基于數(shù)據(jù)治理的歐盟法律體系建構(gòu)研究

林梓瀚

(中國信息通信研究院政策與經(jīng)濟研究所 北京 100191)

(linzihan@caict.ac.cn)

當(dāng)前，人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)、5G等新技術(shù)的發(fā)展所帶來的數(shù)據(jù)治理問題日益引起人們關(guān)注.人工智能需要海量數(shù)據(jù)來進行深度學(xué)習(xí)，使得人工智能數(shù)據(jù)采集日益常態(tài)化.區(qū)塊鏈開放性的特點使得任何人都可以通過公開的接口查詢區(qū)塊鏈的數(shù)據(jù)，個人隱私泄露成為必然.5G網(wǎng)絡(luò)帶來人工智能、物聯(lián)網(wǎng)的井噴式發(fā)展，使萬物互聯(lián)成為現(xiàn)實，在萬物互聯(lián)的時代，數(shù)據(jù)治理面臨極大的挑戰(zhàn).如何保護數(shù)據(jù)安全，維護個人隱私，實現(xiàn)數(shù)據(jù)的科學(xué)化、系統(tǒng)化治理成為全球日益關(guān)注的問題.數(shù)據(jù)治理是一項系統(tǒng)工程，不僅涉及技術(shù)、經(jīng)濟、法律，還涉及政策、環(huán)境、公共管理多個方面[1].在數(shù)據(jù)治理方面，歐盟走在世界的前列，從法律入手，歐盟通過構(gòu)建法律體系進行數(shù)據(jù)治理，從而保護歐盟數(shù)據(jù)安全，維護歐盟數(shù)據(jù)利益，同時促進數(shù)據(jù)對數(shù)字經(jīng)濟的賦能.

1 歐盟數(shù)據(jù)治理法律體系的建構(gòu)演進

歐盟數(shù)據(jù)治理法律體系的建構(gòu)演進主要分為5個階段：1981年的公約階段；1995年的指令階段；2016年的條例階段；2018年的條例配套法律階段；2020年始的數(shù)據(jù)戰(zhàn)略階段.當(dāng)前歐盟已經(jīng)建構(gòu)起關(guān)于數(shù)據(jù)治理的法律體系，在數(shù)據(jù)保護與使用的律法制定方面繼續(xù)在全球處于引領(lǐng)地位.

第1階段：歐洲委員會(Council of Europe )制定約束性公約.1981年1月，歐洲委員會各成員國在法國斯特拉斯堡簽署了《有關(guān)個人數(shù)據(jù)自動化處理的個人保護公約》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)(簡稱為108號公約).108號公約是全球第1份關(guān)于個人數(shù)據(jù)保護的約束性公約，該公約目的是在每個締約方的領(lǐng)土上確保每個人，無論其國籍或住所，在對其進行自動化處理個人數(shù)據(jù)時應(yīng)尊重其權(quán)利和基本自由，尤其是對其隱私權(quán)的尊重[2].公約效力的實現(xiàn)依賴于簽署國對公約的適用，從108號公約的實施效果看，其并未達到預(yù)期，截至1989年底公約只獲得7個歐共體成員國的批準(zhǔn)，而已批準(zhǔn)生效的成員國均沒有建立配套的國內(nèi)實施法規(guī)[3].

