新闻第27期｜欧盟最高法院或将GDPR纳入反垄断法考量范围

作  者｜黄晓俊 乔治城大学硕士

            任彦锦 中央财经大学硕士

            汤昊男 中国政法大学硕士

            黄铄媛 香港大学硕士

            曹炜嘉 圣路易斯华盛顿大学 JSD

编  辑｜Morry Mu 纽约大学本科

责  编 | Izzy 美国西北大学LL.M.

一、来龙去脉：德反垄断监管机构裁定Facebook滥用市场地位搜集个人信息

2016 年，德国反垄断监管机构联邦卡特尔局（Federal Cartel Office，以下简称FCO）展开对 Facebook 用户数据使用具体服务条款的调查。2019年2月，FCO发布最终裁定，认为Facebook在收集、合并和使用用户数据方面滥用其市场主导地位，并要求Facebook在法律规定的范围内处理用户信息：只有在用户自愿同意的情况下，才能从第三方网站收集数据并将其关联到其Facebook账户,否则数据只能留存在各自的服务器中。

举例来说，Facebook在没有得到用户自愿同意的情况下，不能再将WhatsApp、Instagram和嵌入Facebook应用程序接口（APIs）的第三方网站或移动应用程序（apps）的用户数据合并在一起，且Facebook提供服务不应以用户同意收集和融合他们的数据为前提。[1]

（图片来源于网络）

FCO 在裁定中表示，Facebook的服务条款以及它收集和使用数据的方式，违反了欧洲的数据保护规定。许多用户并不知道Facebook从第三方渠道（包括Facebook旗下的Instagram和WhatsApp）收集大量数据，并将这些数据链接到用户的Facebook账户的行为。在此基础上，Facebook滥用了其在私人用户社交网络市场中的支配地位，使得用户必须同意这些特定条款以获得服务，并被迫放弃自身的数据自决权。如果用户不同意Facebook给出的隐私政策条款，便只能退出Facebook的“一揽子”授权，无法再使用社交软件与人交流。FCO认为，这属于强迫用户签订剥削性的商业条款（exploitative business terms），强迫用户同意Facebook的政策，利用市场支配地位来侵犯消费者权利的垄断行为。

随后，Facebook就该裁定向德国杜塞尔多夫高等法院提出上诉。2019 年 8 月，杜塞尔多夫法院在临时法律程序中暂停了 FCO裁定的执行，异常严厉、明确地驳回了 FCO 的许多推理。法官认为，FCO 错误地将数据收集使用条款方面的侵权行为推定为阻碍竞争对手的垄断行为，却并未证明 Facebook 的主导地位与滥用条款之间存在因果关系。因此，杜塞尔多夫法院要求FCO暂停对Facebook数据收集活动的限制，Facebook 获得了临时救济。

2019年8月，FCO向德国最高法院就杜塞尔多夫的裁定提起上诉。德国联邦法院2020 年 6 月发布初步决定支持 FCO 的行为命令，驳回了杜塞尔多夫法院的裁定。德国联邦法院认为，Facebook 的条款强迫用户同意合并不同数据集，不允许用户在个性化服务之间进行选择的行为侵犯了德国宪法所保护的“基本权利”，属于“滥用”行为。同时，德国联邦法院认为，市场竞争缺乏的结果只要存在，即可证成Facebook限制用户的选择、滥用市场支配地位与阻碍其他市场参与者发展、构成垄断行为的因果关系。德国联邦法院认为FCO有权限制其在德国境内的数据收集行为。裁定Facebook败诉后，Facebook表示不能接受判决，将继续争取维护自身利益。目前该案已被提交至欧盟法院。

本案是欧洲历史上监管者第一次在案例中同时援引反垄断法和数据保护条例。这一判决意味着互联网巨头企业在审查数据合规时，不仅需要考虑传统的个人信息收集、使用风险，还需要叠加反垄断的视角。

二、最新进展：进一步解释反垄断执法中考量GDPR的必要性和可行性

9月20日，在Meta（原Facebook）就针对FCO调查一案向欧洲法院提交上诉状后，欧洲法院佐审官Athanasios Rantos发表意见称，当反垄断监管机构调查一家公司涉嫌滥用市场支配地位时，也应该考虑其他规则，例如欧盟具有里程碑意义的《通用数据保护条例》（General Data Protection Regulation, “GDPR”）。

