2018年10月4日,欧洲议会以520票支持、81票反对的结果通过了《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data)。
欧盟是由28个成员国、5亿人组成的庞大市场。欧盟认为,如果适用同一套法律框架和规则,能让数字经济基本要素——数据、人才等——在这个庞大的市场里自由流动和配置,那欧盟市场的活力和潜力将得以完全释放。
据欧盟委员会测算:如果有利的政策和立法就位,欧洲数字经济将增长18倍,在2020年占欧盟GDP的4%。同时,欧盟将借此取得在数字经济的全球领导地位。
因此,“让数据自由流动”一直是欧盟建立单一数字市场战略(digital single market strategy)最核心的内容之一。而《非个人数据自由流动条例》正是为保障非个人数据跨境和跨信息系统流动而制定的。这里的非个人数据指的是机器生产和商业销售产生的数据等。
与GDPR一样,该法律对中国的数据立法仍然有重要的参考意义。在本文中,中国社会科学院法学研究所研究员姚佳对该条例进行了详细的分析。
腾云经授权首发。
姚佳 中国社会科学院法学研究所研究员
自欧盟《一般数据保护条例》(GDPR)出台以来,世界范围内对欧盟数据法律政策的评价始终是“过于严苛”“惩罚空前”“影响经济发展”等基调,各国也纷纷将GDPR在一定程度上作为“反面教材”,不乏批判与反思声音。
然而,即便欧盟以强力保护个人数据且极为保守的面貌出现,但其也仍然努力融入世界数字经济发展大潮之中,以数字经济为契机,进一步强化发展自身的工业与技术竞争力。
欧盟于2018年11月14日出台的《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data),展现出一种积极推进经济发展的态度,条例旨在欧洲单一市场内消除非个人数据在储存与处理方面的地域限制,有助于在欧盟单一数字市场战略下,推动欧盟打造富有竞争力的数字经济。
欧盟在对个人数据保护的同时,也对经济发展抱持着客观态度,从经济发展与数字经济本身的特性出发,着眼于构建相应的数据流动制度。
规范数据流动,促进用户选择与市场竞争
《欧盟非个人数据自由流动条例》的制定,体现了欧盟希望非个人数据在移动、分享与再利用方面能够跨边界与流入全球市场。[1]该条例为非个人数据在欧盟内部的自由流动设立了相应法律框架,将有助于推动数字经济发展和欧盟工业竞争力的提升。
该条例着力从禁止数据本地化与推动发展新技术两方面,实现对非个人数据自由流动的规制。
立法者在阐述条例制定背景之时,主要从经济数字化、物联网、人工智能、机器学习的加速发展,营业自由的保障以及数据价值链的形成等方面说明条例制定的积极意义,并指出欧盟境内存在非个人数据的区域锁闭,服务提供商缺乏竞争以及数据移动性被抑制等障碍与消极影响。这些障碍与消极方面影响了经济发展的积极因素。
基于上述考虑,条例对立法主旨、适用范围、定义、欧盟内数据自由流动、有权机关的数据可得性、数据移动、机关间的合作程序、评估与指南等内容进行规定,共9条。
条例作为旨在打破闭锁、清除障碍与促进数据流动的重要依据,其亮点条款主要是第4条“欧盟内数据自由流动”(Free movement of data within the Union)与第6条“数据移动”(Porting of data)。
第4条主要在于禁止各地的数据本地化要求(data localisation requirements),除非以公共安全为依据并且符合比例原则要求;要求成员国应按照相应程序立即向欧盟委员会报告引入新的数据本地化要求或修改现有数据本地化要求的法规草案,同时废止包含数据本地化要求的相关规定。
该条是条例的核心内容,其背景系成员国对跨境数据处理缺乏信任,往往在法律中要求在特定地域内锁定数据并进行数据处理,比如要求相关主体使用在特定成员国内经认证或批准的技术设施等。
事实上,此种数据本地化要求是对欧盟境内自由提供数据处理服务以及市场发展的明显障碍,尤其是这一点与欧盟所致力于保障的营业自由理念严重相悖。
与第4条相呼应,第6条更旨在促进数据移动与流动,鼓励与促进欧盟层面制定自律行为守则,助力于构建有竞争力的数字经济,以透明性和交互性为原则,考虑合理的开放标准,包括以便利切换服务提供者的最佳实践、最低信息要求、认证机制、沟通机制(线路图)等,同时欧盟委员会应确保各利益攸关方密切合作制定相应行为守则。
欧盟在阐释立法背景时也认为,无障碍地迁移数据的能力是促进用户选择与数据处理服务市场有效竞争的关键因素。
实践中,跨境迁移数据的实际与所意识到的困难会削弱专业用户在接受跨境服务时的信心,从而削弱他们对市场的信心。为了充分利用竞争环境,专业用户能够作出知情选择,并且能够轻松对不同数据处理服务作出比较,关于数据迁移的详细信息与操作,各市场参与者应通过自律规则进行相应界定,欧盟应在行为准则中规定相应示范合同条款和条件。
尽管该条例对具体问题与实际操作的规定并不详尽,但是诚如欧洲委员会2019年5月29日发布的《欧盟非个人数据流动框架条例指南》中所特别强调的,
“非个人数据自由流动条例为企业在欧盟任何地方处理其数据、提高对数据处理服务的信任以及抵制商家信息锁闭行为等创造了法律确定性。”[2]
可见,该条例的意义更在于打破地域壁垒与障碍,为数据流动与处理创设了相应法律依据。
界定非个人数据,保证推进数据化进程
关于欧盟数据监管,人们首先想到的是《一般数据保护条例》(GDPR)中关于个人数据收集、处理和传输的规定,企业等主体担心如若不遵守这些规定,则可能会受到高额处罚。然而,建立全球数据经济所依据的大量数据并非是个人数据,而是非个人数据。
欧盟经济社会委员会(EESC)早在2017年就已经意识到,有必要积极对非个人数据的流动进行立法,因为这是保证推进数据化进程以及实现数据单一市场目标的先决条件。[3]