第2階段：歐盟基于公約統(tǒng)一指令.由于108號公約沒有取得如期的效果，歐洲各國在個人信息保護立法方面存在著差異，因此歐洲委員會決定起草一個指令以提高歐洲個人信息保護法律的統(tǒng)一程度[4].為此歐州委員會在1990年向歐洲理事會(European Council)提交了《關(guān)于保護共同體個人信息及信息安全的指令草案》，開啟了歐洲信息保護法律制度一體化的進程.歐盟成立后，1995年10月24日，歐盟通過《個人數(shù)據(jù)處理保護與自由流動指令》(Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data)(簡稱為95指令)[5]，該指令為歐盟成員國制定和實施通過數(shù)據(jù)保護法律提供了一個基本框架和雛形，深刻地影響了世界對隱私和個人數(shù)據(jù)保護的態(tài)度[6].95指令在108號公約的基礎(chǔ)上作出了一定的補充，確定了在處理個人數(shù)據(jù)時公正合法、知情同意、保障安全等原則，明確了數(shù)據(jù)主體的權(quán)利以及數(shù)據(jù)控制者、處理者的義務(wù)，努力推動成員國在個人數(shù)據(jù)保護領(lǐng)域的立法統(tǒng)一.但95指令本身沒有法律效力，需要成員國轉(zhuǎn)化為國內(nèi)法方可實施，各成員國在具體實施和適用時有各自的考慮與選擇，因此加劇了歐盟境內(nèi)個人數(shù)據(jù)保護立法的沖突與分歧，2003年歐盟委員會發(fā)布的《95指令實施報告》說明了這一情況[7].

第3階段：歐盟將指令升級為條例.由于95指令帶來成員國在個人數(shù)據(jù)保護立法的沖突與分歧，加之技術(shù)的發(fā)展導(dǎo)致數(shù)據(jù)泄露事件頻頻發(fā)生，歐盟迫切需要制定一部更加切合實際、嚴格的立法.自2009年始，歐盟理事會(Council of the European Union)決定以條例的形式取代95指令[8]，因此，2012年1月25日，歐洲議會(European Parliament)公布了《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)的建議稿，并就該建議稿進行公開意見征詢，于2014年形成GDPR草案，旨在在歐盟范圍內(nèi)建立更為統(tǒng)一、嚴格的立法.2016年，經(jīng)過2年的討論與磋商，歐洲議會與歐盟理事會相繼通過該條例，并于2018年5月25日正式在歐盟各成員國生效.與95指令不同，GDPR一旦生效意味著即刻成為各成員國的國內(nèi)法，不用再進行轉(zhuǎn)化便可直接適用，實現(xiàn)了歐盟境內(nèi)有關(guān)個人數(shù)據(jù)保護的立法統(tǒng)一.

第4階段：圍繞GDPR打造配套律法.GDPR正式生效后，由于GDPR著重保護個人數(shù)據(jù)安全，也為了配合GDPR在各成員國的落實適用，歐盟圍繞GDPR打造配套的律法文件.歐洲議會和歐盟理事會于2018年11月14日共同頒布《非個人數(shù)據(jù)自由流動條例》(Regulation on the Free Flow of Non-Personal Data)，該條例旨在保障非個人數(shù)據(jù)在歐盟境內(nèi)能夠自由流動，并于2019年5月28日正式實施[9].《非個人數(shù)據(jù)自由流動條例》的實施對GDPR起到了補充輔助作用，其針對非個人數(shù)據(jù)的相關(guān)規(guī)定彌補了GDPR面向個人數(shù)據(jù)保護的不足.2019年6月27日，歐盟2019年《網(wǎng)絡(luò)安全法案》(EU Cybersecurity Act)正式施行.《網(wǎng)絡(luò)安全法案》中制定了對歐盟機構(gòu)在處理網(wǎng)絡(luò)數(shù)據(jù)安全時應(yīng)當(dāng)遵守的法律規(guī)范，并強化了歐盟網(wǎng)絡(luò)安全機構(gòu)，為GDPR的實施奠定了安全制度框架.2019年6月20日，歐盟通過《開放數(shù)據(jù)和公共部門信息再利用的指令》(DIRECTIVE (EU) 2019/1024 on Open Data and the Re-Use of Public Sector Information)，在涉及個人數(shù)據(jù)保護方面，該指令規(guī)定須在GDPR的基礎(chǔ)上實現(xiàn)對個人數(shù)據(jù)的重復(fù)使用，該指令于2019年7月16日正式生效[10].

