为单一数字市场建立统一的数据法律规则,是欧盟单一数字市场战略的重头戏。那么,欧盟如何为繁荣数字经济打造统一的数据法律规则?
一、数据自由即将成为欧盟的第五大自由
10月4日,即在欧盟议会、理事会、委员会三方于6月19日就在欧盟全境废除数据本地化限制达成政治协议之后,欧盟议会审议通过了“非个人数据自由流动条例”(Regulation on the free flow of non-personal data)。欧盟理事会将于11月6日批准该条例。之后,该条例将被公布在欧盟公报上,并于公布之日起六个月后生效实施。
考虑到已于5月25日生效实施的《一般数据保护条例》(GDPR),规定了个人数据在欧盟范围内的自由流动,该条例和GDPR一道奠定了欧盟的第五大自由,即在人、货物、服务和资本可以在欧盟自由流动之后,如今,数据也摆脱了成员国的边境、负担和障碍带来的限制,可以在欧盟范围内自由流动。
就与GDPR的关系而言,该条例与GDPR不会重叠,而是互为补充;当数据集中既有个人数据,又有非个人数据时,倘若两者可分则分别适用该条例和GDPR,倘若不可分则适用GDPR。
在欧盟立法者看来,这无疑有助于消除威胁着数字经济的数据保护主义,并为人工智能、云计算和大数据分析铺平道路,从而推动数据经济和数字经济发展,以增强欧盟在全球市场的竞争力。
二、押注单一数字市场战略,拥抱数字革命
为了抓住数字革命带来的数字机遇,2015年5月6日,欧盟委员会启动单一数字市场战略(Digital Single Market Strategy),旨在通过一系列举措革除法律和监管障碍,将28个成员国市场打造成为一个统一的数字市场,以繁荣欧盟数字经济。
这一战略以三大支柱、十六项关键计划为核心。
第一大支柱,旨在便利消费者和企业跨欧盟获取数字产品和服务,涵盖跨境电商、消费者保护、物流、地理屏蔽、电商领域反垄断调查、版权法改革、卫星和有线指令审查、税费改革等事项。
第二大支柱,旨在为数字网络和创新性服务繁荣发展创造适宜的条件和公平竞争的环境,涵盖电信规则改革、音视频媒体制度审查、在线平台规则、个人数据保护、网络安全等事项。
第三大支柱,旨在最大化数字经济的增长潜力,涵盖数据自由流动、标准和互操作性、数字技能等事项。2017年5月10日,欧盟委员会发布单一数字市场中期评估报告,显示其已经提出了35项提案,还将针对数据经济、网络安全、在线平台等采取进一步行动。
此外,2016年4月19日,欧盟委员会公布数字化欧盟工业的计划,提出明确的行动路线。工业的数字化对欧盟维持其在工业领域的全球竞争力,是至关重要的。为此,这一计划投入500亿欧元,以支持工业的数字化。
不独如此,2017年1月10日,欧盟委员会发布政策文件《打造欧盟数据经济》(Building a European data economy),正式启动“打造欧盟数据经济”计划,并为此提出政策和法律解决方案。
数据是创新和增长的关键来源,因此需要确保数据自由流动,以保障最广泛地获取和利用数据。此外,拟为非个人的机器生成数据的归属、交换和贸易制定规则,以促进数据分享。
2018年4月25日,欧盟委员会发布政策文件《建立一个共同的欧盟数据空间》(Towards a common European data Space),聚焦公共部门数据开放共享、科研数据保存和获取、私营部门数据分享等事项。
可见,在科研投入之外,欧盟主要靠一场造法运动,来推动数字经济发展。欧盟的人工智能战略与此如出一辙,将为人工智能的发展制定适宜的法律和伦理框架,作为三大支柱之一。
与之类似,在这场已经进行了多年的单一数字市场运动中,为数据经济和数字经济发展制定适宜的数据法律规则,被认为是繁荣单一数字市场并增强国际竞争力的关键。因为在欧盟立法者看来,欧盟内部统一的数字市场,需要以统一的数字立法为保障。
否则,彼此割裂的市场不仅无助于欧盟消费者和企业最大化地抓住数字机遇,而且无力增强欧盟在国际市场的竞争力。
三、建立全方位的数据法律规则是欧盟单一数字市场战略的关键
为单一数字市场建立统一的数据法律规则,是欧盟单一数字市场战略的重头戏。通过近年来的一系列立法举措,欧盟尝试从以下方面建立统一的数据法律规则。
其一,个人数据保护规则
GDPR作为欧盟个人数据保护立法改革的产物,从个人数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务、个人数据跨境转移等方面,为互联网时代建立了完备的个人数据保护制度,并对全球个人数据保护立法产生了涟漪效应。
