统一大市场下如何破除数据壁垒——以欧盟《数据治理法案》为视角
///
本文结合我国当前的立法,梳理现实问题,并通过介绍欧盟《数据治理法案》在促进数据流动所进行的尝试方案,试图“抛砖引玉”。
作者:蔡鹏 蔡思雨 胡云浪
序
言
“数据”已经成为构建现代社会和市场的核心要素之一。如何在安全的框架内促进数据的高效流转,解决其流动性障碍,为数字经济注入源源不断的动力,已经成为近年来各国政府以及实务领域关注的主要话题。
2022年3月25日中共中央、国务院发布了《关于加快建设全国统一大市场的意见》,提出加快建设高效规范、公平竞争、充分开放的全国统一大市场。其在第四点“打造统一的要素和资源市场”章节中,明确提出了要加快培育数据要素市场,建立健全数据的开放共享等,并推动数据资源开发利用。
数字化转型已经迫在眉睫,法律和监管日趋完善的背景下,如何破除数据壁垒,利用数据为经济赋能,为企业助力,这是一道需要未来在政策与立法层面上予以回应的命题。本文拟从我国当前的立法情况,梳理我们在现实中所面临的问题,并通过介绍欧盟《数据治理法案》在促进数据流动所进行的尝试方案,试图“抛砖引玉”。
一、我国当前的政策目标与路径规划
虽然个人信息保护、数据安全与促进数据流转问题在某些情境下可能呈现“三元悖论”[1]的状态,即国家数据安全、数据自由流通、个人权利保护三个政策目标无法同时实现,但国家始终从多角度积极探索数据流转机制。
在数据要素市场方面,基于网络安全和数据立法“三驾马车”已经给出顶层设计之后,立法者仍需要推动在数据流转方面的制度和政策创新,以破除数据壁垒的困境和难题。
在《个人信息保护法》(以下简称“《个保法》”)《数据安全法》(以下简称“《数安法》”)颁布之前,基于数据流转的考量,国家已从政策、立法等角度采取了一系列措施。例如,2020年3月30日生效的中共中央、国务院《关于构建更加完善的要素市场化配置体制的意见》指出要推进政府数据的开放共享,加快推动各地区各部门间数据共享交换。2021年6月10日全国人大常委会发布并生效的《中华人民共和国海南自由贸易港法》亦提出要在海南自由贸易港建立安全有序自由便利的数据流通管理制度,扩大数据领域开放,以及探索区域性国际数据跨境流动制度安排。
如今,置身于由《网络安全法》(以下简称“《网安法》”)《个保法》《数安法》及其他相关法律法规共同构建的个人信息与数据安全“强保护”法治格局下 ,各部门以及地方政府在加强数据在公、私领域的流转与共享的立法尝试从未停止。从地方立法来看,2022年1月21日由浙江省人大常委发布并于同年3月1日生效的《浙江省公共数据条例》创造性地回答了公共部门之间,公、私领域之间进行数据交互与共享所应遵循的基本原则与方式,为积极促进省内数据共享奠定了基础。由北京市经济和信息化局发布的《北京市数字经济全产业链开放行动方案(征求意见稿)》提出为在北京市建立全国领先且活跃有序的要素市场,须采取措施持续加大数据开放共享力度(包括如何促进政务数据的开放)、促进数据交易繁荣健康发展(包括加快建设北京国际大数据交易所)以及完善数据跨境流动服务(包括积极推进“数据出境标准合同”制度)等。
二、现实中的问题
1、顶层规则有待于完善
