一.   问题的提出

随着人类步入大数据时代，用户数据在企业竞争中的地位达到了前所未有的高度，并且逐渐成为企业把握市场的关键因素。2021年2月7日，国务院反垄断委员会印发《国务院反垄断委员会关于平台经济领域的反垄断指南》（以下简称为《指南》），“数据”一词高频出现，这表明我国日益将数据垄断放在核心议题的关键位置^[1]。2022年6月24日我国通过《全国人民代表大会常务委员会关于修改〈中华人民共和国反垄断法〉的决定》（以下简称为《决定》），同年8月1日该《决定》正式施行。其中，多处修改对平台经济领域的“数据”进行了原则性规定并提出了相关细化的规制条款，适应了数字经济时代的发展需求。

平台经济中，收集和分析个人数据以预测消费者行为的能力，是企业在竞争中获胜的关键。消费者的私密信息由此成为了无数企业窥视、争夺的对象，面临着前所未有的被侵害的风险。隐私权是独立自主的人的自由和尊严的体现，反垄断法语境下探讨隐私问题往往与个人数据问题交织在一起，且一般将隐私作为质量的一个下位概念^[2]。针对隐私是否应该纳入反垄断法的规制范围下这一问题，学界的关注度日益上升，但仍然充满着争议。支持者认为，通过当前的法律规范企业集中过程中的隐私问题缺乏针对性，可以将隐私作为一种非价格因素来纳入反垄断法的规制框架下^[3]。而反对者的论据主要如下：该做法有违反垄断法宗旨、隐私量化困难、反垄断救济措施难以适用、与其他部门法存在规定交叉、反垄断法的介入影响执法确定性等^[4]。

在数据逐渐成为一种“商品”的时代，纯粹的个人隐私保护问题，也存在着影响市场公平竞争的可能，因此，一直以价格分析为中心的反垄断法也应该重视个人隐私保护。那么，反垄断法为什么要在隐私保护中发挥作用、如何发挥作用、能够发挥什么样的作用？对于这些深层次问题，本文将通过逻辑分析的方法，探索反垄断法对隐私安全的保护思路。

二.   隐私风险引致反垄断规制的逻辑面向

2020年4月9日，中共中央国务院正式颁布了《关于构建更加完善的要素市场化配置体制机制的意见》，明确地将数据列为五大生产要素之一。在数字经济时代，数据资源被赋予了前所未有的商业价值。也因此，经营者之间，尤其是平台企业之间，对数据资源的竞争与对数据优势地位的角逐空前激烈，数据驱动型并购也随之频繁发生。然而，数据驱动型并购中的数据资源整合具有两面性：一方面这可以为平台增添竞争力、为消费者提供更精准的服务；但另一方面，从用户处获取的数据资源一般以私密信息为主，平台企业对用户隐私的收集、转化与使用会挑战传统的隐私保护法规，甚至威胁用户的隐私权。

一   数据资源与反垄断规制间的内生联系

1   隐私效益成为大数据市场的服务对价

互联网平台经营多采用“免费”商业模式，用户在使用平台产品、享受平台服务时往往不需要给付金钱报酬，因而，数字经济时代又被称为“免费经济时代”。但对于经营者来说，“失之东隅，收之桑榆”，平台企业免费提供商品及服务，实际上是着眼于数字经济背景，为追求数据效益、流量效益等商业效益最大化而采用的新型经营策略。换言之，免费经济时代并非真的为消费者免去对价，而是转变报酬载体，从传统的货币变为数据资源。在此情况下，消费者授予经营者获取并使用其用户数据的权利，允许经营者将数据转变为商业资源。至于数据当中所包含的个人隐私，消费者让渡隐私价值、支付隐私对价并承担隐私成本。

经营者收取隐私对价的原因在于，其能够帮助企业改善服务，间接为企业创造利润，而数据资产的积累能够助推企业平台化，夯实企业生存基础。互联网领域的消费者将大数据所承载的隐私成本支付给互联网领域经营者后，经营者获得了数据优势，这种数据优势将在生产经营活动中转化为企业参与市场竞争所必须的生产资料、策略资产、流通商品^[5]。例如，在线行为广告即是平台经营者将数据优势转换为策略资产的成果。在线行为广告也被称为定向广告、定向行为广告，指互联网平台通过收集用户的行为数据，来预测用户的兴趣或偏好，进而有针对性地向用户展示的商业广告^[6]。广告商借助在线行为广告有效地增强了营销效果，平台经营者也因此大幅提高广告投放的报价，平台经营者的直接收益来源从传统的用户支付变为了广告商支付，用户承担的隐私成本成为了这一经营策略如期运行的基础。例如，在美团与大众点评、滴滴与快的、58同城与赶集网、携程与去哪儿网这几件“D轮合”经营者集中案例中，它们都实现了企业对消费者数据及注意力的整合与行为广告进一步的精准投放。

