数据驱动型并购中隐私损害的反垄断审查

引言

当下，人类社会已全面步入数字经济时代。作为数字经济时代最基础的生产要素之一，数据的重要性日益凸显，它深度影响甚至决定着企业，尤其是平台企业的竞争能力。在“数据为王”“得数据者得天下”的理念感召下，大型平台频繁发起以圈占数据为目的的并购活动。此类并购与传统并购不同，它具有十分鲜明的数据导向性，属于“数据驱动型并购（data-driven merger）”。并购目的与行为指向的特殊性塑造了数据驱动型并购独一无二的竞争面向。一方面，它有助于强化平台的创新能力，提高数字经济运行的效率；但另一方面，一些数据驱动型并购会弱化相关市场上的竞争，诱发隐私风险。隐私与反垄断这两个看似不相关的议题在数据驱动型并购场景下发生了紧密勾连。实践“逼迫”理论反思并激发更深层次的学术追问——在反垄断法的理论谱系中隐私是否有存在的空间？反垄断法能够消解数据驱动型并购引发的潜在隐私风险吗？倘若可以，反垄断法的效力边界又在哪里？目前，学界、实务界对于应否将隐私损害纳入对数据驱动型并购的反垄断审查仍存在很大分歧。肯定论者主张，隐私是一类重要的非价格竞争参数，因数据驱动型并购导致的隐私保护水平下降也构成对竞争的削弱，这属于反垄断法的调整范畴；审查隐私损害，防止平台在数据驱动型并购完成后限缩消费者选择隐私保护服务的范围与可能，有助于充分保障消费者的选择权。否定论者则认为，应当将隐私保护置于反垄断法之外，原因主要包括：保护隐私不符合反垄断法的立法目的；隐私损害难以评估与量化；隐私损害难以获得反垄断法上的救济；《个人信息保护法》《消费者权益保护法》等法律可以有效保护用户隐私，无需反垄断法介入；竞争在促进隐私保护方面具有局限性，“数据隐私很难作为反垄断法的重要分析因素”；考虑隐私保护问题将降低反垄断执法的确定性等。

本文尝试从理论上阐明反垄断法究竟能否用于解决数据驱动型并购场景下的隐私保护难题，又当如何防范、规制此类并购中的隐私风险。这一研究能在一定程度上纾解反垄断执法机构在处理数据驱动型并购案件时所遭遇的认知与行动上的困惑，也为立法改进提供一些有益借鉴。

一、数据驱动型并购中隐私损害反垄断审查的必要性证立

数据驱动型并购完成后，合并方凭借数据聚合形成的强大市场力量可能会侵害用户隐私。竞争弱化导致的隐私风险超出了既有隐私保护模式的管控范围，十分有必要依托反垄断法从保护竞争的向度出发强化对用户隐私的保护。

（一）既有模式对隐私的保护不周延

世界主要国家和地区对于强化个人隐私保护已经达成了普遍共识并逐渐形成了两大保护模式：“赋权模式”与“加责模式”。“赋权模式”以个人为中心，通过强有力地赋权来强化自然人对自身数据的管控，进而保障其数据自由与数据安全，如欧盟的《通用数据保护条例》（以下简称GDPR）第1条就旗帜鲜明地宣示，“本条例保护自然人的基本权利和自由，特别是个人数据保护权”。为实现这一目的，GDPR赋予了个人十分广泛的权利，包括便携权、被遗忘权以及删除权等。在美国，作为美国近年隐私保护领域的标志性立法成果，《加州消费者隐私法案》（CCPA）以隐私权为权利支点，借助知情权、选择权等权利设计来加强对消费者隐私的保护。我国《民法典》《个人信息保护法》《数据安全法》《消费者权益保护法》等法律在保护个人隐私方面也以“赋权模式”为基本逻辑。与“赋权模式”不同，“加责模式”将关注的重心转向了数据处理者，通过强化数据处理者的义务履行约束其行为，降低数据处理者侵害个人隐私的可能性，如《个人信息保护法》第5章规定了个人信息处理者的法定义务，其中第58条专门规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当履行的4项法定义务。《消费者权益保护法》也明确要求，经营者收集、使用消费者个人信息应当征得消费者同意。“赋权模式”与“加责模式”的共性在于，两者均立足于个人与数据处理者之间的关系，试图通过隐私相关权利与义务的精致建构来解决隐私保护问题。但既有保护模式亦存在明显不足，它在客观上无法为用户提供周延的隐私保护：

