【摘 要】 自2018年《一般数据保护条例》（GDPR） 第82（1）条实施以来，该条款赋予了数据主体因违反欧洲数据保护法而遭受损害时的赔偿权。相较之下，欧洲竞争法中的私人执行机制历史更为悠久。因此，竞争法中的概念和研究成果对于数据保护法领域而言具有借鉴意义。然而，将一个领域的理论和实践应用于另一个领域时需谨慎，应考虑到两者在事实背景和法律框架上的差异。本文旨在探讨欧洲竞争法与数据保护法在私人执行方面的关键相似之处与不同点。研究发现，尽管两个法律领域的出发点不同，但它们在欧洲化程度上有着较高的共通性，私人执行的主旨大体相同。文章还分析了从竞争法向数据保护法转移可能产生的溢出效应，尤其是在因果关系和对欧洲企业概念的理解方面。

【引 言】 在欧洲联盟，成员国采用私人执法纠正违反《欧盟条约》反垄断条款的行为。私人反垄断诉讼中，欧洲竞争法规可作攻防之用，诉讼人可寻求禁令或损害赔偿。此机制亦适用于国内违规行为。近年来，尤其在德国，此类诉讼数量激增。因非所有欧盟国家都实施集体行动机制，常通过权利转让集中追诉。

随着《一般数据保护条例》实施，数据保护法的损害赔偿要求增加。GDPR提高数据处理者和控制者法律风险，允许数据主体基于侵权行为提起诉讼。特别是GDPR第82条，明确受损个人赔偿权利。媒体对此的报道提升公众关注度，为法律服务提供商创造新机遇。

在数字化时代，数据控制者和处理者面临更多损害赔偿要求，甚至可能面临大规模诉讼。尽管目前倾向于通过权利转让机制处理此类诉求，但新指令将推动成员国引入国家级工具，允许在数据保护领域进行大规模诉讼。未来几年，私人执法将与公共执法互补，加强企业遵守法律必要性。

本文深入比较欧洲竞争法和数据保护法在私人执法方面的异同。竞争法私人诉讼执法已加强，数据保护法私人执法则是新趋势。两者在私人执法领域均发挥重要作用，推动法律有效执行。

一、私人执法的框架

（一）竞争法

1、历史发展

尽管竞争法的私人执法在欧洲司法体系中早已存在，但2001年欧洲法院的Courage裁决无疑为其赋予了新的关注。这一裁决标志着反垄断诉讼向深度欧洲化转变的开始。

欧洲委员会自欧洲经济共同体（EEC）成立之初，便致力于构建高效的公共执法体系。但早期协调私人执法的尝试因成员国反对而受挫。直至1990年代末，随着欧洲竞争法执法体系现代化议题的重启，私人执法才重回视野。受到美国法律将私人损害赔偿诉讼作为竞争法执法核心的启发，欧洲法院在Courage案中强化了私人执法的地位，并强调任何个人都有权因违反竞争法规而获得赔偿。

Courage裁决后，多个欧洲国家修订竞争法规以支持私人执法，欧洲委员会也提出了损害赔偿指令草案，并于2014年正式采纳，统一了私人执法的关键方面，包括证据披露、执法决定的约束力、诉讼时效、连带责任、转嫁抗辩以及对卡特尔造成损害的推定等。

自Courage裁决以来，欧洲法院通过多项裁决持续加强对欧洲竞争规则私人执法的支持，推动了私人执法在竞争法领域的深入发展，使其成为维护有效竞争的重要力量。

2、主要规则体系

TFEU第101条和第102条是欧盟维护内部市场自由竞争的基石，对企业间的限制竞争行为和企业滥用支配地位进行了明确规制。在私人执法方面，主要依赖于各成员国的侵权法和程序法，但近年来欧盟法律如损害赔偿指令等对其产生了深远影响。

国内侵权法作为执行欧盟竞争法禁令的工具，其解释必须遵循有效性和等价性原则。欧洲法院强调，若国家法律要求竞争违规与损害间存在直接联系，可能损害受害者的赔偿权，进而削弱第101条和第102条的效力。同时，法院也从第101条中推导出，任何因违反竞争行为受损的个人均有权要求赔偿。

公共执法与私人执法之间的桥梁在于，欧洲委员会和国家竞争机构的反竞争行为决定具有约束效力，影响着后续的损害赔偿索赔。这意味着，当民事法院审理相同反竞争行为时，必须遵循行政法院确认的机构决定。此外，损害赔偿指令也规定了其他欧盟成员国竞争机构决定的初步证据地位，而部分成员国更赋予其约束效力。

（二）数据保护法

1、历史发展

数据保护法的私人执法在欧洲的历史可追溯至数据保护指令（DPD）第23条，它赋予个人因非法数据处理或违反国家规定的行为而遭受损害时，向数据控制者主张损害赔偿的权利。然而，欧洲立法机构在关键问题上留下了空白，如非经济损失的补偿、数据处理者的责任等，导致DPD第23条在国家法律中的实施存在不一致性，实践中对经济损失赔偿的适用性有限。

