GDPR時代的數據共享治理路徑

□ 吳沈括 李雨鑫

2018年5月25日，歐盟GDPR（一般數據保護條例）正式生效，這無疑是歐盟乃至全球在數據保護方面的里程碑事件。GDPR時代的到來意味著歐盟為個人隱私保護設置了嚴格的屏障，開啟了數字時代的新紀元。不可置否，數字時代給世界各國都帶來了機遇和挑戰，歐盟委員會自2014年以來就高度重視數據資源的運用，發布了若干有關重視數據潛力的政策倡議。2018年4月，歐盟委員會發布由其委托咨詢公司Everis編制的《歐洲內公司間數據共享研究》（Study on Data Sharing Between Companies in Europe）報告，生動反映了數據共享治理的歐洲進路。該報告證實，盡管歐盟在數據保護方面提出較為嚴苛的要求，但歐洲公司間的數據共享已相當成熟。隨著GDPR的正式適用，公司間數據共享必將面臨更嚴峻的挑戰，據此，筆者通過探析報告內容進而為GDPR時代的數據共享治理路徑作出進一步詮釋。

GDPR語境下數據共享概覽

1）相關概念界定

共享是個較為宏觀的概念，應當包括分享和重用。數據共享通常包括數據的供應和需求2個方面，即公司間數據共享應當包括提供數據以及被授予訪問數據權限的兩方主體。 “數據分享”（data sharing）一詞嚴格限制在數據供應方,即生成或存儲數據的公司,該主體使其生成或存儲的數據可供其他公司使用。而“數據重用”（data re-use）則指的是需求方面,也就是訪問其他公司數據的一方主體。具體來看，“數據分享”與“數據重用”的概念應作如下界定。

數據分享是指公司使其數據可供另一家公司使用的過程,另一家公司既不屬于該公司的市場競爭對手也不是其分包商,僅是為了商業用途而對這些數據感興趣。數據是由分享數據的公司生成或收集存儲的。

數據重用是指公司基于其自身的商業目的(不包括承包商與分包商之間的關系)，對另一家公司(不是直接市場競爭對手) 的數據進行重復使用的過程。

需要強調的是，不管是 “數據分享”還是“數據重用”，公司間數據共享的過程中交易可以是免費的，也可以是以提供包括服務在內的報酬或補償為基礎而開展的。

2）數據共享的形式

報告基于所收集的作為典型案例的16家公司經驗，確定了5種數據共享的形式，這也是在GDPR時代數據共享能夠廣泛實現的形式。

（1）數據貨幣化

所謂數據貨幣化是指公司在經過個體適當許可的前提下，通過與其他公司共享數據而為公司獲取收益的方法。當然，數據也可以通過提供服務實現貨幣化。

（2）數據市場

數據市場是數據交易中受信任的中間人,通過建立安全的在線平臺，使數據供應方和數據需求方在平臺上進行數據交易。在這種情況下，管理數據市場的公司通過數據交易獲取收益。

（3）行業數據平臺

行業數據平臺是為了促進公司間數據共享的協作而創建的。具體地說，一些公司為了促進新產品/服務的開發、提高其內部效率，而自愿選擇加入一個封閉、安全和專屬的平臺，以便共享數據。在這種環境下，數據通常免費共享（也可以考慮付費共享）。這些平臺不同于通過共享數據取得收入的數據貨幣化公司，它們更關注于提升成員在運營等方面的能力。

（4）技術支持者

研究中還發現存在這樣一類公司，它們可能類似于行業數據平臺或數據市場，但不同的是，這類公司作為數據共享過程中的第三方，專門從事并致力于通過技術解決方案實現數據共享。與行業數據平臺或數據市場相反，其收入不是通過共享數據，而是通過其解決方案的設置、實施和維護來實現。

（5）開放數據策略

有些公司采用公司間開放數據政策，這些公司有時在法律上有向第三方提供數據的義務。它們通過共享數據以促進新產品、新服務的開發，通常是免費的，在例外情況下，可能會要求適度支付其提供數據所花費的時間成本。

3）數據共享的意義

GDPR為公司在數據使用方面設置了較為嚴苛的規則，因此，在GDPR時代背景下，公司想要發展必須將數據資源的有效性發揮到最大化，數據共享對每一個公司尤其是互聯網公司而言更是意義空前重大。公司間可以通過共享數據探索開發新業務模式、新產品和新服務的可能性，通過與其他公司建立伙伴關系，數據供應公司可以將其數據貨幣化進而為公司創收。同時，據研究顯示，隨著參與公司間數據共享活動的比例增加，公司總收入也在增加。

此外，通過對調研收集到的信息進行分析，研究指出，許多公司因不參與共享數據而失去很多商業機會。雖然該結果需要謹慎解讀，但有跡象表明，如果公司投入大量資金獲取實時或本地化/定位數據可能會對公司業務產生積極影響。而在GDPR時代這一現象將會更加凸顯。因此，公司間數據共享對促進公司發展、推動國家和地區經濟進步有著積極作用。在GDPR時代，公司應當考慮充分參與數據共享，國家也應當高度重視數據共享層面的各方問題。

