文 | 陈   兵  南开大学法学院教授，博士生导师，南开大学竞争法研究中心主任

　　      夏迪旸  美国圣路易斯华盛顿大学法学硕士，南开大学竞争法研究中心研究助理

　　（*本文系国家社科基金后期资助项目“数字经济与竞争法治研究”的阶段性成果。）

　　平台经济已经成为一种重要的经济形态，其在给生产生活带来巨大效益的同时，也带来了诸多问题，譬如，平台实施的不正当封禁、屏蔽等行为，阻碍了作为重要生产要素的数据的流通。为了能够促进数据流通，保障用户权益，为中小企业和平台提供更加优质的发展机遇，有必要加紧实现互联网平台的“互联互通”，而“互联互通”的实现，需要紧密结合《数据安全法》与《个人信息保护法》的施行，规范各类平台的数据信息处理行为。

　　“互联互通”的法律定位

　　“互联互通”概念，来源于电信业领域。美国《1996年电信法》明确规定，每个电信运营商负有直接或间接的网间互联义务；我国《电信条例》也明确规定，电信网之间应当实现互联互通，主导的电信业务经营者不得拒绝其他电信业务经营者和专用网运营单位提出的互联互通要求。监管机构将对主导的电信业务经营者施加互联义务作为一种竞争治理工具，为电信业务市场引入有效的市场竞争机制。在金融领域，2020年7月19日，中国人民银行、中国证监会发布的《中国人民银行 中国证券监督管理委员会公告[2020]第7号》中规定，“互联互通是指银行间债券市场与交易所债券市场的合格投资者通过两个市场相关基础设施机构连接，买卖两个市场交易流通债券的机制安排。”

　　具体到平台经济领域，目前尚无法律法规对“互联互通”作出明确的定义，2019年国务院办公厅发布的《关于促进平台经济规范健康发展的指导意见》中规定，政府在监管时要“尊重消费者选择权，确保跨平台互联互通和互操作”。在实践中，部分平台经营者出于限制、排除其他经营者对其构成竞争威胁的考量，以平台管理者的身份对其他经营者实施封禁行为，限制竞争对手发展，妨碍“互联互通”的实现。对此，我国一方面在执法上加大对于平台上实施“二选一”和“封禁”行为的查处和指导力度，另一方面在立法、司法层面，发布禁止互联网领域不正当竞争行为的相关规范性文件和司法解释，同时提升司法裁判活动的专业化、精细化水平，对涉及数据互操作的竞争纠纷案件予以高度重视，通过个案审理逐渐明确类案处理规则，多管齐下积极推动平台间互联互通的尽早实现。

　　具体而言，在《国务院反垄断委员会关于平台经济领域的反垄断指南》中，明确规定平台经营者通过屏蔽店铺、搜索降权、流量限制、技术障碍、扣取保证金等惩罚性措施实施的限制，对市场竞争和消费者利益造成损害，一般可以认定构成限定交易行为；在国家市场监督管理总局2021年8月17日发布的《禁止网络不正当竞争行为规定（公开征求意见稿）》中，明确规定无正当理由，经营者不得利用技术手段对其他经营者合法提供的网络产品或者服务实施屏蔽、拦截、修改、关闭、卸载，妨碍其下载、安装、运行、升级、转发、传播等行为。经营者不得利用技术手段，恶意对其他经营者提供的服务或产品实施不兼容。不得利用技术手段，实施“二选一”行为，妨碍、破坏其他经营者合法提供的产品或者服务的正常运行，扰乱市场公平竞争秩序。

　　与立法相呼应，工信部近日决定在前期APP专项整治的基础上，开展互联网行业专项整治行动，重点整治恶意屏蔽网址链接和干扰其他企业产品或服务运行等问题，包括无正当理由限制其他网址链接的正常访问、实施歧视性屏蔽措施等场景。基于此，阿里与腾讯高层“隔空对话”表明态度，释放二者“破冰”信号。强监管之下，阿里和腾讯如何进行生态开放？开放到何种程度？成为了亟待解决的新问题。

　　统筹发展与安全 实现高效“互联互通”

　　数据共享与数据安全之间既存在紧张的关系，也存在相辅相成的关系。“互联互通”可能会提升隐私泄露的系数，给数据安全带来巨大威胁；过分重视数据保护，也会对“互联互通”带来危害，让平台企业走上“以数据保护为由，行数据垄断与封锁之实”的旧路。因此，在加强平台企业“互联互通”的背景下，做到兼顾数据的流通与安全的保障，是一个十分重要的问题。