第5階段：制定歐洲數(shù)據(jù)戰(zhàn)略，構(gòu)建全面的數(shù)據(jù)治理法律體系.為了提升歐盟單一市場對于數(shù)據(jù)、數(shù)據(jù)賦能和服務(wù)的使用及需求，2020年2月19日，歐盟委員會(European Commission)發(fā)布《歐州數(shù)據(jù)戰(zhàn)略》.《歐洲數(shù)據(jù)戰(zhàn)略》明確提出歐盟委員會在尊重和促進構(gòu)成歐洲社會基礎(chǔ)的基本價值的同時，將采取哪些具體措施使歐盟保持在數(shù)據(jù)敏捷經(jīng)濟的最前沿[11].在數(shù)據(jù)立法方面，《歐洲數(shù)據(jù)戰(zhàn)略》提出為歐洲公共數(shù)據(jù)空間提出一個立法框架，將于2021年提出《歐洲數(shù)據(jù)法案2021》(Data Act)，促進行業(yè)之間橫向數(shù)據(jù)共享.同時，2020年11月25日歐盟委員會通過《歐盟數(shù)據(jù)治理條例》(數(shù)據(jù)治理法案)提案，旨在促進成員國與各部門之間的數(shù)據(jù)共享.加上此前的GDPR以及圍繞GDPR打造的配套律法，歐盟建構(gòu)起數(shù)據(jù)保護-數(shù)據(jù)賦能的全面的數(shù)據(jù)治理法律體系.

2 歐盟數(shù)據(jù)治理的法律體系解析

從GDPR開始，到圍繞GDPR打造配套律法至當(dāng)前提出的歐盟數(shù)據(jù)戰(zhàn)略，歐盟形成了基于數(shù)據(jù)治理的法律體系.從最根本上進行個人數(shù)據(jù)保護與流動，此后在非個人數(shù)據(jù)的流動與保護、數(shù)據(jù)的再利用發(fā)力，在保護的基礎(chǔ)上促進數(shù)據(jù)賦能，構(gòu)建起了數(shù)據(jù)保護-數(shù)據(jù)賦能的法律治理體系.

2.1 GDPR全面保障個人數(shù)據(jù)安全

GDPR由11章共99條組成，主要從2方面對個人數(shù)據(jù)的安全進行保障：一方面擴大數(shù)據(jù)主體的權(quán)利，另一方面增加數(shù)據(jù)控制者、管理者的義務(wù).在擴大數(shù)據(jù)主體的權(quán)利方面，GDPR主要規(guī)定了數(shù)據(jù)的訪問權(quán)、糾正權(quán)、被遺忘權(quán)、限制處理權(quán)及可攜帶權(quán)等權(quán)利，并明確了以同意作為數(shù)據(jù)處理的合法性基礎(chǔ).其中，數(shù)據(jù)主體的被遺忘權(quán)是GDPR最引人注目的設(shè)計[12]，也是數(shù)據(jù)權(quán)利主體權(quán)利擴大的最直接的體現(xiàn).在增加數(shù)據(jù)控制者、管理者義務(wù)方面最主要體現(xiàn)在首先確立了數(shù)據(jù)保護官制度，其次規(guī)定了對數(shù)據(jù)泄露的通知制度.

GDPR第17條明確數(shù)據(jù)主體的被遺忘權(quán)，規(guī)定數(shù)據(jù)主體有權(quán)要求控制者無不當(dāng)延誤地刪除有關(guān)其的個人數(shù)據(jù).在此基礎(chǔ)上，GDPR詳細構(gòu)建了被遺忘權(quán)的構(gòu)成要件，包括主體、客體、適用條件、例外情況及不遵守被遺忘權(quán)的相關(guān)處罰措施[12].GDPR第6，7條為數(shù)據(jù)的處理設(shè)置了“同意”前提，明確了同意作為合法性基礎(chǔ)，并對同意的要件進行了細化，最重要的是規(guī)定數(shù)據(jù)主體有權(quán)隨時撤回他或她的同意，進一步保障了個人對其數(shù)據(jù)的自主處理權(quán)利.

