中外法学-新刊-详情

阅读PDF

个人信息保护的反垄断法视角

张占江，上海财经大学法学院{教授}

引言

平台经济中，收集和分析个人数据以预测消费者行为的能力，是企业在竞争中获胜的关键。企业通过向消费者提供免费的产品、服务获取的个人数据越多，就越能帮助广告商有针对性地锁定受众，从而获得更多的收益。消费者的个人信息由此成为了无数企业窥视、争夺的对象，面临前所未有的被侵害的风险，以至学者将这样的商业模式定义为“监控资本主义”（surveillancecapitalism）。[1]

消费者在与平台互动中留下的大量个人数据成为其获取服务的对价。如果市场运转良好，个人知悉其信息何时被收集、如何被使用，可以基于分享的个人信息的不同，选择不同的服务对象，获得不同级别的隐私保护服务（或得到不同数额的金钱补偿）。在不符合预期的情况下，可以拒绝分享个人数据，或者选择通过支付费用获取服务。但事实却是，消费者对于个人信息被收集、使用情况并不完全清楚；即便消费者知悉个人信息受到侵害，在面对占据垄断地位的平台企业时，也别无选择。

市场的力量未能实现人们期望的隐私保护，原因在于纵向（个人与信息处理者之间）、横向（信息处理者彼此之间）双重结构失衡的存在。[2]在这种失衡的市场结构下，既有制度构造对隐私的保护面临极大的困境。私法上以个人控制为中心的知情同意规则失去了作用基础；[3]公法上隐私监管所建构的倾斜保护、集体保护，[4]能够发挥的作用也极其有限。在此情形下，加强保护市场机制的反垄断法的适用被反复提及。

实践中，大型网络平台正逐渐成为反垄断部门的“常客”。美国国会众议院司法委员会专门举行听证会，讨论GAFA（Google、Apple、Facebook、Amazon）反竞争行为对隐私侵害的问题。[5]48名州总检察长在对脸书提起的诉讼中称，脸书消费者隐私的减少是一种垄断租金。[6]德国联邦卡特尔局以滥用市场支配地位对脸书强加不公平数据条款作出了处罚。[7]法国也正在对苹果公司的数据滥用行为进行调查。[8]一场将反垄断法适用于隐私保护的执法热潮正在全世界范围内掀起。

遗憾的是，竞争机构在这些执法行动中最终取得胜利，或者完全依据反垄断法裁判的隐私案件并不多见。中国似乎连相关的执法行动都还没有启动。这说明适用反垄断法处理此类问题面临诸多难题。对一直以价格分析为中心的反垄断法，为什么要在个人信息保护中发挥作用、能否发挥作用、能够发挥什么样的作用，对于这些深层次理论问题，学界还没形成一个令人信服的相对统一的认识。[9]

与现有研究多侧重部门法意义的讨论不同，本文以市场结构失衡作为法律共同的作用基础，揭示反垄断法的“市场保护”在填补私法“个人保护”与公法“国家保护”缺口上的正当性。本文认为，摆脱“唯价格论”的束缚，在以结构关切为核心的竞争保护观基础上建构的反垄断法，完全能够适应隐私保护的需求。更重要的是，反垄断法融入个人信息保护法律体系的意义，超越了法律缺口的填补。它的融入激活了自我控制规则和丰富了国家保护层次。这种融入也绝非简单的制度拼接，而是需要对不同保护机制之间潜在的冲突进行调和，最终形成多种保护机制的携手并进。

一、个人信息侵害的市场结构溯因

市场能够提高隐私保护程度的观点隐含了一个前提假设，即用户能够很好地区分不同的隐私保护策略，并根据隐私保护程度选择对自己最为有利的产品（通常就是隐私保护最好的产品）。但很多情况下，市场未能对个人信息保护关切做出有效回应。这是因为个人和数据控制者以及数据控制者与数据控制者之间的结构失衡。

（一）纵向市场结构失衡

纵向结构失衡是指个人和信息处理者之间的信息、决策能力的不对称。个人作为消费者和平台企业作为信息处理者之间，在信息和交易特质上存在着明显的不对称。个人无法基于足够的信息作出有利于自身的市场决策。

1.个人决策中的信息不对称

个人（消费者）作为数据主体和数据控制（处理）者之间，在数据交易中存在明显的信息差异，真正自愿的交易很难发生。由于数据处理及其影响的隐蔽性、复杂性，消费者很难决定是否分享其个人信息以及分享给哪一个企业。多数情形下，消费者在第一时间并不知道哪些个人数据正在被收集、被谁收集、如何被使用以及是否被出售给第三方。用户获得了零价服务的直接好处，但根本不清楚泄露信息的短期或长期成本。

—方面，几乎所有的消费者都没有多大意愿去阅读那些晦涩、冗长的隐私协议。一项测算显示，对于一个普通用户而言，如果真的去仔细阅读每一个所登陆网站给出的隐私协议条款，平均每年要花费244个小时，足足占据了其上网总时长的一半以上。[10]退一步说，即便他们能够耐下性子阅读这些隐私协议，作为非专业人士，也不可能完全理解这些条款的内容。大量研究证实，这种“不读（懂）而签”为实施隐藏在合同自由面具下的权力滥用提供了广阔的空间。[11]

另一方面，某些应用根本不公布隐私政策，或者，即使发布隐私政策也很少清晰地解释自己将如何收集、存储、使用和共享个人信息。这些隐私政策对数据使用的表述往往都隐藏在小字体的法律术语之中，或者“因为使用模糊不清和富有弹性的词语（例如‘提升客户体验’）而需要进行解码”。[12]通过隐私政策模糊化，数据服务提供商让消费者很难评估自己数据的真实价值。也有学者指出，数据处理者对来源多样的海量数据的用途，无法事先作出说明。因为，企业总是不断开发和寻求从多种类数据中获取价值，无法完全预见到自己未来使用数据的所有方式。如果任何使用目的及其变化都需要告知同意，实质上等于扼杀大数据红利。[13]

2.个人决策中的认知偏差

消费者通常会在调查中表明对隐私的关切，但他们的行为方式与这一明确声明的偏好相背离，并不会由此拒绝与隐私保护方面劣迹斑斑的供应商进行交易。他们很少为隐私偏好采取实际行动，产生所谓“隐私悖论”。[14]行为经济学理论认为，这种言行不一并非表明隐私不受关注，而是消费者决策很容易受到直觉（heuristics）、认知偏差和情境因素的影响。[15]这就导致了用户的隐私决定与理性差之甚远。

人的乐观偏见（overconfident bias）是一种天性。在面对不确定性时，总是倾向于认为好事情更可能发生在自己身上，而坏事情发生在自己身上的概率会很低。这种乐观的天性也会高估现在的收益，而低估信息披露的成本。企业还可能向消费者提供控制权的幻觉，以此操纵其行为。[16]它们一般都会告知消费者可以随时删除服务器上所有追踪cookies或者任何个人信息，以此打消消费者分享信息时的疑虑。但其实企业早已料定，绝大多数消费者很难做到定期删除。

消费者的认知偏差被精明的经营者利用，设计一种对经营者有利的（零价格和默认加入）合同，而这种合同在目前的法律框架下并不受到挑战。这是一种在签约前消费者被依法告知，在签约中不存在强迫的交易，但这种交易的结果却往往不利于消费者。这种不利是系统性的，也是隐性的。这种因认知偏差而导致不利于消费者的系统性后果被称为“行为的市场失灵”（behavioral market failure）。[17]

（二）横向市场结构失衡

横向结构失衡是指数据处理者之间的结构不对称。数据驱动市场的网络效应使得市场发生倾侧，形成垄断性市场结构和市场进入壁垒。一些数据处理者在市场中居于主导地位，具有明显的市场力量，导致消费者被锁定。市场无法正常运作。

1.数据市场的倾侧

网络效应的存在，导致数据驱动型市场可能会向一两个平台或产品倾侧（tip）。“消费者加入某一网络时，他所获得的效用依赖于同一网络中使用该产品或服务的人数。”只有当规模达到某个临界点时，网络服务才得以存在。[18]一旦在竞争中占先或者拥有了支配地位，规模较小的竞争对手就更难扩大规模，市场最终将趋于极端垄断。

其一，源于直接网络效应的市场倾侧。一个企业用户越多，对于想要跟这些用户联系的新成员就越有吸引力，反过来可能进一步强化其优势地位。特别是，大数据领域“试错”“做中学”使这种直接网络效应变得特别明显。越多人使用某搜索引擎，它便可进行越多次试错实验，该搜索引擎的算法更加可能从中获知用户偏好，搜索结果可能更具相关性，进而可能吸引其他用户使用该搜索引擎。这种正反馈的持续，极易形成一种强者更强、弱者更弱的极端结果。

