内容
超大型数字平台基于大量且不同类型数据的控制、处理与利用而形成的控制权或独特影响力,被称为“数据权力”。借助“数据权力”,超大型数字平台或将导致一系列新型的数字损害:
一是行为或信息操纵与数字成瘾。通过对个人数据的处理,数字平台向用户进行个性化推荐或展示,从而影响他们的判断。对此,用户要么浑然不知,要么知晓但却无法摆脱已悄然形成的“数字依赖”。二是歧视、限制乃至剥夺用户的权利或机会。超大型数字平台可基于其所控制的大量数据对用户进行画像,并根据画像结果区别对待,向他们提供不同质量或价格的商品与服务或不当地标记他们。三是滥用数据权力造成竞争损害。超大型数字平台总在标榜自己在数据控制、用户隐私等方面的特权,在阻碍数据共享之外,也将导致自我优待、捆绑销售等竞争法层面的问题,对数字服务创新与竞争产生负面影响。综上,技术与数据的完美结合赋予了这些超大型平台“数据权力”,超大型平台行使着本应由公共机构行使的部分权力,但却并未受到相应的严格约束。考虑到超大型数字平台带来的一系列数字损害,有必要对之施加额外的法律义务、严格管束其权力。
(一)平台特殊角色:数字守门人概念的引入
过往围绕“平台权力”展开的数字平台监管理论未能厘清此类监管的核心问题,有必要引入数字守门人的概念。网络守门理论重点关注数据信息控制,数字守门人不仅拥有作出规范评价的权威,而且对不同用户群组间的数据流具有控制力。受守门人理论的影响,一些立法例引入了数字守门人概念并确立了识别标准。
(二)超大型平台作为数字守门人的特殊责任
超大型数字平台的数字权威,要求它们应充分考虑其管控领域内第三方行为对用户权益及社会利益的不利影响,并采取合理必要措施保护这些利益。这也符合“每个开启或主导社会交往之人都应适当注意相关人员的安全”的侵权法一般原理。
根据守门人的经典理论,若满足以下条件,对担任守门人的中介机构施加特别责任可以有效地减轻损害:一是行政处罚等直接的行政执法难以阻止侵害,而中介机构在监督防范方面具有天然优势;二是“守门”的私人激励缺乏或激励不充分;三是守门人有能力且有意愿阻止不当行为发生;四是施加责任可促使守门人以合理成本制止不当行为。据此标准,要求超大型数字平台担“监管”责任合理且能减社会危害。
作为守门人还应避免自身行为对用户及其他第三方产生不利影响。平台应珍惜用户对自身成功所作的贡献,并采取措施保护用户的个人数据,否则,双方互惠关系被打破,最终将损及数字平台自身利益。
从法律后果上看,因守门人角色而应承担的责任更多是一种间接责任。为免于承担这种责任,数字守门人即应通过停止提供服务等措施,增加第三方违法违规或滥用其提供的基本数字服务的机会成本,阻断其获利渠道并防止损害的扩大。
(一)数据法上合规与“准监管”义务设定
1.数据(隐私)合规义务
风险的评估与防范为合规制度体系中不可或缺的组成部分。《个人信息保护法》第58条第1项对超大型数字平台科加了建立健全个人信息保护合规制度体系的义务,旨在要求超大型数字平台确保自身的个人信息处理行为以及管理行为合乎规范,从而保护用户权益。
超大型数字平台建立隐私或数据合规体系,除应遵守《个人信息保护法》第28条至第32条以及第55条规定的一般性的隐私风险防范义务外,尤应关注因其规模、核心服务或主导地位而衍生的“系统性风险”,采取定期评估、内容审查等措施防范或降低这些风险。
2.数字“准监管”义务
《个人信息保护法》第58条第2项要求超大型数字平台通过平台规则对平台内企业的数据处理行为予以规范或提供指引。有权制定平台规则,自然就涉及相应的“数字执法”。因而,《个人信息保护法》第58条第3项进一步规定了“停权处罚”。
行为属性上,制定数字规则以及相应的“数字执法”均可被视为行政法上的第三方义务。从民法视角看,这是超大型数字平台应向用户负担的高度注意义务,其与我国民法典第1195条以及第1197条等具有内在的关联性与体系一致性,它们共同构成了数字守门人对用户的“角色责任”框架。
就其法律意义而言,上述高度注意义务首先有助于将网络侵权举证责任归于超大型数字平台或减轻被侵权人的举证负担。其次,这些义务是预防性而非纠正性的,强调事前作为而非事后补救。最后,高度注意义务的履行不仅有助于促进数字服务业健康发展,而且也有助于减轻公共机构的监管负担。但实践中,除非是一项明显的或能以合理成本即可发现的侵权或违法行为,否则不应强求数字守门人对其控制的数字空间内的不法行为采取行动。