肯定国家及地方为积极促进数据流转所采取的一系列措施之余,笔者认为若要触及当前困扰着数据共享、流转之痛点,真正构建通畅的数据流转机制,必须理顺数据流转与其他重大“命题”之间的关系,即:如何在流转中有效保护个人信息、保障知识产权及维护数据安全与促进数据流转之间的有机耦合,并实现政务数据流向企业有法可依、企业之间数据交互有工具可用等。遗憾的是,目前顶层规则多从宏观倡议以及基本原则性的角度表达对建设数据流转机制的积极立场,尚无具体落地细则。而地方立法也囿于其效力层级以及践行经验的问题,尚未产生足够影响。
2、实践中的困扰
实践当中我们也发现,数字平台的权益和收益的分配和归属、平衡平台的盈利目的与公益属性等问题阻碍着当前对建立数据流转制度的探索。例如,北京著名的预约挂号及复诊平台“京医通”以其一卡打通多家医院挂号就诊,为当地民众带来便捷与降低就医成本而闻名,据悉其目前用户已达两千多万。但近期,京医通的运营实体北京怡和春天科技有限公司(以下简称“北京怡和”)却发布了停运该款APP的通知。据其《停运通知》声称,原因是由于出资银行拒绝履行出资义务,导致该公司已经无法独立继续负担“京医通”项目的运营。北京怡和声称,七年以来为“京医通”项目的落地与运营已耗成本过亿。若其所称属实,一个地区医疗挂号平台打通医患交互,实现数据流通、共享即花费如此之大,若要建立全国性的、覆盖各领域的数据共享平台,又该由谁来担负如此巨大的成本?若由企业承担,国家在监管的同时如何有效保障企业利益,这都是当前实践探索中困扰着数据实现有效流转的问题。
三、他山之石——欧盟《数据治理法案》
他山之石可以攻玉,欧盟议会近期通过的《数据治理法案》(简称“DGA”)为解决数据流转的相关问题从公共部门如何开放持有数据的重复利用、企业之间如何加强数据共享、个人怎样才能信赖公益机构处理其个人数据等角度切入,在积极数据流转所做出的努力与尝试或可给我们提供一些思路。
1、认识DGA
作为与《数据市场法》《数据法》等一系列构建欧盟数据市场顶层法治设计的法律法规,DGA着眼于促进数据“要素”的“重复利用”与“共享”。其认识到欧盟境内的现有数据流转体系并不能够满足市场主体对数据的需求,具体表现在公共部门作为最大的数据持有主体,其已收集的数据无法通过有效途径被企业所获取而实现重复利用,造成现有数据资源的浪费。企业之间在互相竞争以及缺乏互信的前提下,难以就所持有的数据资源真正实现互惠共享。个人信息主体在担心个人信息无法得到有效保护或可能被滥用的前提下,不愿意分享个人信息。正如欧盟委员会政策制定官,也是DGA的主要制定人之一的Dr.Malte Beyer-Katzenberger所言:“长期阻碍着数据共享或者重复利用的,从来都不是人们共享意愿的缺位,而是由于没有制度或机制在保护个人信息安全、消弭商业合作不信任、保障知识产权的前提下,真正能够实现数据的重复利用与共享。”[3]
2、理解DGA的核心观点
DGA的立法结构围绕着以下四个话题试图摆脱困扰着欧盟境内数据流转的现状:
公共部门作为最大的数据持有人,如何能够帮助企业重复利用(“Re-use”)其所掌握的数据?
如何搭建以及搭建怎样的数据中介服务(“Data Intermediate Services”),以消除共享数据的不信赖,尤其是企业之间的数据共享不信赖。
如何认定组织或机构具备“数据利他”(“Data Altruism”)性质?以及怎样对这类企业的“数据利他”属性进行合规监管?
如何有效的建立专门管理机构,确保DGA的实施?
