歐盟如何為繁榮數字經濟打造統一的數據法律規則?

0 評論 2961 瀏覽 1 收藏 28 分鐘

為單一數字市場建立統一的數據法律規則,是歐盟單一數字市場戰略的重頭戲。那么,歐盟如何為繁榮數字經濟打造統一的數據法律規則?

一、數據自由即將成為歐盟的第五大自由

10月4日,即在歐盟議會、理事會、委員會三方于6月19日就在歐盟全境廢除數據本地化限制達成政治協議之后,歐盟議會審議通過了“非個人數據自由流動條例”(Regulation on the free flow of non-personal data)。歐盟理事會將于11月6日批準該條例。之后,該條例將被公布在歐盟公報上,并于公布之日起六個月后生效實施。

考慮到已于5月25日生效實施的《一般數據保護條例》(GDPR),規定了個人數據在歐盟范圍內的自由流動,該條例和GDPR一道奠定了歐盟的第五大自由,即在人、貨物、服務和資本可以在歐盟自由流動之后,如今,數據也擺脫了成員國的邊境、負擔和障礙帶來的限制,可以在歐盟范圍內自由流動。

就與GDPR的關系而言,該條例與GDPR不會重疊,而是互為補充;當數據集中既有個人數據,又有非個人數據時,倘若兩者可分則分別適用該條例和GDPR,倘若不可分則適用GDPR。

在歐盟立法者看來,這無疑有助于消除威脅著數字經濟的數據保護主義,并為人工智能、云計算和大數據分析鋪平道路,從而推動數據經濟和數字經濟發展,以增強歐盟在全球市場的競爭力。

二、押注單一數字市場戰略,擁抱數字革命

為了抓住數字革命帶來的數字機遇,2015年5月6日,歐盟委員會啟動單一數字市場戰略(Digital Single Market Strategy),旨在通過一系列舉措革除法律和監管障礙,將28個成員國市場打造成為一個統一的數字市場,以繁榮歐盟數字經濟。

這一戰略以三大支柱、十六項關鍵計劃為核心。

  1. 第一大支柱,旨在便利消費者和企業跨歐盟獲取數字產品和服務,涵蓋跨境電商、消費者保護、物流、地理屏蔽、電商領域反壟斷調查、版權法改革、衛星和有線指令審查、稅費改革等事項。
  2. 第二大支柱,旨在為數字網絡和創新性服務繁榮發展創造適宜的條件和公平競爭的環境,涵蓋電信規則改革、音視頻媒體制度審查、在線平臺規則、個人數據保護、網絡安全等事項。
  3. 第三大支柱,旨在最大化數字經濟的增長潛力,涵蓋數據自由流動、標準和互操作性、數字技能等事項。2017年5月10日,歐盟委員會發布單一數字市場中期評估報告,顯示其已經提出了35項提案,還將針對數據經濟、網絡安全、在線平臺等采取進一步行動。

此外,2016年4月19日,歐盟委員會公布數字化歐盟工業的計劃,提出明確的行動路線。工業的數字化對歐盟維持其在工業領域的全球競爭力,是至關重要的。為此,這一計劃投入500億歐元,以支持工業的數字化。

不獨如此,2017年1月10日,歐盟委員會發布政策文件《打造歐盟數據經濟》(Building a European data economy),正式啟動“打造歐盟數據經濟”計劃,并為此提出政策和法律解決方案。

數據是創新和增長的關鍵來源,因此需要確保數據自由流動,以保障最廣泛地獲取和利用數據。此外,擬為非個人的機器生成數據的歸屬、交換和貿易制定規則,以促進數據分享。

2018年4月25日,歐盟委員會發布政策文件《建立一個共同的歐盟數據空間》(Towards a common European data Space),聚焦公共部門數據開放共享、科研數據保存和獲取、私營部門數據分享等事項。

可見,在科研投入之外,歐盟主要靠一場造法運動,來推動數字經濟發展。歐盟的人工智能戰略與此如出一轍,將為人工智能的發展制定適宜的法律和倫理框架,作為三大支柱之一。

與之類似,在這場已經進行了多年的單一數字市場運動中,為數據經濟和數字經濟發展制定適宜的數據法律規則,被認為是繁榮單一數字市場并增強國際競爭力的關鍵。因為在歐盟立法者看來,歐盟內部統一的數字市場,需要以統一的數字立法為保障。