其二，源于数据范围网络效应的市场倾侧。在规模网络效应之外，还有一种数据范围网络效应。企业利用自己跨平台（例如，用户的电子邮件、地理定位数据、社交网络、网页浏览历史）的数据种类提升产品或服务的质量，从而吸引更多用户，并进一步改进产品。这种数据联动带来“超级递增”的洞见，导致“范围收益”增加。经济合作与发展组织就曾指出：“谷歌不仅向使用其搜索引擎的每一个人收集数据，它还收集用户在Gmail账户中提及的感兴趣话题，在You Tube上观看的内容，在谷歌地图上显示的居住地点……。”[19]基于此，谷歌能更清晰地绘制用户画像，而任何一个单一服务商都无法做到。

其三，源于交叉网络效应的市场倾侧。多边平台一边的网络效应能提升其他边的市场势力。一般而言，网络效应被定义为与市场的需求侧有关，但在双边市场中，需求侧网络效应被转化为供给侧网络效应。传统的媒体平台也存在这种交叉网络效应，但大数据显然更能够放大这种影响。“数据再利用带来巨大的规模收益和范围收益，对市场一边的企业带来正反馈回路，进而强化另一边（其他边）的成功。”[20]

网络效应为在线企业摆脱竞争约束，维持垄断地位提供了便利。除了可能导致很高的市场进入壁垒、排除在更好的隐私保护基础上提供服务的潜在竞争对手之外，支配地位企业还可能利用在线市场上的网络效应，阻止竞争对手扩张或者封锁竞争对手。对此，欧盟委员会特别强调，“在高科技市场，网络效应可能导致稳固的市场地位”。欧盟委员会专门提到了谷歌，认为它“在欧洲范围内的网页搜索和搜索广告领域均具有支配地位”，“这两个市场均存在显著进入壁垒和网络效应”。[21]

2.个人被独占企业锁定

网络效应的另一个后果是增加转移成本，锁定消费者。表面上，这是企业和消费者之间的关系，实际源于竞争者之间力量对比的失衡。如果把消费者向社交网络服务平台提供信息理解为向接受这些信息的企业的定向投资，这些接受信息的企业在拥有了垄断地位之后，却具有极强的改变或者撕毁隐私政策协议的激励，消费者很少能够（甚至完全不能）收回投资或转向其他服务。一旦消费者被锁定，潜在竞争者进入市场的壁垒抬高，在位企业的数据剥削性行为更为容易，相应的竞争优势可能随之扩大。

锁定效应很可能会影响用户切换的决定，特别是当他们的大多数朋友都在他们想要转换的平台上活跃时。如果用户决定切换到竞争对手的社交媒体平台，这将导致沉没成本的产生。买方产生的这种路径依赖和转换成本可能导致高度集中的市场结构。从“路径依赖消费”的发展来看，独宿现象（single-homing）也相当普遍。用户越来越多地发展他们不愿改变的消费模式，每一次对同一产品的额外消费都会强化这种不愿改变的消费模式，从而导致用户在情感上或潜意识上锁定于特定产品或数字平台，产生相对强烈的忠诚度效应。即便这一选择从质量或个人数据收集的数量方面而言不是最佳的。[22]

由此导致的进一步结果是，即便存在更好的选择，用户转向该选择的激励也将受到限制。例如，剑桥分析（Cambridge Analytica）丑闻发生后，用户对脸书感到愤怒，但他们的朋友还在脸书上，他们无法单方面地切换到另一个社交网络。因此，删除脸书的行动以失败告终。[23]用户可能更喜欢DuckDuckGo的隐私政策，但仍会使用占主导地位的搜索引擎，因为基于网络效应，该引擎提供了更好的搜索结果。正如经济合作与发展组织所观察到的，“主导平台可能不会做任何可以被恰当地定性为反竞争的事情，但反馈回路可以加强主导地位，阻止竞争对手获得客户”。[24]

整体来看，所谓横向、纵向结构失衡的划分并不绝对，二者经常彼此交织在一起，共同体现为某一信息处理者所具有的摆脱市场约束的状态。正是这样的特殊信息处理者的存在及其采取的策略行为，破坏了市场内在的作用机制，导致个人信息保护上的竞争几近崩坍，市场无法响应个人信息保护的需求。

二、市场结构失衡下的个人信息保护困境

反对将反垄断法适用于个人信息保护的最主要的一个理由就是，其他部门法足以解决个人信息保护问题。[25]这种过于乐观的主张，显然是忽略了个人信息市场结构性缺陷之下，个人保护和国家保护存在的巨大缺口。

（一）个人保护的形式化

个人保护是一种以个人控制为核心的权利保护模式。私法理论认为，个人数据作为人的延伸，在人权和自由涵射范围之内。基于对人权和自由的保护，人应当独立自主掌控个人信息。[26]而这种自我控制的实现，需要一种赋权思维支撑下的“知情同意”规则构造。[27]按照这种思路，法律赋予个人在信息处理活动中的知情权、决定权、删除权等权利，通过这些权项的行使，保障真正由个人决定个人信息是否被他人收集以及是否按照他人提出的方式被使用。[28]

作为个人保护核心的“知情同意”规则面临的最大问题是，忽视了市场客观存在的结构缺陷。个人控制只有在完备的市场中才能实现。或者说，只有在满足两个条件的前提下，才能以消费者的选择推断其隐私偏好。其一，消费者完全知情和知悉其选择具有的效益和成本（包括隐私风险）；其二，市场提供了符合实际隐私偏好的不同选项。[29]而现实的情况却是，个人和数据控制者之间存在着“持续性不平等信息关系”[30]或“非对称权力结构”。[31]

个人保护的效果受到了多种质疑。学者认为，如果征得个人同意时不充分告知使用目的，或者只是提供一般性的概括同意选项，对个人信息的控制不过是流于形式，反而成为数据控制者规避法律风险的工具。[32]如果运营商数量有限，或者具有支配地位，其提供的不过是一套复杂的“不要拉倒”（take it or leave it）的隐私条款，那么消费者即便完全理解这些条款蕴含的风险，也没有真正的选择自由，更不可通过谈判改变这种情况。在这种情形下，“纵然是完全理性的人也无法在隐私决策方面取得成功”。[33]

实践中，多数消费者感到沮丧，觉得在事实上无法实现对个人数据的控制。再精巧的知情同意的设计，都很难使消费者真正知道何人接触了他们的个人信息、哪些数据遭到使用，他们的数据何时以及如何被使用，该等数据使用行为具有什么样的隐私意蕴。经济学家约瑟夫·法雷尔（Joseph Farrell）指出，消费者对在线隐私的悲观情绪导致了一种“失常均衡”（dysfunc-tional equilibrium）。我们通常预期企业和消费者拥有一致的激励，并且市场能够提供消费者想要的隐私保护。但在失常均衡状态下，市场提供的隐私保护明显不足，因为消费者并不相信自己能够控制隐私，也不相信企业真的会保护其隐私。[34]

当市场被独占时，企业行为不能给消费者带来某种效益以抵消隐私下降的损害，却仍然能够留住用户。[35]哪怕消费者知情，其同意与否也没有任何实际意义，最终还是任其宰割。谷歌多次违反自己的隐私政策和不同法域的隐私法，但仍没有失去支配地位。[36]因为消费者缺乏有用的替代选择。2014年社交媒体主导商业模式改变之前，脸书对用户活动进行监控和记录。随着用户对隐私和个人数据保护问题的强烈反应和不断增长的意识，用户并不情愿在社交媒体上分享信息，而越来越多地采取行动来监控他们的浏览器数据和他们分享的信息。广告拦截软件应运而生，并且越来越受欢迎。但以隐私为中心的社交媒体的用户数量并未真正提升，“为隐私付费”商业模式也未形成。[37]脸书仍然毫无争议地统治着社交媒体领域。对此，英国竞争主管机构指出：只有建立一种供消费者行使选择权和控制权的更加灵活的机制，才能打消其顾虑，真正能够根据自己的偏好作出决定。[38]

总之，在非对称的权力结构中，个人控制根本无法帮助建立任何用户所期望的隐私保护级别。正如张新宝所指出的，当个人与信息处理者之间存在明显的信息不对称、被后者锁定（强制）等不平衡关系时，抽象的民事权利规定容易被虚化，沦为“纸面上的权利”。[39]个人信息保护的形式化，必然要求国家介入。实践中站在维权第一线的其实往往是监管者而非个人。

（二）国家保护的有限性

国家保护是一种以国家保护义务为基础的权力保护模式。考虑到个人与信息处理者之间存在的持续性的不平等关系，为使前者免受后者的支配，公法学者从国家负有的对公民人格尊严和隐私、安宁进行保护的义务，推导出对个人信息相关权益的保护义务。按照这一义务的要求，国家需要转变消极的“守夜人”角色，积极干预私人间的信息收集、处理关系，通过强有力的规制手段保护处于弱势地位的个人，重塑其自主决策的基础。[40]

