一、用戶數據財產利益的國家保護義務
“數據”,《數據安全法》第3條第1款將其定義為“任何以電子或者其他方式對信息的記錄”。其并非全新的客體形式,信息技術發展早期人類即可通過數據完成基本信息的記錄、存儲和運算。技術變革實現了從“小數據”向“大數據”時代的升級:智能設備制造的進步,使得企業可以收集數據、存儲海量數據;大數據算法、機器學習等技術進步使得人類可以在短時間內獲取、分析大量非結構化數據,企業可通過大數據分析產生決策性、生產性信息,用戶提供其個人數據可以享受個性化服務。技術變革帶來了社會關系的變革:隨著企業數據收集、存儲、分析能力的增強,其可以準確地捕捉個人過往生活軌跡并預測未來選擇。如果用戶無法控制對其個人數據的收集、利用,將導致用戶隱私等人格權易于被他人侵犯;大數據分析提供了滿足人類需求的新方式,使得數據成為經濟意義上的新“財貨”形式,用戶與企業、企業彼此之間產生了合理分配數據經濟價值的現實需求。
這在憲法層面賦予了公民基本權利新的內涵,成為了新時代數據法制體系構建的基礎。至少32個國家的憲法專門規定了個人數據保護。在1983年德國“人口普查案”中,德國聯邦憲法法院通過闡明德國《基本法》第1條第1款和第2條第1款中人格尊嚴和人格自由的內涵,最早確認“信息自決權”為一項憲法上的基本權利。歐盟《基本權利憲章》第8條“個人數據保護”規定,人人均有權享有個人數據保護。我國《憲法》雖未將數據保護明確列舉為一項基本權利,但憲法基本權利體系具有價值和實踐上的開放性,數據保護內容可以被既有的基本權利條款所涵攝:首先,我國《憲法》第38條規定了“中華人民共和國公民的人格尊嚴不受侵犯”,該條作為我國人格利益保障的基本權利條款,隨著個人人格由現實逐漸向虛擬世界延伸,公民決定個人信息能否被知悉以及知悉方式、范圍的權利應當被納入人格尊嚴的基本內涵;其次,在經濟生活中,我國《憲法》第15條第1款規定“國家實行社會主義市場經濟”,間接地承認了公民的經濟自由權。隨著經濟數字化轉型,公民個人以及作為其延伸的企業享有平等地在數字環境中參與經濟生活的自由,由此產生的經營成果不受不法侵害。基本權利一方面有抵御國家權力對公民不法侵害的防御權能,另一方面其作為“客觀價值秩序”,使得國家有義務最大化地實現憲法的規范意圖,在國家權力運行中將基本權利作為憲法的價值決定,保障基本權利實現,從而產生國家對公民的“國家保護義務”。面對大數據帶來的社會秩序變化,公民具有向國家主張立法制度完善、行政執法保護、司法合憲性解釋以保護其數據利益的請求權。目前,在基本權利價值秩序的實現中,我國數據保護制度體系構建重自然人人格信息、企業數據財產利益保護,忽視了個人數據中的財產價值和經濟自由保障,導致形成了用戶在經濟生活中被數字平臺鎖定的利益失衡格局。
為保護公民人格尊嚴,既有立法已經建構起了完整的個人信息保護體系,保護涉及私人領域的個人信息不受不法侵害。我國《民法典》《電子商務法》《網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等構成的制度體系建立起了我國個人信息收集的“知情同意”原則,并賦予了數據主體查詢、更正、刪除其個人信息的權利。2021年,我國通過了專門的《個人信息保護法》,從個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除的全過程為個人信息提供保護,確保了在數據收集者、處理者與用戶的互動關系中用戶個人信息之上的人格利益不受不法侵害。在保障用戶個人信息不受侵害的前提下,按照私法自治原則,企業可依法取得用戶同意而雙方訂立合同就數據收集、存儲、利用作出安排,進而取得對用戶數據的合法占有。對企業收集的大數據集合,由于收集過程需要高額投資且成果易于被他人復制,實踐中法院通常以反不正當競爭法一般條款為企業數據財產利益提供寬泛保護。
除了承載人格信息外,用戶數據兼具財產價值。絕大多數互聯網免費商業模式以用戶全面同意其收集和使用個人信息為前提,數據在交易中承擔起類似于貨幣的“對價”功能,尤其是在大數據分析廣泛地應用于經濟生活的情況下,用戶數據成為了數字環境下用戶享受個性化服務乃至參與基本經濟活動的前提。現行立法主要從人格利益出發為個人信息提供防御性保護,對用戶數據財產價值的法律地位、保護機制并未作出規定。當前的突出矛盾在于,對經用戶授權并為企業合法占有的數據,用戶自身是否具有使用、收益、處分的權利?這已成為數據平臺與用戶交往、平臺間競爭的制約性因素,如在騰訊訴抖音、多閃案中,騰訊公司與字節跳動公司通過開放平臺合作,向抖音產品提供微信/QQ賬戶授權登錄服務,在雖取得用戶同意卻未取得數據持有者即騰訊公司授權的情況下,抖音、多閃從微信數據庫調取用戶個人數據,騰訊公司主張抖音、多閃的行為構成不正當競爭,抖音、多閃則認為用戶對其個人數據具有正當處分權限。這凸顯了用戶與企業在數據財產價值分配中的二元對立。在未明確用戶數據法律屬性、保護機制的前提下,將數據收集、利用、處分完全交由用戶與企業通過合同自主安排,在用戶與企業實力嚴重不對等的情況下,將會造成對用戶經濟自由的不當限制。絕大多數互聯網免費商業模式中,由于信息不對稱,用戶很難預測其提供的個人數據的未來用途和后果,用戶同意的意思自治模式很大程度上被虛化。同時,由于數字市場具有較強的網絡效應而呈現出高度集中的特點,少數平臺掌控著服務供應和數據收集的有限端口且互不兼容,用戶僅能在少數網絡平臺之間進行選擇。用戶一旦向平臺作出授權,便事實上失去了對其數據的控制。用戶對數據的控制被企業的“數據財產利益”所吸納,導致用戶在以數據為“通貨”的數字市場難以向其他產品服務轉換。這極大地限制了用戶在數字市場的選擇自由。
