【论文摘要】

数据的搜集、保存、转移、传输和分析已然成为当前整个电子商务最具关键的功能之一，犹如人体的神经系统和其中的讯号，带动著全球错综复杂而且相互依赖的产业链条能够有序运转。然而究竟数据应如何定义？其本身是否应该享有如何的权利保护？汇集数据的数据库又应如何？其背后所折射、反应的个人隐私信息究竟应当如何处理？如何在个人的隐私需求与国家和社会安全的需求之间求取平衡？这些问题自从电子商务开展以来便一直困扰著全球各国。本文拟从美、欧两地的发展、经验和实践进行概括的梳理并就其中发生的问题予以评论，以其对国内目前正在推展的相关立法提供参考。

【关键词】

数据；大数据；数据库；隐私；《通用数据保护条例》；《加州消费者隐私法》；《加州隐私权法》

【作者】

孙远钊（Andy Y. Sun），美国亚太法学研究院执行长，暨南大学知识产权学院特聘教授。本文不代表作者服务单位意见。

本文纸本版将发表于《知识产权研究》第28卷（2022）。

在日前发布的论数据相关的权利保护和问题——美国与欧盟相关规制的梳理与比较（1）和论数据相关的权利保护和问题——美国与欧盟相关规制的梳理与比较（2）两篇文章中，笔者介绍了数字经济时代数据的定义与价值，从数据本身、数据库、新闻出版者权、隐私权等多方面分析了数据的保护方式。

在本篇中，笔者将从竞争法视角入手，解读数据的赋权与个人信息保护等焦点问题。

五、法人求偿与反不正当竞争

固然不具独创性的数据本身没有任何的权利可言，但并不影响其可能仍然具有重要的价值，可成为企业运营的重要工具和资产。当企业之间产生了数据方面的争议时，如果符合商业秘密的法定构成要件，主张受到侵害的一方自然可以依循对商业秘密保护的相关法规寻求救济。但是如果一个企业（或数据控制者）以不合规或违法的方式搜集到了原本以合法合规方式不应或无法获取的数据，并取得竞争优势时（例如从“网络暗区”或“网络黑市”直接或间接购买了海量的消费者个人数据并由此获得较其竞争者更多的流量与广告收益），该企业的竞争者是否可以依据诸如反不正当竞争的途径寻求救济？

对于商业秘密侵害在美国原本便属于反不正当竞争的规制范畴，传统上是受各州普通法的管辖，另外还有各州与联邦的成文立法。[215]纵使没有商业秘密侵害，当事人仍可主张与其从事竞争的企业意图“不当干扰既有合同和预期商业关系”（tortious interference with existing contracts and with prospective business relations）等，所以应不至于产生如何的问题。[216]然而这个问题在欧盟则产生了争议。如果法人实体试图同时依赖欧盟的强制性规定和成员国关于反不正当竞争的国内立法来主张因丧失或减损竞争优势导致损害并请求经济赔偿时（平行竞合），可否并行不悖抑或相互排斥？

这个争议的首个问题是，《通用条例》第82条（求偿权及责任）第（1）款规定当中所谓的“任何人”是否包括法人实体？[217]支持狭义解释的观点主要是从立法政策的宗旨着眼：从《通用条例》的正式全称（“关于个人数据处理对自然人的保护……”）、前言的第1、2、3、14段论述以及第1条第（2）款规定便已表明，这套规制是为了保障数据主体（自然人）的基本权利和自由而设，从来就与法人实体的经济利益无关。

此外，欧盟法院之前的判决也似乎支持这样的结论。法院在一个关于机场扩建导致对附近民宅的价值产生负面影响的案件中表示，只有当环境影响因素“直接导致经济上的结果（损失）”时，才会落在欧盟法规所要涵盖的保护范围之内，至于原告所主张的“某些竞争劣势”（certain competitive disadvantages）则不属于直接的结果。[218]同理，纵使“某些竞争劣势”是因为一家企业违反《通用条例》导致，这并不属于自然人的基本权利和自由范畴，因此无法依据《通用条例》第82条第（1）款请求损害赔偿。[219]