1)关于公共部门所掌握数据的重复利用
DGA在其前言部分第(6)条首先明确,欧盟长期以来秉持着公共部门收集或通过公费收集的数据应当造福社会这一理念,但由于过去各成员国并没有建立安全有效的保护个人信息以及非个人信息(尤其是涉及商业秘密或技术秘密的保密类信息)的(制度)结构、(行政)程序以及立法,导致目前数据的重复利用依然不充分。我们通过解读,认为DGA就解决该问题所作出的尝试,有以下亮点:
a)遵循《通用数据保护法案》(以下简称“GDPR”)对个人信息保护的重要性 | DGA强调,公共部门开放数据重用若涉及个人信息时,必须全面遵循GDPR的要求: * 在技术手段上,欧盟各成员国应当支持其公共部门应用匿名化、差别隐私、概括化、抑制和随机化、使用合成数据或类似方法以及其他最先进(“State of the Art”)的隐私保护方法处理个人信息,以保证数据重用的环境是安全的。[4] * 在前提设置上,DGA强调该法案本身并不在GDPR框架外对个人信息的处理提供新的合法性基础。并且公共部门在开放数据重用时原则上应当首先对个人信息进行匿名化处理。只有当匿名化后的信息不能满足重用者(“Re-user”)的使用需求,且经过个人信息影响评估并征询监管部门的意见后,在认定相关重用对个人信息主体利益的响应将被控制在最小范围时,才能允许重用者在安全的环境下获取经过非匿名化手段(例如假名化手段)处理后的个人信息。另外,重用者进行数据分析需要由提供数据重用的公共部门进行监管,若个人信息还要被传输给第三方使用,则必须具备GDPR所认可的合法性基础。 * 在重用方式上,为了能够既有效的保障个人信息安全又便捷的促使数据得到重用,DGA要求各欧盟成员国鼓励其公共部门采用“设计与默认的开放”(“open by design and by default”)措施并提倡数据应以匿名化的状态由企业采购。[5] |
b)促进市场主体的良性竞争,保护并鼓励中小微型企业的发展 | * 为促进市场主体的良性竞争,DGA要求公共部门在设计数据重用路径时,应当遵循欧盟及各成员国的竞争法,促进企业良性发展,主要表现在: * DGA明确提出,公共部门提供数据重用可以收费,但针对中小微型及初创型企业,应当降低或免除其使用费,以激励研发与创新,降低此类企业数据收集与利用的成本。 * 存在正当理由情况下,公共部门可以与重用者就特定数据的重用形成排他性协议,但在协议安排上需要符合有关规定。 |
c)保护知识产权,尤其防止商业秘密及技术秘密的泄露 | DGA强调保障市场公平与良性竞争环境的最重要事项之一,就是保护知识产权的同时,防止其被窃取或工业间谍的行为。因此,各公共部门必须在满足欧盟或其成员国的相关法律法规,或在权利人同意的情况下,才能开放带有知识产权属性的数据的重复使用。但公共部门不应通过行使数据库制作权(如有)来阻碍或过度限制数据的重复利用。[6] |
d)强调保护重用者利益 | DGA的另一大亮点就是,在不对公共部门造成过重负担的前提下,要求公共部门采取最符合重用者利益的方式设计数据重用路径。包括要求各成员国针对各行业领域内的数据重用,设置统一信息接口,便于企业进行重用申请。 |
2)搭建数据中介服务
DGA将数据中介服务定性为“可期待成为数字经济的一个关键性角色,尤其是支持与促进企业间的数据共享实践,或促进数据在‘义务’的框架下进行分享”。[7]其对数据中介在数据主导的新经济生态下寄予厚望。在DGA中数字中介服务存在以下亮点:
a)以建立“商业关系”为目的,区别于传统网络服务供应商 | DGA覆盖的数据中介服务指以建立“商业关系”为目的,以实现数据在不特定个人信息主体、数据持有者(企业持有的数据)与数据使用需求方之间分享的中介平台。[8]其明确排除了传统提供云存储、数据分析、数据共享软件、网络浏览器、浏览器插件或电子邮件服务。因为这些服务服务通常不旨在数据供需关系的上下游方建立“商业关系”,而是单方面为客户提供特定数据处理服务。DGA列举的典型数据中介服务包括公开数据市场,或者特定法人或自然人设立数据集(“Data Pool”)通过嘉奖共享行为的方式向相关方许可数据集使用的这一类模式。 |
