《非个人数据自由流动条例》 简介及对我国的启示

作者：邸可欣

今年五月生效的GDPR和十月四号通过的《非个人数据自由流动条例》对欧盟甚至全球都产生了一定的影响。欧盟注重对数据的保护，刚通过的《非个人数据自由流动条例》对此也有体现，虽然该条例是由欧盟议会通过的，但是该条例对我国也有一定的借鉴意义。本文简述了《非个人数据自由流动条例》的背景、目的及内容，并浅谈了该条例对我国可借鉴之处。

《非个人数据自由流动条例》出台之背景

移动互联网、大数据、云计算、人工智能、物联网等一系列科技的创新、应用与普及，使得生产力迭代与生产关系重构，而且必然会使得人类经济活动与生活效率大大提升。世界经济全球化程度不断提高，世界经济联系更加紧密，而数据处理便成为经济增长的重要引擎。科技的更迭也使得数据流动更为便利，二者彼此促进、相辅相成。[1]在此背景下，数据的跨境流动不仅会成为常态而且会变得至关重要。世贸协定诞生之时，数字经济还处在萌芽期，而GATS 允许各国以数据隐私保护为名限制数据自由流动，于是各国纷纷采取数据本地化措施，导致天然具有全球化市场特征的数字经济被分割为国家市场或区域市场。[2]

数据本地化限制属于地方保护主义，有违数据流动的本质，有违经济活动以及生活效率的进一步提升。与美国更重视数据自由流动所带来的经济利益不同，欧盟更注重数据跨境流动所涉及的对个人隐私的保护。虽然欧盟对数据保护一贯极为重视，而且出台了多部立法力求建构完善的数据保护制度，但是为了使欧盟在单一数字市场战略下打造富有竞争力的数字经济，以及驱动科技创新，欧盟将数据做了明确的划分，于2017年下半年提出《非个人数据自由流动条例》的提案，并在今年的10月4日，欧洲议会投票通过《非个人数据自由流动条例》。

《非个人数据自由流动条例》之目的

从刀耕火种的荒蛮时代到现如今的信息文明时代，这期间经历的几次重大变革离不开科技的力量，在当下的电子信息时代中，数据的价值毋庸置疑，但是数据流动的限制会严重阻碍发展的速度与效率。纵使欧盟重视对数据的保护，但其为了提升自身竞争力，驱动科技创新，提升自身实力，欧盟提出并通过了《非个人数据自由流动条例》。该条例对依靠数据提供新服务的新创业者和中小企业而言尤为重要，有报告显示，从现在到2020年，数据流通可以致使欧盟国内生产总值增长4%。该条例也对数据保护做出了补充性规定同时也减弱了数据本地化的趋势。

《非个人数据自由流动条例》之主要内容

该条例全文共十条。第1条具体说明了该条例的目标，即本条例旨在通过制定有关数据本地化的规定、主管当局获取数据的有关规定以及专业用户数据迁移的相关规则，以确保非个人数据在欧盟内可以自由流动。

第2条规定了该条例的适用范围，即只要接受服务的对象居住在欧盟境内或在欧盟境内营业，这些服务提供者以及在欧盟内居住或拥有营业的自然人或法人根据自需均适用该条例。

第3条规定了该条例中有关名词的定义。其中，对于数据的定义引用来自GDPR中对数据的定义，即“个人数据”是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。“数据本地化要求”是指在特定成员国境内存储数据、处理数据或任何阻碍其他成员国处理数据的有关义务、禁令、条件、限制或其他要求都要规定在成员国的法律、法规或行政规定之中。

第4条确立了在欧盟范围内非个人数据自由流动的原则。即除非危及到公共安全，否则该原则禁止任何数据本地化。此外，它还规定依程序对现有的和即将出台的数据本地化法案进行审查，并且公布单一信息点地址且在其上公开数据本地化法规的细节。

第5条旨在确保主管当局监管数据的可实用性。即用户不得拒绝向主管当局提供数据，或者以数据是在另一个成员国存储、处理为由拒绝提供数据。当主管当局已用尽所有适用的手段仍无法获取数据，且不存在合作机制，则主管当局可依法请求另一成员国的主管部门提供协助。本条还规定了紧急情况之下的临时措施。

第6条规定，委员会应鼓励服务提供者和专业用户等制定和实施行为守则，且行为守则包含以下内容：为专业用户提供便利的数据迁移条件（包括技术和操作要求）以及为用户转换服务提供者提供便利；以及合同订立前需要保证专业用户获取详细、清晰、透明的信息以及有关收费。委员会将在本规则开始实施后两年内审查此类规范的制定和实施情况。

根据第7条，每个成员国应指定一个单一联络点，并与其他成员国和委员会依据本规定适用联系点联络。如有变动仍需要通知欧盟委员会。第7条还规定了主管当局之间援助等可适用本条所规定的程序性规则。

根据第8条，所提及的委员会均是基于且适用于欧盟第（EU）No 182/2011号条例（《会员国控制委员会行使执行权力机制的规则和一般原则》），委员会应得到数据自由流动委员会的协助。

第9条规定了，在法规实施开始后五年内进行审查。

第10条规定了该条例的生效时间。[3]