憲法基本權利要求國家保障公民在經濟活動中的一般行為自由,面對數字市場的鎖定問題,用戶有權向國家請求保護其數據財產利益,尤其是保障對其數據的自由處分而實現數字市場的自由選擇。這對當前數據保護制度體系完善提出了具體要求,但并非當然地要求立法為用戶設置一項新的“數據財產權”。因為單一用戶數據本身價值有限,并不存在為用戶分享收益的必要性。從數據鎖定現實問題出發,更加迫切需要解決的問題是探索法律如何保障用戶的數據處分自由,包括用戶直接獲取、利用、傳輸其數據或將之由一個數據持有者傳輸向另一個數據持有者進行分析、利用,即用戶數據攜帶權益。因此,本文主要圍繞此展開探討。就如何實現用戶數據的自由攜帶,目前主要有三種制度路徑。1.用戶數據處分的私法賦權。借鑒歐盟《一般數據保護條例》(以下簡稱GDPR)規定的“數據可攜帶權”(Right to Data Portability),我國《個人信息保護法》確立了個人信息的可攜帶權,旨在通過私法賦權的方式在用戶與平臺的互動中解決用戶鎖定問題。2.將用戶數據處分作為企業數據財產利益保護之例外。反不正當競爭法一般條款為企業數據集合提供了一般性保護。司法實踐中,有的法院從鼓勵市場競爭和保障用戶權益出發,例外性地將第三方企業的用戶數據遷移行為作為正當競爭行為,從而以市場力量間接地實現對用戶權益的保障。3.在競爭法框架下確立經營者保障用戶數據處分權益的強制性義務。為彌補數據可攜帶權的不足,有學者提出在競爭法或市場管制法框架下保障用戶對其數據的支配以破解用戶鎖定問題。以上三種路徑均為保障用戶數據處分權益提供了可能,同時存在局限和不確定性,本文以下將分別對此三種路徑進行探討,從而尋求破除用戶數據鎖定、保障用戶數據自由流動的合理制度安排。
二、用戶數據攜帶作為新型民事權利
為了避免完全意思自治導致用戶與企業在數據財產價值分配中的利益失衡,學界主流觀點之一即以私法賦權方式保障用戶數據中的財產價值,制衡技術強權。其權利構造主要包括兩種模式:一是類比于傳統物權設立用戶“信息財產權”/“數據財產權”,使用戶可對其個人信息享有占有、使用、收益、處分的權能;二是以歐盟GDPR規定的“數據可攜帶權”為典型,授予用戶在不同平臺之間自由遷移其數據的權利。兩種方案均旨在增強用戶在與經營者博弈時的議價能力,核心區別在于對用戶“數據財產”中人格利益的考量程度不同,前者構造側重于使用戶在數據經濟中分享收益,后者選擇了對用戶拘束力最小的模式,最大化保障其在數字經濟活動中對用戶數據的控制力。
從問題導向出發,完全類比于物權設立用戶“信息財產權”的局限性明顯。在大數據時代,單獨個人數據本身價值有限,且用戶在提供數據時通過免費服務等方式獲得補償,市場失靈、公地悲劇等傳統知識財產授權的正當性事由難以成立,使用戶分享收益并非用戶數據處分權構造的首要目標,也不需要額外的財產權激勵生成數據。此外,在數字市場高度集中、用戶與企業實力不對等的背景下,數據企業向用戶提供的往往只有接受與否兩個選項,用戶一般只能被迫接受,授予用戶完全的財產權也難以實質性改變用戶的議價能力,反而將導致經營者對用戶數據的完全所有和進一步牢固鎖定。較之“信息財產權”,歐盟GDPR“數據可攜帶權”弱化個人數據處分中的經濟利益考量,專注于解決用戶數據自由處分問題,允許用戶向數據收集者獲取其數據并在不同平臺間轉移,以最大程度地保障個人在參與網絡經濟活動中的自由,是更為合理的選擇。這一制度模式也被譽為“開啟了未來數據立法的新范式”。可攜帶權模式已成為用戶私法賦權的相對成熟制度模式,但能否真正保障用戶對其數據的處分權益仍有待檢驗。結合歐盟法上該權利的生成史及存在的問題,現就我國《個人信息保護法》第45條第3款“個人信息可攜帶權”的功能及局限分析如下。
(一)歐盟“數據可攜帶權”制度的初衷與實施困境
歐盟GDPR第20條規定了數據主體對個人數據的“數據可攜帶權”。該權利包括數據獲取和傳輸兩方面的權能:第一,數據主體有權從控制者處以結構化、通用、機器可讀的形式獲取其個人數據;第二,技術上可行的條件下,數據主體有權將個人數據以結構化、通用、機器可讀的形式由數據控制者傳輸給另一個控制者。
根據GDPR序言(Recital)第68條,第20條的立法目的在于“加強對個人數據的控制”,權利基礎來源于歐盟《基本權利憲章》第8條規定的“每個人都有權獲得個人數據保護”。其內涵最早源于德國聯邦憲法法院在“人口普查法案”中所確立的“信息自決權”,信息主體有決定其個人信息能否被他人獲知以及知悉的方式、范圍的基本權利。根據歐盟委員會GDPR立法前評估,該制度主要解決用戶對其個人數據控制的以下不足:用戶個人很難在應用程序服務中提取其個人數據或實現個人數據在不同平臺之間的傳輸,隨著在線服務越來越多,積累的個人數據也越來越多,在缺乏有效數據遷移機制的情況下,用戶轉換服務平臺即意味著失去其個人信息且重制成本高昂,這有可能導致用戶被平臺鎖定而無法接受其他更好的服務。面對現實環境的發展變化,僅基于個人信息隱私的保障已無法滿足廣泛的人格發展的需要,用戶積極利用和處分其數據的自由被納入了“個人數據保護”的基本權利內涵。借鑒商業實踐中“數據可攜帶項目”以及電信法的“號碼攜帶權”,數據可攜帶權被納入GDPR以解決數字經濟中的用戶鎖定問題,以私法賦權進一步平衡數據主體與數據控制者之間的關系,間接地實現促進競爭的效果。有觀點認為該權利不僅是“數據保護權”,更是一項經濟權利,“允許數據主體/消費者可直接通過可攜帶、用戶友好、機器可讀的方式獲取數據,以緩解大公司與數據主體/消費者之間的經濟不平衡性,使得個人(與平臺)共享大數據產生的財富,并激勵開發者向用戶提供更優質的功能和程序”。
雖然用戶對其數據的個人控制和自由處分已發展為個人信息自決權的重要內涵,但是將該基本權利價值轉化為一般民事權利,需要對“個人數據”范圍作出實質性擴張,并對權利實施的有效性提出了較高要求,而在個人數據保護框架下解決這一問題存在明顯的局限。首先,個人數據是指與自然人相關的已識別或可識別信息,這是從個人隱私消極防御角度作出的相對寬泛而模糊的界定,企業在進行數據遷移時往往難以清晰界定個人數據與非個人數據,在數據流動層面缺乏現實指導和法律確定性。從解除用戶鎖定、實現數字人格的自由發展而言,大量個人數據與非個人數據的合并,共同構成了個人人格在數字世界的延續,也是用戶接受其他產品或服務的前提,因此數據遷移賦權應當實現由個人數據向用戶產生所有數據的擴張。其次,在用戶與經營者實力嚴重不對等的現實環境下,欲實現用戶數據自由流動的目標,對權利實施有效性提出了較高的要求。因為鎖定效應本質上源于網絡經濟中不同網絡系統的互不兼容,用戶數據自由移動需要在不同數據控制者的網絡系統之間建立數據互操作性(Interoperability)而保障權利行使。例如,數據可攜帶權源自電信網絡中用戶“號碼可攜帶權”的類比,電話號碼可攜帶權的實施即以不同電信網絡之間的互聯義務為前提。根據“數據可攜帶項目”(Data Portability Project)共同創始人Chris Saad的解釋,“互操作性意味著無論誰提供或接收數據,都應以共同體商定的方式提供,以便實施一致,無論參與交易的各方如何”。只有不同網絡系統之間開放應用程序接口、就數據存儲格式達成一致標準,用戶才能實現數據實時遷移和不同網絡系統之間的自由選擇。因此,在GDPR最初建議稿中,歐盟委員會擬賦予數據可攜帶權廣泛的權能:第一,數據主體有權將個人數據以及其向數據控制者提供并存儲的其他任何數據向其他控制者進行傳輸;第二,由歐盟委員會統一確定個人數據傳輸的技術標準、方式和程序。