b)数据中介服务应具备“独立性” | 为了贯彻非歧视性原则,尤其是保障中小微型企业不因其规模而遭受访问权限的歧视,DGA要求数据中介服务应当独立于数据供需关系之外。即:其本身既不是个人信息或非个人信息持有人,亦不是数据需求方。DGA认为只有这样,才能在个人与私营企业界切实构建双边或多边的数据共享体系,促进创新与科研。 |
c)数据中介服务对个人信息的保护 | 对于提供个人信息服务的特殊数据中介,DGA在要求其在遵循GDPR一般规定之外,还要求数据中介不得诱导信息主体就其个人信息进行某种特定形式的处理。同时,DGA要求数据中介应当最大限度保障自然人对其存放其中的个人信息行使知情同意权、访问权、更正权、删除权、被遗忘权或限制处理权等。另外,数据中介应当尽量在其平台上供自然人集中处理其个人信息,以避免个人信息向第三方传输。 |
d)统一认证 | DGA提出对于功能符合要求、具备独立性、并且采用欧盟认可的数据保护措施的数据中介,将发放通用认可标识,并建立通行于整个欧盟的标识认证体系。[9] |
3)“数据利他”机构的认定与行政许可
“数据利他”机构之认定,整体都可以作为DGA的亮点进行介绍。由于目前欧盟尚未就相关企业办理行政许可或进行合规监管,笔者将从DGA文本出发就该制度进行简要介绍。
DGA意识到到自然人对于非盈利组织带有公益性质的科学研究等活动,更愿意分享个人信息供其使用。例如为了研发特殊疾病的诊疗手段,患者往往愿意将相关信息分享给相关机构。但如何有效识别此类机构是否真正出于公益目的而非商业盈利来收集个人信息的,一直挫伤着大众的分享意愿。DGA通过设立一系列认定标准,对符合要求的“数据利他”实体进行备案登记,并颁发“欧盟认可的利他主义组织”的标签。[10]同时,DGA还对数据利他组织的后续活动设定了专门的合规监管要求。例如,定期按照监管要求提供必要材料,以验证其开展的活动是否符合DGA的规定。[11]
四、DGA的遗憾与不足
虽然DGA在促进数据流转问题上,针对数据重用、数据共享等问题做出了一系列创新型的安排,我们遗憾的发现其在一些关键性问题上处理的不够彻底或未触及根本。例如,由私营企业借助数据中介服务搭建数据集,进行分享并鼓励分享的意愿固然很好,但如何让企业真正在不丧失其竞争优势的前提下进行共享,该法案并没有给出制度设计或解决方案。相反,我们看到该法案在说明数据中介服务模型的优势时,提出数据集可开放给所有“利益相关方”(“Interested Party”)进行使用。但如何定义利益相关方?谁来定义利益相关方?怎样定义利益相关方才能避免形成新的行业数据壁垒?DGA并未解释。
另外,在公共部门就哪些数据开放重用的问题上,该法案将选择权交由各成员国,而并未做强制性的规定,这无疑对后续数据重用的真正落地将带来一系列的实际操作问题,甚至有可能因为各成员国在公共部门在数据重用问题上步调不一致,产生新的数据流转“壁垒”,致使其背离制度设计的初衷。同时,我们看到DGA在开放数据重用议题上,主动表明不适用于大量涉及到第三方知识产权的公共事业单位(图书馆、歌剧院等),但对其他公共事业单位,尤其是行业领域内企业重用数据需求很强的相关公共事业单位(例如公立医院),DGA未就是否适用进行说明。
最后,如何保障数据中介服务或类似平台性企业的利益,解决其前期建设与运营成本过高以及融资难等实际问题(如前文提到的“京医通”问题),DGA也并未提供可以借鉴的思路。
五、数据流转需要考虑的几个问题
通过上述分析,笔者认为DGA对于我构建数据流转制度上,有着积极的借鉴意义。结合我国国情,我们将从以下角度分享我国在数据流转机制建设过程中需要考虑的几个问题:
1、落实总体安全观,打通政务数据的流转机制
