自2015年8月国务院印发《促进大数据发展行动纲要》,明确提出“数据已成为国家基础性战略资源”八年多来,我国从中央到地方、从理论到实践、从立法到政策等各方面,对数据要素市场化工作开展了大范围、高密度的探索实践。在立法方面,我国已形成《网络安全法》《数据安全法》和《个人信息保护法》三部数据要素相关法律;在顶层设计方面,中共中央、国务院先后发布10多项数据要素相关政策文件,特别是2022年12月发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”),围绕数据产权、流通交易、收益分配、安全治理等方面构建起了数据要素市场的“四梁八柱”;在机构设置方面,国家层面上刚刚成立了国家数据局,各地方也都成立了大数据局等专门管理机构;在实务操作方面,财政部《企业数据资源相关会计处理暂行规定》正式实施,国家知识产权局在8个地市启动了数据知识产权试点工作,工信部全面推动DCMM数据治理贯标行动,中国人民银行、农业农村部、工业和信息化部、交通运输部、国家卫健委、自然资源部等行业主管部门从数据标准、安全、共享、应用等方向提出政策规划,全国40多个省市在数据要素确权定价、授权运营、加工生产、流通交易、安全治理等方面都取得了一些成效。

但总体看来,我国在数据要素市场化方面的探索仍处于起步阶段,数据要素在经济和社会发展中所发挥的作用,与我国作为数据量全球第一和数字经济规模全球第二的地位还不相匹配,数据本身的要素提升作用和对其他生产要素的乘数作用还远未发挥出来。究其原因,主要是由于我国在数据要素市场化资源配置过程中,数据权属、流通交易、加工生产、安全监管等方面的关键基础瓶颈还未突破,数据要素推动社会经济发展与保障国家数据安全和个人隐私信息之间的有效结合点和平衡点还未找到,造成持有政府数据的各政府部门、持有公共数据的各单位机构、持有个人用户信息的各平台企业等数据持有者,不愿或不敢将数据拿出来开放、共享、流通和交易,只能沉淀在各政府部门、单位机构和平台企业中,大多数数据都变成无用的信息,只有数据平台企业将这些数据加工成数据产品供自已使用。

数据要素市场化是一个全球性难题。美国、欧盟、英国、日本等其他国家和地区都非常重视,也长期开展了大量理论研究和实践探索。北京交通大学信息管理理论与技术国际研究中心(ICIR)认为,他山之石,可以攻玉,美国在公共数据开放、欧盟在数据空间建设、日本在数字厅机构设置等方面的成功经验,以及欧盟在个人数据内容的宽泛化等方面的负面效应,对我国探索数据要素市场化都是宝贵的财富。我们应充分吸收国外数据要素市场化的经验和教训,充分发挥我国超大规模市场、海量数据资源、丰富应用场景的优势,走出一条中国特色的数字经济发展道路,为全球数据要素市场化的理论创新和实践探索贡献中国智慧和中国方案。

《交大评论》将从本期起分四期刊出系列评论文章,研究分析美国、欧盟、英国和其他国家在数据要素市场化实践中的做法,并分析对我国和全球产生的影响,以及我国可以借鉴的经验和教训启示。

本期为系列评论文章之二《欧盟的数据要素实践及其对我国的影响和启示》,主要介绍欧盟在数据要素市场化方面的四种做法,对全球数据要素发展的四方面影响,以及我国在数据要素市场化建设中可以借鉴的四点启示。

一、欧盟数据要素市场化的四种做法

欧盟将数据保护,尤其是个人数据保护放在最优先地位,通过制定严厉的法律法规,一举扭转了在数字经济发展水平不高的劣势,极大提升了在全球数据治理中的话语权,逐步形成“严格保护数据产权、建立共同数据空间、增大数据供应规模、提高国际交流门槛”等数据要素市场化方式和路径。