然而,在個人數據保護法下將用戶數據處分的價值絕對化,不可避免地會導致與其他基本權利價值以及具體民事權利的沖突。具體而言,強制企業向他人開放用戶網絡,實現數據存儲、傳輸的強制標準化,無疑將構成對企業財產權和經營自由的限制,間接地導致市場支配企業與中小企業的市場競爭扭曲并阻礙創新:第一,對谷歌、Facebook等大型互聯網企業而言,編寫實現數據可攜帶權的“導入—導出”模塊并非難事,但對中小企業而言將會產生較高合規成本;第二,用戶數據資源是數據企業的競爭力來源,普遍強制網絡開放將導致用戶更容易由中小企業流向已建立起網絡正反饋效應的大企業,大企業可以通過模仿中小企業創新商業模式并借助其網絡規模優勢贏得市場競爭,致使中小企業在數字市場很難有創新競爭的空間;第三,用戶數據可能不僅僅涉及個人內容,還涉及他人數據、知識產權、商業秘密等內容,無限制地允許數據傳輸將構成對他人權利的侵犯。
因此,該GDPR最初建議稿在歐盟議會和理事會審查階段遭到了強烈批評,GDPR立法過程中不得不三易其稿,進一步限縮用戶數據控制的范圍而平衡多方利益。在歐盟議會階段,數據攜帶對象由數據控制者掌握的與用戶相關所有數據限縮為已提供的個人數據,刪除了由歐盟委員會制定數據傳輸標準、方式、程序的規定,并明確僅在“技術上可行”的情況下可直接遷移個人數據。歐盟理事會進一步將數據傳輸格式由電子、結構化、常用格式修改為技術上最低要求的“機器可讀”格式,并為平衡其他利益而規定數據可攜帶權行使“不得對他人的權利和自由產生不利影響”。修改之后不同網絡之間互操作性的要求完全被取消,GDPR序言第68條進一步明確,“數據主體傳輸或接收與其有關的個人數據的權利不應使控制者有義務采用或維護技術上兼容的處理系統”,僅“鼓勵數據控制者開發互操作的格式以實現數據的可攜帶性”。
由于與其他基本權利價值存在潛在沖突,數據可攜帶權的權能被大大削弱,其雖然名義上作為一項民事權利,卻因義務主體不同而具有不同權利內容,甚至有無義務也有所不同,導致其與消除用戶鎖定、促進數據再利用的制度目標存在著現實鴻溝。首先,如前所述,個人數據與非個人數據的二分結構本身并非是從數據流動角度的科學考量,而是在個人數據保護立法下路徑依賴的結果,但受限于GDPR個人數據保護立法目的,數據遷移的對象僅限于用戶已向數據控制者提供的“個人數據”而非全部數據,難以實現在經濟生活中消除用戶鎖定的目的。其次,不同平臺之間的數據傳輸以“技術上可行”為前提,現實是不同數據處理者之間存在缺乏兼容性和互操作性等技術上的障礙,何為技術上可行以及何者有義務保障實現技術可行并無定論。即使可實現跨平臺之間的用戶數據遷移,現行GDPR賦予的數據可攜帶權僅是一種非實時、非持續性的數據傳輸,更接近于GDPR第15條數據訪問權的延伸,功能主要在于增加企業數據收集的透明度,使數據主體可更好地了解哪些數據被收集,卻難以實現用戶在不同服務之間的自由切換和解決網絡效應帶來的鎖定問題。
由于數據可攜帶權行使條件的不確定性,歐盟GDPR實施后,實證調研結果顯示,幾乎沒有平臺提供直接的用戶數據遷移服務,實踐中也缺乏用戶向數據處理者主張數據可攜帶權的案例,只有約1/4的平臺提供數據獲取服務,即用戶有權以結構化、常用和機器可讀的格式接收其向控制者提供的與其相關的個人數據。可以說,數據可攜帶權仍然停留于監管者的立法創意層面,而并未在現實中真正為用戶所認識和行使。
(二)我國“個人信息可攜帶權”:簡單移植或已脫窠臼
隨著數字技術的發展,個人在虛擬世界中通信、娛樂、購物等數字痕跡的集合構成了個人人格在數字世界中延續和參與經濟社會生活的前提,故歐盟《基本權利憲章》中“個人數據保護”基本權利的內容從消極防御向保障個人數據積極處分擴張,成為歐盟“數據可攜帶權”的基本權利基礎。我國《憲法》雖然并未明確將數據保護納入基本權利范疇,但個人信息自決根本上派生于憲法上人格自由發展和人格尊嚴不受侵犯的基本原則,我國《憲法》規定“國家實行社會主義市場經濟”,間接地承認了公民的經濟自由權。隨著數字技術在人類生存和發展中逐漸不可或缺,個人對其數據的積極利用和處分是個人經濟自由的應有之義。
基于在基本權利層面的相似性,我國《個人信息保護法》第45條第3款確立了“個人信息可攜帶權”,規定“個人請求將個人信息轉移至指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑”。然而,即使個人對其數據的處分利益可為基本權利所涵攝,這僅僅為該利益保護尋得了正當性根源,卻并不必然要賦予用戶對其數據的絕對處分權。如果將用戶對數據的處分利益權利化,該權利的實現必然要以企業間普遍建立互操作性為前提,可能構成對他人營業自由和財產利益的過度限制,造成“保護一種基本權利,就是剝奪另一種基本權利”的困境。故而我國《個人信息保護法》為用戶個人信息遷移施加了一定的限定條件。首先,并不是所有個人生成的信息都可以進行遷移,受限于個人信息保護的立法目的,可攜帶內容僅包括《個人信息保護法》第4條規定的“個人信息”,即“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”。其次,個人信息攜帶附有一定條件,并非所有的個人信息都可以被攜帶。歐盟規定在技術上可行的條件下,用戶可以要求在數據控制者之間以結構化、通用、機器可讀的形式傳輸其個人數據,對何為“技術上可行”并未明確;我國“個人信息可攜帶權”行使則以“符合國家網信部門規定條件的”為限制。在當前數據控制者彼此之間互不聯通的現實條件下,數據是企業核心競爭力,實現數據互操作性也需要一定成本,立法很難一刀切地在不同企業之間強制建立數據互操作性。故而歐盟將數據可攜帶權的實施寄希望于未來技術發展和平臺壁壘的消除;我國《個人信息保護法》則將該條件的實現交由國家網信部門加以把握,授權國家網信部門根據我國信息技術發展、行業慣例等合理因素來靈活設定相應條件,在個人信息主體與信息處理者之間審慎地進行利益平衡。
