基于文本分析的欧盟数据主权战略审视及其启示
2021-01-02漆晨航
漆晨航 陈 刚
(1.中国人民公安大学侦查学院 北京 100038;2.中国人民公安大学进修部 北京 100038)
0 引 言
随着信息科学纵深发展,互联网逐渐运用到人类社会生活诸方面,网络数据逐渐成为信息的重要载体。而对于信息的本质,被誉为“信息论之父”的克劳德·香农(Claude Elwood Shannon)早在1948年就提出:“信息是用来消除不确定性的东西。”[1]可见信息的质与量对社会生活的重要性。随着世界各国对数据认识的加深,“数据权”概念的外延也逐渐由公民对个人数据权利保障,延展到保障国家数据监管的自主性,即“数据主权”[2]。欧盟作为数据保护的先行者与标杆,已在实践层面出台有一系列的数据主权规则,构建起良好的数据主权保障体系。而随着国际局势的变化以及数据关联技术的飞跃式发展,欧盟各部门以维护欧盟数据主权为出发点,同样制定了数目繁多的中长期数据发展战略。
与之相应的是,中国同样是数据空间治理走在世界前列的国家,2015 年国务院发布《促进大数据行动发展纲要》,将数据作为国家基础性战略资源,并制定出台《网络安全法》《数据安全法》等法律文本,逐步完善数据安全保障制度,但在数据保护标准与数据主权构建维护等方面与欧盟有一定差距。同时其他国家或地区跨国界的数据监管行为,仍然为我国数据产业与安全带来严峻挑战,亟需构建起强有力的数据主权制度体系。
1 欧盟数据主权战略的背景
在介绍欧盟数据主权战略之前,有必要分析欧盟数据主权体系建构以及发展的内外环境与现状。其一,从数据安全的国际环境,探究数据主权战略对欧盟数据保护、数据产业以及地区安全的重要性;其二,从欧盟内部信息权利保护的历史传统,明确数据主权建设的必然性;其三,从欧盟数据技术面临的窘境,提出其以技术主权为基点发展数据的必要性。具体内容如下。
1.1外部数据安全威胁趋势变化从欧盟外部出发,国际上网络主体的博弈愈演愈烈,欧盟数据安全面临威胁。一方面,如上文引言中所述,足量的信息足以消弭事物的不确定性。各国执政者为消除国家安全背后的“不确定性”,热衷于制定涵盖数据收集、储存、处理、审查全过程的规则,并赋予该类规则跨国、跨区域的适用效力,深刻影响到其他国家的数据保护规划[3]。仅以美国为例,“9·11”事件爆发后,美国制定《爱国者法案》,赋予国家安全局调查机构跨国界的数据获取权。2011年谷歌公司在欧洲召开发布会,表示只要数据内容可能关涉美国国家安全,联邦调查局(FBI)即有权审查该公司全球的用户数据,包括设在欧洲的数据库;2013年“棱镜门”事件曝光美国通过境内网络运营商监控世界,2017年美国国会通过《美国自由法案》,将美国国家安全局(NSA)等机构监控全球数据的行为合法化[4]。美国一系列行为严重威胁世界各国的数据主权,当然也包括欧盟,这也迫使欧盟决策者从立法与战略规划层面作出应对。
另一方面,系统论中的序变理论告诉我们,组织体系的严密性与序变能力成反比,即组织体系愈完备,愈无法高效应对社会变迁[5]。随着信息科学不断发展与应用,世界范围内的网络攻击犯罪数量飞速增长,网络犯罪趋势与数据保护形势不容乐观。Check point软件技术公司发布的《网络攻击趋势:2020年中报告》)显示,2020年与新冠肺炎疫情关联的网络威胁大幅增加,从二月份每周遭受攻击低于5 000次,骤升至四月份每周受攻击超过20万次,总部设在欧洲的世界卫生组织(WHO)所受网络攻击次数大幅增长,严重危害疫情防控工作与涉疫数据安全[6]。