GDPR第37，38，39條對數(shù)據(jù)保護官的任命、地位及任務(wù)作了相應(yīng)的規(guī)定.第37條規(guī)定必須設(shè)立數(shù)據(jù)保護官的3種情況.1)政府部門及公共機構(gòu)作為數(shù)據(jù)控制者進行處理的.2)機構(gòu)核心業(yè)務(wù)涉及以下大規(guī)模活動：日常的以及系統(tǒng)性的監(jiān)控數(shù)據(jù)主體.3)處理特殊類型的個人數(shù)據(jù)，或者數(shù)據(jù)處理活動與刑事定罪相關(guān)[13].第38條與39條則強調(diào)數(shù)據(jù)保護官應(yīng)該履行的相關(guān)義務(wù)，包括向公眾公布信息聯(lián)系方式以及向監(jiān)管部門報告等.在對個人數(shù)據(jù)泄露的通知制度建設(shè)方面，GDPR第33，34條分別規(guī)定了在數(shù)據(jù)發(fā)生泄露時向監(jiān)管部門以及數(shù)據(jù)主體進行通知的時間.其中，第33條規(guī)定應(yīng)至少在知悉此事后72h內(nèi)，將個人數(shù)據(jù)泄露通知給監(jiān)管部門，第34條規(guī)定如果個人數(shù)據(jù)泄露很可能給自然人的權(quán)利和自由帶來高風(fēng)險，則控制者應(yīng)立即將個人數(shù)據(jù)泄露告知數(shù)據(jù)主體，不要過分拖延.數(shù)據(jù)保護官與泄露通知制度實質(zhì)上增加了數(shù)據(jù)管理者、處理者的義務(wù)，但本質(zhì)是為了增加風(fēng)險成本，從而進一步保障數(shù)據(jù)的安全，防止個人信息的泄露.

GDPR除從權(quán)利義務(wù)方面全面保障個人數(shù)據(jù)外，另一個顯著的特點是GDPR擴大了其管轄范圍，從屬地管轄延伸到屬人管轄.屬地管轄體現(xiàn)在對于在歐盟境內(nèi)的機構(gòu)，一律適用GDPR，屬人管轄體現(xiàn)在對于歐盟境外的機構(gòu)，只要其涉及處理歐盟境內(nèi)個體的個人數(shù)據(jù)，將同樣適用[14].此外，依國際公約適用歐盟成員國法律的主體也受GDPR的管轄，如駐成員國的外國大使館等.

2.2 GDPR配套律法促進數(shù)據(jù)流動與再利用

GDPR正式生效后，由于GDPR著重保護個人數(shù)據(jù)安全，為了促進數(shù)據(jù)的進一步開放與非個人數(shù)據(jù)的流動使用，歐盟圍繞GDPR打造一系列律法文件，主要包括《非個人數(shù)據(jù)自由流動條例》《開放數(shù)據(jù)和公共部門信息再利用的指令》《網(wǎng)絡(luò)安全法案》等法律文件，其中關(guān)于數(shù)據(jù)治理比較重要的是《非個人數(shù)據(jù)自由流動條例》與《開放數(shù)據(jù)和公共部門信息再利用的指令》.

當(dāng)前歐盟有成員國要求一些數(shù)據(jù)只能在特定地域進行處理，數(shù)據(jù)處理服務(wù)提供商也往往鎖定相關(guān)數(shù)據(jù)，這些行為嚴重妨礙了歐盟境內(nèi)數(shù)據(jù)的自由流動[9].為消除數(shù)據(jù)自由流動的障礙，歐盟出臺《非個人數(shù)據(jù)自由流動條例》，希望能夠解決成員國數(shù)據(jù)本地化要求等問題，實現(xiàn)歐盟境內(nèi)非個人數(shù)據(jù)的跨國自由流動.因此，《非個人數(shù)據(jù)自由流動條例》要求成員國政府刪除現(xiàn)有的數(shù)據(jù)本地化要求[15].《非個人數(shù)據(jù)自由流動條例》在一定程度上是對GDPR的補充，填補GDPR的立法空白.該條例認為非個人數(shù)據(jù)是指GDPR第4條定義的個人數(shù)據(jù)以外的電子數(shù)據(jù)，如果某一數(shù)據(jù)集由個人數(shù)據(jù)與非個人數(shù)據(jù)組成，則《非個人數(shù)據(jù)自由流動條例》僅適用于其中的非個人數(shù)據(jù).如果數(shù)據(jù)集中的個人數(shù)據(jù)和非個人數(shù)據(jù)之間是不可分割的，《非個人數(shù)據(jù)自由流動條例》并不妨礙GDPR的適用.從管轄范圍上，《非個人數(shù)據(jù)自由流動條例》與GDPR一樣，都實現(xiàn)了從屬地管轄到屬人管轄的延伸，進一步保護歐盟數(shù)據(jù)安全.

