文/樊瑞实习生何煦阳
编辑/朱弢
2月23日,欧盟委员会正式公布了《数据法案》(Data Act)草案。目前草案仍处于公示阶段,待欧盟批准通过后,方正式生效。
作为欧盟在2021年11月公布的《数据治理法案》(Data Governance Act)之后又一重要法律文件,《数据法案》是欧盟数据共享制度的重要一环,旨在为数据流转扫清障碍,引导和促进更多的数据利用。
《数据法案》草案共有11章,涉及数据共享、数据持有的义务、数据访问、数据互操作性等内容。
《数据法案》草案有何背景和意义?将会加剧还是遏制巨头的垄断地位?会对市场竞争格局产生何种影响?对中国的数据治理又有何启示?
促进共享和流动,释放数据潜力
《数据法案》草案在“解释性备忘录”部分阐述了立法的目的和原因。
数据是数字经济的核心组成部分,也是保障绿色和数字转型的重要资源。近年来,人类和机器产生的数据量呈指数级增长。然而,大多数数据未被使用,或者其价值集中在相对少数的大公司手中。低信任水平、相互冲突的经济激励和技术障碍,阻碍了数据驱动的创新潜力充分发挥。《数据法案》草案认为,释放数据的潜力至关重要,
通过立法对影响数字经济参与者之间的关系进行调整,有助于建立一个跨行业的数据访问和使用的治理框架,以便为跨行业的横向数据共享提供激励。
“早期欧盟的重点放在了个人数据保护上。”对外经贸大学数字经济与法律创新研究中心主任许可在接受财经E法采访时说:“倘若我们纵览整个欧洲数据法律立法过程,就可以发现一个鲜明的转向:从数据保护到数据流通”。
欧盟在2016年推出《通用数据保护条例》(General Data Protection Regulation,下称GDPR),这是在1995年出台的《数据保护指令》的基础之上作了改动。许可指出,GDPR重在对个人数据的保护,未起到促进数字经济发展的作用。此后,欧盟在2018年出台了一款倡议性规定《非个人数据自由流动条例》,“到当下接连推出的法律法规,欧盟都意在落实鼓励数据流通这一期待。”许可说。
那应当如何确保在数字经济参与者之间公平地分配数据价值,促进对数据的访问和使用?中国互联网协会研究中心副主任吴沈括指出,《数据法案》主要促进个人和企业自愿共享数据,并协调某些公共部门数据的使用条件,而不改变数据的实质性权利或已建立的数据访问和使用权限。
从《数据法案》草案的内容来看,明确了从产品和相关服务的使用中获得或产生的数据共享的法律确定性,以及确保数据共享合同公平的操作规则。草案还规定了公共机构获取企业数据的权利。不过,草案也对公共机构获取企业数据提出明确的限制,例如仅可在自然灾害、传染病防治等公共紧急情况下才可以要求企业提供数据。
同时,草案为行业间重复使用的数据制定互操作性标准,以消除在特定领域欧洲共享数据的障碍,与行业的互操作性要求保持一致。此外,草案支持为“智能合约”设定标准。所谓“智能合约”是一种电子分类账上的计算机程序,根据预先确定的条件执行和结算交易,草案使得通过“智能合约”共享数据成为可能;草案还为各领域行业设定数据访问和使用的框架,以解决数据访问和共享的操作问题。
吴沈括认为,草案若顺利通过,将给各主体共享数据带来更多的激励和信心,有利于打破数据孤岛和垄断,有助于推动欧盟数字经济以及中小企业的发展,有利于通过公共数据改善政策执行和政府服务的效率。
强化巨头垄断,还是利好中小平台?
《数据法案》在解释立法目的时称,其旨在“确保在数字经济参与者之间公平地分配数据的价值,并促进对数据的访问和使用”。在现实中,数据大多集中于巨头手中,中小企业经常无法与大公司达成公平的数据共享协议。如何确保不同经济参与者之间的公平?强调数据流通,会强化巨头垄断地位吗?如何为小企业争取更多发展机会?