1.严格保护数据产权,形成完整的数据权益法律法规体系

欧盟是全球探索数据要素市场化最早、对数据产权保护最严格、数据法律法规最全面的国家和地区。从1995年起,欧盟就陆续开始制定并实施了一系列法律、战略、指令和条例,现已形成了较为完整的数据权益保护制度体系。

1995年欧盟发布了全球第一个《个人数据保护指令》,指令包含34款条文,对设立于欧盟的机构或利用欧盟境内设备进行个人数据的处理活动进行规范;1996年欧盟颁布了全球第一个数据权益保护的法令—《数据库指令》,首次提出经过大量投资形成的数据库,即使数据库并非原始内容,也将得到为期15年的排他性特殊权利,免受未经授权的第三方提取或复制该数据库的保护;2018年的《通用数据保护条例》(GDPR)包括99条详细条款,规定全球各地的机构在提供产品或者服务的过程中,无论是否收费,只要处理了欧盟境内个体的个人数据,都将受到GDPR的规范;2019年正式生效的《欧盟非个人数据自由流动条例》(FFD),为欧盟境内的商业数据处理活动提供基本准则,以保证数据在欧盟内部的自由流动;2020年的《欧洲数据战略》包含建立统一治理框架、加强数据基础设施投资、提升个体数据权利和技能、打造公共欧洲数据空间等四方面,在数据市场公平交易、数据互操作性、数据治理、数据个人控制权和网络安全等方面构建完善的法律体系框架;2021年出台的《数据治理法案》(DGA),通过创建促进公司、个人和公共部门共享数据的流程和结构,促进公共部门数据可重复利用,推动企业间有偿共享数据,允许个人在数据中介帮助下使用数据,促进以公共利益为目的的数据使用;2022年发布的《关于公平获取和使用数据的统一规则提案》,对互联产品制造商、数字服务提供商和用户等主体,在数据共享、公共机构访问、国际数据传输、云转换等方面进行规范,旨在创建一个允许数据在欧盟内部和跨部门自由流动的单一市场;2022年2月的《数据法案》(Data Act),对不同主体、不同数据类型、不同交易场景做出了较细化的规范,并为可能出现的权利冲突设计了相应的监管模式和争端解决机制;2022年3月的《数字市场法案》(DMA),DMA中最受关注的核心内容是明确了大型互联网在线平台企业——“守门人”在年营业额、市值、每月终端用户数量、年企业级用户数量、核心平台服务数量等方面的认定标准,规定这些“守门人”平台企业必须提供更多的开放性和互操作性,不得将不同业务数据进行合并或交叉分析,不得强制要求用户使用其身份验证服务,并要求其开放数据,保障用户的数据可携带权。如果违反规定,将被课以全年全球收入10%—20%的高额罚款;2022年4月的《数字服务法案》(DSA),重点内容是严格监管月终端用户超过4500万的“超大在线平台企业”利用自己掌握的庞大数据资源,定向推送在线广告,尤其是禁止针对未成年用户推送广告,同时要求平台承担更多的内容监管责任。

2.建立“共同数据空间”,创新数据跨领域共享交换工具

2020年发布的《欧洲数据战略》作为欧盟的顶层数据发展战略,将创建一个向世界开放的欧盟单一数据市场,实现在欧盟范围内部安全地跨行业跨领域共享和交换数据,并提供快捷方便的访问接口,确定为战略的主要目标。为实现这一战略目标,欧盟打造了“共同数据空间”作为具体的操作平台和工具,并将制造业、绿色节能、交通、健康、金融、能源、农业、公共管理、技能、开放科学云等十个领域确定为“共同数据空间”。

