就美国司法部(DOJ)起诉Google的反托拉斯案件,哥伦比亚特区地方法院于2024年8月做成裁决,认定Google在一般搜寻服务及搜寻广告市场非法维持垄断地位,违反《休曼法》第2条[1]。司法部旋即向法院提出有关矫正措施(remedies)的最终裁决建议,又于今(2025)年3月提交修正建议(Revised Proposed Final Judgment, RPFJ)。其中,司法部建议法院应命Google就特定部分的搜寻索引(Search Index)、广告数据(Ad data)及客户端数据(User-Side data)等数据,与「合格竞争者」(Qualified Competitors)共享[2]。
美国联邦贸易委员会(FTC)提出「法庭之友意见书」
司法部以资料共享(data sharing)作为矫正措施的主张,在美国引发不少负面的评论,批判的其中一个理由,就是共享的结果可能造成极大的隐私风险[3]。本案有关矫正措施的法庭公开审理程序已于2025年5月9日结束,就在当天,美国联邦贸易委员会(Federal Trade Commission, FTC)向法院提出「法庭之友意见书(Amicus Curiae Brief)」,表达对司法部所提建议的看法[4]。
FTC的机关职权及其向法院提出意见的适格性
FTC与司法部并列为美国反托拉斯法的两大执法机关,FTC负责《联邦贸易委员会法》(FTC Act)的执行,该法第5条禁止事业采取「商业上或影响商业之不公平竞争方法(unfair methods of competition),以及不公平或欺罔的行为 (unfair or deceptive acts or practices)」[5],该条的立法目的之一,在关切受到不公平交易手段损害的消费者,将消费者的利益纳入保护。在执行的实践上,FTC将事业侵害消费者信息隐私及未善尽数据安全责任的行为,视为不公平或欺罔的行为态样之一,FTC有权介入管辖[6]。除了该条之外,FTC还依据美国《金融服务业现代化法》〈隐私规则〉(Gramm-Leach-Bliley (GLB) Act’s Privacy Rule)、《儿童在线隐私保护法》(Children’s Online Privacy Protection Act, COPPA)、《健康违规通知规则》(Health Breach Notification Rule,HBNR),以及《公平信用报告法》(Fair Credit Reporting Act)等特定部门的规范,享有广泛保护消费者隐私及数据安全的执行权力。
作为美国隐私保护法规的主要执法机关,FTC在过去三十多年里,已处理逾二百件与隐私及资安有关的案例[7],因此涉及消费者数据及隐私保护的重大案件,与FTC的职责履行密切相关。再加上FTC对于这类违法案件应如何拟定适合的矫正措施,有长期而丰富的经验,故适合就本案提出专业意见[8]。
FTC支持司法部以资料共享作为矫正措施的理由
FTC认为司法部所提的资料共享建议,将有助于打开市场、恢复竞争,符合反托拉斯案件矫正措施的目的,其主要论点包括:第一,司法部建议的数据共享实施方式,与FTC过去在类似案件中设定的条款一致,足以使隐私与数据安全受到充分的保障。例如为确保Google履行其隐私保护矫正措施,应由专家组成「技术委员会」(Technical Committee, TC),作为公正第三方的监督者;「技术委员会」的成员必须完全独立于Google及其竞争者,不能有利益冲突的情况。尤其是,「技术委员会」将与Google咨商讨论,确定Google在分享任何用户数据前,已适当地履行其隐私及数据安全的防卫措施。另一方面,将接受Google用户数据的合格竞争者,也必须接受「技术委员会」的定期稽查,这是成为合格竞争者的条件之一。此外,司法部要求在「技术委员会」的监督及咨商下,允许Google采取适合且能发挥功能的匿名化及隐私增强技术(PETs),使得在产品与服务的整个生命周期中,消费者隐私都能受到保护,这也是FTC过去多年实务上逐渐发展而成并已为企业界熟知的作法。
第二,Google过往在隐私保护的违失甚多,例如2011年Google 推出社群媒体Buzz (目前已退出市场)时,因从事不公平及欺罔行为而遭FTC调查处分,而当时Google为和解所做的隐私保护承诺,以及接受独立第三方每两年一次的检查,将持续二十年,直至2031年为止。但在该同意命令生效的次年,Google即违反命令,对Apple浏览器Safari的使用者不实宣称它不会追踪Cookie,为此 Google支付了2250万美元的民事裁罚。2019年Google与YouTube又因搜集儿童个资未经父母同意,共同违反儿童在线隐私保护法。过去的违规案例凸显了由第三方监督Google的必要性,且即使面对科技巨擘如Google者,也不能推定它相对于其他事业,有较优越的隐私及数据安全能力。换言之,将Google用户数据与受监督的合格第三者共享,不一定会增加隐私侵害的风险。
第三,竞争带来的好处除了表现在价格之外,还包括产品多样性、质量、创新等多个面向。但是被垄断的市场因缺乏竞争,将妨碍独占厂商从事包括以隐私为衡量指针在内的质量竞争。由于Google 在一般搜寻服务及搜寻广告市场的垄断地位,已经使它不必考虑以保护隐私来争取使用者,无论Google的隐私政策或保护水平如何,使用者几乎没有选择的余地,只能接受Google的做法。因此司法部要求Google分享特定部分的搜寻索引,将创造诱因促使Google及其他市场参与者,从事隐私及数据保护方面的竞争,进而提升整体市场的质量保障。
以隐私保护作为质量竞争内涵的国际趋势值得关注
美国两大竞争主管机关司法部与FTC同声一气,共同支持对Google 这类长期具独占地位的事业,以资料共享作为矫正违法垄断的措施,且共享过程中,Google必须落实隐私及数据保护的要求并受到严密监管,实现以隐私保护为内涵的质量竞争。司法部及FTC有相同的政策思考脉络,显示美国无论是限制竞争或不公平竞争领域,在已经高度集中的数字市场执行竞争法,隐私与数据保护已经是必须考虑的竞争因素之一,由FTC就本案提出的法庭之友意见可以获得确认。