GDPR第82条的实施为欧洲数据保护法的私人执法带来了重大转变。通过高级国家法院的澄清，一些原先未解决的问题得到了解决，进一步推动了数据保护法的私人执法。最近的案例法显示，对非经济损害的理解更为宽泛，包括歧视、身份盗窃、声誉损害等，且赔偿金额被认为应全面且有效，具有威慑效果。[1]

尽管如此，GDPR第82条仍存在核心问题待解，如是否仅需违反数据保护法即可主张损害赔偿，以及赔偿金额的评估方式。为解决这些问题，国家法院已启动初步裁决程序，期待CJEU提供明确答案。若CJEU确认对个人数据保护的广泛理解，那么已澄清的案例法可能会引发更多大规模的数据保护法侵权赔偿索赔，特别是在消费者代表行动指令的背景下。

2、主体规则

根据GDPR第82条，数据控制者和处理者需对违反规定导致的财产损失和非财产损失承担责任，除非能证明自身无过错。这一责任归属的明确规定不仅提升了GDPR各项义务的重要性，还解决了原告在指证被告内部程序时因信息不足而面临的困境。与数据保护指令相比，GDPR扩大了数据处理者的责任范围，要求他们与其他控制者或处理者共同参与数据处理活动时对数据主体承担连带责任。然而，GDPR也明确了责任的区别：处理者仅对直接违反的规则负责，而控制者则需对任何违反GDPR的行为负责，无论其严重程度如何。这涵盖了实质性要求和程序性规定的遵守，预示着向数据主体提供全面赔偿的可能性。

同时，GDPR也强调了对“损害”概念的广泛解释，旨在加强数据主体对抗强大数据控制者的权利。此外，由于成员国根据GDPR制定的适应性法律可能存在广泛和不确定的适用性，数据控制者和处理者可能面临意料之外的损害赔偿索赔。因此，遵守GDPR及其适应性法律对于避免法律风险和经济损失至关重要。二、竞争法与数据保护法的比较

传统上，竞争法和数据保护法是两个截然不同的法律领域，彼此间鲜有交集。这引发了人们对比较两者私人执法结构的质疑，认为此举可能如同比较苹果与橙子般徒劳无功。通过深入研究，我们发现竞争法和数据保护法的私人执法系统虽存在一定相似性，但在目标和关键要素上却存在显著差异。特别是在私人和公共执法之间的关系、欧洲化程度以及与造成的损害相关的问题上，二者展现出明显不同。

（一）执法的一般目标

1、有效执法和全面赔偿

竞争法和数据保护法中，私人执法对于揭露和追究非法行为具有重要意义，不仅增强了法律实效，还为受损当事人提供了赔偿途径。欧洲法院和立法机构正加强竞争法中的私人执法，以应对公共执法资源的限制。尽管公共执法能够制止反竞争行为并追回利益，但确保这些利益公正分配给受害者却非其所能。因此，私人执法在确保欧洲共同体内部有效竞争的维护方面作出了“重大贡献”。尽管损害赔偿指令强调了全面赔偿的重要性，但这并未偏离欧洲法院的立场。目前，竞争法领域的损害赔偿行动多跟随公共执法机关的步伐，而在特定情况下，独立索赔行动则成为解决未被官方发现的非法行为的重要手段。

在数据保护领域，私人执法同样重要，能够在官方机构无法或不愿行动时介入，寻求禁止令和损害赔偿。与竞争法不同，数据保护法的损害赔偿行动更多以独立方式提起。

2、无惩罚性效果

在欧洲，竞争法和数据保护法均通过私人索赔强化执法，但不涉及惩罚性损害赔偿，即超过实际损失以惩罚被告的赔偿。

在竞争法领域，欧洲法院和损害赔偿指令均明确禁止此类赔偿。在数据保护法领域，奥地利和德国等国普遍认同损害赔偿不应具惩罚性，但非财产损失的赔偿应足够高以增强法律威慑力。同样，在竞争法中，虽排除惩罚性赔偿，但在确定赔偿金额时仍需考虑法律的有效性。以铁路制造商卡特尔案为例，德国法院拒绝接受价格转嫁抗辩，确保欧盟竞争法的全面执行。[2]

因此，无论是竞争法还是数据保护法，赔偿应基于实际损失，同时确保法律的威慑力和有效性。

（二）私人执法与公共执法之间的关系

在欧洲，竞争法和数据保护法领域结合行政措施与私人索赔旨在确保法律有效执行。竞争法领域，公共与私人执法的最佳关系备受关注。部分因Courage裁决影响，即私人诉讼可以“对社区中有效竞争的维护做出重大贡献”，明显受到美国反垄断执法模式的影响。竞争当局曾担忧私人执法干扰公共执法，特别是在处理宽大处理制度时，该制度被视为揭露卡特尔的关键工具。因此，公共执法者通过保护宽大处理申请者、分享信息等方式，与私人原告合作揭露反竞争行为。