否則,彼此割裂的市場不僅無助于歐盟消費者和企業最大化地抓住數字機遇,而且無力增強歐盟在國際市場的競爭力。

三、建立全方位的數據法律規則是歐盟單一數字市場戰略的關鍵

為單一數字市場建立統一的數據法律規則,是歐盟單一數字市場戰略的重頭戲。通過近年來的一系列立法舉措,歐盟嘗試從以下方面建立統一的數據法律規則。

其一,個人數據保護規則

GDPR作為歐盟個人數據保護立法改革的產物,從個人數據處理的基本原則、數據主體的權利、數據控制者和處理者的義務、個人數據跨境轉移等方面,為互聯網時代建立了完備的個人數據保護制度,并對全球個人數據保護立法產生了漣漪效應。

在GDPR制定之后,2017年1月10日,歐盟委員會提出《隱私與電子通訊條例》(Regulation on Privacy and Electronic Communications),該條例作為GDPR的特別法,意欲取代當前的《電子隱私指令》,旨在規制電子通信服務并保護與用戶終端設備相關的信息。

該條例將即時通訊、VoIP等OTT服務商納入與傳統電信服務商一樣的隱私監管框架,對電子通信數據的保護不僅針對通信內容本身,而且包括時間、地點、來源等標記通信內容的元數據。

其二,數據產權和交易規則

數據已經不再是一座價值孤島,而是與云計算、物聯網、無人駕駛和人工智能等先進技術集群相聯系,成為數字經濟高速發展的驅動基礎。對此,歐盟委員會認為,有利于數據交易發展的法律環境的缺失,可能導致大量數據庫的可獲取性降低,對數據市場參與者形成障礙,甚至導致不正當競爭。

由于著作權、數據庫權、商業秘密保護、合同機制等既有保護模式的不足,非個人數據保護依然缺乏有效的制度安排。為此,在政策文件《建立歐盟數據經濟》中,歐盟委員會呼吁針對非個人的機器生成數據設立數據產權,規范市場和交易。

歐盟委員會希望通過這一“數據生產者權利”鼓勵(特殊情況下強制)企業授權第三方訪問其數據,促進數據流通和增值。

此外,為了促進數據訪問和共享,歐盟委員會考慮基于“公平、合理、無歧視”(FRAND)條款建立數據許可框架,以為中小企業和初創公司提供更公平的數據利用機會。

其三,數據自由流動規則

如前所述,GDPR和《非個人數據自由流動條例》一道建立起了所有數字數據在歐盟境內的自由流動。

這體現在兩個方面:

(1)數據跨境

即禁止成員國制定不合理的數據本地化要求,除非是為了公共安全等正當目的。在該條例實施之后,成員國必須在規定期限內廢除針對機器生成數據、商業數據等非個人數據的所有不合理的數據本地化要求。移除本地化限制,有望使歐盟數據經濟在2020年達到7390億歐元,對GDPR貢獻率達到4%。

此外,可以降低數據服務的成本,為企業的數據管理和數據分析提供更多的彈性空間,為企業獲取服務商提供更多選擇,每年可以貢獻80億歐元的經濟增長。

(2)數據可攜

即允許用戶將其全部數據從一個網絡轉移到另一個網絡,在GDPR中為數據可攜權,在該條例中為專業用戶切換服務商或將數據轉移到其自己的IT系統的規定。為此,歐盟委員會將指導行業制定自律性質的行為準則并監督其有效實施。這

意味著企業可以充分利用云服務,為其IT資源選擇成本最優的地點,自由切換服務商或將數據其自己的IT系統。然而,歐盟通過GDPR和該條例建立起來的數據自由流動僅限于歐盟范圍內,而不包括第三方國家。

當前,全球數據本地化趨勢在不斷加強,俄羅斯、印度等越來越多的國家在強硬推行數據本地化,這將會阻礙全球數字經濟的發展,不利于全球數字產品和服務貿易。為此,需要建立全球數據流動規則,以破除國家數據保護主義,實現國家數據監管和數據跨境流動之間的平衡。

其四,數據安全規則

2016年7月7日,歐盟通過首部網絡安全立法《網絡與信息系統安全指令》,旨在加強基礎服務運營者、數字服務提供者的網絡與信息系統之安全,要求兩者履行網絡風險管理、網絡安全事故應對與通知等義務。