“共同数据空间”最早可以追溯到2014年德国建立的一种基于标准通信结构、促进数据资源共享流通的虚拟空间,涵盖五层架构、三个维度、四类主体、三大流程的数据空间参考架构模型。该模式将数据使用者、数据提供者、认证中心、中间代理商等10多种主体协作起来,共同在数据共享流通中发挥作用。2015年德国弗劳恩霍夫协会联合130多家公司成立的产业数据空间协会IDSA,并启动的产业数据空间项目。此外,Gaia-X、OpenDEI、FIWARE、MyData等组织也致力于推进数据空间,这些数据空间应用程序后来都成为欧洲的数据基础设施。“共同数据空间”作为实现欧盟跨行业跨领域数据交换共享的可操作性工具,并没有采用传统的集中式数据汇聚、存储、交易的方式,不是由一个公司来建设和运营的传统模式,而是由数据所有者/数据持有者、数据消费者、数据中介服务商、数据交易结算所、数据应用商城等各种不同主体以协同的方式共同研发和建设,各数据主体各自使用IDS连接器组件来连接数据供需两端,一旦供需匹配,参与者之间进行数据交换,而数据空间运营商并不参与其中,而仅仅监控和记录元数据,以确保遵循条件的正确交换。后来,欧盟在“共同数据空间”的基础上发起成立了“国际数据空间(IDS)”,试图将成为全球数据共享交换的基础平台。

共同数据空间主要包括四项独特内容:一是实现了十大领域数据空间之间互联互通。形成了十大领域的可以复用的数据池、技术工具和基础设施;二是构建起了相互信任的生态系统。明确规定所有参与主体都要依据相同的法律、协议和标准,并实现相同的功能,形成了建设机构、运营机构、用户等所有参与主体间相互信任的开放数据生态系统,使得所有参与主体无论在十大领域数据空间中的任何一个领域操作,都能以相同的方式进行交互;三是为数据所有者提供了行使数据权利的工具。数据所有者可以使用这些工具设置数据存储位置、数据访问权限、给予或撤销同意、访问和使用数据条件、以及选择将数据权限管理外包给第三方数据中介机构等;四是为数据共享和交换创造了公平环境。个人和中小企业等数据主体通过共同数据空间拥有了对其数据的控制权和支配权,一方面有利于推动拥有数据所有权的企业和个人利用自己和其他企业的产业数据,创建新的服务和商业模式,推动创新能力;另一方面数据所有者可以自由行使其数据在不同的切换、转移和携带等各项权利,打破了大型数字平台和行业垄断机构对数据的独家占有,有利于降低新企业进入市场的门槛,促进公平竞争。

3.增加数据供应规模,提高公共数据和其他数据共享程度

不断扩大公共数据的开放范围和获取便捷性。早在2003年欧盟就发布了《公共部门信息再利用指令》,后经2013年和2019年两次修订。指令规定了公共部门信息范围、使用公共信息的授权、用户最感兴趣和最常使用的信息类型、以及公共部门应如何收费等内容。在开放范围方面,2013年第一次修订后,将公共数据范围扩展到法律数据、交通数据、气象数据、金融数据和房地产数据。2019年第二次修订后,进一步将水务数据、能源数据、运输数据、邮政数据和科学研究数据纳入到公共部门数据范畴;在数据权利方面,承认政府机构拥有相关公共数据的版权;在收费方面,允许政府部门通过提供有偿数据服务来盈利,以弥补政府经费的不足,但收取费用不得超过传播的边际成本;在授权使用方面,要求任何社会机构使用公共数据都必须得到政府机构授权,并制定更加透明的数据使用协议,明确禁止排他性协议;在开放条件方面,要示公共部门提供应用程序编程接口(API)开放实时数据和动态数据。

不断提高数据的共享和再利用水平。《数据治理法案》要求欧盟各成员国积极“构建横向数据共享的激励措施”和“建立数据分析和机器学习数据池”;探索设计公共健康数据、含有知识产权等不宜直接开放的公共部门数据数据的再利用机制;设立数据获取中介机构“数据共享服务提供者”,为数据持有者与潜在数据用户提供数据获取和共享服务; 推行“数据利他主义”的概念,提高公民和企业基于公益自愿提供数据的积极性。在政策持续出台的推助力下,根据欧盟委员会数据,公共机构、企业和公民产生的数据将在2025年增长至2018 年的五倍,同时随着数据的价值被持续挖掘,预计到2028年,数据的经济价值将提高至70到110亿欧元。