第一，无论是“赋权模式”还是“加责模式”，制度底座均建立在“个人——数据处理者（本文语境下的平台）”这对主体之上，而忽略了“平台——平台”这对关键主体。既有保护模式没有意识到平台与平台之间竞争弱化，平台面临的外在竞争约束变弱也可能会产生隐私损害，这意味着采用既有模式保护数据驱动型并购场景下的用户隐私存在“盲区”。

更进一步说，在既有保护模式下，《个人信息保护法》等法律只是规定了平台在隐私保护方面的基本义务，设定了最低要求，平台提供的隐私保护服务只要不低于法定基准线即为合法。如果将用户披露的个人数据理解为他在“免费”获取平台提供的商品（服务）时必须支付的对价，这一法定基准线相当于严格限定了平台可以对用户收取的最高价格。但在实践中，平台为收集更多的数据有动机也有能力在不违反《个人信息保护法》等法律的情况下提高用户支付的对价，降低隐私保护的力度与水平。反映在图1中即是，平台很可能会凭借数据驱动型并购积聚的市场力量推动隐私价格不断上涨（从竞争性隐私价格Pc上涨至垄断性隐私价格Pm）。隐私价格上涨意味着隐私保护水平下降，但只要平台对商品（服务）的定价不超过《个人信息保护法》及相关法律设定的最高隐私价格（Pdata protection），《个人信息保护法》及相关法律就无法介入。这就导致从Pm到Pdata protection这段区间，隐私保护存在着法律管控上的真空。反垄断法能够阻止合并方借助垄断力量过度收集用户数据，有效遏制合并方推高隐私价格。

第二，既有保护模式的一些关键制度设计存在失灵风险。以“知情——同意”为例，实践中当用户下载一款App或者使用一款移动设备时，在正式进入应用界面之前，他通常会收到诸如隐私声明之类的提示，用户只有在勾选“同意”选项后才能继续使用App或相关商品（服务）。在既有保护模式下，立法者将实践场景预设为：用户认真阅读了隐私声明，了解了该声明的法律含意，知悉隐私风险并仔细权衡，最后一步再点击“同意”或者“退出”的按钮。但现实情景与立法预设截然不同，通常情况下用户很少仔细阅读App、网站等事先披露的隐私声明。对用户而言，这些隐私声明专业、冗长、晦涩，往往无法满足用户对隐私保护的期待。它们也为平台冲破《个人信息保护法》确立的“单独同意”规则的拘束，通过一揽子授权的方式收集用户数据创造了条件。另外，单个用户根本不具备与平台平等协商隐私保护规则的能力。用户可以点击“退出”，只是他将无法再使用相关商品（服务），当用户面对的是具有市场支配地位的大型平台时结果更是如此。

综上，既有隐私保护模式存在重度失灵风险。它无力顾及数据驱动型并购中隐私风险规制的另一关键向度——竞争向度，无法有效应对因平台间竞争约束变弱导致的隐私风险。鉴此，从促进平台竞争的向度出发，在既有保护模式之外另辟用户隐私的反垄断法保护模式以形成对用户隐私的体系性保护甚为必要。

（二）隐私保护是平台非价格竞争的重要维度

数字经济时代平台的竞争策略可以分为两类：一类是价格竞争，即在不降低商品（服务）质量的前提下以更低的价格谋求更多的交易机会；还有一类是非价格竞争，它指的是平台在商品（服务）的质量、创新等层面展开竞争，隐私保护即为非价格竞争的一个重要维度。日本公正交易委员会（JFTC）指出，“对于提供‘免费’商品（服务）的平台而言，隐私保护构成一个重要的竞争工具。在某些情形下，隐私保护水平可被视为商品（服务）质量的一个考量要素，并且降低隐私保护水平具有损害竞争的效果。因此，十分有必要将隐私保护作为合并审查过程的一部分展开分析。”加拿大竞争局发布的《大数据与创新：加拿大竞争政策的关键主题》报告也指出，“质量竞争是非价格竞争的主要表现形式，在一些情形下，用户可能将隐私视为商品质量的一个重要方面，这使得隐私保护可以成为经营者之间展开竞争的一个相关维度。尽管有其他执法机关承担隐私保护的职责，但这不会妨碍反垄断执法机构在并购案件中处理这一问题。”实践中，很多大型平台围绕产品隐私性能展开竞争。在Facebook斥巨资收购Whatsapp之前，两家平台为用户提供不同强度的隐私保护服务。Facebook“免费”向用户提供短信应用服务，但会收集用户数据定向投放广告赚取广告收益。Whatsapp向某些使用其短信应用的用户收取一小笔的订阅费，但不收集用户个人数据也不向广告主销售广告空间。Whatsapp服务的隐私性能更好并由此对Facebook形成了巨大的竞争威胁。综上，隐私保护构成平台非价格竞争的重要维度，数据驱动型并购完成后，相关市场竞争状况的变化可能会对用户隐私保护产生负面影响。借助反垄断法保护用户隐私具有必要性与正当性。