2   隐私保护水平有望成为新型非价格竞争维度

传统的反垄断审查以价格为核心，侧重于评估经营者集中对商品价格的影响。但如上所述，数字市场的盈利模式与商业模式相较于以往发生了根本性变化，“零价格市场”成为主流，数字平台主要借助新技术、新产品、新数字生态以及新体验来增强用户粘性^[7]，受数字市场经营活动影响的更多是隐私、创新、质量等非价格竞争维度。

针对数字市场下的隐私规制问题，学术界与实务界已基本形成两类主张：一种认为可以将隐私保护水平纳入质量维度；另一种则主张隐私应是独立的非价格竞争因素。前者认为，在免费商业模式中，产品或服务的质量是平台之间展开竞争的主要维度，而隐私保护程度则是消费者评估质量的重要影响因素，隐私政策也因此得以成为平台关注的对象。因为，隐私政策为用户提供了一个网站信息实践的通知，基于该通知，用户可以根据其个人隐私偏好，选择是否使用网站或在线服务^[8]。在实践中，欧盟委员遵循前述思路，构建了“个人信息−质量−价格−消费者福利”这一逻辑模式。值得注意的是，欧盟的相关指令和法律是把隐私归属在个人信息项下，个人信息的范畴明显大于隐私^[9]。主张后一观点的学者也不占少数，我国王思捷^[10]、于澜^[11]、焦海涛^[12]等学者均于近年发表学术文章表示：隐私保护是非价格竞争的重要维度，其独立于价格，当然构成竞争分析的重要因素。国外学者Michael L. Katz^[13]以及Geoffrey A. Manne & R. Ben Sperry ^[14]等也持有相近观点。

然而，不论是遵循前述哪一观点，不可否认的是商业大环境变革下的竞争损害无法规避隐私保护问题。数据驱动型的商业活动通常伴随着数据资源的频繁聚集与整合，平台企业的隐私政策也日益成为用户选择与企业竞争的重要影响因素。新型商业模式下，隐私保护水平已成为潜在的新型非价格竞争维度。

二   数据驱动型并购引起隐私风险

1   数据集中过程中隐私保护水平下降

数据具有基础性战略资源和关键性生产要素的双重属性，平台热衷于收集范围广泛且类型众多的用户数据，并从中分析出有价值的商业信息供生产经营活动使用^[15]。但是在利用消费者数据创造商业价值的过程中，平台经营者受到商业利益的驱使和技术水平的制约，无法规避侵犯用户隐私权的可能。

一方面，数据驱动型并购存在损害消费者福利的风险。数字经济时代下，隐私权与数据安全已然成为消费者福利的重要影响因素。企业之间开展的数据驱动型经营者集中会降低竞争者数量，缩小消费者的选择范围，并购后的经营者出于对商业效益的考量通常会修改隐私政策以拓宽收集与使用用户数据的范围，这会导致用户隐私保护水平的降低，随之损害消费者福利。例如，在Facebook收购WhatsApp一案中，Facebook与WhatsApp存在业务重合，但是经营模式却大有不同。Facebook免费提供产品，但是会通过用户画像投放行为广告，而WhatsApp则更注重保护用户的隐私。面对欧盟的反垄断审查，Facebook也承认合并中存在降低WhatsApp原有隐私保护水平的可能^[16]36。

另一方面，合并后的经营者缺乏提升隐私保护水平的内在动力。在合并之后，更具规模的经营者通过数据资源的汇集有效提高了市场地位。缺乏竞争压力的市场环境会导致合并后的经营者因缺少正向激励而规避用户隐私保护方面的投入，降低用户数据保密性。面对隐私保护水平较高的竞争者，在对方的隐私政策可能影响商业效益和用户选择的情况下，合并后的经营者会对其准备开展新一轮的经营者集中，从而形成恶性循环。正如经济合作与发展组织（OCED）所指出的，具有市场力量的企业无竞争压力时，没有动力提供更高质量的隐私服务，处于高集中度市场的企业会不约而同地避免隐私竞争^[17]51。

