DMA:欧盟新反垄断法的安全影响

数字市场法》与守门人--一种平衡行为

The Digital Market Act (DMA) - a European legislation being discussed in the European Parliament Paul Henri-Spaak building

欧盟和大型科技公司之间正在进行的权力斗争,突出了对监管政策采取平衡和细微的方法的迫切需要,考虑所有相关方的利益,而不是至少考虑消费者的利益。数字市场法》(DMA)旨在实现这种平衡,但它会成功吗?


几家领先的科技巨头正在主导全球的数字市场,使小企业难以渗透到市场中。欧盟面临的艰巨任务是遏制他们的垄断,并通过《数字市场法》(DMA)给予欧盟公民对其数据更多的控制权,但有一个问题…

什么是《数字市场法》?

数字市场法》或DMA是由欧盟委员会定义的一套法规。它适用于欧盟内符合标准的数字商业经营者,使他们有资格成为守门员。这些法规的目的是为那些依赖这些守门人在欧洲单一市场提供服务的企业提供一个更公平的环境。

简单地说:被视为守门人的大型科技公司必须向小型竞争对手开放其平台,以实现更公平的竞争。

新的立法旨在使科技初创企业能够在网络平台环境中进行竞争和创新,而不必遵守平台强加的不公平条款,这些条款会限制他们的发展或减少他们将产品呈现在消费者面前的机会。权力过多地掌握在少数人手中会扼杀创新,限制公平竞争。

同时,委员会相信,新的措施将为消费者带来更好和更多的选择,允许他们直接获得服务,更公平的价格和更多的机会,如果他们选择这样做,作为一个更健康的竞争环境的结果,转换供应商。

委员会旨在实现这一目标,同时允许守门人保留他们目前所有的创新和提供新服务的机会。但是,他们将不再被允许使用不公平的做法来获得优势,无论是对企业用户还是对依赖他们的客户。而欧盟目前的监管碎片化往往意味着跨境经营的平台合规成本的增加,新的统一立法也将有助于解决这个问题,并为守门人提供更多的法律确定性。

什么是《数字服务法》?

新的《数字服务法》(DSA)是一套适用于整个欧盟的单一规则,其机制使欧盟委员会和成员国能够协调其行动。它的主要目标是打击网上传播的非法商品、内容或服务。它包括

  • 用户标记此类内容的措施,以及平台与 “可信的标记者 “合作的措施。
  • 关于在线市场中商业用户的可追溯性的新义务
  • 对用户的有效保障,包括可以质疑平台的内容审核决定
  • 覆盖欧盟10%以上人口的超大型平台有义务防止其系统被滥用
  • 改善平台对残疾人的无障碍性
  • 禁止在网络平台上向儿童(或基于用户的特殊特征)投放定向广告
  • 在线平台的透明度措施,包括面向用户的在线广告的透明度和用于推荐的算法的透明度。此外,当局和研究人员将有机会获得关键平台的数据,以便仔细检查它们的工作方式。
  • 一个与网络空间的复杂性相匹配的监督结构。成员国将在一个新的欧洲数字服务委员会的支持下发挥主要作用;对于非常大的平台,由委员会监督和执行。
  • 小型和微型企业可免于承担最昂贵的义务,但可自由运用最佳做法以获得竞争优势。
  • 平台和其他中介机构不对用户的非法行为负责,除非他们知道有非法行为而没有删除。

EU Parliament image by Marius Oprea on Unsplash EU Parliament image by Marius Oprea on Unsplash

谁有资格成为关守者?

DMA具有强大经济地位、对内部市场有重大影响并活跃在多个欧盟国家(无论其总部是否在欧盟)的大型在线平台定义为守门人,并将大量用户群与大量企业联系起来。此外,这样的平台只有在长期稳定的情况下才有资格成为守门人,也就是说,在过去三个财政年度中的每一年都符合前面的标准。

显然,只有少数对市场有过度影响的大科技平台才会符合该标准。

谷歌/Alphabet公司、苹果、微软、亚马逊和Meta等公司将有资格成为守门员。

例如,根据DMA,亚马逊将不得不停止偏爱自己的产品而不是平台托管的独立供应商的产品,而谷歌将不再被允许从地图和YouTube等服务中收集数据,并在未经用户明确同意的情况下与谷歌搜索数据相结合。

DMA的现状是什么?

**DMA将于2023年5月开始生效。**然后,在接下来的4个月里,提供核心平台服务的公司将向委员会澄清他们是否有资格成为关守者,而那些符合标准的公司在收到决定后还有6个月的时间来确保遵守DMA中列出的义务。为了在相互竞争的需求之间取得适当的平衡,委员会正在组织技术研讨会,以征求有关利益相关者对守门人合规性的意见。

**如果守门人在允许的6个月后不遵守新规定,他们将被处以最高为其全球年度总营业额10%的罚款,如果重复违规,则最高为20%,而且他们可以定期支付最高为日平均营业额5%的罚款。**此外,在系统性侵权的情况下,在进行市场调查后,也可以根据具体情况对守门人采取其他补救措施,包括结构性补救措施,如剥离(部分)业务。

欧洲议会和理事会谈判代表暂时同意的文本针对的是提供所谓的 “核心平台服务 “的大型公司,这些公司最容易出现不公平的商业行为,如社交网络、信使、浏览器或搜索引擎,其市值至少为750亿欧元或过去三年的欧洲营业额为75亿欧元或核心平台有4500万欧洲用户。

新规则对守门人意味着什么?