所以,在此严峻的外部网络安全形势之下,欧盟决策者认识到必须以数据主权为基点,推进技术革新与制度完善,一方面强化数据保护能力,维护欧盟的网络空间安全,另一方面扮演数据保护引领者角色,提升欧盟在国际网络博弈中的竞争力与话语权。在此语境下,研究欧盟数据主权的战略,对我国数据制度体系发展有不言而喻的借鉴意义。
1.2内部对公民权利保护的追求而从欧盟内部的价值选择而言,尊重公民对个人数据的自决权历来是欧盟政策制度与立法所重视的价值[7]。2007年《欧盟基本权利宪章》生效,该《宪章》明确规定公民个人信息受到保护,公民有权了解信息收集情况并销毁个人信息;并且信息保护有关规则的执行,应当受到欧盟公正的监督管理。上述规定足见欧盟对公民个人信息自决权的重视程度,但对信息自决权的尊重并不意味着欧盟的立法价值核心是信息自由。数据权是信息权随时代发展的新形态,数据权的具体规则却体现出欧盟追求以主权保护个人数据的价值取向。
2016年颁布试行的《通用数据保护条例》(GDPR),对外规定了严格的跨国境数据流动规则,跨境数据流动必须经过授权,只有由欧盟委员会评估认为数据安全性足够的国家或地区才可以不需授权直接流动;对内则规定了一系列的数据访问、删除与异议权,同时赋予了数据主体向监管机构投诉的权利以及司法救济权。欧盟的数据治理呈现出以严格标准与公立救济等形式重视数据保护的价值取向,而强调对数据的强制保护,体现出数据主权的基本特征。即数据主权表现是国家对主权领域内所有数据的管辖、使用、所有与控制的权力,具有强制效力[8]。而根据理论通说,国家主权是人权的上位概念,保护公民基本权利的前提是确保独立自主地行使国家主权[9]。欧盟决策者不断制定数据主权战略,完善数据保护制度体系,并强化公共主体在数据保护中的职能,也是追求更好保护欧盟内各主体享有的数据权利,契合其数据保护的价值追求。
1.3技术现状违背公民赋权原则如上所述,欧盟历来遵循公民信息权利至上的治理理念。但不同于传统的信息权利的是,公民数据权利是数据科学发展与社会应用的时代产物,区域数据治理水平不仅依赖于数据规则体系的完善,同时与科技自立能力高度相关。毋庸置疑的是,欧盟是数据科技发展相对较弱的地区。2019年全球科技公司市值排名前十企业的“国籍”都为中国或美国,而中美两国科技公司的年度资金投入是欧盟企业的三倍,诸如检索、社交与设备操作系统等关键平台都被美国或亚洲企业控制,研究者毫不讳言地将欧盟的科技颓势称之为“悲惨的案例”(Bear Case)[10]。
公民数据权利是数据主权的下位概念,保障数据权利的基础是独立自主的行使数据主权,而欧盟数据相关科技发展现状导致其数据治理的自决能力相对较弱,最终导致欧盟公民数据权利“暴露”在充满威胁的国际网络空间中。“权为民所赋,权为民所用”是现代民主国家普遍遵循的权力观,而“公民赋权”原则更是被欧盟视为数据保护的支柱与出发点。欧盟委员会在2020年6月发布《数据保护是强化公民赋权与欧盟数字化转型的基础——GDPR两周年》实施报告,欧盟委员会在报告中明确指出,随着欧盟数据保护规则的完善与实施,更多的公民期望提升对个人数据的掌控力,《通用数据保护条例》的任务之一就是确保新技术的研发与应用符合公民对数据权利保障的基本需求[11]。
在欧盟决策者观念中,数据战略的核心是以人为本,目标是探索保护公民数据权利的最优解。而在公民赋权原则的引领下,结合欧盟数据技术发展的现状,帮扶本土数据科技发展,提升技术自研自理能力,维护欧盟的数据治理的自主性,成为其数据战略可以预见的基础性方针。
2 欧盟数据主权相关文本梳理与概念界定
