一、全球数据跨境管理和数据共享流通的特点
当前,数据已成为新的生产要素和战略资源,数据跨境流动在打造我国数字经济发展新优势上的作用越来越重要。目前,全球数据跨境流动具有三大特点:
第一,全球层面以“软法”推动达成全球共识与合作。其中欧盟以其严格的保护标准、数据主权优先、全球适用性、分级分类保护、技术中立性、用户权利保障、严格执法、国际合作、支持创新,以及防范数据垄断等特点,在全球范围内具备高标准和广泛影响力。各国签订的其他贸易协定和专项协定中,都将数据跨境流动规则纳入核心条款。
第二,数据跨境流动和数据共享流通呈现分类分级监管趋势。主要经济体根据自身产业实际,构建了数据跨境流动分级分类监管模式,依行业属性由不同政府部门和机构负责监管数据出境。欧盟在数据跨境流动中采取分级分类保护机制。不同类型的数据(如个人数据、工业数据、公共数据等)采用不同的管理方式和保护强度,针对性强。例如,《数据治理法案》(DGA)对非个人数据的跨境流动和共享流通有较宽松的规定,而GDPR对个人数据的跨境流动则要求严格的保护。
第三,新型数字基础设施打造数据跨境流动新底座。区块链、隐私计算、可信数据空间等为数据跨境流动提供了安全可信的选项。欧盟数据保护法规大多采用技术中立的原则,不局限于某一特定技术,确保法规适应不同的数据处理技术和商业模式。这种技术中立性确保法规能适应快速变化的技术环境,如物联网、人工智能等新兴技术。
二、欧盟数据跨境管理的监管框架
根据数据主体的不同,可将数据大体上分为个人数据与非个人数据。欧盟的个人数据跨境流动管理,主要是通过《通用数据保护条例》(General Data Protection Regulation,GDPR),基本确立了个人数据的流动规则,包括数据传输的一般原则、充分性认定和标准数据保护条款。欧盟的非个人数据流动管理,主要由《数据治理法案》(Data Governance Act,DGA)、《数据法案》(Data Act,DA)、《开放数据与公共部门信息再利用指令》(以下简称《开放数据指令》)、《欧盟非个人数据自由流动框架条例》(以下简称《非个人数据自由流动条例》)等进行了顶层制度设计。
GDPR、《数据治理法案》以及《数据法案》均是以实质性立法,明确确立了欧盟在保护数据主体权益方面的利益,具有重要地位。在三部法律中,数据在欧盟成员国之间的流动和与第三国的流动均属于跨境流动。
GDPR对数据跨境进行了明确定义,GDPR第4条定义中指出:跨境处理(cross-border processing)是指以下任一情况:
- 数据控制者或处理者在多个成员国境内多个营业场所开展的数据处理营业活动;
- 个人数据处理发生在位于欧盟境内的数据控制者或数据处理者的单一营业场所,但该活动实际上或可能会影响到多个成员国的数据主体。
三部法律对数据跨境流动管理的侧重点有所不同,GDPR侧重在个人数据的保护,《数据治理法案》和《数据法案》都涉及非个人数据的流动,前者强调推动非个人数据的共享与流动特别是加强公共部门对数据的访问,以促进数字创新,后者则侧重于公共部门和私营部门之间的数据共享与流动。
三、欧盟数据跨境管理和数据共享流通规则
(一)《通用数据保护条例》(GDPR)
GDPR全文有10章共23条直接提到数据跨境流动。从法条层面,GDPR核心是对数据传输的一般原则、充分性认定、标准数据保护条款,完成了个人数据跨境流动整体适用和个别适用的规则建构。
一是关于数据传输的一般原则。GDPR对数据跨境传输采取了“原则禁止+例外允许”的基本模式。立法者将数据传输的一般原则(GDPR第44条)设计为“附许可保留的预防性禁止规定”,以禁止数据传输作为一般原则,仅在符合GDPR第五章的特定前提时,才允许数据跨境传输。
