个人信息保护与市场竞争的交集——从强制收集非必要用户信息行为的反垄断法风险说起

薛熠俞炜中伦视界 2022-08-14

作者：

薛熠俞炜

前言

2021年4月26日，工信部于其官网发布《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》[1]，向社会公开征求意见。该征求意见稿由工信部会同公安部、市监总局起草，再次强调了知情同意原则的同时还引入了信息收集最小必要原则的适用。值得关注的是，于5月1日正式施行的《常见类型移动互联网应用程序必要个人信息范围规定》[2]对上述两原则的适用的问题上保持了相同的趋向。近年来，违反知情同意及最小必要原则强制收集非必要用户信息的问题一直是个人用户及相关主管机构关注的重大问题，如何在用户信息保护及商业效率之间找到适当的平衡，已经成为当下诸多平台经营者的重大考验。而需要提示相关企业的是，除行业监管的角度之外，在设计、评估、实施企业隐私政策以实现该等适当平衡的过程中，潜在反垄断合规问题亦不可不察。

一

理论分析——反垄断法视角下的强制收集非必要用户信息行为

强制收集非必要用户信息的行为如何引生竞争关切？国务院反垄断委员会于今年2月7日发布的《关于平台经济领域的反垄断指南》（“平台反垄断指南”）已给出警示。根据该指南第十六条，具有市场支配地位的平台经济领域经营者“强制收集非必要用户信息”，可能构成滥用市场支配地位，实施无正当理由附加不合理交易条件的垄断行为。

就此，需要提示相关经营者注意的是，反垄断法视角下，平台经营者与平台用户之间存在着交易关系，并不因平台经营者所提供服务是否“免费”而有所区别。正如日本公平交易委员会在其于2019年12月17日发布的《关于数字平台经营者在其与消费者涉及个人信息提供等的交易中滥用优势地位的指南》[3]中所明确指出，当消费者需要提供个人信息以作为数字平台经营者所提供服务的对价时，其显然构成了数字平台经营者的相对交易人。事实上，个人信息在当今数字时代下的经济价值毋庸置疑，当收集个人信息作为对价构成平台经营者与平台用户之间交易的一部分时，其显然构成一项重要的“交易条件”。

其次，强制收集非必要用户信息的行为构成反垄断法视角下的“不合理”交易条件，其不合理性集中体现于对前述知情同意及最小必要原则的违反：

知情同意原则是指经营者在从事包括收集行为在内的个人信息处理活动时，应当以清晰易懂的语言告知用户个人信息处理规则，由用户在充分知情的前提下，作出自愿、明确的意思表示。“强制收集”则是对该等原则显而易见的背离，在实践中可能表现为直接的隐私政策强制要求，也可能表现为利用晦涩或取巧表述等方式迫使或引诱用户接受个人信息收集行为以作为使用平台服务的条件，因其“强制”性而“不合理”；
最小必要原则或称必要性原则、最少够用原则等，是指经营者在从事包括收集行为在内的个人信息处理活动时，应当受限于最小、必要的控制，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。实践中，平台经营者收集非与提供服务相关的非必要信息因其“非必要”而“不合理”。

当然，在执法实践中，认定平台经营者实施的特定的强制收集非必要用户信息行为构成垄断行为并需要承担相应责任并非易事。反垄断执法机构需要在前述行为定性的框架性分析之外，考量具体的滥用行为及其所涉相关市场界定、市场支配地位认定、是否具有正当理由以及是否排除、限制竞争等诸多复杂问题。而需要提示平台经营者注意的是，互联网反垄断浪潮激荡全球，德国、日本等活跃的反垄断司法辖区已经就适用反垄断法规制强制收集非必要个人信息行为进行了探索[4]，值得平台经营者紧密关注。

二

案例简评——全球首起针对个人信息处理行为的反垄断调查案件

德国反垄断执法机构（Bundeskartellamt）于2016年2月3日开始对Facebook涉嫌违反GDPR的规定收集、整合用户信息及数据行为进行调查，并于2019年2月6日作出决定[5]，认定Facebook未经其用户同意而收集其用户在集团旗下其他平台（WhatsApp、Oculus、Masquerade、Instagram）的用户信息及设备关联数据，以及通过技术手段收集其用户访问第三方网站及手机App的相关数据，并将该等用户信息及数据与Facebook直接取得的用户信息进行整合的行为不仅违反GDPR，同时也违反德国《反限制竞争法》，构成滥用市场支配地位行为，要求Facebook在4个月之内提出整改方案并在12个月之内完成整改。

Facebook随即就该等调查决定向杜塞尔多夫高等法院提起上诉，开启了这一调查案件诉讼对抗之路：

杜塞尔多夫高等法院对德国反垄断执法机构的调查决定存在不同意见，于2019年8月26同意了Facebook的申请，就本案先行作出了暂停执行前述限时整改决定的暂缓令裁定[6]；
随即，德国反垄断执法机构就该等暂缓令裁定上诉至德国联邦法院，德国联邦法院在审理后于2020年6月23日作出裁定，确认了德国反垄断执法机构的调查决定，支持限时整改决定的执行[7]；
此后，杜塞尔多夫高等法院继续开展本案审理工作，于2021年3月24日召开了听证会，并决定将就案件法律问题请求欧洲法院作出裁决[8]。根据2021年4月23日的最新消息，该等裁决请求已正式形成并向欧洲法院递交[9]，该等案件的进一步推进将受限于欧洲法院就该、初步裁决，仅此过程即可能耗时数年。

根据杜塞尔多夫高等法院所披露的有限信息看，虽然杜塞尔多夫高等法院与德国反垄断执法机构就该案所涉相关市场及市场支配地位的认定并不存在实质分歧，但其就Facebook涉案行为是否构成滥用行为及其是否排除、限制竞争存在不同看法：

