用户数据安全引发的竞争法问题研究

段昂尊

摘   要：数据安全问题是近年来法学界讨论的热点，但是其中大多仅从用户方面谈保护，一味增加企业义务，这不仅有违包容审慎的监管原则，也忽视了“用户数据”是个人与企业之间权利义务交织、矛盾的组合体这一现实情况。文章以权利冲突的视角分析数据安全保护对反垄断法、反不正当竞争法理论与实践带来的冲击，尝试为探索竞争法的用户数据保护路径提供有价值的理论基础。

关键词：用户数据;数据保护;反垄断;反不正当竞争

中图分类号：D912.29          文献标识码：A

Abstract： Data security has been a hot topic in recent years， but most of them only talk about protection from the perspective of users and blindly increase the obligations of enterprises， which not only violates the principle of inclusive and prudent supervision， but also ignores the reality that "user data" is a combination of rights and obligations intertwined and contradictory between individuals and enterprises.This paper analyzes the impact of data security protection on the theory and practice of anti-monopoly law and anti-unfair competition law from the perspective of right conflict， and tries to provide a valuable theoretical basis for exploring the user data protection path of competition law.

Key words： user data; data protection; anti-monopoly;anti - unfair competition

1 引言

中国已处在数字经济时代的风口浪尖，目前我国网民人数达到8.54亿，网络购物用户规模突破6亿，均位居世界第一，市场中流通的个人数据量也规模甚巨。然而，根据消费者协会调查，超过八成受访者曾遭遇不同程度的个人信息泄露问题，我国个人信息保护尚处于丛林法则的蛮荒时代。而数字经济催生出一大批以数据为核心竞争力的互联网企业，同以往的经营模式和商业策略不同，它们凭借数据和信息提供个性化服务，开展市场竞争，其对用户数据的迫切需求更甚于钢铁企业对煤炭的依赖。当“个人信息”逐渐转变为“用户数据”，其承载的就不仅包括个人的隐私权和人格权，还包含着企业财产权和经营权，用户数据成为权利交织与冲突的组合体。

2 竞争法保护用户数据面临的挑战

如前所述，用户数据的收集、处理与使用已经成为新型行业的通行商业模式，数据为企业带来丰厚的报酬，同时也是企业核心竞争力的源泉。作为市场主体的经营者天生具有逐利性，其不免会为争夺商业利益而同竞争者进行逐底竞赛（a race to the bottom），而非竞相提高对个人信息和数据安全的保护力度，因为这必将对企业更高效率地使用数据造成阻碍。政府和社会各界正逐步意识到保护个人隐私的必要性并采取行动，对用户数据的保护必然会对企业使用其掌握的数据产生一定阻碍。当保护力度不断加大时，必然会对竞争法提出新的要求，竞争法理论的发展也需要以认识到这些新矛盾为前提。

2.1 用户数据与市场竞争

用户数据是互联网用户在接受网络服务时产生身份信息和行为信息等具有个人可识别性的数据信息。基于个人信息保护的目的，广义的用户数据还包括互联网服务提供者收集、存储、分析、加工个体用户数据过程中产生的数据。

本文的研究人员认为，用户数据兼具人格权属性和财产权属性。由人格权属性推演出要针对其个人可识别性和隐私性进行保护;由财产权属性推演出其能够带来经济利益，因此会成为企业进行市场竞争的工具。此外，用户数据里潜藏的矛盾可以概括为消费者与经营者、人格權与财产权、经济安全与经济效率三个层次。市场竞争是国家经济活力的体现，但是竞争也需在合理的限度内进行，竞争过冷或者过热都会引起竞争法的担忧。

2.2 反垄断法面临的挑战

（1）数据驱动型并购

国务院《关于经营者集中申报标准的规定》（本文简称《规定》）和实际执法情况表明，当前我国的反垄断并购审查还是主要以参与合并各方的营业额为衡量标准。结构性推定的合理性显而易见，却无法及时应对出现的新问题——数据驱动型并购。数据驱动型并购中，虽然合并方市场份额和营业额并不瞩目，但是若参与合并的一方是数据集中型企业（例如云存储公司）合并后新的市场主体必将掌控大量的用户数据。