因此,即使在跨境背景下,企業也必須遵守所有的安全要求,從而在歐盟范圍內確保統一的數據安全。

其五,數據開放共享規則。

數據的價值和增值來源于數據流通。數據流通涉及企業之間以及企業、政府之間數據的分享和利用。為此,歐盟正在推動制定公共部門數據開放共享、科研數據獲取、私營部門數據分享等方面的規則。

四、探索智能時代的數據倫理和數據治理之道

如前所述,數據已經不再是一座價值孤島,而是與云計算、物聯網、人工智能等先進技術集群相聯系,成為數字經濟高速發展的驅動基礎。人工智能驅動的經濟和社會正在成為可能,在其中,數據和算法的使用無處不在。

但與此同時,數據和算法正在帶來多方面的社會和倫理問題,諸如意外行為、缺乏遠見、難以監管、分散責任、各種危害(如:算法歧視,限制自由選擇,假新聞,放大、固化就偏見和社會分層,數據和算法濫用,監控和隱私、自由問題)等,這些新的社會和倫理問題正是所謂的“新石油”帶來的“新污染”。

在此背景下,數據倫理(data ethics)和數據治理(data governance)成為我們這個時代的新命題,需要人們進行更多思考和探索。對企業而言,數據倫理一方面在于通過作出正確的決策贏得消費者信任,另一方面在于確保第三方不會未經授權訪問數據以及濫用數據。

歐盟與數據相關的一系列舉措,正是為了建立歐盟的數據治理框架,從而為數字經濟發展奠定必要的數據法律制度基礎,同時以此重塑數字社會的信任基石。歐盟制定這些規則的初衷是為了繁榮數字經濟、數據經濟、云計算、人工智能等新事物和新技術的發展,但其效用如何以及是否可能產生適得其反的效果,還有待進一步的實證研究和觀察。

附錄:《歐盟非個人數據自由流動框架條例》

第一條:主旨

本條例旨在通過制定與數據本地化要求、向主管部門提供數據以及針對專業用戶的數據轉移等事項相關的規則,來確保非個人數據在聯盟內部的自由流通。

第二條:適用范圍

  1. 本條例適用于下列聯盟內非個人電子數據的處理過程:向在聯盟內居住或擁有營業場所的用戶提供服務,不論服務提供者是否在聯盟內成立;或由在聯盟內居住或擁有營業場所的自然人或法人為自身需要進行的。
  2. 如果數據集由個人和非個人數據組成,則本條例適用于數據集中的非個人數據部分。如果數據集中的個人和非個人數據不可分離,則本條例不應妨礙GDPR的適用。
  3. 本條例不適用于聯盟法律適用范圍之外的活動。

本條例不影響與成員國內部組織相關的,以及與公法意義上的公共機構無須給予私主體合同報酬地處理數據的權力和職責分配相關的法律、法規和行政規定,以及成員國規定執行這些權力和職責的法律、法規和行政規定。

第三條:定義

為實現本條例的目的,采用下列定義:

  1. “數據”指除GDPR第四條第(1)項規定的個人數據以外的數據;
  2. “處理”是指對電子形式數據或數據集進行的任何操作,而不論其是否通過自動化手段進行。如收集、記錄、組織、構造、存儲、改編或修改、檢索、查閱、使用、通過傳輸、傳播或其他方式披露或提供、排列或組合、限制、刪除或銷毀;
  3. “法案草案”是指為了作為一般意義上的法律、法規或行政規定而起草的文檔,其仍處于預備階段而可作出實質性修改;
  4. “服務提供者”是指提供數據處理服務的自然人或法人;
  5. “數據本地化要求”是指成員國的法律、法規或行政規定中規定的,或是由在成員國和公法意義上的主體(包括公共采購領域)實施的一般性和持續性的行政行為導致的任何義務、禁令、條件、限制或其他要求,但不影響GDPR實施,其強制要求在特定成員國境內處理數據,或阻止在任何其他成員國境內處理數據;
  6. “主管部門”是指為履行公務,依聯盟或本國法律有權獲取由自然人或法人處理的數據的成員國部門或其他經國家法律授權執行公共職能或行使官方權力的其他機構;
  7. “用戶”是指使用或請求數據處理服務的自然人或法人,包括公共機構或其他受公法管轄的主體;
  8. “專業用戶”是指為貿易、商業、工藝、專業服務或任務目的使用或請求數據處理服務的自然人或法人,包括公共機構或其他受公法管轄的機構。