当前,大量信息以政务数据的形式掌握在国家机关及事业单位手中。若企业无法通过有效途径充分利用这些政务数据,不仅将造成数据资源的浪费,同时还可能致使市场经济丧失部分应保有的活力。当然,建立政务数据有效流转机制的前提,是落实国家数据总体安全观。在《网安法》、《数安法》的框架内,鼓励各类信息,尤其是非个人信息的充分流转,有助于数字经济的长期目标,避免数据和信息在某些相关部门手中形成“孤岛”。
2、基于保护个人隐私和个人信息权益下的流转规则
无论是DGA还是其他国家的有关立法,无不强调保护个人隐私和个人信息的命题。因此,我国在建设数据流转机制时,不应回避个人隐私及个人信息保护的一系列问题。我们也期待立法机构在细化《个保法》过程中,将有利于数据流转的规则体现到个人信息保护的要求中。目前,我们认为在对个人信息流转的保障体系中还应当解决以下两大问题:
1)个人信息的“可携带性”(“Portability”)的规则落地。《个保法》第四十五条明确规定了个人信息主体有权向个人信息处理者查阅、复制及转移个人信息。其现实意义在于增加个人数据的流动性,防止有些企业就其收集的个人信息“锁定”使用,阻碍流通。逐一分解“可携带权”核心要素,即保护个人信息主体针对个人信息所享有的“取回权”、“传输权”、以及按照其意愿进行控制者的转换。[12]在欧盟的实施中,“可携带权”引发了不少的争议,欧盟数据保护委员会出具了指南,但是现实中并未发生很多因可携带权的实施而有效促进个人信息流动的效果。尽管如此,笔者认为可携带权至少从数据流转的角度,开辟了一条思路,在中国的语境下,该机制可以与其他机制有效联动,鼓励用户在保护隐私的前提下进行数据流转。
2)个人信息“匿名化”概念的进一步细化。根据业内对于匿名化的解释:“匿名化,是指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程”。[13]此定义中存在争议的是,“不能复原”是绝对的还是相对的,如果是相对的,那么这个界限在哪里?首先,我们认为绝对匿名化在技术世界中存在逻辑无法自洽的问题,而且绝对匿名化会导致数据利用效果完全丧失。故我们建议尽早采纳“相对匿名化”的解释,让个人信息在保留利用价值的状态下,安全可控的流转。目前,世界主流立法均倾向于采纳“相对匿名化”这一理解。其并不要求完全“匿名化”、绝对无风险,而是要求“匿名化”应当充分降低信息重新识别的风险,直到在可控范围内远离识别个体即可视为“有效匿名化”。此种解释大大提升了“匿名化”处理的商业可操作性,同时也有利于促进数据的积极流转。
3、避免零和博弈,建立多方共赢机制
数据流转环节的打通,需要依赖于强大的数字基础设施建设能力和平台运营、维护和升级能力,这对于资金、技术、研发、运营管理等提出了极高的要求。政府部门在此类平台的建设中往往需要依赖于第三方进行全面的实施和推动。如果没有一个合理的多方共赢机制,那么就难免出现类似“京医通”这样的不利事件。因此,我们建议在对于政务数据的利用中,有关部门不仅要考虑公益性,也需要考虑数据商业使用的可行性,有效保障平台运营各方的合法利益,避免“竹篮打水一场空”的双输局面。
4、搭建多重体系下的数据共享机制
从“数据中介”到“数据利他”组织的设置,我们看到DGA无不强调企业和组织在搭建多重数据流转共享机制体系下可以发挥的重要作用。近日,北京市经济和信息化局发布的《北京市数字经济全产业链开放行动方案(征求意见稿)》亦提出要“支持市场主体采取直接交易、平台交易等方式开展数据服务和数据产品交易活动”,对搭建多重体系下的数据共享机制,尤其加强企业参与,释出了积极的信号。而此类数据流转体系的建设,或可借鉴DGA当中的设计思路。即:以“数据中介”为方式促进数据分享的平台,或可要求其保持严格的“独立性”,做到不隶属数据供需关系的任何一方,以消除数据分享过程中的企业之间的不信任。以“数据利他”性收集个人信息的企业,颁发行政许可前,或可首先由主管机关对其“公益性”进行评估,后在其进行公益性项目时,主管部门定期就其使用个人信息进行合规审计,以防止个人信息被滥用,提高民众分享意愿。
