2019年5月29日,欧盟委员会(欧委会)发布了关于非个人数据自由流动与欧盟数据保护规则如何相互适用的新指南(以下称指南)。作为数字单一市场战略的一部分,已经开始在成员国中实施的《关于非个人数据自由流动的规定》(以下称《规定》)将排除各种不合理的限制允许在欧盟各地存储和处理数据,而欧委会发布的最新的指南则旨在帮助用户,特别是中小企业了解尤其在存在个人数据和非个人数据的数据集时,《规定》与通用数据保护法规(GDPR)之间的相互关系及如何相互适用,阐明在处理个人和非个人数据时适用的规则。

一、出台背景

2017年9月13日,欧盟委员会公布了促进非个人信息(non-personal data)在欧盟境内自由流动的立法建议,指出对非个人信息自由流动进行立法为的是确保“单一数字市场”,具体来说,就是数据服务提供商(文件中原文为:data storage or other processing providers)有自由选择建立提供服务所在地的权利,但是该权利主要被这两个政策法律因素所限制:成员国的数据本地化要求,以及提供数据服务的技术设施必需经其认证或允许。2018年6月19日,欧洲议会、理事会和欧盟委员会就新的规则达成一项政治协议,即允许非个人数据在欧盟成员国内各处进行存储和处理,而不受不合理的限制。这些新规则是在2017年9月欧盟委员会提出的“非个人数据自由流动”的框架基础上达成的,将支持在数字单一市场中创建有竞争力的数据经济。新规则仅适用于非个人数据,主要内容包括:

一是明确指出“非个人数据”的内涵,即与已识别或可识别的人无关的任何数据,例如匿名数据和设备到设备的数据。

二是确保非个人数据的跨境自由流动,新规则为整个欧盟的数据存储和处理设置了框架,禁止数据本地化限制。在处理公共部门数据的特定情况下,成员国必须向委员会通报已有的或计划中的数据本地化限制措施。该要求对《通用数据保护条例》(GDPR)的适用没有影响,因为它不包括个人数据。在混合数据集的情况下,保证个人数据自由流动的GDPR规定将适用于该数据集中的个人数据,非个人数据自由流动规则将适用于其中的非个人数据。

三是确保数据在欧盟境内可因监管目的而被跨境使用,成员国政府机构为了监管需要能够访问在欧盟境内任何地方存储和处理的数据,对于不向成员国相关机构提供相关数据(该数据可能在另一个成员国进行存储或处理)访问权限的用户,该成员国可以对其进行制裁,也可以要求数据所在国的监管机构给予协助调取数据,除非违反数据所在国的公共秩序。

四是鼓励制定云服务行为准则,由于数据在不同服务商之间转移涉及复杂的经济和竞争利益,因此欧盟委员会对此没有采取直接立法做出详细要求,而是鼓励在欧盟层面建立数据服务提供商“自我规制的行为准则”,以便用户变更数据存储和数据处理服务提供商时更加容易,但又不对提供商造成过大的负担或扭曲市场。准则的目的有两个:一是为将来行业的“最佳实践指南”打下制度基础;二是确保在professional用户与服务商签订合同之前,就能了解到数据从该服务商向外迁移时的具体技术细节和要求,如此用户就能决定是否采用该服务商。《规定》已于2019年5月28日起开始生效实施,为了与GDPR相衔接,欧委会发布了新的指南。

二、主要内容

指南对欧盟内部个人数据保护和非个人数据自由流动的核心概念进行了界定,同时解释了GDPR和《规定》之间的关系。

指南主要涉及到三方主体。一是指南对私营企业,尤其是在业务活动中处理数据的中小型企业、组织和其他实体特别重要,主要涉及到个人数据和非个人数据的制作、收集、存储、传输和其他处理活动。二是指南将保证公民的个人数据保护相关权利得到尊重,包括其个人数据与其他类型的数据混合,或其个人数据被匿名化的情况。三是指南为定期处理数据并直接参与制定有关数据处理立法和行政规则的政府机构提供了相应的价值。