4.提高国际交流门槛,提升数据全球流通话语权和影响力

数据要素的价值在于流动,数据要素不同于土地和劳动力等传统生产要素的一个重要特征,就是其易于在全球范围内快速流动。欧盟通过GDPR、FFD、DMA、DSA等一系列条例和立法,确保了欧盟境内数据标准的一致性,实现了数据在欧盟内部的自由流动。在此基础上,欧盟凭借其拥有5亿消费者的巨大商业市场优势,通过构建高门槛高标准的数据跨境传输规则,持续向其他非欧盟国家输出欧盟模式,正在深刻影响国际数据流动规则的形成。

GDPR规定非欧盟成员国从欧盟成员国处获取和转移个人信息数据,必须达到充分性认定标准,认定性标准以一个国家的立法与法律实施情况、数据监管机构水平、加入个人数据保护的国际条约或多边协定情况等为评估依据,判定数据所转移至第三国对欧盟个人数据保护是否能够达到充分保护的水平。目前,欧盟的GDPR充分性认定已对全球数据跨境流动形成较大影响,并将全球划分成为四个层次:第一层次是数据可以自由流动的国家和地区,包括欧盟国家和日本、安道尔公国、阿根廷、泽西岛、以色列、瑞士、乌拉圭等已获得GDPR充分性认定的国家与地区;第二层次是通过“隐私盾”“数据桥”等数据安全特别协议安排,实现数据跨境流动的国家,包括美国、英国等;第三层次是正在以GDPR为范本修改和建立本国数据保护法的国家,包括贝林、泰国、突尼斯、智利、巴西、加拿大等国;第四层次是不允许个人数据流动到欧盟域外的国家。

欧盟的GDPR充分性认定机制对全球各国的个人信息保护立法和全球数据跨境流动产生了重要影响。一是已吸引世界主要经济体加入欧盟的GDPR充分性认定。日本于2015年颁布的个人信息保护法就充分借鉴了欧盟的经验,2018年7月通过签署与欧盟经济伙伴关系协定建立了数据流通安全区,2019年1月通过了对日本的充分性认定,实现了两国数据的自由流动。二是迫使美国等全球主要数字经济体在个人数据保护方面作出妥协。美国由于疏于对个人信息的保护和政府对个人信息的大规模监控而始终不能达到欧盟GDPR充分性认定的要求,但美欧之间每年有七多万亿美元的双边交易,数据在美欧之间的自由流通无论是对美欧双方,还是对全球经济都有巨大影响。因此,双方通过谈判建立数据安全协议的方式来解决数据跨境流动问题。欧美曾于2000年和2016年分别签署《安全港协议》和《隐私盾协议》,但是,分别于2015年和2020年被欧盟法院宣布失效。2022年3月,欧美又推出新的数据安全流动协议《跨大西洋数据隐私框架》,被称为“隐私盾2.0”。2022年12月,欧盟委员会发布《欧盟—美国数据隐私框架充分性决定草案》,《草案》最终认定美国可以为从欧盟成员国转移到美国的个人信息数据提供同等于欧盟标准的保护。美国在与欧盟达成《安全港协议》、《隐私盾协议》和《跨大西洋数据隐私框架》的过程中,放弃了许多在数据自由流动方面的主张,一次次地做出了巨大妥协,大大提高了欧盟GDPR充分性认定规则在全球数据流动中的地位。三是已成为全球数据区域合作的参考范本。巴西于2018年8月发布的《一般数据保护法》、印度于2019年发布的《个人数据保护法案》、韩国于2020年1月颁布的《个人信息保护法》、加拿大于2020年11月出台的《2020年数字宪章实施法》等,都充分借鉴了GDPR模式及其数据跨境传输规则。欧盟和韩国在2010年签署欧盟-韩国自由贸易协定提出了更为严格的个人新数据保护条款,欧盟和加拿大在2017年签署欧盟—加拿大全面经济贸易协定,就电子商务信任度和个人信息数据保护标准进行了约定,另外,欧盟正在积极参与跨大西洋贸易和投资伙伴协定的谈判。

