歐盟基于數據要素流通的立法構建與舉措嬗變

林梓瀚 秦 璇,2

1(上海數據交易所有限公司 上海 201203)

2(復旦大學管理學院 上海 201203)

當前,隨著人工智能、區塊鏈、物聯網、5G等技術的發展帶來海量的數據,如何在保護數據安全、維護個人隱私的基礎上,促進數據要素的安全流通交易成為全球日益關注的問題.在數據要素流通交易方面,歐盟通過構建法律體系,在保護歐盟數據要素安全的基礎上促進歐盟范圍內數據要素的流通交易,從而實現構建單一數據市場的目標.

1 歐盟數據要素流通的立法構建

1981年1月歐洲委員會各成員國簽署了《有關個人數據自動化處理的個人保護公約》(簡稱為108號公約),該公約強調在進行處理個人數據時應尊重個人權利和基本自由[1].公約的實現取決于簽署國對公約的適用,但結果并未達到預期.因此歐洲委員會在1990年向歐洲理事會提交了《關于保護共同體個人信息及信息安全的指令草案》,開啟了歐洲個人信息保護制度一體化的進程.1995年10月24日,歐盟通過《個人數據處理保護與自由流動指令》(簡稱為95指令)[2],95指令對108號公約進行補充,確立了在處理個人信息時知情同意等原則,明確了數據主體、數據控制者、數據處理者的權利義務.但95指令本身沒有法律效力,需要成員國轉化為國內法方可實施,各成員國出于自身利益考慮,往往選擇在有利于自身的情形下進行適用.由于95指令帶來歐盟范圍內在個人信息保護立法方面的分歧,因此,2012年1月25日,歐洲議會(European Parliament)公布了《通用數據保護條例》(General Data Protection Regulation, GDPR)的草案,并在2016年通過GDPR,該條例于2018年5月25日正式生效[3].

GDPR正式生效后,歐盟開始著眼于推動數據要素在歐盟各成員國的自由流動.由于GDPR著重保護個人數據安全,為了促進歐盟境內數據要素的流通交易,歐洲議會和歐盟理事會于2018年11月14日頒布《非個人數據自由流動條例》(以下簡稱《條例》),該條例旨在保障非個人數據在歐盟境內能夠自由流動并于2019年5月28日正式實施[4].2019年6月20日,歐盟通過《開放數據和公共部門信息再利用的指令》(以下簡稱《指令》)[5],推動歐盟區域內公共數據的開放與使用,該指令于2019年7月16日正式生效.為構建更加全面的數據要素流通交易法律體系,2020年2月19日,歐盟委員會(European Commission)發布《歐洲數據戰略》,提出未來將建立歐盟共同數據空間并在數據立法方面,為歐洲公共數據空間提出一個立法框架,將出臺《數據法案》以促進行業之間橫向數據共享[6].2022年2月歐盟委員會公布《數據法案(草案)》全文,提出在保持高隱私、安全和道德標準的同時,平衡數據的流動和使用[7].此前,2020年11月25日歐盟委員會已發布《數據治理法案》提案,旨在促進成員國與各部門之間的數據共享.2022年5月16日,歐盟理事會批準了《數據治理法案》,該法案于2022年6月生效[8].

通過完善的立法,歐盟構建起數據要素流通法律體系,在數據要素保護與流通的立法方面繼續在全球處于引領地位.

2 歐盟數據要素流通舉措的嬗變

從GDPR開始,歐盟從根本安全上進行個人數據保護與流動,此后在舉措上呈現出不斷演變的趨勢,在非個人數據的流動與保護、公共數據的再利用、公共部門與私營部門之間及私營部門之間的數據流通等方面加快發力,通過多元化舉措促進歐盟數據要素的流通交易.