2.1欧盟数据主权规则与战略体系上述内外因合力,欧盟各国深刻认识到数据主权被侵害的现状,以及数据主权对公民数据权利保护的重要性,也因此出台了一系列的数据规则与数据发展战略规划。从数据规则而言,近年来欧盟先后出台有《通用数据保护条例》(GDPR.2016)、《非个人数据自由流动条例》(RFFNP.2017)、《网络安全法案》(EU Cybersecurity Act.2019)、《数字服务法(草案)》(Digital Services Act.2020)、《数字市场法》(Digital Markets Act.2020)、《数据治理法案》(Data Governance Act.2020)等法律规范,全方位、体系化地构建了欧盟内外的数据保护与救济制度,特别是《通用数据保护条例》的实施,使得欧盟一跃成为世界范围内数据治理的标杆与数据保护标准制定的引领者。
而从战略规划层面,2020年2月19日,欧盟委员会发布《欧洲数据战略》(AEuropeanStrategyforData),部署欧盟未来5年内的数据政策制定方向,更在开篇介绍部分中提出:“只有欧盟公民确信,在欧盟境内任何数据共享都将遵守欧盟的数据规则,公民才会相信接受如此的创新。”[12]明确数据制度能否被尊重对数据主权发展的重要性。同年6月30日欧洲数据保护监管局(EDPS)发布《欧洲数据保护监管局战略计划(2020-2024)——塑造更安全的数字未来》(以下简称《2020-2024数据保护战略》),指出欧盟有必要了解借鉴许多主权国家已采取的数据控制措施,包括制定数据本地化储存规则与限制外部数据产业投资等,以数据主权发展促进数字主权建构[13]。在此之外,同年7月13日,欧洲议会发布《欧洲数字主权》报告,该报告指出欧洲目前在数据保护领域面临的困境,并对欧盟数据科技创新与制度改革作出规划,期望用更优的数据治理能力与治理体系促进数字主权建设。在数据规则与战略规划之外,欧盟通过惩罚苹果、谷歌、facebook等企业违法违规收集使用储存数据的行为,为欧盟境内公司涉数据行为与各成员国裁判提供相应的参照与判例。在上述战略文本之外还有欧盟委员会颁布的《塑造欧洲数字未来》,对数据技术的发展理念与方向做出规划[14]。
下文将以《欧洲数据战略》为主要分析对象,辅以《2020-2024数据保护战略》与《欧洲数字主权》等欧盟官方其他的战略规划,结合欧盟数据相关的现行法律与实践,分析欧盟数据主权战略的具体措施与特征。
2.2数据主权相关概念界说当然,在研究欧盟数据主权战略之前,必须对数据主权、数字主权以及技术主权等相关概念作出必要的厘定与澄清,避免概念的混淆导致研究对象偏差。
首先应当明确,所谓“数据主权”的规范概念,并未在欧盟官方文本中得到解释。与之相应的是,欧盟决策者更加倾向于将数据治理视作数字主权的下位概念或构成要素。譬如在欧洲议会发布的《欧洲数字主权》报告中提出了三点对策以建设欧盟数字主权,其中第一点对策便将数据储存本土化与数据基础设施建设等数据治理措施,视作数字主权发展战略的构成要素[15]。而“此处所谓‘数字主权’,是指欧盟在数字世界中保持独立的能力,并且应当从保护性机制与攻击性方法的角度理解该概念,以此推动数字制度的创新。”[15]
但与此同时,获得学者认可的是,欧盟在实际上已经通过数据保护制度体系完善与技术发展,实质上搭建起数据主权框架。在数据保护规则层面,欧盟与成员国的数据监管机构在数据治理中分别扮演管理者、监督者、追诉者与裁决者等角色,无疑是行使数据主权的表现[16]。在技术发展层面,欧盟诸多数据相关的战略文本表明,其希望以数据技术的发展提升欧盟数据自决能力。可以说,欧盟已经从数据保护制度与技术发展战略等维度,实然构建起欧盟的数据主权体系。