二、对全球数据要素发展的四方面影响

欧盟在数据要素方面的法律和实践探索为世界其他国家带来正反两方面的经验和教训。其数据要素法律制度的建立、数据权益保护法案和共同数据空间等方面的做法为世界各国树立了学习标杆,而严厉的数据保护措施带来的负面影响也为其他国家提供了警示。

1. 分层次成体系的数据要素法律制度引发了世界各国的立法热潮

欧盟已形成层次清晰、体系完整的数据要素治理法律法规体系。在数据保护方面,形成了覆盖个人数据保护的《通用数据保护条例》(GDPR)和非个人数据保护的《欧盟非个人数据自由流动条例》(FFD)。在数据发展方面,形成了“一总四分”的数字战略和法律体系,“一”是指一个战略,即《欧洲数据战略》,“四”是指四项立法,分别是《数据治理法案》(DGA)、《数据法案》(Data Act)、《数字市场法案》(DMA)和《数字服务法案》(DSA)。

受欧盟在数据战略和立法方面的影响,美国、中国和世界其他国家也纷纷针对数据保护、数据应用、数据交易等各方面开展战略规划和法律制定等工作。如尽管美国没有联邦层面的个人信息保护法律,但受到欧盟影响,加州、弗吉尼亚州、科罗拉多州通过的分别颁布了《加州隐私权利法》(CPRA)、《消费者数据保护法》(CDPA)和《科州隐私法案》(CPA)等全面数据隐私法。中国也于2021年颁布实施了《网络安全法》《数据安全法》和《个人信息保护法》,其中,《个人信息保护法》受欧盟GDPR的影响巨大。另外,日本、安道尔公国、阿根廷、泽西岛、以色列、瑞士、乌拉圭等已获得欧盟充分性认定的国家与地区已参照欧盟GDPR和其他法律法规,制定完成了本国的数据基础制度,贝林、泰国、突尼斯、智利、巴西、加拿大、印度等国家正在以GDPR为范本修改和建立本国数据保护法律制度。

2.严厉的数据保护措施对本土数字经济的负面效应引起全球反省

欧盟将数据分为“个人数据”和“非个人数据”两种类型,个人数据受《通用数据保护条例》(GDPR)保护,自然人享有个人数据生命周期的绝对控制权;非个人数据受《欧盟非个人数据自由流动条例》(FFD)保护,数据持有者和数据处理者享有对的非个人数据的“数据生产权”。

但是,从数字经济发展现状来看,欧盟对数据确权尝试并不成功,导致欧盟的数字经济发展远远落后于美国和中国,主要表现在三方面:一是欧盟对个人数据的范围定义过于宽泛,企业获取个人数据的合规性成本太高,抑制了数字企业的发展;二是欧盟对非个人数据,尤其是公共数据的流通规则举棋不定,采取了公共数据授权收费使用方式,并且收费标准还受到限制,既没有大量增加公共数据的社会供应量,也未能在公共数据开放中获得商业利益;三是对数据平台企业实施严格的惩罚措施,导致大型数字企业发展受限,阻碍了人工智能、大模型、区块链等新技术在欧洲的应用和创新。欧盟在数据确权方面的做法带来的负面效应,对美国、中国和其他其他国家在制定数据权利规则时提供了警示作用,美国坚持完全免费公开公共数据,极大降低企业获取公共数据成本,而中国正在探索授权经营模式,试图实现公共数据的商业化高额回报。