數(shù)據(jù)是數(shù)字經(jīng)濟發(fā)展的要素之一，當(dāng)前歐盟的數(shù)據(jù)很大部分來源于公共部門，因此為了促進公共部門數(shù)據(jù)的再利用，歐盟通過了《開放數(shù)據(jù)和公共部門信息再利用的指令》，該指令完全遵循歐盟GDPR的相關(guān)規(guī)定，主要內(nèi)容包括：鼓勵成員國公共部門提供盡可能多的信息以供再利用；引入了高價值數(shù)據(jù)集的概念，包括地理空間、統(tǒng)計、氣象等數(shù)據(jù)集；開放通過應(yīng)用程序編程接口(API)提供的實時數(shù)據(jù)；明確禁止排他性協(xié)議等，此外，由公共資助的研究數(shù)據(jù)也被納入該指令范疇.歐盟委員會規(guī)定，成員國須在2021年7月16日之前適用該指令，接下來委員會將會在2021年通過執(zhí)行法案確定一系列高價值數(shù)據(jù)集.

2.3 基于數(shù)據(jù)保護的數(shù)據(jù)賦能

隨著GDPR的出臺，為了繼續(xù)推動歐洲數(shù)字經(jīng)濟的發(fā)展，使歐盟保持在數(shù)據(jù)敏捷經(jīng)濟的最前沿，歐盟委員會通過了《歐洲數(shù)據(jù)戰(zhàn)略》.《歐洲數(shù)據(jù)戰(zhàn)略》提出歐盟須在數(shù)據(jù)保護、數(shù)據(jù)治理、公民基本權(quán)利及網(wǎng)絡(luò)安全等方面構(gòu)建完善的法律體系框架，數(shù)據(jù)收集及運用過程中必須將個體的利益放在第1位，任何個人的數(shù)據(jù)共享只有基于歐盟的數(shù)據(jù)保護規(guī)則時才有利于數(shù)據(jù)驅(qū)動的創(chuàng)新[16].因此在此前數(shù)據(jù)保護體系的基礎(chǔ)上，歐盟將繼續(xù)出臺《歐盟數(shù)據(jù)法案2021》，以繼續(xù)促進數(shù)據(jù)賦能數(shù)字經(jīng)濟，最終形成歐盟的統(tǒng)一數(shù)據(jù)市場.同時，為了進一步促進歐盟境內(nèi)各成員國的數(shù)據(jù)共享，激發(fā)數(shù)據(jù)潛在價值，2020年11月25日，歐盟委員會通過了《歐盟數(shù)據(jù)治理條例》(數(shù)據(jù)治理法案)提案.

《歐洲數(shù)據(jù)戰(zhàn)略》提出2021年將出臺《歐盟數(shù)據(jù)法案》.該法案總體上有三大目標(biāo)：第一，增加單一市場中數(shù)據(jù)的可用性；第二，確保大量數(shù)據(jù)的互操作與質(zhì)量；第三，賦權(quán)個人行使權(quán)利.針對第1個目標(biāo)，該法案將促進企業(yè)與政府之間的數(shù)據(jù)共享，以實現(xiàn)公共利益.同時，其還將支持企業(yè)對企業(yè)之間的數(shù)據(jù)共享，特別是解決共同生成數(shù)據(jù)使用權(quán)(如物聯(lián)網(wǎng)生成的數(shù)據(jù))有關(guān)的問題[17].針對第2個目標(biāo)，法案將建立1個生態(tài)系統(tǒng)供經(jīng)濟參與者在部門內(nèi)與部門間集合不同的高價值數(shù)據(jù)源.針對第3個目標(biāo)，法案將會增強數(shù)據(jù)主體的能力去行使權(quán)利，如《歐洲數(shù)據(jù)戰(zhàn)略》中提出對于GDPR中第20條有關(guān)個人數(shù)據(jù)的可攜帶權(quán)的加強也將有可能納入《歐盟數(shù)據(jù)法案》中.