结语
“通则不痛,痛则不通”,一旦信息“栓塞”、流动受阻,就会形成“孤岛”,“痛”也会随之而来[14]。正是由于计划体制遗留下来的市场分割问题,尤其是要素市场的建设问题,没有得到根本解决,才导致资源和要素未能有效流动,进而对市场经济主体效率的提升造成了不利影响。在“统一大市场”的框架下,不仅要求同时培育和建设各要素市场,而且需要建立全国统一的市场制度规则,以打破地方保护和市场分割的壁垒,加快制度创新,推进基于市场驱动的增长方式转型。在“统一大市场”的框架下,不仅要求同时培育和建设各要素市场,而且需要建立全国统一的市场制度规则,以打破地方保护和市场分割的壁垒,加快制度创新,推进以市场驱动的增长方式转型。在数据要素市场方面,基于网络安全和数据立法“三驾马车”已经给出顶层设计之后,立法者仍需要推动在数据流转方面的制度和政策创新,以破除数据壁垒的困境和难题。
[注]
[1] 中国经营报《等深线》:数据壁垒高墙渐起
[2] 参见《数据治理法案》:“前言” 第(2)条。华东政法大学数据法律研究中心 译。
[3] 参见 www.privacy-conference.com #pco21:“What to Expect From Data Governance Act and Data Act for the Data Economy and more? ”
[4] 参见《数据治理法案》:“前言” 第(7)条。华东政法大学数据法律研究中心 译。
[5] 参见《数据治理法案》:“前言” 第(9)条。华东政法大学数据法律研究中心 译。
[6] 《数据治理法案》:“正文” 第5条第7点,p70。华东政法大学数据法律研究中心 译。
[7] 《数据治理法案》:“前言” 第(27)条,p31-32。华东政法大学数据法律研究中心 译。
[8] 参见《数据治理法案》:“前言” 第(9)条。华东政法大学数据法律研究中心 译。
[9] 参见《数据治理法案》:“前言” 第(43)条。华东政法大学数据法律研究中心 译。
[10] 参见《数据治理法案》:“正文” 第19条。华东政法大学数据法律研究中心 译。
[11] 参见《数据治理法案》:“正文” 第24条。华东政法大学数据法律研究中心 译。
[12] 参见《数据可携带权指南》:第(II)条:“什么是数据可携带权的核心要素?” 笔者译。
[13] 张新宝主编:《中华人民共和国个人信息保护法》释义,P39.
[14] 2018年4月20日,习近平总书记《在全国网络安全和信息化工作会议上的讲话》
作者简介
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护, 知识产权权利保护, 合规和反腐败
特色行业类别:通讯与技术, 健康与生命科学
蔡思雨
北京办公室 知识产权部
胡云浪
北京办公室 知识产权部
作者往期文章推荐
《强调公平,均衡权益——解读<关于审理网络消费纠纷案件适用法律若干问题的规定(一)>》
《数字经济时代科技企业上市数据合规指南——基于2021年度最新(申报)上市案例的分析》
《不打无准备之仗——企业上市如何应对知识产权诉讼争议?(境内篇)》
《利剑出鞘—— <互联网信息服务算法推荐管理规定>对比解读》
《天将降大任:从互联网平台合规角度解读<网络数据安全管理条例(征求意见稿)>》
《众里寻他,数据跨境规则即将落地——速评<数据出境安全评估办法(征求意见稿)>》
《<个人信息保护法>正式稿与二审稿对比》
《全景解构<个人信息保护法>,助力企业进入中国个人信息保护新纪元》
《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《解读<网络交易监督管理办法>》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。