在国家保护义务之下，国家针对个人与个人信息处理者之间不对称关系，提供一套制衡性的法权结构。一方面，通过赋予个人在信息处理中的知情权、访问权、携带权、更正权等具体权利，保障其在数据处理全流程（包括信息收集、存储、使用、传播、更正、删除等各个环节）都可深度参与，以缓解个人面对信息处理者的无力感。[41]另一方面，通过对个人信息控制人（使用人）的行为（义务）规范来实现法益保护，或者按照法律经济学者的观点，采取责任规则而不是财产规范来保护个人信息。[42]其一，要求以公开透明的方式处理个人信息，公开个人信息处理的规则，向信息主体明示个人信息处理的目的、方式和范围。其二，很多个人信息保护制度都规定了“目的限制”“数据最小化”“限期储存”等个人信息收集与处理的原则，以保证个人信息不会被过度收集、过度处理与过度储存。[43]其三，对信息安全进行规定，要求企业承担对于信息的安全保障义务。[44]

在双重结构失衡的市场环境中，国家保护能起到的作用有限。其一，保护僵化。在所有人没有相同的最低隐私保护水平的前提下，某个人很难享有隐私。[45]公法本质上是将个人信息侵害作为一般性（普遍性）的风险加以防范，针对信息处理双方强弱失衡引发的大规模、持续化侵权风险，建构一种基本的均衡的个人信息处理秩序。法律设定了个人信息收集和使用的一般性或最低性的行为要求，但很难回应不同个体、不同语境对隐私的不同期待。其二，效果存疑。法律要求数据控制者制定越来越完善的隐私政策，履行越来越复杂的通知义务。这种集体保护思路弥补了个人谈判、寻求救济的困难、低效率，但其沿袭传统消费者合同“强制披露”的管制思路，一直面临着“失效”的质疑。[46]甚至，这样的公权力介入还很有可能帮倒忙，为合谋固定和降低隐私保护提供了便利，或者因过高的标准而增加企业合规成本，阻碍市场进入。其三，范围狭窄。国家保护倾斜性法律思维只能对纵向结构失衡作出部分回应，无法提供更高、更灵活的保护。这种保护始终是一种线性保护，而完全没有顾及到数据处理者之间的横向结构失衡。在设计补救策略时，它不可能考虑到这种横向结构失衡对用户造成的长期伤害，以及一些具有市场力量的数字平台需要承担的“特殊责任”。[47]

总的来看，个人保护、国家保护延续了私法、公法二元架构，面对市场结构的双重失衡无法提供充分的隐私保护。从法律产生逻辑上讲，作为“陌生闯入者”的经济法本就是为弥补公、私法之间的缺口而产生。[48]在这一意义上，作为典型经济法、旨在克服市场失灵的反垄断法，具有了发挥作用的正当性。

三、反垄断法的个人信息保护逻辑

反对反垄断法适用于个人信息保护的另一个重要理由是，“零价格不会产生反垄断法试图防止的竞争损害”。[49]这种“唯价格论”实际上是芝加哥学派在特定经济形态下将反垄断法对竞争的保护，简化为对价格要素的关注。历史追溯与理论梳理为我们拂去了各种疑惑。新布兰代斯学派主张的以结构关切为核心的竞争保护观，为反垄断法适应隐私保护的需求铺平了道路。

（一）作为竞争维度的个人信息保护

很长一段时间以来，反垄断法一直将“是否导致价格上涨”作为行为违法性的判断标准。在平台经济领域，因为用户获得的是免费的商品或服务，也就被认为不存在反垄断法适用的可能。库珀（James C. Cooper）就曾指出，反垄断分析聚焦于价格竞争和产出竞争，而隐私因素并非其保护的法益。[50]奥尔豪森（Maureen K. Ohlhausen）和奥古里（Alexander P. Okuliar）也认为，将隐私纳入竞争分析与既有以价格为中心的分析架构格格不入，可能会破坏反垄断法体系的连贯性和一致性。[51]而支持反垄断法适用于隐私保护的学者则将隐私作为质量的一个重要维度，主张质量下降带来的竞争损害与价格上涨一样，理应纳入反垄断法的规制范围。[52]

上述争议深层次上源于对反垄断法价值定位、内在机理的认识分歧。从反垄断法产生的历史来看，它并非被与某项特定的消费者福利挂钩。竞争被认为能够带来多种好处，反垄断法的目的在于通过保护竞争满足人们对竞争的所有合理期望。在根本意义上，它被视为为确保经济生活的秩序符合那些以保障所有人的生存尊严为目的正义的基本原则的制度建构。[53]

持续影响了二战后欧洲竞争法的秩序自由主义（Ordo-liberalism），将建立以竞争为主要特征的市场经济秩序视为实现人类繁荣的唯一途径。秩序自由主义者主张保护竞争并非基于单纯的效率或其他经济关切，而是源于一种人道主义价值、社会正义，是为了保障人格尊严。[54]反垄断法作为一种克服市场失灵的法律机制，被赋予建立和保护竞争的责任，补救自由市场制度被破坏的一些情形。[55]基于此，当大数据引发竞争问题时，德国《反限制竞争法》最先做出了回应，其第九次修订新增了一系列针对数字市场的反垄断法规则，使德国成为世界上第一个明文规定数字市场反垄断法的国家。[56]

在零价服务成为普遍性商业模式后，个人信息成为了消费者支付的一种对价，企业已经在个人信息保护方面展开了各种竞争。例如，各种浏览器企业为打消消费者的疑虑，争相推出安全浏览器、无痕浏览器，或者承诺兼容各种隐私和安全保护插件。2008年上线的Duck Duck-Go争夺在线搜索市场份额的杀手锏就是，向用户承诺不会保留搜索历史，也不会根据搜索习惯跟踪用户。[57]RiseUp、HushMail和Zoho等免费电子邮件提供商也在隐私保护方面展开竞争，以便将自己的服务与Google的Gmail等相区分。[58]

当个人信息侵害作为一种竞争损害危及到每个人的生存状况而市场又无法纠正时，反垄断法没有理由袖手旁观。在最初的一段时间内，欧洲竞争执法部门面对隐私保护问题表现得极为保守。欧洲法院在“Asnef-Equifax案”中，认为任何可能涉及个人数据敏感性的问题需要通过数据法解决，完全不属于竞争法的范畴。[59]在之后的“Google/Double Click案”“Face-book/Whats App案”和“Microsoft/Linkedln案”中，[60]欧盟委员会都坚持了同样的立场。在2016年的一次演讲中，欧盟竞争执法官员玛格丽特·维斯塔格（Margre the Vestager）还公开表示，隐私问题的要害“不在于企业是否在隐私保护方面进行竞争，而在于是否拥有足够的数据保护规定，没有必要依靠竞争执法来解决隐私保护问题”。[61]到了“Facebook案”，德国竞争机构终于打破了沉默。作为一个分水岭，该机构首次明确依据隐私侵害处罚了企业滥用市场支配地位的行为。

美国反垄断法与欧盟竞争法的生成的逻辑大体一致。随着工业化进程的高速发展，各种各样的经济集中大量出现。一些巨型企业或联合体通过提高市场占有率以及价格控制等手段来打击竞争者，达到垄断市场的目的，进而影响商业活动的正常开展和正常的市场竞争。[62]《谢尔曼法》为应付自由放任所导致的这些问题而产生。它关注的是经济活动对社会各个方面的实际影响，而非仅仅关注其中的某一个方面。

反垄断法保护竞争的立法机理在不同理论交锋中一度被扭曲。芝加哥学派在与哈佛学派的对垒中占据上风之后，它所主张的消费者福利标准、借助价格和产出来评估竞争的价格分析模式，统治了近几十年的反垄断执法。这一点在零价服务盛行的数字经济时代，受到了新布兰代斯学派的强有力的挑战。芝加哥学派受到批评的关键在于它将反垄断法对竞争的保护窄化为对消费者支付价格的关注。而数字巨头除了造成“相关市场”经济效率影响之外，还会造成公众在隐私及资讯权利的危害。[63]单纯效率关切使得非价格损害被遗漏，限缩了反垄断法的视野。[64]因此，新布兰代斯学派指责芝加哥学派致使美国反垄断执法走向消极，是造成隐私侵害问题的罪魁祸首。

新布兰代斯学派正努力恢复反垄断法本来的面目。布兰代斯大法官（Louis Brandeis）从一开始就看到了垄断危害超越市场本身，认为反垄断法根本上是要建立一个与民主兼容的经济体制，对抗大企业（市场过度集中）对企业自由甚至人性的压迫。[65]新布兰代斯学派的代表人物之一——新任联邦贸易委员会主席丽娜·汗（Lina M. Khan）在她那篇经典论文《亚马逊的反托拉斯悖论》中反复强调，如果只凭消费者享受更低的价格，就判定竞争状况良好，就会忽视像亚马逊这样的科技巨头对竞争的负面影响。她直截了当地提出，与其将竞争与范围很窄的几个结果变量挂钩，不如审视竞争过程本身。[66]

既然反垄断法被定位为通过保护竞争追求人类珍视的基本价值，它就绝不应该被特定竞争损害后果困住手脚。当市场因为竞争扭曲无法为消费者提供期望的个人信息保护时，就具备了反垄断法干预的正当性。正如尼古拉斯（Nicholas Economides）所指出的，如果个人信息侵害与企业市场力量形成和滥用挂钩，特别是企业的市场力量足够强大，能够侵犯用户的隐私而无需担心来自市场的压力，那么，它理应成为一个反垄断法应当处理的问题。[67]