（三）隐私是消费者权益的重要内容构成

无论在工业经济时代还是在数字经济时代，维护消费者（用户）的合法权益始终是反垄断法持守的核心价值追求之一。数字经济时代，平台奉行“免费”的商业模式，价格对消费者的吸引力变弱甚至为零，消费者更关注商品（服务）的质量，相当一部分消费者对数字商品（服务）抱有较高的隐私期待。有调查发现，绝大多数Facebook用户不希望受到任何定向政治、商业广告的烦扰，“消费者对建立在监视基础之上的广告和内容推送总是斩钉截铁地拒绝。”如果平台提供隐私保护更好的商品（服务），他们甚至愿意支付一定的费用。不可否认，隐私保护已经成为了消费者选择商品（服务）时的核心关切，隐私保护是消费者保护的重要方面。反垄断法在隐私保护事项上不应缺席。

二、启动隐私损害反垄断审查的三要件

在数据驱动型并购中，反垄断法是保护用户隐私的有效制度安排。但这并不意味着，个案一旦涉及隐私就自动落入反垄断法的规制射程。在个案中启动对隐私损害的反垄断审查必须满足一定的条件。

（一）合并各方围绕隐私保护展开竞争

“只有当充分、有力的证据表明，合并各方在隐私保护这一点上相互竞争时才应当在合并控制中考虑隐私问题。”倘若合并关涉的是与竞争无关的纯粹隐私事项，则并购中的隐私争议只能交由《个人信息保护法》《消费者权益保护法》等法律解决。反垄断法应当退而让之，保持理性与谦抑。伊斯特布鲁克提出的“错误成本”理论表明，扩张性的反垄断法容易使反垄断执法机构陷入误判，致使其过度执法，这会对竞争秩序造成难以修复的损害。反之，当隐私与竞争交织缠绕时，反垄断执法机构就不应再踟蹰不前，否则，很可能会滑向另一极端，陷入漏判，诱发执法不足甚至执法缺位。近年，联邦贸易委员会、欧委会在一系列数据驱动型并购案件中的疲弱执法表现表明，反垄断执法机构似乎更容易陷入“消极错误”。在Google/DoubleClick合并案中，尽管该项合并牵涉隐私且与竞争紧密相关，但联邦贸易委员会自始至终都拒绝审查。它认为，“对并购进行反垄断审查的唯一目的是识别和阻止可能损害竞争的交易，委员会缺乏相应的法律授权对隐私这一与反垄断无关的因素进行审查和救济，而且，对一家企业的隐私政策进行管制，这本身就可能严重损害这个庞大且飞速发展的行业的竞争。”当Google向欧委会申报并购DoubleClick时，欧委会也表达了类似的态度。在之后的Facebook/WhatsApp合并案中，即便欧委会已经意识到隐私保护是合并双方角力的重要场域，但它依然固执地认为合并审查只应当分析竞争问题，该项合并使Facebook在数据市场上的控制力量增强以至于引发隐私关注，但这并不属于欧盟竞争法的管辖范围，而应由欧盟数据保护法律进行调整。这一消极甚至略带偏执的反垄断执法理念一直延续到Microsoft/LinkedIn合并案才发生了一些转变。在该案中，欧委会指出，“隐私保护也许是一个重要的竞争参数，在合并之前，XING等职业社交网络运营商在隐私保护方面的做法优于LinkedIn，通过实施封锁策略Microsoft可以排挤其他职业社交网络服务领域的竞争对手，从而限制消费者选择更好隐私保护服务的权利”。过度扩张与裹足不前的反垄断执法思路均不足取。在隐私保护论题下，准确适用反垄断法律与政策的关键仍在于厘清隐私保护与竞争之间的关系。通常，隐私保护与竞争之间界限明显，但在特定情形下两者也会发生交集，反垄断法能调整的只是与竞争相交的隐私问题。就本文论及的数据驱动型并购而言，只有当合并前合并各方或者合并方与竞争对手在隐私保护上“讨好”用户相互争胜时，反垄断法才有适用的空间与可能。反垄断法逾越保护竞争的边界擅入隐私保护领地将会不可避免地发生偏移并很可能在偏移中逐渐迷失自我。