2   平台与消费者之间的隐私政策效用有限

在数据法律关系中，保障消费者个人数据的安全是数字平台的一项基本义务，该项工作的完成往往通过双方签署隐私保护协议实现。平台的隐私政策体现了经营者收集用户信息的需求，而且也是用户保护隐私并追踪隐私使用情况的依据。数字平台在用户注册之初往往会询问对方是否同意并接受该平台的隐私政策，并以此作为提供商品与服务的前置条件。这种“通知+同意”模式形式上是为征求用户意见，实则却往往呈现为“霸王条款”，亦即，如果用户不同意或不完全同意该平台的隐私政策就无法使用该平台。甚至有部分平台在隐私合规审查中被发现，存在超越隐私政策或于用户未同意隐私政策时，即秘密收集、违约收集、过度收集用户IP地址、账号信息等数据的情况。

此外，隐私政策自身也存在多种缺陷，对用户隐私的实际保护效用十分有限。一方面，当前，隐私条款大多为格式条款，并呈现出规避关键信息、原则性强、执行力差、笼统冗长、语言晦涩的特点，相关规定难以具体有效地落实。例如，《支付宝隐私政策》（2023 年 1 月 14 日生效）中表示“支付宝将坚持合法、正当、必要、诚信的原则”，并在“我们如何使用信息”一部分承诺道，“采取脱敏、去标识化、匿名化等方式对您的信息进行综合统计、分析加工，以便为用户提供更加准确便捷的服务并帮助其改善运营及服务活动” ¹ 。但是，对于上述合法与正当等原则的具体表现有哪些、统计与加工所指代的是哪些使用方式、改善服务质量将采取哪些措施、收集与使用的过程中存在哪些可能的风险等问题，上述文件无法解答。另一方面，用户往往缺乏法律专业性，存在认知局限，用户在使用平台时通常习惯性地勾选“同意”，极少会因为不认可条款内容而与平台企业进行沟通协商。再者，消费者与经营者之间存在信息差，消费者难以评估隐私受到保护的程度，消费者对于个人隐私是否将被收集、收集的范围如何、收集后经营者将采用何种使用方式、经营者是否可能滥用、相关数据是否会被移转或出售等重要问题往往并不清楚。

3   平台易通过集中形成数据壁垒威胁数据安全

数据驱动型市场通常以低进入壁垒为特征，但合并过程中的数据聚合有助于建立、维持并强化主导经营者的市场地位，新兴企业与潜在竞争者进入相关市场的难度将大大提高。数据资源一定程度的排他性、质量和价值上的差异性，其高昂的收集成本、锁定和转换成本等均会提高大数据市场的进入壁垒，主导经营者所拥有的数据优势将促使其形成数据寡头^[18]。例如，我国形成了以阿里巴巴、腾讯等为代表的超级APP群，这些平台企业已然呈现出横向发展的趋势。具有显著优势的数据巨头为保障自身在竞争中的优势地位，通常会对中小型新兴企业展开“扼杀型并购”来消除潜在威胁，这在相当程度上抑制了相关市场的创新活力。

数据寡头的反竞争效果，不但体现在扰乱数字市场的秩序上，更见于影响消费者的数据安全。有学者表示，企业间的信息争夺会引起数据安全问题，主要指不当使用已收集的信息^[12]。例如，以大数据杀熟为代表的歧视行为即属于对用户信息的不当使用。数据驱动型并购过后，经营者利用所掌握的丰富的数据资源，对消费者进行精准定位，形成“人物画像”。然后，在此基础上即可以对不同类型的客户开展具有针对性、导向性甚至是误导性的商业行为。例如：机票越搜越贵、外卖平台同物不同价、网约车平台同程不同费等，这些行为严重侵犯了消费者权益及用户的隐私安全。经营者利用大数据和算法实施的歧视行为会减少消费者剩余，造成经营者与消费者之间新的矛盾，损害社会公共利益，加剧了社会财富分配的不公。同时，经营者还可能绕过现有的反歧视规定，在经营活动中实施基于种族、收入状况、性别等敏感特征的歧视行为^[18]。

三.   域外数据驱动型并购中隐私风险影响之认定现状

一   判例解读：欧盟有关案例处理态势的历史演变

在“数据当道”的时代背景下，大数据所蕴含的信息价值对于企业竞争的效益作用愈加显著。数据或用户隐私能否作为一个新的非价格竞争要素？这是欧盟委员会近些年一直在关注的问题。在用户数据与企业竞争之间关联性上，欧盟学者从数据伦理性及企业合并运营的作用力角度均作出了正面阐释。他们认为，隐私数据资源作为企业的一项重要资产和竞争武器，当然有望在集中后为企业增强竞争力，数据保护与竞争效果的关联性是客观存在的^[19]。这一观点在欧盟相关司法实践中已逐步被认可。2007年至今，欧盟处理的涉及隐私保护问题的重大经营者集中案件颇多，但在相似案件的处理结果上，欧盟的处理态度也在随着时间的推移而发生改变（见表1）。