（2）市场地位

由数据安全保护问题还会引发另一类反垄断担忧，即数据集中和数据壁垒导致的企业市场力量增强，造成用户的竞争替代选择削弱。目前，我国经济领域以阿里、百度、腾讯、今日头条为代表的几家互联网独角兽就是很好的例证，这些商业集团以电商平台、搜索引擎、社交和娱乐为主要业务，拥有大量的活跃用户。根据阿里巴巴集团2019财年第三季度财报显示，淘宝的月度活跃用户已达6.99亿，并已呈现连续六季度二千万以上的增长，“人手一辆购物车”的背后，暗藏着企业内部流通的海量用户数据。

（3）用户识别与差别待遇

本文这些企业在用户数据的支撑下，有能力进行精准的用户画像和用户识别，前者使企业高效率地实现用户类别化，后者便于企业开展定制化服务和广告投放。而这些商业活动是以用户数据的收集、适用、分析为基础，这些数据可能包含但一定不限于用户地域、性别、年龄、购买商品/服务喜好、消费能力。

2.3 反不正当竞争法面临的挑战

（1）一般条款

《反不正当竞争法》第二条被称为一般条款，作为整部法律中的“帝王条款”，它的主要作用是在法律适用中的增加可裁量性。“任何一部法律在它诞生之日起就已经落后于社会的发展了”，与数据相关的司法案件都具有一定的特殊性，在尚未有明确的列举性条款予以规制的情况下，运用一般条款处理用户数据保护问题就显得十分必要。通过梳理近年来法院在裁判中使用第二条的说理过程，可以为如何处理用户数据保护提供一定的思路借鉴。

（2）商业秘密

商业秘密条款是反不正当竞争法近几年来关注的热点，企业竞争必然导致不正当手段获取竞争对手商业秘密的情形出现，如果数据持有者对商业秘密的保护措施欠缺，那么这些作为公司财产的用户数据就会时刻处于危险中。在发生这类案件后，按照目前反不正当竞争法适用的侵权理论，能够获得赔偿的主体只有公司，并不包括信息被窃取泄露的用户个人。用户更是无法得知在具体案件中自己的信息是否泄露以及程度如何，难以提起单独的民事诉讼。

另一方面，完善商业秘密条款对保护用户数据安全具有积极意义，用户信息被越少的主体掌握，其隐私性越强。因此，由数据的原始收集和加工企业掌握包含用户个人信息的商业秘密最为妥当。此外，认定为是商业秘密的数据信息具有更高的商业价值，这会促使企业提高保密措施，更加谨慎地进行数据转让和披露。

（3）互联网不当竞争

《反不正当竞争法》第十二条是2017年修法时新增的条款，因规制对象是通过互联网进行的不正当竞争行为，被称为“互联网专条”。该条第一款“经营者利用网络从事生产经营活动，应当遵守本法的各项规定”为指引性规范，作用仅在指明其他各类通过互联网方式进行的不当竞争行为也违反法律，例如上节讨论的网络不正当手段获取商业秘密。本节重点讨论第二款规定的互联网新型不正当竞争行为与数据保护的关系。

2.4 竞争法理论的新思考

经济法的最高追求是提升社会整体经济利益，而竞争法则通过维护良好竞争秩序来实现该目的。具体而言，反垄断法预防市场出现竞争不足、惩戒寡头滥用市场力量;反不正当竞争法则是防止经营者采取不正当手段打压对手，避免竞争过热。根据现行法律，竞争法的宗旨除“保护市场公平竞争”外，还有《反垄断法》第一条“维护消费者利益和社会公共利益”和《反不正当竞争法》第一条“保护经营者和消费者的合法权益”。单是从“用户数据”这一概念来看，就能感受到其背后蕴含着个人与企业间的权益冲突，最突出的是个人隐私与企业财产权或经营权之间的矛盾。

3 损害分析及保护路径的调整

基于数据安全引发的反垄断问题呈现链条式的逻辑推演，即企业数据规模集中导致市场力量的形成和巩固，而互联网企业凭借这种用户规模和市场力量更轻易地获取用户信息，反过来加重了对数据安全的担忧。而反不正当竞争法作为一种约束性规则，天生具有“超越私法的情结”，其规制对象是滥用权利从事市场竞争的经营者。随着数字经济背景下数据财产价值愈发突显，出现了越来越多以争夺用户数据为中心展开的不正当竞争行为，如何加强反不正当竞争法保护用户数据安全也成为一个紧迫的课题。