（二）合并后隐私保护水平可能下降

在以数据为对价换取商品（服务）的交易模式中，数据控制与数据使用之间始终存在矛盾。一方面，用户对隐私安全越来越重视，尽管不同用户对隐私保护的偏好不同，但很少有用户愿意在网络上“裸奔”。对用户而言，隐私友好型的商品（服务）质量更高；而另一方面，平台则是绞尽脑汁地想从用户那里多收集一些数据用以“喂养”算法，不断改进商品（服务）的性能，提高广告投放的精准度，赚取更多收益。平台与用户之间的持续博弈深度影响着隐私保护水平。当把竞争这一变量引入博弈关系后情况将变得更为复杂。合并完成后，相关市场竞争格局的变动会催生三种可能的结果“隐私保护水平提高”“保护力度不变”以及“隐私保护水平降低”。详言之，若合并完成后竞争对手在隐私保护方面能够对合并方形成较强的外在竞争约束，合并方为赢得更多的交易机会，增强用户粘性，通常具有提高隐私保护强度的激励，至少不会降低隐私保护水平。外部竞争驱动隐私保护激励只是最理想的一类情形。如果合并之后市场竞争弱化，隐私保护水平下降将是大概率事件。这方面最典型的例子是，欧委会批准Facebook并购WhatsApp后的第二年，WhatsApp突然改变了隐私政策和服务条款，允许用户的电话号码与其Facebook的账号相互关联。综上，保护数据驱动型并购场景下的用户隐私必须坚持结果导向，只有并购可能导致隐私保护水平降低的结果时，反垄断执法机构才需要祭出《反垄断法》这柄利剑。若合并方提供的隐私保护与合并前无异又或者加大了保护力度，隐私损害并未发生，反垄断法自无干预之必要。

（三）隐私保护水平下降与竞争弱化之间存在因果关系

数字经济时代，由于数据技术与数据行为的复杂性，用户隐私保护水平的下降可能是多种原因造成的，属于典型的“一果多因”，如在算力与算法的共同作用下，有时即便是单纯的数据聚合也可能会诱发隐私风险。这是因为，算法、算力、数据的深度交互显著增强了平台的画像能力，虽然法律可以强制要求平台运用技术手段对个人敏感信息进行匿名化处理，但当平台能够在更大范围上持续获取海量数据时，它很可能将原来没有直接联系的数据关联起来。算法挖掘出的各类信息片段相互交叉、重组与印证可以重新识别出匿名后的个人敏感信息。哈佛大学的一项研究就表明，在获取自然人的年龄、性别以及住址邮编之后，运用算法将这三类数据与已公开的数据库进行交叉比对能够准确识别出大约87％的自然人的身份。数据驱动型并购完成后，合并方掌握了更大体量、更多种类的数据，借助强大的算力与先进的算法，合并方有可能会冲破匿名化技术等隐私保护屏障，实现对用户的精准锁定，进而引发隐私风险。应当明确，这类隐私问题并不属于反垄断法的调整范围，只有当合并行为贬损了市场竞争，竞争弱化的负面效应传导至隐私保护上并降低了隐私保护水平时用户才能寻求反垄断法的庇护。

三、数据驱动型并购中隐私损害的评估

数据驱动型并购导致的隐私损害是一类新型的竞争损害，而隐私损害主观色彩强，不同用户对隐私保护的偏好差异较大，损害难以被精准描述。尽管隐私损害不易识别是事实，但它并非完全不能识别，从定性、定量两个维度出发可以准确探知、测度隐私损害。