表  1  欧盟对于隐私保护水平是否影响数据驱动型并购案件认定的观点变化^[20]

时间	案例	欧盟对将隐私问题纳入企业并购反垄断审查经营者集中审查的态度变化
2007年	Google收购 DoubleClick案	隐私保护问题首次被提及。但是，本案中欧盟委员会仅从经济角度来考虑合并的可能性， 并未将隐私作为非价格竞争因素加以审查。
2014年	Facebook收购 WhatsApp案	欧盟委员会承认“隐私和数据安全”是本案中的关键竞争因素。然而，欧盟委员会认为隐私并不属于竞争法规制的范畴，故并未分析收购案在隐私保护上可能产生的消极影响。
2016年	Microsoft收购 LinkedIn案	欧盟委员会认为隐私是影响产品或服务质量以及消费者选择结果的重要因素，并且合并双方常在隐私保护水平上展开竞争。最终，欧盟委员会要求Microsoft确保竞争的公平性，保护市场上包括用户隐私政策在内的选择权。

下载: 导出CSV 

| 显示表格

2007年欧盟委员会首次对企业并购中的隐私保护问题加以关注，由于没有充分的证据，欧盟未将隐私保护问题作为审查中的因素予以考虑；在2014年，尽管欧盟委员会并没有分析隐私因素，但是在两年后发现Facebook对隐私问题有所隐瞒且违背承诺进行数据共享时，欧盟委员会立刻叫停Facebook的收购，并对Facebook加以处罚；2016年Microsoft收购LinkedIn时，欧盟委员会在新闻稿中指出，与隐私相关的问题不属于欧盟竞争法的规制范围，但可以在竞争评估中予以考虑，因为消费者将其视为一个重要的质量因素，并且各方合并企业在这一因素上相互竞争^[21]。对比发现，尽管数据隐私问题始终没有被明确纳入竞争法体系，但欧盟委员会逐渐地承认了用户隐私对数据驱动型的经营者集中的影响，并在个案中增添了相应的附加条件。

二   官方态度：美日政府对隐私是否影响企业并购评估持肯定态度

1   日本官方报告将隐私视为评估竞争的维度之一

为应对数据市场中的风险与挑战，日本公平贸易委员会（JFTC）下属竞争政策研究中心（CPRC）于2021年6月25日发布最新版《数据市场竞争政策研究》报告。该政府报告反映了日本官方对于个人数据与竞争政策之间关联性的态度。CPRC肯定了以下观点，即“从竞争政策的角度探讨促进企业利用数据和创新展开竞争的措施，对促进日本经济在数字时代的发展具有重要意义”^[22]。

该政府报告体现了竞争法框架下的隐私问题，其中写道：“对于个人数据来说，竞争、数据保护和消费者保护不应被分开探讨。考虑到利益问题，有必要把它们作为一个整体来讨论”^[23]。其后，CPRC在规制措施上进一步展开规划。报告显示，一方面，从规范数据市场的角度来看，有必要要求政府治理不正当竞争行为；另一方面，为避免数据垄断的产生，企业应当确保用户数据的可复制性，并允许其他经营者访问平台以积累数据^[20]。

CPRC早在2017年与2019年就已公开表明，在评估对竞争的影响时，也应当考量该市场行为是否会降低隐私保护水平，如果数字平台企业在获取数据过程中存在不当行为，理应受到日本反垄断法的管制^[20]。可见，日本政府肯定了在数据驱动型经营者集中过程内，数据保护是评估竞争效果的重要维度。尽管现行的配套机制不足以解决可能由数字平台引发的反竞争问题，但CPRC已提出倡议，呼吁日本引入事前审查机制以实现数据市场的平稳运行。换言之，近年来日本官方对反垄断法视域下的隐私风险规制始终保持着积极态度。

2   美国相关委员会将隐私保护水平纳入反垄断视野

联邦贸易委员会（FTC）是执行多种反托拉斯和保护消费者法律的联邦机构。该机构此前曾向美国的7家互联网宽带供应商下达通知，宣布将对这些商家进行反垄断审查，要求供应商们提供相应信息，包括收集了用户的哪些数据、收集信息的使用意图、收集过程中所使用的技术、是否与第三方共享数据、数据的保存时限等^[24]，肯定了反垄断审查中隐私数据占据重要地位。实务操作层面上，在Google收购DoubleClick这一经典的数据驱动型合并案例当中，FTC曾公开表明，应将集中行为对用户隐私可能造成的不利影响纳为反垄断审查的非价格因素，FTC认为在分析数据市场的并购交易时，当然应考虑可能对消费者隐私安全造成的威胁。