（二）作为竞争保护核心的结构关切

保护竞争意味着什么？在实践中，竞争一直与具有市场力量的强势企业联系在一起。市场力量意味着一种摆脱竞争约束的能力。[68]竞争法要处理的核心问题就是市场力量问题：要么消除这种权力，要么防止它的有害后果。秩序自由主义者目睹了魏玛时期私人经济权力对竞争的破坏。这就导致他们反对私人经济权力的反垄断观。用伯姆的话来说：“我们共同关注的问题是……自由社会中私人权力的问题。”[69]美国国会通过《谢尔曼法》，就是为了驾驭19世纪末期出现的大型商业组织托拉斯的庞大势力，“促进多样性与市场进入，反对高集中度与市场势力滥用”。[70]政府要保护自由企业机制免受不受约束的企业力量的侵袭。[71]

反垄断法对竞争的保护藉由市场力量这一核心概念，聚焦于竞争中的结构性问题。竞争约束来自竞争者，亦来自消费者。对市场力量的关注，一方面，关注竞争者之间的结构；另一方面，关注消费者与竞争者之间的结构。更重要的是，考虑彼此之间的功能性联系。正像丽娜·汗所指出的，“如果不去观察商业结构以及彼此之间内在互动机制，也无法理解这种势力本质上具有的、潜在的反竞争效应”。[72]

收集更多的数据可能促进竞争，提升企业服务质量，也可能帮助企业获取和维持市场力量。有论者主张数据具有非竞斥性，一个人收集某份具体数据并不会阻碍他人以类似方式或其他方式收集同一数据。由此数据不会成为进入障碍，大数据市场并不存在垄断问题。[73]事实上，如果任何竞争对手都可以轻而易举地获得基础数据，脸书将不会投资于社交网络。大数据的价值源于其规模、种类和分析数据的速度。[74]企业具有强烈的动机通过策略行为获取更多数据，排除其他企业同等迅速地访问和分析该等数据。

衡量在线平台市场的竞争，要求我们分析市场的深层结构和动态。[75]具有支配地位的企业可能利用现有的优势地位阻碍或者扼杀“搅局者”，也可能肆意降低服务质量。激烈的隐私竞争是竞争过程有效的信号。英国竞争执法机构观察到：“存在隐私竞争是一项有用指标，不仅表明企业愿意为迎合消费者的需求而作出调整，而且表明消费者理解该市场使用其数据的情况，以及涉案市场上的竞争有效性。”相反，“缺乏隐私竞争表明数据市场未能满足消费者的需求”。[76]

诚然，隐私问题也存在于非集中的市场。但是，在这些市场上，个人数据通常分散在许多企业，竞争压力可能会抑制企业降低隐私保护的程度。相比之下，在垄断市场中，个人数据集中在少数几家企业，消费者获取更好的隐私保护服务的外部选择有限。“免费产品或服务的事实，并不妨碍提供此类服务构成适用竞争规则的经济行为。”[77]当数据驱动的竞争的损害更多体现为个人信息损害时，必须将反垄断法从拘泥于价格的误区拉回到对竞争的保护、对市场力量的约束这一正确的轨道上来。

四、个人信息的反垄断法保护路径

令人忧虑的是，即便反垄断法在处理个人信息侵害问题上的正当性正逐渐被认可，相关执法在整体上仍趋于保守。这很大程度是源于，稳固的、针对性的竞争损害理论还没有形成。下文的重点正在于揭示反垄断法在对侵害隐私的反竞争行为的禁止中如何发挥作用。

（一）横向结构修正：合并控制与更多的保护选项

当面临提供更好的隐私保护的“搅局者”的威胁时，在位企业具有极强的并购对手的激励，在消除竞争威胁的同时获取更多的数据。这不仅将使消费者失去更多的替代选项，还可能增加用户的转移成本，产生市场封锁效果。即使在其他平台的个人信息保护水平更好时，也无法转换供应商。无论从哪个角度讲，最终都将导致个人信息保护水平的降低。

2008年“Google/Double Click案”是第一个将个人信息保护议题纳入竞争法讨论的案件。在该案中，欧盟委员会仅是就隐私保护问题表明了拒绝评估其影响的态度，但预留了通过欧盟其他法例或成员国立法在数据保护和隐私领域对该交易施加义务的可能。[78]与之类似，尽管美国有观点认为数据聚合可能会威胁消费者隐私，提议禁止这项交易，但仍然遭到了联邦贸易委员会的拒绝。联邦贸易委员会固执地指出：对并购行为进行反托拉斯审查的“唯一目的是识别和救济竞争损害。……对一家企业的隐私提出监管要求，可能损害到行业的竞争”。[79]

在之后“Facebook/Whats App案”中，美国和欧盟的竞争机构均没有禁止这起并购，但是明显对个人信息保护问题有了更多的考虑。该案涉及的两个企业在隐私保护上存在明显的差距。Whats App向用户收取小额费用而不销售广告空间。它除了手机号码以外，不从其用户的手机地址簿或者联系人名单中收集姓名、电子邮件、地址或其他联系信息。而脸书的短信应用是免费的，依靠收集用户数据以向其定向投放广告盈利。一旦完成并购，消费者将失去在两个具有不同价格、隐私组合的流行短信应用之间进行选择的空间，Whats App用户为此忧心忡忡。

在这起案件中，联邦贸易委员会消费者保护局局长就脸书可能使用Whats App用户数据的行为向脸书提出了警告：并购完成后“Whats App必须继续兑现此前向消费者作出的隐私承诺”，[80]相比之下，欧盟委员会则仍然没有充分意识到问题的严重性。其一，针对广告边，欧盟委员会认为合并后的实体无法通过从Whats App用户收集数据提升广告准确性的方式，加强其在在线广告服务方面的地位。因为，市场内有包括谷歌（其占有互联网用户数据的很大部分）、苹果、亚马逊等有众多市场参与者在内的企业和脸书一起收集数据。[81]很明显，它没有注意到数据本身的价值并不固定，而要取决于具体的应用语境。即便不同企业都掌握数据，其处理数据的能力也存在差别。其二，针对消费者边，欧盟委员会认定合并后的实体缺乏合并两家企业数据集的技术能力和动机，因此认为对隐私的影响竞争损害分析中完全可以省略。或者，即使存在相关风险，也不在竞争法考虑范围内，而属于数据保护法的范畴。[82]

竞争执法机构的错误很快得到了印证。在合并批准2年后，数百万Whats App用户的手机屏幕上同时出现了隐私政策的变化通知，要求用户在其个人数据与脸书共享后30天内退出Whats App。如果真如之前竞争机构所预见的那样，消费者将继续拥有多种替代性通讯应用可以选择，消费者在不同通讯应用之间转换也不存在显著成本，[83]本应有隐私敏感的What-s App用户将转向其他通讯应用。但事实上，脸书在短信领域的支配地位不但没有削弱反而增强。[84]通过调取脸书内部文件，也已经证实脸书并购Whats App的目的就是排除竞争威胁，维持市场支配地位。[85]显然，脸书的如意算盘的确是达成了。专业的消费者保护机构对这起并购提出了最严厉的批评：“该并购的实际效果是降低消费者的隐私保护，以及将个体暴露于更严重的追踪和数据收集之中”，以及“联邦贸易委员会不将这一事项纳入并购考量，这是过去15年间美国消费者隐私显著下降的主要原因之一”。[86]

好在之后的“Microsoft/Linkedln案”中，竞争机构终于有机会在一定程度上纠正自己的错误。在该案中，欧盟委员会建立了排他性竞争损害理论。它认为合并将可能限制消费者在隐私方面的选择，“导致那些隐私保护程度优于Linked In的竞争对手被边缘化，或者使他们的市场进入更加困难”。[87]该案是迄今为止欧盟委员会第一次也是唯一一次认识到通过个人用户数据的匹配可能会产生锁定效应，从而排除竞争对手或潜在进入者。

遗憾的是，这也只是一种基于排他性损害上的考虑，欧盟委员会继续固执地坚持了在“Facebook/Whats App案”中的观点，拒绝考虑可能存在的剥削性损害。[88]直到最新的“Google/Fitbit案”中，[89]欧盟委员会还只分析合并可能排除数字医疗领域、可穿戴设备领域的竞争，合并可能产生的剥削性损害仍然被错误地忽略。这一问题只能留给对滥用市场支配地位禁止这一事后规制路径来解决。

（二）纵向结构修正：滥用禁止与更高的保护水平

处于垄断地位的企业倾向于利用其市场支配地位以人们无法理解、不真正同意的方式收集、处理用户数据，并利用这些数据提供更加个性化的服务，维持和加强其垄断地位，提高市场壁垒或者抬高转换门槛，排除、限制竞争，形成不断自我强化的垄断循环。