目前來看,我國“個人信息可攜帶權”也未能跳出窠臼,與歐盟“數據可攜帶權”面臨著同樣的困境。在民法上,利益成為一項新的“權利”需要滿足歸屬內容確定性、社會典型公開性、普遍排除效能三項要件。其中,普遍排除效能要求權利人可以對世性地排除他人對客體的相關行為。“個人信息可攜帶權”并非是一項用戶可以向個人信息處理者普遍主張的權利,立法僅對用戶數據處分權益進行了宣示和肯認,卻未規定該利益實現的機制或方式,因此是一項附條件或者形式上的“權利”。可見,《個人信息保護法》對個人信息可攜帶權的規定,并非是用戶數據鎖定問題的終結,而僅僅為立法上解決該問題的開端。未來解決該問題的核心在于,如何推動建立用戶數據攜帶的現實條件,即在不同數據平臺之間建立數據互操作性。
三、用戶數據攜帶作為企業數據保護之例外
如前所述,《個人信息保護法》僅在立法上肯認了用戶數據攜帶的正當性,并未在制度規范層面明確“個人信息可攜帶權”的義務主體和實現條件,尤其是法律對作為用戶數據攜帶前提的互操作性條件并未作出規定,從而導致該權利有名無實。雖然立法未作強制要求,現實中伴隨著用戶數據價值的不斷凸顯,市場主體基于逐利的本性,逐漸自發地為用戶提供數據遷移服務,即市場力量一定程度上保障了用戶對其數據的個人控制和自由處分。如在社交媒體領域,國內及國外都出現了聚合平臺,即將用戶在不同社交平臺領域的數據聚合到一起,允許用戶實現信息一鍵查看和處理。這種市場的自發力量,有望化解用戶與平臺之間技術力量對比懸殊的問題,實現對用戶數據的最大化保障。
在法律層面,市場力量的發揮卻面臨著數據收集者與用戶以及第三方平臺之間就數據財產利益分配的沖突問題,法律對企業數據財產利益的保護成為了第三方主體提供數據遷移服務的主要阻礙之一。現行法律體系下,立法雖未確立數據收集者對其收集數據集合的財產權,從保護企業數據投資利益出發,司法實踐通常在反不正當競爭法下適用一般條款為企業數據提供寬泛保護。一般認為,不正當競爭行為成立應滿足存在競爭關系、損害競爭者的合法權益、行為違反誠信原則或公認的商業道德三個要件。在數據保護的司法實踐中,各級法院往往對競爭關系作出寬泛認定,焦點主要在后兩者。裁判思路可歸納為:1.確認數據收集者在數據收集過程中付出了實質性投資,數據集合能為其帶來經濟利益和競爭優勢,因此數據收集者對其數據集合具有競爭法上的利益;2.競爭者未經數據收集者授權獲取數據的行為,損害了數據收集者的財產利益;3.相關行為因“食人而肥”“不勞而獲”違反公認的商業道德而具有不正當性。在此裁判思路下,一般條款為企業數據提供了寬泛的保護。因此,有學者認為,司法實踐試圖激活反不正當競爭法一般條款以確立事實上的“數據財產權”。
在此前提下,基于市場力量的用戶數據遷移行為會導致用戶數據從一個平臺流向另一個平臺,不可避免地與企業數據財產利益保護產生沖突。如在前錦網絡信息技術(上海)有限公司與上海逸橙信息科技有限公司不正當競爭糾紛案(以下簡稱前錦訴逸橙案)中,原告前錦公司創辦“前程無憂”網站,收集、存儲并發布人才供求信息,被告逸橙公司創辦“e成”網,提供類似的人才供求信息發布和管理服務,同時在其網站上設置“關聯外網賬號”功能,企業用戶可選擇“關聯外網”操作,即用戶在逸橙公司網站登錄前錦公司等求職信息網站的用戶名、密碼而選擇關聯賬號可自動登錄該網站,爬取該用戶在前錦公司網站接收到的求職者簡歷并自動傳輸到逸橙公司網站“人才庫”中,從而允許用戶一站式處理多個渠道的投遞簡歷。前錦公司認為,逸橙公司通過引導用戶使用“關聯外網賬號”功能,獲取其網站的完整簡歷信息并加以使用的行為,違反反不正當競爭法一般條款而構成不正當競爭。就類似案件,在反不正當競爭法一般條款的判斷框架下,相對容易確定的是,企業對其收集數據具有財產利益、數據遷移行為將對其利益造成一定的損失;相對難以判斷的是,該行為是否具有不正當性。何為誠實信用或正當商業道德具有模糊性,導致反不正當競爭法框架下判斷遷移用戶數據行為是否侵權具有不確定性,司法實踐中對此存在不同立場。在前述抖音訴多閃案中,法院認為,平臺對其收集的數據具有財產利益,將數據向第三方平臺遷移除須取得用戶授權外,還必須取得平臺授權,否則將構成不正當競爭。在前錦訴逸橙案中,法院則認定被告經用戶授權遷移數據行為具有正當性,被告關聯賬號或遷移數據的行為,沒有干擾原告所提供的服務而未對其利益造成實質性損害,卻為消費者提供了效率和便利,且不會影響正常的市場競爭秩序,不構成不正當競爭。
目前,企業數據財產利益的法律保護一定程度上阻礙了市場力量為用戶數據遷移賦能,尤其是反不正當競爭法一般條款適用的不確定性難以為市場主體開展相關服務提供穩定的法律預期。本文認為,企業數據財產利益的保護并不具有絕對性,在立法未對數據權屬作出明確分配的前提下,應當在數據收集者財產利益與用戶對其數據處分權益之間作出恰當平衡。具體而言,企業對數據的財產權益可分為兩個方面。第一,對于網絡平臺的數據整體或集合,平臺對其進行大量投資和實質加工,具有較高的利用價值和交易價值,如果他人可以輕易獲取,企業將難以收回投資而導致市場失靈,故有必要在法律上提供相對嚴格的保護。第二,單一用戶數據本質上是用戶信息轉換為電子符號的外在形式,數據收集者對該數據并未提供創造性勞動成果,依其與用戶的約定享有對原始數據的有限使用權,價值也主要是在為用戶提供服務過程中的相對價值。在用戶數據遷移的情境下,主要涉及單一用戶數據之上的利益,第三方提供數據遷移服務,原數據控制者仍然保留對用戶數據的使用權,對其營業不會造成實質性影響,且其不必承擔任何遷移成本,同時,這為用戶提供了更為便利和有效的服務,使得用戶更加充分地控制其數據,有利于解除用戶鎖定和促進更加自由的市場競爭,可以實現數據收集者、用戶、競爭者的帕累托最優。因此,本文贊同上海知識產權法院在前錦訴逸橙案中的觀點,在通過反不正當競爭法一般條款對企業數據財產利益提供寬泛保護的背景下,有必要將用戶數據遷移作為企業數據財產利益保護之例外,通過司法解釋或指導案例的形式明確,在用戶授權的前提下,經營者正當且必要地獲取他人控制的用戶數據,一般不認定構成不正當競爭行為。
將用戶數據遷移作為企業數據財產權益保護之例外,有利于經營者主動開發多樣化服務,通過市場競爭機制來縮小用戶與平臺之間的技術鴻溝、消除數據鎖定問題。然而,由于數字經濟場景下所涉利益的多元性,不同利益的糾葛限制了市場力量成長和作用發揮的空間,主要包括兩方面。