3.数据权益保护法案对中美制定数据要素基础制度形成重要影响

目前,全球已形成美国、中国和欧盟三种不同的数据要素发展道路,美国和欧盟之间已通过《跨大西洋数据隐私框架》打通了两者间数据流动障碍,而中国与美国和欧盟之间的数据流动问题还悬而未决。在可预见的未来,欧盟凭借本身强大的经济影响力将吸引更多的国家和企业遵守其数据保护规则,越来越多的国家和地区将通过充分性认定或与欧盟达成隐私保护协议的方式实现数据跨国流动,而不符合欧盟数据保护要求的国家将都被排除在外,面临数据流动的障碍。

我国构建数据要素基础制度的底层逻辑是,由于具有举国集中体制、超大市场规模、海量数据资源、丰富应用场景等方面的独特优势,足以支撑起数据权属、数据生产、数据流通、数据监管等方面数据要素“中国方案”的建立和运行,为中国特色数据要素基础制度的形成和完善提供稳定的市场和资源支撑。因此,我国数据要素基础制度是立足于国内基础和优势建立并不断完善的,绝不能完全照搬欧盟的相关制度。但是,由于欧盟在数据治理、服务和市场等各方面的制度时间更长、体系更完整、覆盖更全面,对世界其他国家的影响更大更深,而我国的数据要素基础制度才刚刚开始建立,当出现我国与欧盟,或我国与其他国家之间数据跨国流动时,欧盟的数据治理制度体系显得更有优势,对我国数据要素基础制度的形成和完善将形成重要影响。

4.“共同数据空间”对其他国家数据流通制度提供了样本和示范

欧盟通过法律引领创新建立的“共同数据空间(IDS)”是全球第一个国家级单一数据流通平台,其独创的IDS数据连接器和机构产品双重认证机制,既实现了“共同数据空间(IDS)”的实施落地,也保证了在IDS平台上开展数据互操作的安全性,对打破超大数字平台企业对数据的独家垄断具有重要意义。

美国在数据流通方面,除了政府数据免费开放之外,其他数据的共享、交换、交易等各种流通活动主要以数据经纪的方式开展。中国在数据流通方面,正在通过各地建设的数据交易市场进行推进。与欧盟的“共同数据空间(IDS)”相比,美国的数据经纪的方式没有经过机构和产品双重认证,可能在数据流通过程中引发数据安全、数据质量等问题,并且单个数据经纪商的规模较小,还会产生数据供应问题。中国的数据交易市场模式将造成数据割据,引发数据在全国范围内不能互联互通,无法实现全国范围内统一的共享、交换和交易。

三、对我国数据要素建设的四点启示

数据是一种新型要素,对数据要素市场化的方式和路径还远未在世界范围内达成共识,目前正在建立和形成之中。欧盟试图参与甚至主导全球数字经济发展规则,走了一条几乎与美国完全相反的道路,其在充分发挥自身优势增强影响力、严格的数据权利保护制度、共同数据空间、公共数据确权使用规则等方面,对我国数据要素基础制度的建立和形成具有很重要的借鉴意义。

1.充分发挥市场规模巨大优势,增强我国在全球数据流动机制中影响力

与美国和中国相比,欧盟在全球数字经济发展中劣势明显,尤其在数字经济规模和大型数字平台企业等方面,与美中两国的差距越来越大。但是,欧盟充分发挥其拥有5亿用户市场的巨大优势,通过制定《通用数据保护条例》(GDPR)、《欧盟非个人数据自由流动条例》(FFD)、《数字市场法案》(DMA)、《数据服务法案》(DSA)等一系列关于数据收集、加工、流通等方面的法律法规,一方面建立起了欧盟单一数据市场,另一方面提高了非欧盟国家收集、加工和传输欧盟数据的门槛,强制或引导包括美国在内的世界其他国家不得不加强对数据保护的重视,为许多国家保护数据安全,防止数据滥用树立了榜样,不仅重建了对欧盟本土数据市场的主导权,同时也极大提升了欧盟在全球数据治理规则体系中的话语权与影响力,并使欧盟成为全球数字经济的领导者之一。

