GDPR时代的数据共享治理路径
2018-02-13吴沈括李雨鑫
□ 吴沈括 李雨鑫
2018年5月25日,欧盟GDPR(一般数据保护条例)正式生效,这无疑是欧盟乃至全球在数据保护方面的里程碑事件。GDPR时代的到来意味着欧盟为个人隐私保护设置了严格的屏障,开启了数字时代的新纪元。不可置否,数字时代给世界各国都带来了机遇和挑战,欧盟委员会自2014年以来就高度重视数据资源的运用,发布了若干有关重视数据潜力的政策倡议。2018年4月,欧盟委员会发布由其委托咨询公司Everis编制的《欧洲内公司间数据共享研究》(Study on Data Sharing Between Companies in Europe)报告,生动反映了数据共享治理的欧洲进路。该报告证实,尽管欧盟在数据保护方面提出较为严苛的要求,但欧洲公司间的数据共享已相当成熟。随着GDPR的正式适用,公司间数据共享必将面临更严峻的挑战,据此,笔者通过探析报告内容进而为GDPR时代的数据共享治理路径作出进一步诠释。
GDPR语境下数据共享概览
1)相关概念界定
共享是个较为宏观的概念,应当包括分享和重用。数据共享通常包括数据的供应和需求2个方面,即公司间数据共享应当包括提供数据以及被授予访问数据权限的两方主体。 “数据分享”(data sharing)一词严格限制在数据供应方,即生成或存储数据的公司,该主体使其生成或存储的数据可供其他公司使用。而“数据重用”(data re-use)则指的是需求方面,也就是访问其他公司数据的一方主体。具体来看,“数据分享”与“数据重用”的概念应作如下界定。
数据分享是指公司使其数据可供另一家公司使用的过程,另一家公司既不属于该公司的市场竞争对手也不是其分包商,仅是为了商业用途而对这些数据感兴趣。数据是由分享数据的公司生成或收集存储的。
数据重用是指公司基于其自身的商业目的(不包括承包商与分包商之间的关系),对另一家公司(不是直接市场竞争对手) 的数据进行重复使用的过程。
需要强调的是,不管是 “数据分享”还是“数据重用”,公司间数据共享的过程中交易可以是免费的,也可以是以提供包括服务在内的报酬或补偿为基础而开展的。
2)数据共享的形式
报告基于所收集的作为典型案例的16家公司经验,确定了5种数据共享的形式,这也是在GDPR时代数据共享能够广泛实现的形式。
(1)数据货币化
所谓数据货币化是指公司在经过个体适当许可的前提下,通过与其他公司共享数据而为公司获取收益的方法。当然,数据也可以通过提供服务实现货币化。
(2)数据市场
数据市场是数据交易中受信任的中间人,通过建立安全的在线平台,使数据供应方和数据需求方在平台上进行数据交易。在这种情况下,管理数据市场的公司通过数据交易获取收益。
(3)行业数据平台
行业数据平台是为了促进公司间数据共享的协作而创建的。具体地说,一些公司为了促进新产品/服务的开发、提高其内部效率,而自愿选择加入一个封闭、安全和专属的平台,以便共享数据。在这种环境下,数据通常免费共享(也可以考虑付费共享)。这些平台不同于通过共享数据取得收入的数据货币化公司,它们更关注于提升成员在运营等方面的能力。
(4)技术支持者
研究中还发现存在这样一类公司,它们可能类似于行业数据平台或数据市场,但不同的是,这类公司作为数据共享过程中的第三方,专门从事并致力于通过技术解决方案实现数据共享。与行业数据平台或数据市场相反,其收入不是通过共享数据,而是通过其解决方案的设置、实施和维护来实现。
(5)开放数据策略
有些公司采用公司间开放数据政策,这些公司有时在法律上有向第三方提供数据的义务。它们通过共享数据以促进新产品、新服务的开发,通常是免费的,在例外情况下,可能会要求适度支付其提供数据所花费的时间成本。
3)数据共享的意义
GDPR为公司在数据使用方面设置了较为严苛的规则,因此,在GDPR时代背景下,公司想要发展必须将数据资源的有效性发挥到最大化,数据共享对每一个公司尤其是互联网公司而言更是意义空前重大。公司间可以通过共享数据探索开发新业务模式、新产品和新服务的可能性,通过与其他公司建立伙伴关系,数据供应公司可以将其数据货币化进而为公司创收。同时,据研究显示,随着参与公司间数据共享活动的比例增加,公司总收入也在增加。