美联社的一项调查发现，即使用户已对手机设置不允许跟踪这些数据，Android设备和iPhone上的许多谷歌服务都储存了用户的定位数据。占支配地位的企业还在继续寻找更多获取数据的方法，以维持和扩大他们对市场的控制。谷歌与万事达卡达成一项协议，允许谷歌访问万事达卡的交易信息，以增强谷歌的支配地位，从而提升谷歌在数字广告领域的市场力量，并排除潜在竞争对手。[90]由于消费者已经被锁定，在线市场中具有支配地位的企业，可以减少对个人信息的保护而不用担心来自其他为个人信息提供更好保护的竞争对手的竞争。

反垄断法与数据保护法在对个人信息的保护上存在很大不同。后者规范市场上所有企业对数据的处理行为，而前者被认为是在数据保护法提供的基线之上，通过对主导企业反竞争行为的执法提供的一种针对性保护。当企业所采取的隐私保护措施已符合个人数据保护法标准，但违反竞争法时，只能通过竞争法来保护。[91]

德国联邦卡特尔局于2016年3月开始的调查发现，脸书在未经用户同意的情况下，收集用户在使用WhatsApp、Instagram第三方工具时产生的相关数据，并将之与用户保存在脸书账号上的信息相关联。在2019年2月发布的最终处罚决定中，联邦卡特尔局认定脸书的行为侵犯了用户隐私，违反了《反限制竞争法》第19条第1款，构成剥削性滥用，并对脸书作出禁令。

杜塞尔多夫高等法院中止了这一决定。它认为联邦卡特尔局主要是从脸书的数据收集行为违反了数据保护法上的同意规则这一角度，认定构成滥用。这很大程度上将合同当事人之间的权利不平衡与市场力量引起的不平衡混为一谈，未对与信息不对称有关的个人信息保护问题和与市场力量有关的个人信息保护问题进行区分。如文章开头所述，消费者相对于信息处理企业普遍处于弱势地位，无论这些企业是否具有市场力量，他们都很可能对企业收集、使用数据情况并不完全知悉。换言之，可能并不是因为市场缺乏竞争，而是由于信息不对称，才导致无论是否存在提供更好隐私保护的竞争者，用户都只能接受更差的选择。[92]说到底，在个人信息保护方面，反垄断法要关注的是主导企业承担的超出其他企业（甚至可能超出数据保护法规定的标准）的责任。[93]

德国法上确实存在将违反其他法律的行为直接定认定成反垄断法上的滥用的特例。在VBL-Gegenwert I和II案中，德国联邦法院认定，占支配地位的企业违反消费者保护法的行为可能构成滥用支配地位。[94]但这种情况并不绝对。联邦法院在该案中特别指出，其他违法性一般并不能免除反垄断机构竞争损害的证明责任。[95]在欧洲层面上，违反数据保护规则不能直接根据竞争法进行惩罚。[96]关于合同当事人之间的不平衡很大程度可依据数据保护法来解决，而市场力量引发的问题则只能依赖反垄断法。如果忽视了这样的区别（放弃这种区分或损害证明），正如杜塞尔多夫高等法院所忧虑的，“竞争法将沦为其他法律（如消费者法、数据保护法、劳动法或税法）的‘通用’执法工具”，[97]降低对个人信息的保护水平。

当案件最终上诉到联邦最高法院时，结果出现了反转。联邦最高法院认为，消费者的选择自由和用户自主决策权正在成为认定滥用的基准。竞争法的功能是消除市场力量，或者防止市场力量的有害后果。在企业具有独占地位的情况下，它要求其“仿佛是”处在竞争中（仿佛它们没有这样的势力）那样行动。在这个意义上，具有市场支配地位的企业有义务向消费者提供不同的模式。但脸书给出的服务条款没有提供对用户数据进行个性化处理的选择，剥夺了用户选择空间，构成了剥削性滥用。联邦卡特尔局的调查结果显示，相当一部分用户都希望尽量少地披露个人数据。如果存在有效竞争，脸书会通过提供该选项来回应用户希望减少数据披露的愿望。[98]因此，德国联邦最高法院推翻了杜塞尔多夫高等法院的裁决，禁止脸书在未征得用户同意的情况下处理上述数据。需要明确的是，尽管与杜塞尔多夫高等法院的裁决结果不一致，但这只是在竞争损害理论构建上的分歧。两级法院在行为违法性判断上都坚持了基于竞争效果的独立判断。脸书的市场力量与滥用行为之间必须有因果关系，但这种因果关系究竟包含哪些内容，仍存争议。

此外，莫里斯·E.斯图克（Maurice Stucke）和艾伦·P.格鲁内斯（Allen P. Grunes）指出，在数据驱动型行业中，垄断企业的排他性行为也可能涉及减少消费者隐私保护方面的新型做法，阻碍可以给消费者提供更好隐私保护的创新性替代者的出现，使具有市场支配地位的企业在改进服务质量方面缺少竞争压力。[99]

五、融入个人信息保护法律体系的反垄断法

（一）三元保护架构的确立

反垄断法对个人信息的保护是一种市场保护。它建立在对竞争机制修复的基础上，体现了一种间接保护的特点。有论者担心，一旦在竞争分析中考虑隐私，可能会使反垄断法向其他基本权利或公共政策门户洞开，使其变成与一切相关（过度入侵其他法律领域）而削弱自身的专业性、确定性。[100]这种忧虑显然是不必要的。竞争带来的好处远不局限于市场的范畴，在这一意义上，反垄断法才具有多元价值。但这些价值的实现从来都是基于其对竞争的保护。反垄断法不可能逾越竞争损害的前提而直接处理隐私侵害问题。

反垄断法保护构成了对个人保护、国家保护的补充。在私法层面，烦琐的诉讼程序、较高的举证难度，大大抑制了个人寻求民事救济的激励。个案事后救济的分散化，更无法与反垄断法个人信息保护竞争秩序构建的预防性、整体性特质相比。在监管层面，个人信息保护机构通常无法获得数据驱动型并购的事前申报，它们也无权禁止此类并购交易。个人信息保护法、消费者保护法通常只规定行为性救济和罚款，且罚款金额通常低于反垄断罚款金额。[101]欧洲正致力于大幅提高对隐私违法行为的罚款金额，但是个人信息保护机构仍然无权进行结构性救济。[102]如果企业通过反竞争行为获取或加强其市场力量，罚款可能也不能从根本上扭转市场的结构性损害。

在填补公法、私法二元保护结构留下的缺口之外，反垄断法保护还具有一种体系性价值。一方面，它进一步激活了个人自我控制机制，充实了知情同意规则所蕴含的规范性力量。[103]因为，即使披露有效解决了信息不对称问题，同意也仅在消费者有真正选择的情况下才有效。反垄断法通过约束市场势力、关注竞争结构，形成更多的个人信息保护选项，使个人免受市场力量的强制，为真正的个人信息自决创造了条件。另一方面，反垄断法作为一种间接政府介入，丰富了国家保护的层次。竞争约束促使企业以更好的隐私保护吸引用户。它在隐私监管建立的集体保护、基线保护的基础上，提供更灵活、更高水平的个人信息保护。

从反方向来看，合理的隐私权配置和强有力的监管框架来保护和促进隐私选择，可以为隐私市场奠定基础，这是反垄断规则适用的必要前提。整个反垄断损害模型都建立在消费者主权的概念之上。[104]竞争机制的展开必须依赖倾斜性保护和针对信息处理者（信息透明、充分告知等）一般性的行为要求设定。[105]因为，有关隐私保护的竞争能否发生促进竞争的效果，取决于消费者能否于交易决定之初正确评估竞争平台对隐私权保护的优劣。当消费者无法事先掌握被取用的数据类型、范围与程度，以及后续的利用方式等资讯时，就可能无从就使用特定平台散布数据之利益与成本进行评估，遑论依据评估结果，选择使用隐私权保障较佳的网络平台。

同时，那些先于市场或无法市场化的个人信息保护问题，明显超出了反垄断法的范围。经济学家从一开始就认识到市场不负责初始产权界定，隐私和数据权利的初始配置肯定不是反垄断法能处理的问题。哪怕损害了消费者的利益，哪怕这个企业具有市场支配地位，反垄断机构也不能对其疏忽导致个人信息泄露行为进行处理。而个人信息保护法可以要求不具有市场势力的企业也要采取必要预防措施，阻止无意间披露敏感的个人数据。隐私和数据保护对整个社会发展都具有重大意义，市场却很难承认和实现这种公共价值。换言之，建立在市场机制之上的反垄断法，很难考虑到隐私保护不足的巨大社会成本。[106]这也是为什么长期以来一直将公共产品从市场领域中剥离出来，依赖国家保护的原因。当然，除非隐私完全不可让与（inalienable），或者数据隐私的公共利益已经完全没有个人偏好的余地，反垄断法就存在一定的发挥作用的空间。

（二）潜在制度冲突的调和

如果只是把反垄断法和个人信息保护法的关系理解为一个完美契合的拼图，很明显是把一个复杂的问题简单化了。事实上，二者除了有互为补充、相互强化的一面，还存在彼此冲突、相互抵消的另一面。