我国不仅具有14亿人口的庞大数据市场,而且在数字经济规模、大型数字平台企业发展等方面,都具有比欧盟更加明显的优势,理应在数据采集、加工、传输等全球数据治理体系中有更大发言权,发挥更大作用。因此,我国应充分借鉴欧盟利用自身市场优势扩大在国际数字经济方面话语权的成功经验,充分利用我国更大市场规模、更多数据资源、更丰富应用场景的优势,提出具有中国特色的全球数据治理“中国方案”,通过数据要素市场在国内市场的成功实践,增大“中国方案”的全球吸引力,不断扩大数据跨境流动“朋友圈”,打破我国受制于欧美国家数据长臂管辖造成的国内企业数据跨境流动困难,进一步推动发展数字服务贸易交流,促进国内数字企业的全球化发展。

2.避免陷入数据保护恶性竞争,建立安全与发展协同的“中国数据方案”

尽管欧盟的《通用数据保护条例》(GDPR)、《欧盟非个人数据自由流动条例》(FFD)、《数据治理法案》(DGA)、《数字市场法案》(DMA)、《数据服务法案》(DSA)等数据法律法规,在促进欧盟统一数字市场形成和保护个人信息方面开展了有益的探索,对非欧盟国家数字平台企业,尤其是以谷歌、Meta、亚马逊等为代表的美国超大数字平台企业在欧盟的无序发展起到了扼制作用,但是,欧盟的做法在很大程度上是由于其本土数字产业和数字企业发展落后,而采取的一种自保行为,其带来的两方面负面后果也不容忽视。一方面是无论欧盟还是效仿欧盟的其他国家,严格的数据权益保护制度都没有对本土数字企业的发展起到积极促进作用,反倒在限制国外企业发展的同时,也抑制了本土企业的发展。在2022年欧盟《数据服务法案》(DSA)认定的19家月用户超过4500万的“超大数字平台企业”名单中,有16家美国企业,两家中国企业,欧盟只有德国电商平台Zalando一家,从另一个侧面反映了欧盟数字产业的差距。另一方面却为全球数据保护开创了一个高门槛保护的先例,因为全球绝大多数国家在数字技术、产品、服务、企业、生态等各方面与欧盟的情况极为相似,都基本都受制于美国各超大数字平台企业,因此,各国都纷纷效仿欧盟建立起严格的数据保护制度,作为全球数据市场竞争的砝码,引发全球各国数据保护恶性竞争。

我国构建数据基础制度的主要目标是发展数字经济。《数字二十条》中明确提出,“充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,构筑国家竞争新优势”。因此,我国应理性审慎对待欧盟的充分性认定等数据保护利用方面的做法,不应单纯为了数据保护而保护,尤其要避免为了显示对数据安全保护的决心而盲目提高保护门槛,陷入数据保护标准的恶性竞争,而应当将数据保护放在数字经济发展的大背景下,以发展优先作为数据监管的基本原则。当前,我国数据保护要解决的主要问题是如何有效监管和控制在华投资跨国公司和在境外上市公司将我国本土数据向境外流动,既不能放任不管自由流动,影响到个人信息安全和国家数据安全,也不能实行绝对本地化的“一刀切”管理,造成数据不能出境甚至不能流动,而应通过对数据分类分级管理、与重要贸易伙伴建立数字流通双边或多边协议等方式,针对以商业为目的数据流动,可放宽本地化要求,实现针对不同情况予以不同的管理标准。