佐审官Athanasios Rantos认为，一家公司是否遵守GDPR，可能是认定其行为是否违反竞争规则的重要指标。虽然竞争主管机构对侵犯GDPR的行为没有进行裁决的管辖权，但它在行使自己的权力时，可以根据案件的总体情况来判断，违反GDPR的行为本身是否可能是构成垄断行为的重要标志，并表示：“竞争管理机构在行使其权力时，可以考虑商业惯例与GDPR的兼容性。”

就本案的争议焦点而言，佐审官Athanasios Rantos称，虽然具有社交媒体市场支配地位并不绝对意味着该平台用户对个人信息处理行为的同意当然无效，但是Meta作为数据处理者有责任证明市场份额在用户评估同意自由方面究竟有无实际作用。

（图片来源于网络）

该案上诉过程中，Meta认为FCO将数据保护和反垄断法混为一谈，超越了其实际权限：FCO不是GDPR指定的数据监管机构，只能在反垄断法规制的层面进行执法——。但佐审官Athanasios Rantos认为，竞争主管机构对GDPR合规性所做的任何评估并不损害数据监管机构在GDPR下的权力。但为了保证各个监管机构之间协调性，竞争主管机构必须考虑数据监管机构的任何决定或调查，向其告知相关细节，并在适当情况下进行咨询。

需要说明的是，佐审官的意见对欧洲法院没有法律约束力，但这份意见或将对Meta与FCO的反垄断诉讼产生重大影响。若欧洲法院参考这一意见，做出的判决可能会波及Meta的精准广告商业模式，并进一步鼓励欧洲竞争监管者根据数据规则加强对大型科技公司的审查。FCO局长Andreas Mundt对于该意见表示，佐审官认为“数据保护规则可以在反垄断调查中发挥重要作用”是个好消息。

（图片来源于网络）

三、拓展思考：欧盟企业数据权利概览

1. 企业数据的含义

欧盟企业的数据权利，本质上是企业对数据库所享有的特殊权利（sui generis right）。欧盟数据库指令(European Union Directive 96/9/EC)）规定，数据库指的是独立作品、数据或其他材料的集合，这些作品、数据或其他材料通过有条理的方式排列，并且可以通过电子或其他方式进行单独访问。可以说数据库的构成要件主要有三：第一，数据库具有可分性，并且在拆分之后不会影响信息的具体内容的表达；第二，数据库需要根据特定的标准进行排列；第三，数据库每一部分的内容都可以被独立访问。[2]

因为在定义中数据库所包含的内容并没有被过多地限制，所以在司法实践中“数据库”一词所涵盖的内容也丰富多元。在British Horseracing Board Ltd. v. William Hill Organization案之中，法院给出的数据库定义较为灵活，称 “数据库的含义广泛，具有搜索功能的数据集合都在其含义范围之内。”[3]甚至在德国的司法实践中广告合集同样也可以被视为数据库并获得保护。[4]

2. 数据库权利的内容

以在用户和互联网企业二者利益之间寻求平衡为宗旨，1996年欧盟数据库指令赋予了企业对其数据库享有的双重权利：第一，企业对于数据库的组织框架享有著作权；第二，企业对于数据库的内容本身享有特殊的权利（sui generis right）。[5]一定意义上而言，基于企业对于整理和编排数据库投入的技术、能源和资金，欧盟承认了企业通过“额头流汗原则”（sweat of the brow doctrine）而产生的劳动成果在一定程度上应当得到保护。

根据欧盟数据库指令第7条的规定，企业需要对数据库在“内容的获取、呈现或验证”等方面作出“实质性贡献”即可获得特殊的数据权利。然而，该指令没有对企业需要做出何种实质性贡献才能获得数据库特殊权利作出明确的规定。在司法实践中法院一般会从企业本身进行的投资数量和质量[6]或从数据库对于侵权者的重要程度[7]来评估企业是否对数据库进行了实质性贡献。通过实质性贡献测试后，企业对数据库内容的特殊权利主要指的是“禁止他人提取或二次使用数据库的全部内容或通过定性和定量评估发现的重要部分”。其中，所谓“提取”指的是以将数据库的全部或大部分内容永久或临时转移到另一传播媒介中，“二次使用”则指的是通过发送副本、在线浏览等形式，向公众传播数据库中所涵盖的大部分内容。

根据欧盟数据库指令第10条第1款和第2款的规定，企业对数据库的特殊权利可以在自数据库制作完成或首次向公众公布的15年之内获得保护。

该条第3款规定，如果在这期间有对数据库的内容进行增加、修改或删除等对数据库内容产生实质性变更影响的投资产生，那么应当相应地延长数据库的保护期限。这就使得定期更新的数据库获得半永久的保护。