3.合规与“准监管”义务的局限性及其补正
要求超大型数字平台依托平台规则管理其创设的数字空间乃至进行数字执法,或将导致新的不平等、市场操纵以及权力不对称等棘手问题,也有可能发生监管俘获或使政府监管退化为平台自我监管。
《个人信息保护法》第58条第2项确立的“公开、公平、公正”的法律原则可能无法有效地对超大型数字平台的数字规则制定权进行约束,超大型数字平台制定隐私或数据行为规范时应以现有法律为限,增强对其数字规则制定权的国家监管。
“停权处罚”是对监管对象数字权利或福利影响重大的处置措施。但从立法所确立的“停权处罚”的独立性与威慑性、由守门人采取措施优势等方面出发,应认为守门人有权独立地对平台内商户的个人信息处理行为进行合法性判断并决定停止提供服务,无需以前置的行政决定或者司法决定作为基础。与之相应,“停权处罚”的决策过程应公开透明、给予当事人答辩机会,并保留“被执法者”诉诸司法程序的救济途径。
(二)反垄断法上数字竞争促进义务的确立
欧盟《数字市场法》向数据守门人科加了额外的竞争促进义务,其中与数据密切相关的竞争促进义务主要有两类:一类是数据访问/共享方面的义务,另一类是与数据处理有关的义务。两类义务均旨在约束数字守门人借助数据混同或垄断增强其数字优势,同时保护用户免受超大型数字平台滥用行为的负面影响,并加强对用户隐私及选择自由的保护。
我国《互联网平台落实主体责任指南(征求意见稿)》部分条款也就平台内企业自我优待等事项向超大型数字平台提出了额外要求,但未涉及数据访问与共享事项。《国务院反垄断委员会关于平台经济领域的反垄断指南》第21条以及《个人信息保护法》第45条在一定程度上填补了这一空缺。我国最新修订的《反垄断法》第9条和第22条第2款也对与数据有关的垄断问题作了原则性规定。
(一)隐私保护与竞争促进的交织与冲突
反垄断法一般要求超大型数字平台开放或共享数据,这不仅可能导致用户隐私受到侵害,也与个人有权控制自己个人数据的收集与使用这一数据保护法的基本原则相悖。
立法上,为兼顾隐私与数据保护的要求,一是规定数据共享时应取得用户同意,二是要求应在数据共享时确保个人数据足够匿名化。但问题是,同意机制不仅成效不彰,而且可能导致过高成本与时机延误,甚至导致用户最终减少数据供给;而过度匿名化又可能降低数据的价值,匿名化措施本身也并非完全可靠。如何既能满足隐私或数据保护法的要求,同时又能确保数据开放或对第三方的实际效用,将是一个难题。
实践中,平台往往以保护隐私为名阻止第三方获取数据从而引发纷争,其中的焦点问题是:控制数据一方声称限制数据访问是增强隐私保护之举,要求访问或共享数据的一方则认为限制访问实为反竞争行为。对此,法院表现出两种不同的裁判倾向,部分法院偏好保护竞争利益,部分法院则更加重视数据访问或共享可能导致的隐私风险以及数据持有者的数据权益。
(二)法益调和:隐私与竞争的权衡与取舍
对于隐私与竞争的交错问题,“融合论”者主张将隐私视为产品或服务质量的组成部分,并将隐私损害解释为是一种消费者损害,认为促进竞争有助于提升隐私保护水平。“分离论”高度怀疑数据保护或隐私法在反垄断评估中的作用,认为即便是充分竞争也难让用户选择隐私保护程度更高的数字平台。两论均强调隐私与竞争的互补性,但在数字经济背景下,隐私与竞争并非总是互补;相反,它们可能带来负相关的后果,即更多竞争导致更少隐私。
不管是反垄断法抑或数据保护或隐私法,都无法独自解决超大型数字平台数据权力引发的且与竞争和隐私保护相关的复杂问题。对隐私保护与竞争促进进行权衡与取舍时,首先,应考虑反垄断法与数据保护或隐私法之间的互动,尤其是它们对竞争和隐私的不同影响。其次,执法上,反垄断执法机构与数据保护机构或隐私监管者应加强合作,并对涉及隐私与竞争双重法益的案件协同执法。形式上,可考虑共同制定事关隐私与竞争的行为指南。
在数字革命进程中,超大型数字平台拥有了某种排他性的“数字权力”,平台借助数字权力已对用户隐私与公平竞争带来了一系列损害。超大型数字平台应承担用户守护者角色,这在应然层面上要求它们负担加重的保护义务。不仅应避免自身行为侵害个人的隐私或其他数据权益,还应制止第三方对用户权益的侵害,唯有如此才能实现数字生态的可持续发展。
(本文文字编辑陈子仪。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)
