欧盟数据治理的新发展
2022-11-04 09:36:12 | 来源:人民法院报 | 作者:沈浩蓝
 

  今年6月23日,欧盟《数据治理法》正式生效。该法与欧盟委员会于今年2月公布的《数据法:关于公平访问和使用数据的统一规则的法规提案》草案(以下简称《数据法案》)均为践行欧洲数据战略的关键立法成果,代表了欧盟数据治理的最新发展趋向。在大数据时代,如何释放数据资源价值、助推数据要素市场培育,是数据基础制度构建需要考虑的重要命题,欧盟关于数据治理的最新发展带来一定的启示。

  欧盟数据治理的战略转向

  2020年2月,欧盟发布欧洲数据战略,在数据治理领域发生了重大战略转向,其立法侧重从保护公民个人数据隐私转为促进数据流通利用,个人数据的定位亦发生了从人格承载向重要资产的转变。

  欧盟一直致力于提高个人数据保护水平,2018年5月正式施行的《通用数据保护条例》(GDPR)是这一立法理念的代表产物。该法旨在通过加强对数据控制者和处理者的规制,维护和扩大公民对其个人数据的控制权,被称为“史上最严”个人数据保护条例。《通用数据保护条例》背后存在欧盟立法者基于历史与现实的双重考量。一方面,由于历史原因,欧盟非常强调对公民数据隐私的保护,将公民对自己的个人数据的控制上升到基本权利的高度。另一方面,由于欧洲在全球数字竞争中的常年失利,其无法抗拒美国互联网巨头在本地区的全面渗透,因此,欧盟在进行数据领域的顶层设计时,将个人数据保护的价值位阶置于数据流通利用之上。

  《通用数据保护条例》在相当程度上扮演了贸易壁垒角色,提高了他国互联网企业进入欧洲市场的成本。同时,欧盟试图通过对外输出占据道德高地的欧盟标准,以获取与美国等数字经济领先国家在全球数字贸易谈判中的优势,扭转自身在全球数字竞争中的不利局势。

  但是,《通用数据保护条例》事实上亦是一柄双刃剑,其过于严苛的个人数据处理规则在一定程度上扼杀了中小型互联网企业的创新和新技术的开发、应用与推广,将直接削弱欧盟在全球数字市场中的竞争力。在《通用数据保护条例》施行一周年之际,美国信息技术和创新基金会下属的数据创新中心发布的《GDPR实施一年以来的影响》报告指出,《通用数据保护条例》并未产生欧盟立法者预期的积极效果,反而存在对欧盟经济的消极影响。其在增加企业数据合规成本、损害科技公司创新和竞争力的同时,也增加了消费者获取在线服务的成本和不信任感。欧洲政策制定者同样意识到了《通用数据保护条例》对欧洲数字竞争力的潜在限制。随着全球数字经济向纵深发展,欧盟在数据治理领域的战略目标逐渐转变为促进欧洲数据价值的释放。

  欧盟数据治理的主要内容

  欧洲数据战略目标的实现是基于“数据治理”“投资”“赋能”“公共数据空间”四大支柱之上。作为该战略现阶段的两项可交付成果,《数据治理法》《数据法案》均以促进欧洲数据价值的释放为目标,但各有侧重,分别指向公共部门与私人部门所持有数据的共享利用。

  《数据治理法》共9章38条,主要内容涵盖以下三个方面:

  1.公共部门数据的重用条件。“重用”是指自然人或法人对公共部门所持有的某些数据的重新使用,该使用需基于公共任务之外的商业或非商业目的。《数据治理法》规定,重用应遵循非歧视性、透明、合比例和客观合理等条件,这些条件不应被用来限制竞争。公共部门应对数据进行安全处理,确保数据在其提供或控制的安全处理环境中被访问和重用,确保数据所承载的其他受保护利益,如个人数据、商业秘密、知识产权等,不因重用而被损害。

  2.数据中介服务监督框架。数据中介服务提供者,是指在数据持有者与潜在数据使用者之间提供技术、实现数据共享的从业者。《数据治理法》规定,数据中介服务提供者应向数据中介服务主管部门告知其服务提供及相关信息。相关主管部门应对数据中介服务提供者是否符合法定条件予以确认,对数据中介服务提供者的合规情况进行监督。