守门人将不得不

  • 允许第三方在 “特定情况下 “与关守方自己的服务进行互操作
  • 允许他们的商业用户访问他们在平台上产生的使用数据
  • 使其平台上的广告商和出版商能够对他们自己的内容进行更多控制
  • 允许他们的商业用户推广他们的产品并与守门人平台以外的客户签订合同。

而与此同时,这些守门人将不再被允许在排名方面偏向于自己的产品和服务,而不是托管在其平台上的独立卖家提供的产品和服务,或阻止用户卸载任何预装的应用程序或软件,或将其各个部门的数据汇集起来,最重要的是,从隐私的角度来看,他们将不再被允许在未经用户明确同意的情况下跟踪守门人平台之外的最终用户,以进行有针对性的广告宣传。

这套完整的法规发表在欧盟的官方杂志上,并有多种语言版本。

Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium

安全方面有什么影响?

虽然大多数拟议的法规是好消息,但有两项拟议的措施引起了安全问题:DMA中的互操作性要求和DSA中的透明度要求。

目前还不清楚谁有资格成为DSA中的关键平台—非常大的平台?- 或者他们将不得不分享什么类型的数据。至于互操作性,尽管 “在特定情况下 “这个词的选择隐含着模糊性,但它意味着像WhatsApp和Facebook Messenger这样的消息应用程序将必须与Signal这样的服务互操作,允许其最终用户交换信息、发送文件或进行通话。显然,这些服务之间在加密协议和隐私政策方面存在巨大差异,因此许多人问,如果Signal用户选择发送或接收跨平台的信息或电话,这是否意味着会损害他们迄今为止一直享受的端到端加密和完美前向保密性。共同立法者同意在未来评估社交网络的互操作性义务。

另一个意想不到的后果可能是迫使守门人的应用程序商店削弱对允许通过这些平台发布其应用程序的开发人员的审查。即使有目前的标准,Positive Technologies的一份报告发现38%的iOS应用和43%的Android应用存在被归类为 “高风险 “的漏洞。这些漏洞不仅带来了隐私风险,还使用户更容易受到私人或国家操作的恶意黑客的攻击。

一些人表示担心,如果在没有适当考虑的情况下颁布,开放数字平台和强迫数据共享会使 “恶性实体 “能够”发动经济或更糟糕的军事网络战”。为了说明情况,应该指出,虽然引用的作者Björn Lundqvist教授是一位著名的竞争法学者,但CEPA是由DMA的几个目标组织资助的:亚马逊网络服务、谷歌和微软。但这并不意味着这些担忧应该被驳回。

很多安全风险来自于该法案对 “商业用户 “的定义,该定义目前非常广泛,不仅包括试图通过核心平台发展业务的小型实体,还包括源自不友好司法管辖区的公司甚至政府,他们可以利用数据访问规则从把关人那里获得数据。

当前版本的DMA可能被利用的最坏情况包括谷歌被迫与包括俄罗斯的Yandex或中国的阿里巴巴在内的竞争对手分享欧洲搜索数据。如果你考虑到亚马逊的云服务或Alexa,或苹果和安卓汽车系统收集的所有数据,风险就更高了。几乎可以说,允许任何公司收集和保存那么多的用户数据,首先是一个糟糕的想法…

减轻这些风险的第一步是更好地定义谁可以使用数据访问规则,以确保它只授权给最终用户和小企业。在一个理想的世界里,对守门人可以存储什么类型的数据施加限制,也会降低安全风险,如果恶意的行为者会获得这些数据。

DMA指出,应保持端对端加密,但找到一个技术解决方案,在不破坏加密的情况下实现互操作性需要时间(Meta宣布要在2019年3月实现WhatsApp和Messenger的互连,但还没能做到),委员会应相应调整其最后期限,以确保这项工作得到妥善处理。

此外,它应该确保有办法让把关人对会危及用户安全的互操作性请求提出合法的反对意见,比如来自俄罗斯或中国信息应用的请求。该法案的当前版本确实提供了基于公共安全的特定理由的豁免,但关键是要确保这种豁免可以以必要的速度和灵活性来应用。

正如电子前沿基金会建议的那样,DMA应该明确禁止任何 “通过任何手段破坏端到端加密的承诺—包括在客户端应用程序中扫描信息或在聊天中添加’幽灵’参与者 “的消息服务能够 “要求互操作性”。

该法案目前的语言允许守门人采取 “严格必要和相称的 “措施来维护安全。通过一系列的技术研讨会,委员会旨在获得对当前法律文本的反馈。在技术层面定稿并由律师-语言学家检查后,它将需要得到议会和理事会的批准。

希望它能在抵制那些只想推迟或避免影响其利润的监管的数字守门人的要求和解决合法的安全问题之间找到适当的平衡。