作為對《歐洲數(shù)據(jù)戰(zhàn)略》的補充與具體落實手段，《歐盟數(shù)據(jù)治理條例》(數(shù)據(jù)治理法案)確定了系列增加數(shù)據(jù)共享信任度的機制，旨在消除各部門與成員國因缺乏信任所產(chǎn)生的數(shù)據(jù)共享壁壘[18].《歐盟數(shù)據(jù)治理條例》重點對數(shù)據(jù)進行分類，把數(shù)據(jù)分為健康數(shù)據(jù)、移動數(shù)據(jù)、環(huán)境數(shù)據(jù)、農(nóng)業(yè)數(shù)據(jù)與公共行政數(shù)據(jù)，企業(yè)與個人可對上述數(shù)據(jù)進行使用，以促進數(shù)據(jù)驅(qū)動的創(chuàng)新能力.但是，該條例提案提出一種新戰(zhàn)略，即通過一種稱為“數(shù)據(jù)中介”的機制為個人數(shù)據(jù)創(chuàng)建一個泛歐市場，將公民義務(wù)從保護個人隱私轉(zhuǎn)變?yōu)榇龠M數(shù)據(jù)共享.但這一戰(zhàn)略引起爭議，批評人士稱該提議是“保護主義和歧視性的”[19].

3 歐盟數(shù)據(jù)治理法律體系的影響

歐盟通過數(shù)據(jù)立法形成有關(guān)數(shù)據(jù)治理的法律體系，其影響體現(xiàn)在：首先通過立法，歐盟實現(xiàn)了其長臂管轄權(quán)，目的是為了維護其數(shù)據(jù)主權(quán)；其次是立法具有全面性，體現(xiàn)在對個人、平臺、政府等數(shù)據(jù)治理的全面規(guī)制；最后體現(xiàn)在歐盟數(shù)據(jù)治理理念在國際上被廣泛接受，規(guī)則被各國采納，引領(lǐng)全球數(shù)據(jù)治理與立法.

3.1 通過長臂管轄維護數(shù)據(jù)主權(quán)

從2020年起，歐盟委員會接連公布了一系列關(guān)于數(shù)字時代發(fā)展的戰(zhàn)略規(guī)劃，包括《塑造歐洲數(shù)字未來》《人工智能白皮書》《歐洲數(shù)據(jù)戰(zhàn)略》，其中《歐洲數(shù)據(jù)戰(zhàn)略》針對美國科技巨頭意圖非常明顯.2020年7月歐洲議會發(fā)表了《歐洲的數(shù)字主權(quán)》(Digital Sovereignty for Europe)報告，提出歐洲須追求數(shù)字主權(quán)[20]，但是聚焦到數(shù)據(jù)治理，歐盟目的是為了維護其“數(shù)據(jù)主權(quán)”.歐盟通過GDPR以及《非個人數(shù)據(jù)自由流動條例》實現(xiàn)了其長臂管轄.GDPR與《非個人數(shù)據(jù)自由流動條例》擴大了歐盟的管轄范圍，從屬地管轄延伸到屬人管轄.對于在歐盟境內(nèi)的機構(gòu)，一律適用這2個條例，對于歐盟境外的機構(gòu)只要其涉及處理歐盟境內(nèi)個體的個人數(shù)據(jù)，將同樣適用于這2個條例.同時，未來的《歐盟數(shù)據(jù)法案》將會增強數(shù)據(jù)主體的能力去行使權(quán)利，尤其其對GDPR第20條個人數(shù)據(jù)攜帶權(quán)的增強，將進一步有利于歐盟在涉及個人數(shù)據(jù)安全時主張其數(shù)據(jù)主權(quán).