持广义解释的观点则是认为，《通用条例》中涉及对“个人”的规定显然并不只以自然人为限，有多处规定并特别指出是自然人和法人。[220]此外，此一立场也是从《通用条例》的立法宗旨切入，但主张其所欲涵盖的保护范围绝不仅止于数据主体，而是要强化并完善整个数据保护法制体系，也就意味着对“任何人”必须采取更为广义的解释方可让数据保护的执法更为完整。毕竟数据主体通常并不具有足够的财力、组织动员和技术能力来起诉数据控制者以伸张自身的权利，因此容许企业的竞争者请求救济势将有助于完善《通用条例》的效果。对此，欧盟法院也有判例表示了支持（法院在多个判决中皆强调赋予损害赔偿请求权对欧盟法规产生完整的效果具有重要的作用）。[221]

另一个考量因素是“有效原则”（principle of effectiveness），也就是必须提供“有效而且完整的保护”，对意图从事违法行为的数据控制者产生吓阻以达到立法的目的。如果求偿无门，那么数据控制者的竞争对手自然就不会再依赖《通用条例》，而可能也诉诸以不合规的手段从事竞争，这就会极大减损了整个法制的公信力和有效执法。[222]

第二个问题是，《通用条例》是否可以同时被视为成员国的国内法并作为请求或主张构成不正当竞争的基础？这里主要是关于德国《反不正當競爭法》第3之a條规定：“凡个人违反为市场参与者的利益所规制、关于市场行为的法规条款且该违法易于对消费者、其他市场参与者或竞争者造成损害的，即视为已发生不公平的状况。”[223]

狭义说认为，既然《通用条例》第82条第（1）款规定的求偿权是以违反该条例的其他条款为先决要件，所有的救济都已经由该条例的第77条至第84条规定所覆盖，因此不得再行延伸到其他的法规。[224]这是目前多位具有影响力的学者的观点。

不过德国的司法实践显然间接排斥了此一观点，采取了“鉴别区分、因案制宜”的折衷方案，试图避免大笔一挥。例如，汉堡高等法院（Oberlandesgericht Hamburg）在一个案件采取了上述的狭义见解，拒绝给予竞争者（原告）禁令，因为被告制药公司虽然未经许可搜集并处理了病患的健康数据，对于这些敏感的信息只是用来从事卫生保健的用途。[225]不过慕尼黑高等法院（Oberlandesgericht München）和巴伐利亚邦维尔茨堡地区法院（Landgericht Würzburg）则分别在另外的两个案件支持了竞争者的请求并签发禁令。[226]这样的做法至少应该可以防制数据控制者的竞争者任意藉由与其不相关或没有直接关系的不合规事由来扰乱市场秩序，也可避免《通用条例》被“滥用”或“滥诉”。

六、反垄断

美国和欧盟长期以来的实践一直是区隔隐私保护和反垄断的执法，甚至认为两者如同井水与河水，互不交集：前者属于财产权益的范畴，著重于价格分析和对消费者的整体保障；后者则是针对个别使用者的人格权益。例如，欧·盟法院在2006年的一项判决便直接援引了佐審官（Advocate-General）的意见，表示“任何可能涉及敏感个人数据的问题都不牵涉竞争法，或许可用规制数据保护的相关条款为基础来处理。”[227]不过这个观点和思维近年来已悄然发生了变化，尤其在互联网的经济领域（ecosystem），数据和流量已成为运营的主要导向和利益来源。

这一点可以从近期美国国会的一项调查结果得到充分的反应。美国国会众议院司法委员会反垄断、商业暨行政法小组委员会于2020年10月4日发布了对于谷歌、苹果、脸书和亚马逊等四家具有强大优势的网络平台企业（亦即所谓的“硅谷四巨头”）进行了16个月的密集调研后的总结报告书（因为两党议员对于其中的内容产生了歧见，所以最终是以“多数党〔按，即民主党〕幕僚报告”（Majority Staff Report）的名义发布，共和党方面则另外提出了一个报告）。[228]

其中指出：“对消费者数据从事惯常性的搜集和误用是数字经济下市场支配力量的一个指标。传统上市场支配力是被定义为能够能够提升价格却不致遭受损失，诸如销售或客源的减损。学者和市场参与者已注意到，纵使网络平台鲜少向消费者收取费用” —— 表面上产品貌似“免费”，却是透过人们的关注或附带他们的数据来予以金钱化 —— 传统对市场支配力的分析更加难以适用于数字市场。”[229]

