《清华大学:互联网时代的反垄断与数据权利保护报告(2021)(85页).pdf》由会员分享,可在线阅读,更多相关《清华大学:互联网时代的反垄断与数据权利保护报告(2021)(85页).pdf(85页珍藏版)》请在三个皮匠报告上搜索。
1、互联网时代的反垄断与数据权利保护清华大学数据治理研究中心2021 年 3 月 15 日清华大学数据治理研究中心2021 年 3 月 15 日目录一、互联网反垄断与数据权利保护.2一、互联网反垄断与数据权利保护.2(一)互联网时代的反垄断.2(二)国内互联网发展中的数据权利保护.6二、国外数据权利保护的主要模式及相关案例.11二、国外数据权利保护的主要模式及相关案例.11(一)统一立法的欧盟模式.11(二)分散立法的美国模式.27(三)逐步发展的东亚模式.38三、国内数据权利保护及相关案例.45三、国内数据权利保护及相关案例.45(一)国内数据权利保护体系简介.45(二)相关案例.58四、参考文
2、献.67五、附录.四、参考文献.67五、附录.83.831伴随着新兴数字与智能技术的快速迭代,世界各国正在加快数字化转型进程。数字时代,数据成为了新兴生产要素和关键的治理资源,数据的所有权、使用权和监管权,以及信息保护和数据安全等都需要全新的治理体系1。近年来,互联网反垄断、数据权属与保护、数据要素治理等议题在国际范围内广受关注,欧美发达国家与我国都相继立法,在上述领域探索国家、互联网企业、个体用户三者的权责与良性互动关系。本报告整理了国内外相关法律法规、司法判例、学界观点,以期对我国互联网时代的反垄断与数据权利保护提供发展改革思路。从近期国内外立法动态和判例来看,全球互联网反垄断的实践趋势趋
3、于明朗:反垄断是监管互联网的主流趋势。反垄断是监管互联网的主流趋势。此前,我国为鼓励互联网平台经济这一新兴模式的发展,采取了包容审慎的监管态度,没有照搬对传统产业的监管办法。随着互联网巨头的发展壮大,负面影响逐渐显露:一方面,互联网巨头的对部分小微企业和个体经营者产生了挤出效应;另一方面,新兴领域的竞争转变成了资本的竞争,创业企业的生存更多仰赖融资能力,而非技术和管理。2目前,虽然各国侧重点有所不同,平台反垄断已经成为中美欧三大经济体的共同动向,促进数字时代的良性竞争。数据保护应从个人信息上升到个人数据。数据保护应从个人信息上升到个人数据。目前,我国对个体数据的保护还主要停留在对个人信息的保护
4、,例如姓名、出生日期、身份1孟天广,数字治理全方位赋能数字化转型,浙江日报,2021 年 2 月 22 日。https:/ IP 地址、消费记录、浏览记录、搜索历史等数字轨迹,对于这些数据的界定与保护可参考国内外先进国家的做法,赋予个体用户更多的数据权利,如知情权、使用权、被遗忘权。这不仅是个体权益保护的需要,也是促进数字行业健康发展、提高我国互联网企业国际竞争力的需要。反垄断应平衡市场公平与企业创新反垄断应平衡市场公平与企业创新。当前,以阻碍用户数据流通为代表的自我优待行为阻碍了互联网企业创新、影响用户权益,需要采取法律规制措施引导,保护市场公平,增强创新活力。但与此同时,互联网企业已经成为
5、我国经济的重要组成部分,是我国数字化转型的重要抓手。在加强对互联网领域监管的同时,要继续发挥互联网企业的优势、调动其积极性,做到反垄断但不抑制创新。一、互联网反垄断与数据权利保护(一)互联网时代的反垄断一、互联网反垄断与数据权利保护(一)互联网时代的反垄断1.互联网与反垄断反垄断法出现于工业时代,我国反垄断法规定了三类垄断行为,即经营者达成垄协议,经营者滥用市场支配地位,具有或者可能具有排除、限制竞争效果的经营者集中。到了互联网时代,互联网领域的竞争和垄断的主要形式是平台的竞争和垄断。有观点认为,平台在本质上是一种交易空间或者场所,引导或者促成双方或多方客户之间的交易,并且通过收取恰当的费用而
6、努力吸引交易各方面使用该空3间或场所,最终实现收益最大化。3为了预防和制止平台经济领域垄断行为,2020 年 11 月 20 日市场监督管理总局公布关于平台经济领域的反垄断指南(征求意见稿),2021 年 2 月 7 日国务院反垄断委员会发布关于平台经济领域的反垄断指南(下称指南),其制定的根据是反垄断法。指南所称的平台即互联网平台,是指通过网络技术,使用相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。当前互联网场上的平台包括百度、阿里、腾讯、京东、今日头条、美团、滴滴、拼多多以及其他小微平台。4王先林和方翔归纳了平台经济领域典型的垄断行为,主要有数字化的
7、科特尔、数据滥用行为、掠夺性定价行为、拒绝交易行为、限定交易行为、搭售行为、自我优待行为、扼杀型并购行为。互联网平台垄断行为中涉数据的是数据滥用行为,比如,Facebook 通过收购虚拟专用网 Onavo,并利用其收集的关于消费者应用程序使用的非公开数据来识别威胁 Facebook 市场地位的潜在竞争对手。5再比如,“大数据杀熟”滥用消费者信息于歧视性定价。“大数据杀熟”是互联网平台过度收集用户个人身份信息、未知信息、聊天记录以及支付信息等,滥用算法权力生成用户画像,在用户非知情前提下进行差异化定3张江莉:互联网平台竞争与反垄断规制:以 3Q 反垄断诉讼为视角,载中外法学2015 年第 1 期
8、。4董宏伟、王琪、王洁:监管政策亮剑互联网平台经济反垄断加速规制,载通信世界2020 年第 33期。5王先林、方翔:平台经济领域反垄断的趋势、挑战与应对,载山东大学学报(哲学社会科学版)2021 年。4价。6而根据最新的指南特别规定,平台在交易中获取的交易相对人的隐私信息、交易历史、个体偏好、消费习惯等方面存在的差异不影响认定交易相对人条件相同。根据中国数字经济发展白皮书(2020),2019 年我国数字经济规模已达 GDP 比重的 36.2%,增速高于同期 GDP 名义增速 7.85个百分点。数据经济的主体是互联网平台,互联网平台之间的竞争很大程度上是数据竞争,数据是数字经济时代最重要的生产
9、要素和核心资产。因为数据在数字经济和平台经济中的重要性,相关机构或经济组织趋于尽可能地收集更多的数据,使得数据收集和使用易引发侵犯用户隐私问题,威胁到个人和企业的数据安全。目前情况是少量互联网平台和巨头拥有海量数据,这些组织有可能基于数据聚集能力和算法权力损害用户的数据权利。比如,比如德国反垄断监管机构联邦卡特尔局(FCO)指出,Facebook 在德国社交媒体市场上占有 90%以上的市场份额,基于 Facebook 的市场主导地位,用户无法自愿决定他们来自多种渠道的数据被如何处理。72.互联网与反不当竞争反竞争行为根据性质可分为两类:不正当竞争行为和垄断行为。“不正当竞争行为的产生,往往是由
10、于市场上同行经营者数量众多,竞争激烈导致一些经营者采取道德低下的竞争手段,这是竞争过度的表现;而垄断行为的产生则在于市场竞争不足,由于某些经营者因其6李飞翔:“大数据杀熟”背后的伦理审思、治理与启示,载东北大学学报(社会科学版)2020 年第 1 期。7https:/ 协议等)、安全软件和普通软件(冲突提示和安装失败、强制卸载、系统蓝屏、死机故障等)、浏览器(广告屏蔽)。102018 年 1 月 1 日新修订的反不正当竞争法增加了“互联网条款”,即对利用互联网技术实施不正当竞争的规制条款。反不正当竞争法第十二条规定经营者不得利用技术手段,通过影响用户选择或者其他方式,实施下列妨碍、破坏其他经营
11、者合法提供的网络产品或者服务正常运行的行为:(一)未经其他经营者同意,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转;(二)误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务;(三)恶8李胜利:“反不正当竞争法与反垄断法的关系:突然现状与应然选择,载社会科学辑刊2019 年第3 期。9同上10张钦坤:中国互联网不正当竞争案件发展实证分析,载电子知识产权2014 年第 10 期。6意对其他经营者合法提供的网络产品或者服务实施不兼容;(四)其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。2011-2012 年腾讯 QQ 和奇虎 360 之间的“
12、3Q”事件是一起著名的互联网领域反不正当竞争案件,被认为是“互联网反不正当竞争第一案”,该案件涉及到软件干扰、商誉诋毁和搭便车。很多备受关注的相关案件也是涉数据互联网不正当竞争案件,特别是互联网企业间数据不正当竞争,比如“新浪微博诉脉脉案”(被称为大数据引发的不正当竞争第一案)、“谷米诉元光安”、“大众点评诉百度案”、“淘宝诉美景案”等,这些案件都与用户数据、平台自采数据、衍生数据的抓取与分享有关。(二)国内互联网发展中的数据权利保护(二)国内互联网发展中的数据权利保护数据权利,也称为数据权,学术界对此已有所讨论。李爱君认为,数据权利指“主体以某种正当的、合法的理由要求或吁请承认主张者对数据的
13、占有,或要求返还数据,或要求承认数据事实(行为)的法律效果”。11闫立东认为,“数据权并不是一项简单的权利,而是一种权利集合,它囊括了不同主体在相同客体上的涉及人格、隐私、财产、主权等多方面的权利。”12肖冬梅和文禹衡认为,数据权基本谱系包括数据人格权、数据财产权和数据主权。数据人格权包括知情同意权、数据修改权以及数据被遗忘权;据财产权包括数据采集权、数11李爱君:数据权利属性与法律特征,载东方法学2018 年第 3 期。12闫立东:以“权利束”视角探究数据权利,载东方法学2019 年第 2 期。7据可携权、数据使用权以及数据收益权;数据主权是以国家为中心构建的数据权利,核心是数据管理权和数据
14、控制权。13近年来,互联网巨头垄断和不正当竞争所引发的数据纠纷层出不穷,这些涉数据案件反映了国内数据权利保护现状。典型的数据之争根据性质涉及数据抓取、数据权属、个人信息保护、数据垄断、数据处理、数据安全。数据抓取之争。2016 年新浪微博起诉脉脉抓取微博用户信息案被称为“大数据引发不正当竞争第一案”,新浪微博主张脉脉实施了四项不正当竞争行为,其中与数据的有关部分是,新浪微博认为脉脉在与微博合作期间违反了微博授权范围,同时也未经用户许可,非法抓了用户教育、职业以及手机号等个人信息,并使用手机信息和微博用户头像进行匹配,因此构成非法抓取行为和非法使用行为。数据抓取纠纷的另一个典型案件是 2016
15、年大众点评诉百度不正当竞争案,大众点评认为百度地图抓取大众点评网的食客点评信息,并将这些信息显示于百度地图的餐厅点评,构成了“搭便车”,减少了用户对大众点评网的访问,是一种不正当竞争行为。14数据权属之争。2017 年的顺丰与菜鸟的数据大战,顺丰与阿里巴巴旗下物流平台菜鸟裹裹与均指责对方试图获得超出自身业务必须得到用户隐私数据,这一场数据争夺战没有诉诸法律,而是在国家13肖冬梅、文禹衡:“数据权谱系论纲,载湘潭大学学报(哲学社会科学版)2015 年第 6 期。14https:/ 年华为与腾讯微信数据争夺战中,腾讯指控华为荣耀Magic手机利用用户在腾讯微信中的聊天信息为用户提供智能化推荐,此举
16、侵犯了微信数据和用户隐私,而华为认为所有数据都属于用户,并且已经获得了用户的授权同意,这场争议也没有诉诸法律,而是以政府层面的调和以及双方私下的协商达成了和解。16个人信息保护之争。2015 年的“任甲玉诉北京百度公司案”被称为中国“被遗忘权”第一案,这期案件源于任甲玉要求百度删除其在前东家无锡陶氏生物科技有限公司的工作经历。被遗忘权(rightto be forgotten)一般是指按照有关个人信息保护规则,网络用户有权要求搜索引擎服务提供商在搜索结果页面中删除自己名字或相关个人信息的权利。17也就是说,如果一个人想被世界遗忘,相关主题应该删除有关此人在网上的个人信息。18用户隐私之争。20
17、18 年江苏省消保委诉百度民事公益诉讼案中,江苏省消费者权益保护委员会对百度公司提起公益民事诉讼,认为手机百度和百度浏览器这两款 APP 在消费者安装前,均未告知其获取的各种权限及目的,且在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限,已经超出合理范围,侵犯消费者个人隐私,并以两次约谈无整改为由,15https:/ 年淘宝诉美景大数据产品权益纠纷中,淘宝系“生意参谋”数据产品是在用户浏览、交易等行为痕迹信息所产生的原始数据基础上,以特定算法提炼后形成的指数型、统计型、预测型衍生数据,安徽美景信息科技有限公司以提供软件账号分享平台的方式帮助他
18、人获取涉案数据产品中的数据内容以牟利。淘宝公司认为,涉案数据产品中的原始数据与衍生数据均系其无形财产;美景公司的被诉行为已实质性替代了涉案数据产品,构成不正当竞争。20数据垄断之争。2021 年腾讯字节诉讼案中,抖音方面所称,腾讯在微信和 QQ 平台上限制用户分享来自抖音的内容,这一行为构成了反垄断法所禁止的“滥用市场支配地位,排除、限制竞争的垄断行为”。对此,腾讯的回应是,字节旗下包括抖音在内的多款产品通过不正当竞争方式违规获取用户个人信息,破坏平台规则。对于腾讯的回应,抖音认为,数据不应该成为腾讯“私产”,表示希望这起诉讼有助于厘清平台经济如何规范竞争,完善反垄断和反不正当竞争规制。21这
19、些数据纠纷反映了当前数据权利主要围绕着个人数据权和企业数据权,而目前有关数据的立法集中在个人信息保护立法。据统计,我国现有涉及个人信息的法律近 40 部,法律解释 10 条,法规近 3019https:/ 200 部。在私法方面,2017 年民法总则第 111条首次以一般性法律的方式确立了自然人的个人信息受法律保护的权利;侵权责任法则围绕个人隐私数据,引入了一般性的法律规则,并就医疗机构及其医务人员的个人数据保护义务及责任作出了特别规定。2012 年关于加强网络信息保护的决定以及 2016 年颁行的 网络安全法 规定了网络环境下个人信息保护的重要原则。此外,最高人民法院在 2014 年关于审理
20、利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定引入了对信息侵权的相关规则。在公法层面,2017 年修订的刑法第 253 条引入了侵犯公民个人信息罪,并发布关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释;2016 年制定的网络安全法第 45 条亦就公法层面的数据保护进行了一定的调整,特别界定了依法负有网络安全监督管理职责的部门及其工作人员的职责。2019 年 8 月 1 日,贵州省人大常委会表决通过了贵州省大数据安全保障条例,成为我国首部省级层面的统一数据立法。从数据立法最新动态看,2020 年 11 月 3 日发布的中共中央关于制定国民经济和社会发展第十四个规划和二三五年远
