超大型互联网平台合规之路：中欧监管趋势异同

作者：侯彰慧 许聿宁 李梦涵

本文通过梳理比较欧盟理事会批准的《数字市场法案》与中国《互联网平台分类分级指南（征求意见稿）》及《互联网平台落实主体责任指南（征求意见稿）》的主要内容，介绍中欧超大型互联网平台监管思路的异同。

///

2022年7月18日，欧盟理事会最终批准了《数字市场法案》（Digital Markets Act，DMA），旨在规范大型网络平台的竞争行为，维持核心平台服务市场的可竞争性和公平性。DMA的出台突破了传统竞争法的监管思路，只要互联网平台符合DMA的适用条件而被认定为守门人（Gatekeeper），DMA就可以对其特定行为进行规制，而无需就“相关市场”“支配地位”“竞争影响”等问题展开分析论证。

无独有偶，中国市场监督管理总局曾于2021年10月29日发布《互联网平台分类分级指南（征求意见稿）》（“《分类分级指南》”）和《互联网平台落实主体责任指南（征求意见稿）》（“《主体责任指南》”），拟对互联网平台进行分类分级，并对符合标准的超大型互联网平台（“超大型平台”）进行行为规制。《分类分级指南》和《主体责任指南》两部征求意见稿与DMA的监管思路存在诸多近似之处，在公平竞争、平等治理、开放生态、平台内部治理、经营者集中申报等方面均有所突破。

本文尝试以尽可能简洁的方式，通过制度对比，梳理并总结DMA和《分类分级指南》《主体责任指南》提出的合规要求，以期帮助企业更好理解中欧对超大型平台的监管思路，提高企业的合规水平。

一.

守门人的认定思路

DMA第2条和第3条规定，提供核心平台服务的经营者，若(a)同时满足欧盟营业额门槛和核心平台用户规模门槛，或(b)虽不满足相关门槛但根据其它考量因素可以认定符合相关标准，其可能被认定为守门人，受到DMA的监管。

（一）核心平台服务

DMA列出了10类核心平台服务，除“网络浏览器”“虚拟助理”“在线广告服务”3类外，其他核心平台服务均在《分类分级指南》中有所体现。通过对比可以发现，DMA对核心平台服务的分类更侧重于其功能，而《分类分级指南》对平台服务类型的分类更侧重于其内容。

点击可查看大图

（二）认定标准

DMA根据“对内部市场具有重大影响”“提供核心平台服务，且该服务是商业用户与终端用户接触的重要门户”和“在其经营中占据稳固且持久的地位，或者可预见其将在不久的将来占据稳固且持久的地位”3项定性标准认定守门人，并针对这3项标准设计了可量化的“营业额门槛”和“用户规模门槛”。同时，DMA还设计了兜底条款，欧盟委员会可以基于“企业规模”“用户锁定效应”“网络效应”“纵向整合”和“集团结构”等其他考量因素，将未达到“营业额门槛”和“用户规模门槛”，但仍然符合3项定性标准的企业认定为守门人。对于欧盟委员会认定结论，企业具有提出异议的权利。[2]

《主体责任指南》则是根据“用户规模”“经济体量”“业务情况”和“限制能力”4项标准界定超级平台。与DMA不同的是，《主体责任指南》仅关注过去1年的“用户规模”数据和“经济体量”数据，且其对“业务情况”和“限制能力”标准的评价缺乏量化指标，企业自我评估时存在一定不确定性。

点击可查看大图

二.

守门人的行为义务

DMA为守门人设置了两类行为义务，一类是守门人必须履行的行为义务（“必要义务”），另一类是欧盟委员会可视情况指定守门人应履行的行为义务（“指定义务”）。这些义务包括公平竞争、平等治理、开放生态、规范数据合并、保障数据互联互通等内容。

（一）公平竞争义务

DMA从数据使用和捆绑服务两方面对守门人的行为做出禁止性规定。在数据使用方面，DMA明确禁止守门人对核心平台服务所产生数据的两类利用：（1）出于提供在线广告服务的目的，处理或利用终端用户在平台上使用第三方服务产生的个人数据；（2）出于竞争的目的，利用竞争对手使用守门人核心平台服务产生的非公开数据。第二类数据使用也受到《主体责任指南》的重点关注，《主体责任指南》同样禁止超大型平台利用平台服务形成的非公开数据，在与平台内经营者开展竞争时获得不正当的竞争优势。