（一）隐私损害的定性评估

在个案中，隐私损害定性评估的总体思路是，基于事实和证据合理推测合并后合并方将施行的隐私政策并将之与合并前的隐私政策对比，如果发生以下变化则意味着数据驱动型并购行为很可能会导致隐私损害。

1.合并后合并方可能会不经用户同意收集数据或者向第三方提供数据

一般而言，数据驱动型并购会引发市场竞争格局剧烈变动，合并方在相关市场上的力量显著增强，鲜有竞争对手能与之抗衡。外在竞争约束变小，单边效应与非单边效应的恶性就会显现，合并方可能会降级用户隐私保护政策，虚置“同意”这一程序要求侵害用户隐私，如平台可能会在尚未征得用户同意的情况下径直收集用户数据或者打开收集数据的权限，又或者以默认勾选同意隐私政策等非明示方式征求用户同意。更有甚者，在用户明确表示不同意后，平台仍可能会在产品运行过程中收集其个人数据或者打开收集数据的权限。此外，在数据传输至App后台服务器后，平台也可能在未经用户同意也未做匿名化处理的情况下向第三方提供其收集的个人数据。毫无疑问，大型平台凭借市场力量，未经用户同意径直收集数据或者向第三方提供数据侵犯了用户隐私。若数据驱动型并购发生后可能发生上述情形，可以推定隐私损害存在。

2.合并后合并方可能会过度收集用户的个人数据

“经营者对个人数据的过度收集是导致隐私质量下降的重要原因之一。”平台为保障商品（服务）的正常供给可以收集用户的个人数据，但数据收集活动应当合法合理，必须严格遵循最小范围原则，不得超过必要限度。对此，GDPR规定：“数据控制者收集和处理的个人数据之于其处理目的，应当准确、相关和必要。”在中国法下，《数据安全法》《个人信息保护法》也都确立了数据收集的最小范围原则。《数据安全法》规定：“法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。”《个人信息保护法》第6条则明确要求，个人信息处理者收集个人信息应当限于实现处理目的的最小范围。数据驱动型并购发生后，合并方过度收集用户数据的动机与能力都会增强，它很有可能会超出用户授权范围收集数据或者以超出产品功能实际需要的频度收集用户数据，这也是对用户隐私的严重侵害。个案中如果反垄断执法机构基于证据材料（合并方管理层作出并购决议时的内部文件、管理层向股东及资本市场提交的关于合并后业绩预测的声明等）查明，合并后合并方很可能会过度收集用户的个人数据，则可以初步确认该项数据驱动型并购将引发隐私损害。

3.合并后用户失去对个人数据的控制或控制的难度加大

“数据控制”与“隐私保护”之间存在十分紧密的逻辑关联，强化用户对自身数据的控制是隐私保护的核心范畴。事实上，一些长期关注数据、竞争与隐私保护议题的国际组织往往从数据控制这一关键点出发来阐释隐私的内涵并揭示两者间的互动关系，如经合组织（OECD）在2018年发布的“零价经济中的质量考量”竞争政策论坛背景报告中就提出，“作为质量维度的隐私大致指的是，用户对其个人数据能否被收集以及被收集的数量、范围与频率等能够进行控制；对数据如何被收集方以及授予访问权的第三方使用能够进行控制；对如何防止未经授权的或者不当的数据使用能够进行控制。”依循这一逻辑，如果合并后由于外在竞争约束变弱平台故意制造障碍削弱用户对自身数据的控制，如限制用户行使“便携权”致使用户无法或者难以将数据从原数据控制者迁移至其他数据控制者，这就很可能会招致隐私损害。有学者在深入分析Facebook/WhatsApp合并案与Microsoft/LinkedIn合并案后也指出，“经营者对用户控制其数据和作出决定的能力施加负面影响的行为会导致隐私保护水平下降。”如果反垄断执法机构查明，合并完成之后合并方很可能会设置法律、技术或财务障碍阻止用户访问、传输、重新使用相关数据，诸如要求支付费用，提供缺乏互操作性的数据，采取超过必要限度的认证要求等则可以确认隐私损害将会发生。