21、景目标的建议提出:“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。”当前,我国立法机关正综合考量国家安全、信息包含、数据产权等需求,分类分步完善关于数据的法律制度体系。着眼于维护国家安全、防范社会风险、保障个人信息权利,我国已经颁行电子商务法、网络安全等法律,正11在审议数据安全法、个人信息保护法等法律草案。在数据安全法、个人信息保护法即将出台的前提下,最高人民法院专家建议“将数据权利、特别是数据产权保护类法律尽快列入立法计划并及时出台,建立既维护国家安全、也保护个人信息权利,又保护数据使用者权利的数据保护制度”。22二、国外数据权利保护的主要模式及
22、相关案例(一)统一立法的欧盟模式二、国外数据权利保护的主要模式及相关案例(一)统一立法的欧盟模式1.欧盟通用数据保护条例(GDPR)简介欧盟是较早针对个人数据保护展开立法实践的国际主体之一,其数据保护的立法形式经历了从“建议”、“公约”、“决议”,再到“指令”和“条例”的策略性更迭,呈现出法律效力从弱到强、法律规则从一般到特殊再到抽象、立法体系从碎片化到一体化的渐进特征(金晶,2018)。在此过程中,1995 年颁布的 数据保护指令(DataProtection Directive,简称 DPD)旨在保护个人数据处理过程中的个人权利并促进此类数据在成员国之间的自由流通,是对成员国数据保护立法的
23、初步协调,为欧盟成员国立法保护个人数据设立了最低标准。伴随着信息通信技术的发展与数据规模的井喷式增长,加之原有的 DPD 指令带来了立法碎片化和互不协调等负向效应,欧盟委员会于2012 年 1 月 25 日公布了通用数据保护条例(General Data22https:/www.chinacourt.org/article/detail/2021/01/id/5707043.shtml12Protection Regulation,简称 GDPR)草案,意图以统一立法的模式建立起一套综合全面的数据保护规范,并促进欧盟数字化单一市场的形成。经过 4 年的讨论与协商,GDPR 于 2016 年 4
24、 月 8 日和 4 月 16日分别由欧盟理事会和欧洲议会投票通过,由此取代 1995 年的 DPD指令。2018 年 5 月 25 日,GDPR 正式生效施行,被不少媒体称为“史上最严的数据和隐私保护条例”。从内容架构上看,GDPR由99条正文条款和173条法释(recitals)构成,共分为十一章:(1)一般条款,明确了 GDPR 涉及的主要事项与目标、适用范围、地域管辖范围以及相关概念的定义;(2)原则,明确了数据处理的七项原则,即“合法性、合理性和透明性”原则、“目的限制”原则、“数据最小化”原则、“准确性”原则、“限期存储”原则、“完整性与保密性”原则、“可问责性”原则;(3)数据主体
25、的权利,规定了数据主体对个人数据拥有的七项权利,即访问权、更正权、被遗忘权、限制处理权、数据携带权、一般反对权和反对自动化处理的权利;(4)控制者和处理者,规定了数据控制者和处理者的一般责任;(5)关于将个人数据转移到第三国或国际组织的规定;(6)独立监管机构,规定了监管机构的独立性地位、一般要求、职权、任务与权力等;(7)合作与一致性,对各成员国内部设立的一个或多个独立监管机构之间的协作、联合行动等问题进行了规定;(8)救济、责任与惩罚,规定了数据主体向监管机构提起申诉的权利、针对监管机构、控制者或处理者的有效司法救济权、获取赔偿的权利与责任、行政罚款的一般条件等;(9)与特定处理情形相关的
26、条款,包括为实13现公共利益、科学或历史研究或统计目的的个人数据处理提供“安全保障与豁免”规定等;(10)授权法案与实施性法案,规定了对授权的行使、委员会程序等;(11)最后条款,明确了 DPD 指令的废止、和之前已经达成协议的关系、委员会的报告义务、条例的生效与适用等内容。就条例特征而言,GDPR 关于“个人数据”概念的界定、赋予数据主体的诸项权利、对数据控制者和处理者责任义务的强化、地域管辖范围的大幅拓展,是值得关注的几个方面:首先,GDPR 的适用范围限于“个人数据处理行为”。由此,对“个人数据”的定义便尤为关键。GDPR 对“个人数据”的定义以“可识别性”为根本特征,即“个人数据是指与
27、已识别或可识别的自然人(数据主体)相关的任何数据,可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人”。在明确界定的基础上,GDPR 进一步区分了“一般个人数据”与“敏感个人数据”,前者是指任何能以直接或间接方式识别个人身份的数据,包括 IP、浏览记录产生的数字轨迹并可追踪识别特定主体的身份信息;后者包括揭露种族或族裔出身、政治意见、宗教或哲学信仰、工会身份、基因、生物特征、健康相关、性生活与性倾向之数据。这两类数据遵循不同的处理规则:前者可以基于数据主体同意的前提进行处理,
28、而后者在原则上是禁止处理的。除此之外,假名化数据和匿名化数据的区分也是 GDPR 判定是否属于14“个人数据”的重要标准:假名化处理的数据依然可以通过间接或附加信息来识别个人,这意味着它依旧适用 GDPR;匿名化处理的数据则再无法还原原始信息和识别数据主体,由此不在“个人数据”亦即GDPR 的适用范围内。其次,围绕“个人数据”,GDPR 从明确数据主体具有的权利、规定数据控制者和处理者应履行的义务这两条基本脉络入手,全方位保护个人数据权利。一方面,“数据主体”是指其个人数据正在被收集、保存或处理的任何人,而 GDPR 赋予数据主体七项基本权利:数据主体知情权、访问权、修正权、被遗忘权、限制处理
29、权、可携带权、拒绝权。在这之中,“被遗忘权”和“数据携带权”特别受到国际关注并成为各界热议的话题。另一方面,“数据控制者”是指单独或与他人共同决定处理个人数据的目的和方法的自然人或法人、公共机构、其他机构或团体;“数据处理者”则是指代表数据控制者处理个人数据的自然人或法人、公共机构、其他机构或团体;而所谓“数据处理”,则包括数据收集、记录、组织、结构化、存储、修改、检索、查阅、使用、传播或以其他方式利用、排列或组合、限制、删除或销毁等行为。GDPR 对数据控制者和处理者各自和共同的义务进行了详细的规定,同时明确了数据处理的六项合法性基础,包括数据主体的同意、履行合同的需要、履行法律义务的需要、
30、保护数据主体或另一个自然人的核心利益的需要、为了公共利益或基于官方权威而履行某项任务的需要、追求合法利益的需要,它们与数据处理的七项原则一道构成规范数据处理、保护数据权利的屏障。值得注意的是,GDPR 虽有强15化数据主体权利、加重企业责任的倾向,但它并未将数据主体权利建构成一种绝对权,而是认为其应当与其他权利和正当利益进行适当的平衡。第三,GDPR 的地域管辖范围具有明显的扩展性,表现在其不仅适用于位居欧盟属地范围之内的数据控制者和处理者,同时对于处在欧盟境外的控制者和处理者,只要他们在提供产品和服务过程中处理了欧盟境内数据主体的个人数据,即受 GDPR 管辖。在全球化的背景下,跨境数据传输
31、日益普遍,且 GDPR 对于跨境数据传输采取的是“原则禁止、例外允许”之立场例如一国或地区在取得适足性认定后才可被例外允许与欧盟国家进行数据传输,而这些都意味着 GDPR 的生效施行将在域外造成不小的震荡,并对其他国家关于数据权利保护的立法进程产生深刻影响。纵观 GDPR 从起草、通过再到实际施行的历程,会发现国内外各界人士对于这一条例的讨论一直热度不减,而这不仅仅是因为该条例在现实层面具有较强的域外效力且其处罚设定相对严厉,更是因为其在理论层面也引发了人们对于数据权利的归属、数据开发利用的原则、数据监管体制的设计等一系列问题的思考。这些思考从不同的视角和逻辑出发,最终凝成了对于 GDPR 的
32、不同评价。对 GDPR 的积极评价多是肯定该条例将个人数据权利提升至人权之高度的价值取向,认为这一条例在大数据时代个人隐私面临新型复杂风险的背景下具有非常重大的意义,此外对 GDPR 立法观念、原则、体系与技术的赞扬也很多见。例如,周汉华教授认为,GDPR 在立法16观念上有着较之以往立法的明显进步,思路更清晰、规定更翔实,在整体结构、基本原则、具体规定上都体现了大数据时代保护个人信息权利和促进个人信息自由流动的双重价值,追求的是数字经济发展和个人数据保护之间的平衡,其核心可以概括为“激励相容”,即让企业在数据保护方面受到的激励不亚于在数据利用方面受到的激励,借此提高企业的合规动力,而这也为我
33、国个人信息保护立法提供了参考。又如,高富平教授认为 GDPR 的伟大之处在于将保护公民基本权利的法制定成为推动和保障欧盟数字经济发展的法律,而其采用的缓和的目的限定原则、建立的个人信息去标识可流通利用规则,皆可为我国未来的个人信息保护法提供有益的借鉴。与肯定性评价相对,对 GDPR 的消极看法往往从该条例的价值规范过于理想化、对数据权利的界定不清、实际落地执行困难多且成本高、重保护而轻开发、存在贸易保护嫌疑等方面展开,且具体到中国场景和带入中国关怀,学者们在谈及借鉴时通常对 GDPR 持有审慎的态度。典型的观点如刘泽刚教授从欧美模式比较的视角出发,指出欧盟秉持理想主义创设“数据主体”身份,并赋
34、予其一系列权利,试图提升自然人对其个人数据的控制。美国则采取实用主义立场,充分利用既有法律身份和监管机制进行隐私保护,尤其倚重消费者权益保护机制。他进一步认为,从运行实效来看,数据主体在大数据条件下难以行使控制权,因而仍是虚悬的主体身份,且过于强调权利也易造成较大的经济和法律成本。据此,当中国斟酌自己的数据保护立法时,应看到除了欧盟以个人数据保护权作为规范基础,偏重正当性而忽视17效率的保护模式外,还存在着美国式的以贸易管制为基础的兼顾效率和正当性的保护模式对此,中国依然要谨慎选择,没有必要盲目地主动套上沉重的规范枷锁。2.数字服务法案与数字市场法案提案2020 年 12 月 15 日,欧盟委
35、员会公布了两项针对所有数字服务(包括社交媒体、在线市场和其他在欧盟运营的在线平台)制定的立法提案:数字服务法案(Digital Service Act)与数字市场法案提案(Digital Market Act)。北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括副教授表示,两部法案寄托了欧盟有效约束各类大型在线平台的立法指向,目的是遏制在线平台在数据领域的垄断地位,迫使它们在内容托管、广告传播、信息删除等方面做得更加透明有序,通过维护消费者安全并保障在线平台公平竞争,最终实现欧洲数字单一市场的优化23。(1)立法背景在大数据时代,搜索引擎、应用商店以及点评网站等在线平台扮
36、演着至关重要的角色。一方面,消费者依赖这些平台获得在线销售的数字服务或者产品;另一方面,公司也需要通过在线平台来接触它们的客户。如此庞大的市场需求理应有相关成熟的法律规制对此进行保护,但恰恰相反,自 2000 年之后,欧盟关于在线平台的法律规制一直未能进行更新24。23吴沈括:强化反垄断监管、加速数据流通共享.https:/ 年 6 月,欧盟委员会发布了规范欧洲大型在线平台数字服务责任的重要文件电子商务指令,当时包括亚马逊和谷歌在内的大公司已经开始运营,而重塑了数字技术格局的其他几家公司如Facebook、Twitter、YouTube 等仍处于孵化或起步阶段。尽管在电子商务指令出台后的二十年
37、里,欧洲经历了一系列改变公民生活的科技变革,但欧盟针对大型在线平台托管用户内容时的平台责任立法却没有发生任何实质上的变化,并未及时得到更新和完善,相关立法停滞不前。而在此期间,大型在线平台经常会不加限制地利用它们从某一项服务中所搜集的数据,并在众多领域改进或开发一项新的服务,导致其他平台或公司难以与之竞争;就消费者而言,许多用户被锁定在这些强大的平台之上,任由用户们无法理解的算法决策系统摆布。针对此种现象,欧盟委员会曾对谷歌、苹果、Facebook 和亚马逊的竞争行为展开过多次专项调查,并对这些公司开出了巨额罚款,但这并没有从根本上改变大型在线平台竞争无序压榨中小企业发展、消费者在数字环境中得
38、不到有效保障的状况。在此背景下,数字服务法案与数字市场法案应运而生25。(2)法案简介两部法案旨在为大型在线平台提供一套在整个欧盟范围内都能够遵循的协调一致的规则,它们的共同目标是建立更加开放、公平、自由竞争的欧洲数字市场,促进欧洲数字产业的创新、增长和竞争力,25吴沈括、胡然:欧盟数字服务法案数字市场法案提案与欧洲平台监管走向.https:/ 4.5 亿欧洲消费者中 10%以上的在线平台适用数字服务法案的提案规则,包括提供网络基础设施中介服务的互联网接入提供商、域名注册商;提26王惠茹:欧盟数字服务法数字市场法简评.http:/ 提案特别规定了“数字服务协调员”制度,在确保投入足够的财力、技
39、术和人力资源的条件下,该协调员具有相当程度的独立性,其决策完全独立,不向本国政府或者其他机构负责,更不需要向在线平台寻求支持。针对未来在数字服务提供过程中可能存在的风险,数字服务法案提案还规定了数据研究人员有权访问在线平台的某些关键数据,以了解在线风险是如何演变的,使平台在运营合规化、有序化的同时防患于未然。数字市场法案 关注如何解决欧盟内部市场中的不公平竞争问题,将规模较大、覆盖范围较广、对内部市场具有重大影响在线平台定义为“守门人”,通过设定一系列监管规则和事前义务来管控有损于公平竞争或欧盟数字单一市场建设的消极市场行为32,以规范市场竞争、破除数据孤岛。“守门人”概念的提出与界定是数字市
40、场法案的一大创新。根据法案的要求,“守门人”可基于客户数量、累积活动能力、市场估值等综合标准进行推定,具体应考量以下三个累积条件:第一,是否具有影响欧洲内部市场的规模,即企业在过去三个财政年度在欧洲经济区(The European Economic Area)达到的年营业额等于或超过65 亿欧元,或者在上一财政年度其平均市值或等值公平市价至少达650 亿欧元,并在至少三个成员国提供核心平台服务。第二,其是否是控制着不同企业用户通向终端用户的重要门户,即公司运营的核心32吴沈括:强化反垄断监管、加速数据流通共享.https:/ 4500 万,并且在欧盟建立的年活跃商业用户超过 1 万。第三,平台