在法律规制层面上，美国总统科技顾问委员会（PCAST）于2014年发布了题为《大数据与隐私：技术展望》（Big data and privacy: a technological perspective）^[25]的官方报告，探讨与大数据管理以及隐私保护相关的技术。报告指出，线上服务中经营者“通知+同意”模式，事实上是市场失灵的表现，目前没有行业惯例要求经营者确保用户的隐私保护达到较高水平，而单一的市场调节不足以促使经营者提高维护用户隐私安全的投入，这为反垄断法介入数据市场的隐私保护提供了理论支撑^[17]36。同时，也有学者通过分析美国官方对消费者权益保护法和反垄断法的态度演变，得出如下结论，即“在隐私保护方面，美国国会与联邦最高法院在‘消费者权益保护法与反垄断法之间存在差异但互为补充’这一点上达成共识”^[11]。诚然，在传统商业模式下，隐私威胁与反垄断规制并无当然的因果关系，消费者权益保护法等足以应对隐私保护需求，但是着眼于数字经济时代的“零价格市场”，隐私与竞争存在必然交叉，这需要以新的思路对待消费者权益，并赋予反垄断法在一定条件下审查隐私安全的权能。

四.   反垄断下数据驱动型并购之隐私风险规制的可行路径

一   将隐私风险问题纳入反垄断法视野

1   将隐私保护纳入消费者福利原则标准

《中华人民共和国反垄断法》（以下简称《反垄断法》）将消费者福利作为立法目标之一，这不仅是国际的通用做法，也符合我国反垄断法的立法宗旨和基调。在国际上，美国《谢尔曼法》、韩国《规制垄断与公平交易法》、日本《关于禁止私人垄断及确保公正交易的法律》以及欧盟理事会通过的《欧共体条约第81条和第82条的实施条例》等都强调了对消费者利益的保障。反垄断法作为“市场经济的大宪章”，其对消费者利益的保护，是维持市场经济平稳运行与发展的基础。可以认为，所有垄断行为之结果，最终都会通过不同的形式作用于消费者，对消费者造成不同程度的权益侵害。但是随着社会的发展，垄断的形式与竞争因素也在不断地变化。因此，反垄断法应该对数字经济时代的隐私保护需求做出回应，革新消费者福利的内在标准。

“零价格”市场下，数据内含的用户隐私逐渐具有了与金钱价格相近的交易地位，若企业单独或与他人联合实施了导致隐私保护水平降低的行为，消费者受到的福利损失就与价格提高的垄断行为没有本质区别^[12]。因此，在数字经济时代，隐私保护水平应当成为一种新型消费者福利标准。

在解释论上，我国新修《反垄断法》第三十三条第四项表明，经营者集中对消费者的影响是合并审查的评估因素 ² 。我们可以认定，在以数据信息为服务对价的平台市场中，隐私风险问题当然构成对消费者的重要影响，符合该条规定的立法目的。此外，其他下位效力法律文件也可以进行必要补充。《指南》第二十条第六项列举了经营者集中对消费者的多种影响，明确表明消费者福利是评估平台经济领域竞争影响的重要因素 ³ 。在第六项所进行的不完全列举中：首先，商品质量与隐私保护水平都是零价格市场的非价格竞争因素；其次，区分对待不同消费者通常表现为针对用户数据信息借助算法进行大数据杀熟，不恰当使用消费者数据是造成消费者隐私损害的手段及原因之一。因此，根据法律解释的同类规则，“严重侵害消费者隐私权”可作为第六项的合理含义之一。同时，随着学界的深入分析和司法实践的进一步探究，后续也可以通过司法解释来明确，反垄断审查应如何应对垄断行为所带来的隐私层面上的实际损害或潜在威胁。

2   明确反垄断法审查隐私风险的必要前提

纯粹的隐私问题不在反垄断法的保护范围之中，但在数据驱动型并购频繁发生的背景下，将隐私保护水平作为一种非竞争因素纳入反垄断法规制的观点得到了大量学者的认可。那么，反垄断法中对隐私问题进行审查的前提应如何明确？本文认为，反垄断部门进行隐私风险评估时应至少以下列条件为审查前提。

第一，隐私保护牵涉市场主体竞争。反垄断法的目标之一就是为了保护公平竞争，经营者利用数据资源扰乱市场竞争秩序的垄断行为当然应该受到反垄断法的限制。

第二，经营者集中以数据吞并为反竞争目标。数据驱动型并购中，被集中企业往往占有着大量的用户数据资源，这成为了大型企业对其实施商业并购的主要目标，此时该集中行为将不可避免地涉及用户数据整合与使用。因此，在经营者以“收购”用户数据、建立数据壁垒为目的的背景下，反垄断法应当审查判断用户隐私是否因集中而显著受损。