如上所述,数字主权是指欧盟在数字世界中保持独立的能力,主权指向的对象是所有数字行为,包括数据流动、储存等数据行为,同时囊括网络社交、经济交易、数字企业竞争等其他数字化的行为[17]。所以在欧盟决策者看来,数字主权是数据主权的上位概念,数字主权是指欧盟对所有数字行为的掌控力,而数据主权则特指对数据行为的掌控力。
在数字主权与数据主权之外,还有欧盟委员会主席冯·德莱恩首倡的“技术主权”,指欧盟有能力依据自我价值实现自我掌控数据资源的技术能力[18]。如前文所述,数据权利是信息通讯科技发展的时代产物,不同于传统的信息权利保护,区域数据保护水平取决于技术发展与自研程度。欧盟决策者深刻认识到虽然其数据保护制度全球领先,但本土数据技术发展较弱,已然成为维护欧盟数据监管自主性的短板。因此他们认为,此处所指的技术应当是与数字、数据相关的数据采集、信息通讯、数据储存等科技,而基于上述科技自立的技术主权则是欧盟数据主权战略规划的基础内容,全面覆盖数字主权、数据主权等技术依赖型的主权体系。而与数字主权、数据主权等概念关系相似的是,技术主权之于数字是指提升对数字行为掌控力的技术能力,之于数据则指自主规范数据行为的技术能力,所以本文仍然讨论的是数据主权框架下的技术主权战略主张。相关概念得以明确后,下文将阐述欧盟数据主权战略的具体措施与主要特点。
3 欧盟数据主权战略的具体措施与特点
3.1技术主权建构:数据存储与治理框架《欧洲数据战略》提出欧盟数据科技自主性不足的问题,并对技术发展方向与政策资金支持等具体事项作出规划,数据存储与数据框架是关于技术主权建设的重点内容。奠定欧盟的技术主权,可以为数据主权提供足量的数据资源与坚实的技术支撑,有效提升欧盟的数据自控性,值得深入全面的剖析。
3.1.1 数据云端储存 随着云端储存技术的存储量、安全性与便捷性提升,云端储存取代传统设备储存已经成为必然趋势,数据分析公司Statista在《2019年数字经济指南》中预测,到2026年世界范围内云端储存的数据量占比将高达92%。而根据联合国贸发会发布的《2019年数字经济报告》,2019年中国与美国的企业在全球公共云计算市场份额占比超过75%,全球70个大数据云平台由中美两国所有的平台市值占比超90%,包括非欧盟国家在内的欧洲企业大数据云平台的市值仅为4%[19]。所以即使是欧盟的决策者也不得不承认:“欧盟的云端数据储存市场,几乎已完全被非欧洲数据服务提供商所统治。”[15]
建设欧洲云(European Cloud)是欧盟决策者解决数据储存本地化的关键对策。欧洲云由欧盟委员会牵头,以欧盟资源整合为基础建设欧洲的云端储存,包括储存的数据基础设施、平台与软件,目标在2027年之前实现[12];除此之外,欧盟委员会有义务鼓励引导成员国与在欧企业自主建立云端数据储存系统,譬如在2020年2月,德国与法国联合启动了Gaia-X计划,该计划通过直接投资与政策优待,鼓励欧盟资本创造更多本土的数据云端储存商[20]。上述云端储存技术的使用者,在遵守欧盟数据保护规则的前提下,都可以储存公民个人信息、商业信息与政府信息等在欧数据,欧盟与成员国、官方与民间多向并行,以期实现欧盟数据储存的本土化。
3.1.2 技术治理框架 技术治理框架则是指,欧盟希望在未来建立标准统一、普遍适用的数据收集、处理与共享框架的技术框架,促进欧盟内数据服务的合法化与流程化,更期望为科技创新或中小企业发展提供必要的数据资源与政策支持,建设欧盟数字经济市场。当然因为欧盟的组织结构相对松散,决策者认识到由上至下建设技术治理框架可行性不高,他们鼓励成员国自主搭建相关框架,实践中取得最佳效果的实践成果,将被欧盟委员会认可并在全欧范围内推广[12]。具体而言,数据战略规划中关于技术治理框架的内容主要涵盖如下三部分:
首先,欧盟数据监管框架。该框架基于欧盟现有数据规则,按数据服务流程设计的技术框架,涵盖数据收集、处理与共享全过程。监管框架建设主要有三层目的:其一,便利监管数据业务。任何在欧盟从事数据业务的主体,都必须在该技术框架内提供数据服务,全部流程遵循数据框架规定。并且框架下的任何行为都将留有电子痕迹,作为数据监管的决策依据。其二,便利商事主体提供数据服务。在数据监管框架下,任何数据服务流程都在框架中透明可见,数据服务商在框架平台上按照流程操作便可以提供法律服务,框架内电子痕迹也可以作为证明其行为合法性的依据。其三,便利数据的收集、处理与共享,提升欧盟各类数据的利用效率。《欧洲数据战略》中提到,欧盟将为数据共享提供清晰的操作守则与计算能力,任何遵循监管框架的数据共享行为都将畅通无阻,以此实现欧盟数据资源整合与互联互通[12]。《数据治理法》提出创设数据共享的中介机构,此类机构在成员国数据管理机构完成登记后,专职负责促进个人与企业间的数据共享。而《数字服务法》则为数字市场的中介商提供了全欧统一的监管规则,以期建设欧盟一体的数字市场。
其次,数据技术发展支持框架。该框架主要是指欧盟多年度财政框架,即欧盟通过制定长期稳定的财政预算计划,用充裕的资金鼓励、支持研发数据技术。一方面,欧盟通过不断的资金投入,支持欧盟委员会建设欧洲云储存与数据基础设施,在云端储存市场占比逐年提高的背景下,逐步扭转数据储存业务被非欧企业“统治”的颓势,最终实现欧盟数据的本地储存。另一方面,欧盟实施“欧洲地平线”计划,将部分从事生物识别、人工智能与量子计算等前沿科技研究的优秀企业纳入计划中,以资金投入、政策支持与提供数据资源等方式支持计划内企业开展前沿科技研究与社会应用[12]。
最后,数字税收框架。随着数字经济市场的蓬勃发展,数据产业已经成为世界经济的重要组成部分,更为合理、透明、稳定的数字税收框架可以促进数据产业的良性发展。一方面超额累进税率可以适当限制大型数据企业的扩张,为中小企业创造相对良好的营商环境;另一方面,数字税收入可以通过二次分配投入到数据技术研发等方面,促进技术主权的构建。2018年欧洲议会的年度咨询报告中就提出建立欧盟数字税收框架,规划对数据产业加征专项税,改变传统行业税收远高于数据行业的现状,并建立成员国统一的税收标准。但是,由于各国国情的差异与税收的主权相关性,欧盟各国至今没有达成协调,马其他与爱尔兰等低税率国家明确反对[21],数字税收框架甚至无法进入欧盟层级的讨论议程中。此次在《欧洲数字主权》中,欧盟决策者重申统一征收数字税的重要性,并提出在欧盟经济协调与发展组织(OECD)重新开始协商税收制度的制定,期望在2024年之前初步建成欧盟一体的数字税收框架。
3.2数据规则完善:透明、准入与协调在技术主权之外,进一步完善数据主权的制度体系是欧盟的战略目标。欧盟虽然通过《通用数据保护条例》一跃成为世界数据保护的标杆,但任何制度都不是完美与静态的,数据相关的产业、科技与应用不断发展,需要欧盟对数据相关的制度体系作出修正。数据决策透明、数字市场准入以及不同数据监管主体间的职能协调,都是欧盟数据规则完善的具体内容。
3.2.1 通过立法提升欧盟涉数据决策透明度 欧盟决策者认为,提升欧盟数字市场活力的基础在于建立值得信赖的且稳定的数据环境,个人数据保护、商业信息保密与数据业务投资都应当受到欧盟稳定且可预期的保护。所以,欧盟决定以列举数据权责清单、数据立法规划公开与涉数据政策公开征求意见等措施,提升涉数据决策的可预测性与稳定性,以此维护欧盟可信赖的数据环境,吸引欧盟内外更多个人与商业主体在欧开展数据业务投资。