41、在当下享有或在不久的将来会在市场中具有稳固而持久的地位,即企业在过去三个财政年度中的每个年度都符合另两项两个标准。如果上述三个条件均得到满足,则可认定该企业为“守门人”。除上述准则外,欧盟委员有权经市场调查来评估特定企业的具体情况并作出认定33。对于被认定为“守门人”的平台,数字市场法案则对其施加了一系列额外的具体义务和限制:一方面,“守门人”应当积极履行的义务主要包括:应在特定情况下允许第三方与自己的服务进行交互操作;应为在其平台上投放广告的公司提供访问性能衡量工具以及独立验证所需的信息;应允许其企业用户在其平台之外推广服务并与客户签订合同;应为企业用户提供访问其平台的数据权限等等。另一方面
42、,守门人不得从事的行为主要包括:阻止用户卸载任何预装软件或应用程序;使用从其企业用户处获得的数据与之竞争;限制用户访问在其平台之外的服务等34。欧盟各成员国将在新的欧洲数字服务委员会(即由成员国指定的国家当局组成的独立咨询小组)的支持下负责法案的执行,而如果“守门人”不遵守其义务,则将可能被处以高达该公司全球年营业额10%的罚款或者定期罚款,最高可达到平均每日营业额的 5%35。33王惠茹:欧盟数字服务法数字市场法简评.http:/ Institution)的报告称,2016 年颁布的一般数据保护条例(General Data Protection Regulation,GDPR)更关注公司内
43、部而非跨公司的数据交换,因此涉及多个不同领域活动的平台在数据竞争中会有更大的优势。而数字市场法案提案中的条款则对个人数据的共享提出了新的要求和限制,通过建立数据访问权限,来实现平台之间的公平竞争。这意味着跨领域的“守门人”(如 Google、Facebook 等)将无法汇总不同来源的个人数据36。肖昱堃博士表示,数字市场法案和现行竞争法框架相比的一个重要特点是确立了事前监管的制度,对具有守门人性质的经营者做出了一系列的禁止性规定,而欧盟竞争法对这些行为则是事后监管,例如此前欧盟委员会对谷歌搜索引擎优先显示自己的购物服务开出罚款37。(3)各界观点欧 洲 数 据 保 护 监 管 机 构(Euro
44、peanDataProtectionSupervisor,EDPS)针对数字服务法案的主要建议包括:第一,内容审核必须符合法律规定,除在线服务提供商能够证明这对于解决数字服务法案中明确指出的系统性风险的必要性之外,以内容审核为目的特征分析应予以禁止。第二,立法者需进一步明确平台在进行内容自动修改时必须向个人用户提供的信息。第三,推荐系统在默认情况下不应以特征分析为基础,同时应明确告知用户关于推荐系统36Aline Blankertz and Julian Jaursch,“What the European DSA and DMA proposals mean for online platf
45、orms”.https:/www.brookings.edu/techstream/what-the-european-dsa-and-dma-proposals-mean-for-online-platforms/37保护隐私与反垄断并举,解读欧盟数字服务法数字市场法草案.https:/ 针对数字市场法案提出的建议包括:(一)应明确规定“守门人”要为终端用户提供“知情同意选项”,且必须易于使用和访问。(二)明确数据可携性(data portability)义务的范围,以确保与 GDPR 对个人数据的定义一致。(三)共享终端用户在“守门人”的门户进行免费和付费搜索的查询、点击和查看数据时,应进
46、行有效的匿名化和再识别测试。(四)应明确在数字市场咨询委员会中留有来自欧洲数据保护委员会的代表席位,并与当局之间进行制度化合作39。欧盟成员国在如何修订草案,尤其是如何构筑单一数字市场方面或存在分歧。据 2 月 15 日媒体报道,法国官员希望看到数字服务法案的修订,希望欧盟每个成员国都有权力对科技平台作出惩罚和强制它们移除非法内容。而欧盟官员则担心法国官员的上述提议会削弱欧盟单一数字市场,而单一数字市场的倡议正是数字服务法和数字市场法的重要目标。据知情人士透露,如果每个成员国都能对科技公司作出惩罚,意味着一家公司将面临 27 个不同政府而不是单一监管机构,“这有可能把单一市场分割成一场噩梦”4
47、0。此外,欧盟内部对监管覆盖面尚未达成共识,有的希望只对谷歌、亚马逊等大平台加强监管,也有的寻求覆盖包括爱彼迎、缤客在内的更多企业。38Hunton Andrews Kurth LLP,“EDPS Publishes Opinion on Digital Services Act and Digital Markets Act”.https:/ 2015 年欧盟提出单一数字市场战略以来,到 2019年完成了全部政策目标,可以说欧盟数字战略的第一阶段已经完成。如今进入到数字单一市场 2.0 阶段的欧盟,其重点即是重新定义欧洲未来的互联网环境。在此意义上,2018 年欧盟出台通用数据保护条例(GD
48、PR),可视之为个人信息保护元年,2019 年可以被称为数据治理元年,2020 年和 2021 年的关注重点则是数据要素利用42。对于这两部法案,吴沈括同时指出外界对其的三大关切。一是如何使得在线平台负有删除内容的责任与保护公民言论自由等基本权利实现合理平衡;二是如何根据差异化相关风险来界定非法内容的含义和范围;三是如何在不增加严重缺乏数字发展资源的中小企业负担的情况下,实现规模和责任相适应的“相称性原则”。吴沈括表示这三个问题对中国平台治理生态同样具有重要意义43。中国信通院互联网法律研究中心研究员刘耀华认为,这两部法案是否有利于实现欧盟单一数字市场的建立和数据主权地位的提升还有待实践检验。
49、欧盟在今年 2 月公布的数据战略中明确提出要重振欧盟数据主权、技术主权的地位,上述立法的制定也是为实现这一41人民网.在线平台必须承担起对非法内容的审查义务,不公平竞争行为将受到更严厉处罚欧盟立法强化数字监管.http:/ 年 5 月,两家欧洲非营利性隐私和数字权利组织相继向法国国家信息与自由委员会投诉称,谷歌在处理个人用户数据方面采用了“强制同意”政策,其收集的数据包含大量用户个人信息,这些信息还在用户不知情的情况下被用于商业广告用途。法国数据保护监管机构(CNIL)调查发现,谷歌公司的行为违反了欧盟于 2018 年已生效的通用数据保护条例,具体为:(1)违反透明性原则,用户无法轻易访问 G
50、oogle 提供的信息。谷歌在用户访问个人数据上缺乏透明度,一方面,用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度;另一方面,即使是谷歌已经提供的信息,对用户来说也是不易获得的,原因是这些信息过度分散于多个文件中,需要用户经过五六个步骤才能访问。(2)违反了为广告个性化处理提供法律依据的义务。首先,用户的“同意”并未充分了解情况。比如 Google 对广告进行了稀释操作,打散在 Google 搜索、You tube、Google 主页、Google 地图、44刘耀华:欧盟公布数字服务法案和数字市场法案,单一数字市场促进举措大力推进.http:/ 图片中,个人信息在多个文件中被
51、过度传播(预计 20 个)。其次,用户的“同意”既不是具体的也不是明确的。创建帐户后,用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项,在“创建帐户”按钮上方访问。实际上,用户不仅必须点击“更多选项”按钮来访问配置,而且还预先勾选了广告个性化的显示。但是,根据 GDPR 的规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是“明确的”。再次,在创建帐户之前,要求用户勾选“我同意 Google 的服务条款”框和“我同意如上所述处理我的信息,并在隐私政策中进一步说明”才能完成创建帐户的过程。在对应的 GDPR 法律条文中,Google 定向广告投放案例涉及 GDPR 规定的数
52、据处理的原则以及处理的合法性问题,从数据主体处获取信息的信息提供问题及非从数据主体处的获取信息的信息提供问题,以及数据主体的“同意”问题。最后,法国国家信息与自由委员会在 2019年 1 月 21 日发布公告称,依据通用数据保护条例的相关规定,专门小组认为谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制缺乏有效的自愿原则等问题,法国将对其处以5000 万欧元,约合 3 亿 8 千万人民币的罚款。(二)分散立法的美国模式(二)分散立法的美国模式1.产业主导的“拼凑式”联邦立法在美国,所有涉及隐私的宪法权利,正如普通法上的隐私侵权行为一样,都侧重于对私人事实的公开披露。但这类法律
53、在当下更多地涉及到数据如何收集、保护和使用(而非仅限于披露)的数据隐私辩28论中的影响力是有限的(FAS,2019 pp.7)。与此同时,美国宪法规定了保护个人的各种权利,但这些权利一般只用于防止政府的干预,对私人机构无效45(FAS,2019,pp.2)。针对宪法与普通法在个人数据隐私的保护上面临的以上限制,美国国会制定了一系列联邦法律,旨在为个人的个人信息提供进一步的法定保护。与欧洲的 GDPR 不同,美国没有制定单一的综合性法律,而是制定了一系列“拼凑式”的(patchwork)联邦法律来规范公司的数据保护行为,其主要涵盖了三个方面的内容:首先是基于“公平信息实践法则”的行业立法,如(1
54、)金融领域:金融隐私权法案(The Right to Financial Privacy Act,RFPA),对银行雇员披露金融记录及联邦立法机构获得个人金融记录的方式进行限制;金融服务现代化法案(Financial Services Modernization Act of 1999)要求金融机构尊重客户隐私并保护客户非公共信息的安全与机密;(2)保险领域:健康保险隐私及责任法案(The Health InsurancePortability and Accountability Act of 1996,HIPAA),规定个人健康信息只能被特定的、法案中明确的主体使用并披露,个人可以控制了解
55、其本人的健康信息,但要遵循一定程序标准;(3)电视领域:有线通讯隐私权法案(Cable Communication Policy Act),禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户的个人信息;电视隐私保护法案(Cable TV Privacy Act of 1984),将隐私权保护范围扩展到录像带销售或租赁公司的顾客;(4)电信领45https:/fas.org/sgp/crs/misc/R45631.pdf29域:1996 年电讯法(Telecommunication Act),规定电讯经营者有保守客户财产信息秘密的义务;(5)消费者信用领域:公平信用报告法(The
56、Fair Credit Reporting Act),该法属于消费者保护法系列,规定了消费者个人对信用调查报告的权利,规范了消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项,明确了消费者信用调查机构的经营方式;(6)儿童隐私保护领域:儿童在线隐私权保护法案(The Childrens Online PrivacyProtection Act,COPPA),规定了网站经营者必须向其父母提供隐私权保护政策的通知,以及网站对 13 岁以下儿童个人信息的收集和处理原则与方式等。46其次是通过了一些补充性的法律(如一般禁止未经授权访问或披露互联网服务提供商存储的某些电子通信的存储通信
57、法(StoredCommunications Act)来弥补宪法中极为有限的隐私保护,将类似规范政府行为的原则用于规范私人实体。47此外,还设立了一些应用范围更为广泛(不限于数据保护层面)的法律来限制公司处理个人数据的方式。如联邦贸易委员会法(the Federal Trade CommissionAct)中禁止了任何“不公平或欺骗性的行为或做法”。482020 年 10 月 6 日,美国众议院司法委员会下属反垄断小组委员会正式颁布数字化市场竞争调查报告,被认为将对数字经济时代的反垄断立法产生重要影响,将赋予用户更多的数据主导权利,支持46https:/ 和谷歌四大科技公司的行业主导地位,应当
58、采取适当的措施维护数字经济的竞争,具体的措施包括:结构性分拆和禁止特定支配性平台经营相邻业务;非歧视要求,禁止支配性平台从事自我优待行为,要求这些平台对同等产品和服务提供同等条件等;支持数据的可移植性和互操作性,以便用户可以将数据转移到另一个平台,以促进竞争。2.差异化发展的州级立法各州对隐私和数据保护的主要由法院通过侵权法和合同法进行监管。然而,运用州层面的普通法进行隐私与数据保护的过程中所面临的的巨大问题在于各州之间及各州内部,法官与法官之间、陪审团与陪审团之间存在的差异性。2018 年加州消费者隐私法案通过后,多个州提出了类似的立法来保护本州的消费者,截至 2021 年 2 月 7 日为
59、止,加利福尼亚州,缅因州和内华达州已通过消费者隐私保护相关法案;明尼苏达州,纽约州,奥克拉荷马州,华盛顿州,弗吉尼亚州的相关法案均处于立法委员会讨论过程中。加利福尼亚州和内华达州都规定了消费者中途选择停止出售信息的权利(opt-out),而缅因州则要求更严格的选择进入权利(opt-in)。在缅因州和加州,受到保护的信息的范围更广。缅因州的法律非常简短,对如何执行其规定没有提供太多的细节;而加利福尼亚州的法律则更为详细。加州消费者隐私法案(The California Consumer Privacy Act2018,CCPA)规定,消费者有权了解企业收集的个人信息以及如何使31用和共享这些信息
60、;消费者有权自行删除已收集的个人信息;有权要求企业停止出售其个人信息(opt-out)的权利。49与 GDPR 相比,CCPA对公司使用与维护信息安全的规定更宽松,由于其要与其他各州对于合 理 性(reasonability/appropriateness)的 标 准 保 持 一 致(Stanford working paper,pp.28)50;同时,CCPA 要求企业允许用户在中途选择停止出售个人信息(opt-out),而 GDPR 要求企业在收集信息之前必须获得用户的明确同意(opt-in consent)。GDPR认为“选择退出”的选项与“预先勾选”类似,预设了用户的知情同意(pp.3
61、2)51CCPA 的一个主要创新点是赋予消费者对违反数据安全条款的企业提起诉讼的私人权利。这一规定为消费者提供了更大的自决空间,消费者可以绕过监管机构,自行寻求司法救济。(Stanfordworking paper,pp 25.)2020 年出台的加州隐私权法案(The California PrivacyRights Act)基于加州消费者隐私法案对消费者的隐私实行更严格的保护,并对企业增加了更多的要求。两个法案的差异见表 152.加州消费者隐私法案加州隐私权法案法案由加利福尼亚州总检设立了全新的加州隐私49California Consumer Privacy Act,2018 Cal.L