第三，经营者集中过程存在泄露用户隐私的风险。平台企业的合并涉及多方隐私政策的整合，整合过程可能存在交接纰漏、政策修订不当、违规操作等问题，从而导致用户隐私泄露。对此，反垄断法可以进行事前审查，判断对经营者集中是否符合规定，最大力度地保护消费者利益。

第四，企业的垄断行为显著降低消费者隐私保护水平。如前所述，以平台企业为代表的经营者，所实施的签订不公平隐私条款、违规收集用户隐私、构建数据壁垒、数据歧视、数据监控等行为，严重侵害用户隐私权。在此情形下，反垄断法应加以干涉，勒令禁止、改正并施加相应处罚。

3   加强《反垄断法》与其它相关法律的衔接

在数字时代，隐私权的保护客体与个人信息权益的保护客体发生重叠，一旦个人信息被非法获取或者滥用，将极易对被识别人的生活安宁及私密空间、私密活动和私密信息的安全产生侵害。因此，在《中华人民共和国民法典》（以下简称为《民法典》）颁布前就有法院通过扩大解释隐私概念的方式保护个人信息。现今我国则是通过《中华人民共和国个人信息保护法》（以下简称为《个人信息保护法》）对《民法典》有关个人信息处理基本原则做细化与补充^[26]。

首先，将部分隐私问题纳入反垄断法不会打破当下的监管格局。当前我国参与相关执法的机构较为分散，呈现“平行监管”形态。除《民法典》外，《中华人民共和国治安管理处罚法》第四十二条赋予公权力机关直接保护公民隐私的权力，《中华人民共和国刑法》利用现有罪名间接保护隐私权。在个人信息领域，《个人信息保护法》第六十条规定了以国家网信办为主体、多部门分工负责的监管格局，《中华人民共和国消费者权益保护法》第三十二条则是主张以工商行政管理部门为主体并联合其他部门。在此局面下，部门间各有侧重，并没有明显的权责交叉的情形，而反垄断审查的专业性则在一定程度上确保了“平行监管”的有序性。

其次，在实务操作上需要加强法律的适用衔接。反垄断法对隐私的保护更加侧重于平台企业的并购审查等，具有较强的针对性，能够对隐私保护起到补强作用。但反垄断法与其他部门法产生冲突时，则应当遵循平等对待的原则。有学者指出，在处理反垄断及数据利益的争议时，分析的起点应该是给予各法律领域以同等的对待，反垄断法和其他法的适用具有同等地位^[27]。不同法律领域对于行为的要求和限制并不相同，在判断行为违法性上，应结合具体实际在个案中进行权衡。

最后，在救济方式上，反垄断法上的事前审查方法与其他部门法的事后救济可以形成有效的规制系统。反垄断法采用行为规制中的禁止模式，对可能发生在个人隐私领域的垄断行为进行事前规制。作为典型的利益分配法和行为规制法，反垄断法可通过合理分配用户数据所产生的利益，在保障经营者正常运转的同时，确保用户享有救济权。而其他部门法的规制途径偏向于私法保护，是一种在权利受到侵犯之后的救济^[28]。

二   反垄断法下隐私风险规制的内容建议

1   合并审查中应注重隐私影响评估

有学者指出，大数据的重要特征之一就是可重复使用性，这是它的优势，亦是大数据应用伦理问题的技术根源之一^[29]101。原因在于经营者集中过程中会发生数据资源的整合与移转，以便合并后的经营者开展对数据的二次利用，但数据资源的聚合易造成数据垄断与市场壁垒，进而危害市场秩序而引起反垄断审查。

数字市场中，反垄断审查并非局限于价格因素，隐私、质量、创新等作为非价格维度同样有必要被纳入考量范围。在此，笔者对于合并审查中的关键做法进行了不完全列举，具体如下：第一，明确经营者在收集消费者数据时关于使用方式、保护措施等所做出的承诺；第二，评估合并过程中，参与合并的经营者在用户数据处理方式上所达成的合意；第三，对比合并前后，判断经营者集中是否严重损害用户的隐私安全或显著降低隐私保护水平；第四，审查合并过程中是否存在明显排斥隐私保护水平较高企业的现象。