在捆绑服务方面，DMA与《主体责任指南》均禁止守门人/超大型平台将使用其他关联平台服务作为用户获取自身所需平台服务的前提条件。

点击可查看大图

（二）平等治理义务

DMA与《主体责任指南》均要求遵守公平、合理和非歧视（“FRAND”）原则，且关注自我优待问题。但DMA较《主体责任指南》更为细化，明确规定守门人在“排名、相关索引与抓取”“访问条件”“传达和推广报价”三个场景下的FRAND义务，并要求守门人不得在“排名、相关索引与抓取”场景下实施自我优待。

点击可查看大图

（三）开放生态义务

DMA针对互操作性和操作限制两方面，要求守门人维持平台开放生态，尊重终端用户的选择权，保护市场的可竞争性。与之相对，《主体责任指南》采用“推动其提供的服务与其他平台经营者提供的服务具有互操作性”这一较为宽泛的表述为超大型平台施加义务，并允许超大型平台将安全、主体权益保障等事项作为不保障互操作性的正当理由。

点击可查看大图

（四）规范数据合并义务

DMA规定守门人在获得终端用户符合GDPR要求的知情同意后，方可进行各类型数据合并。值得一提的是，在德国联邦卡特尔办公室(“FCO”)调查Facebook案中，FCO认为Facebook滥用其在德国社交网络市场上的支配地位，将同意相关条款作为使用Facebook的必要条件，强制用户同意将来自第三方（如WhatsApp）的用户数据与Facebook数据进行合并，于是要求Facebook根据GDPR的规定进行调整。尽管本案后续引发诸多诉讼争议，但这一执法思路如今已被吸收进DMA中，对守门人的数据合并活动进行规范。

根据《主体责任指南》，对数据合并行为的知情同意义务不局限于超大型平台，而是覆盖所有互联网平台经营者。《主体责任指南》的这一规定也是《个人信息保护法》中个人信息处理者处理个人信息应符合“知情同意”原则的体现。

点击可查看大图

（五）保障数据互联互通义务

DMA要求守门人保障终端用户的数据可携带权，并向商业用户、在线搜索引擎第三方经营者和广告主/广告发布者等数据主体提供其使用守门人核心平台服务所产生的数据，从而保障平台间的数据互联互通，提高市场的可竞争性。此前，关于不同平台间数据的互联互通开放问题，在境外也屡发争议，境外司法实践对数据开放通常持肯定态度。如在某数据抓取相关案件中，H公司作为一家以公共数据源为基础的数据分析公司，被L平台拒绝访问和复制平台会员的公开数据资料。经各级审理，法院最终支持了H公司的诉求，要求L平台清除访问其公开数据的技术障碍，并允许H公司访问L平台的公开数据。

而《主体责任指南》并未就保障数据互联互通进行任何规定，其仅从保护数据安全的角度出发，要求超大型平台建立健全数据安全审查与内控机制，对涉及用户个人信息的处理、数据跨境流动，涉及国家和社会公共利益的数据开发行为，必须严格依法依规进行。我国现行法律中，仅有《个人信息保护法》对个人信息的可携带权进行规定。

点击可查看大图

（六）其它义务

在前述义务外，DMA还为守门人施加了数项必要义务，以提高守门人为商业用户（包括广告主和广告发布者）提供在线广告服务的透明性[25]，并降低守门人作为企业与用户之间媒介的唯一性[26]。后者反映了DMA试图引导守门人去中介化，为市场中其它核心平台服务提供者参与市场竞争创造环境的立法目的：

• “守门人不得阻止商业用户通过第三方在线中介服务或通过其自己的在线直接销售渠道，以不同于守门人在线中介服务的价格或条件，向终端用户提供相同的产品或服务”[27]；

  
  

• “守门人应允许商业用户免费通过核心平台服务或其他渠道，在不同条件下向终端用户传达和推广报价，并签订合同，无论商业用户是否以此为目的使用核心平台服务”[28]。

三.

经营者集中

DMA对守门人的经营者集中施加了额外的报告义务，要求守门人就所有目标公司提供核心平台服务，或数字行业任何其他服务，或从事数据收集工作的经营者集中向欧盟委员会报告，并在集中所获得核心平台服务触及用户规模门槛时进一步报告。若守门人违反报告义务，将被处以不超过其上一财年全球总营业额10%的罚款。[29]而《主体责任指南》仅对所有互联网平台经营者应遵守的经营者集中申报义务做了重申。

点击可查看大图

四.

内部治理

在内部治理方面，DMA对守门人内部合规部门的机构设置、人员配置、权限职责、运行机制都做了较为详细的规定，譬如，（1）要求保障合规部门的权力、地位和资源，并有权接触守门人的管理机构[32]，（2）要求合规负责人应当为对合规职能负明确职责的独立高级管理人员[33]，（3）规定未经守门人的管理机构事先批准，合规部负责人不得被免职[34]，（4）明确合规人员监督守门人管理层和雇员，并与欧盟委员会进行合作的职责。[35]若守门人未按要求引入合规职能部门，将被处以不超过其上一财年全球总营业额10%的罚款。[36]

《主体责任指南》较DMA更关注超大型平台的合规机制建设工作，明确要求超大型平台建立平台内部预防腐败机制和平台内部定期教育培训机制。

点击可查看大图

五.