62、egis.Serv.Ch.55(A.B.375)(WEST).Seehttps:/oag.ca.gov/privacy/ccpa.50https:/law.stanford.edu/wp-content/uploads/2019/09/pehrsson_wp45.pdf51https:/ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf52来源参见https:/wirewheel.io/wp-content/uploads/202
63、0/11/WireWheel-GDPR-vs-CCPA-vs-CPRA-Cheat-Sheet.pdf32实施察长办公室执行。保护署(CPPA),赋予其充分的行政与管辖权力,以实施、执行法案。CPPA 由一个五人委员会管理,对企业进行审查。适用范围适用于以下在加州开展业务的公司:年总收入超过 2500 万美元;每年购买或以商业目的出售或分享50000 名及以上的消费者、家庭或设备的个人信息;其年收入的 50%或以上来自于销售消费者的个人信息。更改了“经营”的定义,将 CCPA 规定的消费者、家庭数量提高到 10 万人,并将设备从个人信息的来源中删除。法案保护的个人信息与消费者或其家庭有关的、或
64、可合理地与之产生间接或直接联系的信息。将“敏感的个人信息”作为新的数据分类,并要求对此类信息同时实施进入与退出机制。进入/退出机制要求企业在网站上设置不要出售我的个人信息的链接,让消费者有权选择不出售和/或披露其个人增加了消费者退出自动决策的机制,如通过消费者的工作表现、经济状况、健康、个人偏好、兴趣、可靠33信息。选择退出只是停止出售个人信息,并不影响其信息的其他使用方式。CCPA对“出售”的定义为针对所有消费者信息的价值交换,包括与第三方分享和通过其他跟踪技术获取的个人数据。企业必须在 15 个工作日内处理完成消费者的退出申请。性、行为、位置或行动进行的特征分析。加强了对于未成年人信息的保
65、护。处罚方式罚金从非故意违规的单次 2500 美金到故意违规的单次 7500 美金不等。对于儿童的个人信息违规行为与涉及成人个人信息的违规行为的罚款相同。如果企业在接到不合规通知后30 天内纠正任何不合规行为,则无需承担责任。消费者只有在非加密的个人信息受到侵犯时,才能提起私将涉及 16 岁以下消费者个人信息的违反消费者保护法的罚款增加到单次7500 美元。取消了企业接到不合规通知后的 30 天纠正期。扩大消费者隐私诉讼权的范围,包括涉及电子邮件账户凭证的违规行为。34人诉讼。对数据收集/处理/存储的限制无只允许企业在“合理、必要、具有特定目的”的条件下收集、处理、使用、存储个人信息。表 1.
66、加州消费者隐私法案与加州隐私权法案比较缅因州网络消费者信息隐私保护法(Act to Protect the Privacyof Online Consumer Information 2019)。该法适用于互联网信息服务提供商(如 AT&T)。法案中将消费者个人信息定义为:(a)关于客户的可识别个人身份的信息和(b)从客户使用宽带互联网接入服务中获得的信息,其中包括网页浏览历史、应用程序使用历史、地理位置、财务和医疗信息、设备识别码、IP 地址以及客户的通信内容。该法规定,除消费者明确同意使用、披露、出售或访问个人信息,禁止网络服务提供商以提供服务以外的目的使用、出售、分发或允许访问消费者的个
67、人信息。未经消费者事先明确的知情同意仍允许使用、出售、披露或分享个人信息的例外情况有如紧急情况、欺诈保护等。53内华达州修订法规 603A(Nevada Revised Statutes Chapter53https:/ 数据泄露案。2011 年 11 月 29 日,美国联邦贸易委员会(Federal Trade Commission)指控脸书公司欺骗用户,告知他们可以保持他们在 Facebook 上的信息的私密性,却在之后反复地分享和公开这些信息。贸易委员会提议的和解方案要求 Facebook 采取多项相关措施,确保今后履行承诺,包括给予用户明确而显著的通知,并在超出用户所建立的隐私设置外分
68、享用户信息之前获得他们明确的知情同意。542012 年 8 月 10 日,联邦贸易委员会与脸书达成了最终54Federal Trade Commission.Facebook Settles FTC Charges That It Deceived Consumers by Failingto Keep Privacy Promises.November 29,2011.https:/www.ftc.gov/news-events/press-releases/2011/11/facebook-settles-ftc-charges-it-deceived-consumers-failing-
69、keep36和解。该和解协议要求 Facebook 采取多项措施并确保在未来履行承诺,其中包括在分享消费者的信息之前,对消费者进行明确而显著的通知;在分享其隐私设置之外的信息之前获得消费者的明确知情同意,建立维护全面的隐私计划以保护消费者的信息,以及获得独立第三方两年一次的隐私审计。55美国纽约时报和英国卫报于 2018 年 3 月 17 日 发布报道,曝光脸书上 5000 万用户信息数据被一家名为“剑桥分析”(Cambridge Analytica)的英国公司泄露。“剑桥分析”公司分析数据、建立模型,以预测并影响政治活动中公众的选择。这家企业曾经受雇于美国总统唐纳德特朗普的竞选团队和推动英国
70、脱离欧洲联盟公民投票的“脱欧”阵营。报道称,2014 年,27 万脸书用户下载该平台上一款个性分析测试的应用软件;应用软件开发者、英国剑桥大学心理学教授亚历山大 科根将这些用户及其脸书好友的数据卖给“剑桥分析”公司。数据包括脸书用户档案信息以及他们“点赞”的内容。此后,脸书更改了开发者可通过此种方式获取数据的数量,但事件披露者克里斯托夫怀利称,“剑桥分析”在“用户同意”规定收紧之前,就已获取了约 5000 万用户的数据。562018 年 7 月 10 日,Facebook 因允许 Cambridge Analytica 在未经同意的情况下采集数百万人的信息而在英国遭到了最高额度的罚55Fede
71、ral Trade Commission.FTC Approves Final Settlement With Facebook.August 10,2012.https:/www.ftc.gov/news-events/press-releases/2012/08/ftc-approves-final-settlement-facebook56新华网,“脸书 5000 万用户信息泄露”,2018 年 3 月 24 日。http:/ 万英镑。这是负责执行数据保护法的英国信息专员办公室(UK information commissioners office)所能征收的最高数额的罚款。57Face
72、book 公司需支付创纪录的 50 亿美元罚金,服从新的限制措施以及整改公司结构。联邦贸易委员会要求公司对其违反 2012 年委员会的命令,欺骗用户并控制其个人信息隐私的能力的指控负责。582019 年 10 月 30 日,Facebook 同意为违反数据保护法支付 50 万英镑的罚款。联邦贸易委员会发布意见书,认定数据分析和咨询公司Cambridge Analytica 的欺骗行为,从数千万 Facebook 用户中获取个人信息,用于选民特征分析和目标定位。该意见还认为,该公司违反了欧盟-美国隐私保护框架(EU-U.S.Privacy Shield framework)。59根据 2019
73、年的和解方案,联邦贸易委员会在联邦法院下达命令之前,无法修改2012年与Facebook的行政命令来更新和解方案内的消费者保护措施。法官 Timothy J.Kelly 于 2020 年 4 月 23 日对此进行了批准。联邦贸易委员会以 3-2 的投票结果修改了 2012 年的行政命令,57Satariano,A.and S.Frenkel.July 10,2018.Facebook Fined in U.K.Over Cambridge AnalyticaLeak.https:/ Trade Commission.July 24,2019.FTC Imposes$5 Billion Pena
74、lty and Sweeping New PrivacyRestrictions on Facebook.https:/www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions59Federal Trade Commission.FTC Issues Opinion and Order Against Cambridge Analytica For DeceivingConsumers About the Collection of
75、 Facebook Data,Compliance with EU-U.S.Privacy Shield.December6,2019.https:/www.ftc.gov/news-events/press-releases/2019/12/ftc-issues-opinion-order-against-cambridge-analytica-deceiving38更新的条款中包含了 2019 年的和解方案。60(三)逐步发展的东亚模式(三)逐步发展的东亚模式1.韩国(1)个人信息及数据保护制度概述目前,在个人信息及数据保护法律领域,韩国形成了个人信息保护法(Personal Inform
76、ation Protection Act 2011,PIPA)信息通信网利用促进及信息保护法(the Act on Promotion ofInformationandCommunicationNetworkUtilizationandInformation Protection 2001,ICNA)和信用信息的利用及保护法(the Use and Protection of Credit Information Act 2009,UPCIA)三法分立的局面,相关职能分别归属于个人信息保护委员会、广播通信委员会(未来创造科学部)与韩国网络振兴院。61韩国于 2011 年 3 月通过并公布了个人
77、信息保护法,对个人信息的公开和 使用作出了极为详细的规定,明文规定信息主体对个人信息的阅览、订正甚至添删的自我决定权,对侵犯个人信息权利的行为有明确的处罚规定。62其第 15 条至第 23 条规定“收集或利用或向第三者提供个人信息时,必须征得信息主体的同意,不必要保留个人信息时,应及时删除”。632020 年 2 月 4 日,国民议会通过了 PIPA的若干修正案,该修正案于 2020 年 8 月 5 日生效。2020 年修正案包60Federal Trade Commission.FTC Gives Final Approval to Modify FTCs 2012 Privacy Orde
78、r withFacebook with Provisions from 2019 Settlement.April 28,2020.https:/www.ftc.gov/news-events/press-releases/2020/04/ftc-gives-final-approval-modify-ftcs-2012-privacy-order-facebook61http:/ 年第 12 期。63https:/ 年 4 月,韩国金融委员会公布了信用信息法的最新修改草案,拟规定“经过不可识别处理的个人信息可以无需信息主体的同意而加以利用或向第三者提供”,即,经过不可识别处理的个人信息被允许
79、在当初收集和使用目的范围以外使用。同年 6 月,包括行政自治部在内的韩国政府 6 大机构共同公布了“个人信息不可识别处理指南”,规定允许不可识别的个人信息作为大数据使用。由于信用信息法的修正案迟迟没有得到国会的通过,2017 年 1 月 10 日,金融委员会又公布了信用信息法施行令的修改令”,规定匿名处理的个人信用信息允许作为统计资料使用或用于学术研究目的,这被看作是为韩国个人信用信息的大数据利用开辟了合法化道路。为了使个人信息保护相关的法律体系符合欧盟等国际标准,使个人信息在实现充分保护的前提下,最大程度的发挥信息资源利用率,韩国广播通信委员会公布了信息通信网法的最新修正案草案,其主要的修改
80、内容包括:扩大个人信息收集、使用及向第三者提供事前同意的例外,规定服务升级属于同一收集、利用目的,规定有偿提供的告知义务,对违反事前同意行为设立合理的刑罚适用标准,扩大个人信息跨境转移事前同意例外的适用情形,新设个人信息暂停处理请求权,对违反事前同意行为设立合理的刑罚适用标准,扩大个人信息跨境转移事前同意例外的适用情形,为个人信息跨境再移转的法律保64https:/ 对个人数据有广泛的定义,即与活着的自然人相关的任何数据,这些数据(i)通过全名、居民注册号、图像或类似的东西来识别特定个人,(ii)即使其本身没有识别特定个人,可轻松与其他信息相结合,以识别特定个人(在这种情况下,信息是否“易于组
81、合”,应通过合理考虑用于识别个人的时间、成本和技术(例如获取其他信息的可能性)来确定),或(iii)是上述项目(i)或(ii)下的信息,其假名为假名,从而无法识别特定个人,而无需使用或组合其他信息以恢复其原始 状态。匿名信息:在合理考虑时间、成本、技术等因素后,即使信息与其他信息相结合,也无法用于识别特定个人的信息不受 PIPA 的制约。敏感数据:敏感数据被定义为“有关个人意识形态、信仰、工会或政党成员、政治观点、健康、性取向的个人信息和其他可能导致重大侵犯隐私的个人信息”,并进一步包括遗传信息,犯罪记录、个人身体、生理和行为特征的信息,通过某些技术手段产生的,用于识别 2011 年个人信息保
82、护法法第 18 条所述的特定个人和种族/族裔数据(“PIPA 执行法令”)。数据控制者:PIPA 下的数据处理者或个人信息控制者的概念与一般数据保护条例(“GDPR”)下的数据控制者概念类似。具体而言,PIPA 将数据处理者定义为“公共机构、法人团体、组织、个人,他65https:/ PIPA 下,数据处理者的概念定义得相当宽泛,因此包括处理数据的数据保护机构。数据收集:个人数据的“处理”是指“收集、生成、记录、存储、保留、处理、编辑、搜索、输出、更正、恢复、使用、规定、披露或销毁个人数据或与上述任何类似任何其他操作”。2.日本(1)日本个人信息保护法的结构日本个人信息保护法66等“关联五法案