3.2 保障了歐盟內(nèi)部數(shù)據(jù)安全，促進數(shù)據(jù)為經(jīng)濟賦能

數(shù)據(jù)立法的全面性保障了歐盟內(nèi)部數(shù)據(jù)安全，促進數(shù)據(jù)為經(jīng)濟賦能.全面性體現(xiàn)在歐盟通過立法，對個人、非個人、平臺、政府公共部門的數(shù)據(jù)治理進行了規(guī)制，形成全面的治理立法體系，并囊括了數(shù)據(jù)保護、數(shù)據(jù)流動、數(shù)據(jù)使用、數(shù)據(jù)再利用的治理全鏈條.歐盟通過GDPR對個人數(shù)據(jù)進行了全面的保障，通過《非個人數(shù)據(jù)自由流動條例》消除數(shù)據(jù)自由流動的障礙，實現(xiàn)歐盟境內(nèi)非個人數(shù)據(jù)的跨國自由流動，通過《開放數(shù)據(jù)和公共部門信息再利用的指令》促進了公共部門數(shù)據(jù)的再利用.同時，《歐盟數(shù)據(jù)治理條例》(數(shù)據(jù)治理法案)確定了系列增加數(shù)據(jù)共享信任度的機制，旨在消除各部門與成員國的數(shù)據(jù)共享壁壘，未來的《歐盟數(shù)據(jù)法案》則促進企業(yè)與政府之間、企業(yè)與企業(yè)之間的數(shù)據(jù)共享，最終實現(xiàn)歐盟的單一數(shù)據(jù)市場.

3.3 引領(lǐng)全球數(shù)據(jù)立法

數(shù)據(jù)治理理念在國際上被廣泛接受，規(guī)則被各國采納，引領(lǐng)全球數(shù)據(jù)立法.美國的《加州消費者隱私法》、印度的《個人數(shù)據(jù)保護法案》以及巴西的《通用數(shù)據(jù)保護法》，其條款都或多或少地借鑒了GDPR[21].印度的《個人數(shù)據(jù)保護法案》和巴西的《通用數(shù)據(jù)保護法》對數(shù)據(jù)可攜帶權(quán)的定義與GDPR基本一致，同時都要求個人數(shù)據(jù)的管理者任命數(shù)據(jù)保護官，并在進行數(shù)據(jù)處理之前作數(shù)據(jù)保護影響評估.而《加州消費者隱私法》雖然沒有采用數(shù)據(jù)可攜帶權(quán)的說法，但是第1798.100節(jié)也明確規(guī)定允許消費者無障礙地將個人信息傳遞給另一實體，實質(zhì)上實現(xiàn)了數(shù)據(jù)主體的可攜帶權(quán).我國的《中華人民共和國電子商務(wù)法》明確在不同場景中保護個人信息，賦予個人信息主體的“刪除權(quán)”，也在一定程度上借鑒了GDPR的相關(guān)規(guī)定.

4 對我國的啟示

隨著5G技術(shù)的發(fā)展，人類進入萬物互聯(lián)的時代，萬物互聯(lián)加速了數(shù)據(jù)的流動，其中，數(shù)據(jù)的跨境流動尤其加快，這加大了管轄的難度.另一方面萬物互聯(lián)也使數(shù)據(jù)的重要性日益凸顯.因此面對歐盟的長臂管轄，我國應(yīng)該繼續(xù)維護我國的數(shù)據(jù)安全與主權(quán)，同時繼續(xù)驅(qū)動數(shù)據(jù)賦能數(shù)字經(jīng)濟，進一步促進數(shù)據(jù)開放與再利用.