德国反垄断执法机构认为考虑到Facebook的市场支配地位，用户难以实现转向，而Facebook要求用户一揽子同意其全部隐私政策条款后方可使用其服务并不能构成GDPR规定下用户的“自主同意”，此外其自第三方获取用户信息数据也有违GDPR规定下的目的受限（Purpose Limitation）和数据最小化（Data Minimisation）原则，构成对用户的剥削性行为（Exploitive practice），而该等行为亦使其获得了取得数据的额外渠道，在其与竞争对手的竞争中获得不当优势，提高了市场进入门槛；
杜塞尔多夫高等法院则认为用户对Facebook社交网络的依赖并不当然导致该等用户接受、同意Facebook隐私政策条款被认定为无效；此外，德国反垄断执法机构也并未实际证明Facebook涉案行为事实上剥削用户、排挤竞争者因而构成滥用行为。

无论是从前述案件整体发展形势看或是从案件实质争议情况看，该等调查案件将演化为反垄断执法机构与互联网巨头之间的又一例旷日持久的对抗。反垄断法究竟将如何适用于平台经营者违反知情同意及最小必要原则而收集使用用户信息的行为值得平台经营者持续跟进关注。

三

合规建议——平台经营者需要注意的典型强制收集非必要用户信息行为

受限于如前所述的诸多理论与实践问题，我国反垄断执法机构将如何规制该等个人信息收集行为有待观察，而截至目前，我国亦尚缺乏相关的反垄断执法先例可供参考。然而，结合我国当前就个人信息保护问题而出台或拟将出台的相关法律法规、政策文件及App违法收集使用个人信息问题治理实践，平台经营者应当注意避免以下违反知情同意及最小必要原则的个人信息收集行为，不仅是出于符合个人信息保护的切实要求，亦对避免潜在的反垄断法风险具有重要意义。

为符合知情同意原则而避免涉嫌强制收集用户信息，平台经营者应当注意避免以下情形：

典型情形	表现形式
未公开收集使用规则	没有隐私政策，或者隐私政策中没有收集使用个人信息规则；在用户首次使用服务时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等
未明示收集使用个人信息的目的、方式和范围	未逐一列出平台（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等
未经用户同意收集使用个人信息	征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；以默认选择同意隐私政策等非明示方式征求用户同意；未经用户同意更改其设置的可收集个人信息权限状态，如平台App更新时自动将用户设置的权限恢复到默认状态；利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；未向用户提供撤回同意收集个人信息的途径、方式；违反其所声明的收集使用规则，收集使用个人信息

而违反最小必要原则的个人信息收集行为的典型情形及案例则包括：

典型情形	实例说明[10]
收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关	广州某计算机系统有限公司运营的读书App收集的用户收货地址与所提供的业务功能无关
因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外	陕西某信息科技集团有限公司运营的二手车App因用户不同意打开非必要的存储、电话、位置等权限，拒绝提供所有业务功能
收集个人信息的频度等超出业务功能实际需要	北京某科技有限公司运营的在线教育App收集IMEI号等个人信息的频率超出业务功能实际需要
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息	北京某科技有限公司运营的地图App中用户如需使用“意见反馈”模块，必须打开可收集个人信息的相机权限
要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用	北京某科技有限公司运营的App“LBE安全大师（免ROOT） V6.1.2563” 将targetSDKversion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法安装使用

而针对何为与服务场景和内容无关的非必要信息这一需要个案具体看待的问题，平台经营者则可以参考遵照前述于近日正式施行的《常见类型移动互联网应用程序必要个人信息范围规定》中的指引进行分析。

四

展望未来——个人信息保护与市场竞争的广泛交集

正如焦海涛教授在其近期发布的论文《个人信息的反垄断法保护：从附属保护到独立保护》中所指出，将个人信息保护纳入反垄断法的调整范围，既有必要，也有可能。在反垄断法下，个人信息保护与市场竞争问题的交集不仅体现在前述滥用形式的垄断行为规制，同时也涉及反垄断法其他两大支柱，即垄断协议和经营者集中——数字时代背景下，个人信息已不仅是影响价格的一个因素，很多时候就是“价格”本身，已经成为市场竞争要素之一。因此，平台经营者在考虑反垄断合规时需要考量个人信息保护的问题，而在设计、评估、实施企业隐私政策时，亦应当注意反垄断合规的问题，在必要时应当寻求同时具有数据合规及竞争法专业能力的外部律师的建议。

[注]

[1] 参见http://www.gov.cn/xinwen/2021-04/26/content_5602780.htm。

[2] 参见http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm。

[3] 参见日本公平交易委员会官网https://www.jftc.go.jp/en/legislation_gls/imonopoly_guidelines_files/191217DPconsumerGL.pdf。

[4] 参见http://japan.people.com.cn/n1/2019/0307/c35421-30963008.html。

[5] 参见https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2019/07_02_2019_Facebook.html?nn=3591568。

[6] 参见https://www.olg-duesseldorf.nrw.de/behoerde/presse/archiv/Pressemitteilungen_aus_2019/20190826_PM_Facebook/index.php。

[7] 参见https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020080.html。

[8] 参见https://www.olg-duesseldorf.nrw.de/behoerde/presse/archiv/Pressemitteilungen_aus_2021/20210324_PM_Facebook2/index.php。

[9] 参见https://www.olg-duesseldorf.nrw.de/behoerde/presse/Presse_aktuell/20210423_PM_Facebook-Beschluss/index.php。

[10] 来源于App专项治理工作组公布的关于App存在个人信息收集使用问题的通告。

The End