3. 数据库特殊权利的垄断风险

企业对数据库的特殊权利类似于知识产权的半永久的权利，这样的权利有极强的垄断效力，阻碍其他竞争者使用互联网资源，最终导致数据资源枯竭，形成反公地悲剧（tragedy of the anti-commons）。长久以来，欧盟法律框架内少有相应的权利能够与企业对数据的特殊权利抗衡，唯有GDPR赋予了信息主体基于自身人格对抗企业对数据库的权利的能力。例如，GDPR第20条第1款就赋予了数据主体将个人数据无障碍地从某一数据处理者处转移至另一数据处理者处的权利。GDPR填补了欧洲反垄断法规制企业滥用其特殊的数据库权利的空白，保证了信息的自由流通。

附录：

佐审官意见中英文对照

欧洲法院总法律顾问意见C-252/21 | Meta和其他（社交网络使用的一般条款）

Advocate General’s Opinion C-252/21 | Meta Platforms and Others (General terms of use of a social network)

总法律顾问Rantos称，竞争主管机构在行使其权力时，可以考虑商业惯例与《通用数据保护条例》（GDPR）的兼容性。

According to Advocate General Rantos, a competition authority may, in exercising its powers, take account of the compatibility of a commercial practice with the General Data Protection Regulation

但是，它必须将主管监管机构根据该条例作出的任何决定或调查纳入考虑之中。

However, it must take into account any decision or investigation by the competent supervisory authority under that Regulation

Meta公司是在线社交网络“Facebook”的所有者。此社交网络的用户必须接受Facebook的服务条款，该条款涉及Meta Platforms的数据和cookie政策。根据这些条款，Meta公司可以通过集成接口或安装在用户计算机或移动设备上的cookie，从Meta系列的其他产品，如Instagram和WhatsApp，以及第三方网站和应用程序收集数据。此外，Meta公司将这些数据用于链接相关用户的Facebook帐户，并将其用于广告目的，等等。

Meta Platforms is the owner of the online social network ‘Facebook’. Users of this social network must accept Facebook’s terms of service, which refer to Meta Platforms’ data and cookies policies. Under those terms, Meta Platforms collects data from other Meta Platforms group services, such as Instagram and WhatsApp, as well as from third-party websites and applications, via integrated interfaces or via cookies placed on the user’s computer or mobile device. In addition, Meta Platforms links those data to the Facebook account of the user concerned and uses them for advertising purposes, among other things.

德国联邦竞争管理局禁止Meta公司根据Facebook的服务条款处理数据并执行这些条款，并采取措施阻止该行为。竞争管理局发现，上述数据处理不符合《通用数据保护条例》（GDPR），Meta公司构成对德国私人用户滥用其在社交网络市场上的主导地位的行为。

The German Federal Competition Authority prohibited Meta Platforms from processing data in accordance with Facebook's terms of service and from implementing those terms, and imposed measures to stop it from doing so. The authority found that the data processing in question, which did not comply with the General Data Protection Regulation (GDPR), constituted an abuse of Meta Platforms' dominant position on the social network market for private users in Germany.

Meta公司向杜塞尔多夫高等地区法院上诉，反对上述机构的决定，该法院向欧洲法院询问国家竞争主管部门是否有权评估数据处理是否符合RGPD。此外，德国法院要求欧盟法院解释和适用GDPR的某些条款。

Meta Platforms appealed against the decision of the above authority to the Higher Regional Court of Düsseldorf, which asks the Court of Justice whether national competition authorities are entitled to assess the compliance of data processing with the RGPD. In addition, the German court asks the Court about the interpretation and application of certain provisions of the GDPR.

在今天发表的意见中，欧盟法院佐审官Athanasios Rantos认为，首先，虽然竞争主管机构对侵犯GDPR的行为没有进行裁决的管辖权，但它在行使自己的权力时，可以考虑商业惯例与GDPR的兼容性。在这方面，他强调，根据案件的总体情况，该行为是否符合GDPR的规定可能是该行为是否构成违反竞争法的重要标志。

In his Opinion delivered today, Advocate General Athanasios Rantos, first, takes the view that, while a competition authority does not have jurisdiction to rule on an infringement of the GDPR, it may nevertheless, in the exercise of its own powers, take account of the compatibility of a commercial practice with the GDPR. In that respect, the Advocate General emphasizes that the compliance or non-compliance of that conduct with the provisions of the GDPR may, in the light of all the circumstances of the case, be an important indication of whether that conduct amounts to a breach of competition rules.