第一,用戶數據攜帶權益與第三人個人信息保護的沖突。數字環境往往涉及交互場景,這決定了企業收集數據中不僅包括用戶單方提供的數據,通常還包括第三方共同提供的數據,即涉他數據問題。典型地如社交媒體上用戶發布的照片、視頻以及好友的評論等。經營者在根據用戶授權遷移相關數據時,同時涉及到涉他數據的處理,如果未經第三人同意而直接轉移相關數據,將涉及對第三人個人信息權益和隱私的侵犯。但從現實可操作性出發,經營者無法事先了解涉他數據中第三方主體身份并一一獲得授權,這從根本上限制了第三方為涉他數據提供遷移服務的可行性。如在深圳市騰訊計算機系統有限公司等訴杭州聚客通科技有限公司不正當競爭糾紛案中,法院認定,聚客通公司提供的用戶數據遷移服務并不構成對騰訊公司數據權益的侵犯,但由于微信聊天記錄中同時涉及第三方個人信息,涉案行為由于侵犯第三方個人信息權益而構成不正當競爭。
第二,用戶數據遷移權益與網絡安全、數據安全的沖突。依照呈現方式不同,數據可分為公開數據與非公開數據,除了用戶通過社交媒體平臺等渠道主動分享公開的數據外,企業通過傳感器等方式獲得用戶行為的觀測數據(observed data)等一般為非公開數據。相關數據生成、收集之后,企業一般將其存儲在服務器中并施加技術措施,選擇不對外開放或僅向有限主體開放訪問,第三方主體未經數據持有者授權而爬取數據的行為將可能構成侵權。近年來,我國先后通過了《網絡安全法》《數據安全法》。《網絡安全法》第27條、《數據安全法》第32條分別規定了對企業網絡設施和數據安全的保護。第三方主體向用戶提供數據遷移服務,其能夠通過網絡爬取等方式直接獲得的僅限于公開數據,而對于企業施加技術措施保護的非公開數據,如果其規避、繞開相關技術措施,將可能構成對網絡安全或數據安全的侵害。
因此,依靠第三方市場主體提供數據攜帶服務雖然可以解決用戶數據鎖定問題,但由于數字環境下涉及多元利益糾葛,其主要局限于在公開、非涉他數據的情形中發揮作用。僅依靠市場力量可能無法在用戶數據攜帶權益與第三人個人信息權益、網絡數據安全等利益之間進行平衡,為了更加全面地保障用戶對其數據的控制權,有必要尋求更強有力的法律介入和系統的制度設計。
四、用戶數據攜帶作為“守門人”的強制義務
用戶數據自由攜帶的關鍵在于平臺之間建立數據互操作性的環境,其涉及用戶、數據持有者與第三方數據接收者之間的三方關系,以用戶對其數據處分為前提,同時要求數據持有者、第三方數據接收者之間達成合作,就開放數據傳輸的應用程序接口、數據標準格式、構建安全的數據傳輸環境等達成一致。因此,僅僅在法律層面為用戶賦權或為第三方數據接收者免責只能夠解決部分問題,卻無法就數據格式、網絡安全等系列問題達成一致,有必要在法律層面作出更有約束力的安排,推動數據持有者主動參與合作,健全用戶、數據持有者、第三方數據接收者的三方治理框架。作為市場經營主體,數據持有者的義務可在市場公平競爭監管的框架下加以分析。
(一)市場競爭視角下用戶鎖定成因分析
伴隨著數字時代用戶數據逐漸呈現出對價屬性,數據保護成為互聯網服務商之間的重要非價格競爭要素,用戶對其數據的控制力、平臺對數據交換安全性的保障構成了互聯網產品或服務質量的重要組成部分。理論上,為了吸引足夠多的消費者,企業有動力為不同偏好的消費者提供不同數據保護選項,推動平臺開放并保障用戶數據的自由攜轉也將成為平臺間競爭的維度之一。在網絡平臺爭奪用戶的市場競爭中,開放平臺與否的成本與收益并存,平臺存在著不同策略選擇。一方面,企業可以選擇開放技術標準和平臺,通過生產和服務的模塊化建立網絡,促進互補產品和服務的創新,迅速形成網絡效應而擴大網絡和用戶規模。其缺陷在于,采取完全的互操作性或開放策略,平臺創新價值無法完全實現內部化,同時難以對互補產品的質量和安全性進行監控,可能導致網絡可靠性和安全性風險。另一方面,企業可能希望開發更多的創新產品和服務,根據創新的特定要求其可能傾向于控制整個價值網絡,確保其服務的特定質量和功能,強制建立完全互操作性和開放性可能危及其商業模式,因此更加傾向于采取封閉策略,但其發展的網絡用戶規模可能相對較小。在信息充分且自由選擇的情況下,用戶可根據自身偏好選擇不同平臺服務:有的用戶可能更偏好封閉系統下更為穩定、可靠的網絡服務,同時承受潛在的網絡鎖定等問題;有的用戶可能更加重視平臺的開放性和靈活性,而承受存在的可靠性和安全性風險。完全競爭的理想圖景下,企業有動力根據用戶偏好提供數據保護選項和互操作性設計,就不同的商業模型和不同程度的互操作性之間展開競爭,借助市場的力量可滿足不同的用戶偏好而保障用戶對其數據的充分控制,不必要通過國家權力強制調整。
然而,理想與現實卻存在顯著差距,實踐中企業很少在平臺開放性層面展開競爭,導致用戶數據鎖定,主要有兩方面原因。
1.高度集中的市場結構難以滿足用戶偏好
由于數字經濟兼具規模經濟、網絡經濟的特性,取得先發優勢的平臺往往會率先建立正反饋過程,導致市場天然地會向少數企業集中,從而形成寡頭壟斷或“贏者通吃”的市場均衡結構。以常用互聯網服務為例,在歐洲,谷歌占據90%的搜索引擎市場份額,Facebook占據90%的社交媒體市場份額,亞馬遜占據電子商務領域30%的用戶份額和60%的市場收入;在我國,百度占據80%以上搜索引擎市場份額;騰訊占據90%以上即時通訊領域的市場份額,阿里巴巴占據電商市場80%以上的市場份額;同時,數字經濟中的競爭越來越成為數字生態系統之間的競爭,各互聯網巨頭不斷實現縱向一體化,通過兼并收購向互聯網的各個領域滲透,據統計,騰訊、字節跳動、百度、阿里巴巴四家公司旗下的應用占據整個移動互聯網用戶在線時長的70%。在高度集中的市場結構下,各大數字巨頭共同掌握著數據收集和數據服務的少數端口。面對支配性平臺的有限供給,用戶往往沒有選擇或只能選擇有限的服務,用戶的數據保護需求難以得到滿足。
2.用戶選擇中的信息不對稱和鎖定效應
數字市場充分競爭的前提在于,消費者充分知情且選擇自由。大數據技術本身面臨著高度的不確定性,數據分析之前并不存在概括的“目的”,用戶通常并不知曉何者在獲取其數據,哪些數據正在被使用,以何種方式被使用以及未來將為消費者提供何種服務,甚至企業也難以預料其使用數據的方式和潛在用途。因此,消費者往往從有限的服務選項中作出選擇,要想選擇滿足需求的服務,用戶只能在體驗中不斷加深了解而作出進一步的選擇。現實悖論是,網絡經濟中用戶一旦選擇即被“鎖定”而無法退出或面臨較高轉換成本:網絡效應決定了同一網絡中不同節點彼此互補,實踐中不同廠商之間往往互不兼容以實現網絡價值的完全內部化,用戶對某一互聯網服務的持續使用將不斷貢獻數據并產生用戶粘性,一旦用戶進行平臺轉換往往要以失去其全部數據為代價。例如,消費者一旦選擇轉換社交平臺,其必然面臨著所有數據、互動歷史以及聯系人網絡的丟失。由于消費者被既有平臺鎖定而難以轉換,潛在的競爭者難以及時、充分進入市場而對支配性平臺形成有效威脅,進一步放大了市場先行者的先發優勢而強化市場進入壁壘。
