【中文摘要】欧洲议会于2023年11月9日表决通过《数据法案》。该法案明确符合欧盟价值观的数据流转利用和数据治理规则,保障欧洲单一数据市场中数据要素的安全高效流动,进一步平衡个人数据保护和数据自由流通之间的关系。在数字时代下,我国可以在个人信息权益保护、统一协调的数据治理机制建立、技术互联与标准建设强化、数据安全保护监管优化等方面吸收借鉴其经验,在充分释放数据要素价值的同时,进一步完善数字时代数据安全与个人信息保护标准,规范数据的共享流通,保障数字经济安全有序发展。
【全文】
引言
《数据法案》是欧盟《欧洲数据战略》中一项关键的立法措施,旨在推动更多的数据在符合欧盟规则和价值观的前提下流转利用。该法案草案于2022年2月23日由欧盟委员会公布,作为对2020年欧盟《数据治理法案》和《一般数据保护条例》(General Data Protection Regulation,GDPR)的补充。2023年3—6月,欧洲理事会常驻代表委员会就该法案开展了一系列谈判和三方会谈。2023年6月27日,欧盟议会和欧盟理事会达成政治协议,标志着该法案正式进入立法审议过程。该法案一旦通过,将在官方公报发布后20天生效,并在20个月后正式施行。2023年11月9日,欧洲议会表决通过《数据法案》,意味着该法案的立法进展到最后一步,后续需得到欧洲理事会的正式批准才能成为法律予以颁布施行。
《数据法案》篇幅共计11章50条,主要涵盖个人数据和非个人数据,囊括数据共享和流通、数据处理服务之间的转换、互操作性等重点内容,辐射各种智能设备、自动驾驶汽车等产生的数据。由于数据涵盖范围广,本文将聚焦《数据法案》对数据流转中个人信息保护的规则设计,并在此基础上建言,以期进一步丰富和完善数字时代下个人信息保护的路径选择。
一、欧盟《数据法案》的立法背景与关切
正如《数据法案》的序言所述,数据驱动技术的快速发展在所有经济领域引起了深刻变革,特别是随着互联网连接的产品数量的激增,消费者、企业和整个社会的数据量和潜在价值得以显著提升。为了回应数字经济的发展需求,消除影响数据内部市场良好运转的阻碍,并加速释放数据要素潜力,欧盟委员会于2022年2月23日公布了《关于公平获取和使用数据的统一规则》,即《数据法案》,旨在通过明确数据访问、共享和使用规则,保障数据经济参与者之间数据价值分配的公平性,以促进数据要素的流转利用[1]。后续经过修改,新《数据法案》于2023年11月9日经欧洲议会表决通过。
作为欧洲数据战略的关键支柱,《数据法案》与欧盟构建单一数据市场的愿景相呼应,并引入了欧洲未来议会建议中的原则,即支持公共服务的数据化转型和引入欧洲共同数字身份,致力于推动欧洲成为全球数据敏捷经济的引领者,试图构建起一个跨部门数据治理框架和遵循欧洲原则及价值观的弹性数据基础设施[2]。
《数据法案》与2022年11月欧盟委员会通过的《数据治理法案》互为补充,协同促进了数据共享利用。《数据法案》明确了能从数据中创造价值的主体和条件,要求保证数据访问权限之间的一致性,并通过制定有关物联网设备生成数据的使用规则以平衡重要数据的建设能力分配,从而消除企业和个人访问、获取、共享数据的障碍,促进创新[3]。
另外,《数据法案》和欧盟另一项数据治理重要立法GDPR都同等适用于个人数据保护。在数据可携带权方面,《数据法案》也可作为对GDPR的延伸,GDPR第20条规定,数据主体有权接收他们自己的个人数据,这些数据需以结构化的、常用的和机器可读的格式提供给控制者。数据主体有权在不受数据控制人阻碍的情况下,将个人数据传输到另一个数据控制人。《数据法案》便在此基础上进一步明确用户的物联网数据访问权,即将使用产品或服务产生的数据提供给用户,包括个人数据和非个人数据,用户有权接受因使用产品或服务产生的数据,并有权将其数据向第三方转移。在遵循GDPR的前提下,《数据法案》通过统一的规则构建实质扩大了用户的数据控制权,实现了对数据流转中个人信息的动态保护。
《数据法案》作为一项横向立法,促进了不同主体(包含企业、政府)间的数据流通共享,契合欧盟激发数据潜力和创建共同的欧洲数据空间的战略目标,顺应欧盟数据流通监管的整体趋势。可以认为,《数据法案》的核心关切在于明确数据访问和使用的主体,探索构建一个程序与立法措施互相作用的数据共享框架,并在增强数据安全和个人权益保护能力的基础上,为中小企业或政府的数据访问提供实现路径,营造一个允许创新和竞争的公平的数字市场环境。