3.1 扩大经营者集中的审查范围

在数据驱动型并购案件中，即使营业额未达到申报标准，大规模的数据集中也同样可能造成机反垄断法所不能容忍的损害。普通消费者不愿意看到个人数据大规模的集中，毫无疑问会对自身信息安全和隐私保护带来威胁。根据《规定》第四条，如果有事实和证据能够表明经营者集中具有或者可能具有排除、限制竞争的效果，执法机构也应当进行调查。适用这一条的问题在于，一是我国反垄断实践对未达到营业额申报标准的主动审查极少，这既有经济分析上的困难，也与人员不足有关;二是普通个人用户很难准确地感知这些数据驱动型企业对个人信息的收集、追踪和使用，这使得合并前后对于用户影响的程度不太可能被量化出来，即消费者损害难以证明。

预防和化解数据驱动型并购的潜在危害，从顶层设计的角度而言，首先需要明确数据在申报标准中的重要性，将更多的数据驱動型并购案件纳入经营者集中的审查范围，而非仅根据市场规模和盈利能力就将其排除在外。其次，对于附条件经营者集中案件，可视具体情况要求合并后企业在一定时期内提供制度化的用户隐私保护，或是公布信息收集清单，明确告知其收集的信息类型、范围和目的。最后，在数据跨境流动的背景下，对数据驱动型并购案件要更加注重国家安全审查，审查对象不能局限于目前《反垄断法》第三十一条的“外资并购”，否则既不利于网络安全和用户数据整体安全的保护。

3.2 完善市场地位的认定标准

用户基数和网络效应的积聚，使这些巨头公司像滚雪球一样拥有了越来越稳固的市场优势地位。这一方面提高了市场壁垒，让新进入者和企图进入相关市场的经营者望而却步，难以进行抗衡;另一方面，消费者的选择权被严重削弱，加剧信息不对称，人们开始没有机会去选择一个隐私保护水平更强，或是用户信息索取量小的网络服务提供商——市场力量为那些成功的互联网企业提供了谈判的筹码。因此，当主要互联网产业均由个别企业主导，它们就会缺乏促进个人隐私的动力，并且没有足够的外部压力导致其改变自己的态度。这也就是数字经济时代更容易出现赢者通吃的体现。

反垄断法并不禁止企业因自然差异或经营水平取得市场优势地位，仅当该企业利用自身优势地位阻碍其他企业获得类似优势时，才具有反垄断意义上的可处罚性。值得一提的是，市场地位并不仅与我国《反垄断法》第三章“滥用市场支配地位”相关，纵向垄断协议、经营者集中审查都将企业市场地位作为竞争损害的重要参考。新经济形态下，反垄断理论和实践都应给予“数据优势地位”的企业足够的关注，将用户数据的收集和处理能力纳入评估标准中，考虑在滥用优势地位的行为中更多体现个人信息保护因素。

3.3 强化对数据收集、处理和使用的执法监管

尽管，这些精准化服务会为消费者带来便利，但是数据过度收集和使用带来的隐私和安全隐患也不容小觑。竞争法容许企业充分运用数据进行创新，为用户提供更好的服务，前提是不会有消费者的境况因此变得更差。互联网企业进行用户特征分析的行为即便有效地促进了社会整体福利提升，倘若不满足帕累托最优，还是可能造成竞争法意义上的消费者损害，因此一切以实施歧视性待遇为目的的数据采集和用户特征分析行为都是违反竞争法法益的。

为应对这一新问题，我国反垄断学界和实务界正在做出努力。2019年6月国家市场监管总局公布《禁止滥用市场支配地位行为暂行规定》（本文简称《暂行规定》），第十六条明确认定互联网等新经济业态经营者具有市场支配地位时，可结合“用户数量”“锁定效应”“掌握和处理相关数据的能力”等因素综合考量;《暂行规定》第十九条也将差别待遇的外延由“交易条件”拓展至“售后服务条件”。一定程度上有助于缓解平台对低消费能力用户的歧视行为，但是现实中除了交易和售后服务条件，电子商务经营者可能还会根据分析结果，为心仪用户提供优先客服、提高活动中奖概率等其他可能影响交易进行的条件，以此来精准锁定用户，这些情形在大数据分析和用户类别化之后是容易实现的，同样引发用户因数据而遭至歧视性对待的风险。