　　2021年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式施行，《数据安全法》是一部从贯彻总体国家安全观的目的出发，以数据治理中最为重要的安全问题作为切入点的数据安全领域的基础性法律。《数据安全法》着眼于统筹数据发展与数据安全，在第十三条明确“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也即将于11月1日施行。该法律侧重于针对个人信息的保护。

　　在具体制度上，两部法律主要在以下方面对数据的安全与利用作了规定：

　　首先，《数据安全法》与《个人信息保护法》均针对数据与信息进行了分类。《数据安全法》第二十一条明确了国家要建立数据分类分级保护制度，将数据根据其重要程度以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用所造成的危害程度，分为一般数据、重要数据与国家核心数据。对不同重要程度的数据采取不同的保护策略，对重要数据处理者课以明确数据安全负责人和管理机构、定期开展风险评估以及跨境安全管理三项义务，将监管资源分配到了较为重要的数据上，提高了治理效率，同时也减轻了一般数据流通所受到的阻碍。而对于重要数据目录的制定，以及国家核心数据所应采用的“更加严格的管理制度”，还需要进一步细化。《个人信息保护法》则进一步加强针对敏感个人信息这一重要的数据类型的保护力度。在定义上明确采用了“概念+举例”的定义方式，明确敏感个人信息的核心在于一旦泄露或经不当使用，会危害人身、财产安全，同时列举了不满十四周岁未成年人的个人信息等属于敏感个人信息的具体类型。对于敏感个人信息的使用，必须要遵循处理目的特定、处理具有必要性、采取严格的保护措施，必须要获得单独同意以及要告知处理的必要性及对个人权益的影响等规则。数据分级分类的实行，一方面可以确保重要的数据在流通中的安全，另一方面可以减少相对不重要的数据在流通中的阻碍。

　　其次，《数据安全法》与《个人信息保护法》均确立了关于数据交易与个人信息处理的规则，使得数据流通进入有法可依的阶段。《数据安全法》第十九条确立了数据交易制度。在这之前，国内已经陆续建立了贵阳大数据交易所等数据交易中心，本次数据交易制度以立法形式得到了明确，为我国数据交易制度未来的发展打下了坚实的基础。此外，《数据安全法》还要求从事数据交易服务的中介机构、服务机构必须说明数据来源，审核交易双方的身份，并留存审核、交易记录，提升了对数据交易程序的监管力度。《个人信息保护法》第十三条确立了个人信息处理的“告知+同意”这一基本规则，同时又规定了处理个人信息无需取得个人信息主体同意的情况，体现了对消费者知情权的保护，又兼顾了公共利益。《个人信息保护法》第四十五条第三款还增设了个人信息可携带的规定：当个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径，为“互联互通”的实现提供了具体路径。

　　第三，《数据安全法》与《个人信息保护法》均规定了数据处理者、个人信息处理者的法律义务以约束其处理数据、个人信息的行为。《数据安全法》第二十七条规定数据处理者应根据其所处行业、数据重要程度，采取与之相适应的保护措施，体现了场景化原则的运用，避免了“一刀切”的保护，有利于统筹数据安全与共享。第二十九条规定数据处理者在面对未发生的风险时，应当开展风险监测，发现未知的风险；而当发生实际的数据安全事件时，应当及时采取补救措施。在《个人信息保护法》中，第九条、第五十一条则对个人信息处理者的数据安全保障义务作了规定，处理者应当根据处理目的、处理方式、信息种类等因素，采取分类管理、加密、去标识等手段，使得个人信息在保证安全的基础上能够有效流通。

　　综上，可以发现《数据安全法》侧重于对数据的保护，侧重于通过公法的力量来保护数据安全，关于“数据发展”的相关条款则以宣示性为主；而《个人信息保护法》则是一部赋权性的法律，赋予了个人信息主体权利，也为他人处理个人信息提供了法律依据。为了进一步促进“互联互通”，统筹数据安全与共享，在未来的监管中还应加强以下几个方面：