然而，他还指出，竞争主管机构只能将遵守GDPR的情况作为附带问题进行评估，而不影响该条例规定的主管监管机构的权力。因此，竞争主管机构必须考虑主管监管机构的任何决定或调查，将任何相关细节告知主管监管机构，并酌情咨询主管监管机构。

However, the Advocate General points out that a competition authority can only assess compliance with the GDPR as an incidental question, without prejudice to the powers of the competent supervisory authority under that regulation. Therefore, the competition authority must take account of any decision or investigation by the competent supervisory authority, inform the latter of any relevant details and, where appropriate, consult it.

第二，佐审官认为，仅存在经营社交网络的企业在全国私人用户在线社交网络市场上占有主导地位这一事实，并不意味着该平台用户同意处理其个人数据的有效性受到质疑。然而，这种情况在评估同意自由方面确实发挥了作用，这取决于数据控制人员。

Secondly, the Advocate General is of the opinion that the mere fact that the undertaking operating a social network enjoys a dominant position on the national market for online social networks for private users does not call into question the validity of the consent of the user of that network to the processing of his personal data. Such a circumstance does, however, play a role in the assessment of the freedom of consent, which it is up to the data controller to demonstrate.

第三，佐审官认为，根据GDPR规定，Meta公司的争议行为或该行为的部分可能属于在未经数据主体同意的情况下处理数据的正当理由——假如该行为的要素对于提供与Facebook账户相关的服务是必要的。然而，佐审官认为，尽管内容和广告的个性化、Meta公司组服务的持续无缝使用、和网络安全或产品改进可能会符合用户或数据控制人员的利益，该争议行为的组成部分对于提供上述服务似乎没有必要。

Thirdly, the Advocate General takes the view that Meta Platforms' practice at issue, or some of the component parts thereof, may fall within the justifications provided for by the GDPR for the processing of data without the consent of the data subject, provided that the elements of that practice are actually necessary for the provision of the services relating to the Facebook account. However, the Advocate General considers that, although the personalization of content and advertising, the continuous and seamless use of the Meta Platforms group's services, the security of the network or the improvement of the product may be in the interests of the user or the data controller, those components of the practice at issue do not appear to be necessary for the provision of the abovementioned services.

第四，佐审官指出，禁止处理敏感的个人数据，也可能与争议的数据处理行为有关，例如与数据主体的种族或族裔、健康或性取向有关的数据。在这种情况下，单独考虑或汇总处理的数据允许平台方基于GDPR中提到的敏感特征进行用户分析。

Fourthly, the Advocate General notes that the prohibition on processing sensitive personal data, relating, for example, to racial or ethnic origin, health or sexual orientation of the data subject, may also relate to the data processing at issue. This is the case where the processed data, individually considered or aggregated, allow user profiling based on the sensitive characteristics referred to in the GDPR.

在这种背景下，佐审官强调，为了能适用对该禁令的豁免规则：数据主体明确公开数据，用户必须充分意识到，他正在通过明确的行为公开个人数据。他认为，原则上，一些行为不能被视为公开用户的敏感个人数据，如访问网站和应用程序、向这些网站和应用中输入数据以及点击网站和应用中的按钮的行为。

In this context, the Advocate General emphasizes that, in order for the exemption to that prohibition, relating to data which the data subject has manifestly made public, to apply, the user must be fully aware that, by an explicit act, he is making personal data public. According to the Advocate General, conduct consisting in visiting websites and apps, entering data into those websites and apps and clicking on buttons integrated into them cannot, in principle, be regarded in the same way as conduct that manifestly makes public the user’s sensitive personal data.

参考文献

1.Bundeskartellamt hits „don’t like“-button on Facebook,available at：http://competitionlawblog.kluwercompetitionlaw.com/2019/02/11/bundeskartellamt-hits-dont-like-button-on-facebook/

2.Database Protection & Domain Protection, available at:https://intellectual-property-helpdesk.ec.europa.eu/regional-helpdesks/european-ip-helpdesk/europe-frequently-asked-questions_en#Database_Protection_Domain_Protectio.

3.British Horseracing Boarf Ltd. v. William Hill Organization Ltd., 2001, PRC 612, at para 30.

4.LG Berlin, 29 September 1998, Az: 16 O 448/98, Urheberrenchtsschutz für Internet-Datenbanken.

5.Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases.

6.“Süddeutsche Zeitung”, described in Heyden, Meta Search Engines Violate Copyright Law, 102 Copyright Wold 7, August 2000.

7.British Horseracing Boarf Ltd. v. William Hill Organization Ltd., 2001, PRC 612, at para 52.