2.1 GDPR構建個人數據安全保障底座

GDPR由11章共99條組成,通過嚴苛的規定對個人數據的安全進行保障.GDPR一方面擴大數據主體,如規定了數據的訪問權、糾正權、被遺忘權、限制處理權及可攜帶權等權利,并明確了以同意作為數據處理的合法性基礎.其中,數據主體的被遺忘權是GDPR最引人注目的設計,也是數據權利主體權利擴大的最直接的體現.同時,GDPR第20條中規定的個人數據可攜帶權也日益引發關注,其主要內容為“數據主體將個人數據無障礙地從一個數據控制者轉移到另一個數據控制者的權利”,強化了個人對其個人數據的控制,打破平臺數據壟斷.我國《個人信息保護法》45條第3款也引入了這一權利設計,一定程度上破除了互聯網平臺數據壟斷的現象.另一方面,GDPR也相應地在增加了數據控制者、管理者義務方面,如要求數據控制者、管理者建立數據保護官制度,并規定了對數據泄露的通知制度等[9].

2.2 取消“本地化要求”推動非個人數據自由流動

GDPR正式生效后,由于GDPR著重保護個人數據安全,為了促進非個人數據在歐盟成員國之間自由流動與使用,歐盟出臺《條例》.《條例》定義了非個人數據,旨在解決數據本地化要求、數據遷移、跨境執法合作等比較棘手的問題[10].

當前歐盟有成員國要求一些數據只能在特定地域進行處理,數據處理服務提供商出于商業秘密保護需求也往往限制相關數據流動,這些行為妨礙了歐盟境內數據的自由流動.為消除數據自由流動的障礙,《條例》要求成員國政府刪除現有的數據本地化要求,引入新的數據本地化要求或對現有數據本地化要求進行修改.為避免成員國政府對本地化要求的濫用,《條例》明確規定成員國政府僅能以“公共安全”作為數據本地化要求的理由,并對“公共安全”包括的內容范圍進行了清晰劃定,同時提出即使出于“公共安全”需要,數據本地化要求也必須符合比例適當原則.

除歐盟成員國和政府主管當局的限制外,非個人數據自由流動還受困于數據處理服務提供商的限制,妨礙數據處理服務的用戶將其數據從一個服務提供商遷移到另一個服務提供商或遷回自己的系統,因此《條例》規定了“數據可遷移性”要求[4].不過出于市場競爭性與活躍性考慮,《條例》未制定“數據可遷移性”強制性條款,僅強調市場主體以行業自律的方式明確數據遷移的具體信息和操作要求,最終形成本行業在歐盟層面的行為準則.

2.3 多舉措并行促進公共數據開放與再利用

數據是數字經濟發展的要素之一,當前歐盟的數據很大部分來源于公共部門,為了促進公共部門數據的再利用,歐盟通過了《指令》.早在2003年,歐盟就出臺《歐洲議會和理事會關于公共部門信息再利用的第2003/98/EC號指令》,并于2013年對2003年的指令進行修訂,形成《歐洲議會和理事會關于公共部門信息再利用的第2013/37/EC號修正指令》.而《指令》則是對《歐洲議會和理事會關于公共部門信息再利用的第2013/37/EC號修正指令》的修訂.

《指令》圍繞樹立數據收費原則、明確數據開放格式與接口要求、限制排他性協議、建立高價值數據集等舉措推動歐盟公共數據的開放與利用,同時對開放數據范圍作了限制,排除了對第三方持有知識產權信息的再利用[11].在數據收費方面,歐盟主張開放數據應該免費,包括符合規定的高價值數據集與研究數據,但為保護個人隱私、商業秘密等產生相應的成本則可以收取成本費用.此外,對于大學圖書館、博物館等公共事業單位則可以考慮給予其合理的投資回報等.在明確數據開放格式與接口要求方面,《指令》提出提供的開放數據和元數據需符合正式的標準并能以電子方式提供,并以應用程序接口(API)形式提供實時數據.在限制排他性協議方面,《指令》防止公私部門“排他性”協議的達成,提出開放數據應向所有可能的使用者開放,但不排除涉及公共利益、知識產權等特別情形下達成“排他性”協議的情況,為此《指令》從審查機制、時效等方面對此類情形進行了規制.在建立高價值數據集方面,歐盟引入了高價值數據集的概念,高價值數據集包括地理空間、地球觀測和環境、統計、氣象、移動、公司及公司股權所屬6類數據集.在《歐洲數據戰略》中提出歐盟于2021年第一季度細化《高價值數據集實施法案》來指導高價值數據集的再利用,目前《高價值數據集實施法案》已于2022年6月完成公眾意見征詢[12].