在市場由少數平臺所主導,用戶面臨不充分信息和鎖定效應的情況下,市場競爭難以根據消費者偏好提供適應性的數據保護選項,從而處于一種“失常均衡”的局面,消費者也面臨著被數字平臺過度盤剝以及其通過數據優勢排除限制競爭而間接損害消費者利益的風險。
(二)反壟斷法對用戶數據利益保障的可能及局限
從市場競爭的視角來看,用戶數據鎖定可作為一種市場失靈問題在反壟斷法下尋求破解和救濟機制。在反壟斷法視角下,如果用戶提出數據攜帶的請求,或第三方服務商請求建立數據互操作性以實現用戶數據攜帶,支配性平臺如果直接拒絕或施加限制則有可能構成對于其他競爭者的封鎖效應,從而構成對市場支配地位的濫用。理論上,可通過反壟斷法強制支配性平臺與競爭者之間建立數據互操作性和數據可攜帶性,從而恢復市場主體在數據攜帶層面的競爭。相對于直接賦予用戶“個人信息攜帶權”,反壟斷法并非從狹義的個人信息保護出發,而是保障用戶在數字市場的自由選擇權,其輻射范圍超出了個人數據的限制而擴展到所有用戶生成數據。立足于糾正市場失靈,其并不對一般經營者施加限制,而是以對競爭構成嚴重限制的市場支配地位經營者為規制對象。在救濟措施上,其可以通過強有力的手段要求支配性企業與競爭者建立互操作性環境并允許用戶數據遷移,從而引導市場開啟在用戶數據保護層面的競爭,也更符合比例原則一般要求。
然而,雖然反壟斷法為數字經濟領域的市場失靈提供了普遍適用的救濟機制,其以靜態、價格競爭為核心的分析框架適用于以動態、非價格競爭的數字市場時面臨著較強的局限性,企業限制用戶數據遷移或采取互操作性限制措施是否構成壟斷行為具有不確定性。具體而言,在我國法上,對單一市場主體實施的壟斷行為主要通過《反壟斷法》第17條的濫用市場支配地位加以規制,“沒有正當理由,拒絕與交易相對人進行交易”的行為將構成濫用市場支配地位。作為一般原則,企業有選擇交易對象和處置其財產的自由,在兩種例外情形下單方拒絕交易將構成濫用市場支配地位:拒絕交易和必要設施原則。由于我國目前尚缺乏關于用戶數據攜帶的反壟斷案例,但結合比較法經驗來看,此兩項原則保障用戶數據自由流動時均面臨著較強的不確定性。
1.拒絕交易
拒絕交易最早產生自美國判例法,作為一般原則,私人交易者可以自由地決定交易相對方。在阿斯彭滑雪案中,美國最高法院明確特定情形下的拒絕交易將證明市場支配者存在壟斷意圖而構成壟斷,包括以下要件:此前雙方必須存在交易關系;市場支配一方終止先前交易且有損短期利益;犧牲短期利潤可預期地將帶來更高長期利潤但損害其他競爭者和消費者利益;缺乏為拒絕交易提供合理的商業理由。依此原則,雖然可證明支配企業拒絕建立數據可攜帶性將造成對競爭者的封鎖效應并損害消費者利益,卻難以滿足其他要件。首先,該原則僅適用于雙方存在在先交易且支配方單方面終止其盈利的情況,但實踐中不同平臺間往往未建立互操作性。例如,在LiveUniverse訴聚友網案中,用戶最初可以將其在原告LiveUniverse網站上的內容嵌入聚友網,但隨后聚友網采取不兼容措施阻止用戶遷移行為,原告因此起訴聚友網構成壟斷。美國第九巡回法院認為,原告與聚友網之間不存在在先交易,即使存在,原告也不能證明其在先交易有利可圖而拒絕交易有悖于聚友網的利益。因此,聚友網阻止用戶訪問原告網站的行為并不構成壟斷。其次,關于拒絕交易的合理商業理由,如上所述,數據可攜帶和互操作性雖然具有促進競爭的價值,但同樣存在抑制創新、降低個人信息保護水平的風險,故經營者往往以此作正當性抗辯。反壟斷執法機關一般難以在促進競爭與產品創新、消費者信息保護等不同價值之間進行衡量,以不干預為原則傾向于認定該抗辯成立。例如,針對市場支配企業的不兼容設計,司法實踐認為只要能夠證明一定程度的創新或產品改進則不視為反競爭;在Facebook v. Power Ventures案中,Facebook公司主張完全的數據可遷移性將帶來隱私保護水平的下降,法院依此認可其具有“管理網站訪問和使用的權利”。
2.必要設施原則
根據必要設施原則,只有某一設施為競爭不可或缺時,設施的擁有者方負有以合理條件分享該設施的義務。該原則濫觴于美國Terminal Railroad案,主要應用于鐵路、碼頭等物理基礎設施的開放,但自Trinko案后已較少被適用。歐盟競爭法引入該原則并發展成為判斷拒絕交易構成濫用市場支配地位的基準,進一步適用到知識產權等信息產品中。歐盟法院在判例中明確了該原則適用的以下要件:1.拒絕交易涉及在相關市場開展特定行業不可或缺的產品或服務;2.拒絕交易排除了在相關市場的有效競爭;3.拒絕交易缺乏正當性理由。《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》也類似地規定了構成必要設施應當考慮設施重制可能性、是否排除有效競爭以及是否存在合理理由。參照相關要件在實踐中的認定標準,企業收集的用戶數據能否作為“必要設施”具有模糊性和不確定性。具體分析如下。
第一,數據應具有不可或缺性。根據歐盟法院解釋,不可或缺是指存在“技術、法律及經濟阻礙使得資源重制變得不可能甚至是不合理的困難”,是否存在經濟阻礙取決于如果申請人付出與市場支配地位企業相當規模的投資,重制是否具有可能性。相較于鐵路、港口等傳統必要設施或知識產權而言,企業收集的數據具有非競爭性,其不同于物理設施一旦建立之后可實現排他性占有,也不具備知識產權的法定排他性,理論上一個企業獲取數據后并不排斥其他企業建立類似網絡獲得同樣數據。雖然網絡效應、規模經濟等特征提升了數字市場進入的壁壘,數據鎖定使用戶在不同網絡之間轉換存在較高遷移成本,這些因素對數據的非競爭性和重制用戶網絡的實然可能提出了挑戰,但究竟在多大程度上影響競爭性網絡的重制,在反壟斷的框架下難以進行量化的評估。