  3.数据利他主义。数据利他主义是指为公共普遍性利益,数据主体自愿无偿共享其个人数据,或数据持有者自愿共享其非个人数据而不寻求或获取超出数据收集成本的补偿。《数据治理法》规定,成员国可以通过在组织或技术方面的安排以促进数据利他主义。被认可的数据利他主义组织应履行保障数据主体和数据持有者数据上权益的义务,并由相关主管部门予以合规监管。

  《数据法案》引入了互联产品这一对象。互联产品是一种与互联网相连的设备,能够收集和共享在用户使用过程中产生的海量个人数据与非个人数据。互联产品在大数据时代的应用范围非常广泛,包括机动车、医疗设备、工业设备和智能包装等。

  《数据法案》制定了涵盖公私主体的“互联产品数据”访问与使用规则,主要内容有以下两点:

  1.数据持有者向私人部门的数据共享。《数据法案》规定,互联产品与相关数字服务的用户享有访问、使用互联产品数据和要求数据持有者向第三方提供数据的权利,即“数据可携带权”。为保障该权利实现,数据持有者具有应用户要求共享互联产品数据的义务。但为避免因数据共享损害数据持有者竞争利益,《数据法案》规定了用户或接收数据的第三方关于数据使用和披露的限制和义务。

  2.数据持有者向公共机构的数据共享。《数据法案》允许公共机构为公共紧急情况的应对、预防或从中恢复等基于公共利益的特殊需要使用互联产品数据。收到公共机构数据使用请求的数据持有者有义务及时提供数据。请求提供的数据如果涉及个人数据,数据持有者应当对数据进行假名化处理。除应对公共紧急情况外,公共部门机构基于其他特殊需要使用互联产品数据的,数据持有者有权获得补偿。

  几点思考

  构建公共数据共享责任清单制度。公共数据的“沉睡”是极大的资源浪费。《数据治理法》关于公共部门数据重用机制的创设为相关规则构建带来了启示,可以通过数据共享责任清单来实现公共部门数据共享。责任清单的这一优势与数据重用的“非歧视性、透明、合比例和客观合理”要求相合,有助于促使公共部门数据向私人部门的共享。

  以多元规制模式破除平台数据垄断。破除平台数据垄断是实现数据流通利用、价值释放的前置条件。《数据法案》对大型数据从业者的数据垄断地位提出挑战,试图通过重塑平台经济领域的现有权力结构,维护数据作为非竞争性商品的地位。未来,在立法层面,可采用以反垄断法为主、数据共享相关立法为辅的综合规制路径,促进并规范大数据市场的有序竞争。在实施层面,应建立系统、协同、高效的反垄断执法体制,对居于数据垄断地位的平台要重点强化预防性事前监管,灵活运用多种政策手段以破除平台数据垄断。

  建立企业数据开放激励机制。在大数据时代,数据是一项能为其拥有者创造巨大经济价值和竞争优势的资源,而数据的提取、汇总和安全化将为数据共享者带来额外的成本。因此,在无额外激励的情况下,数据持有者不具有共享数据的意愿。欧盟立法者试图通过义务创设倒逼数据持有者共享数据,必然难以获得数据行业的支持。此外,尽管欧盟立法者认可数据提供者获得经济补偿的权利,但《数据法案》中规定了十分严苛的经济补偿规则,这更加深了数据行业对该项立法的排斥。

  在当前阶段,相较于立法为企业创设数据共享义务,更适宜出台相关政策鼓励企业数据开放共享。例如,将“企业数据开放共享”纳入企业科技创新考核标准中,对促进数据要素价值转化有突出贡献的企业予以特别奖励。同时,应积极推进大数据基础设施建设,为企业数据开放共享提供技术支持,解决广大企业,特别是中小型企业的数据提供与获取难题。[本文系中国法学会2022年度部级法学研究课题一般课题“数据要素市场化配置视角下个人信息处理规则的设计”(课题编号:CLS(2022)C41)的阶段性成果]

  (作者单位:西南政法大学)

责任编辑:黄东利