一种经常被提及的观点认为，竞争加剧会使企业更加绞尽脑汁地获取和利用个人数据，相应地，消费者隐私将面临更大被侵害的风险。[107]这种担心很容易引起共鸣，但显然是背离了商业逻辑或受制于部门法思维。在实际的商业环境下，企业对数据的渴望并不意味着一定会降低隐私保护，正如对利润的追逐也不一定意味着一定涨价一样。退一步讲，即使引发普遍性的隐私保护水平下降，也会面临数据保护法的责难。

真正的问题存在于两个方面。第一，平台企业经常以数据隐私对抗反竞争行为指控。在HiQ v. LinkedIn案中，原告HiQ指控LinkedIn阻止其数据爬取，以推出自己的竞争性数据分析软件，构成了排他性滥用。对此，LinkedIn给出的主要理由是这样做是为了保护消费者的隐私。[108]与之相关，谷歌、苹果和脸书也面临相似的诉讼或调查，它们都被指控将竞争性的应用程序排除在其在线平台之外，[109]或者拒绝为竞争对手提供与自身应用程序产品同等的访问条件。虽然目前这些行为的违法性尚未得到证实，但这些数字巨头都是通过援引保护用户数据隐私和安全的需要来作为抗辩理由。

在这两种对立的法益中，如果过于强调数据隐私，将会阻碍数据驱动的竞争，降低消费者所能分享的由此产生的福利（例如，免费和个性化的数字服务）。如果过于强调竞争，数据隐私丧失会导致不信任感，阻碍数据的分享和使用。实践中，由于无形的隐私损害很难证明，在与直观的竞争（效率）损害比较时很容易被忽视，形成一种“竞争优先”的偏见。在HiQ v. Linke-dIn案中，这种倾向清晰可见。第九巡回法院认为，LinkedIn没有充分证明存在需要保护的消费者隐私利益，即使存在这种利益，也不足以超过HiQ继续其业务产生的利益。[110]

第二，作为竞争法的救济措施，要求主导平台向竞争对手开放数据访问权限，可能有助于降低进入壁垒、恢复该领域的数据竞争，但会削弱数据主体对“自身”数据的控制。虽然在共享个人数据之前可以进行匿名化处理，但匿名化会降低数据的价值，而且真正有效的匿名化也很难实现。[111]所以，在绝大多数情况下，数据仍然是个人的。在数据被开放访问的过程中，消费者不仅无法决定将数据共享给哪些企业，而且也面临个人数据被更多企业控制、使用的尴尬境地。这很可能会危及到数据主体的隐私。

反过来看，隐私监管也有可能引起竞争法上的问题。隐私合规可能抬高进入壁垒，扭曲竞争结构。因为，此类壁垒对于较小的参与者和新进入者而言相对更高，而更大、更成熟的企业可以将合规成本分摊到更广泛的用户群。根据凯瑟琳·塔克（Catherine Tucker）的观察，隐私监管的增加还导致了企业间数据共享的减少，抑制了在线广告市场的竞争。[112]此外，消费者在行使数据可携带权时，除了从大型网络平台向新进入者转向，促进竞争；还可能以一种相反方向，即从新进入者向现有的大型网络平台，巩固其垄断地位。[113]关于GDPR的研究证明，加强消费者对个人数据的控制的确会减少消费者数据密集型市场的竞争。[114]

解决上述冲突，需要整体上的部署和协调，通过竞争机构和隐私机关的合作，实现竞争和隐私利益的平衡，确保我们享受数据驱动型经济的好处和避免由此带来的风险。最新的研究提出，在同时涉及反垄断及数据隐私利益的争议中，分析的起点应该是给予两个法律领域同等的对待。在判断行为违法性时，反垄断法和隐私法都不应被推定为优先于另一种法律。一个法律领域鼓励或要求的行为，并不当然地被认为免于受另一项法律的约束。相反，应该考虑反垄断和数据隐私方面各自利益的重要性，进行一种基于个案式的谨慎权衡。[115]

六、结语

如果把反垄断法作为更大的法律画面的一部分来看待，很多晦黯不明的事情就不难理解了。制约反垄断法发展的一个瓶颈，在于与其他法律对接、融合，系统化解决问题的能力。对个人信息保护问题的研究，一直带有明显的部门法本位主义倾向。本文尝试从市场结构失衡切入，打通部门法隔阂，厘清反垄断法在个人信息保护中的适用空间。

对反垄断法的研究接近于一种“盲人摸象”式的进路，自觉不自觉地以摸到的部分代替反垄断法的整体形象。[116]频繁的“打补丁”式的修正，终究还是一种“零敲碎打”。更好的解决方案是跳出语境局限，将各种素材背后的抽象理论架构勾勒出来，才能更好地处理不断涌现的新问题。沿着这样的思路，我们所熟知的传统反垄断法分析架构只不过是一个简化的面向，它以初级经济形态呈现的场景为理论原型。而这种作为原型的场景只是众多现实场景中的一个。[117]进入平台经济，市场主体更加注重非价格因素。在这一阶段，必然要求反垄断的分析架构从以价格为中心回到关注竞争过程本身。

鉴于竞争对于隐私保护的重要作用，反垄断法无疑成为了隐私保护工具箱中的一个基础性工具。但必须承认，将其适用于隐私保护仍将面临诸多挑战。消费者支付的价格为零，界定相关市场和衡量市场力量的一些传统方法就会失效。隐私损害具有的非线性、难以量化的特点，也使得法院和执法机构很难找到一个可行的机制，评估损害和适用罚款、没收违法所得等救济措施。[118]但这些都是另一层面的问题，丝毫不能掩盖揭示反垄断法适用于隐私保护的底层逻辑的重要意义。

（责任编辑：邓峰）

【注释】

*上海财经大学法学院教授。本文系国家社科基金一般项目“数字经济时代个人信息的反垄断法保护研究”(项目编号:21BFX112)的阶段性成果。

　　[1]Shoshana Zuboff, The Age of Surveillance Capitalism：The Fight for a Human Future at the New Frontier of Power, New York：Public Affairs, 2019, p.8.

　　[2]See Nicholas Economides and Ioannis Lianos, “Restrictions on Privacy and Exploitation in the Dig-ital Economy：A Market Failure Perspective,” Journal of Competition Lawand Economics, Vol.17, No.4, 2021, pp.765-847.我国现行法一般将个人信息分为隐私（私密）信息与其他个人信息两类，但反垄断学者在讨论相关议题时，则通常对隐私与个人信息不作区分。为了表述方便，本文延续这一惯例，在文中交替使用这两个概念。此外，对“个人数据”与“个人信息”、“反垄断法”与“竞争法”两对概念也采取相同的处理方式。

　　[3]参见张新宝：“我国个人信息保护法立法主要矛盾研讨”，《吉林大学社会科学学报》2018年第5期，第50页。

　　[4]参见王锡锌：“个人信息国家保护义务及展开”，《中国法学》2021年第1期，第147页。

　　[5]SeeCommercial and Administrative Law of the House Committee on the Judiciary, “Online Plat-forms and Market Power, Part3：The Role of Data and Privacy in Competition：Hearing Before the Subcom-mittee on Antitrust,”116th Congress, 2019, https://judiciary.house.gov/calendar/eventsingle.aspx? Event ID=2248, last visited on 18 April 2022.

　　[6]See Complaint, State of New York, etal.v. Facebook Inc., Case1:20-cv-03589-JEB, paras.235-236, https://ag.ny.gov/sites/default/files/state_of_new_york_et_al._v._facebook_inc._-_filed_public_com-plaint_12.11.2020.pdf, last visited on 18 April 2022.

　　[7]See Bundeskartellamt, Facebook Decision in Administrative Proceedings, (2019), B6-22/16.

　　[8]法国竞争监管局认为，苹果公司强制用户在通过App Store下载应用程序时，必须同意授权将其个人数据共享给第三方，构成了附加不公平的交易条件的滥用市场支配地位。See Autorité de la concurrence, “Targeted Advertising/Apple?s Implementation of the ATT Framework. The Autorité Does Not Issue Urgent Interim Measures Against Apple but Continues to Investigate in to the Merits of the Case,”2021, https://www.autoritedelaconcurrence.fr/en/press-release/targeted-advertising-apples-implementation-att-framework-autorite-does-not-issue, last visited on 18 April 2022.

