the Platform Economy
—Focusing on the Balance of "Competition and Protection"
Chen Bing
Abstract: In the platform economy, the value of data has been increasing, and balancing the relationship between data competition and protection has become a top priority. Data competition is the way to realize the value of data, and data protection is the inevitable premise of realizing the value of data. At present, the balance between data competition and data protection still faces many difficulties and challenges. The main crux is that the definition of the relationship between privacy, data and personal information is unclear, nor is the division of data types, and the rules of data competition and protection and judicial application are imperfect. Competition law aims to encourage and protect fair competition in the market, taking into account the diverse interests of the businesses, consumers and society. Its significant social law attribute meets the need to seek a balance between data competition and data protection. However, in practice, the response and disposal of data governance under the platform economy has gone beyond the scope of competition law, especially the anti-unfair competition law. Therefore, while improving the anti-unfair competition law, it is necessary to coordinate the competition law and the special data laws on the basis of the personal information protection law, data security law and other laws, and promote the collaborative governance involving multiple participants, multiple systems and multiple tools.
Keywords: data competition, data protection, protection-prioritized, collaborative governance, balance
