2023反垄断与数据权利保护报告

反垄断与数据权利保护目录一、互联网反垄断与数据权利保护 2一）互网时的反断 2二）国互联发展的数权利护 6二、国外数据权利保护的主要模式及相关案例 11一）统立法欧盟式 11二）分立法美国式 27三）逐发展东亚式 38三、国内数据权利保护及相关案例 45一）国数据利保体系介 45二）相案例 58四、参考文献 67五、附录 83PAGEPAGE321。近年来，互联网反垄断、数据权属与保护、数据2目前，虽然各国侧重点IP反垄断应平衡市场公平与企业创新一、互联网反垄断与数据权利保护（一） 互联网时代的反垄断间或场所，最终实现收益最大化。3为了预防和制止平台经济领域垄断行为，20201120领域的反垄断指南（征求意见稿）》，2021274垄断行为中涉数据的是数据滥用行为，比如，Facebook拟专用网数据来识别威胁Facebook5价。6而根据最新的《指南》特别规定，平台在交易中获取的交易相根据《中国数字经济发展白皮书（2020）》，2019GDP36.2GDP7.8590%以上的市场份额，基于Facebook7反竞争行为根据性质可分为两类：不正当竞争行为和垄断行为。“不正当竞争行为的产生，往往是由于市场上同行经营者数量众多，竞争激烈导致一些经营者采取道德低下的竞争手段，这是竞争过度的表现；而垄断行为的产生则在于市场竞争不足，由于某些经营者因其规模巨大而获得了单方面决定交易价格以及其他交易条件的地位或（不9互联网新型不正当竞争行为，涉及搜索引擎（竞价排名、robots（10201811一三恶其2011-2012QQ3603Q”事件是一起著名）（二） 国内互联网发展中的数据权利保护的法律效果”。11闫立东认为，“数据权并不是一项简单的权利，而是一13数据抓取之争。2016201614数据权属之争。2017巴巴旗下物流平台菜鸟裹裹与均指责对方试图获得超出自身业务必邮政局的协调下双方就数据争执进行了调和。15继顺丰菜鸟的数据之争后，2017年华为与腾讯微信数据争夺战中，腾讯指控华为荣耀Magic16个人信息保护之争。2015beforgotten）一般是指按照有关个人信息保护规则，网络用户有权要求搜索引擎服务提供商在搜索结果页面中删除自己名字或相关个人信息的权利。17也就是说，如果一个人想被世界遗忘，相关主182018机百度和百度浏览器这两款APP向南京市中级人民法院提起公益民事诉讼。19数据处理之争。201820数据垄断之争。2021QQ21这些数据纠纷反映了当前数据权利主要围绕着个人数据权和企401030200111条首次以一般性法律的方式确立了自然人的个人信息受法律保护的201220162014在公法层面，2017253201645201981113于制定国民经济和社会发展第十四个规划和二○三五年远景目标的保障个人信息权利，我国已经颁行电子商务法、网络安全等法律，正22二、国外数据权利保护的主要模式及相关案例（一） 统一立法的欧盟模式（GDPR）（（DataProtectionDirective,简称DPD）的DPD125日公布了《通用数据保护条例》（GeneralDataProtectionRegulation，简称GDPR）4GDPR2016484161995年的DPD2018年525GR由9条正文条款和3ril）GDPR行政罚款的一般条件等；(9)与特定处理情形相关的条款，包括为实DPD就条例特征而言，GDPR首先，GDPRGDPR）GDPRIP、浏览记录产生的数字轨迹并除此之外，假名化数据和匿名化数据的区分也是GDPR判定是否属于GDPR；匿名化处理的数据其次，围绕“个人数据”，GDPR从明确数据主体具有的权利、规GDPRGDPR规范数据处理、保护数据权利的屏障。值得注意的是，GDPR第三，GDPRGDPRGDPRGDPRGDPR辑出发，最终凝成了对于GDPRGDPRGDPR体系与技术的赞扬也很多见。例如，周汉华教授认为，GDPR在立法GDPRGDPRGDPR应看到除了欧盟以个人数据保护权作为规范基础，偏重正当性而忽视2020年12月15日，欧盟委员会公布了两项针对所有数字服务（ServiceAct）与《数字市场（DigitalMarketAct）23。200024。20006TwitterYouTube针对此种现象，欧盟委员会曾对谷歌、苹果、Facebook和亚马逊的竞25。两部法案旨在为大型在线平台提供一套在整个欧盟范围内都能26。27，其一大亮点是提出了“守门人”概4.510%29。3031而在线平台有义务采取基于防范风险的行动来对其风险管理系统进针对未来在数字服务提供过程中可能存在的风险，《数字服务法案》提案还规定了数据研究人员有权访问在线平台的某些关键数据，以了解在线风险是如何演变的，使平台在运营合规化、有序化的同时防患于未然。32，以规范市场（TheEuropeanEconomicArea）650服务平台在上一财政年度在欧盟建立或位于欧盟的月活跃终端用户4500133。34。国家当局组成的独立咨询小组）的支持下负责法案的执行，而如果5%35。（BrookingsInstitution）2016（GeneralDataProtectionRegulation，如GoogleFacebook36。