　　[9]学界就相关问题的研究可以归纳为三种观点。其一，反对说，认为反垄断法一般分析架构与个人信息保护的要求存在冲突，不适用于个人信息保护。代表性文献，see Eugene Kimmelman, Harold Feld and Agustín Rossi, “The Limits of Antitrust in Privacy Protection,” International Data Privacy Law, Vol.8, No.3, 2018, pp.270-276; Maureen K. Ohlhausen and Alexander P. Okuliar, “Competition, Consumer Pro-tection, and the Right [Approach]to Privacy,” Antitrust Law Journal, Vol.80, No.1, 2015, pp.121-156；另参见李剑：“互联网反垄断能促进数据隐私保护吗？”《商业经济与管理》2021年第5期，第85-97页。其二，谨慎适用说，认为反垄断法可以在个人信息保护中发挥一定作用，但也可能带来巨大的风险。代表性文献，see Marco Botta and Klaus Wiedemann, “The Interaction of EU Competition, Consumer, and Data Protec-tion Law in the Digital Economy：The Regulatory Dilemma,” The Antitrust Bulletin, Vol.64, No.3, 2019, pp.428-446.其三，完全适用说，认为反垄断法的规制体系完全适用于个人信息保护问题，所需要的只是执法技术上的调整。代表性文献，see Maurice E. Stuckeand Allen P. Grunes, Big Data and Competition Poli-cy, New York：Oxford University Press, 2016; Samson Yoseph Esayas, “Competitionin (Data)Privacy:‘Zero’Price Markets, Market Power and the Roleof Competition Law,” International Data Privacy Law, Vol.8, No.3, 2018, pp.181-199；焦海涛：“个人信息的反垄断法保护：从附属保护到独立保护”，《法学》2021年第4期，第108-124页。

　　[10]See European Data Protection Supervisor, “Privacy and Competitiveness in the Age of Big Data：The Interplay between Data Protection, Competition Law and Consumer Protection in the Digital Economy,”2014, p.34, https://www.statewatch.org/media/documents/news/2014/apr/eu-edps-competitition-law-big-data.pdf, last visited on 18 April 2022.

　　[11]Vanden Bergh and Franziska Weber, “The German Facebook Saga：A buse of Dominance or A buse of Competition Law?” World Competition, Vol.44, No.1, 2021, p.36.

　　[12]European Data Protection Supervisor, supra note [10], p.34.

　　[13]参见高富平：“个人信息保护：从个人控制到社会控制”，《法学研究》2018年第3期，第98页。

　　[14]See Katharine Kemp, “Concealed Data Practices and Competition Law：Why Privacy Matters,”European Competition Journal, Vol.16, No.2-3, 2020, p.653.

　　[15]See Economides and Lianos, supra note [2], p.803.

　　[16]参见（美）莫里斯·E.斯图克、艾伦·P.格鲁内斯：《大数据与竞争政策》，兰磊译，法律出版社2019年版，第69页。

　　[17]Cass R. Sunstein, “The Storrs Lectures：Behavioral Economics and Paternalism,” Yale Law Journal, Vol.122, No.7, 2013, pp.1842-1852.

　　[18]参见梅夏英：“在分享和控制之间——数据保护的私法局限和公共秩序构建”，《中外法学》2019年第4期，第863页。

　　[19]OECD,“Data-Driven Innovation for Growth and Well-Being:Interim Synthesis Report,”2014,p.29 https://www.oecd.org/sti/inno/data-driven-innovation-interim-synthesis.pdf, last visited on 18 April 2022.

　　[20]Ibid.

　　[21]European Commission, “Commission Seeks Feedback on Commitments Offered by Google to Ad-dress Competition Concerns-Questions and Answers,”2013, p.1, https://ec.europa.eu/commission/press-corner/detail/en/MEMO_13_383, last visited on 18 April 2022.

　　[22]See Economides and Lianos, supra note [2], p.786.

　　[23]See Max A. Cherney, “Facebook Earnings Beat Despite Backlash, Shares Surge,”2018, https://www.marketwatch.com/story/facebook-earnings-beat-estimates-amid-data-privacy-concerns-2018-04-25, last visited on 18 April 2022.

　　[24]See OECD, supra note [19], p.58.

　　[25]See D. Daniel Sokol and Roisin Comerford, “Does Antitrust Havea Role to Play in Regulating Big Data?” in Roger D. Blair and D. Daniel Sokol(eds.), The Cambridge Handbook of Antitrust, Intellectual Property, and High Tech, Cambridge：Cambridge University Press, 2017, pp.293-316.

　　[26]参见程啸：“大数据时代的个人数据权利”, 《中国社会科学》2018年第3期，第111页。

　　[27]知情同意规则，也称“告知同意规则”，是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的人进行告知，并在取得同意后方可从事相应的个人信息处理活动，否则该等处理行为即属违法，除非法律另有规定。参见程啸：“论我国个人信息保护法中的个人信息处理规则”, 《清华法学》2021年第3期，第61页。

　　[28]参见程啸，见前注[26]，第116页。

　　[29]参见斯图克等，见前注[16]，第11-12页。

　　[30]参见丁晓东：“个人信息权利的反思与重塑：论个人信息保护的适用前提与法益基础”, 《中外法学》2020年第2期，第341页。

　　[31]参见王锡锌，见前注[4]，第147页。

　　[32]参见高富平，见前注[13]，第98页。

　　[33]See Daniel J.Solove,“The Myth of the Privacy Paradox,”George Washington Law Review ,Vol. 89,No.1,2021,p.33.

　　[34]参见斯图克等，见前注[16]，第7页。

　　[35]See Howard A. Shelansk, “Information, Innovation, and Competition Policy for the Internet,” University of Pennsylvania Law Review, Vol.161, No.6, 2013, pp.1663-1689.

　　[36]参见斯图克等，见前注[16]，第72-75页。

　　[37]See Blake Droesch, “How Social Media Users Have—And Have Not—Responded to Privacy Con-cerns,”2019, https://www.emarketer.com/content/how-social-media-users-have-and-have-not-responded-to-privacy-concerns, last visited on 18 April 2022.

　　[38]UK Competition and Markets Authority, “The Commercial Use of Consumer Data：Report on the CMA?s Call for Information,”2015, p.12, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/435817/The_commercial_use_of_consumer_data.pdf, last visited on 18 April 2022.

　　[39]参见张新宝，见前注[3]，第49页。

　　[40]参见王锡锌，见前注[4]，第152-153页。

　　[41]参见王锡锌，见前注[4]，第158-159页。

　　[42]参见高富平，见前注[13]，第100页。

　　[43]例如，我国《个人信息保护法》第5条（必要原则）、第6条（目的限制原则）、第19条（保存期限）等；欧盟的《通用数据保护条例》导言第39条（必要原则）、正文第5条（保存期限）等。

　　[44]例如，我国《个人信息保护法》第9条。

　　[45]参见高富平，见前注[13]，第96页。

　　[46]参见（美）欧姆瑞·本·沙哈尔、卡尔·E.施奈德：《过犹不及：强制披露的失败》，陈晓芳译，法律出版社2015年版，第35-45页。

　　[47]Economidesand Lianos, supra note [2], p.772.

　　[48]参见（德）弗里茨·里特纳、迈因哈德·德雷埃尔：《欧洲与德国经济法》，张学哲译，法律出版社2016年版，第23页。

　　[49]John M. Newman, “Antitrustin Zero-Price Markets：Foundations,” University of Pennsylvania Law Review, Vol.164, No.1, 2015, p.149.

　　[50]See James C. Cooper, “Privacy and Antitrust：Underpants Gnomes, the First Amendment, and Subjectivity,” George Mason Law Review, Vol.20, No.4, 2013, p.1129.

　　[51]See Ohlhausen and Okuliar, supra note [9], pp.142-143.

　　[52]See Esayas, supra note [9], p.184.

　　[53]参见里特纳等，见前注[48]，第7页。

　　[54]参见（美）戴维J.格伯尔：《二十世纪欧洲的法律与竞争》，冯克利、魏志梅译，中国社会科学出版社2004年版，第296页。

　　[55]参见孔祥俊：《反垄断法原理》，中国法制出版社2001年版，第27页。

　　[56]参见周万里：“《德国反限制竞争法》的第九次修订”，《德国研究》2018年第4期，第78页。

　　[57]参见焦海涛，见前注[9]，第116页。

　　[58]参见李剑，见前注[9]，第92页。See also Kate Murphy, “How to Muddy Your Tracks on the In-ternet,” New York Times, Vol.161, No.55760, 2012, p.7.

　　[59]See Case C-238/05, Asnef-Equifax and Administración del Estado v. Asociación de Usuarios de Servicios Bancarios(Ausbanc), Judgment of the Court, 23 November 2006, para.63, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/? uri=CELEX:62005CJ0238&from=EN, last visited on 18 April 2022.

　　[60]See Case M.4731-Google/Double Click, Decision of European Commission, 11 March 2008, para.368, https://ec.europa.eu/competition/mergers/cases/decisions/m4731_20080311_20682_en.pdf, last visited on 18 April 2022; Case M.7217-Facebook/Whats App, Decision of European Commission, 3 October 2014, para.164, https://ec.europa.eu/competition/mergers/cases/decisions/m7217_20141003_20310_3962132_EN.pdf, last visited on18 April2022; Case M.8124-Microsoft/Linkedln, Decision of European Commission, 6 December 2016, para.179, https://ec.europa.eu/competition/mergers/cases/decisions/m8124_1349_5.pdf, last visited on 18 April 2022.

　　[61]Commissioner Margre the Vestager, “Competition in a Big Data World,”2016, https://www.you-tube.com/watch? v=I3eb036c YNY, last visited on 18 April 2022.

　　[62]See A. D. Neale, The Antitrust Laws of the U. S. A., The Origins and Historical Development of Antitrust, Cambridge：Cambridge University Press, 1966, pp.11-18.

　　[63]See Tim Wu, The Curse of big：Antitrust in The New Gilded Age, New York：Columbia Global Reports, 2018, p.15.