3.4 谨慎适用反不正当竞争法一般条款

在具有里程碑意义的“山东省食品进出口公司等与青岛圣克达诚贸易有限公司等不正当竞争纠纷再审案”中，最高院明确了应用一般条款需要满足的三个条件：一是法律对该种竞争行为未作特别规定;二是其他经营者的合法权益确因该竞争行为而受到了实际损害;三是该种竞争行为因确属违反诚实信用原则和公认的商业道德而具有不正当性或可责性。随后，最高院在“北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案”（本文简称“微博诉脉脉案”）又增加三项限制：四是该竞争行为所采用的技术手段确实损害了消费者的利益，例如限制消费者的自主选择权、未保障消费者的知情权、损害消费者的隐私权等;五是该竞争行为破坏了互联网环境中的公开、公平、公正的市场竞争秩序，从而引发恶性竞争或者具备这样的可能性;六是对于互联网中利用新技术手段或新商业模式的竞争行为，应首先推定具有正当性，不正当性需要证据加以证明。

结合法院裁判，有学者认为用户（消费者）的长期利益和经营者的整体生存利益应当得到优先保护。质言之，具体案件中，如果互联网企业对用户数据的处理方式是符合行业惯例或属于正当商业模式，此时在没有违反各列举规定，没有严重损害用户群体利益时，应当给予企业必要的自主性，避免因一刀切的司法、执法阻碍产业发展。

3.5 提升商业秘密条款的地位

根据《反不正当竞争法》第九条规定，企业掌握的数据只有同时满足秘密性、价值性和保密性三个特征才可以认定为商业秘密，对于这类数据，完全可以适用该条款予以保护。“微博诉脉脉”案中，法院回避了原告提出的争议用户数据属于新浪公司商业秘密这一问题，转而适用一般条款处理争议。事实上，列举条款是一般条款的特别规范，在遇到具体争议时，应优先适用特别规范。即只有在不符合商业秘密条款或著作权的具体规范的条件下，才会考虑适用一般条款进行数据保护。然而近年来法院在审理多起互联网企业不正当行为时，都是直接依据一般条款进行裁判，其合理性值得商榷。

3.6 在实践中明晰互联网不当竞争行为类型

互联网专条中列举了三项不当竞争行为“插入链接强行跳转”“恶意干扰使用”“恶意不兼容”，遗憾的是数据保护问题并未体现在列明的不正当竞争行为中，只能借助兜底项“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”进行个案解释。

以互联网“爬虫技术”为例，如果被告企业抗辩称，其利用技术手段获取的互联网信息为无差别且公开用户数据，此时很难再适用商业秘密条款进行保护。根据竞争法理论，特殊条款的适用优先于一般条款，这种情况下可以考虑依据互联网专条的兜底条款予以规范。即被告企业未经同意利用爬虫技术采集的用户数据，会对数据持有企业的正常经营造成损害，以此间接保护用户数据安全，避免带有个人信息的数据在用户不知情的前提下，被其他企业持有并使用。但是，这种保护路径的缺陷也顯而易见，只有该不正当数据获取行为侵害到其他企业的正当权益，该行为才可能受到反不正当竞争法的谴责;如果仅是用户的数据安全或隐私权受到损害，互联网专条的制度价值就难以体现。

4 结束语

企业越来越强的数据收集、分析、应用能力，用户与企业逐步加深的信息交流程度，数据本身愈发显现出的人格、财产双重属性，这些因素对个体用户互联网数据保护造成了值得关注的威胁，民法视域下单纯的权利保护、侵权路径已不足以应对，亟需网络安全法（隐私法）、消费者保护法和竞争法组成合力。尤其是对大规模用户数据的行为规制上，竞争法将会提供强有力的数据安全保护措施。诚然，当前的竞争法制度对用户数据保护尚力不从心，因此必须适时予以完善。

参考文献

[1] [美]莫里斯· E. 斯图克， [美]艾伦·P.格鲁内斯著.兰磊译.大数据与竞争政策[M].北京：法律出版社，2019.

[2] 刘继峰. 竞争法学（第三版）[M]. 北京：北京大学出版社，2018.

[3] 个人信息保护课题组.个人信息保护国际比较研究[M].北京：中国金融出版社，2017.

[4] 张才琴，齐爱民，李仪.大数据时代个人信息开发利用法律制度研究[M].北京：法律出版社，2015.

[5] 刘继峰，曾晓梅.论用户数据的竞争法保护路径[J].价格理论与实践，2018（03）：26-30.

[6] 李爱君.数据权利属性与法律特征[A].金融创新法律评论[C].北京：中国政法大学互联网金融法律研究院，2018：15.