诚然，隐私权具有一定的隐蔽性与主观性，评估过程中难以将隐私保护程度进行量化，评估标准的确定较为困难。针对这一问题，反垄断执法机构可以在调查时就相关问题征求社会意见，并引入专家评审制度进行专业化评估。例如，欧盟委员会使用数字市场认可的“4V”指标来评估数据经营者集中的后果，即数据的多样性（Variety）、速率（Velocity）、总量（Volume）和价值（Value）^[28]。我们可以对此加以借鉴，在“价值”层面上着重审查企业在发挥数据资源的价值过程中是否对用户产生隐私侵害风险。

对隐私政策合法性、合理性的审查也是评估的重要内容。企业合并是厘定隐私权利与经营者权益边界的重要场景之一。《欧盟一般数据保护条例》明确规定了数据主体的事先同意是数据处理的合法化事由，美国联邦贸易委员会也于RadioShack一案中，向消费者隐私保护官的致函道，建议将取得用户同意作为前置条件^[30]。我国的《中华人民共和国网络安全法》与《民法典》的“人格权编”也涵盖了这一规则。为实现消费者个人利益和社会公共利益间的平衡，避免对企业的经营发展设置过度约束，应当根据“同意原则”保护企业在数据资源上的合理利益。同时，企业也至少应当将隐私政策通俗化、具体化，避免内容晦涩且浮于形式，确保能够取得用户的实质性同意。此外，我国可以考虑借鉴推广苹果公司的透明度报告 ⁴ ，苹果公司每六个月会发布透明度报告，公开其面对各国政府数据请求时关于审核法律依据、认定请求内容、提供数据情况等的信息。我国可以要求平台企业周期性地公开其面对政府机构调数、合法商业活动需要、用户需求等时，处理用户数据的具体情况，以判断上述行为是否契合其隐私政策。

2   对显著有损隐私权的合并交易加以限制措施

正如日本《数据与竞争政策》报告所指出的，“在一些合并案件中，有必要实施救济措施来保障隐私，救济措施包括要求合并主体承诺不更改隐私保护政策，以此防止企业利用个人数据建立、维持或加强市场势力”^[31]。

当前，在为保护集中过程中的隐私安全而设计配套措施方面，尚没有可参考的司法实务案例，多数做法停留在原则性要求上。例如，欧盟委员会于Microsoft收购LinkedIn一案中虽意识到了合并行为可能伴随着的隐私损害，但欧盟委员会在随后的处理过程中却并没有附加专门的限制性条件。同样地，美国FTC审查Facebook与WhatsApp合并案时也没有设计隐私安全上的限制措施，仅通过致函要求Facebook维持消费者福利水平，尊重WhatsApp的隐私政策，并将保留提起诉讼或限制并购的权利^[32]。

为保证经营者集中不会严重侵害用户的隐私权，执法部门应当采取行为救济措施。传统的行为救济以防火墙条款、公平交易条款、透明度条款为主，主要目的为确保有关企业在并购活动之后不会破坏市场竞争秩序。为适应大数据市场之动态竞争特征，司法实务在行为性救济方面应当更加注重限制条件的灵活性、多样性。例如，执法机关可以要求合并后的经营者至少保持原有的隐私保护水平并履行合理说明义务，还可以要求经营者对数据资源的汇总与移转坚持“一事一报”原则，并限制数据聚合的次数与强度等。同时，我国可以借鉴美国、日本、巴西等国的反垄断执法经验，授予执法机构在合并交易完成后一定期限内的“继续调查权”，利用复查模式及时发现并购案例所引起的市场变动以及相关竞争问题，加以追踪与限制^[33]。在这个过程中，政府相关主管部门可以建立公开的信息收集渠道，从企业、消费者等方面获得和垄断相关的信息，建立起动态评估体系。

3   将多边市场结构与SSNDPP、SSNIC分析法引入评价范式

传统的反垄断评估机制以价格为导向，对“付费”市场关注度极高。然而，数字经济时代以“零价格”市场为主要特征，传统的评估机制缺乏适用基础，其他评估范式也尚未得到广泛认可。在免费商业模式下，经营者的主要竞争焦点与消费者选择的主要比较对象为隐私保护水平、产品质量、创新能力等。在反垄断执法中对上述非价格因素进行量化分析，则需要配套的经济学测量工具。

