个人信息保护与市场竞争的交集——从强制收...

强制收集非必要用户信息的行为如何引生竞争关切？国务院反垄断委员会于今年2月7日发布的《关于平台经济领域的反垄断指南》（“平台反垄断指南”）已给出警示。根据该指南第十六条，具有市场支配地位的平台经济领域经营者“强制收集非必要用户信息”，可能构成滥用市场支配地位，实施无正当理由附加不合理交易条件的垄断行为。

就此，需要提示相关经营者注意的是，反垄断法视角下，平台经营者与平台用户之间存在着交易关系，并不因平台经营者所提供服务是否“免费”而有所区别。正如日本公平交易委员会在其于2019年12月17日发布的《关于数字平台经营者在其与消费者涉及个人信息提供等的交易中滥用优势地位的指南》[3]中所明确指出，当消费者需要提供个人信息以作为数字平台经营者所提供服务的对价时，其显然构成了数字平台经营者的相对交易人。事实上，个人信息在当今数字时代下的经济价值毋庸置疑，当收集个人信息作为对价构成平台经营者与平台用户之间交易的一部分时，其显然构成一项重要的“交易条件”。

其次，强制收集非必要用户信息的行为构成反垄断法视角下的“不合理”交易条件，其不合理性集中体现于对前述知情同意及最小必要原则的违反：

• 知情同意原则是指经营者在从事包括收集行为在内的个人信息处理活动时，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分知情的前提下，作出自愿、明确的意思表示。“强制收集”则是对该等原则显而易见的背离，在实践中可能表现为直接的隐私政策强制要求，也可能表现为利用晦涩或取巧表述等方式迫使或引诱用户接受个人信息收集行为以作为使用平台服务的条件，因其“强制”性而“不合理”；

• 最小必要原则或称必要性原则、最少够用原则等，是指经营者在从事包括收集行为在内的个人信息处理活动时，应当受限于最小、必要的控制，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。实践中，平台经营者收集非与提供服务相关的非必要信息因其“非必要”而“不合理”。

当然，在执法实践中，认定平台经营者实施的特定的强制收集非必要用户信息行为构成垄断行为并需要承担相应责任并非易事。反垄断执法机构需要在前述行为定性的框架性分析之外，考量具体的滥用行为及其所涉相关市场界定、市场支配地位认定、是否具有正当理由以及是否排除、限制竞争等诸多复杂问题。而需要提示平台经营者注意的是，互联网反垄断浪潮激荡全球，德国、日本等活跃的反垄断司法辖区已经就适用反垄断法规制强制收集非必要个人信息行为进行了探索[4]，值得平台经营者紧密关注。

德国反垄断执法机构（Bundeskartellamt）于2016年2月3日开始对Facebook涉嫌违反GDPR的规定收集、整合用户信息及数据行为进行调查，并于2019年2月6日作出决定[5]，认定Facebook未经其用户同意而收集其用户在集团旗下其他平台（WhatsApp、Oculus、Masquerade、Instagram）的用户信息及设备关联数据，以及通过技术手段收集其用户访问第三方网站及手机App的相关数据，并将该等用户信息及数据与Facebook直接取得的用户信息进行整合的行为不仅违反GDPR，同时也违反德国《反限制竞争法》，构成滥用市场支配地位行为，要求Facebook在4个月之内提出整改方案并在12个月之内完成整改。

Facebook随即就该等调查决定向杜塞尔多夫高等法院提起上诉，开启了这一调查案件诉讼对抗之路：

• 杜塞尔多夫高等法院对德国反垄断执法机构的调查决定存在不同意见，于2019年8月26同意了Facebook的申请，就本案先行作出了暂停执行前述限时整改决定的暂缓令裁定[6]；

• 随即，德国反垄断执法机构就该等暂缓令裁定上诉至德国联邦法院，德国联邦法院在审理后于2020年6月23日作出裁定，确认了德国反垄断执法机构的调查决定，支持限时整改决定的执行[7]；

• 此后，杜塞尔多夫高等法院继续开展本案审理工作，于2021年3月24日召开了听证会，并决定将就案件法律问题请求欧洲法院作出裁决[8]。根据2021年4月23日的最新消息，该等裁决请求已正式形成并向欧洲法院递交[9]，该等案件的进一步推进将受限于欧洲法院就该、初步裁决，仅此过程即可能耗时数年。

根据杜塞尔多夫高等法院所披露的有限信息看，虽然杜塞尔多夫高等法院与德国反垄断执法机构就该案所涉相关市场及市场支配地位的认定并不存在实质分歧，但其就Facebook涉案行为是否构成滥用行为及其是否排除、限制竞争存在不同看法：

• 德国反垄断执法机构认为考虑到Facebook的市场支配地位，用户难以实现转向，而Facebook要求用户一揽子同意其全部隐私政策条款后方可使用其服务并不能构成GDPR规定下用户的“自主同意”，此外其自第三方获取用户信息数据也有违GDPR规定下的目的受限（Purpose Limitation）和数据最小化（Data Minimisation）原则，构成对用户的剥削性行为（Exploitive practice），而该等行为亦使其获得了取得数据的额外渠道，在其与竞争对手的竞争中获得不当优势，提高了市场进入门槛；

• 杜塞尔多夫高等法院则认为用户对Facebook社交网络的依赖并不当然导致该等用户接受、同意Facebook隐私政策条款被认定为无效；此外，德国反垄断执法机构也并未实际证明Facebook涉案行为事实上剥削用户、排挤竞争者因而构成滥用行为。

无论是从前述案件整体发展形势看或是从案件实质争议情况看，该等调查案件将演化为反垄断执法机构与互联网巨头之间的又一例旷日持久的对抗。反垄断法究竟将如何适用于平台经营者违反知情同意及最小必要原则而收集使用用户信息的行为值得平台经营者持续跟进关注。

受限于如前所述的诸多理论与实践问题，我国反垄断执法机构将如何规制该等个人信息收集行为有待观察，而截至目前，我国亦尚缺乏相关的反垄断执法先例可供参考。然而，结合我国当前就个人信息保护问题而出台或拟将出台的相关法律法规、政策文件及App违法收集使用个人信息问题治理实践，平台经营者应当注意避免以下违反知情同意及最小必要原则的个人信息收集行为，不仅是出于符合个人信息保护的切实要求，亦对避免潜在的反垄断法风险具有重要意义。

为符合知情同意原则而避免涉嫌强制收集用户信息，平台经营者应当注意避免以下情形：

而违反最小必要原则的个人信息收集行为的典型情形及案例则包括：

而针对何为与服务场景和内容无关的非必要信息这一需要个案具体看待的问题，平台经营者则可以参考遵照前述于近日正式施行的《常见类型移动互联网应用程序必要个人信息范围规定》中的指引进行分析。

正如焦海涛教授在其近期发布的论文《个人信息的反垄断法保护：从附属保护到独立保护》中所指出，将个人信息保护纳入反垄断法的调整范围，既有必要，也有可能。在反垄断法下，个人信息保护与市场竞争问题的交集不仅体现在前述滥用形式的垄断行为规制，同时也涉及反垄断法其他两大支柱，即垄断协议和经营者集中——数字时代背景下，个人信息已不仅是影响价格的一个因素，很多时候就是“价格”本身，已经成为市场竞争要素之一。因此，平台经营者在考虑反垄断合规时需要考量个人信息保护的问题，而在设计、评估、实施企业隐私政策时，亦应当注意反垄断合规的问题，在必要时应当寻求同时具有数据合规及竞争法专业能力的外部律师的建议。