83、”构成了个人信息保护的核心制度;多数地方政府和大量公共团体制定了个人信息保护条例。根据个人信息保护法成立的个人信息保护委员会具有高度的独立性,拥有监督、处理申诉、保护评估、向国会报告等独立权力。根据“一般财团法人日本情报经济社会推进协会”(Japan Institutefor Promotion of Digital Economy and Community,简称 JIPDEC)出台的个人信息保护管理体系要求事项构建了行业个人信息保护管理体系的和认证工作(P-MARK 认证),通过认证的企业将获得相66中译本见 https:/ 2018 pp.12-13)67。(2)个人信息与个人数据的界定
84、问题日本的个人信息保护法中对“个人信息”和“个人数据”作了界定和区分。“个人信息”是指:关于自然人的姓名、出生日期等可识别出特定个人的信息,包括与其他信息对照后可容易地识别出特定个人的信息;个人识别符号(如 DNA、面容、虹彩、声纹、身份证号、护照号码等)。“个人数据”是指企业将所收集的个人信息经过输入、编辑、加工等后生成个人信息数据库时,该个人信息数据库中所包含的个人信息。与“个人信息”不同的是,“个人数据”系可以通过电脑等方式检索的构成一定体系的数据,将个人信息数据库等用于其经营的主体则称为“个人信息处理业者”。在日本个人信息保护法中,“个人信息”这一概念通常被用于信息获取阶段的行为;而“
85、个人数据”的概念则指于企业收集个人信息并生成数据库后使用、管理、向第三方提供属于个人信息的数据。个人信息保护法 均未要求国内或国外企业将从日本国内收集到的个人信息或个人数据保存在日本国内。但如果企业向日本国内的个人提供商品或服务时从个人取得个人信息,即便是在日本境外处理该等个人信息或者从该等个人信息加工而成的匿名化加工信息,该企业也将作为个人信息处理业者成为个人信息保护法域外适用的对象。(3)“国内国外双轨制”:日本与欧盟的数据共享协议将日本国内的个人数据提供给日本境外第三方时原则上需要取67中国信通院 http:/ GDPR 般对违反规定者的高额罚金制度。日本与欧盟于 2019 年 1 月相
86、互认定了信息保护的“充分性”,建立了世界上最大的数据流动安全区域,因此在满足法定条件的情况下,日本与欧盟之间的数据转移不需要本人的同意。68为满足欧盟的要求,日本作出了两项让步。首先,日本同意将性取向和工会成员身份列为敏感数据,这与以前的做法不同。第二,确保数据主体的权利适用于从欧盟转移的所有个人数据,无论其保留期长短。因此,目前日本国内对个人数据的保护标准低于处理和处理欧盟数据的标准,但在国际贸易方面则大幅推进了欧盟-日本经济合作协议的发展。69(4)日本相关案例:Benesse 教育机构数据泄露案70函授教育服务商 Benesse Holdings,Inc.公司(以下简称Benesse)发
87、生了由儿童及其父母的个人资料组成的约 4,900 万客户数据泄露事件,这些数据包括姓名、地址、电话号码、儿童的性别和出生日期,以及少数孕妇的预产期(但不包括信用卡信息、银行账户信息或儿童的成绩信息)。在 2013 年和 2014 年,Benesse 的子公司转包商的一名负责处理客户数据的员工,将数据非法下载到其个人智68https:/ 公司向确认受该事件影响的每位客户发送了 500 日元的购物券。日本最高法院2017年10月23日的判决推翻了下级法院(大阪高等法院)的判决,即原告的精神损失赔偿应不仅限于不适或焦虑,而是认定原告的隐私权受到侵犯,并将案件发回下级法院,令其进一步审查因隐私权被侵犯
88、而造成的精神损失。根据东京地方法院于 2018 年 6 月 20 日的判决,Benesse 子公司未尽其自身所承担的注意义务,即未适当升级其数据管控措施,以防止数据通过媒介传输协定传输到新型智能手机上;而 Benesse 也未尽其注意义务,因为它没有适当地监测子公司所使用的安全软件,它本应该要求子公司升级其控制措施,防止数据输出到新型智能手机。不过,东京地方法院也认为,考虑到泄露数据的类型以及这些数据只提供给了特定的当事人,而非公布在一般的公共领域内(如互联网),同时 Benesse 已经提供了 500 日元的购物券且原告所遭受的精神损失仍不足以确定这部分的赔偿数额,因此驳回了受害者向Bene
89、sse及其子公司的集体索赔请求。该判决被上诉至东京高等法院。根据东京地方法院 2018 年 12 月 27 日的判决,子公司无法预先知道他们的数据管控措施对使用“媒介传输协定”的新型 Android 智45能手机的数据传输是无效的,因此他们没有升级措施以阻止数据传输是合理的,并没有违反其注意义务(care duty)。然而,东京地方法院认为子公司必须负法定的“雇主侵权责任”,即要为员工个人的侵权行为负责。因此,东京地方法院判决子公司赔偿每位原告 3,000日元(约 25 欧元),外加 300 日元(约 2 欧元)的律师费。与此同时,Benesse 公司也无法预先知道子公司的数据管控措施对使用“
90、媒介传输协定”的新型 Android 智能手机的数据传输是无效的,而未要求子公司升级数据管控措施,因此没有违反其注意义务。由于Benesse公司不具备监督和管控侵权者个体的能力,也不适用”雇主侵权责任“,因此法院驳回了原告对 Benesse 的索赔请求。原告向东京高等法院继续提出上诉。根据东京高等法院 2020 年 3 月 25 日针对上述上诉的判决,子公司本应预计到其针对数据输出的管控措施对使用媒介传输协议的新型安卓智能手机的数据出口无效,违反了其注意义务;而 Benesse 公司未能对子公司进行监督,同样违反了其注意义务,因此子公司和Benesse 作为共同侵权人,应承担每位原告 3300
91、 日元的赔偿金和 5%的滞纳金。三、国内数据权利保护及相关案例(一)国内数据权利保护体系简介三、国内数据权利保护及相关案例(一)国内数据权利保护体系简介1.偏重个人信息保护的数据权利法律体系当前,以信息技术和数据资源作为关键要素的数字经济蓬勃发展,46并成为推动我国经济增长的重要动力之一。数据已成为重要的生产要素和企业的核心资产,数据的共享、整合成为大势所趋。数字经济迫切需要法律保驾护航,数据属性迫切需要创新法律规范,司法实践迫切需要明确法律依据。习近平总书记指出:“要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。”在我国现行法律框架内,因法律尚未明确数据的具体权利,虽然涉
92、及个人信息的法律体系已经初具雏形,但有关企业数据权利的法律法规仍十分匮乏。目前,我国虽然有知识产权法和反不正当竞争法,但二者都难以对企业数据提供保护。一方面,知识产权难以保护缺乏独创性的数据;另一方面,反不正当竞争法重视对主体行为的规制和市场秩序的维护,并不确定数据的相关权利。民法典总则编第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”这表明法律保护数据权利的鲜明态度,但目前仍缺少保护数据产权的专门法律规范。目前,我国数据法律体系在个人信息保护方面已取得初步成果。据统计,我国现有涉及个人信息的法律近 40 部,法律解释 10 条,法规近 30 部以及部门规章近 20
93、0 部。本报告分别从私法和公法两个方面,选取重要的法律法规进行简要介绍。在私法方面,民法总则首次以一般性法律的方式确立了自然人的个人信息受法律保护的权利。民法总则第一百一十一条规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、47传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这里对个人信息的定义与 GDPR 使用的个人数据(personal data)有所不同。民法典第一千零三十四条将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、
94、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”而个人数据主要指个人信息经过加工处理后,形成的具有使用价值的内容,可以脱离电子信息载体而独立存在,例如消费者线上购物过程中生产的消费行为数据,该数据经过系统处理与分析,可以产生具有商业价值的报告。2012 年全国人民代表大会常务委员会通过的关于加强网络信息保护的决定,该决定旨在保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益。该决定第一条对国家在保护公民个人信息的职责做了界定,规定“国家保护能够识别公民
95、个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”同时,该决定规定了网络服务提供者和企事业单位“在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”482016 年颁行的网络安全法规定了网络环境下个人信息保护的重要原则。该法将个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人
96、生物识别信息、住址、电话号码等。从定义中可以看出,网络安全法中个人信息多侧重自然人的信息,对虚拟人的信息如用户名、密码、IP、MAC、上网时间、Cookies 等信息还没有明确定义。个人信息不同于个人数据、个人隐私,自然人的健康、犯罪、私人等活动信息,网络安全法中并没有提到。网络安全法明确网络运营者,即网络的所有者、管理者和网络服务提供者,在收集个人信息时必须合法、正当、必要,收集应当与个人订立合同;个人信息一旦泄露、损坏、丢失,必须告知和报告,同时个人具有对其信息的删除权和更正权。最高人民法院在 2014 年关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定 引入了对信息侵权
97、的相关规则。该规定主要针对的是利用信息网络侵害人身权益民事纠纷案件,如利用信息网络侵害他人姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益引起的纠纷案件。个人信息保护法(草案)于 2020 年 10 月提请全国人大常委会审议。草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、49正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个
98、人信息处理的全过程、各环节。与民法典的有关规定相衔接,草案对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。在公法层面,2017 年修订的刑法第 253 条引入了侵犯公民个人信息罪,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。为保障法律正确、统一适用,依法严厉惩治、有效防范侵犯公民个人信息犯罪,2017 年最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见、反复论证完善,制定了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(以下简
99、称解释)。解释根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。2016 年制定的网络安全法第 45 条也调整了公法层面的数据保护,界定了依法负有网络安全监督管理职责的部门及其工作人员的职责。该条规定“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”2.竞相发展的部门规章与地方条例目前,部门规章和地方条例较多关注的是个人信息保护和数据安50全,反垄断背景下的数据权利界定与保护仍然亟需大量立法工作。本节介绍了工业和信息化部、公安部、国家互联网信息办公室、
100、贵州省以及深圳市的相关规章制度。工业和信息化部于 2013 年 7 月 16 日公布了 电信和互联网用户个人信息保护规定,旨在可以进一步完善电信和互联网行业个人信息保护制度。该规定明确要求保护“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。要求电信业务经营者、互联网信息服务提供者收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责。要求电信业务经营者、互联网信息服务提供者遵守下列信息收集和使用规则:制定并公布其信息
101、收集和使用的规则;未经用户同意不得收集、使用用户个人信息;明确告知用户其收集、使用信息的目的、方式和范围等事项;不得收集提供服务所必需以外的用户个人信息;在用户终止使用服务后应当停止对用户个人信息的收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所于 2019 年 4 月 10 日正式发布了 互联网个人信息安全保护指南。该指南的适用对象为“个人信息持有者”,即对个人信息进行控制和处理的组织或个人。该指南规定,“适用于个人信息持有者在个人信51息生命周期处理过程中开展安全保护工作参考使用。
102、适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人”。这意味着除了传统意义的互联网企业,包含金融、电信、交通、教育、医疗、房产中介等行业都应参考指南保护个人信息安全。国家互联网信息办公室于 2020 年 12 月 1 日公布了 常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿),并向社会公开征求意见。该文件规定了地图导航、网络约车、即时通信等 38 类常见类型 App 必要个人信息范围。必要个人信息是指保障 App基本功能正常运行所必须的个人信息,缺少该信息 App 无法提供基本功能服务。只要用户同意收集必要个人信息,App 不得拒绝用户