二、欧盟《数据法案》的规范设计与要点
《数据法案》在规范数据自由流通规则的同时,也着眼于保护个人数据的基本权利,并作为欧盟关于保护个人数据和隐私法律的补充,进一步完善了欧盟GDPR、《第(EU)2018/1725号条例》以及《隐私与电子通信指令》。《数据法案》旨在构建统一协调框架来明确数据访问使用的主体和条件,赋予用户更为完善的数据权利,保障数据创建者实现对数据的均衡控制,并为生成数据的企业和使用者提供明确的法律指引。
一是赋予用户物联网数据访问权。《数据法案》在保障用户数据访问和使用权利方面作了周延的规定,强化用户对于数据的控制权和自主权。《数据法案》第3条第1款以及第4条明确规定,数据持有者应当实时持续地向用户提供产品设计、制造以及相关服务提供过程中产生的数据,并对数据提供的标准作严格的设定。《数据法案》第5条进而规定用户与第三方数据共享的权利,即应用户的请求,数据持有者应以同样的标准向第三方提供数据。
物联网数据访问权可作为GDPR规定的数据可携带权的进一步延续和强化。一方面,《数据法案》消除了数据可携带权在技术条件及时效性方面的限制;另一方面,《数据法案》第5条及第6条具体规定了接收数据的第三方和提供数据的数据持有者的义务,对GDPR第20条第4款数据可携带权的行使作了细致的规范[4]。此外,《数据法案》通过对数据主体的区分,为用户提供了针对性的条件要求,例如,企业用户要求访问并使用相关产品和服务所产生的个人数据时,应遵循GDPR第6条第1款的规定。《数据法案》还着重关注物联网数据访问权与数据持有者的知识产权以及商业秘密之间的协调衔接,以确保数据流动的平衡和安全。
二是对中小微企业以外的数据持有者施加严格的责任要求。作为数据主体的相对方,数据持有者在数据流转的过程中负有提供数据和保护数据的法律义务。依照《数据法案》,数据持有者依用户请求或欧盟成员国国家法律规定,应当遵循公平、合理、非歧视性原则,以全面、结构化和机器可读的格式,便捷安全地向其提供数据;并在订立产品或服务相关的合同前,以清晰、可理解的方式向用户提供必要的信息,以保障用户的知情权。有关访问和使用数据的合同条款若构成《数据法案》第13条所指的不公平条款,或对用户不利,排除、减损或改变《数据法案》第二章规定的用户权利,则不具有法律约束力。
此外,数据持有者应充分尊重用户的数据权利,不得保存任何有关用户访问所申请数据的信息。并且,数据持有者和第三方未能就传输数据的安排达成一致,也不应妨碍、阻止或干涉数据主体行使GDPR规定的权利,尤其是数据可携带权。数据持有者还应遵循数据最小化原则及通过设计和默认方式保护数据的原则,采取智能合约、加密等适当的技术保护措施,防止数据遭到未经授权的访问。
三是限定向公共机构以及具有特殊需要的欧盟机构或部门提供数据的条件。依照《数据法案》,公共部门机构、欧盟委员会、欧洲中央银行或联盟机构要求提供的数据应当是应对公共紧急事件所必需的,且在同等条件下无法通过其他方式及时有效地获取。此外,除了条件的限定,《数据法案》还严格要求相关机构履行必要的说明义务,且相应的数据请求应符合规范,保障公共机构获取数据的权利不被滥用。
此外,若请求提供的数据涉及个人数据时,相关机构应当说明采取哪些必要的、相称的技术和组织措施来维护数据的保密性、完整性,以及数据传输的安全性;且应在不无故拖延的情况下通知欧盟成员国相应负责监督GDPR适用情况的监管机构,而欧洲中央银行和联盟机构则应将情况通知给欧盟委员会。在保护个人数据权利的前提下,若有特殊需要,相关机构可将个人数据用于科学研究和生产统计。
四是强化与数据相关的技术融通。《数据法案》允许数据处理服务之间的有效转换,促进数据、数据共享机制和服务的互操作性,这一立法设计是保障用户权利、破除数据处理服务提供商市场准入壁垒的关键。《数据法案》第6章设定了数据处理服务提供商的义务,规定了应当消除影响转换的商业、技术、合同和组织障碍,支持向用户免费提供同等程度的开放接口,确保互操作性规范与欧洲标准兼容,并在转换过程中着重保障数据传输和检索的高安全性。《数据法案》还补充了信息与通信技术基础设施的相关内容,并限定了可扩展和弹性计算资源的范围。