歐盟委員會規定,成員國須在2021年7月16日之前適用該《指令》,《指令》的落地將促進歐盟區域內公共數據的流通與利用,是歐盟實現“單一數據市場”的重要制度拼圖.

2.4 建立新機制打破“公-私”及“私-私”數據要素流通壁壘

作為對《歐洲數據戰略》的具體落實手段,《數據治理法案》確定了系列增加數據要素流通信任度的機制,包括公共數據再利用、數據中介、數據利他主義以及數據創新委員會等新機制,以打破公私部門之間(G2B)及私營部門之間(B2B)的數據要素流通壁壘,其中公共數據再利用、數據中介機制尤為重要[8].

《指令》排除了對第三方持有知識產權信息的再利用,《數據治理法案》建立了新的公共數據再利用機制,對《指令》進行了調整,將商業秘密、第三方持有知識產權數據、個人數據納入可再利用的公共數據范疇.除制定禁止排他性協議以及再利用條件外,《數據治理法案》明確公共部門可以收取商業秘密等數據再利用的費用.為滿足該類數據查詢需求,法案要求各成員國建立單一信息點,并要求歐盟委員會建立歐洲單一訪問點.

囿于當前歐盟區域內各主體對數據流通安全等各種問題的不信任,《數據治理法案》建立了數據中介機制并對數據中介服務提供商進行了定義[13],其是指能為數據持有者和潛在用戶之間提供中介服務,包括提供技術或其他手段實現中介服務的從業機構.數據中介服務機構面向多元主體,搭建起企業與企業之間、個人與企業之間數據要素流通的橋梁,并通過在歐盟委員會登記等方式強化背書,提高其服務的可信度.

《數據治理法案》解決的是數據要素流通機制不暢通的問題,而《數據法案(草案)》的主要目的在于將使用產品或相關服務所產生的數據提供給相應的用戶,如用戶基于家用智能設備、自動駕駛汽車、醫療健康設備等產生的數據,以促進此類數據在企業與個人(B2C)、企業與企業之間(B2B)、企業與公共部門之間(B2G)的流通[7].

為增加數據流動性,《數據法案(草案)》明確數據持有者有確保數據可直接被用戶訪問和獲取的義務,并賦予用戶使用生成數據的權利、將數據共享給第三方的權利及更換數據處理服務提供商的權利[14].其中,將數據共享給第三方的權利是GDPR第20條“個人數據可攜帶權”的直接體現[15],在用戶將數據共享給第三方時,數據持有者和數據接收方可以就提供數據達成報酬協議.但出于維護數據持有者利益的考慮,草案也規定了用戶或接收數據的第三方關于數據使用和披露的限制和義務.草案中特別強調符合《數字市場法案》中“守門人”定義的企業則不能成為接收數據的第三方,這在一定程度上限制了外來的互聯網平臺巨頭,擴大歐盟本土中小企業的發展空間.

同時,對于數據持有者在什么情形下將數據共享給公共部門,草案亦進行了明確,在突發公共事件的應對、預防或從中恢復等情形下,數據持有者有義務及時提供數據,請求提供的數據如果涉及到個人數據,應當對數據進行假名化處理.針對第1種情形,數據持有者原則上應免費提供數據,對于其他情形,數據持有者有權向公共部門尋求補償.

截至2022年11月9日,《數據法案(草案)》修正案提交日期正式結束,歐洲議會議員提出了1 000多項修正案,這些修正案可能對最初的提案進行重大修改[16].

2.5 圍繞行業領域構建歐洲公共數據空間

《歐洲數據戰略》中提出未來將建立工業(制造業)、綠色協議、移動、健康、金融、能源、農業、公共行政以及技能9大公共數據空間,當前9大公共數據空間的建設正在穩步推進之中,率先進行建設的是歐洲健康數據空間[17].