4.合并后用户个人数据的保密性降低

在隐私保护法律关系中，保障用户个人数据安全是平台的一项基本义务，它一般以书面、明示的方式载于平台与用户签订的隐私保护协议中，如支付宝App发布的《支付宝隐私政策》（2023年1月14日生效）就载明：“我们承诺我们将使信息安全保护达到业界领先的安全水平。为保障您的信息安全，我们致力于使用各种安全技术及配套的管理体系来尽量降低您的信息被泄露、毁损、误用、非授权访问、非授权披露和更改的风险。”为切实履行数据保护义务，大型平台应采取严格的保密技术与措施，保障数据在收集、存储、使用以及传输等各个运行环节的安全。数据驱动型并购完成后，合并方获得了打破竞争均衡与外部竞争约束的市场力量，它可能会怠于保障用户数据安全，降低对用户个人数据的保密力度，如不再持续性地投入资金、技术人员去研发、升级保密技术与设备，甚至径直放弃对一些数据的保密努力等。因竞争弱化平台怠于或者不履行保密义务致使用户个人数据保密性降低也是隐私损害的重要表现。

（二）隐私损害的定量评估

较之定性评估，定量评估侧重于运用经济学的模型和方法对隐私损害进行测算。实践中，反垄断执法机构、法院似乎更认可对并购行为竞争效果的定量评估结论。执法官员、法官都在追求确切性，“如果在竞争效果上存在争议，他们想知道涉案行为到底会对市场竞争造成怎样的影响。慢慢地，为了说服法院相信一起并购将具有损害竞争的效果，我们感觉有必要尽可能加以量化。于是，在调查和案件准备的过程中，我们开始询问自己的经济学家和当事人，哪些并购效果可以量化，我们该如何尽可能地做到这一点。”近年，一些经济学家开始立足“隐私计算（privacy calculus）”这一关键概念，运用“联合分析方法（conjoint analysis）”确定用户愿意为隐私保护支付的费用，进而对隐私损害进行量化。下文在既有成果的基础上尝试以Facebook/Whatsapp合并案为样本，运用“联合分析方法”对隐私损害展开定量评估。

1.确定商品（服务）的属性与属性水平

在正式开始联合分析之前，反垄断执法机构需确定涉案商品（服务）的属性，包括价格属性与非价格属性。以Facebook/WhatsApp合并案为例，反垄断执法机构需要调查用户在选择通讯应用程序时会重点关注程序的哪些属性。假定经过调查发现，用户对程序的价格、功能以及隐私保护等7个方面的属性（每一属性还包含若干个子属性）尤为关注，具体如表1所示，则后续的联合分析就将紧密围绕这些属性展开。

2.生成模拟通讯应用程序

反垄断执法机构可运用正交设计方法对表1所列7大属性项下的22个子属性进行排列组合，一共可以生成2×4×2×6×2×3×3＝1728款模拟通讯应用程序。在这1700余款应用程序中，有些程序的属性组合不具有合理性甚至严重偏离商业实践。比如，通常情况下，付费通讯应用程序对用户隐私的保护力度会更强一些。实践中，很少有一款付费通讯应用程序会要求用户在注册或使用时披露其全部个人数据。因此，如果生成的模拟程序中同时包含“付费”“披露全部数据”这两个子属性，这些模拟程序将被识别为不合理。反垄断执法机构应将不合理的模拟应用程序剔除并最终筛选出12-20款贴合商业实践的模拟通讯应用程序用作下一步分析。

3.设计问卷

假定反垄断执法机构最终选定了16款模拟应用程序。它可以借助SPSS软件一次性生成、打印16张卡片，每一张卡片对应一款模拟应用程序且卡片上清晰地印有该款程序的具体属性。之后，反垄断执法机构需要设计面向用户的调查问卷，问卷最核心的部分（作答要求）可按照如下方式给出，“您将看到16张卡片（卡号1-16）。每一张卡片上都印有一款通讯应用程序，任意两张卡片上的应用程序都不相同，请您根据自身购买（使用）的可能性/偏好程度对这16款应用程序分别打分。最不可能购买（使用）的应用程序打1分，最有可能购买（使用）的应用程序打16分，任意两款应用程序的打分不得相同”。然后，请500-1000名用户对16款应用程序依次打分并排名。