在数据保护法领域，公共执法为主，私人执法为辅，但协调尚不成熟。GDPR也未为私人索赔提供监管机构最终决定的约束效应，可能导致法院与监管机构对同一行为的判决不一。因此，引入约束效应机制，加强公私合作，值得考虑。GDPR虽建立了职权归属系统，避免决定冲突，但缺乏此类机制仍可能限制私人执法效果。尽管如此，私人原告仍可利用公共执法成果支持GDPR索赔，如依靠行政调查揭示的事实结果或根据信息权利获取行政决定结果。公共和私人执法在数据保护法领域存在互动与补充，但GDPR在时效暂停规则方面仍需进一步协调以加强私人执法能力。

（三）欧洲化水平

在欧洲，竞争法和数据保护法两大领域的损害赔偿（及禁令救济）索赔已经实现了显著的“欧洲化”，尽管细节上仍存差异。在竞争法方面，国家立法者很早便开始使本国竞争法与欧盟法律保持一致。对于缺乏现代化竞争法规的国家，欧盟规则成为其制定国家法律的参照；即便是拥有深厚竞争法传统的国家，如德国，在采纳相关条例后，也必须确保法律与欧盟法律的目标一致。只有在特定情况下，国家竞争法才保留其独立重要性。

在私人执法侵权法层面，欧洲化趋势明显，欧洲的有效性和等价原则推动法律向欧洲化倾斜。CJEU裁定明确了竞争法违规的受害者索赔权利，推动了欧洲化进程，并明确了个人因反竞争行为受损的赔偿权利。

在数据保护法领域，GDPR协调了欧洲数据保护法的基本原则和规则，私人执法规则主要由欧盟法规定，但利息金额、诉讼时效期等仍由国家法律管辖。未来，CJEU可能进一步扩大GDPR协调范围，增强数据保护法私人执法的效力。

（四）损害及损害赔偿金额

多年来，私人反垄断诉讼因涉及复杂的法律和经济问题，已成为专业知识要求极高的领域。原告常需承担高额前期成本，依赖专家意见证明索赔，且诉讼和证明标准的变化增加了非专业律师的挑战。尽管欧盟指令第17条（1）款尝试改进损害赔偿评估，但效果有限。而第17条（2）款引入的卡特尔损害推定虽具意义，但各成员国实施的做法差异大。例如，匈牙利和拉脱维亚引入了卡特尔导致的超额收费的推定，而罗马尼亚甚至将推定的超额收费提高到20%。[3]

在数据保护领域，GDPR规定的非财产损失评估尤为复杂，缺乏明确标准，往往需要法官的主观判断。法院常参考类似案例中的判决金额，但因GDPR较新，评估标准仍在探索中。

欧洲立法机构可通过提供非财产损害评估标准辅助法院，促进GDPR统一应用。在GDPR修订时，应考虑集成此类标准，并借鉴统一应用经验。同时，CJEU将根据现行法律发展标准。

三、结语

在数字化时代，GDPR的正式实施加强了数据主体的法律保护力度，也进一步提升了数据处理的规范性和透明度。而欧洲的竞争法领域在私人执行机制方面拥有着悠久的历史，多年来，竞争法通过不断的实践和完善，已经形成了一套成熟且有效的私人执行体系。因此，当我们探讨数据保护法领域的私人执行问题时，竞争法中的相关概念和研究成果无疑为我们提供了宝贵的参考和借鉴。

私人执法在两领域均被视为公共执法的补充，赔偿功能关键。竞争法中的公共与私人执法协调更复杂，与数据保护法在行动类型上存在差异。数据保护法中独立行动较普遍，竞争法多针对已查处案件进行赔偿。两领域在“欧洲化”进程中均有进展，但损害赔偿方面存在显著差异。数据保护法需补偿各类损失，竞争法则不包括非财产损失。

在数字化加速的今天，私人执法的作用将越来越多地与传统的公共执法机制相互补充，这进一步加大了企业彻底遵守法律规定的必要性。

参考文献

[1]《数据保护杂志》（ZD）2020年，第649页，第76段及以下.

[2]《新竞争法杂志》（NZKart）2021年，第44页，第58段及以后-铁轨卡特尔V案.

[3]Laborde，J.-F.（2021）.《欧洲的卡特尔损害赔偿诉讼：法院如何评估卡特尔引起的价格上涨-第2部分》.*新竞争法杂志 （NZKart）*，第9-11页.

[4]Korch， S.（2021）.《数据保护侵权的赔偿》.*新法学周刊 （NJW）*， 978， 979f.