103、安装使用。贵州省人大常委会于 2019 年 8 月 1 日表决通过了贵州省大数据安全保障条例,成为我国首部省级层面的统一数据立法。该条例规定使用数据应当通过合法方式获取,并保护数据所有人、提供人、采集人合法权益,不得用于非法目的和用途。针对实践中公众普遍关注的过度采集数据、非法倒卖数据、不敢开放共享数据等问题,该条例对网络服务经营者数据采集行为、公共服务数据安全管理责任、提供数据的责任免除等进行规范。例如:第十六条规定,“向不特定公众提供网络服务的经营者,不得采集与提供服务无关的数据,不得以使用人拒绝提供相关信息而限制或者拒绝其享受普遍服务”;第二十七条规定,“银行、保险、房地产等公共服务单位
104、在经营服务中获取52的用户数据,除依法共享开放外,不得泄露、出售或者非法向他人提供”;第三十一条规定,“单位大数据安全责任人因公共数据共享开放提供数据,基于提供时的合理预见无安全风险的,提供人不承担相关责任。”2020 年 12 月 28 日,深圳经济特区数据暂行条例(草案)提请深圳市人大常委会会议审议,如果该条例获得通过,将是我国首部数据领域的综合性专门立法。该草案规定自然人、法人和非法人组织享有对特定数据的自主决定、控制、处理、收益和利益损害受偿等数据权益,这也是在国内立法中首次提出“数据权益”保护。收集、处理个人数据应当征得自然人或者其监护人同意。其中,涉及隐私的个人数据应当征得自然人或
105、者其监护人的明示同意,即必须是通过书面、口头等方式主动作出声明或者自主做出肯定性动作予以明确授权同意。自然人还有权随时撤回被收集和处理个人数据的同意。该草案还明确经营性数据要素市场主体应当遵守公平竞争的原则,不得以不正当手段获取其他法人、非法人组织的数据,对其产品产生实质性替代。针对消费者反映强烈的大数据“杀熟”,该草案规定经营性数据要素市场主体不得通过分析消费者的个人信息、消费记录、偏好等数据,对商品或者服务设置不公平的交易条件,侵犯消费者合法权益。3.关于平台经济领域的反垄断指南2021 年 2 月 7 日国务院反垄断委员会公布了关于平台经济领域的反垄断指南(下文简称指南),旨在预防和制止
106、平台经济领域垄断行为,保护市场公平竞争,促进平台经济规范有序创新健康53发展,维护消费者利益和社会公共利益。此次指南的正式发布距离市场监管总局发布的关于平台经济领域的反垄断指南(征求意见稿)不足 3 个月(2020 年 11 月 10 日),可见我国强化平台经济领域监管的态度和决心。指南指出,反垄断执法机构对平台经济领域开展反垄断监管应当坚持以下原则:(1)保护市场公平竞争;(2)依法科学高效监管;(3)激发创新创造活力;(4)维护各方合法利益。针对社会各方反映较多的“二选一”“大数据杀熟”等热点问题,指南明确认定平台经济领域滥用市场支配地位行为,通常需要先界定相关市场,分析经营者在相关市场是
107、否具有支配地位,再根据个案情况分析是否构成滥用市场支配地位行为。指南详细列举了认定或者推定经营者具有市场支配地位的考量因素,包括经营者的市场份额、相关市场竞争状况、经营者控制市场的能力、经营者的财力和技术条件、其他经营者的依赖程度、市场进入难易程度等。指南专章对依法制止滥用行政权力排除、限制竞争行为作出规定,细化平台经济领域滥用行政权力排除、限制竞争的表现形式,要求对制定涉及平台经济领域市场主体经济活动的规章、规范性文件等进行公平竞争审查。(1)指南的主要内容指南以反垄断法为依据,强调平台经济领域的垄断行为应当适用反垄断法及有关配套法规、规章、指南等,释放互联网平台不是反垄断法外之地的明确信号
108、。指南与反垄断法的结构高度契合,由总则、垄断协议、滥用市场支配地位、经营者集中、54滥用行政权力排除限制竞争和附则等六章组成,共 24 条,对涉及平台经济领域的反垄断法适用问题作出了较为细化的规定,主要包括五个方面内容71:总则。一是明确指南的目的和依据,突出促进平台经济规范有序创新健康发展的宗旨,同时界定指南涉及的相关基础概念。二是提出反垄断执法机构对平台经济开展反垄断监管应当坚持保护市场公平竞争、依法科学高效监管、激发创新创造活力、维护各方合法利益的原则。三是考虑到平台经济的复杂性,对相关商品市场、相关地域市场界定作了详细的阐释,强调相关市场界定在各类案件中的作用,同时坚持应当进行个案分析
109、。垄断协议。一是分析了垄断协议的执法思路,明确垄断协议的形式,特别是对其他协同行为作出了具体的解释。二是结合平台经济特点,对经营者达成或者实施垄断协议的具体方式、执法考量因素等作出说明,明确了经营者可能利用技术手段、数据、算法、平台规则等方式达成横向垄断或者纵向垄断协议,阐述了相关案件的分析思路。三是对轴幅协议的原理进行了说明,提出了该类协议适用 反垄断法的分析思路。四是对认定经营者通过数据、算法、平台规则等方式实施协同行为和宽大制度等作了细化规定。滥用市场支配地位。指南重点关注平台经济领域经营者市场支配地位的认定和平台经济领域常见的滥用市场支配地位行为。一是71促进平台经济规范有序创新健康发
110、展 国务院反垄断委员会关于平台经济领域的 反垄断指南解读 http:/ 反垄断法第二十七条规定为基础,并充分考虑平台经济的特点,在判断市场份额、市场控制力、集中对市场进入的影响等方面,具体考量因素与传统行业有所区别。四是明确对附加限制性条件的经营者集中,可以附56加剥离资产等结构性条件,也可以附加开放网络、数据或者平台等行为性条件,或者附加结构性条件和行为性条件相结合的综合性条件。滥用行政权力排除、限制竞争。指南主要细化了平台经济领域涉及限定交易、妨碍商品自由流通、招标采购限制、投资或者设立分支机构限制、强制经营者从事垄断行为、制定含有排除、限制竞争内容的规定等滥用行政权力排除、限制竞争的表现
111、形式,要求对制定涉及平台经济领域市场主体经济活动的规章、规范性文件和其他政策措施等应当进行公平竞争审查,充分发挥市场在资源配置中的决定性作用,更好发挥政府作用。(1)学界观点平台反垄断法律规制势在必行。指南为我国未来预防和制止平台经济领域垄断行为提供了指引,有利于推动平台领域经营者的反垄断合法与合规建设,维护平台经济领域公平有序竞争,促进整个行业的持续健康发展。指南明确了平台经济领域相关市场的界定,强化了对垄断协议和滥用市场支配地位行为的事后规制,完善了对平台经济领域经营者集中的事先规制和事后主动调查机制,严格禁止行政机关和法律、法规授权的具有管理公共事务职能的组织在平台经济领域滥用行政权力排
112、除、限制竞争,同时强调要在平台经济领域积极实施公平竞争审查制度。72需要进一步厘清数据的法律边界。数据跟传统工业经济时代的资72经济参考报 专家热议平台经济领域反垄断。http:/ 杨东:平台经济领域反垄断指南解读落实全面监管,防范资本无序扩张。https:/ 360 大战(2010-2014)2010 年 9 月 27 日,360 发布直接针对 QQ 的“隐私保护器”工具,宣称其能实时监测曝光 QQ 的行为,并提示用户“某聊天软件”在未经用户许可的情况下偷窥用户个人隐私文件和数据。随后,QQ 立即指出 360 浏览器涉嫌借黄色网站推广。10 月 14 日,腾讯正式宣布起76上观新闻 平台经济
113、反垄断指南出炉!复旦教授卢向华专文解析怎样的平台经济更值得追。https:/ 360 不正当竞争,要求奇虎及其关联公司停止侵权、公开道歉并作出赔偿。10 月 27 日,腾讯刊登了反对 360 不正当竞争及加强行业自律的联合声明。要求主管机构对 360 不正当的商业竞争行为进行坚决制止,对 360 恶意对用户进行恫吓、欺骗的行为进行彻底调查。10 月 29 日,360 公司推出一款名为360 扣扣保镖的安全工具。360称该工具全面保护 QQ 用户的安全,包括阻止 QQ 查看用户隐私文件、防止木马盗取 QQ 以及给 QQ 加速,过滤广告等功能。72 小时内下载量突破 2000 万,并且不断迅速增加
114、。腾讯对此作出强烈说明,称 360扣扣保镖是“外挂”行为。11 月 3 日,腾讯宣布在装有 360 软件的电脑上停止运行 QQ 软件,用户必须卸载 360 软件才可登录 QQ,强迫用户“二选一”。2010 年 11 月 3 日晚上 9 点左右,360 公司对此发表回应“保证360 和 QQ 同时运行”,随后 360 公司“扣扣保镖”软件在其官网悄然下线,4 日 360 发表公开信称:愿搁置争议,让网络恢复平静,360扣扣保镖正式下线。在国家相关部门的强力干预下,QQ 已与 360 开始恢复兼容。11 月 4 日上午,360 公司发出弹窗公告宣布召回扣扣保镖,请求用户卸载。此举似乎有了和解的迹象
115、。11 月 5 日上午,工信部、互联网协会等部门开会讨论此事的应对方案。政府部门已经介入,用行政命令的方式要求双方不再纷争。随后,两家公司通过陆续发起三起诉讼进行维权,三起诉讼最后都以 360 失败告终。下面对于三起诉讼进行梳理:诉讼一:360 诋毁腾讯案602010 年 10 月 14 日,针对 360 隐私保护器曝光 QQ 偷窥用户隐私事件,腾讯正式宣布起诉 360 不正当竞争,要求奇虎及其关联公司停止侵权、公开道歉并作出赔偿。2011 年 4 月,北京市朝阳区法院曾对此案作出一审判决,认为 360 捏造事实的行为损害了腾讯的竞争优势、构成不正当竞争。判令奇虎公司赔偿 40 万元。2011
116、 年 9 月,北京市第二中级人民法院宣布腾讯公司诉“360 隐私保护器”侵权案的终审判决结果:北京奇虎、奇智软件以及三际无限的行为构成不正当竞争,判决三公司停止侵权;三家公司需要在本判决生效起 30 天内在 360 网站的上海品茶及法制日报上公开发表声明以消除影响,并赔偿原告腾讯经济损失 40 万元。诉讼二:腾讯诉奇虎 360 不正当竞争案2011 年 8 月,腾讯向广东高院提起诉讼,称奇虎 360 的“扣扣保镖”是打着保护用户利益的旗号,污蔑、破坏和篡改腾讯 QQ 软件的功能,并通过虚假宣传,鼓励和诱导用户删除 QQ 软件中的增值业务插件、屏蔽原告的客户广告,而将其产品和服务嵌入 QQ 软件界面
117、,借机宣传和推广自己的产品。索赔 1.25 亿元。2013 年 4 月 25 日,广东省高级人民法院对此案曾作出一审判决,奇虎公司构成不正当竞争,判令其赔偿腾讯公司经济损失及合理维权费用 500 万元。宣判结束后,奇虎公开发布声明,对判决结果表示非常遗憾,决定向最高人民法院提起上诉。2013 年 12 月 4 日,最高人民法院第一法庭公开开庭审理了这一案件。2014 年 4 月 24 日作出二审判决,驳回奇虎 360的上诉,维持一审法院的判决奇虎公司构成不正当竞争,判令其61赔偿腾讯公司经济损失及合理维权费用 500 万元。78诉讼三:奇虎诉腾讯滥用市场支配地位案2012 年 11 月,奇虎公
118、司诉至广东省高级人民法院,指控腾讯公司滥用其在即时通信软件及服务相关市场的市场支配地位,索赔 1.5亿元。2013 年 3 月 28 日,广东高院一审判决,腾讯不构成垄断,奇虎承担诉讼费 79 万元。这是国内首个在即时通讯领域对垄断行为作出认定的判决。奇虎公司表示不服,向最高法提出上诉,并索赔经济损失 1.5 亿元。2013 年 11 月 26 日,最高人民法院第一法庭开庭审理奇虎诉腾讯“滥用市场支配地位”一案。此次庭审历时整整两天,截至庭审结束,上诉人和被上诉人仍然互不相让,均坚持各自诉讼请求。2014 年 10 月 16 日上午,最高人民法院对奇虎 360 诉腾讯公司垄断案进行终审宣判。最
119、终,最高人民法院判定:认定腾讯旗下的QQ 并不具备市场支配地位,驳回奇虎 360 的上诉,维持一审法院判决。本次事件中,工信部等部门及时干预不当竞争并指出:“为有效保护用户合法权益,维护公平有序的互联网市场秩序,工业和信息化部已明确要求两公司以用户合法权益为重,立即停止一切损害用户合法权益的行为;对两公司侵犯用户合法权益、造成恶劣社会影响的行为,给予通报批评;责令两家公司停止互相攻击,加强沟通协商,严格按照法律的规定解决经营中遇到的问题,并公开向社会道歉,妥善78中国新闻网 腾讯诉 360 不正当竞争终审宣判:360 赔偿 500 万元。https:/ 年 5 月 13 日,欧盟法院作出了确认
120、普通公民对个人信息拥有被遗忘权终审裁定,进而在欧盟范围确立了被遗忘权。被遗忘权一般是指按照有关个人信息保护规则,网络用户有权要求搜索引擎服务提供商在搜索结果页面中删除自己名字或相关个人信息的权利。目前,我国民事权利体系中尚无该项法定权利,国内学术界也对这项所谓的权利的法律性质、是否应受到保护、保护的法律渊源及路径、保护的法律标准等重要问题并未形成主流学术意见。2016 年任某对于百度公司进行起诉,这也是我国“被遗忘权第一案”。任某系人力资源管理、企事业管理等管理学领域的从业人员,其于 2014 年 7 月 1 日起在江苏无锡某公司从事过相关的教育工作。2014 年 11 月 26 日,该公司向
121、任某发出了自动离职通知书,解除了双方劳动关系。某网络服务公司系提供网页搜索、相关搜索等搜索链接服务的提供商。2015 年 4 月 8 日,任某进入某网络服务公司搜索页面,键入“任某”后在“相关搜索”处显示有“无锡某氏教育任某”“国际超能教育任某”“美国潜能教育任某”“香港跨世纪教育任某”;另外,在搜索框内键入“某氏教育”,在“相关搜索”处显示有“无锡某氏教育”“某氏教育骗局”“某氏远航教育是骗局吗”。用手机79中国广播网 工信部通报批评 360 与腾讯。https:/ 年,北京海淀法院依法审结了公民个人信息被遗忘权司法保护领域的全国首例案件。任某将百度公司告上法庭,要求删除与前任东家相关的搜索
122、关键词和链接,并赔礼道歉,赔偿经济损失。该案经北京市海淀区人民法院审理后,驳回了任某的全部诉讼请求。一审宣判后,任某向北京市第一中级人民法院提出上诉,该院经审理后驳回上诉,维持原判。我国首例“被遗忘权”案已终审法院驳回原告任先生要求“被遗忘”的诉讼请求。但是,海淀法院法官表示,这不代表我国法律否认“被遗忘权”。80法院经审理认为,相关搜索词系由过去一定时期内使用频率较高且与当前搜索词相关联的词条统计而由搜索引擎自动生成,并非由于某网络服务公司人为干预。某网络服务公司在“相关搜索”中推荐涉诉词条的行为,明显不存在对任某进行侮辱、诽谤等侵权行为。“任某”的字样在相关算法的收集与处理过程中就是一串字
123、符组合,并无姓名的指代意义,显然不存在干涉、盗用、假冒本案原告任某姓名的80法院审结全国首例“被遗忘权”案。https:/ 年 1 月 15 日,字节跳动旗下的社交平台多闪上线,并导入抖音关系链。此前,腾讯曾向抖音开放用户昵称、头像,但没有授权给多闪。2019 年 2 月,腾讯在天津滨海法院起诉抖音和多闪的运营公司,同时申请行为禁令。腾讯在相关申请中指出,用户的头像和昵称是腾讯公司开展经营活动,进行商业竞争的重要核心资源。腾讯公司对此依法享有合法权益,并提出,“多闪非法从抖音获取用户的微信/QQ 头像和昵称”。腾讯要求“停止在多闪产品中使用微信/QQ 用户头像和昵称,在多闪产品后台服务器中立即