除了立法部门的态度已然发生转变，即使在民主、共和两党严重对立的整体氛围下，美国行政部门的态度也已与国会方面趋同，形成了相当程度的共识。例如在特朗普政府主政的尾声，联邦司法部针对谷歌公司的反垄断调查与之后联合11个州的州检察长联合发动的诉讼，主要就是在指控该公司以其搜索引擎的巨大数据优势作为杠杆来排除竞争并迫使与其合作的厂家必须接受并签订各种对自身不利的搭售或其他协议，以进一步巩固其市场的优势地位。[230]拜登总统于2021年7月9日签署的行政命令也表明，在这方面的执法将会更加积极。[231]

在欧盟方面，欧盟执行委员会于2019年发布了名为《数字时代竞争政策》（Competition Policy for the Digital Era）的报告书。[232]其中不但以一个专章来讨论数据与竞争的竞合和分析问题，而且是篇幅最大的部分。由此呈现了欧盟执行委员会未来在相关执法上的取向，基本上完全要视个案来分别审度，具体的内涵则包括：

（一） 数据的异质性（heterogeneity）与多维性（multi-dimensionality）

如果从获得的方式而言，数据可以区分为自愿提供、观察获得与演绎推导三种类型，不同的数据类型会影响到竞争者可否独立获得同样数据信息的能力。

如果从数据搜集和使用的形式而言，可以区分为从使用者或机器装置获取的个人层面数据，由多数个人层面的数据捆绑、不具名的数据（例如民意调查），汇集层面的数据（例如营收与亏损状况），以及语境或整体数据（如地图信息）等，此外还有不同时段的数据，因此是个多维度、可能涉及不同时空的动态环境。

此外，在欧盟的体系当中是否涉及取用属于个人或非个人的数据是依循不同的规制途径，也会影响到对于是否构成抵触反垄断法规的研判。

（二）数据的相关市场与具体取用

特定数据究竟对竞争秩序产生了如何显著的影响几乎总是取决于个别案件当中对于特定相关市场、数据型态、以及数据使用的分析。其中可能涵盖了诸如数据携带性与相关的数据取用问题（也就是优势企业对于其所掌控的数据能够产生如何的锁定效应）、与其他网络平台的数据分享能力与兼容性（interoperability）的问题等。

在具体的立法方面，欧盟执行委员会准备制订《数字市场法》（Digital Markets Act）和《数字服务法》（Digital Services Act）两套互补的新规定。[233]

前者拟建立对市场守门者的认定标准以及对在其平台上运营厂家的义务，包括必须容许数据兼容（容许其平台上的运营厂家在第三方平台上操作）、数据取用、数据确认、和数据携带（转移）等。

后者则是对2000年的《电子商务指令》进行规模性的修正，准备直接改以强制规定（不再以指令）的形式分别中介服务（intermediary services）、网页寄存服务（或网站托管服务hosting services）和线上平台（online platforms）三种不同类型的网络界面服务提供者规制对使用者（厂家）的相关义务，诸如透明度的报告（transparency reporting）、服务条款内容及基本权益（requirement on terms of service due account of fundamental rights）、合规程序及如何配合调查、联络人或法定代理人相关信息、通知和行动以及对使用者应提供的信息（《通知—删除》法则的升级）、申诉救济与法庭外和解处理机制、“靠谱旗手”（trusted flagger）制度（事前警告）、烂行通知与反通知的对应举措、对第三方提供者的识别确认（vetting credentials of third party suppliers或“KYBC”）、线上广告透明度、犯罪举报、风险管理与合规事务负责人、外部稽核与信息公开、数据分享、行为准则以及危机协作等等。

总而言之，这些拟议中的新规准备把《通用条例》对个人数据保护的模式和实践延伸适用到法人实体的层面，让平台服务提供者与在其平台上从事运营的厂家之间有更为明确的权利义务关系，并替未来的执法铺垫一个更为明确清晰的基础以及更多可用的工具。

除此之外，欧盟执行委员会还准备在2021年结束前制订一个名为“数据法”（Data Act）的新规，作为对《通用条例》的补充，希望能促进企业与政府之间（business-to-government, B to G）的互信与激励彼此间的数据信息共享、调整与平衡目前协商不对称、防制第三方对数据的盗取或误用，以及明确谁可以对于数据从事如何的使用等的问题（例如透过共同协作所搜集或产生的数据信息）。[234]