第二,拒絕開放用戶數據是否會消除相關市場的有效競爭。必要設施原則的適用以市場中的杠桿原理為基礎,主要避免經營者將某一市場的壟斷力量傳導到另一市場。該判斷主要涉及數據能否成為下游市場進入的基礎,且不存在其他可替代的數據。傳統意義上的鐵路、港口等必要設施,其物理意義上的特征與使用方式均是明確的,判斷其對于特定市場的進入是否必要也是明確的;而數據則不同,其僅僅是通過用戶客觀行為收集的原始素材,通過用戶數據可以提取出不同信息,用戶在不同平臺之間實現“多歸屬”(Multihoming)的情況下,其在不同平臺提供的數據具有一定替代性。例如,既可以從用戶在電子商務平臺的瀏覽記錄中分析用戶的購買習慣,也可以從用戶在搜索引擎上的搜索記錄提取。除了特定類型的稀缺性數據外,不同市場數據對于市場進入的差別意義在于數據關聯性、規模、類型的差別,而非全有或全無的區別,故很難直觀地判斷在某類市場拒絕開放用戶數據是否會消除在相關市場的有效競爭。
第三,拒絕開放數據缺乏正當性理由。雖然開放用戶數據具有技術上的可能性,但選擇平臺開放或封閉各具優劣,實現用戶數據的自由遷移雖然賦予了用戶更多的選擇自由,但是同時存在隱私保護、知識產權侵權、抑制創新的隱憂。如前所述,在促進競爭與隱私保護、激勵創新的價值沖突中,反壟斷機構往往難以直接劃約,救濟方式上也只是禁止企業何為而難以指導企業何為,無法統籌地規劃網絡開放后的替代性機制以實現不同價值之間的兼容,故通常以不干預為原則而依賴市場自我調節。
因此,雖然反壟斷法針對用戶數據鎖定問題具有理論上的規制可行性,但實際適用時卻面臨著不同利益的衡量和不確定性。面對不確定性,反壟斷法的一般理論假設是,市場對壟斷具有一定的自我修復功能;面臨不確定性情形,一般認為執法錯誤介入相較于不干預對市場損害更大。從謙抑性原則出發,反壟斷法只有在經濟學證據有力地證明某個行為存在且缺乏合理辯護理由時,才具有執法干預的合理性,反之則交給市場處理。也基于此,反壟斷法在現實中難以為保障用戶數據利益提供有力救濟,而有待在數字經濟領域構建更加有效的競爭執法手段。
(三)市場管制法下“守門人”的數據可攜帶和互操作性義務
反壟斷法在數字經濟領域體現出了較強的局限性,但國家對于市場公平競爭秩序的監管并非定于反壟斷法之一尊,除事后的反壟斷法執法之外,政府對市場的事前管制提供了有力的補充。反壟斷法關于執法錯誤成本的假設和謙抑性原則是針對所有領域而言的,如果特定行業具有壟斷的高風險性,則有必要建立政府管制制度,在損害發生之前施加預防措施避免市場失靈的出現。最典型地如在電信行業,由于電信行業具有典型的網絡效應而市場高度集中,建立先發優勢的市場支配地位者相對于潛在競爭者具有巨大優勢,存在較高的濫用市場支配地位的風險。為了彌補反壟斷法的滯后性缺陷,歐盟建立了電信行業的特別行業管制(Sector Specific Regulation)制度,即事先成立專門的監管機構,系統地判斷相關市場是否存在高市場進入壁壘、缺乏有效競爭的未來趨勢和反壟斷執法的失靈。如果滿足相關要件則需要建立政府的事前管制,基于競爭法的原則將救濟措施前置化,即事先界定相關市場、確立市場支配地位企業、施加公平交易義務。對存在結構性市場失靈的高壟斷風險行業,特殊行業管制相對于反壟斷執法的優勢在于,其可以對市場運行進行持續檢測、獲得充分信息,有效地降低反壟斷的執法成本和不確定性,在損害發生之前系統、前瞻性地為行業競爭確立明晰規則,從而彌補反壟斷執法的制度缺陷。
在數字經濟領域,國外已有相關法域開始探索構建事前管制機制,在事前管制制度之下確立企業保障用戶數據可攜帶的強制性義務。由于數字市場已經呈現出結構性市場失靈的特點,市場多邊服務高度集中到某一個或少數數字平臺,而平臺對于經營條件設定具有極大的自主權,現實中經常濫用守門人(Gatekeeper)權力,對依賴其平臺的企業或用戶采取不公平措施,不斷擴大其優勢地位。對此,數字市場競爭治理出現了由事后反壟斷向事前管制的轉型:2020年12月15日,歐盟委員會正式提出《數字市場法》(Digital Markets Act)立法提案,立法草案已于2022年7月5日由歐盟議會正式通過,在7月份由歐盟理事會最終通過后頒布生效。該法案擬在數字市場建立統一的事前管制制度,即事前調查界定具有壟斷風險的守門人企業,根據數字市場潛在的壟斷行為,為守門人企業設置禁止義務和積極作為義務,從而避免其濫用市場優勢地位而建立公平競爭。其中,實現用戶數據的自由遷移被視為解決該問題的最有力手段。GDPR雖然規定了個人數據可攜帶權,但由于并未建立有效數據互操作環境而作用有限。從促進市場競爭的角度,歐盟《數字市場法》第6條規定了守門人建立互操作性和數據可攜帶性的強制義務:(1)守門人應允許其商業用戶或輔助服務的提供者訪問并確保互操作性,確保相關服務的操作系統、軟硬件功能能夠在守門人平臺服務中使用;(2)對終端用戶提供的數據或者其在使用平臺核心業務而產生的數據,根據終端用戶或其授權的第三方請求提供有效的數據攜帶性,包括免費提供工具以實現有效的數據可攜帶,確保數據持續、實時的獲取;(3)對商業用戶和終端用戶在使用平臺核心業務及商業用戶產品服務產生的數據,免費為商業用戶或商業用戶授權的第三方提供有效、高質量的聚合或非聚合數據,以確保其能夠實時、持續地進行訪問和使用。該條款被認為有效地克服了GDPR“數據可攜帶權”的不足,有望重構數據可攜帶制度而全面促進用戶數據在守門人平臺與其他平臺服務之間的自由流動。
借鑒歐盟經驗,我國可考慮數字市場建立事前管制制度以彌補反壟斷法的不足,并在此框架下建立保障數據自由流動的用戶數據攜帶制度。
首先,在數字經濟領域建立事前管制制度具有充分的必要性。從反壟斷法與市場管制法功能分擔、優勢互補的角度,只有在市場存在結構性失靈的行業,才有必要建立市場管制制度,在電信行業管制中,歐盟曾提出了相關市場是否存在高市場進入壁壘、缺乏有效競爭的未來趨勢、反壟斷執法的失靈三項判斷標準。由此視角觀之,除反壟斷執法失靈之外,由于數字市場本身具有規模經濟、范圍經濟和網絡效應特征,導致在搜索引擎、電子商務、即時通訊等領域產生寡頭壟斷的市場結構,由于存在鎖定效應導致用戶難以在不同服務商的數據網絡之間自由轉換,潛在競爭者難以進入而導致市場處于“失常均衡”,故數字市場已經存在高市場進入壁壘。同時,從行業發展來看,我國數字經濟已經度過了市場主體快速進入、頻繁退出的發展初期,經歷相互兼并整合,目前已進入寡頭壟斷的相對穩定期,行業內部體現出“頭部固化”趨勢,幾大互聯網平臺奠定行業頭部格局后幾乎再未出現撼動力量。相反在缺乏有效政府干預的情況下,平臺通過策略性行為使得市場進入壁壘在不斷擴大而非減小,缺乏充分有效競爭。因此,應當認定數字市場已經具備結構性失靈的特點,具有建立事前管制制度的正當性和必要性。