此外,通过对调研收集到的信息进行分析,研究指出,许多公司因不参与共享数据而失去很多商业机会。虽然该结果需要谨慎解读,但有迹象表明,如果公司投入大量资金获取实时或本地化/定位数据可能会对公司业务产生积极影响。而在GDPR时代这一现象将会更加凸显。因此,公司间数据共享对促进公司发展、推动国家和地区经济进步有着积极作用。在GDPR时代,公司应当考虑充分参与数据共享,国家也应当高度重视数据共享层面的各方问题。
GDPR时代的数据共享现状
1)欧盟关于数据共享的政策和立法
近年来,欧洲各级采取了各种法律和政策举措来促进公司之间的数据共享。数据作为促进欧洲经济繁荣发展的关键资产的重要性已经得到广泛认可。早在2013年10月,欧盟理事会就制定战略议程,呼吁在数字单一市场整合领域采取行动,促进所有经济领域的数据驱动型创新,在欧洲数字经济领域进行大量投资,并推广战略性技术,以改善获取途径并在整个经济中共享数据。
(1)推动欧盟层面数据经济的政策
欧盟委员会于2014年7月发布了“促进蓬勃发展的数据驱动型经济的通信”。该文件承认,欧洲在数据研究和创新方面缺乏资金,法律环境的复杂性以及企业特别是中小企业无法获取大量数据。因此,欧盟委员会强调需要建立适当的政策框架,以提供法律确定性环境并促进涉及大数据的业务运营。
继此之后,2015年5月,欧盟委员会制定了“数字单一市场(DSM)战略”,将创建综合数字单一市场定义为其关键的政策优先事项之一。该战略旨在确定一个监管框架,解决和消除当前数据自由流动的障碍和限制。在DSM战略的框架内还宣布了“数据自由流动”的倡议。
2017年1月,欧盟委员会发布了关于建立欧洲数据经济的通信。这些文件普遍承认,蓬勃发展的数据经济要求各公司能够访问大型和多样化的数据, 同时确保充分尊重个人数据的保护。值得注意的是,文件侧重于机器生成的数据, 即未经人类直接干预而产生的数据, 无论是个人的还是非个人的。
同样在2017年,实施数字单一市场战略实施情况的中期审查指出, 欧洲服务部门需要全面数字化,并呼吁进一步投资于数字技术和基础设施,使企业能够充分利用云计算和大数据解决方案。它重申, 必须保证一个公平、稳定和可信的环境, 以促进企业的数据共享。
(2)欧盟层面与数据共享相关的立法
数据保护领域的主要立法即为一般数据保护条例(GDPR),条例于2016年5月生效,并于2018年5月25日起正式适用于欧盟经济区国家。GDPR是对指令95/46/EC的取代,旨在通过建立一套共同的规则来协调现有的国家法律,是加强个人数据保护的关键工具。
除GDPR外,欧盟数据保护立法框架的另一部分是所谓的电子隐私指令,目前正在审查中。该指令旨在确保电子通信服务使用者拥有高水平的隐私保护。除了电信运营商,该指令还将涵盖电子通信所产生的内容和元数据,这2种信息都受到高隐私标准的约束, 因此,它们的处理需要数据主体的同意。一旦个人同意,电信运营商可能会拥有更多使用数据和提供额外服务的机会。
最后, 数据库指令规定,数据库的创建者有权控制访问和重用其内容, 但前提是数据库的创建涉及很大程度的投资。从2017年8月开始, 欧盟委员会发起了一次公众咨询,以评估指令对用户的影响、其功能以及调整它的可能方法。大多数答复者认为,该指令最初的目标今天仍然有效,尽管对该指令设法实现这些指标的程度没有统一的意见。大多数答复者还认为,该指令确立的特殊权利足以保护在建立和维护数据库方面所作的投资,但对于这项权利目前的范围是否足够全面以及指令能否在数据库所有者和使用者的权利和利益之间取得适当平衡方面存在分歧, 对于应采取何种办法,也没有达成共识。
2)影响数据共享实现的障碍
GDPR无疑为公司间数据共享的实现带来了一定程度的法律困境,除此之外,公司间分享和重用数据还面临着技术等方面的障碍,具体阐释如下。
(1)数据分享的障碍
①法律障碍
法律的障碍是影响公司参与数据共享的重要因素。首先,现有的法律规范在“数据所有权”以及数据访问权限等方面缺乏明确规定,使得公司在获取、使用和分享数据时面临着权属方面的法律不确定性;其次,在GDPR时代背景下,公司需要高度重视数据保护:一方面,GDPR使得公司在数据处理合规层面存在困难和挑战;另一方面,为了满足GDPR的相关要求,公司在使用和共享数据时可能会付出高昂的成本和代价;此外,尽管GDPR已经正式适用,但是欧盟关于数据保护的规则仍然缺少明确指引;最后,在关于欧洲数字化法律问题的研究中发现,数据本地化限制也是影响公司间数据共享的因素。
②技术障碍