124、删除留存的全部微信/QQ 数据”。腾讯起诉认为,抖音将其通过微信/QQ 开放平台获取的微信/QQ 头像、昵称等信息用于好友推荐,甚至共享给多闪使用,涉嫌不正当竞争。腾讯提出的理由是,微信和 QQ 产品平台上产生和积累了大量的用户头像、昵称、地区、好友关系等相关数据,是腾讯公司微信/QQ 等产品开展经营活动,进行商业竞争的重要核心资源。81中国法院网 北京一中院审结一起被遗忘权案。https:/www.chinacourt.org/article/detail/2016/05/id/1850733.shtml65天津市滨海新区人民法院对这一诉求予以了认定。法院认为,微信QQ 产品拥有很高的品牌价
125、值和庞大的用户群体,其积累的包括具有身份识别作用的头像昵称等用户信息,已经成为可以为其带来竞争优势的商业资源。法院认为,多闪通过登录抖音并以抖音授权的名义,实际上达到通过微信/QQ 账号登录多闪的效果,同时可以通过抖音获取微信/QQ 用户的相关信息,实现多闪与抖音之间的信息互通,获取并使用相关数据以扩展自身用户的行为,亦属不当。822016 年,北京知识产权法院也做过类似判决,当时脉脉因非法抓取使用微博用户信息,被微博诉至法院,最终脉脉败诉。法院判决确认,第三方平台要利用类似 open API 模式(相当于使用其他社交账户登录)获取其他社交账户平台用户信息时,就必须坚持“用户授权”+“平台授权
126、”+“用户授权”三重授权原则。北京大学法学院副院长薛军表示,网络平台提供方可以就他人未经许可,擅自使用其经过用户同意收集并使用的用户信息,主张权利。通过反不正当竞争法的路径,来遏制那些未得到授权、抓取他人合法拥有的数据信息的行为。83对外经济贸易大学法学院教授梅夏英认为,平台对于用户数据的流转、特别是对于已经经过用户授权合法流通、公开的数据并没有其他的任何权利,这种数据也不应属于任何一个平台。平台先接触了用户的个人数据,并不能使用户个人数据具有成为平台的财产属性。中82中国经济网 多闪和腾讯因用户头像起纷争:为了用户还是为了利益?https:/ 多闪和腾讯因用户头像起纷争:为了用户还是为了利益
127、?https:/ 年 2 月 2 日,抖音称已向北京知识产权法院正式提交诉状,起诉腾讯垄断。2 月 7 日,北京知识产权法院正式受理抖音诉腾讯垄断纠纷案。85抖音方面主张,腾讯通过微信和 QQ 限制用户分享来自抖音的内容,构成了反垄断法所禁止的“滥用市场支配地位,排除、限制竞争的垄断行为”。抖音要求法院判令腾讯立即停止这一行为,刊登公开声明消除不良影响,并赔偿抖音经济损失及合理费用 9000万元。抖音在起诉状中表示,即时通信类应用,已经成为互联网用户规模最大、普及率和使用率最高的基础应用。微信、QQ 月活跃用户数分别超过 12 亿和 6 亿,加上其即时沟通分享功能及网络效应,决定了用户几乎不可
128、能集体迁移。此外,目前市场上没有其他经营者,能够提供与微信和 QQ 具有对等功能的服务。这意味着腾讯具有“市场支配地位”。据介绍,2018 年 4 月起,用户分享抖音链接到微信和 QQ 平台后均无法正常播放,至今已持续近三年。但腾讯旗下及其他第三方短视频应用,如微视、快手等,均可以在微信正常分享和播放。8684社科大互联网法治研究中心召开“超级网络平台责任与义务”研讨会,专家热议数据垄断https:/ 抖音诉腾讯最新进展:互联网平台反垄断第一案正式立案。https:/ 抖音起诉腾讯,腾讯回应抖音EB/OLhttps:/ 2015 年版;2.李爱君:国际数据保护规则要览,法律出版社 2018 年
129、版;3.钱亚芳:大数据时代个人健康数据法律规制,中国社会科学出版社 2018 年版;4.王德夫:知识产权视野下的大数据,社会科学文献出版社 2018年版;5.中国科协学会学术部编:大数据时代隐私保护的挑战与思考,中国科学技术出版社 2015 年版;6.张才琴:大数据时代个人信息开发利用法律制度研究,法律出版社 2015 年版;8721 世纪经济报道 腾讯、字节跳动争端再起:起诉、回应”大战“三回合EB/OLhttps:/ 2015 年版;8.于冲:网络刑法的体系构建,中国法制出版社 2016 年版;9.郭明龙:个人信息权利的侵权法保护,中国法制出版社 2012年版;10.美狄乐达:数据隐私法实
130、务指南:以跨国公司合规为视角,何广越译,法律出版社 2018 年版;11.刘红:大数据时代数据保护法律研究,中国政法大学出版社2018 年版;12.王融:大数据时代数据保护与流动规则,人民邮电出版社2017 年版;13.京东法律研究院编:欧盟数据宪章 GDPR评述及实务指引,法 律出版社 2018 年版;14.日一松信:数据保护和加密研究:计算机网络的安全性,史科译,科学出版社 1991 年版;15.王秀秀:大数据背景下个人数据保护立法理论,浙江大学出版社 2018 年版;16.付继存、苏竣、黄萃:个人数据保护立法与自律机制的关系基于中国互联网企 50 强隐私文本的量化分析,清华大学出版社 2
131、017 年版;17.高富平:个人数据保护和利用国际规则源流与趋势,法律出版社 2016 年版;6918.王敏:大数据时代个人隐私的分级保护研究,社会科学文献出版社 2018 年版;19.董新平:物联网环境下个人隐私信息保护体系建设研究,人民出版社 2018 年版;20.中国信息通信研究院互联网法律研究中心、腾讯研究院法律研究中心:网络空间法治 化的全球视野与中国实践,法律出版社 2016 年版;21.梅绍祖:网络与隐私,清华大学出版社 2003 年版;22.刘金瑞:个人信息与权利配置个人信息自决权的反思和出路,法律出版社 2017 年版;23.李媛:大数据时代个人信息保护研究,华中科技大学出版
132、社2019 年版;24.杨芳:隐私权保护与个人信息保护法对个人信息保护立法潮流的反思,法律出版社 2016 年版;25.弓永钦:个人信息保护问题研究基于跨境电子商务,人民日报出版社 2018 年版;26.孙平:“信息人”时代 网络安全下的个人信息权宪法保护,北京大学出版社 2018 年版;27.秦成德:网络个人信息保护研究,西安交通大学出版社 2016年版;28.刁胜先:个人信息网络侵权问题研究,上海三联书店 2013年版;7029.韩旭至:个人信息的法律界定及类型化研究,法律出版社2018 年版;30.皮勇:智慧社会环境下个人信息的刑法保护,人民出版社2018 年版;31.刘雅琦:基于敏感度
133、分级的个人信息开发利用保障体系研究,武汉大学出版社 2015 年版;32.日小林麻理、夏平、王俊红、周伟民:IT 的发展与个人信息保护,经济日报出版社 2007 年版;33.美罗伯特瓦摩西:个人信息保卫战高科技时代的隐私担忧与防护策略,姚军等译,机械工业出版社 2012 年版;34.王沛莹:科技与法律的博弈大数据时代的隐私保护与被遗忘权,电子科技大学出版社 2019 年版;35.美马克罗滕伯格、美茱莉亚霍维兹、美杰拉米斯科特:无处安放的互联网隐私,苗淼译,中国人民大学出版社 2017年版;36.高富平主编:个人数据保护和利用国际规则:源流与趋势,法律出版社 2016 年版;37.京东法律研究院
134、:欧盟数据宪章-GDPR 评述及实务指引,法律出版社第 2018 版.38.DAcquisto,G.&Naldi,M.,Big data e privacy by design,Turin:G.Giappichelli,2017;39.Dastjerdi,A.V.,In Calheiros R.N.,Buyya R.(Eds.),Big71data:Principles and paradigms,San Francisco:ElsevierScience&Technology,2016;40.Eboch,M.M.,Big data and privacy rights,Minneapolis
135、,MN:ABDO Publishing,2016;41.Hassanien,A.E.,In Abawajy J.H.,Kacprzyk J.,Snasel V.and Azar A.T.(Eds.),Big data in complex systems:Challenges and opportunities,Cham:Springer,2015;606142.Helbing,D.,In Helbing D.(Ed.),Big data,privacy,andtrusted web:What needs to be done New York and Heidelberg:Springer,
136、2015;43.Helbing,D.,Thinking ahead-essays on big data,digitalrevolution,andparticipatorymarketsociety,Cham:Springer,2015;44.Hijmans,H.,The european union as guardian of internetprivacy:The story of art 16 TFEU,Cham:Springer,2016;45.Kitchin,R.,The data revolution:Big data,open data,datainfrastructures
137、 and their consequences(1st ed.).London:SAGE Publications,2014;46.McStay,A,Privacy and the media(1st ed.),London:SAGEPublications,2017;47.Mills,K.A.,Big data for qualitative research,Milton:Routledge,2019;7248.Morabito,V.,Big data and analytics:Strategic andorganizational impacts,Cham:Springer,2015;
138、49.Ohlhorst,F.J.,Big data analytics:Turning big data intobigmoney(1sted.),Somerset:JohnWiley&Sons,Incorporated,2012;50.Parveen,P.,Thuraisingham,B.,Masud,M.M.,&Khan,L.,Big data analytics with applications in insider threatdetection(1st ed.),Boca Raton:Auerbach Publications,2017;51.Payton,T.,&Claypool
139、e,T.,Privacy in the age of big data:Recognizingthreats,defendingyourrights,andprotecting your family,Blue Ridge Summit:Rowman&Littlefield Publishers,2014.(二)主要学术论文课题组在前期准备过程中,通过法学期刊数据库、CISSCI、westlaw 等数据库进行检索,共整理出以下重要的有关数据法学内容的论文:1.周宇、庄国敏:大数据技术对法学实证研究的启示以环境保护公众参与为例,载北京邮电大学学报(社会科学版)2017 年 4 期;2.方印、张海
140、荣:大数据:法学研究的重要维度,载中国社会科学报2016 年 2 月;733.程金华:迈向科学的法律实证研究,载清华法学2018 年第 4 期;4.白建军:大数据对法学研究的些许影响,载中外法学2015年第 1 期;5.钱宁峰:走向“计算法学”:大数据时代法学研究的选择,载东南大学学报(哲学 社会科学版)2017 年第 2 期;6.许可:数据权属:经济学与法学的双重视角,载电子知识产权2018 年第 11 期。7.王登辉:大数据研究方法应用于刑事法学的冷思考,载西南政法大学学报201662 年第 6 期;8.周宇、庄国敏:大数据技术对法学实证研究的启示以环境保护公众参与为例,载北京邮电大学学报
141、(社会科学版)2017 年第 4 期;9.丁春燕:大数据时代法学研究的新趋势,载政法学刊2015年第 6 期;10.张吉豫:大数据时代中国司法面临的主要挑战与机遇兼论大数据时代司法对法学研究及人才培养的需求,载法制与社会发展2016 年第 6 期;11.施鹏鹏、叶蓓:区块链技术的证据法价值,载检察日报2019 年 4 月 17 日;12.陶胜琴:区块链对证券结算及监管带来的变革来自美国证券法域的观察与研究,载证券法律评论2019 年 00 期;7413.蔡一博:智能合约与私法体系契合问题研究,载东方法学2019 年第 2 期;14.张庆立:区块链应用的不法风险与刑事法应对,载社会科学文摘201
142、9 年第 5 期;15.张玉洁:区块链技术的司法适用、体系难题与证据法革新,载东方法学2019 年第 3 期;16.张静:区块链技术对物权法的影响,载 现代管理科学 2019年第 3 期;17.崔梦雪:区块链电子存证的证据法价值分析以杭州信息网络传播权纠纷案为例,载无线互联科技2019 年第 10 期;18.周润:区块链智能合同的效力分析路径研究从一起典型的房屋智能合同谈起,载重庆广播电视大学学报2018 年第 2 期;19.刘影:人工智能生成物的著作权法保护初探,载知识产权2017 年第 9 期;20.王迁:论人工智能生成的内容在著作权法中的定性,载法律科学(西北政法大学学报)2017 年第
143、 5 期;21.陶乾:论著作权法对人工智能生成成果的保护作为邻接权的数据处理者权之证立,载法学2018 年第 4 期;22.宋红松:纯粹“人工智能创作”的知识产权法定位,载苏州大学学报(哲学社会科学版)2018 年第 6 期;23.杨延超:人工智能对知识产权法的挑战,载 治理研究 201875年第 5 期;24.孙建丽:人工智能生成物著作权法保护研究,载电子知识产权2018 年第 9 期;25.李伟民:人工智能智力成果在著作权法的正确定性与王迁教授商榷,载社会科学文摘2018 年第 7 期;26.吴维锭、张潇剑:人工智能致第三方损害的责任承担:法经济学的视角,载广东财经大学学报2019 年第
144、3 期;27.冯洁语:人工智能技术与责任法的变迁以自动驾驶技术为考察,载比较法研究2018 年第 2 期;28.张绍欣:法律位格、法律主体与人工智能的法律地位,载现代法学2019 年第 4 期;29.李琛:论人工智能的法学分析方法以著作权为例,载 知识产权2019 年第 7 期;30.郭少飞:人工智能“电子人”权利能力的法构造,载甘肃社会科学2019 年第 4 期;31.任虎:人工智能和未来法律制度:从本质到目的,载中国政法大学学报2019 年第 4 期;32.张华胜:美国人工智能立法情况,载全球科技经济瞭望2018 年第 9 期;33.范为:大数据时代个人信息保护的路径重构,载环球法律评论2