3.打造数据共享交换实施工具,建设全国互联互通的数据交易市场体系

欧盟不仅在数据法案中提出数据跨行业跨领域共享的战略目标,而且还打造了覆盖十个领域的“共同数据空间(IDS)”,作为欧盟所有成员国开展数据共享和交换的平台,为欧盟单一数据市场形成提供了可落地操作的工具支持。IDS平台包含业务、功能、流程、信息、系统五层架构,以及安全、认证、治理三个原则维度。其中,“IDS数据连接器”是最核心的技术,是依据标准通信接口为各数据主体打造的唯一身份标识、连接器部署配置、证书安全设置等,各数据主体通过各自的数据连接器在共同数据空间中进行安全可靠的过滤、匿名、分析、交换等数据互操作。此外,“IDS双重认证体系”也是共同数据空间的重要内容,包括数据主体认证和数据产品认证,加入数据空间的各种参与主体和数据产品都要进行机构认证和产品认证,以确保互操作性和安全性。

《数据二十条》颁布后,我国各地纷纷探索数据要素在本地的落地实践,其中,建设数据交易市场成为各地非常热衷并快速发展的重要方式,目前全国已有政府批准建设的数据交易市场近50家。但是,各地数据交易市场的兴起不仅没有加快数据的流通速度,实现全国各行业各领域大范围的数据流动,反而形成了以省、市,甚至以县为界的数据割据,形成了新的“数据孤岛”和“数据烟囱”,延缓了数据在全国范围内的流动,阻碍了全国统一的数据交易市场体系形成,与《数据二十条》提出的“构建多层次市场交易体系,推动区域性、行业性数据流通使用。”“促进区域性数据交易场所和行业性数据交易平台与国家级数据交易场所互联互通。”要求背道而驰。我们应充分借鉴欧盟打造“共同数据空间”的做法,加大研发全国各地区各行业数据交易平台互联互通的工具和平台,实现全国一体化数据市场,实现《数据二十条“提出的“构建集约高效的数据流通基础设施,为场内集中交易和场外分散交易提供低成本、高效率、可信赖的流通环境。”目标。

4.创新公共数据确权使用规则,打造具有中国特色的公共数据运营模式

欧盟在《公共部门信息再利用指令》和《欧盟非个人数据自由流动条例》(FFD)中对公共数据等非个人数据的确权、收费、使用等,做出了与美国截然不同的选择。在公共数据产权方面,美国坚持公共数据归全民所有,而欧盟认为政府机构拥有非个人公共数据所有权;在公共数据开放方式上,美国坚持公共数据对公众免费公开,而欧盟用户使用公共数据需要向有关部门购买;在公共数据使用方面,美国坚持用户自主使用,而欧盟则需要得到使用授权。

我国在《数据二十条》中将不同阶段的数据权利划分为数据资源持有权、数据加工使用权和数据产品经营权。鼓励公共数据“以模型、核验等产品和服务等形式向社会提供,”“推动按用途加大供给使用范围。”“推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。”“推动用于数字化发展的公共数据按政府指导定价有偿使用。”根据《数据二十条》的精神,各地纷纷探索公共数据授权经营,基本形成三种模式,一是将地方的所有公共数据授予一家大数据公司运营,如湖南、云南、广东等地;二是将地方的公共数据分领域授予若干个不同的专业公司运营,如北京、上海等地;三是制定授权运营机构条件,通过竞争遴选出若干家专业公司开展公共数据授权运营,如浙江等地。但是,不管哪种模式,都未能解决公共数据到底归政府各部门所有还是归大数据局管理的根本问题,如果归政府各部门所有,各部门能否自行授权经营?如何规避形成新的部门数据孤岛问题?如果归大数据局所有,如何解决各部门向大数据局汇聚数据的动力不足问题?如何解决大数据局处理业务数据能力不足问题?因此,我们应充分借鉴欧盟公共数据开放的经验,在法律层面上明确公共数据归各政府部门所有,各部门有权自行选择符合条件的机构开展授权运营,各部门数据的互操作通过数据交易市场提供的数据基础设施来解决。

声明:本文来自交大评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。