二是关于充分性认定。充分性认定规则履行了《欧盟基本权利宪章》第8条第1款的保护个人数据的义务,旨在确保出境数据能在欧盟境外继续延续欧盟的高水准保护,确保域外国家提供的数据保护水平与欧盟实质等同。欧委会以决定形式签发充分性认定,认定第三国、第三国特定区域或行业、国际组织能够确保提供充分的数据保护水平,在获得充分性决定之后,数据出口方无须提供进一步的数据保护或任何其他授权,即可实现数据出境。
三是关于标准数据保护条款。GDPR第46条确立了:
(1)经批准的标准数据保护条款;
(2)有约束力的公司规则(BCR);
(3)行为准则;
(4)认证机制四类替代性数据传输工具。当数据流向未获欧盟充分性决定的地区时,第三国数据进口方可在“提供适当保障措施”的前提下,通过替代性数据传输工具实现数据国际流动。因此,标准数据保护条款是使用率最高的一种法律工具。
(二)《数据治理法案》(DGA)
《数据治理法案》旨在通过促进某些类别公共部门数据的再利用,增强数据中介服务的可信任度,促进数据利他主义,建立健全的欧盟数据共享机制。全文共9章38条,主要内容涵盖公共部门数据的再利用、通过数据中介服务促进数据共享、基于数据利他主义的数据共享、拓宽数据共享渠道的保障措施四个方面:
一是公共部门数据的再利用。《数据治理法案》规范的公共部门数据再利用是指,自然人或者法人基于与产生数据的初始公共目的不一样的商业或者非商业目的,利用公共部门持有的数据的行为。该法第二章用了七个条款,从实体和程序两个角度设置了欧盟公共部门数据再利用的制度,具体包括该法适用的公共部门数据类型、再利用的条件和限制费用、主管机构、单一信息点的设置及再利用申请程序。
二是通过数据中介服务促进数据共享。数据共享是指数据持有人基于协议,自愿直接或者通过数据中介向数据使用者提供数据,以单独或者共同使用共享数据的行为。《数据治理法案》第三章引入了数据中介服务制度,希望借助独立于数据持有人和数据使用者的中间人,即数据中介服务提供商,高效汇聚数据并实现数据供需关系的匹配。《数据治理法案》引入数据中介服务提供商,也是在数据共享法律关系之中保障数据主体行使GDPR项下权利的重要途径。
三是基于数据利他主义的数据共享。《数据治理法案》规范的第三种数据共享模式是基于数据利他主义的数据共享。根据法案的定义,数据利他主义是指数据主体在不求回报的情况下,为科学研究或者公共服务等公共利益,自愿同意处理与其相关的个人数据,或者其他数据持有人自愿允许使用他们的非个人数据。
四是拓宽数据共享渠道的保障措施。为确保欧盟内部数据共享机制的有效运作,《数据治理法案》建立了从成员国层面到欧盟层面的组织架构,明确主管机构的组织、程序、职责和行为规范,提升了数据共享渠道的透明度和一致性。
(三)《数据法案》(DA)
《数据法案》旨在构建统一协调框架来明确数据访问使用的主体和条件,赋予用户更为完善的数据权利,保障数据创建者实现对数据的均衡控制,并为生成数据的企业和使用者提供明确的法律指引。全文共11章50条,重点内容包括数据访问和数据共享权利、提高欧洲云市场的公平性和竞争性、企业向公共部门共享数据机制、避免第三国政府机构访问非个人数据、互操作性的基本要求五个方面。
一是数据访问和数据共享的权利。《数据法案》的一个关键目标是在数字经济中创造公平性,并使用户能够从他们使用、拥有或租赁的物联网产品生成的数据中获得价值。《数据法案》第二章关于企业与企业(B2B)和企业与消费者(B2C)数据共享的规定,适用于通过使用物联网产品或相关服务生成的所有原始数据和预处理数据,这些数据对数据持有者(例如连接产品制造商/相关服务提供商)可以轻松获取,且不超出简单操作的范畴。这适用于个人数据和非个人数据,包括相关的元数据。这些数据包括来自单个传感器或连接传感器组的数据,例如温度、压力、流量、音频、pH值、液位、位置、加速度或速度。推导或衍生的数据和内容(例如,高度丰富的数据、视听材料)不在适用范围内。