与大西洋彼岸的欧盟比较,在法规设计上,欧盟是以GDPR为基础,配合数字市场法(DMA)、数据治理法(DGA)、资料法(DA)等事前管制规范,在欧盟建立以个资及隐私保护为前提的数据流通及共享机制;并在此大环境下,辅以事后管制的竞争法执行。
关于德国卡特尔署是否可以Meta (Facebook) 违法处理个资、违反GDPR为由,进而认定其违反德国限制竞争防止法的争议,2023年欧盟法院做出指标性裁决。欧盟法院指出,竞争机关在执法过程中分析事业的行为是否符合GDPR规范,如果这是判断事业是否滥用支配力的重要依据,例如个资对Facebook的商业模式是关键竞争参数,但在认定Meta (Facebook) 是否违法滥用市场力时,却禁止竞争机关判断Meta (Facebook) 处理个资是否与GDPR相符,便形同无视于数字经济的现实,削弱执行欧盟竞争法的效力[9]。因此德国卡特尔署的做法与欧盟法并无不合,事实上欧盟也没有任何法律禁止竞争机关这样做;换言之,竞争机关的确可以将个资保护作为进行反竞争评估时的考虑因素。同时欧盟法院在本案裁决中也明确指出,竞争与隐私保护分属不同的领域,主管机关各有其执法的依据与原则,但是在数字经济时代,竞争主管机关与个资保护机关必须合作,而且在某些案件情境下,合作是强制性的而非选项!欧盟法院的教示,对于在组织体制上同属竞争机关与个资保护机关分离的我国,别具启发作用。
综合以上分析可以肯定,美、欧两大竞争法主要国家已将隐私及资料安全视为竞争评估的因素之一。我国公平会在2023年底发布的「数字经济竞争政策白皮书」于结论中,就数据隐私与市场竞争的关系,系持观望、保留的立场[10],在FTC就本案提出法庭之友意见之后,一致的国际趋势已具体展开,值得公平会参考。
备注:
[1] United States v. Google LLC, 747 F. Supp. 3d 1, 187-88 (D.D.C. 2024).
[2] United States v. Google LLC, 1:20-cv-03010 (APM), ECF No. ECF No. 1184-1, March 7, 2025. 「合格竞争者」的定义,指事业是否有合格的资料安全能力、是否已规划进入相关市场投资并参与竞争,且未对美国国家安全造成疑虑等。事业是否符合要件而得以分享 Google的资料,由司法部依「技术委员会」(Technical Committee, TC)建议的标准认定之,且合格竞争者必须同意定期接受数据安全与隐私保护的监管。
[3] Paul Lekas, “DOJ’s Forced Data Sharing Proposal Would Upend Internet Privacy and Security”, SIIA, https://www.siia.net/dojs-forced-data-sharing-proposal-would-upend-internet-privacy-and-security/, May 1, 2025, last visited May 24, 2025; Trishla Ostwal, “DOJ Wants Google to Share Search Data, but Privacy Risks and Tech Hurdles Loom Large”, ADWEEK, https://www.adweek.com/media/doj-google-share-search-data-privacy-risks-tech-hurdles/, last visited May 24, 2025; Caitlin F. Saladrigas , Rachel Marmor, David C. Kully and Ryan Kocse, “Google Search: Data Sharing as a Risk or Remedy?”, Holland & Knight , April 15, 2025, https://www.hklaw.com/en/insights/publications/2025/04/google-search-data-sharing-as-a-risk-or-remedy, last visited May 24, 2025.
[4] United States v. Google LLC, Case 1:20-cv-03010-APM, Brief of the Federal Trade Commission as Amicus Curiae in Support of Plaintiffs (Amicus Curiae Brief), ECF No. 1286-1, May 9, 2025.
[5] Section 5 of the FTC Act, 15 U.S.C. § 45(a)
[6] FTC v. Wyndham Worldwide Corporation, United States Court of Appeals for the Third Circuit (No. 14-3514) (Cir. 3rd, 2015). 2008年及2009年间,饭店集团Wyndham Worldwide Corporation遭到3次黑客入侵,导致大约60万笔的客户资料外泄。FTC认定该饭店集团系因内部数据安全措施不完善致发生该等事件,属于《联邦贸易委员会法》第5条所定不公平行为的违反。Wyndham起诉主张,就隐私保护及数据安全,FTC无权依该条介入管制。但第三巡回法院最终判定,FTC对于未能保护消费者数据隐私及未尽数据安全责任的相关行为有管辖权。
[7] Amicus Curiae Brief, supra note 4, 1.
[8] Ibid.
[9] Case C-252/21, Meta Platforms and Others, ECLI:EU:C:2023:537, paras. 47-51.
[10] 公平交易委员会,《数字经济竞争政策白皮书》,民国112年12月,页82-92, 189。
责任编辑:李淑莲
【本文仅反映专家作者意见,不代表本报立场。】
|