GDPR時代的數據共享現狀

1）歐盟關于數據共享的政策和立法

近年來，歐洲各級采取了各種法律和政策舉措來促進公司之間的數據共享。數據作為促進歐洲經濟繁榮發展的關鍵資產的重要性已經得到廣泛認可。早在2013年10月，歐盟理事會就制定戰略議程，呼吁在數字單一市場整合領域采取行動，促進所有經濟領域的數據驅動型創新，在歐洲數字經濟領域進行大量投資，并推廣戰略性技術，以改善獲取途徑并在整個經濟中共享數據。

（1）推動歐盟層面數據經濟的政策

歐盟委員會于2014年7月發布了“促進蓬勃發展的數據驅動型經濟的通信”。該文件承認，歐洲在數據研究和創新方面缺乏資金，法律環境的復雜性以及企業特別是中小企業無法獲取大量數據。因此，歐盟委員會強調需要建立適當的政策框架，以提供法律確定性環境并促進涉及大數據的業務運營。

繼此之后，2015年5月，歐盟委員會制定了“數字單一市場（DSM）戰略”，將創建綜合數字單一市場定義為其關鍵的政策優先事項之一。該戰略旨在確定一個監管框架，解決和消除當前數據自由流動的障礙和限制。在DSM戰略的框架內還宣布了“數據自由流動”的倡議。

2017年1月,歐盟委員會發布了關于建立歐洲數據經濟的通信。這些文件普遍承認,蓬勃發展的數據經濟要求各公司能夠訪問大型和多樣化的數據, 同時確保充分尊重個人數據的保護。值得注意的是,文件側重于機器生成的數據, 即未經人類直接干預而產生的數據, 無論是個人的還是非個人的。

同樣在2017年，實施數字單一市場戰略實施情況的中期審查指出, 歐洲服務部門需要全面數字化，并呼吁進一步投資于數字技術和基礎設施,使企業能夠充分利用云計算和大數據解決方案。它重申, 必須保證一個公平、穩定和可信的環境, 以促進企業的數據共享。

（2）歐盟層面與數據共享相關的立法

數據保護領域的主要立法即為一般數據保護條例（GDPR），條例于2016年5月生效，并于2018年5月25日起正式適用于歐盟經濟區國家。GDPR是對指令95/46/EC的取代，旨在通過建立一套共同的規則來協調現有的國家法律，是加強個人數據保護的關鍵工具。

除GDPR外，歐盟數據保護立法框架的另一部分是所謂的電子隱私指令，目前正在審查中。該指令旨在確保電子通信服務使用者擁有高水平的隱私保護。除了電信運營商，該指令還將涵蓋電子通信所產生的內容和元數據,這2種信息都受到高隱私標準的約束, 因此,它們的處理需要數據主體的同意。一旦個人同意,電信運營商可能會擁有更多使用數據和提供額外服務的機會。

最后, 數據庫指令規定,數據庫的創建者有權控制訪問和重用其內容, 但前提是數據庫的創建涉及很大程度的投資。從2017年8月開始, 歐盟委員會發起了一次公眾咨詢,以評估指令對用戶的影響、其功能以及調整它的可能方法。大多數答復者認為,該指令最初的目標今天仍然有效,盡管對該指令設法實現這些指標的程度沒有統一的意見。大多數答復者還認為,該指令確立的特殊權利足以保護在建立和維護數據庫方面所作的投資,但對于這項權利目前的范圍是否足夠全面以及指令能否在數據庫所有者和使用者的權利和利益之間取得適當平衡方面存在分歧, 對于應采取何種辦法,也沒有達成共識。

2）影響數據共享實現的障礙

GDPR無疑為公司間數據共享的實現帶來了一定程度的法律困境，除此之外，公司間分享和重用數據還面臨著技術等方面的障礙，具體闡釋如下。

（1）數據分享的障礙

①法律障礙

法律的障礙是影響公司參與數據共享的重要因素。首先，現有的法律規范在“數據所有權”以及數據訪問權限等方面缺乏明確規定，使得公司在獲取、使用和分享數據時面臨著權屬方面的法律不確定性；其次，在GDPR時代背景下，公司需要高度重視數據保護:一方面，GDPR使得公司在數據處理合規層面存在困難和挑戰；另一方面，為了滿足GDPR的相關要求，公司在使用和共享數據時可能會付出高昂的成本和代價；此外，盡管GDPR已經正式適用，但是歐盟關于數據保護的規則仍然缺少明確指引；最后，在關于歐洲數字化法律問題的研究中發現，數據本地化限制也是影響公司間數據共享的因素。

②技術障礙

技術障礙是公司參與數據共享所面臨的另一主要障礙。具體體現在以下幾個方面：首先，互聯網的飛速發展要求公司不斷改進數據存儲、處理等方面的技術手段，這一現實因素的存在以及由此產生的一系列資金成本問題對數據共享的實現提出挑戰；其次，各個公司可能存在不同的數據存儲格式,缺乏統一的數據處理標準，為數據的流轉增加了難度；此外，數據質量差以及用于共享數據的平臺體系結構的復雜程度等問題也是阻礙公司間數據共享的重要因素；最后，公司間在技術層面缺乏信任也會影響其共享數據。