在GDPR制定之后,2017年1月10日,欧盟委员会提出《隐私与电子通讯条例》(Regulation on Privacy and Electronic Communications),该条例作为GDPR的特别法,意欲取代当前的《电子隐私指令》,旨在规制电子通信服务并保护与用户终端设备相关的信息。
该条例将即时通讯、VoIP等OTT服务商纳入与传统电信服务商一样的隐私监管框架,对电子通信数据的保护不仅针对通信内容本身,而且包括时间、地点、来源等标记通信内容的元数据。
其二,数据产权和交易规则
数据已经不再是一座价值孤岛,而是与云计算、物联网、无人驾驶和人工智能等先进技术集群相联系,成为数字经济高速发展的驱动基础。对此,欧盟委员会认为,有利于数据交易发展的法律环境的缺失,可能导致大量数据库的可获取性降低,对数据市场参与者形成障碍,甚至导致不正当竞争。
由于著作权、数据库权、商业秘密保护、合同机制等既有保护模式的不足,非个人数据保护依然缺乏有效的制度安排。为此,在政策文件《建立欧盟数据经济》中,欧盟委员会呼吁针对非个人的机器生成数据设立数据产权,规范市场和交易。
欧盟委员会希望通过这一“数据生产者权利”鼓励(特殊情况下强制)企业授权第三方访问其数据,促进数据流通和增值。
此外,为了促进数据访问和共享,欧盟委员会考虑基于“公平、合理、无歧视”(FRAND)条款建立数据许可框架,以为中小企业和初创公司提供更公平的数据利用机会。
其三,数据自由流动规则
如前所述,GDPR和《非个人数据自由流动条例》一道建立起了所有数字数据在欧盟境内的自由流动。
这体现在两个方面:
(1)数据跨境
即禁止成员国制定不合理的数据本地化要求,除非是为了公共安全等正当目的。在该条例实施之后,成员国必须在规定期限内废除针对机器生成数据、商业数据等非个人数据的所有不合理的数据本地化要求。移除本地化限制,有望使欧盟数据经济在2020年达到7390亿欧元,对GDPR贡献率达到4%。
此外,可以降低数据服务的成本,为企业的数据管理和数据分析提供更多的弹性空间,为企业获取服务商提供更多选择,每年可以贡献80亿欧元的经济增长。
(2)数据可携
即允许用户将其全部数据从一个网络转移到另一个网络,在GDPR中为数据可携权,在该条例中为专业用户切换服务商或将数据转移到其自己的IT系统的规定。为此,欧盟委员会将指导行业制定自律性质的行为准则并监督其有效实施。这
意味着企业可以充分利用云服务,为其IT资源选择成本最优的地点,自由切换服务商或将数据其自己的IT系统。然而,欧盟通过GDPR和该条例建立起来的数据自由流动仅限于欧盟范围内,而不包括第三方国家。
当前,全球数据本地化趋势在不断加强,俄罗斯、印度等越来越多的国家在强硬推行数据本地化,这将会阻碍全球数字经济的发展,不利于全球数字产品和服务贸易。为此,需要建立全球数据流动规则,以破除国家数据保护主义,实现国家数据监管和数据跨境流动之间的平衡。
其四,数据安全规则
2016年7月7日,欧盟通过首部网络安全立法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求两者履行网络风险管理、网络安全事故应对与通知等义务。
因此,即使在跨境背景下,企业也必须遵守所有的安全要求,从而在欧盟范围内确保统一的数据安全。
其五,数据开放共享规则。
数据的价值和增值来源于数据流通。数据流通涉及企业之间以及企业、政府之间数据的分享和利用。为此,欧盟正在推动制定公共部门数据开放共享、科研数据获取、私营部门数据分享等方面的规则。
如前所述,数据已经不再是一座价值孤岛,而是与云计算、物联网、人工智能等先进技术集群相联系,成为数字经济高速发展的驱动基础。人工智能驱动的经济和社会正在成为可能,在其中,数据和算法的使用无处不在。
但与此同时,数据和算法正在带来多方面的社会和伦理问题,诸如意外行为、缺乏远见、难以监管、分散责任、各种危害(如:算法歧视,限制自由选择,假新闻,放大、固化就偏见和社会分层,数据和算法滥用,监控和隐私、自由问题)等,这些新的社会和伦理问题正是所谓的“新石油”带来的“新污染”。
在此背景下,数据伦理(data ethics)和数据治理(data governance)成为我们这个时代的新命题,需要人们进行更多思考和探索。对企业而言,数据伦理一方面在于通过作出正确的决策赢得消费者信任,另一方面在于确保第三方不会未经授权访问数据以及滥用数据。