欧盟出台的《非个人数据自由流动条例》,立法者意在将处理此类非个人数据的法规草案作为GDPR的补充,以共同形成一个全面的法律框架,在整个欧盟范围内实现任何类型的非个人数据的自由流动(例如机器数据、环境数据、产品和材料数据、交通数据、基础设施数据以及聚合和匿名处理数据),使这些数据不受限制地跨国界和跨IT系统进行流动。欧洲议会(European Parliament)认为,在个人、商品、服务和资本的自由流动之后,数据自由流动将是单一市场的“第五自由”。[4]
对于什么是“非个人数据”,将其界定清晰,则是促进数字经济发展的关键基础设施,也是构建数据本身体系的基础。
“个人数据”在GDPR中被界定得较为清晰,即指任何已识别或可识别的自然人(“数据主体”)的相关信息;一个可识别的自然人是能够被直接或间接识别的个体,尤其是通过姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的物理、生理、遗传、精神、经济、文化或社会身份予以识别。
“非个人数据”在《非个人数据自由流动条例》与欧洲委员会新近发布的《欧盟非个人数据流动框架条例指南》中均有所界定。
《非个人数据自由流动条例》中适用排除法,即除上述GDPR中个人数据以外的数据即为该条例所运用的“非个人数据”。《欧盟非个人数据流动框架条例指南》中则运用归纳法与列举法,对非个人数据进行界定。主要识别标准为:
最初与已确认或可确认的与自然人无关的数据,例如安装在风力涡轮机上的传感器产生的天气状况数据或关于工业机器维护需求的数据;
最初是个人数据,但后来被匿名处理的数据。匿名数据不能归属于特定的人,甚至不能通过使用附加数据(而识别或归属于特定的人),因此是非个人数据。
非个人数据的典型例子包括:如果个人事件(如个人出国旅行或可能构成个人数据的旅行模式)不再可识别,则可以将其汇总为匿名数据。匿名数据用于统计或销售报告(例如评估产品及其功能的流行程度);金融部门的高频交易数据,或精准农业数据,这些数据有助于监测和优化农药、营养素和水的使用。
由此可见,GDPR和《非个人数据自由流动条例》所形成的体系基础,最关键是数据可区分为个人数据与非个人数据,以及通过类型化构成相应数据体系。
对于个人数据旨在进行保护,而对非个人数据则主要强调其利用价值,而之所以能发挥其价值,主要是确保相应流动不受阻碍。两个条例相互呼应,共同构成数据治理与促进经济发展的法律框架。
数据立法,规范行为更利于经济发展
欧盟继GDPR之后,又率先在法律层面上制定《非个人数据自由流动条例》,既是考虑到数据利用的客观规律性,同时又旨在促进以数据为核心竞争力的数字经济。此种实践也预示着未来世界范围内各国数据立法的发展趋势。
第一,个人数据保护与非个人数据利用并重。
从《非个人数据自由流动条例》的酝酿与制定背景来看,欧盟实际上在2017年甚至更早就已经关注非个人数据的流动与利用。虽然其在立法策略上采取了先出台GDPR,再出台非个人数据流动条例,但可以看出,欧盟对个人数据与非个人数据同样重视,从不同立法理念与向度对二者进行规制,前者重在保护,后者重在利用与促进流动,但是在重要性上二者并未失衡。
第二,立法清除发展阻碍与促进经济发展。
在《非个人数据自由流动条例》立法背景阐释之中展现出,欧盟已意识到数据利用是增强经济竞争力的核心,并表达需要通过立法清除数据利用障碍的决心。因此,欧盟立法先行,致力于通过数据流动利用而保持与强化自身的工业竞争力优势,这一立法实践或可给世界各国带来启示,即如何在数字经济时代保持自身优势,或者如何抓住数字经济的发展机会。
第三,增加法律的确定性与信任。
欧盟之所以条例形式制定《非个人数据自由流动条例》,而非以指令或以其他政策文件形式进行引导,意在从法律层面给各成员国以确定性,通过制定相应规则或行为守则以打破数据处理壁垒与清除障碍,并且试图建立数据价值链的深层“信任”机制。
只有以法律形式确定数据流动与利用规则,各成员国的数据流动与利用行为才能得到保障。只有欧盟形成有实力的数字市场,才能增强欧盟在全球范围内的竞争力。由此可见,法律不仅能确定主体之间的权利、义务与责任,不仅是对行为的约束与规范,更可能起到对经济发展的积极促进作用。
【参考文献】
[1] New EU Regulation to Strengthen the Free Movement of Data,
https://www.jdsupra.com/legalnews/new-eu-regulation-to-strengthen-the-14193/, November 7, 2018.
[2] Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union, Communication from the Commission to the European Parliament and the Council, May 29, 2019.
[3] Opinion of the European Economic and Social Committee on the ‘Proposal for a Regulation of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union’(COM(2017)495 final—2017/0228(COD))(2018/C 227/12),European Parliament,October 23, 2017.
[4] New EU Regulation to Strengthen the Free Movement of Data,
https://www.jdsupra.com/legalnews/new-eu-regulation-to-strengthen-the-14193/, November 7, 2018.
声明:本文来自腾云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。