③其他障礙

公司內部缺乏熟練的數據工作者；由于數據不準確或誤用以及難以找到適當的方法來許可數據的使用,導致對公司的名譽成本的擔心；契約不確定性；在數據共享造成損害時, 責任成本的不確定性均是影響數據共享的障礙。此外，有限的財政資源以及缺乏對數據潛力的了解也是影響數據共享的障礙。

（2）數據重用的障礙

對于數據需求方所面臨的障礙也應當有所明確。據研究顯示，大部分公司面臨著一個反復出現的障礙，即被數據供應方拒絕訪問相關數據；此外，數據供應方施加的不公平或濫用條款也是數據需求方訪問數據的又一常見障礙；同時，報告指出，缺乏數據標準化是導致數據需求方重用數據時產生高昂成本費用的因素；最后，數據本地化限制、數據供應方無法預料的數據訪問終止、缺乏足夠的數據技能也是阻礙數據重用的因素。

GDPR時代的數據共享治理路徑構建

GDPR時代的到來證明，數據保護的重要性在歷史的演進過程中達到了空前的高度。在開啟了GDPR時代的今天，數據共享的治理路徑迎來了轉型的契機，在基于數據保護的前提下，也應服務于數據共享的需要。因此，報告綜合各方面，為GDPR時代的數據共享治理構建了一套切實可行的路徑。

（1）進一步發展公司間數據共享的概念

歐盟委員會應與公司和利益相關方共同制定公司間數據共享和相關術語的概念，進而彌合現有的知識缺口，改變對業務關系中的數據分享和重用缺乏理解的現狀。

（2）提高關于公司間數據共享的意識

歐盟委員會和各國政府應當組織活動，使更多公司和利益相關者參與數據共享。具體而言，活動側重于闡明不同形式的數據共享均可以在業務關系中進行, 以及此活動可能帶來的好處，并確保目前的法律和政策框架為各規模的企業所熟知；此外，鼓勵歐盟委員會繼續采用政策和實踐導向的文書，如通信、建議、決議或準則，提高對數據共享益處的認識；最后，為已經從事數據共享的公司提供可見性，也為有意提供數據或訪問他人數據的公司帶來更明確的指導。

（3）提供相關法規和指令的指導

為了能夠協助各公司更切實有效地了解相關法律規范文件,要求歐盟委員會就有關條例和指令提供指導，確保重要法規和指令能夠得到明確理解；明確不同法規和指令的法律含義和范圍，特別是GDPR的相關規定；了解數據合規的要求以及如何處理數據誤用的情況。

（4）監督和評估法規的實施情況

歐盟委員會提出的法規在應用上缺乏明確性，需要對法律和政策舉措進行密切跟蹤并進行評估。因此，歐洲聯盟委員會應從公司間數據分享的角度監測并評估條例和指令的執行情況，同時，繼續與公司和利益相關方進行磋商，了解遵守法律規范的過程中所遇到的障礙。

（5）共同開發公司間數據共享框架

考慮到公司間數據分享和重用將在未來5年內增長, 歐盟委員會應建立一個數據共享框架。這個通用框架旨在闡述參與公司間數據分享和重用的基本概念、原則和條件。并提供向其他公司轉移和訪問數據的建議。該框架應與公司和利益相關方共同協商制定。

（6）支持數據互操作性和標準的開發

考慮到已經確定的數據共享方面的技術障礙,因此鼓勵歐盟委員會支持發展數據互操作性和標準,同時，鼓勵公司（包括中小公司）共同參與，以確保考慮到他們的需求和挑戰。

（7）為公司參與數據共享提供資金支持

歐盟委員會應當利用當前的資金計劃來支持公司參與數據共享，比如，鼓勵公司建立協作平臺。同時，歐盟委員會要支持初創公司創建技術解決方案，以增強公司間數據共享。

結 語

當前，數據作為重要的資產呈現爆炸式的增長，全面考驗著互聯網公司在數據處理等方面的能力。數據作為重塑市場競爭格局的有力抓手，對其進行有效利用，是有助于各方公司在日益激烈的競爭環境中保持活力的關鍵因素。為了最大限度地利用數據，公司間應當在現有規則的框架下進行數據共享，力求實現共贏。

不難看出，歐洲聯盟委員會委托咨詢公司Everis開展的這項研究，生動反映了有關歐洲公司間數據共享的各方面內容，為加深對歐洲經濟區內公司之間數據共享的理解、掌握歐洲經濟區內公司之間數據共享的潛力提供有力支撐，對于構建GDPR時代的數據共享治理路徑具有明顯的標示意義。GDPR時代的到來為個人數據保護設置嚴格的屏障，也為公司盤活數據資源帶來進一步的系統挑戰。