4.1 繼續(xù)推動維護數(shù)據(jù)安全與主權(quán)

當(dāng)前，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國電子商務(wù)法》《中華人民共和國民法典》《中華人民共和國數(shù)據(jù)安全法(草案)》以及《中華人民共和國個人信息保護法(草案)》在數(shù)據(jù)保護方面，都確定保護原則并設(shè)立相應(yīng)的民事、行政、刑事責(zé)任，力圖全方位保障我國數(shù)據(jù)安全，但現(xiàn)有立法缺乏對特定場景的規(guī)定以及數(shù)據(jù)類別的區(qū)分[22]，因此需繼續(xù)推動數(shù)據(jù)安全立法進程及落地.

同時，我國應(yīng)繼續(xù)完善數(shù)據(jù)保護、數(shù)據(jù)本地化及數(shù)據(jù)跨境流動的規(guī)則.GDPR實現(xiàn)了歐盟的長臂管轄，一定程度上實現(xiàn)了歐盟的數(shù)據(jù)安全，但是歐盟的長臂管轄在涉及數(shù)據(jù)跨境流動時很大程度上會侵害他國的數(shù)據(jù)主權(quán)[23].2020年9月8日，國務(wù)委員兼外交部長王毅發(fā)表題為《堅守多邊主義 倡導(dǎo)公平正義 攜手合作共贏》主旨講話，提出《全球數(shù)據(jù)安全倡議》.《全球數(shù)據(jù)安全倡議》提出全球數(shù)字治理應(yīng)遵循秉持多邊主義、兼顧安全發(fā)展、堅守公平正義3原則，并強調(diào)未經(jīng)他國允許不得直接向企業(yè)或個人調(diào)取境外數(shù)據(jù)，旨在保護各國的數(shù)據(jù)主權(quán)并強調(diào)了保護數(shù)據(jù)主權(quán)的重要性.當(dāng)前，《中華人民共和國數(shù)據(jù)安全法(草案)》突破屬地管轄，也適用于我國境外主體，維護了我國數(shù)據(jù)主權(quán)，但是對于詳細的跨境數(shù)據(jù)流動規(guī)則尚未有完善的立法規(guī)制，因此我國應(yīng)繼續(xù)加強數(shù)據(jù)保護立法，加強跨境流動規(guī)則的研究，維護我國數(shù)據(jù)主權(quán).

4.2 驅(qū)動數(shù)據(jù)賦能數(shù)字經(jīng)濟，推動數(shù)據(jù)開放與再利用

2020年4月9日，《中共中央、國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》(簡稱《意見》)正式發(fā)布，《意見》明確提出數(shù)據(jù)作為五大生產(chǎn)要素之一.在數(shù)字經(jīng)濟時代，在數(shù)據(jù)保護的基礎(chǔ)上如何促進數(shù)據(jù)驅(qū)動創(chuàng)新，賦能數(shù)字經(jīng)濟的根本是推動數(shù)據(jù)的開放與再利用，推動數(shù)據(jù)在數(shù)字經(jīng)濟各參與主體之間的共享.目前，全國首部省級層面政府?dāng)?shù)據(jù)共享開放地方性法規(guī)《貴州省政府?dāng)?shù)據(jù)共享開放條例》于2020年12月1日正式實施.該《條例》聚焦政府?dāng)?shù)據(jù)管理、共享、開放,旨在促進數(shù)據(jù)在社會經(jīng)濟發(fā)展中的要素作用，推動數(shù)字經(jīng)濟發(fā)展.2020年12月28日，《深圳經(jīng)濟特區(qū)數(shù)據(jù)暫行條例(草案)》提請深圳市人大常委會會議審議，草案提出建立公共數(shù)據(jù)共享負面清單制度，旨在推動公共數(shù)據(jù)全面共享.未來我國應(yīng)繼續(xù)加強數(shù)據(jù)的要素作用，推動數(shù)據(jù)驅(qū)動創(chuàng)新，賦能數(shù)字經(jīng)濟，并嘗試進一步對數(shù)據(jù)開放與再利用進行規(guī)則完善，完善相關(guān)立法框架，推動企業(yè)與政府之間、企業(yè)與企業(yè)之間數(shù)據(jù)的共享與開放.