欧盟与数据相关的一系列举措,正是为了建立欧盟的数据治理框架,从而为数字经济发展奠定必要的数据法律制度基础,同时以此重塑数字社会的信任基石。欧盟制定这些规则的初衷是为了繁荣数字经济、数据经济、云计算、人工智能等新事物和新技术的发展,但其效用如何以及是否可能产生适得其反的效果,还有待进一步的实证研究和观察。
附录:《欧盟非个人数据自由流动框架条例》
第一条:主旨
本条例旨在通过制定与数据本地化要求、向主管部门提供数据以及针对专业用户的数据转移等事项相关的规则,来确保非个人数据在联盟内部的自由流通。
第二条:适用范围
本条例适用于下列联盟内非个人电子数据的处理过程:向在联盟内居住或拥有营业场所的用户提供服务,不论服务提供者是否在联盟内成立;或由在联盟内居住或拥有营业场所的自然人或法人为自身需要进行的。
如果数据集由个人和非个人数据组成,则本条例适用于数据集中的非个人数据部分。如果数据集中的个人和非个人数据不可分离,则本条例不应妨碍GDPR的适用。
本条例不适用于联盟法律适用范围之外的活动。
本条例不影响与成员国内部组织相关的,以及与公法意义上的公共机构无须给予私主体合同报酬地处理数据的权力和职责分配相关的法律、法规和行政规定,以及成员国规定执行这些权力和职责的法律、法规和行政规定。
第三条:定义
为实现本条例的目的,采用下列定义:
“数据”指除GDPR第四条第(1)项规定的个人数据以外的数据;
“处理”是指对电子形式数据或数据集进行的任何操作,而不论其是否通过自动化手段进行。如收集、记录、组织、构造、存储、改编或修改、检索、查阅、使用、通过传输、传播或其他方式披露或提供、排列或组合、限制、删除或销毁;
“法案草案”是指为了作为一般意义上的法律、法规或行政规定而起草的文档,其仍处于预备阶段而可作出实质性修改;
“服务提供者”是指提供数据处理服务的自然人或法人;
“数据本地化要求”是指成员国的法律、法规或行政规定中规定的,或是由在成员国和公法意义上的主体(包括公共采购领域)实施的一般性和持续性的行政行为导致的任何义务、禁令、条件、限制或其他要求,但不影响GDPR实施,其强制要求在特定成员国境内处理数据,或阻止在任何其他成员国境内处理数据;
“主管部门”是指为履行公务,依联盟或本国法律有权获取由自然人或法人处理的数据的成员国部门或其他经国家法律授权执行公共职能或行使官方权力的其他机构;
“用户”是指使用或请求数据处理服务的自然人或法人,包括公共机构或其他受公法管辖的主体;
“专业用户”是指为贸易、商业、工艺、专业服务或任务目的使用或请求数据处理服务的自然人或法人,包括公共机构或其他受公法管辖的机构。
第四条:联盟内数据自由流动
(1)除非为公共安全目的且符合比例原则,否则应当禁止数据本地化要求;这一规定不妨碍第3款和根据现有联盟法制定的数据本地化要求。
(2)成员国应立即向欧盟委员会通报任何引入新的数据本地化要求的法律草案,或根据欧盟2015/1535指令第5、6、7条规定的程序更改现有的数据本地化要求。
(3)在……之前(自本条例实施之日起24个月),成员国应确保在其一般性的法律、法规或行政规定中,违反本条第1款规定的现有数据本地化要求已被废除。
在……之前(自本条例实施之日起24个月),如果成员国认为包含数据本地化要求的现有措施符合本条第1款的规定并因此可以继续有效的,应当向欧盟委员会报送该措施,并说明理由。在不影响TFEU第258条的情况下,欧盟委员会应在收到此类来文之日起六个月内,审查该措施是否符合本条第1款的规定,并视情况向该成员国提出意见,包括在必要时建议修订或废除该措施。
(4)成员国应通过一个全国性的在线信息渠道公开在其领土内通行的法律、法规或行政规定中规定的所有数据本地化要求的具体情况并保持更新,或向根据另一项联盟法建立的中央信息渠道提供所有此类本地化要求的最新情况。
(5)成员国应将其第4款中提到的在线信息渠道的地址告知欧盟委员会。欧盟委员会应在其网站上公布这些渠道的链接,以及涉及所有第4款提到的数据本地化要求的定期更新的清单,包括这些要求的摘要信息。
第五条:主管部门获取数据
本条例不影响主管部门依照联盟或国家法律执行公务时,请求、获取、访问数据的权力。主管部门对数据的访问不得因数据在另一成员国处理而被拒绝。
在主管部门请求获取用户数据却没有获得访问权限的情况下,如果根据联盟法或国际协议在不同成员国主管部门之间没有特定的交换数据的合作机制,主管部门可以要求根据第7条规定的程序,向另一成员国的主管部门要求协助。
如果协助请求需要被请求的部门进入自然人或法人的任何场所,包括获取数据处理设备和装置,则此类访问必须符合联盟法或国家程序法。