豁免与罚则

就豁免而言，DMA仅将公共健康和公共安全作为豁免守门人义务的合理理由。《主体责任指南》规定的豁免理由范围则更广，不仅包括“公共利益、国家安全”，也包括“超出控制范围与技术能力，严重影响正常经营活动”。或许这意味着，相较于市场可竞争性等价值，《主体责任指南》更重视互联网平台的正常经营与发展。

就罚则而言，DMA与欧盟竞争法一样将企业上一财年全球总营业额作为罚款基数，且还将行为性救济与结构性救济作为守门人系统性违法的处罚和救济措施，对守门人具有极强的震慑性。《主体责任指南》未就罚则进行任何规定。

点击可查看大图

结语

超大型互联网平台的自我优待、屏蔽外部链接等不利于市场竞争的运营方式已受到全球各司法辖区的高度关注。欧盟此次出台DMA，可能使数字经济市场的竞争格局向中小型互联网平台企业倾斜，重塑电子商务、搜索引擎、在线广告、应用商店和其它核心平台服务的运营模式，改变超大型互联网平台企业的商业模式。未来我国针对超大型互联网平台的监管思路是否会向DMA靠拢，《分类分级指南》和《主体责任指南》的生效版本是否会在《平台经济领域反垄断指南》的基础上，对平台企业互联互通、有序竞争提出更高要求，值得相关企业密切关注。

[注] 

[1] 实践中，独立于号码的人际通信服务通常包括应用程序提供的互联网通信服务，例如 WhatsApp、Messenger、Zoom 等，以及 SkypeOut 等半在线通信服务。

[2] 见《数字市场法案》第三条第5款(a)项。

[3] 见《数字市场法案》第三条第2款(a)项。

[4] 见《数字市场法案》第三条第2款(b)项。

[5] 见《数字市场法案》第三条第8款。

[6] 见《数字市场法案》第五条第2款。

[7] 见《数字市场法案》第六条第2款。

[8] 见《数字市场法案》第五条第8款。

[9] 见《数字市场法案》第六条第5款。

[10] 见《数字市场法案》第六条第12款。

[11] 见《数字市场法案》第五条第5款。

[12] 见《数字市场法案》第六条第4款。

[13] 见《数字市场法案》第六条第6款。

[14] 见《数字市场法案》第六条第7款。

[15] 见《数字市场法案》第六条第3款。

[16] 见《数字市场法案》第六条第13款。

[17] 见《数字市场法案》第五条第2款(b)项。

[18] 见《数字市场法案》第五条第2款(c)项。

[19] 见《数字市场法案》第五条第2款(d)项。

[20] 见《数字市场法案》第六条第9款。

[21] 见《个人信息保护法》第四十五条。

[22] 见《数字市场法案》第六条第10款。

[23] 见《数字市场法案》第六条第11款。

[24] 见《数字市场法案》第六条第8款。

[25] 见《数字市场法案》第五条第9款和第10款。

[26] 见《数字市场法案》第五条第3款和第4款。

[27] 见《数字市场法案》第五条第3款。

[28] 见《数字市场法案》第五条第4款。

[29] 见《数字市场法案》第三十条第1款。

[30] 见《数字市场法案》第十四条第1款。

[31] 见《数字市场法案》第十四条第3款。

[32] 见《数字市场法案》第二十八条第2款。

[33] 见《数字市场法案》第二十八条第3款。

[34] 见《数字市场法案》第二十八条第4款。

[35] 见《数字市场法案》第二十八条第5款。

[36] 见《数字市场法案》第三十条第1款。

[37] 见《数字市场法案》第二十八条第1款。

[38] 见《数字市场法案》第十条第3款。

[39] 见《数字市场法案》第三十条第1款。

[40] 见《数字市场法案》第三十条第2款。

[41] 见《数字市场法案》解释性备忘录第（75）段。

[42] 见《数字市场法案》第十八条第1款。

[43] 见《数字市场法案》第三十条第3款(c)项和(j)项。

 作者简介

侯彰慧  律师

北京办公室  合伙人

业务领域：跨境投资并购, 反垄断和竞争法, 合规和反腐败

特色行业类别：能源与自然资源, 健康与生命科学

许聿宁

北京办公室  公司业务部

李梦涵  律师

北京办公室  合规与政府监管部

* 赵雨杨、刘松林对本文亦有贡献

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。