4.计算属性的重要性值以及每个子属性的效用

在SPSS中创建两份文件，一份包含16款模拟通讯应用程序，另一份包含打分数据，运行“Conjoint Analysis”程序就可以得到通讯应用程序7个属性各自的“重要性值”（Importance Values），重要性值越大，表示用户对这一属性越看重。此外，每一属性项下的不同子属性的效用值也会被一并计算出来，以隐私属性为例，联合分析可以获得“不披露个人信息”“披露基本信息”以及“披露全部信息”这三个隐私子属性各自的效用值。借助SPSS运行结果，反垄断执法机构可以清楚地观察到用户更偏爱具有哪一隐私子属性的应用程序以及隐私子属性变动时效用值的增减情况。基于此，反垄断执法机构就可以预测数据驱动型并购完成后，平台调整隐私保护政策（对应的就是隐私子属性的变动）对用户的影响，进而判断并购是否会产生隐私损害。

定性评估与定量评估各有侧重，前者重经验观察，后者重调查与数据统计。方法本身并无优劣之分，根据案情选择妥当的方法才最为关键。在个案中，如果反垄断执法机构、法院面临着“数据有限困境”且难以逾越时完全可以转向定性评估。在经济学、法学等社会科学日益崇尚量化研究方法的当下，定性分析的作用依然不容小觑。当然，最理想的情形莫过于定性评估与定量评估能够紧密联动，相互印证。就数据驱动型并购中隐私损害的评估而言，反垄断执法机构应当审慎预见隐私政策的可能变化并运用量化方法合理推算合并后是否会发生隐私损害。

四、隐私损害的反垄断救济

对于数据驱动型并购可能引发的隐私损害，反垄断执法机构应当着力解决的关键问题是，如何选择较为妥适的救济措施，这决定了用户隐私保护的目标能否充分实现。

（一）隐私损害救济措施的选择

就数据驱动型并购中隐私损害的救济而言，行为救济是比结构救济更为适配的救济措施。

第一，结构救济面向的是市场结构，它是产业组织理论指引下的一类救济模式，以静态的、结构的分析范式为基础。在传统市场上，市场结构与市场力量之间存在很强的对应关系，高集中的市场结构往往意味着垄断力量的存在。因此，从结构出发，通过剥离合并方的资产、业务快速恢复竞争性的市场结构能够有效消弭并购行为引发的潜在竞争损害。然而，一旦场景切换至数字市场，情况就会发生根本变化。数字市场具有突出的网络效应，很多细分市场的市场集中度都比较高，寡头垄断成了“新常态，但这种寡头垄断状态在创新的强力冲击下并不如传统寡占那般稳定，结构性指标与市场力量之间的相关性有所减弱。数字市场中的竞争是动态的、跨界的，它主要指向的是竞争过程。因此，竞争行为比市场结构更值得被关注。在数据驱动型并购的语境下，关注合并方动态的数据行为比关注静态的结构更能感知、预判市场竞争状况的变化，从数据行为入手比从市场结构入手更有助于恢复相关市场上的竞争。

第二，结构救济“毕其功于一役”，一旦执行便不能再回复或者调整。这意味着它无法灵活应对救济实施过程中的变化。相比之下，行为救济不仅能够及时、有效地应对救济执行过程中合并方违反决定滥用数据力量的情形还能够根据相关市场竞争状况的变化而动态调整救济措施，更为灵活与高效。

第三，针对数据驱动型并购中的隐私损害，若反垄断执法机构选择结构救济方案，剥离对象的选定将十分困难。要求合并方将数据资产与业务剥离出去，合并方大概率会最终放弃拟议交易。如果选择其他剥离对象，可能又会远离隐私损害发生的“现场”，无法有效回应相关市场的隐私风险与竞争关切。

（二）救济的具体展开

近年，美国、欧盟等世界主要国家和地区的反垄断执法机构、法院已经开始在Microsoft/LinkedIn合并案、Google/Fitbit合并案等案件中运用行为救济措施消除数据驱动型并购中的潜在隐私损害。他山之石可用于铺就本土中国的隐私损害反垄断救济之路。