3.2.2 数字市场获利者承担“数字守门人”职责 诸多学术研究与调研报告表明,对违法违规收集、处理或储存数据行为开展事后追究的成本,远高于有效的事前控制,并且造成的损失通常难以追索且难以量化[22]。因此在《数字市场法》中,欧盟通过法律明确数字守门人的基本概念、范围及其权利义务。数字守门人指至少控制欧盟数字市场某一细分领域的大型平台,该制度要求此类特定平台在享受市场地位的同时,承担更多平台监管义务,防止其对其他企业与消费施加不公正行为。数字守门人认定的量化标准包括平台年营业额、在欧月度活跃用户数量与预期支配地位等。一旦平台被认定为数字守门人,将承担诸如为企业用户提供平台内数据的使用权限;允许平台合作企业与其他平台签订合作协议;公开本平台算法平衡性的信息等义务。其目的在于把握大型数字平台市场权利与义务间的有机平衡,通过事前要求大型平台承担更多数据义务,以促进市场更为自由的竞争。
3.2.3 协调欧盟与成员国间数据监管机构的关系与职能,促进欧盟统一的数据治理与规则遵守 数据主权本质上是国家主权的构成要素,虽然欧盟成员国将部分主权交予欧盟促进一体化,但绝大部分国家主权的行使需要充分尊重成员国的意见。数据主权层面,欧盟各成员国享有境内的数据主权,可以创制有关法律与制度,大部分成员国设有数据监管机构,即成员国数据保护机构(DPAs)。例如德国在2018年12月决议建立科学数据管理体系,由德国研究联合会负责体系建设与数据管理,国家科学数据基础设施专家委员会则负责建设进程与数据使用的监督[23]。而在欧盟层面,根据《通用数据保护条例》规定,欧盟委员会负责制定或修订数据相关的法律与政策,欧盟数据保护委员会则有提供最优意见的职责,而数据保护监管局有相对独立的监督涉数据行为。
在欧盟的数据主权战略规划中,实现欧盟一体的数据治理,建设欧盟一体的数字市场是必须实现的目标。在《欧洲数据战略》中提出,将在未来完善更加合理的数据流动规则,通过欧盟与成员国数据流动标准的统一,促进欧盟与成员国间的数据分享与共同监管[12]。而在《2020-2024数据保护战略》中则提出数据保护监管局将与数据保护委员会、成员国数据保护机构密切合作,建立数据研究学者计划,以期为欧盟数据相关的决策与技术建设提供更为专业的意见[13]。可以预见的是,欧盟在未来将以整体的面貌统一行使数据主权,欧盟层级的数据监管机构将强化职能,整体提升欧盟的数据权权威。
3.3欧盟数据主权战略的主要特点
3.3.1 公民赋权引领数据主权战略 欧盟数据主权的显著特点是,坚持公民赋权在数据主权战略中的基础性与引领性。一方面,欧盟在数据规则体系建设中始终坚持严格的数据保护标准,使得欧盟成为世界数据规则的标杆与引领者,在欧洲议会官方报告中,欧盟决策者如是说道:“《通用数据保护条例》因其标准制定者的角色定位而受到称赞,并且已成为世界诸国法制改良的标杆。”[24];另一方面,技术主权建设坚持以人为本,着力引导对公民权利保障有益的技术研发,减弱生物信息收集、数据偏见算法等技术对基本权利的负面影响,探索真正“为人类服务的技术”[14]。基于此,欧盟的数据主权地位得到世界诸国的普遍认为可。