例如此前欧盟委员会对谷歌搜索引擎优先显示自己的购物服务开出罚款37。（EuropeanDataProtectionSupervisor，（）38。EDPS针对《数字市场法案》提出的建议包括：（一）应明确规定“守门人”要为终端用户提供“知情同意选项”，且必须易于使用和访问。（二）明确数据可携性（dataportability）义务的范围，以确保与GDPR对个人数据的定义一致。（三）共享终端用户在“守门人”的门户进行免费和付费搜索的查询、点击和查看数据时，应进行有效的匿名化和再识别测试。（四）应明确在数字市场咨询委员会中留有来自欧洲数据保护委员会的代表席位，并与当局之间进行制度化合作39。2152741。201520192.02018条例》（GDPR），可视之为个人信息保护元年，20192020202142。何使得在线平台负有删除内容的责任与保护公民言论自由等基本权43。是否有利于实现欧盟单一数字市场的建立和数据主权地位的提升还2现大型平台逃离欧盟从而对欧盟数字经济发展造成负面后果等不良44。201852018违反透明性原则，用户无法轻易访问Google违反了为广告个性化处理提供法律依据的义务。首先，用Google作，打散在GoogleYoutube、GoogleGooglePlaystoreGoogle（预20）。其次，用户的“同意”既不是具体的也不是明确的。创但是，根据GDPR（例如勾选未预GoogleGDPRGoogleGDPR2019121信息不便、广告订制缺乏有效的自愿原则等问题，法国将对其处以500038（二）分散立法的美国模式（FAS,2019pp.7）45（FAS2019，pp.2）。GDPRRighttoFinancialPrivacyAct，RFPAFinancialServicesModernizationActof1999)保险领域：《健康保险隐私及责任法案》(TheHealthInsurancePortabilityandAccountabilityActof1996，HIPAA)CableCommunicationPolicyAct)，禁止闭路电视经营者在未获得用户事先同意情况下利用有线系统收集用户CableTVPrivacyActof1984)，将隐私权保护范围扩展到录像带销售或租赁公司的顾客；(4)电信领域：1996TelecommunicationAct)FairCreditReportingAct)，该法属于消费者保护童在线隐私权保护法案》(TheChildrensOnlinePrivacyProtection1346（（StoredCommunications（（theFederalTradeCommissionAct）482020106Facebook和各州对隐私和数据保护的主要由法院通过侵权法和合同法进行2018年加州消费者隐私法案通过后，多个州提出了类似的立法202127（TheCaliforniaConsumerPrivacyAct49GDPR（reasonability/appropriateness）（Stanfordworkingpaper,pp.28）50；同时，CCPAGDPR收集信息之前必须获得用户的明确同意（opt-inconsent）。GDPR意（pp.32）51CCPA（Stanfordworkingpaper,pp25.）2020（TheCaliforniaPrivacyRights152.《加州消费者隐私法案》《加州隐私权法案》法案由加利福尼亚州总检设立了全新的加州隐私实施察长办公室执行。保护署(CPPA)，赋予其充分CPPA委员会管理，对企业进行审查。适用范围适用于以下在加州开2500或以商业目的出售或分享5000050%或以上来自于销售消费者的个人信息。将CCPA10备从个人信息的来源中删除。法案个人与消费者或其家庭有将“敏感的个人信息”作为新的数据分类，并要求对此类信息同时实施进入与退出机制。进入/退出机制要求企业在网站上设置"不要出售我的个人信息"的链接，让消费者有权选择不出售和/或披露其个人增加了消费者退出自动决策的机制，如通过消费者的工作表现、经济状况、健康、个人偏好、兴趣、可靠息的其他使用方式。CCPA对“出售”的定义为针对所有消费者信息的价值交过其他跟踪技术获取的个15工作日内处理完成消费者的退出申请。性、行为、位置或行动进行的特征分析。加强了对于未成年人信息的保护。处罚方式罚金从非故意违规的25007500于儿童的个人信息违规行为与涉及成人个人信息的企业在接到不合规通知后30天内纠正任何不合规行者只有在非加密的个人信将涉及16岁以下消费者个人信息的违反《消费者不合规通知后的30天纠正期。扩大消费者隐私诉讼权的范围，包括涉及电子邮件账户凭证的违规行为。人诉讼。对数据收集/处理/存储的限制无只允许企业在“合理、必要、具有特定目的”的条件下收集、处理、使用、存储个人信息。表1.《加州消费者隐私法案》与《加州隐私权法案》比较（ActtoProtectthePrivacyofOnlineConsumerInformation2019）。该法适用于互联网信息服务提供商（AT&T）。