成员国可根据联盟和国家法律,对未遵守提供数据义务的行为实施有效、符合比例和劝阻性的处罚。
在用户滥用权利的情况下,如果获取数据具有紧迫性且考虑有关各方的利益,成员国可以对该用户采取严格按比例的临时措施。如果临时措施使得数据重新本地化且持续时间超过180天,成员国应在上述180天内向欧盟委员会通报。欧盟委员会应在最短的时间内审查该措施及其与联邦法律的兼容性,并酌情采取必要措施。欧盟委员会应与第7条提到的成员国单一联络点交换其就这方面取得的信息。
第六条:数据的转移
(1)欧盟委员会应鼓励和促进制定联盟一级的自律行为守则(“行为守则”),以便在透明度、互通性原则和开放标准的基础上,助力发展有竞争力的数据经济。
包括以下方面:
便利切换服务提供者并转移数据的最佳实践,即当接收数据的服务提供者请求或要求时,以结构化、通用和机器可读格式(包括开放标准格式)转移数据;
最低信息要求,即在数据处理合同终止之前,当专业用户想要切换到另一个服务提供者或将数据转移到自身IT系统上时,确保其可以获得关于数据处理、技术要求、时间安排和收费的足够详细、清晰、透明的信息;
认证机制,帮助专业用户比较数据处理产品和服务,同时考虑到既定的国家或国际规范,以促进这些产品和服务的可比性。这些机制可包括质量管理、信息安全管理、业务连续性管理和环境管理等;
沟通蓝图采取多学科路径,以提高利益攸关方对行为守则的认识。
(2)欧盟委员会应确保与所有利益攸关方密切合作,共同制定行为守则,包括中小企业和初创企业协会,以及用户和云服务提供商。
(3)欧盟委员会应鼓励服务提供者在……之前(自本条例公布之日起12个月)完成行为守则的制定,并在……之前(自本条例公布之日起18个月)有效实施行为守则。
第七条:主管部门之间的合作程序
每个成员国应指定一个单一联络点,该联络点应就本条例的适用,与其他成员国的单一联络点和欧盟委员会联系。成员国应将指定的单一联络点及其后续变更通知欧盟委员会。
如果一个成员国的主管部门根据第5条第2款请求另一成员国提供协助,以便获取数据,则应向后者指定的单一联络点提出正当请求。请求应包括对原因的书面解释以及寻求访问数据的法律依据。
单一联络点应指明其成员国的有关主管部门,并将根据第2款收到的请求转交该主管部门。
接到上述要求的有关主管部门应在无不当拖延的情况下,在与请求的紧急程度相称的时间范围内,提供关于所请求数据的答复,或通知请求的主管部门,其认为该请求不符合本条例的要求。
在第5条第2款要求和提供的协助范围内交换的任何信息,仅可用于所要求的事项。
单一联络点应向用户提供有关本条例的一般信息,包括行为准则。
第八条:评估和指南
(1)在……之前(自本条例公布之日起48个月),欧盟委员会应向欧洲议会、理事会和欧洲经济和社会委员会提交报告,评估本条例的实施情况,特别是在以下方面:
本条例的适用情况,尤其是对由个人和非个人数据组成的数据集的适用,因为考虑到市场发展和技术发展可能扩大数据再次识别的可能性;
成员国对第4条第1款的实施情况,特别是公共安全例外;以及行为守则的制定和有效实施情况,以及服务提供者是否有效提供信息。
(2)成员国应向欧盟委员会提供编写第1款所述报告的必要资料。
(3)在……之前 (自本条例公布之日起6个月),欧盟委员会应发布关于本条例与GDPR交叉适用关系的指引性指南,特别是有关由个人和非个人数据组成的数据集。
第九条:最后条款
本条例在欧盟官方公报上公布后的第二十天生效。
本条例自公布之日起六个月后实施。
本法规应具有全部约束力,并直接适用于所有成员国。
延伸阅读:
杨乐、曹建峰:《从欧盟“被遗忘权”看网络治理规则的选择》,载《北京邮电大学学报(社会科学版)》2016年第4期
曹建峰:《民法总则数据保护路径:概括式保护及与知识产权协调》,载《大数据》2017年第1期
曹建峰:《论互联网创新与监管之关系——基于美欧日韩对比的视角》,《信息安全与通信保密》2017年第8期
曹建峰、祝林华:《欧洲数据产权初探》,《信息安全与通信保密》2018年第7期
曹建峰、李金磊:《欧盟<隐私与电子通信条例>草案评述》,载《信息安全与通信保密》2017年第4期
曹建峰、李正:《欧盟最新网络安全指令对我国网络安全立法的启示》,http://www.tisi.org/4707
曹建峰:《欧盟GDPR精要:5千字读懂GDPR说了啥》,
https://new.qq.com/omn/20180530/20180530A1HI7M.html