欧盟严格的数据保护标准是以《通用数据保护条例》为核心,允许各成员国在此基础上作出更加严格的保护性规定,以此形成了欧盟环境内数据权利保护严格化的良性循环。但咎由数据的跨区域流动性,任何地域内的数据都可能流向其他地域,各地区不同的制度环境导致数据保护宽松程度不同。所以欧盟内的严格标准,并不能保证其数据流动的安全性[25],欧盟需要与他国合作协调,建立数据安全性相互认证制度。而正是由于欧盟数据保护法规的标杆性,在《通用数据保护条例》制定后不久,日本、新西兰、加拿大与阿根廷等国便与欧盟达成协议[26],合约各国同意按照欧盟标准获取、储存、处理数据,欧盟的数据标准与数据主权得以向外扩张[24]。欧盟决策者希望到2025欧盟的数据保护规则将成为世界数据权利保护的绝对领袖,并成为更多国家数据制度建设可参照的模范[13]。
而在技术主权层面,由于欧盟现有数据科技发展相对较弱,欧盟决策者将技术主权发展目标设定为足以支撑欧盟数据自我监管,且服务于公民权利保障即可,并不奢求在短时内成为世界数据科技领头羊。总的来说,欧盟的技术主权战略主张就是通过数据技术发展与有关制度完善,提升欧盟官方、企业与公民对数据技术的信任度,以公民赋权为理念核心保障公民数据安全感。正如《塑造欧洲数字未来》中阐述,技术创新只是技术主权的一部分,如果欧盟期望实现真正的数字化转型,则必须使公民信任在欧的数据技术及其应用范式[14]。
可以说,无论从数据保护制度完善,抑或者是技术主权构建的角度审视,尊重公民基本权利,以公民赋权为战略规划的根本遵循,是欧盟数据主权战略的核心特征。
3.3.2 明确企业责任,鼓励市场竞争 在公民赋权引领性特征之外,明确数据市场内的企业责任,同时鼓励更加充分的市场竞争,也是欧盟数据主权战略的特征之一。在企业责任方面,《数字服务法》强化了数字平台打击平台内非法内容的责任,同时要求企业提升其平台算法的透明度,杜绝算法偏见危害消费者权益。与此同时,《数字服务法》提出除最小的平台外,任何欧盟数字平台都应当建立起有效的救济机制,保障平台内公民的数据权利。
当然在明确企业责任之外,欧盟决策者也期望通过更加充分的市场竞争,防止大型企业利用市场支配地位滥收滥用滥传公民数据,同时提升欧盟内数据的利用效率,具体措施包括完善数据共享制度,要求大型平台承担更多数据义务,同时计划开征数字税等。首先,欧盟通过《数据治理法案》支持促进公共机构共享使用其尚未公开的数据,同时设立第三方中介机构专职提供数据共享服务,为中小企业发展提供更多的数据资源;其次,欧盟在《数字市场法》中要求大型数字平台承担守门人义务,在数据共享、算法公开等方面作出更多努力,杜绝其滥用市场支配地位;最后,《欧洲数字主权》报告,提出正式将建设全欧统一的数字税制度纳入欧洲议会议程,期望对大型数据企业征收更多的数字税,为中小企业争取市场空间。
3.3.3 技术创新驱动数据主权战略 在大数据时代,独立自主行使的数据主权关键点也包括人才储备与科技优势,数据主权的战略核心在于如何提升数据技术的自主性。欧盟决策者认识到数据制度体系的完备性不足以支撑起其数据自治,必须与技术主权构建双管齐下,才能搭建起坚实的数据主权高楼。
但是当今世界数据科技市场已经被中美等国瓜分,譬如数据云储存与5G信息通讯科技等,用法律、政策帮扶欧盟企业夺取成熟科技的市场份额难度较大,投入产出比较低。因此欧盟决策者把目光聚焦在区块链、量子计算与人工智能决策等前沿科技领域。例如,欧洲议会在2020年7月发布了《人工智能与法律强制——对基础权利的影响》咨询报告,全方位分析了人工智能未来发展的可能方向,并结合新冠肺炎疫情暴发后的世界局势,有针对性地提出了六点政策意见,以期把握人工智能科技发展与公民基本权利保护的平衡[27]。在《欧洲数据战略》中也明确将定期地通过资金投入与政策扶植,鼓励欧盟资本研发前沿科技。
可以说,在顶层设计层面,欧盟已经做好争取下一轮技术发展主动权的准备,数据主权的最终确立也寄希望于欧盟主导的新科技成功研发,以技术创新驱动数据主权是欧盟战略的另一特点。