　　[64]参见兰磊：“反垄断法唯效率论质疑”，《华东政法大学学报》2014年第4期，第118页。

　　[65]See Wu, supra note [63], p.33.

　　[66]See Lina M. Khan, “Amazon’s Antitrust Paradox,” Yale Law Journal, Vol.126, No.3, 2017, pp.716-717.

　　[67]See Economides and Lianos, supra note [2], pp.800-811.

　　[68]See Case 322/81, Michelinv. Commission, Judgment of the Court of 9 November 1983, para.30, https://eur-lex.europa.eu/legal-content/en/TXT/? uri=CELEX:61981CJ0322, last visited on 18 A-pril 2022.

　　[69]格伯尔，见前注[54]，第290页。

　　[70]Khan, supra note [66], p.740.

　　[71]参见（美）加里·L·里巴克：《美国的反省：如何从垄断中解放市场——谁来保障自由和公平》，何华译，东方出版社2011年版，第2页。

　　[72]Khan, supra note [66], p.717.

　　[73]See Darren S. Tucker and Hil B. Welford, “Big Mistakes Regarding Big Data,” Antitrust Source, 2014, https://ssrn.com/abstract=2549044, last visited on 18 April 2022.

　　[74]参见斯图克等，见前注[16]，第54页。

　　[75]Khan, supra note [66], p.717.

　　[76]UK Competition and Markets Authority, supra note [38], paras.3, 78.

　　[77]Case AT.39740, Google Search (Shopping), Decision of European Commission, 27 June 2017, para.152, https://ec.europa.eu/competition/antitrust/cases/dec_docs/39740/39740_14996_3.pdf, last visited on 18 April 2022.

　　[78]See Case M.4731-Google/Double Click, supra note [60], para.368.

　　[79]Federal Trade Commission, “Statement of Federal Trade Commission Concerning Google/Double Click,” FTC File No.071-0170, 2007, p.2, https://www.ftc.gov/system/files/documents/public_statements/418081/071220googledc-commstmt.pdf, last visited on 18 April 2022.

　　[80]Jessica L. Rich, “Letter from Jessica Rich, Director, Bureau of Consumer Protection to Erin Egan, Chief Privacy Officer, Facebook, Incand Anne Hoge, General Counsel, Whats App Inc.,”2014, p.3, https://www.ftc.gov/system/files/documents/public_statements/297701/140410facebookwhatappltr.pdf, last visited on18 April2022.

　　[81]See Case M.7217-Facebook/Whatsapp, supra note [60], para.189.

　　[82]See Case M.7217-Facebook/Whatsapp, supra note [60], para.164.

　　[83]See Case M.7217-Facebook/Whatsapp, supra note [60], para.135.

　　[84]参见斯图克等，见前注[16]，第97-98页。

　　[85]See Subcommittee on Antitrust Commercial and Administrative Law of the Committee on the Judi-ciary, “Investigation of Competition in Digital Markets：Majority Staff Report and Recommendations,”2020, p.150, https://judiciary.house.gov/uploadedfiles/competition_in_digital_markets.pdf, last visited on 18 April 2022.

　　[86]Comments of the Electronic Privacy Information Center(EPIC) to the Federal Trade Commission, Inre：Remedy Study, “Assessment of the FTC’s Prior Actions on Merger Review and Consumer Privacy,” FTCFile No. P143100, 2015, p.2, https://www.ftc.gov/system/files/documents/public_comments/2015/03/00008-93523.pdf, last visited on 18 April 2022.

　　[87]See Case M.8124-Microsoft/Linkedln, supra note [60], para.350.

　　[88]See Case M.8124-Microsoft/Linkedln, supra note [60], para.176.

　　[89]See Case M.9660-Google/Fitbit, Decision of European Commission, 17 December 2020, https://ec.europa.eu/competition/mergers/cases1/202120/m9660_3314_3.pdf, last visited on 18 April 2022.

　　[90]See Romain Dillet, “Google and Mastercard reportedly partner to track offline,”2018, https://techcrunch.com/2018/08/31/google-and-mastercard-reportedly-partner-to-track-offline-purchases/, lastvisi-tedon 18 April 2022.

　　[91]参见张媛筑：“竞争法上使用者数据之应有定位于可能造成之冲击”，《公平交易季刊》2018年第4期，第133页。

　　[92]See Justus Haucap, “Data Protection and Antitrust：New Types of Abuse Cases? An Economist’s View in Light of the German Facebook Decision,” Competition Policy International Antitrust Chronicle, 2019, p.5, https://www.competitionpolicyinternational.com/wp-content/uploads/2019/02/CPI-Haucap.pdf, last visited on 18 April 2022.

　　[93]See James C. Cooper and John M. Yun, “Antitrust and Privacy：It’s Complicated,” George Mason Law & Economics Research Paper, No.21-14, https://ssrn.com/abstract=3871873, last visited on18A-pril2022.

　　[94]See Case VBL-Gegenwert I, para.65, http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py? Gericht=bgh&Art=en&nr=66030&pos=0&anz=1, last visited on 18 April 2022; Case KZR47/14, VBL-Gegenwert II, Decision of 24 January 2017, para.35, http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py? Gericht=bgh&Art=en&nr=77833&pos=0&anz=1, last visited on 18 April 2022.

　　[95]See Stefan Thomas, “Anmerkung BGH：Kartellrecht und AGB-Kontrolle-VBL-Gegenwert II,”(2017)6 LMK 392671.

　　[96]See Case C-238/05, supra note [59], para.63; Case M.7217-Facebook/Whats App, supra note [60], para.164.

　　[97]See Miriam Caroline Buiten, “Exploitative Abusesin Digital Markets：Between Competition Law and Data Protection Law,” Journal of Antitrust Enforcement, Vol.9, No.2, 2021, p.282.

　　[98]See Case KVR69/19, Facebook, Decision of 23 June 2020, para.86, https://www.bundeskartelamt.de/Shared Docs/Publikation/EN/Pressemitteilungen/2020/23_06_2020_BGH_Facebook.pdf?__blob=publication File&v=2, last visited on 18 April 2022.

　　[99]参见斯图克等，见前注[16]，第329-335页。

　　[100]See Alfonso Lamadrid and Sam Villiers, “Big Data, Privacy And Competition Law：Do Competi-tion Authorities Know How To Do It?” Competition Policy Internationa Antitrust Chroniclel, 2017, p.4, https://antitrustlairf.iles.wordpress.com/2017/01/cpi-lamadrid-villiers.pdf, last visited on 18 April 2022.

　　[101]参见斯图克等，见前注[16]，第292页。

　　[102]欧盟《通用数据保护条例》（GDPR）第83条规定最高处罚为2000万欧元或者上年度全球营业额5%以内的罚款，以其中较高者为准，但并未规定结构性救济。

　　[103]参见王锡锌：“国家保护视野中的个人信息权利束”, 《中国社会科学》2021年第11期，第125页。

　　[104]See Laura M. Alexander, “Privacy and Antitrust at the Crossroads of Big Tech,”2021, p.12, https://www.antitrustinstitute.org/wp-content/uploads/2021/12/Privacy-Antitrust.pdf, last visited on 18 April 2022.

　　[105]See Kimmelman, Feldand Rossi, supra note [9], p.272.

　　[106]See Economidesand Lianos, supra note [2], p.790.

　　[107]See Ramon Casadesus-Masanell and Andres Hervas-Drane, “Competing with Privacy,” Manage-ment Science, Vol.61, No.1, 2015, pp.229-246.

　　[108]See HiQ Labs, Inc.v. LinkedIn Corp., 938 F.3d 985(9th Cir.2019), 994.

　　[109]See Erika M. Douglas, “The New Antitrust/Data Privacy Law Interface,” The Yale Law Journal Forum, Vol.130, 2021, p.664.

　　[110]See HiQ Labs, Inc.v. LinkedIn Corp., supra note [108].

　　[111]See Thomas Tombal, “GDPR As Shield to a Data Sharing Remedy,” Accepted Paper for the CPDP 2020 and ASCOLA 2020 Conferences, p.5, https://papers.ssrn.com/sol3/papers.cfm? abstract_id=3516718, last visited on 18 April 2022.

　　[112]See Catherine Tucker, “Online Advertising and Antitrust：Network Effects, Switching Costs, and Data as an Essential Facility,” Competition Policy International Antitrust Chronicle, 2019, p.6, https://www.competitionpolicyinternational.com/wp-content/uploads/2019/04/CPI-Tucker.pd, last visited on 18 April 2022.

　　[113]欧盟新推出的《数据法案（草案）》考虑到了这一点，在“与第三方共享数据权利”规定中排除了“守门人”作为第三方的资格。See European Commission, Data Act：Proposal for a Regulation on harmonised rules on fair access to and use of data, Article 5, https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data, last visited on 18 April 2022.

　　[114]See Douglas, supra note 109, p.660.

　　[115]See Douglas, supra note 109, pp.681-683.

　　[116]参见斯图克等，见前注[16]，第419页。

　　[117]参见斯图克等，见前注[16]，第423-425页。

　　[118]See Alexander, supra note [104], p.11.