2022年5月3日,歐盟委員會發布《歐洲健康數據空間條例(草案)》,以確保歐盟區域內各成員國間的健康數據可以安全、高效地進行訪問與交換,從而實現歐盟各成員國的公民可以控制本人在本國或其他成員國的健康數據[18].

為此,《歐洲健康數據空間條例(草案)》對處理個人健康數據的主要目的進行了明確,即為了向個人提供醫療服務而處理此類數據,同時賦予了個人訪問、獲得、修改個人健康數據的權利.而為了向個人提供更好的醫療服務,草案也賦予了醫療專家相應的權利,確保醫療專家可以及時在歐盟區域內獲取公民的健康數據,各成員國應及時配合[19].

草案的另一個目的是為了推動健康數據的開發利用,培育數字健康服務和產品市場,從而促進歐盟數字經濟的發展.草案中將對健康數據的進一步處理定義為“二次使用”,并提出健康數據的二次使用可用于開發和創新、測試和評估算法等.基于上述目的,草案中提出搭建2個基礎設施實現健康數據空間的構建,一個是MyHealth@EU,用于完成第1個目的,另一個是HealthData@EU,用于完成第2個目的.

3 中國與歐盟數據立法對比分析

為促進數據要素的安全流通,激發以數據為關鍵要素的數字經濟的發展,近年來我國通過系列立法,堅持以“發展促進數據安全,以數據安全保障數據產業發展”,取得了一定的成效.通過在公共數據開放利用、數據安全保護、數據流通交易3大方向與歐盟在數據立法進程進行對比,從而發現中國未來的立法思路與進路.

3.1 公共數據開放利用

為了促進公共數據的開放利用,中國從2007年始出臺《政府信息公開條例》,并于2019年完成條例的修訂.《政府信息公開條例》要求各級政府積極推進本級政府信息公開工作,并且應逐步增加政府信息公開的內容[20].按照條例的要求,政府應該制定公開指南和公開目錄,并對公開指南和公開目錄的內容提出了相應的要求.在公開方式上,條例規定政府可以采取主動公開和依申請公開2種公開方式,并對主動公開和依申請公開的信息內容進行了明確,其中對于涉及國家安全、公共利益、商業秘密以及個人隱私等政府信息,行政機關不得公開.與歐盟《指令》《數據治理法案》相比,中國的《政府信息公開條例》側重于政府信息的公開,強調的是政府的開放義務,對于公共數據的利用以及公共數據的收費模式等內容暫未涉及.中國在國家層面未對公共數據的開發利用進行清晰的規制,相關的內容散落在地方性立法或實踐中,如北京為推動公共數據在金融場景的應用,設立了金融公共數據專區[21];海南省出臺《海南省公共數據產品開發利用暫行管理辦法》,創新數據產品的開發與數據服務方式等[22].

3.2 數據安全保護

為了深化保障數據要素市場化配置改革,打牢安全基底,滿足日益加劇的安全防護需要,我國繼《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)后,于2021年陸續出臺了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)等法律,從宏觀層面為我國數據安全保護劃下了紅線.與歐盟數據安全保護立法相比,中國的數據安全立法更加完整與嚴格.歐盟基于GDPR,構建起嚴格的個人數據安全保護體系,而我國以“三法”為底座,構建起更加龐大且完善的數據安全保護立法體系.為進一步落實《網絡安全法》《數據安全法》《個人信息保護法》,國家接連制定了《關鍵信息基礎設施安全保護條例》《網絡數據安全管理條例(征求意見稿)》《網絡安全審查辦法》《數據出境安全評估辦法》《移動互聯網應用程序信息服務管理規定》等法規規章,對關鍵信息基礎設施、網絡數據監管、數據出境、應用程序提供等規則進行了規定,完善了“三法”數據安全規則體系[23].此外,對數據安全的規定也散落在《中華人民共和國民法典》(以下簡稱《民法典》)與《中華人民共和國刑法》(以下簡稱《刑法》)之中,如《民法典》規定對個人隱私的保護,《刑法》第253條中規定的侵犯公民個人信息罪.