二是提高欧洲云市场的公平性和竞争性。《数据法案》第四章设置了不公平的合同条款相关规定,法案建立列出了一个非详尽的条款清单,这些条款始终被视为不公平的(例如,排除或限制单方面强加条款的一方对故意行为或重大过失的责任)以及被假定为不公平的条款(例如,在未履行合同义务或违反义务的情况下,不适当地限制救济措施或责任,或扩展单方面强加条款的一方的责任)。如果某个条款被视为不公平,该条款将无效——在可能的情况下,该条款将从合同中剥离。为了确保欧盟市场的竞争性,法案还在第六章规定,数据处理服务的客户(包括云计算和边缘计算服务的客户)应能够无缝地从一个服务提供商切换到另一个。
三是企业向公共部门共享数据机制。由于私营部门持有的数据可能对公共部门开展公共利益任务至关重要。《数据法案》第五章允许公共部门机构在特定条件下,在有特殊需求的情况下访问这些数据。特殊需求指的是一种不可预见且有时间限制的情况,特殊需求的情况包括公共紧急情况(如重大自然灾害、人为灾难、流行病和网络安全事件)和非紧急情况(例如,驾驶员GPS系统的汇总和匿名化数据可用于帮助优化交通流量)。《数据法案》将确保公共部门机构能够及时可靠地访问这些数据,而不会给企业带来不必要的行政负担。有权请求数据的部门包括成员国的公共部门机构以及某些欧盟机构。这些部门在特定条件下也可以与从事研究的和资助研究的组织共享数据。
四是避免第三国政府机构访问非个人数据。有时,第三国的裁决或判决要求允许政府访问并传输存储在欧盟境内的非个人数据。然而,在某些情况下,允许访问或传输这些数据可能是非法的,特别是在请求与欧盟法律和关于保护个人基本权利、国家安全利益或商业敏感数据的保障发生冲突时。《数据法案》延续了《数据治理法案》中的相关规定,旨在防止第三国政府非法访问和转移存储在欧盟境内的非个人数据。这些规定对正常的企业对企业(B2B)数据共享没有影响。它们增加了透明度和法律确定性,明确了在何种过程中和条件下,非个人数据可以被访问或传输给非欧盟政府机构。
五是互操作性的基本要求。标准和互操作性对于确保来自不同来源的数据可以在共同的欧洲数据空间内及之间使用,从而促进研究并开发新产品或服务至关重要。为此,《数据法案》确立了一些必要的要求,数据空间中的参与者必须遵守,例如,数据结构、数据格式和词汇表的描述(如果可用)应可公开访问。此外,还应确保数据共享协议(如智能合约)的互操作性,并且这些要求可以通过欧盟委员会的授权法案进一步细化。
四、总结
欧盟通过《通用数据保护条例》《数据治理法案》《数据法案》形成了关于不同类型数据的跨境流动方式、相应主体权利义务的制度框架。总体而言,欧盟的数据跨境流动和数据共享,是一种内松外严的数据流动模式,即在欧盟境内数据自由流动,建设“泛欧数据市场”,欧盟与第三国的跨境流动,采用严格管控方式。
欧盟的强监管和保护其实是一把双刃剑,一方面帮助数据产业的安全发展并保护数据所有者的基本权利。通过出台一系列法案来保障数据获取和数据适用的安全性,同时通过强监管手段保护其境内的数据安全,并在一定程度上帮助其本土企业在全球大数据产业发展的背景下稳步发展;另一方面也会在一定程度上限制科技产业、数字产业在欧盟区域内的发展。由于近年来中国和美国的互联网科技公司业务形式更多元化,业务范围遍布全球。中美科技巨头公司的信息收集及跨境数据传输日益频繁,在此过程中,无论企业走出去的意愿程度如何,欧盟市场在中国企业或者跨国企业的运营和发展中都是绕不开的选择。但较高的合规成本和处罚风险又会给企业发展带去不同程度的限制,企业决策者需重点评估此类因素。
来源:赛博研究院;邮件:public@sicsi.org.cn;电话:021-61432693
作者:周雨霏,赛博研究院研究员