　　首先，依据《数据安全法》进一步细化数据分类分级，并根据不同类型制定相应的保护与流通规定。以近日国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布并于2021年10月1日施行的《汽车数据安全管理若干规定（试行）》为例，其对汽车行业的重要数据所包含的类型进行了列举，并明确汽车数据处理者开展重要数据处理活动，应当进行风险评估，并向有关部门发送风险评估报告。2020年9月，中国人民银行发布的《金融数据安全 数据安全分级指南》也明确，金融业机构在开展数据安全分级工作时，对于重要数据的安全等级不可低于指南中确定的5级保护标准。可见，当前立法上采用的依然是根据不同行业制定相应的数据保护规则，同时结合数据的重要程度进行分类，制定不同的保护措施。在此基础上还可以进一步细化分级分类标准，例如根据数据功能将数据分为商业数据、工业数据、社会数据、自然数据等，根据数据来源将数据分为原始数据、衍生数据、创生数据。根据其不同类型制定不同的流通与保护规定，以衍生数据为例，所谓衍生数据，是指对原始数据进行加工、处理并具有财产价值和增值价值的一类数据。对于衍生数据，在强调保护企业竞争性财产权益，鼓励数据流通利用的同时，保留用户对仍具有个人信息可识别性的数据享有自决的权益，以确保平台之间实现“互联互通”的同时，个人的权益不会受到侵犯。

　　其次，在数据分类分级的基础上，针对涉及“互联互通”的不同数据周期制定差异化的保护策略。“互联互通”涉及数据采集、数据传输、数据共享等多个环节，不同环节由于其性质不同，所面临的危险也有着很大的差别。数据采集中的风险如未经许可使用爬虫技术爬取他人网站上的数据等。若是双方平台协议通过数据传输实现“互联互通”，则会面临着恶意拦截、篡改或破坏的风险。数据共享主要是通过数据在不同主体间的流动，有效促进数据互联和数据作用的发挥，该阶段面临的风险主要包括非法访问、恶意更改、非法外泄等。因此，应当在数据分类分级的基础上，针对不同级别、不同类型的数据进行制定不同的采集程序要求，愈发重要的数据，就应当采用更加严格的采集程序。在数据传输环节，则应当以传输加密技术为核心，对于较为重要的数据通过专线传输。在数据共享环节，则要平衡双方利益，厘清参与共享主体之间的协议制定和履行、风险分担、收益分配、责任界定等问题。

　　第三，应当完善数据治理的多元共治体系。数据的流通涉及到社会多个主体，数据的安全也与广大群体的利益息息相关。唯有构建多元共治治理体系，才可以从各个方位全方面监督数据流通，在确保安全的基础上实现“互联互通”。在政府层面，《数据安全法》已经明确了中央国家安全领导机构决策议事、统筹协调，各行业主管部门承担本行业安全监管，公安机关和国家安全机关在各自范围内承担数据安全监管职责，以及国家网信部门统筹协调网络数据安全和相关监管工作的执法体系。政府部门还应当进一步厘清其职责，落实“放管服”，充分做到“简政放权”，注意发挥市场自我调节的作用，避免公权力的过度介入。在行业自治方面，《个人信息保护法》第五十八条对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者课以义务，加强其对于平台内部经营者处理个人信息问题的监管。《数据安全法》第九条明确要行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。在此基础上，应当进一步构建开放安全的“互联互通”体系，鼓励行业组织、科研机构参与到数据开发、数据安全的标准制定的程序中，为平台企业间“破冰”提供技术支持。同时，应当进一步发挥行业协会和社会组织在市场与政府间的中介作用，通过行业协会约束经营者，通过社会组织维护消费者权益，在广大主体间培育有序竞争的文化，确保实现高效安全的“互联互通”。

　　最后，在司法与执法中应注意权衡多方利益。实现“互联互通”，可能会对某些经营者的利益带来一定的减损：经营者失去了其自身耗费一定努力收集的原始数据和进行分析后得出的衍生数据与创生数据，可能会影响其竞争优势地位。然而，“互联互通”对于初创企业和消费者可能存在一定好处：初创企业获得了大量本应在积累一定用户、形成锁定效应后方能获取的数据，与其技术优势结合，促进了市场的竞争；这种竞争往往会促进创新，满足消费者群体日益多样化的需求，为消费者提供方便、安全的服务。不同主体在“互联互通”中可获得的利益并不相同，难免会出现耗费成本与获得利益不平衡的问题，导致平台经营者无法从中获得有效回报，将会影响部分平台互联互通的积极性。因此，在实践中应当注意权衡多方利益，比较积极效果与消极效果的大小，同时还需要对多元价值的位阶进行权衡，将竞争秩序与消费者的利益置于较高的位阶。

　　统筹数据安全与开发利用是一个较为复杂的问题。对于平台企业间的“互联互通”，应当结合《数据安全法》与《个人信息保护法》，进一步细化数据分类与分级，针对不同类型、不同周期的数据制定相应的保护策略，发挥多元共治，充分衡量多方利益，在保障数据安全的基础上，实现高效有序的“互联互通”。