技术障碍是公司参与数据共享所面临的另一主要障碍。具体体现在以下几个方面:首先,互联网的飞速发展要求公司不断改进数据存储、处理等方面的技术手段,这一现实因素的存在以及由此产生的一系列资金成本问题对数据共享的实现提出挑战;其次,各个公司可能存在不同的数据存储格式,缺乏统一的数据处理标准,为数据的流转增加了难度;此外,数据质量差以及用于共享数据的平台体系结构的复杂程度等问题也是阻碍公司间数据共享的重要因素;最后,公司间在技术层面缺乏信任也会影响其共享数据。
③其他障碍
公司内部缺乏熟练的数据工作者;由于数据不准确或误用以及难以找到适当的方法来许可数据的使用,导致对公司的名誉成本的担心;契约不确定性;在数据共享造成损害时, 责任成本的不确定性均是影响数据共享的障碍。此外,有限的财政资源以及缺乏对数据潜力的了解也是影响数据共享的障碍。
(2)数据重用的障碍
对于数据需求方所面临的障碍也应当有所明确。据研究显示,大部分公司面临着一个反复出现的障碍,即被数据供应方拒绝访问相关数据;此外,数据供应方施加的不公平或滥用条款也是数据需求方访问数据的又一常见障碍;同时,报告指出,缺乏数据标准化是导致数据需求方重用数据时产生高昂成本费用的因素;最后,数据本地化限制、数据供应方无法预料的数据访问终止、缺乏足够的数据技能也是阻碍数据重用的因素。
GDPR时代的数据共享治理路径构建
GDPR时代的到来证明,数据保护的重要性在历史的演进过程中达到了空前的高度。在开启了GDPR时代的今天,数据共享的治理路径迎来了转型的契机,在基于数据保护的前提下,也应服务于数据共享的需要。因此,报告综合各方面,为GDPR时代的数据共享治理构建了一套切实可行的路径。
(1)进一步发展公司间数据共享的概念
欧盟委员会应与公司和利益相关方共同制定公司间数据共享和相关术语的概念,进而弥合现有的知识缺口,改变对业务关系中的数据分享和重用缺乏理解的现状。
(2)提高关于公司间数据共享的意识
欧盟委员会和各国政府应当组织活动,使更多公司和利益相关者参与数据共享。具体而言,活动侧重于阐明不同形式的数据共享均可以在业务关系中进行, 以及此活动可能带来的好处,并确保目前的法律和政策框架为各规模的企业所熟知;此外,鼓励欧盟委员会继续采用政策和实践导向的文书,如通信、建议、决议或准则,提高对数据共享益处的认识;最后,为已经从事数据共享的公司提供可见性,也为有意提供数据或访问他人数据的公司带来更明确的指导。
(3)提供相关法规和指令的指导
为了能够协助各公司更切实有效地了解相关法律规范文件,要求欧盟委员会就有关条例和指令提供指导,确保重要法规和指令能够得到明确理解;明确不同法规和指令的法律含义和范围,特别是GDPR的相关规定;了解数据合规的要求以及如何处理数据误用的情况。
(4)监督和评估法规的实施情况
欧盟委员会提出的法规在应用上缺乏明确性,需要对法律和政策举措进行密切跟踪并进行评估。因此,欧洲联盟委员会应从公司间数据分享的角度监测并评估条例和指令的执行情况,同时,继续与公司和利益相关方进行磋商,了解遵守法律规范的过程中所遇到的障碍。
(5)共同开发公司间数据共享框架
考虑到公司间数据分享和重用将在未来5年内增长, 欧盟委员会应建立一个数据共享框架。这个通用框架旨在阐述参与公司间数据分享和重用的基本概念、原则和条件。并提供向其他公司转移和访问数据的建议。该框架应与公司和利益相关方共同协商制定。
(6)支持数据互操作性和标准的开发
考虑到已经确定的数据共享方面的技术障碍,因此鼓励欧盟委员会支持发展数据互操作性和标准,同时,鼓励公司(包括中小公司)共同参与,以确保考虑到他们的需求和挑战。
(7)为公司参与数据共享提供资金支持
欧盟委员会应当利用当前的资金计划来支持公司参与数据共享,比如,鼓励公司建立协作平台。同时,欧盟委员会要支持初创公司创建技术解决方案,以增强公司间数据共享。
结 语
当前,数据作为重要的资产呈现爆炸式的增长,全面考验着互联网公司在数据处理等方面的能力。数据作为重塑市场竞争格局的有力抓手,对其进行有效利用,是有助于各方公司在日益激烈的竞争环境中保持活力的关键因素。为了最大限度地利用数据,公司间应当在现有规则的框架下进行数据共享,力求实现共赢。
不难看出,欧洲联盟委员会委托咨询公司Everis开展的这项研究,生动反映了有关欧洲公司间数据共享的各方面内容,为加深对欧洲经济区内公司之间数据共享的理解、掌握欧洲经济区内公司之间数据共享的潜力提供有力支撑,对于构建GDPR时代的数据共享治理路径具有明显的标示意义。GDPR时代的到来为个人数据保护设置严格的屏障,也为公司盘活数据资源带来进一步的系统挑战。