《非个人数据自由流动条例》对我国的启示

2016年四月，欧盟议会通过了《一般数据保护条例》（即GDPR）法律条例，该条例在今年五月二十五日生效。GDPR条例被称为是目前这个星球上最先进和最严格的隐私保护制度[4]。GDPR条例的适用主体不仅仅是在欧盟范围内的公司，只要公司涉及的数据内容有关欧盟成员国民众的个人信息和隐私，这些公司就有义务遵循该条例。GDPR条例明确作出各项要求以保护民众的个人信息，并且对有违条例的行为规定了更为严苛的处罚规则。欧盟如此重视对数据的保护，但还是对数据进行了划分，其中对个人数据的保护更加明确、严格，但对非个人数据做出了不同的规定，其目的是为了使非个人数据在欧盟范围内可以自由流通，这样更利于发挥数据时代的自身优势。现在的社会是一个高速发展的社会，科技发达，信息流通，这也就要求大量数据的流通来与之配套发展。欧盟提出看似与GDPR内容相反的规定，实则并不违背规律，而且必然有助于欧盟的经济发展以及在竞争中处于优势地位。

欧盟和美国在数据流动方面有不同的价值取向，但是在自由贸易方面，却各持底线，共同逐步推进数据自由流动。欧盟提出的“欧洲数据经济”倡议规定“允许非个人数据自由流动，欧盟范围内可以共享数据资产，以消除跨境获取和分享数据的障碍”。

数据自由流动、隐私规制和数据本地化是跨境数据流动规制的三种主要方式，其中数据本地化所考量的问题在于，一是有助于数据安全，侧重于保护国家安全、公共安全以及民众的个人隐私；二是为了保护国内产业，以提升国内产业在一定地域内的竞争力。发展中国家更倾向将数据本地化作为数据流动的一种方式。因为发展中国家相关的科技水平较低，数据本地化更有利于国内产业发展。但是数据本地化并不利于在经济全球化大背景之下，我国获取国际规则的话语权。[5]

在信息化时代里，数据跨境流动与个人信息的保护难免会有冲突，但是数据流动却是数字经济时代的需要也是数字经济时代的产物。我国可以借鉴欧盟出台的《非个人数据自由流动条例》的思路，一方面对个人数据下定义并出台法律法规等规范性文件保护个人数据；另一方规范对非个人数据的使用，这样一方面可以从某一角度实现对人权的保护，另一方面有利于互联网、云计算、人工智能等科技创新应用的发展，有助于经济发展以及在经济全球化中坐拥一席之地。明确个人数据的内涵与外延，不过分扩张个人数据的范围，甚至可以列出但书条款，使得规范性文件更具可操作性和灵活性。

数据可以分为个人数据和非个人数据，或者可以将数据做更细的划分，比如分为个人数据、政府数据、商业数据、特种数据等，欧盟采取的是将数据区分为个人和非个人数据。我国与欧盟具有不同的利益考量以及不同的背景环境，所以我国可以将数据划分为涉及个人隐私的数据、涉及国家安全的数据、涉及公共安全的数据以及其他数据。明确了涉及个人隐私、国家安全和公共安全的数据的内含以及外延，对于除此之外的数据不妨借鉴欧盟的《非个人数据自由流动条例》的有关规定。

个人数据的范围过大必然会限制到公共利益，所以在保证个人隐私和人权不受侵犯的条件下，尽可能追求公共利益最大化，故需要在个人利益和公共利益之间寻求平衡。数据自由流动不仅可以降低交易成本为企业争取利益，同时也降低了社会成本，减少了每个公民在社会经济活动中的成本，同时也为公民个人谋得一定利益。数据自由流动是大势所趋，在保护民众个人隐私的前提之下，不妨减少数据本地化政策，将国家安全和公共安全作为非个人数据自由流动的例外规定。

近年来我国与世界各国的合作越发密切且多元化，我国也可以在一定地域范围内或者与其他国家签署多边条约，多边条约和国内法规可以互相补充，完善对个人数据的保护以及非个人数据的自由流动的规制。建立多边条约可以减少因各国国内法规定不同而造成的法律冲突。多边条约可以规定建立一个联络点，条约成员国应该履行自己的义务，对不涉及各国国家安全和公共安全的非个人数据应对成员国开放，该联络点应当公布各成员国拒绝数据流动的理由，并审查其合理性。且成员国应当对数据流动提供便利，对于拒绝提供非个人数据的个人和法人或者其他组织，法规并不禁止通过采取技术手段来获取数据。对于违反条约的成员国可以实施国际法允许的惩罚措施。

[1] 参见尚洁：《境数据流动法律问题研究》，北京邮电大学2018年硕士论文。

[2] 参见李海英：《数据本地化立法与数字贸易的国际规则》，载《信息安全研究》2016年第9期，第784页。

[3] 感谢北京师范大学刑事法律科学研究院暨法学院吴沈括副教授提供《非个人数据自由流动条例》中文译本。

[4] 《欧盟GDPR条例即将生效，留给中国企业的时间真不多了》，载https://www.sohu.com/a/217733518_765470，最后访问日期：2018年10月15日。

[5] 参考黄宁.数据本地化的影响与政策动因研究[J]. 中国科技论坛.2017年第9期，第163页。

声明：本文来自360法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。