《指南》第四条提到，在界定相关市场过程中，可以根据多边商品界定多边市场 ⁵ 。这一规定初步展示了多边市场结构这一导向，有利于我国反垄断执法机构提高对“免费”边市场中消费者利益的注意力，为在反垄断角度分析消费者隐私状况提供了一定基础。在配套分析范式方面，有观点指出可以采用SSNDPP（小而显著的非暂时性隐私保护水平下降）测试法，这种方法参照了SSNIP（非临时性的幅度不大但有意义价格上涨）测试法，认为在隐私保护水平下降5%至10%时，用户将转换至另一个类似产品或服务^[34]。例如，Instagram于2012年12月称其将向广告商出售用户照片，该政策宣布后，Instagram的日活跃用户数减少了一半。SSNDPP测试法以确定隐私保护基准为前提，需要将隐私保护基准进行量化分析，这一操作仍需实践检验，笔者在此仅做不完全分析。对此，反垄断执法单位可以统计在某一较短时期内（建议以周或月为单位）因隐私政策调整而流失的消费者数量，在保持用户体验、产品设计、价格、平台产品的界面安排等变量均不发生改变的前提下，仅调整隐私政策，分阶段、按比例降低隐私保护水平，根据活跃用户之每阶段流失量确定确定隐私损害对用户选择造成的影响，以此为参考来设计企业应当遵守的隐私保护基准。同样地，日本《数据与竞争政策》报告中也提到，在分析范式上可以使用SSNIC（小而显著的非临时性成本上涨）测试法。该方法主要考虑用户的成本支出，其中包括用户承担的隐私成本与注意力成本。

以当前的执法技术来看，上述以非价格竞争因素为主导的分析范式在实务中存在量化困难、评估困难的问题，但也并非毫无实操可能。在我国“3Q”大战这一著名案例中，法院在二审中即采用了SSNDQ（小而显著的且非临时性质量下降）测试法，该方法是基于质量下降的假定垄断者测试，同样以非价格因素为主要分析对象 ⁶ 。对此，理论界和实务界在评价范式的转型方面需要进一步的研究，以“零价格”市场为着眼点建立起相对完善的质量评估体系，同时要克服评估过程的主观性、不确定性，避免过犹不及。

4   设计经营者集中审查的配套监管方案

数据驱动背景下产生的垄断问题，不能一味地通过严法和处罚来调整。监管机构要在坚持包容审慎原则的基础上，加强事前监管、协同监管、激励监管的合作，实现执法工具的创新^[35]。

首先，事前监管的监管对象多是作为“守门人（Gatekeeper）”的大型平台，这些平台的特殊之处在于有权制定其平台生态系统中的游戏规则^[36]，足够产生损害消费者利益、限制对手竞争的结果。因此，事前监管的意义在于通过法律规范来对巨头企业设定其应当遵守的义务，从而有针对性地进行事前干预，维护市场平衡。不论是我国或是其他国家或地区，对于垄断行为的规制多为事后监管。当下，新型经济不断发展，日新月异，对于竞争行为的规制显现了事后监管模式的力不从心。例如欧盟起草的《数字市场法案》 ⁷ 针对作为“守门人”的大型互联网企业进行监管，对其必须遵守的“应为”和“勿为”的义务提出了明确要求，展现了其通过对大型平台进行有效的事前针对，从而维护竞争和消费者利益的动向^[35]。这也为我国监管模式的创新提供思路，弥补事后监管的滞后性。

其次，协同监管可以很好地处理垄断行为中的隐私保护问题。数据和隐私是一个相对广义的概念，涉及的法律部门很多，需要不同组织之间相互合作，实现多元共治，这也是协同监管的精髓所在^[35]。根据我国《反垄断法》的部署，我国应当提高国家反垄断局在反垄断监管中的协同领导能力，明确其在多部门协调机制中的主导地位，与相关监管部门紧密协作，建立协商机制、共定政策、共享信息、合作执法，来解决隐私保护和市场竞争相关的难题。

最后，激励监管即是通过制度设计来调动企业自我规制的积极性的监管方法。传统命令式的监管既无法使得监管部门与企业达成合力，也存在成本高、滞后性严重的问题。监管部门应该强化平台的主体责任，激发平台企业加强内部反垄断合规审查的驱动力，建立自律规范和行为约束机制^[37]。

五.   结语

数字化技术成为经济增长的新动能，这引发了人们对反垄断法规制和分析方法的讨论，数据驱动型经营者集中已经成为不可回避的问题。对于用户数据所承载的隐私权是否应该纳入反垄断法的审查框架下这一问题，学界中虽存在不同的观点，但结合反垄断法的价值目标以及消费者的利益来看，通过反垄断法对其进行规制必要且合理。

“徒法不足以自行”，在反垄断法愈加重视数字经济发展需求的背景下，新修订的《反垄断法》并未对隐私保护水平的非价格竞争因素地位加以确定，这就需要法律解释部门与司法实务部门加以进一步研究。与此同时，也应综合隐私风险审查的可行性与我国反垄断法实施的实际情况，避免数据驱动型经营者集中的规制从过度包容走向过度管制这一极端，以致陷入监管悖论。