此外,《数据法案》第8章也明晰了关于数据、数据共享机制、服务互操作性、欧洲共同数据空间的基本要求,以及有关履行数据共享协议的智能合约的基本要求。总体而言,《数据法案》旨在通过以消除技术障碍为宗旨的制度设定,来实现数据的互通互操作,并积极释放数据流转过程中个人数据的价值。基于此,《数据法案》必然赋予个人和组织更为严格的个人数据保护要求。
三、欧盟《数据法案》的制度意义与启示
《数据法案》为物联网及其相关服务生成数据提出了新规则,通过释放工业数据的价值、优化数据的访问和使用,以及培育具有竞争力和可靠性的欧洲云市场,促进欧盟内部数据单一市场中数据要素的自由安全流动。《数据法案》在促进数据有序流动的同时,也注重个人数据保护。《数据法案》延续了GDPR在个人数据隐私方面的治理原则,同时为欧洲数据市场构建起统一协调的法律框架,确保欧盟境内的自然人的基本权利和自由在个人数据处理和流通过程中能够获得统一的、高水平的保护。基于此,《数据法案》在数据流转利用过程中对于个人信息保护规则的设计提供了重要的参考方案。
一是强化数字时代个人信息权益保护。在数字经济背景下,数据权益和个人信息权益不可分割。在数据流转利用过程中,必然伴随个人信息权益受侵犯的风险。现行的《中华人民共和国个人信息保护法》对于个人在信息处理活动中的权利规定仍显不足,难以充分保障数据服务的有效切换;此外,个人信息转移仍存在技术的时效性障碍,相关法律尚未对这一问题进行明确规定[5]。对此,在个人权利保障方面,可以借鉴《数据法案》的相关规定,探索扩充以“用户物联网访问权”和“用户数据可携带权”为要点的数据要素流通和交易制度,强化个人对与其有关的数据的控制权和自主权,并系统构建数据共享的权责体系,实现数据经济参与者之间数据价值分配的公平性。
二是建立统一协调的数据治理机制,平衡数据安全与发展的关系。数据治理机制在有效促进数据开发与利用的同时,应当保护个人、企业、公权力机关等各方主体权益。并且,不同数据主体的数据利用能力存在显著差异,需要为不同的数据类型建立起统一的治理路径,才能够有效发挥多方主体的协同作用,形成拉动效应。
《数据法案》针对不同主体、各类数据和多样化交易场景,制定了详细规范,并设计了相应的数据合规监管模式和争端解决机制,以解决可能出现的权利冲突。可以借鉴《数据法案》,因类施策,加快明确数据的权属标准和权益属性,厘清并合理配置数据持有者、使用者等数据经济参与者的权利、义务和责任,平衡各方主体利益,并制定公共数据、个人数据以及企业数据等数据的分类分级标准,针对不同类别和级别的数据赋予差异化的使用权限和监管合规标准[6]。
三是强化技术互联与标准建设,增强数据的互操作性和安全性。打破数据流动的技术壁垒,既有助于加速数据要素的开发和利用,又有助于构建高效、标准、安全的数据要素市场,有力保障个人基本权利。《数据法案》已制定一系列消除技术障碍的兼容规则,包括实施标准合同、推动互操作规范落地等。为此,需积极倡导数据流动的技术标准建设,助力提升数字企业在国际数字经济竞争中的话语权。一方面,促进数字技术的深入应用,在数据产生和流通过程中,增强企业对数据检查、诊断和校准的技术能力,确保数据的安全传输[7]。另一方面,制定相关技术标准,规范平台建设,保障数据处理服务和数字技术跨平台应用的功能等价性,营造成本收益均衡、高效率、可信赖的数据流通环境。
四是优化数据安全和保护的监管机制。《数据法案》明确数据访问和使用的原则和条件,对欧洲数据市场相关参与者进行了更为严格的监管。当下,要充分发挥海量数据规模和多样化应用场景的优势,激发数据要素潜力,还应研判、借鉴《数据法案》中对于个人数据保护的相关举措,既不放任数据不受管控地流动,也不采取“一刀切”的监管模式,或者变相地提高数据保护门槛而给企业带来沉重的合规成本[8]。此外,有必要及时提升数据安全监管执法司法水平,采取强有力的政策措施切实加强专业机构的能力建设,打造一支技术能力过硬的高素质数据安全人才队伍,并建立政府、企业和社会多方协同的新型治理模式,进一步强化分行业监管和跨行业协同监管,压实各方数据安全和个人信息保护责任。
四、结束语
在数字经济背景下,数据作为新型生产要素的重要性已不言而喻。为推动数据资源高效有序利用,个人信息保护规则也应与时俱进。欧盟在数据隐私保护方面积累了丰富的经验,为在新技术环境下探索个人信息保护的实现路径提供了有益借鉴。我国应立足本土实践、全盘统筹,审慎评估和研判《数据法案》的数据隐私保护规则,积极构建符合特定技术条件的数据安全和个人信息保护体系,努力营造开放、健康、安全的数字生态。