第四條:聯盟內數據自由流動

(1)除非為公共安全目的且符合比例原則,否則應當禁止數據本地化要求;這一規定不妨礙第3款和根據現有聯盟法制定的數據本地化要求。

(2)成員國應立即向歐盟委員會通報任何引入新的數據本地化要求的法律草案,或根據歐盟2015/1535指令第5、6、7條規定的程序更改現有的數據本地化要求。

(3)在……之前(自本條例實施之日起24個月),成員國應確保在其一般性的法律、法規或行政規定中,違反本條第1款規定的現有數據本地化要求已被廢除。

在……之前(自本條例實施之日起24個月),如果成員國認為包含數據本地化要求的現有措施符合本條第1款的規定并因此可以繼續有效的,應當向歐盟委員會報送該措施,并說明理由。在不影響TFEU第258條的情況下,歐盟委員會應在收到此類來文之日起六個月內,審查該措施是否符合本條第1款的規定,并視情況向該成員國提出意見,包括在必要時建議修訂或廢除該措施。

(4)成員國應通過一個全國性的在線信息渠道公開在其領土內通行的法律、法規或行政規定中規定的所有數據本地化要求的具體情況并保持更新,或向根據另一項聯盟法建立的中央信息渠道提供所有此類本地化要求的最新情況。

(5)成員國應將其第4款中提到的在線信息渠道的地址告知歐盟委員會。歐盟委員會應在其網站上公布這些渠道的鏈接,以及涉及所有第4款提到的數據本地化要求的定期更新的清單,包括這些要求的摘要信息。

第五條:主管部門獲取數據

  1. 本條例不影響主管部門依照聯盟或國家法律執行公務時,請求、獲取、訪問數據的權力。主管部門對數據的訪問不得因數據在另一成員國處理而被拒絕。
  2. 在主管部門請求獲取用戶數據卻沒有獲得訪問權限的情況下,如果根據聯盟法或國際協議在不同成員國主管部門之間沒有特定的交換數據的合作機制,主管部門可以要求根據第7條規定的程序,向另一成員國的主管部門要求協助。
  3. 如果協助請求需要被請求的部門進入自然人或法人的任何場所,包括獲取數據處理設備和裝置,則此類訪問必須符合聯盟法或國家程序法。
  4. 成員國可根據聯盟和國家法律,對未遵守提供數據義務的行為實施有效、符合比例和勸阻性的處罰。

在用戶濫用權利的情況下,如果獲取數據具有緊迫性且考慮有關各方的利益,成員國可以對該用戶采取嚴格按比例的臨時措施。如果臨時措施使得數據重新本地化且持續時間超過180天,成員國應在上述180天內向歐盟委員會通報。歐盟委員會應在最短的時間內審查該措施及其與聯邦法律的兼容性,并酌情采取必要措施。歐盟委員會應與第7條提到的成員國單一聯絡點交換其就這方面取得的信息。

第六條:數據的轉移

(1)歐盟委員會應鼓勵和促進制定聯盟一級的自律行為守則(“行為守則”),以便在透明度、互通性原則和開放標準的基礎上,助力發展有競爭力的數據經濟。

包括以下方面:

  1. 便利切換服務提供者并轉移數據的最佳實踐,即當接收數據的服務提供者請求或要求時,以結構化、通用和機器可讀格式(包括開放標準格式)轉移數據;
  2. 最低信息要求,即在數據處理合同終止之前,當專業用戶想要切換到另一個服務提供者或將數據轉移到自身IT系統上時,確保其可以獲得關于數據處理、技術要求、時間安排和收費的足夠詳細、清晰、透明的信息;
  3. 認證機制,幫助專業用戶比較數據處理產品和服務,同時考慮到既定的國家或國際規范,以促進這些產品和服務的可比性。這些機制可包括質量管理、信息安全管理、業務連續性管理和環境管理等;
  4. 溝通藍圖采取多學科路徑,以提高利益攸關方對行為守則的認識。