法案中将消费者个人信息定义为：(a)关于客户的可识别个人身份的信息和(b置、财务和医疗信息、设备识别码、IP53内华达州修订法规603A（NevadaRevisedStatutesChapterFacebook20111129（FederalTradeCommission）FacebookFacebook在超出用户所建立的隐私设置外分享用户信息之前获得他们明确的知情同意。542012810和解。该和解协议要求Facebook552018317道，曝光脸书上5000万用户信息数据被一家名为“剑桥分析”（CambridgeAnalytica）的英国公司泄露。“剑桥分析”公司分析经受雇于美国总统唐纳德特朗普的竞选团队和推动英国脱离欧洲联盟公民投票的“脱欧”阵营。报道称，2014275000562018710CambridgeAnalytica经同意的情况下采集数百万人的信息而在英国遭到了最高额度的罚款——50万英镑。这是负责执行数据保护法的英国信息专员办公室（UKinformationcommissioner'soffice）57Facebook502012员会的命令，欺骗用户并控制其个人信息隐私的能力的指控负责。5820191030Facebook50联邦贸易委员会发布意见书，认定数据分析和咨询公司CambridgeAnalyticaFacebookEU.PvySedfmo。59根2019法修改2012FacebookTimothyJKelly20204233-22012更新的条款中包含了2019年的和解方案。60（三） 逐步发展的东亚模1.韩国保护法》(PersonalInformationProtectionAct2011,PIPA)《信息通信网利用促进及信息保护法》(theActonPromotionofInformationandCommunicationNetworkUtilizationandInformationProtection2001ICNAUseandProtectionofCreditInformationAct2009UPCIA)6120113152363202024PIPA2020852020（PIPC）642016466110护制定依据，新设信息跨境转移中断命令权与处罚规定。65个人数据：PIPA对个人数据有广泛的定义，即与活着的自然人相关的任何数据，这些数据（i）通过全名、居民注册号、图像或类（例或PIPA的制约。201118/族（“PIPA”）。数据控制者：PIPA将数据处理者定义为“公共机构、法人团体、组织、个人，他PIPA2.日本日本《个人信息保护法》66等“关联五法案”构成了个人信息保InstituteforPromotionofDigitalEconomyandCommunityJIPDEC）认证），通过认证的企业将获得相关标识（中国信通院2018pp.12-13）67。如DNA将日本国内的个人数据提供给日本境外第三方时原则上需要取GDPR201916869Benesse70函授教育服务商BenesseHoldings,Inc（以下简称Benesse）发生了由儿童及其父母的个人资料组成的约4,90020132014Benesse的关于异常数据传输活动的警报和控制从客户电脑向外部设备输出500201710232018620Benesse（Benesse500神损失仍不足以确定这部分的赔偿数额，因此驳回了受害者向Benesse20181227Androidduty）。然而，东京地方3,000日元（25）300（2）的律师费。与此同AndroidBenesseBenesse2020325司本应预计到其针对数据输出的管控措施对使用媒介传输协议的新Benesse司未能对子公司进行监督，同样违反了其注意义务，因此子公司和Benesse33005%三、国内数据权利保护及相关案例（一） 国内数据权利保护体系简介当前，以信息技术和数据资源作为关键要素的数字经济蓬勃发展，401030200人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、这里对个人信息的定义与GDPR（personal有者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别2012定收集、使用信息。”2016Cookies2014202010立了个人信息处理应遵循的原则，强调处理个人信息应当采用合法、在公法层面，2017253（201645目前，部门规章和地方条例较多关注的是个人信息保护和数据安20137162019410202012138AppAppApp20198120201228头等方式主动作出声明或者自主做出肯定性动作予以明确授权同意202127（（稿）3（20201110），可见我国强化平台经济（1）《指南》的主要内容2471：提出反垄断执法机构对平台经济开展反垄断监管应当坚持保护市场加剥离资产等结构性条件，也可以附加开放网络、数据或者平台等行为性条件，或者附加结构性条件和行为性条件相结合的综合性条件。（1）学界观点72需要进一步厘清数据的法律边界。数据跟传统工业经济时代的资74机构或者部门，因此既需要进行分工监管又需要形成监管的协同机制。75球面临的严格监管会不会成为美国平台企业塑造全球竞争力的新的来源。