3.3 數據流通交易

歐盟通過立法的形式推動非個人數據的流動與保護、公共數據的再利用、公共部門與私營部門之間數據流通并圍繞行業領域構建歐洲公共數據空間,同時通過初步構建公共數據再利用收費模式、用戶設備數據權屬界定等產權與收益分配機制,從而促進數據要素在歐盟境內的自由流通,繁榮歐盟區域的數據要素市場.目前我國國家層面未有專門立法以促進數據要素的流通交易,對于數據產權和收益分配機制的討論尚未以法律制度正式確立下來,相關的立法也只是主要集中在地方性法規層面.2021年7月6日,《深圳經濟特區數據條例》正式發布,該條例設立數據要素市場章節,主要解決2個問題:第一是如何對數據要素市場的培育;第二是如何維護數據要素市場的公平競爭.在市場培育方面,該條例明確了政府、第三方服務機構、交易平臺相應的行為活動,在公平競爭方面,該條例著重規制市場主體的不正當競爭還有壟斷行為[24].2021年11月25日上海公布《上海市數據條例》,在數據要素流通交易方面,該條例強調培育公平、開放、有序、誠信的數據要素市場,建立資產評估、登記結算、交易撮合、爭議解決等市場運營體系,從而促進數據要素依法有序流動.同時,條例明確建立健全數據交易機制,支持數據交易服務機構有序發展,創建完善數據交易服務機構管理制度等[25].

4 對我國的啟示

通過與歐盟的立法對比,本文認為我國應該繼續加強我國數據安全保護,健全機制加快公共數據共享開放與利用,同時加快立法,完善產權與收益分配機制,從而促進公共數據、企業數據與個人數據的自由流通,繁榮我國數據要素市場.

4.1 加強我國數據安全保護

當前,我國的《民法典》《網絡安全法》《數據安全法》以及《個人信息保護法》《刑法》在數據保護方面,分別設立相應的民事、行政、刑事責任,力圖全方位保障我國數據安全.然而我國現有數據安全立法需繼續細化落地,如明確數據的安全開發利用邊界、數據分類分級等.同時為應對歐美等國的長臂管轄,對于我國數據主權的維護也需進一步強化,因此我國一方面應繼續加強立法,不斷完善我國現有的數據安全法律體系.另一方面,法律的落地離不開技術手段的實現,因此我國應在技術手段發力,鼓勵數據安全技術創新,從而雙管齊下維護我國數據安全.

4.2 健全機制加快公共數據共享開放與利用

自《政府信息公開條例》頒布以來,我國一直在推進公共數據的共享開放,但是我國在國家層面缺乏對公共數據流通、開發利用的統一指導,單純依靠各地出臺公共數據條例或管理辦法,推動本地區公共數據的共享開放利用.目前,各地普遍存在共享渠道未打通、開放數據質量不高、公共數據利用率低等情況,在公共數據的共享、開放、開發、利用尚未形成全國性的統一機制,因此應加快在公共數據開發利用方面的立法,健全建立公共數據共享開放與利用機制,促進公共數據在全國范圍內流通.在這方面,中國可優先從特定行業公共數據入手,通過國家層面立法,破除行業、地區阻礙,從而實現特定行業公共數據在全國范圍內的自由流通.

4.3 加快立法完善產權與收益分配機制

歐盟最新的立法對數據產權和數據收益分配機制進行了一定的嘗試,如《數據治理法案》中對特別類別的公共數據的再利用采取收費模式,再如《數據法案(草案)》中,對于用戶與數據持有者、數據持有者與第三方接受者、公共部門與數據持有者分別進行了產權和收益分配的不同設置.2022年12月19日,中央發布《關于構建數據基礎制度更好發揮數據要素作用的意見》,強調“建立保障權益、合規使用的數據產權制度”“建立合規高效、場內外結合的數據要素流通和交易制度”.我國應加快在國家層面對于數據流通交易的相關立法,完善產權制度與收益分配機制.針對個人與企業、個人與公共部門、企業與企業、企業與公共部門之間基于不同情形下設置不同的確權授權、收益分配方式,從而促進個人數據、企業數據、公共數據在個人、企業與公共部門之間自由流通.