145、016 年 05 期;34.池建新:日韩个人信息保护制度的比较与分析,载情报杂76志2016 年第 12 期;35.董宏伟、王琪、王洁:监管政策亮剑互联网平台经济反垄断加速规制,载通信世界2020 年第 33 期;36.李爱君:数据权利属性与法律特征,载东方法学2018年第 3 期;37.李飞翔:“大数据杀熟”背后的伦理审思、治理与启示,载东北大学学报(社会科学版)2020 年第 1 期;38.李胜利:“反不正当竞争法与反垄断法的关系:突然现状与应然选择,载社会科学辑刊2019 年第 3 期;39.王先林、方翔:平台经济领域反垄断的趋势、挑战与应对,载山东大学学报(哲学社会科学版)2021 年
146、40.肖冬梅、文禹衡:“数据权谱系论纲,载湘潭大学学报(哲学社会科学版)2015 年第 6 期;41.闫立东:以“权利束”视角探究数据权利,载东方法学2019 年第 2 期;42.张江莉:互联网平台竞争与反垄断规制:以 3Q 反垄断诉讼为视角,载中外法学2015 年第 1 期;43.张钦坤:中国互联网不正当竞争案件发展实证分析,载电子知识产权2014 年第 10 期;44.程啸:论大数据时代的个人数据权利,载 中国社会科学,2018年第 3 期;45.丁晓东:什么是数据权利?从欧洲看77数据隐私的保护,载华东政法大学学报2018 年第 4 期;46.金晶:欧盟:演进、要点与疑义,载欧洲研究20
147、18 第 4 期;47.刘泽刚:大数据隐私的身份悖谬及其法律对策,载浙江社会科学2019 年第 12 期;48.刘泽刚:欧盟个人数据保护的“后隐私权”变革载华东政法大学学报2018 年第 4 期;49.盛小平,杨绍彬:GDPR 对科学数据开放共享个人数据保护的适用 性 与 作 用 分 析 ,载 图 书 情 报 工 作 2020年.https:/doi.org/10.13266/j.issn.0252-3116.2020.22.005.50.申卫星,周汉华,高富平,赵光,程金华,郑磊,崔聪聪,胡凌,柳雁军:数字时代个人信息保护的中国方案,载探索与争鸣2020 第 11 期;51.Al Shehr
148、i,W.,An architecture for big data privacy in thehybrid cloud.International Journal of Computer Scienceand Software Engineering,2017,6(1),19-26;52.Alashoor,T.,Han,S.,&Joseph,R.C.,Familiarity withbig data,privacy concerns,and self-disclosure accuracyinsocialnetworkingwebsites:AnAPCOmodel,Communication
149、s of the Association for Information Systems,2017,41,62;7853.Al-Kahtani,M.,Securityandprivacyinbigdata.InternationalJournalofComputerEngineeringandInformation Technology,2017,9(2),24-29;54.Altman,M.,Wood,A.,OBrien,D.,R.,&Gasser,U.,Practical approaches to big data privacy over time.International Data
150、 Privacy Law,2018,8(1),29-51;55.Archana,R.A.,Hegadi,R.S.,&Manjunath,T.N.,A studyon big data privacy protection models using data maskingmethods.International Journal of Electrical and ComputerEngineering,2018,8(5),3976-3983;56.Baltazar,H.,Rocstor locks down data-twice;with datatheft and privacy conc
151、erns on the rise,data encryptionis a necessity for all businesses,not just the big guyswith data theft and privacy concerns on the rise,dataencryption is a necessity for all businesses,not just thebig guys.EWeek,2015,22(41),48;57.Begum,S.H.,&Nausheen,F.,A comparative analysis ofdifferential privacy
152、vs other privacy mechanisms for bigdata.Piscataway:TheInstituteofElectricalandElectronics Engineers,Inc.(IEEE),2018;58.Chibba,M.,&Cavoukian,A.,Privacy,consumer trust andbig data:Privacy by design and the 3 CS.IEEE Conferences,792015,1-5;59.Chibba,M.,&Cavoukian,A.,Privacy,consumer trust andbig data:P
153、rivacy by design and the 3 CS.Piscataway:TheInstitute of Electrical and Electronics 63Engineers,Inc.(IEEE),2015;60.Cohen,I.G.,&Mello,M.M.,Big data,big tech,andprotecting patient privacy.JAMA,2019;61.Combe,C.,&Combe,C.,Privacy,big data,and the publicgood:Frameworksforengagement.LocalGovernmentStudies
154、,2015,41(1),181-182;62.Cuzzocrea,A.,&Damiani,E.,Pedigree-ing your big data:Data-driven big data privacy in distributed environments.Piscataway:The Institute of Electrical and ElectronicsEngineers,Inc.(IEEE),2018;63.Dabab,M.,Craven,R.,Barham,H.,&Gibson,E.,Exploratorystrategic roadmapping framework fo
155、r big data privacyissues.Piscataway:The Institute of Electrical andElectronics Engineers,Inc.(IEEE),2018;64.DAcquisto,G.,Domingo-Ferrer,J.,Kikiras,P.,Torra,V.,Yves-Alexandre,d.M.,&Bourka,A.,Privacy by design inbig data:An overview of privacy enhancing technologiesintheeraofbigdataanalytics.Ithaca:Co
156、rnell80University Library,arXiv.org,2015;65.Du,M.,Wang,K.,Chen,Y.,Wang,X.,&Sun,Y.,Big dataprivacy preserving in multi-access edge computing forheterogeneous internet of things.IEEE CommunicationsMagazine,2018,56(8),62-67;66.Eckhoff,D.,&Sommer,C.,Driving for big data?privacyconcerns in vehicular netw
157、orking.IEEE Security&PrivacyMagazine,2014,12(1),77-79;67.Eckhoff,D.,&Sommer,C.,Driving for big data?privacyconcerns in vehicular networking.IEEE Security&Privacy,2014,12(1),77-79;68.Frizzo-Barker,J.,&Chow-White,P.,Research in brief:From patients to petabytes:Genomic big data,privacy,andinformational
158、 risk.Canadian Journal of Communication,2014,39(4),615-625;69.Frizzo-Barker,J.,Chow-White,P.,Charters,A.,&Ha,D.,Genomicbigdataandprivacy:Challengesandopportunities for precision medicine.Computer SupportedCooperative Work,2016,25(2-3),115-136;70.Gossman,J.,White house releases big-data privacy repor
159、t.Education Daily,2014,47(83),1.71.Hammond,B.,Industry groups stress need to protect81innovationinbigdataprivacyeffort.Telecommunications Reports,2014,80(17),29-32;72.HUANG,L.,TIAN,M.,&HUANG,H.,Preserving privacy in bigdata:Asurveyfromthecryptographicperspective.RuanjianXuebao/JournalofSoftware,2015
160、,26(4),64945-959;73.Huang,X.,&Du,X.,Achieving big data privacy via hybridcloud.Piscataway:TheInstituteofElectricalandElectronics Engineers,Inc.(IEEE),2014;74.Hunter,G.E.,Big Data Privacy Versus Progress:A NecessarySacrifice?Law Technology,48(3),III,IV,1-31,2015;75.Huo,Y.,Li,M.,&Zhong,Y.,A big data p
161、rivacy respectingdissemination method for social network.Journal ofSignal Processing Systems for Signal,Image,and VideoTechnology,2018,90(4),467-475;76.Hussain,N.I.,Choudhury,B.,&Rakshit,S.,A novel methodfor preserving privacy in big-data mining.InternationalJournal of Computer Applications,2014,103
162、(16);77.Jain,P.,Gyanchandani,M.,&Khare,N.,Big data privacy:A technological perspective and review.Journal of BigData,2016,3(1),1-25;78.Jain,P.,Gyanchandani,M.,&Khare,N.,Enhanced secured82map reduce layer for big data privacy and security.Journal of Big Data,2019,6(1),1-17;79.Jain,P.,Gyanchandani,M.,
163、Khare,N.,Singh,D.P.,&Rajesh,L.,A survey on big data privacy using hadooparchitecture.International Journal of Computer Scienceand Network Security(IJCSNS),2017,17(2),148;80.Jain,P.,Gyanchandani,M.,Khare,N.,Singh,D.P.,&Rajesh,L.,A survey on big data privacy using hadooparchitecture.International Jour
164、nal of Computer Scienceand Network Security(IJCSNS),2017,17(2),148-155;81.Janes,J.,Data,data everywhere:As the big data beastfattens,will privacy and ethics get gobbled up?AmericanLibraries,83五、附录五、附录附录 1.GDPR 中译本(人大未来法治研究院丁晓东教授译本)附录 2.GDPR 执法案例白皮书附录 3.GDPR 规定的数据主体权利与义务附录 4.美国联邦与各州隐私法案比较(英文)附录 5.加州法案近期案例汇总(英文)附录 6.美国2018 年加州消费者隐私法案(中译本)