在具体的执法方面，欧盟执行委员会已于2021年6月22日启动了对谷歌公司线上广告业务行为的反垄断调查，将检视谷歌公司透过其对消费者的数据搜集与控制是否导致使用其平台的第三方厂家不得不签订搭售订协议在尤谷歌控制的其他平台上（例如在“油管”（YouTube）平台使用由谷歌提供的工具刊登额外的广告，是否与其有竞争关系的第三方厂家受到了不当的限制，无法取用原本属于谷歌公开的数据，不再对“饼干”追踪小程序予以支持和停止对第三方厂家提供广告识别等是否构成变相挤压与其有竞争关系的第三方厂家）。[235]

四、结论

在数据分析的行业里有个经常被引用的说法：“数据是新石油”。[236]这是强调数据可能寓含的潜在价值就如同石油，如果没有经过提炼，或是根本不知道该如何去提炼，就根本无法使用，也不再具有任何价值。

在知识经济和互联网的时代，“数据”无疑可以成为帮助企业运营的重要工具，既可提升本身的竞争力，有效运用稀缺的资源；也可以转化为交易的产品，其重要性往往甚至超过土地、厂房和设备等有形的资产。不过也可能因为市场导向的改变、某些突发事件的影响或是过度依赖大数据分析导致对市场的错估等使其价值快速下跌，甚至在极端的情况下几乎一夕归零，一文不值（例如，耶鲁大学管理学院经济学教授盖瑞‧戈顿（Gary B. Gorton）提供给保险界指标企业美国国际集团（American International Group，简称AIG）关于信用违约互换（credit default swap，简称CDS）风险数据分析模型的失灵被认为是导致发生2007～09年全球金融危机和翌年经济大衰退（The Great Recession）的重要原因之一）。[237]这也凸显了“数据”与“信息”之间的关系：“你可以没有信息却依然握有数据，但不能没有数据却还能掌握信息。”[238]

数据既不等于信息，也无法被“拥有”。任何不具独创性的数据无非就是对某个“事实”的反应或呈现，因此没有任何人可以“拥有”任何事实（至多只是民法上的“占有”概念或一般所称的“控制”）。也因此这些数据本身无法享有任何的权利（虽然可能因为特定的数据组合还不为他人知悉并具有价值等可能构成“商业秘密”）。不过试图对数据给予某种保护形式的想法却一直未曾停歇。既然无法从数据本身着手，欧、美两地便想从“数据库”予以赋权。然而在经过从1996年以来的各种不同尝试与实践后，已经能够确证，想要透过立法（公律）的方式来特别赋权不但无法达到预期的效果，却产生了许多新的、更难以处理的问题。反而是业内厂家透过市场机制，与使用者订立许可合同（自律）能够获得最大的效益。

智力劳动的投入与成果并不当然表示必须赋权；即使享有权利也从不等于、更无法保证具有如何的价值，而是要由市场来决定。“智力劳动成果赋权论”和“额头流汗”其实是一体两面的论述。固然此前曾有司法实践采取了这个观点，自1991年美国联邦最高法院的判决以后，尤其是近期欧盟法院的一系列判决，至少欧、美两地的立场已然趋同，扬弃了只要有智力劳动成果就必须赋权的思维。

由于互联网与电子商务的发达，当前对于数据的关注焦点已经从数据本身或数据库转向到对数据安全性以及其背后所投射或反应的个人隐私保护。美、欧在这个面向也走上了截然不同的发展方向：欧盟从开始便接受了经济合作开发组织在1980年的决议中所推荐的八个基本原则，采取自上而下的“一条鞭”整合模式，“化零为整”。尤其是《通用条例》的制订施行不但对欧盟本身，也对全球一百多个国家，甚至美国的加州等至少半数以上的州产生了极大的影响。

美国则是因为内部的种种分歧难以整合，于是改采“化整为零”的做法，每次只针对特定的问题透过个别立法来对应，结果导致相关的体系在联邦的层级复杂多端，而且不同的规制之间经常叠床架屋，犹如贴上了各式膏药或补丁一般，结果还是有很多的疏漏，欠缺完整的体系和一致性的执法。最终反而是由加州带头改革，最近更以高票通过公民直接立法完全绕过了正常的立法程序尤其非比寻常，显示无论是联邦或州的立法体系至少在对数据的个人隐私问题上已然无法满足社会的普遍要求。

