歐盟數據自由流動立法的啟示

閆曉麗

2018年10月4日，歐洲議會通過了《非個人數據自由流動框架條例》（以下簡稱《條例》），預計歐盟理事會將盡快通過并正式實施。《條例》對成員國的數據本地化要求進行限制，并對國家機關獲取數據、數據自由遷移等問題作出了規定。它與2016年發布的《通用數據保護條例》組成一套連貫的規則，共同構成了歐盟數字經濟的重要法律基礎。當前，我國正在加快發展數字經濟，有必要參考歐盟做法，建立數據自由流動規則體系，充分挖掘數據價值和潛力。

《條例》消除數據在歐盟境內自由流動的障礙

對各成員國的數據本地化提出要求。基于數據監管等方面考慮，歐盟多個成員國出臺了數據本地化的規定，有研究表明，過去10年間成員國數據本地化的措施翻了一番。為加快構建歐盟單一數字市場，《條例》明確對此作出限制：一是除非基于公共安全的理由，數據本地化要求應當被禁止;二是成員國立法引入新的數據本地化要求或者對現行要求作出修改，應當按照程序報告歐盟委員會;三是在《條例》實施之日起24個月內，成員國應當廢除現行的數據本地化措施;四是成員國應當通過國家單一信息站點公開數據本地化要求的詳細信息，并保持更新。

確保成員國主管部門的數據獲取權限。《條例》不影響成員國主管部門依據法律法規獲取或訪問數據。一是當成員國主管部門提出訪問數據的請求時，不得以該數據由另一成員國處理為由而拒絕。二是當成員國主管部門提出訪問數據的要求后未能獲得訪問數據，且歐盟法律或國際協議下不存在不同成員國主管部門交換數據的具體合作機制的，一國的主管部門可以按照程序要求另一成員國主管部門予以協助。三是根據歐盟或成員國法律，成員國對未遵守數據提供義務的行為可實施有效、適當的處罰。

保障“專業用戶”能夠自由地進行數據遷移。針對歐盟境內云計算等服務商利用技術、合同等手段鎖閉用戶的情況，《條例》提出保障“專業用戶”對數據進行自由遷移：一是將“專業用戶”界定為：基于貿易、商業、手工業等相關目的而使用或請求數據處理服務的自然人或法人;二是歐盟委員會鼓勵和促進歐盟層面制定自律性行為守則，行為守則應涵蓋幾個方面，包括：向用戶提供數據遷移的流程、技術要求、時間等的詳細信息，協助“專業用戶”對數據服務認證機制進行比較等。

《條例》是歐盟數字經濟發展的重要基礎和保障

《條例》確立了歐盟境內非個人數據自由流動規則，與《通用數據保護條例》共同構成了歐盟數字經濟的法律基礎。2016年發布的《通用數據保護條例》建立了歐盟內部統一適用的個人數據保護規則，成員國不得以個人數據保護為由限制或禁止個人數據在歐盟境內的自由流動。《條例》針對非個人數據，如匿名化數據、精確農業數據、有關工業機器維護需求數據等，建立了與《通用數據保護條例》具有連貫性的規則，成員國除非基于公共安全的理由，不得以數據本地化要求限制數據在歐盟境內的自由流動。它與《通用數據保護條例》為所有類型數據在歐盟境內的自由流動奠定了法律基礎。

《條例》鼓勵服務商制定數據遷移的自律行為守則，以解決服務商鎖閉用戶問題，有助于數據服務市場的良性發展。無障礙地進行數據遷移是發揮數據價值的重要方面，考慮到數據在不同服務商之間遷移的復雜性，《條例》沒有直接對數據遷移作出詳細要求，而是由歐盟委員會鼓勵、促進和監督數據服務商制定自律行為守則，并評估此類行為守則的發展情況和實施效果。這不僅能夠促進數據服務市場的競爭和規范化，而且使“專業用戶”能夠以更具效率的方式存儲和處理數據，不必多次復制數據，從而吸引更多用戶使用數據服務，促進數據服務市場發展。

《條例》明確數據自由流動時仍適用2016年《歐盟網絡與信息系統安全指令》，確保了對數據的高水平保護。歐盟對個人數據和非個人數據實行高保護水平下的自由流動。《通用數據保護條例》明確了個人數據保護的要求，包括：數據處理應當經數據主體同意，數據主體擁有刪除權、攜帶權等權利，數據處理的企業、機構應當滿足隱私保護設計要求等。非個人數據方面，沒有針對性的數據保護要求，但《條例》明確，非個人數據保護仍適用2016年《歐盟網絡與信息系統安全指令》的相關要求，包括確定并采取適當、相稱的技術及組織措施，以管理非個人數據所在網絡和信息系統所面對的安全風險，所采取的措施應確保與所涉風險相稱的安全水平。

對我國的啟示

基于不同的價值考慮，制定個人數據和非個人數據的自由流動規則。個人數據承載了人的隱私權利，因此在歐盟個人數據流動以個人同意為前提，且數據流入國應實施與歐盟同等水平的數據保護;對非個人數據，歐盟重在挖掘數據價值，因此除非基于公共安全的理由，不得要求數據本地化。

我國也應基于不同的價值考慮，制定個人數據和非個人數據差異化的自由流動規則，尤其是在數據跨境流動方面，應區分個人信息和重要數據出境安全評估的目的，個人信息側重隱私保護，重點評估數據能否獲得較高水平保護，重要數據出境則重點評估對國家安全的影響。

針對數據自由流動出現的問題，加快法律法規和標準規范制定。當前數據境內自由流動面臨的主要問題有：數據權屬界定困難，缺乏相應的數據權屬規則;數據資源開放共享程度低，開放共享制度不健全，數據規范和標準不統一;尚未建立公平、透明的數據的流通和交易規則。建議：一是加強數據資產和權屬研究，通過法律修訂等明確數據資產權益歸屬原則，及數據擁有者、使用者、管理者等各方權利義務;二是制定政府公共數據開放共享規則，建立政府數據資源共享和開放目錄;三是建立數據交易規則與標準體系，完善數據交易監管機制。

規范數據服務市場，加強用戶權益保障。目前我國對數據服務市場中各類主體規范不夠，既不利于數據服務市場發展，也難以有效保障用戶權益。

建議參考歐盟做法，對數據服務商行為提出原則性要求，鼓勵和監督服務商通過自律行為守則等方式落實法律法規和監管機構要求，更好地保障用戶權益。