第一，禁止合并方实施排他性预装程序等行为。在个案中有针对性地对合并方施加禁止性的行为约束可有效降低用户隐私被侵害的风险。在Microsoft/LinkedIn合并案中，欧委会审查了Microsoft提交的申报材料与内部文件，认为合并后Microsoft可能会将其在电脑操作系统市场和办公软件市场上的力量传导至职业社交网络服务市场，通过要求代工厂预先将LinkedIn的应用程序安装在Windows操作系统中或者预先将LinkedIn的应用程序集成到Office办公软件中来封锁LinkedIn的竞争对手，排挤XING等为用户提供更优隐私保护服务的职业社交网络运营商。于是，欧委会在批准该项并购时附加了限制性条件，要求Microsoft不得实施排他性预先安装行为。此举保证了XING等不会被驱逐出市场，能够继续以隐私保护为卖点与合并方竞争，逼迫合并方关注自身商品（服务）的隐私性能，而这对于提升职业社交服务市场的隐私保护水平，保障求职者隐私安全大有裨益。

第二，要求合并方承诺不改变隐私政策等。日本公正交易委员会指出，“如果发现涉及数据聚集的并购有可能降低用户隐私保护水平则可以对该并购实施行为救济，如要求参与合并的各方承诺不改变隐私政策以防止合并方通过这种方式来建立或者增强市场力量。”对Facebook/WhatsApp合并案执法效果的事后评估表明，若欧委会在批准此项合并时要求合并方承诺不改变隐私政策，阻止WhatsApp链接Facebook账户，使两者无法共享用户数据则隐私损害很可能不会发生。除了不改变隐私政策，还可以设置其他承诺义务。在Google/Fitbit合并案中，欧委会要求Google承诺不将Fitbit收集到的健康数据用于广告业务，允许欧盟的用户拒绝Google读取其健康数据的相关服务，承诺期为10年。适用承诺类救济措施时，反垄断执法机构、法院一定要紧密围绕潜在隐私损害来设计承诺的具体事项，确保承诺事项“击中要害”。除内容要求外，由于承诺类救济措施偏于柔性，依赖合并方的自觉履行，为强化救济效果，反垄断执法机构还应当强化程序要求，可以书面形式详细载明合并方履行承诺的期限、方式、效果以及监督检查等事项并可视情设立监督机构，确保反垄断执法机构、监督机构能够及时核查承诺的履行情况，防止合并方“诺而不行”。

第三，要求合并方开放API（应用程序编程接口），保证互操作性。数据驱动型并购发生后，合并方可能会通过关闭API以及降低互操作性等方式打压竞争对手，弱化市场竞争，这为合并方滥用数据力量侵害用户隐私创造了关键条件。对此，反垄断执法机构可以要求合并方开放API，保证互操作性，以此来强化相关市场上的竞争。2019年，Google申报并购Fitbit，欧委会审查认为，Google很有可能在并购完成后利用Fitbit的健康数据增强自身广告业务，拒绝竞争对手通过API访问Fitbit的健康数据以及通过降低其他可穿戴设备与安卓系统互操作性的方式使竞争对手处于不利地位。为预防竞争弱化可能导致的隐私损害，欧委会要求Google在10年内确保第三方可以通过Fitbit的web API访问其健康数据并保证安卓系统对其他第三方穿戴设备提供支持。在Microsoft/LinkedIn合并案中，欧委会为避免隐私损害发生也要求Microsoft持续开放Office应用程序的编程接口。

结论

作为全球最重要的数字市场之一，中国近年频繁上演数据驱动型并购的本土故事。数据驱动型并购在推动数字经济高质量发展的同时也衍生了巨大的隐私风险。当下，学界、实务界在探寻数据驱动型并购场景下用户隐私保护的方案时存在较为明显的路径依赖，理论研讨的方向与制度建构的重心局限于“赋予用户数据权利”与“强化平台数据义务”这两个传统的隐私保护模式。大型平台发起数据驱动型并购所导致的市场竞争弱化是隐私风险发生的新型诱因，对此，既有隐私保护模式不能有效应对。只有引入反垄断法合力规制，才能形成对用户隐私的体系性防护。反垄断法秉持保护市场竞争的理念与精神，通过强化大型平台之间的竞争约束来加强对用户隐私的保护。它与既有隐私保护模式的侧重不同，不拘泥于“平台——用户”这一单向维度，更关注平台之间的竞争是否充分及其对用户隐私的影响，拓展了隐私保护的范围，提升了隐私保护的强度。

数字经济时代用户的隐私保护是一个横跨公私法域、利益牵连甚广的重大理论与实践命题。本文的探讨只是聚焦于数据驱动型并购行为并从反垄断法的角度掀开了面纱一角。未来学界、实务界对数字经济时代用户隐私保护的理论探讨与制度建构仍将持续展开。