这个新通过的立法采取了非常类似欧盟《通用条例》的规定和做法，甚至更进一步要求企业或厂家必须对消费者的要求给予回应，否则极可能面临严重后果。在加州之后目前已有另外两州也完成了相关的立法。另外还有近半数的州也先后提出了立法草案，但因为种种因素未获通过。究竟加州的规制是否会形成“野火燎原”之势还有待时间的检验，不过由于主要的网络平台服务提供者的总部或运营中心都在该州，实质上已经产生了很大的影响。

由于这些立法举措都还施行未久或尚未正式施行，相关的执法工作究竟将会如何也还有待时间的检验。欧盟的首次执法检讨有得有失，但是欧盟议会并不给予情面，以绝对多数通过了决议意图施加最大的政治压力要求强化相关的执法。这也导致欧、美两地的数据转移和传输的机制一再被判无效，造成了双方的一场数据危机，迄今尚未获得妥善的解决。其中的关键争点是如何平衡执法者基于国家或社会安全的需求与消费者或使用者对自身隐私保护的需求？

至于其他的消费者权益，在实际的执法上则只是形同“请求”而已，却反而让网络平台服务提供者，尤其是掌控市场门户地位的“守门者”，同时成了获得授权行使准司法权的仲裁者，有若球员兼裁判，掌握了更大的权力。讽刺的是，这未必是网络平台服务提供者所希望扮演的角色，毕竟它们也心知肚明这样的安排不但会增加各种交易成本，而且往往会招惹上社会的各种讥评，甚至引发反不正当竞争的诉讼与反垄断的调查，吃力不讨好。

无论如何，这些举措毕竟都还是目前经过初步探索后形成的制度，未来究竟会如何演化还未可知。但是可以确知的是，消费者对自身隐私的保障已然觉醒，一方面认知几乎所有透过网络的各种操作都会被收录成为数据，数据的分析对于消费产品和服务的提升至关重要，但另一方面还是希望能保有一定程度的主控权，尤其希望不受到各种不必要的骚扰甚至厂家的欺诈。

而政府的监管部门也开始分别从反不正当竞争与反垄断的执法角度切入，试图对占有“守门者”位置的大型网络平台服务提供者的发展套上一道枷锁。这意味着目前在欧美等地的执法钟摆已然从过去的相对放任快速转向严格，而且各种发展只是开端而已，未来势将有更多的立法改革。

目前“个人信息保护法”的立法进程已在国内积极推动，草案的内容包含了经济合作开发组织推荐的八项基本原则，与欧盟、加州等地的立法举措相当类似，一旦通过生效，应可对消费者提供非常大的保障，不再让他们自己成为被销售出去的“产品”，有助于未来互联网市场秩序的完善。由于其中涉及复杂微妙的平衡考量，欧、美在立法和执法上的交织发展无疑的提供了一个非常好的参考对照。毕竟这些立法的各项前因后果与执法实践的本身也是寓含了各种高价值的“数据”和“信息”。

后记

本文成稿后，第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过了《中华人民共和国个人信息保护法》，一共八章74个条文，自2021年11月1日起施行。

这个新法所保护的，是“个人信息权益”（第1条），与欧美所保护的是“个人数据”有著微妙的不同。不过在实质的内容方面也遵循了当前国际的整体发展趋势，明确规定对个人信息的处理应符合公开、透明的原则（第7条），个人对其信息的撤回权（第15条），知情权（第44条），查阅权（第45条），更正补充权（第46条）删除权（第47条），和对以信息从事自动化决策的拒绝权（第24条）等，另外也规制了对敏感信息的特别处理规则（第2节），涉及跨境信息传输的规则（第3章）以及国家机关处理个人信息的特别规定（第2章第3节）等，已如本文当中所述。换句话说，这个新法当中的各个条款有80%以上实际规制的完全是关于对个人数据（不是信息）应如何处理的问题。

在经过多方折冲后，美国国会参、众两院民主、共和两党多名议员在华盛顿当地时间2022年6月3日正式推出了一个名为“美国数据隐私及保护法”（American Data Privacy and Protection Act）的立法草案（讨论稿discussion draft），并于6月14日举行了首次的听证会。[239]这是多年来国会最接近通过一部完整的数据隐私法，但是鉴于2022年是国会的中期选举年，议会会期较短，所剩的时间已经不多。目前还有几名关键议员对这个立法草案存疑，认为在维权执行上仍有许多的问题或是对消费者（使用者）的保护不够周全。