(2)歐盟委員會應確保與所有利益攸關方密切合作,共同制定行為守則,包括中小企業和初創企業協會,以及用戶和云服務提供商。

(3)歐盟委員會應鼓勵服務提供者在……之前(自本條例公布之日起12個月)完成行為守則的制定,并在……之前(自本條例公布之日起18個月)有效實施行為守則。

第七條:主管部門之間的合作程序

  1. 每個成員國應指定一個單一聯絡點,該聯絡點應就本條例的適用,與其他成員國的單一聯絡點和歐盟委員會聯系。成員國應將指定的單一聯絡點及其后續變更通知歐盟委員會。
  2. 如果一個成員國的主管部門根據第5條第2款請求另一成員國提供協助,以便獲取數據,則應向后者指定的單一聯絡點提出正當請求。請求應包括對原因的書面解釋以及尋求訪問數據的法律依據。
  3. 單一聯絡點應指明其成員國的有關主管部門,并將根據第2款收到的請求轉交該主管部門。
  4. 接到上述要求的有關主管部門應在無不當拖延的情況下,在與請求的緊急程度相稱的時間范圍內,提供關于所請求數據的答復,或通知請求的主管部門,其認為該請求不符合本條例的要求。
  5. 在第5條第2款要求和提供的協助范圍內交換的任何信息,僅可用于所要求的事項。
  6. 單一聯絡點應向用戶提供有關本條例的一般信息,包括行為準則。

第八條:評估和指南

(1)在……之前(自本條例公布之日起48個月),歐盟委員會應向歐洲議會、理事會和歐洲經濟和社會委員會提交報告,評估本條例的實施情況,特別是在以下方面:

  1. 本條例的適用情況,尤其是對由個人和非個人數據組成的數據集的適用,因為考慮到市場發展和技術發展可能擴大數據再次識別的可能性;
  2. 成員國對第4條第1款的實施情況,特別是公共安全例外;以及行為守則的制定和有效實施情況,以及服務提供者是否有效提供信息。

(2)成員國應向歐盟委員會提供編寫第1款所述報告的必要資料。

(3)在……之前 (自本條例公布之日起6個月),歐盟委員會應發布關于本條例與GDPR交叉適用關系的指引性指南,特別是有關由個人和非個人數據組成的數據集。

第九條:最后條款

  1. 本條例在歐盟官方公報上公布后的第二十天生效。
  2. 本條例自公布之日起六個月后實施。
  3. 本法規應具有全部約束力,并直接適用于所有成員國。

延伸閱讀:

楊樂、曹建峰:《從歐盟“被遺忘權”看網絡治理規則的選擇》,載《北京郵電大學學報(社會科學版)》2016年第4期

曹建峰:《民法總則數據保護路徑:概括式保護及與知識產權協調》,載《大數據》2017年第1期

曹建峰:《論互聯網創新與監管之關系——基于美歐日韓對比的視角》,《信息安全與通信保密》2017年第8期

曹建峰、祝林華:《歐洲數據產權初探》,《信息安全與通信保密》2018年第7期

曹建峰、李金磊:《歐盟<隱私與電子通信條例>草案評述》,載《信息安全與通信保密》2017年第4期

曹建峰、李正:《歐盟最新網絡安全指令對我國網絡安全立法的啟示》,http://www.tisi.org/4707

曹建峰:《歐盟GDPR精要:5千字讀懂GDPR說了啥》,

https://new.qq.com/omn/20180530/20180530A1HI7M.html

 

作者:曹建峰,微信公眾號:騰訊研究院(ID:cyberlawrc)

翻譯:劉詩蕾、曹建峰

本文由 @騰訊研究院 原創發布于人人都是產品經理。未經許可,禁止轉載。

題圖來自 Pixabay,基于 CC0 協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
騰訊研究院
騰訊研究院是騰訊公司設立的社會科學研究機構
78篇作品 559657總閱讀量
11-031620 瀏覽
低價不是京東的終極答案
09-181861 瀏覽
花1000塊給陌生人送禮,這屆年輕人圖啥
07-143348 瀏覽
被出售的出海App,將海外公司養到全球非游廠商收入Top10?
06-193972 瀏覽
如何讓“她”買單?
11-287952 瀏覽
從小淘氣長大淘寶的你,清楚電商倉儲費用嗎?
評論
評論請登錄
  1. 目前還沒評論,等你發揮!