世辉律师事务所合伙人王新锐认为,总体来说,中小企业将是《数据法案》草案数据共享条款的主要受益者。在现实中,由于中小企业一般缺乏收集、分析和使用数据的能力和技术,其获取数据往往受到限制。而《数据法案》创建了数据共享的机制,中小企业可以作为数据接收方获得数据的访问及使用权。此外,《数据法案》也规定,如果企业被认定为提供核心平台服务的“看门人(Gatekeeper)”,则不能通过包括提供金钱或者任何其他补偿的方式,诱使用户向其提供使用产品或相关服务而生成的数据,也不能接收因用户行使数据可携带权而转移的数据。
同时,中小企业可以以合理的条件获取数据。根据《数据法案》草案规定,数据持有者可以与数据接收者就提供数据约定相应的报酬。如果接收者是中小企业,那么其支付的代价仅限于数据持有方提供数据而产生的直接成本。同时,《数据法案》草案关于数据共享合同条款的规定,能够帮助中小企业能以更为公平的条件获取数据。
《数据法案》草案还为中小企业提供了豁免的情形,其免于承担向公共机构共享数据的义务,这将降低中小企业的合规成本。
从立法宗旨上看,《数据法案》草案希望通过促进企业间数据的共享和流通,打破巨头企业对于数据的垄断,从而帮助中小企业获得竞争力。王新锐认为,《数据法案》采取了一系列措施,限制被认定为“看门人”的巨头企业通过各种手段诱使用户向其提供数据,防止其滥用市场优势地位,“将有利于中小企业获取数据,有助于中小企业参与竞争。”
吴沈括指出,对巨头平台而言,无论是向公共部门或用户提供数据,亦或向第三方中小企业提供数据,都是对巨头在释放数据方面提出明确需求。“这就降低了数据垄断的可能性”,吴沈括接着解释,《数据法案》草案很大的一个指向就是排斥数据集中、数据垄断,特别是数据集中和垄断之后所带来的不正当竞争和数据资源被滥用问题,他认为,这将会释放更多的数据要素,有利于市场竞争和创新。
“有利于数据共享和流通是真的,但对市场竞争产生的影响,还不好预估。”许可对此表达了保留意见,“因为《数据法案》除了可以让用户将个人数据从大型平台转移至其他平台,也可以让其将数据从新型平台转移至大型平台,甚至从一个巨头转移至另一个巨头。”他指出,这样造成的后果,不一定是增强了市场竞争,反而可能导致中小企业的数据流失,并增强巨头的垄断地位。
对此,上海交通大学数据法教授何渊表达了不同的见解。他指出,在实务中,数据从小公司流向大公司的案例很少,“大型平台的生态往往很庞大,数据体量也很大,往往不需要小平台的数据”。何渊还认为,巨头之间并不会有共享数据的兴趣。“巨头往往会认为数据是它们的资产,是要守护的,并不是和其他巨头联合起来。它们之间存在激烈的竞争关系,并不会乐意相互共享数据。”他补充指出,如果巨头之间进行数据上的联合,可能会受到反垄断审查,“所以,整体来说,数据更有可能是从大公司流向小公司。”
《数据法案》草案对欧盟境内的数据处理活动进行了更加清晰明确的规定,这也意味着,未来中国企业出海需要面对更高的合规要求。
浪潮电子信息产业股份有限公司合规部总经理范磊在接受财经E法采访时表示,《数据法案》草案未来如果获得通过,在欧盟境内开展业务的企业需要对当地业务场景进行细致梳理,评估其所适用的监管要求,并从制度、合同、流程等多个角度对第三方数据共享、消费者云转换、公共部门合法访问、数据跨境传输等制定一系列的合规举措,并加强对员工的相关培训,推动合规意识的增强。
范磊还指出,中国企业还要站在统筹国内外业务的角度来对海外业务布局进行考量,如结合《数据法案》和中国相关数据监管要求等,通盘考虑如数据存放地点、存放方式、数据管理等主面,“做好全球化合规的统一性与海外本地化合规的特殊性的有效结合”,范磊总结。
