作者 | 北京德恒律师事务所 王一楠、周望
国家互联网应急中心 邢潇、卓子寒
1、欧盟《数据法》草案背景
欧盟《数据法》(Data Act)草案(“《数据法》”)于2022年2月23日由欧盟委员会通过,系欧盟为了落实2020年2月颁布的《欧盟数据战略》(EUData Strategy)所采取的第二项立法行动(第一项是欧盟于2020年11月颁布的《数据治理法》(Data Governance Act)草案)。
在全球数字经济和信息技术迅猛发展的背景下,《欧盟数据战略》表明欧盟意图成为大数据方面的世界领导者,通过促进欧盟中小企业参与数字经济,创设统一的欧洲数据空间(European Data Space)和数据市场。
为了提升欧盟未来在数字经济下的竞争力,《数据法》应运而生。如果说《数据治理法》草案进一步完善了公共部门数据与私营经济(G2B)之间以及数据在私营经济(B2B)中如何分享的相关规定,那么《数据法》则规定了谁有权去利用这些数据(B2C、B2B等),以及私营经济的数据在何种情况下能被公共部门利用(B2G)。从大数据角度而言,《数据治理法》草案完善了大数据经济的基础制度,而《数据法》则旨在规范大数据所产生的利益如何公平分配问题。
2、《数据法》的价值取向及主要内容
2.1 扶持欧盟中小企业,对抗国际互联网巨头
《欧盟数据战略》出台背景是欧盟在互联网时代因长期未能发展出自己的互联网巨头,沦落为美国大型互联网企业生产、处理和分析数据的“筒仓”。欧盟希望通过落实《欧盟数据战略》在美式的私人互联网巨头垄断和中式的政府引导治理之间,走出一条属于自己的中小企业发展和自然人自治之路。
为了实现此目标,《数据法》引入了三个规定:
-
(1)用户与第三方访问及利用数据权;
-
(2)禁止签订不平等的数据分享合同;
-
(3)云服务数据可携权。
(1)所谓用户与第三方访问及利用数据权,是指产品(包括服务)的用户有权访问、使用和向第三方分享其因使用产品所产生的数据。该权利尤其适用于物联网(Internet of Things,简称IoT)所产生的数据。
当然,该权利的行使不得损害产品提供方对于数据的传统权益。例如,该权利不适用于数据持有者的商业秘密或数据持有者负有保密义务的信息,也不适用于将这些数据用于开发竞争产品的场景。
该项权利意图保证用户可以控制自己因使用产品而产生的数据,保障了用户对于其数据所享有的权益。同时,互联网巨头等产品提供方对于数据的垄断被打破,既使用户可以选择不同来源的相关其他产品,也使第三方中小企业能够开发相关产品,保证了市场的充分竞争。《数据法》要求产品需具有实时和持续分享数据的功能,这意味着日后所有针对欧盟市场的产品都必须在底层设计上留出相应接口。
(2)禁止签订不平等的数据分享合同,是指数据持有者在与中小微企业签订数据分享相关的合同时,不得单方面施加不公平条款。该要求旨在防止不平等的合同条款损害中小微企业,有助于欧盟各种体量的企业利用其他企业所产生的数据进行竞争与创新,使之有效参与数字经济,创造出更具竞争性的数据市场,防止数据控制者独占数据利益。
(3)云服务数据可携权,扩展了自然人的数据可携权(right to data portability),进一步要求云服务商不得禁止任何类型的用户转移数据或选择新的云服务商,以及云服务用户有权在提前30天通知的前提下终止任何云服务合同。
为了实现这一权利,《数据法》要求云服务商允许和协助用户转移其在使用云服务期间上传的所有数据以及衍生的所有元数据,并在用户提出转移的60天内完成交接,保证转移前后的功能一致(functional equivalence)与服务持续。欧盟计划在该立法后,启动欧盟互用性(interoperability)标准的实施,使两个或以上数据空间或通讯网络系统相互交换并通过数据使用完成各自功能。
可以预见,在用户有权自由选择或迁移其由云服务商处理或储存的数据之后,各种不同功能或针对不同市场的云服务商会相继涌现,以往互联网巨头或大型云服务商一揽子地提供所有云服务的状况将有所改变。
2.2 细化数据权属,促进数据利益分配
就数据权属而言,《数据法》延续了欧盟在GDPR中的个人数据可携带权的思路,承认数据主体和产品用户对所产生的数据具有一定的权益。为了保障此种权益,《数据法》认为,用户有权获取和利用自身利用产品时所产生的数据,并且可以自由迁移和利用这些数据。
与此同时,《数据法》明确承认数据是一种“可复用”资源。为此,《数据法》旨在数据主体和用户完全排他性的数据所有权,与数据相关方(如数据收集者、产品生产商、产品设计者、第三方数据处理者、公立机构等)对于数据的合理利用权之间达成一种平衡。