其次,需要進一步界定管制對象、明確管制措施。過去歐盟電信行業的特別行業管制立足于競爭法的基本原則,即事先界定相關市場、界定市場支配地位企業進而施加救濟措施,與反壟斷法最大的區別在于將事后救濟措施前置化作為事前預防。相關市場是現行反壟斷法基于工業經濟形成的最基本的分析工具和研究范式,但數字經濟領域的市場競爭形式卻發生了根本性改變,平臺、數據、算法等成為競爭的核心要素,平臺往往具有雙邊或多邊市場的特性,企業利用平臺可以提供多元化服務,數字經濟中的競爭越來越成為數字生態系統之間的競爭,企業在某一個領域建立的優勢可以容易地滲透傳導到各個領域。歐盟《數字市場法》繼承了電信行業管制的邏輯,但對管制手段進行了升級,其并未采取相關市場的分析架構,轉而采取了守門人的界定方式。從預防壟斷風險的角度,歐盟基于市場現狀將數字行業劃分了10個“核心平臺服務”:在線中介服務、在線搜索引擎、在線社交網絡服務、視頻分享平臺服務、號碼獨立的人際通信服務、操作系統、網絡瀏覽器、虛擬助手、云計算服務、在線廣告服務。企業掌握其中一項“核心平臺服務”即成為守門人而存在濫用其優勢造成壟斷的風險,應當承擔事前管制義務。具體而言,守門人的認定應當符合三個條件:(a)對內部市場有重大影響;(b)運營一項核心平臺服務,作為商業用戶接觸終端用戶的重要門戶;(c)在運營中具有穩固和持久的地位,或者在可預見的將來能夠擁有該地位。此外,歐盟委員會可以根據企業營業額、市值、用戶數量等作出推定。這一概念的引入為克服數字經濟領域相關市場分析框架的局限性作出了有效嘗試,從預防壟斷的角度更加具有可操作性,在我國數字市場事前管制制度中可以加以借鑒,引入守門人的概念,即對運營一項以上核心平臺服務、對國內市場有重大影響、在運營中具有穩固和持久地位的企業,應當施加事前管制措施,防范壟斷風險。立足當前數字市場的反競爭行為類型,可以為守門人施加事前管制義務,包括應當為的“正面清單”和禁止為的“負面清單”。其中,針對用戶數據鎖定的問題,應確立守門人承擔用戶數據可攜帶的強制性義務。具體而言,守門人應當向用戶及其代表就用戶提供的以及因用戶使用平臺業務而產生的所有數據提供持續、實時的訪問和傳輸,協助傳輸給另外一個平臺或者數據持有者。用戶應當既包括個人用戶也包括平臺的商業用戶。為了實現有效的數據傳輸或遷移,守門人應當為第三方平臺提供訪問并建立數據互操作性。在操作層面,歐盟已在金融支付行業建立了數據互操作性的有效實踐。2018年生效的“第二代支付服務指令”(Payment Services Directive, PSD 2)第64—68條規定了用戶對其賬戶信息的控制權,即在用戶提供明確授權的情況下,銀行等賬戶服務提供商有義務無歧視地允許第三方獲取與用戶相關的數據,并以標準化數據格式、開放應用程序編程接口(Application programming interface,API)提供用戶賬戶訪問而執行支付命令,從而保障用戶在金融支付領域對其數據的完全控制和自由選擇。為實現數字網絡的開放性,可為守門人施加以下義務:第一,無條件向第三方平臺開放應用程序編程接口,同時建立安全的數據傳輸環境;第二,為避免不同平臺采用專用數據存儲格式對數據傳輸造成的阻礙,由政府及行業協會協調制定數據存儲、傳輸的通用標準并強制實施;第三,允許第三方平臺在用戶授權同意的前提下訪問和獲取用戶數據。此外,針對涉他數據的問題,可要求守門人提供請求第三人同意的渠道機制或者提供分離、匿名化等技術處理。
五、結論
技術發展使得數據成為了數字時代生產和生活不可或缺的一類新生產要素,催生了在企業之間以及用戶與企業之間合理分配數據權益的需求。憲法對公民人格尊嚴和經濟自由基本權利的保障,不僅僅要保護公民人格信息,同時要承認和保障用戶數據之上的財產權益。面對用戶數據鎖定的現實問題,公民有權向國家要求保護其數據處分權益而實現數字市場的選擇自由,這對當前數據保護制度體系完善提出了具體要求。
數據鎖定根源在于用戶與平臺技術力量的不平等,消除數據鎖定最為直接的方式就是以國家權力在用戶與平臺的互動關系中為用戶賦權,以保護弱者、制衡強權,故我國《個人信息保護法》確立了自然人的“個人信息可攜帶權”。但普遍性地強制所有企業實現用戶數據可攜帶性卻可能扭曲市場競爭并阻礙創新,難以符合比例原則,因此,“個人信息可攜帶權”并未明確其義務主體和實施條件,僅具有形式上的宣示意義。
用戶數據自由遷移問題的關鍵在于要建立用戶、數據持有者與第三方數據接收者的合作關系,在不宜“一刀切”式地劃定用戶與企業權利邊界的前提下,可順應市場規律引導發揮市場的自發性力量實現對用戶數據權益的保障,須在以下兩方面進行制度完善。
第一,基于市場主體的逐利本性,第三方數據接收者會自發地為用戶提供數據攜帶服務,但企業數據財產利益保護法律邊界的模糊性成為了第三方平臺主動為用戶提供服務的最大阻礙。建議在反不正當競爭法上將用戶數據攜帶明確為企業數據財產利益保護的例外,即在用戶授權前提下,經營者正當且必要地獲取他人控制的用戶數據,一般不認定構成不正當競爭行為,從而引導第三方市場力量介入化解用戶與平臺之間技術力量對比懸殊的問題。
第二,應當完善公平競爭監管制度,開啟數據持有者在開放平臺、提供數據攜帶服務層面的競爭。從市場競爭的角度,平臺開放與否是網絡服務商重要的非價格競爭要素之一,充分競爭條件下企業有動力提供不同服務滿足不同用戶的數據保護偏好,保障用戶對其數據的充分控制。由于市場高度集中難以滿足用戶偏好、信息不對稱和鎖定效應問題,導致市場處于“失常均衡”狀態。理論上,反壟斷法雖具有糾正該市場失靈的可行性,但其基于謙抑性立場難以提供及時救濟。借鑒歐盟市場管制實踐,可在數字市場建立事前管制制度而彌補反壟斷法的不足,針對守門人,強制其與第三方平臺建立數據互操作性環境并為用戶提供持續、實時的數據攜帶服務,一方面,可以在占據絕大多數市場份額守門人與用戶的互動中直接保障用戶權益;另一方面,可以引導市場恢復在平臺開放、數據攜帶層面的競爭,以市場競爭機制最大化地滿足用戶需求。
作者:張浩然,中國社會科學院法學研究所助理研究員、中國社會科學院知識產權中心研究員。
來源:《知識產權》2022年第7期。