《数据法案》带来什么启示
当下,欧盟数据治理体系已逐步成形。
2016年,欧盟即以GDPR为基础,形成了个人数据治理的规则。2020年推出了《欧洲数据战略》,则着手搭建有关数据共享流通的顶层设计。
之后,欧盟逐步出台了包括《欧洲数据治理条例》《非个人数据自由流动条例》在内的多部法规,旨在通过法律制度的设计来消除妨碍数据流转、利用、共享的实际障碍。此次颁布的《数据法案》也是实现欧盟数据流通共享的重要举措之一。同时,欧盟委员会发布的《数字服务法》和《数字市场法》等,也对打破科技巨头垄断、促进欧洲数字创新及经济发展等问题予以回应。
目前,中国数据立法体系正在不断完善。以《数据安全法》《个人信息保护法》与之前的《网络安全法》为基础,辅之以相关配套法规,已初步构建了中国数据治理的法律框架。各地方、各部门也在积极探讨数据治理的模式,出台了《深圳经济特区数据条例》《上海市数据条例》《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》等,这些立法在数据权益、数据交易、公共数据开放及利用等方面制度设计都有所创新。
在此基础上,中国未来应当如何完善数据治理体系?
吴沈括表示,一方面中国已经构建了相对完备的数据治理顶层设计,另一方面也应当看到中国的数据立法更多关注数据安全和个人数据保护。他建议,随着数据要素市场建设的进一步推进,后续在数据要素的流通利用方面的规则设计、引入和利用上,应有更多的推动。
吴沈括具体建议,在数据立法中,要扩大公共数据外延,提高数据利用水平。目前一般认为公共数据是指法人、非法人组织合法制作或者获取的,具有公共使用价值的,不涉及国家秘密、商业秘密和个人隐私的,依托计算机信息系统保存的各类数据资源。现实中,相当数量的涉及公共利益的数据掌握在大型企业手中。吴沈括建议,为打破数据壁垒和数据孤岛,未来可考虑借鉴欧盟《数据法案》经验,探索适当扩大公共数据外延。在保障数据安全的前提下,如果涉及到公共安全、紧急事件、民生福祉等公共属性极强的场景,由企业向政府开放数据,实现自身社会价值的同时,让封闭在企业内部的数据真正发挥价值。
王新锐也建议,应通过立法协同各地方、各行业数据治理的模式,避免治理规则不协同问题,为企业、个人、公共机构使用和处理数据划定清晰的标准。
目前《数据安全法》《个人信息保护法》更侧重于数据保护,其中《数据安全法》从广义的国家安全的角度,构建了核心数据、重要数据保护、数据安全保护义务等保护体系,《个人信息保护法》则规定了个人信息保护的具体规则,对于个人信息的可携带权(复制权)仅有原则性的要求。
在王新锐看来,未来需要通过立法,规范数据共享、数据自由流动,促进数据的再次利用。
具体应以何种路径来实现数据立法升级?受访人士态度并不相同。对欧盟自上而下制定《数据法案》,一举建构数据市场的方式,许可持有保留意见。他认为,确立起完全统一的规则并不能解决所有问题,因为数据的应用往往是“场景化”的,紧密依托于产业和市场。“所以自下而上的尝试,可能是更适合中国的方案。”许可认为,中国下一步的立法模式,应该是“拼积木”式的,成熟一块拼一块,最后实现一个完整的数据立法基础架构。
何渊则有不同的看法。“一部法律肯定没办法适用所有场景。但场景化之前,必须有一部原则性的法律”,何渊以《数据安全法》为例,其中的规定可能没有那么具体和明确,但非常有用,诸如提出“把数据安全作为整体安全观的一部分”“重要数据”“核心数据”这些观念是非常重要的。他认为,先有整体的立法规定,再有细化到具体场景中的部门规章和行政法规,可能是一种现实而有效的思路。