明确了非个人数据的概念。非个人数据与个人数据不同,按照来源,非个人数据可以包括两种:一是最初即与已识别或可识别的自然人无关的数据,例如安装在风力涡轮机上的传感器产生的天气条件数据,或工业机器维修需求数据;二是最初是个人数据但后来经过匿名的数据。指南虽然更多规定了非个人数据的内容,但其中也对个人数据的相关概念进行了解释,如匿名和假名,并对个人数据和非个人数据之间的限制进行了描述。

明确了混合数据集的概念。在现实生活中,大部分数据集是由个人数据和非个人数据共同组成的,这通常被称为“混合数据集”。混合数据集代表了数据经济中所使用的大多数数据集,并且通过物联网、人工智能和大数据分析技术等的发展而被收集起来,如提及到负责人姓名和联系电话的公司税务记录,研究机构的匿名统计数据和最初收集的原始数据,调查问卷中个人的答复等等都属于混合数据集。

明确了个人数据和非个人数据的处理规则。在实践中,《规定》和GDPR没有必要要求对混合数据集进行分割或对个人数据和非个人数据进行分别处理,而且在大多数情况下这种处理规则是不可行的。该指南规定在面对混合数据集的情况下,《规定》适用于混合数据集中的非个人数据部分,GDPR中关于自由流动的规定适用于混合数据集中的个人数据部分。如果个人数据和非个人数据部分是“密不可分”的,那么GDPR中关于个人数据保护的权利和义务则完全适用于整个混合数据集,包括个人数据仅在混合数据集中占据小部分的情况。指南还解释了哪些情况属于“密不可分”,并提供了应用实例。

明确《规定》和GDPR之间是不存在冲突的。《规定》和GDPR中规定的义务并不矛盾,虽然GDPR确保对个人数据提供高水平的保护规则但同时也规定了个人数据的自由流动规则,而《规定》中明确的是非个人数据的自由流动,这两项法规可以共同实现欧盟内所有数据的自由流动。此外,《规定》中并未规定关于企业的任何义务,处理非个人数据的实用性问题属于每个企业的自身选择。《规定》没有限制企业签订合同的自由,企业能够自己在合同中决定处理非个人数据的地点。

明确了各方自我监管的内容。《规定》的目的是实现欧盟内部非个人数据的自由流动,为了遵守相关规定,各利益相关方团体正在制定业务关系中数据转移和服务提供商转换的行为准则,以及在GDPR下的个人数据保护行为准则。另外,云服务的网络安全认证组织也正在展开相关工作。自我监管将使市场参与者变得更具创新性、在相关领域建立互信机制,并能够对市场的变化做出更积极的回应。

三、小结

指南将有助于企业提高对《规定》和GDPR的认识,激发欧盟数字经济的的巨大潜力。当前,包括云计算、大数据、人工智能、物联网在内等新的数字技术不断发展,不仅为用户带来便利,而且能够最大限度地提高效率,实现规模经济和开发出新的服务。欧盟委员会对欧盟内部的数字经济潜力进行了测算,根据2017年发布的“建立欧洲数字经济”报告显示,2016年欧盟数字市场价值接近600亿欧元,与2015年相比增长了9.5%,根据预测研究,2020年欧盟数字经济市场可能超过1060亿欧元,到2025年,欧盟27个成员国的数据经济可能提供其GDP的5.4%,相当于5440亿欧元,这些数据均显示出欧盟的经济越来越受到数据的驱动。

但是在“混合数据集”中处理个人数据和非个人数据时,要清楚地知道应当适用哪些规则并不总是那么容易的事情,企业在数据库和IT系统中存储和处理各种类型的数据时,这种情况经常发生。指南从更加详细的角度解释了《规定》和GDPR中的相关概念,它的出台提高了立法的适用性和可操作性,解决了企业面临的困惑,将帮助企业更好理解和遵守之前的《规定》和GDPR为数据存储和其他处理活动创造更具竞争力的内部市场,实现数据在新的数字技术方面的最大化及最优化利用,挖掘出欧盟市场内部蕴含的巨大数字经济潜力。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。