总体而言,《数据法》鼓励数据(除个人数据、敏感商业数据、有保密义务的数据、国家安全和国防数据这几类数据之外)的自由流动和多次利用,避免出现数据壁垒和数据垄断,充分发挥数据“用之不竭”的特性。同时,数据主体作为相关方,可以凭借自身权益索取和利用数据。我们注意到《数据法》未明确界定数据所有权(未使用任何类似“数据所有者”或“数据所有权”等词句,即便是使用数据时可收取的合理费用,也特别规定该费用并非数据购买费)。
2.3 打通B2G数据流动,助力数字政府与公共治理
近年来,面对战争难民、新冠病毒疫情、暴雨洪水等跨地域的大范围危机,欧盟及其成员国往往难以有效利用数字技术予以应对。《欧盟数据战略》也特别指出,欧盟公共行政能力的提升需要充分利用数据,提升政府的数字能力。《数据法》为此加入了公共机构可以在异常状况(exceptional circumstance)下要求数据持有者(不包括小微企业)向政府分享所掌握数据的新规定。所规定的异常状况包括:
(1)数据对于响应、阻止公共紧急状况(public emergency)或从公共紧急状况中恢复有必要,或者(2)公共机构缺乏数据去执行公共利益相关的特定任务,而且这种数据无法通过其他方式及时获取或通过此种方式获取能大大降低各方行政成本。
在异常情况(1)具体指公共卫生危机、环境恶化危机、重大自然灾害和人为重大灾难等会对欧盟内人群造成负面影响、且对于生存状况或经济稳定有造成严重和持续不良后果风险的异常情形,或者是会对经济财产造成严重减损的异常情形中,使用数据的公共利益超出了数据持有者自由处置其数据的私人利益,此时公共机构调取私营部门数据显然适当。
至于异常情况(2)是指为完成特定任务的数据分享,则既包括无法及时获取数据的状况,也包括此种分享能大大降低数据持有者在内的相关机构行政成本的情况。以此理由提供的数据可以要求合理补偿。例如,反垄断局需要就某企业垄断作出行政决定需要调取企业的数据或者该产品市场分析机构或同行业其他企业的数据作为支撑。
该条款不仅大大增强了欧盟和欧盟各国应对紧急状况时的应用私人数据的能力,也为欧盟各级公立机构在行政执法、政策研究等非紧急情况下应用私人数据铺平了道路。可以预看,政府的此种权力有助构建跨欧盟数字政府、增强各成员国公共治理能力。
2.4 限制非个人数据跨境传输,保护欧盟商业与国家利益
欧盟大数据立法还增添了非个人数据向欧盟境外传输的限制。数据持有者必须以合理的方式确保欧盟内的非个人数据尽量不被传输到欧盟境外或被欧盟境外的政府访问。
在非个人数据被欧盟外法院或行政机构的命令要求境外传输时,必须遵照国际条约或双边司法协助条约。如果没有此等国际条约,要求境外传输的命令应当合理、具体、成比例,并且第三国独立司法机构在审查该命令时要考虑数据提供者在欧盟法律下的合法利益。境外传输要求涉及商业敏感数据、国家安全或国防相关数据时,被要求方可以寻求成员国相关机构的意见。
目前,欧美间就数据和互联网的争斗尚未尘埃落定。在美国通过国内法对欧盟企业及其高管发起侵入式调查和棱镜门、监听门等事件之后,欧盟逐渐收紧的数据保护立法,以免自身商业及国防利益被不断侵蚀。自GDPR限制个人数据出境后,此次欧盟《数据法》对于非个人数据增添了总括式限制,并在其中识别出敏感商业数据、国家安全和国防数据这些需要特殊对待的数据类别,显示出欧盟维护自身数据主权的决心。
3、 欧盟《数据法》对中国大数据立法的借鉴意义
近年来,我国数据领域的相关立法进展迅速(例如《网络安全法》、《数据安全法》、《个人数据保护法》等)初步建立起了相对完备的法律体系。但在国家层面的立法重点多集中在数据安全和保护上,而对于数据权益、数据流动、数据共享及数据利用上着力较少,仅有《民法典》第一百二十七条等原则性规定,以及《互联网信息服务算法推荐管理规定》等。
为了适应大数据经济的迅猛发展,应对数字经济的野蛮生长,中共中央国务院在其发布的《知识产权强国建设纲要(2021-2035年)》中表示要加强大数据等新领域新业态立法。在今年的各级两会上,各界代表纷纷表示要进行地方和国家层面的大数据领域立法。《贵州省大数据发展应用促进条例》、《贵阳市政府数据共享开放条例》、《深圳经济特区数据条例》等都在这方面作出了有益尝试和探索。
我国下一步在大数据领域的立法可以借鉴欧盟《数据治理法》和《数据法》两部草案,就私营部门到公立机构(B2G)、公立机构到私营部门(G2B)、私营部门之间(B2B)、个人到私营部门(C2B)和私营部门到个人(B2C)等各种场景构建符合我国国情的数据治理体系,保护利益相关各方、尤其是数据产生者、数据控制者和数据使用者的数据权益,打破数据垄断,充分释放数据生产力,同时防止“大数据杀熟”和互联网恶性竞争对人民生活和国家安全带来的不利影响。
原文来源:网络安全应急技术国家工程研究中心
原文始发于微信公众号(关键基础设施安全应急响应中心):他山之石—简析欧盟《数据法》草案及对我国立法的借鉴意义
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论