4 欧盟数据主权战略的启示
如上所述,欧盟数据主权的战略,主要包括技术主权构建与数据规则完善两部分。从中国视角出发,欧盟数据战略对我国的影响是多方面的,一方面,任何主权的行使都必将影响他国在其主权领域内的行为,目前我国数据存储、通信设施等高新技术产业在欧盟都有广泛的布局,欧盟期望扶植自主技术发展,必然冲击我国在欧的产业利益;另一方面,随着我国数据科技、制度与产业不断发展,如何维护中国的数据治理自立能力,成为我国发展战略的必然课题,比较欧盟数据主权战略,可以为我国数据治理提供有益借鉴与必要反思。
4.1认识数据主权的保护主义解读欧盟提出数据主权与技术主权的战略主张是基于当前国际网络空间形势作出的重要研判,是提升欧盟数据自治能力的必然举措。但随着全球信息科技革命深入推进,各国各地区为争取新科技革命时代话语权开展的主权博弈愈发激烈。欧盟是传统的经济发达地区,在数次工业革命中获得巨大利益,但在信息科技时代却明显落后于中美两国,提出技术主权战略正是扭转科技颓势的举措。但随着中美、中欧贸易摩擦加剧,欧盟技术自主意愿愈发强烈,欧盟对数据主权与技术主权战略作出保护主义解读的风险骤升。
法国国民议会网络安全委员会委员埃里克·博托雷尔毫不讳言地指出,出于“安全因素”考虑,法国将在未来逐步减少华为公司在本国5G通信设施建设中的作用,而削弱中国科技对法国的影响完全是“自然而然的事情”[28]。除此之外,欧盟决策者在多份官方报告中,不断呼吁通过在技术上减少对中国产品的依赖,实现欧盟的技术自立;欧洲议会甚至首次以“网络安全”为理由,制裁中国实体或个人[29]。种种迹象表明欧盟官方也倾向于对其数据主权与技术主权战略作出针对中国的保护主义解读,并以此制定对我国数据科技的排斥性政策。对此提出如下两点建议:
其一,正确认识欧盟数据主权与技术主权战略主张的必然性,并针对保护主义措施设计有效的反制措施。维护数据治理自主性,提出技术主权战略主张是欧盟决策者根据内外环境与技术现状提出的对策,对维护欧盟利益有积极意义。我们所能做的努力只有全面了解掌握欧盟的战略规划,并提出相应的反制措施。譬如,欧盟数字税的征收已成定局,但单边的征税行为是否违背国际贸易准则值得商榷,比如美国认为法国数字服务税立法行为违反两国间贸易协定,对法开展了301调查[30]。随着欧盟数字税制度日趋完善,我国也应当对其数字征税合法性开展审核,如有违背国际贸易原则或规则的情况,应当及时提出反制措施以维护我国国家利益。
其二,继续完善我国数据保护规则,确立严格的数据保护标准。始终以公民赋权为导向坚持严格的数据保护标准,是欧盟数据主权战略的重要特点,也是其主权宣言获得世界大部分国家认可的制度基础。我国是世界最大的发展中国家,在数据法制体系建设时,难免倾向于网络安全与数据产业发展等方面,相对忽略对数据权利保护与数据流动规则体系的完善。譬如《数据安全法(草案)》整体条文较少,且多为以数据安全为目的的抽象性、原则性条文,具体数据权利保障的规则相对欠缺。而欧盟也通常以我国数据保护不足为由,认定我国科技安全性为“不可信赖”等级[31]。在未来我国应当以欧盟为参照,以公民基本权利为引领,细化具体的数据保护规则,严格整体的数据保护标准。
4.2借鉴数据主权战略的良性因素
4.2.1 理解我国语境下的数据主权 在借鉴欧盟数据主权战略良性因素之前,有必要对我国语境下的数据主权概念做出辨析。欧盟的数字主权是指对所有数字行为的自我监管能力,而我国与之相对应的概念应当是网络主权,指我国具备对网络空间内所有行为的治理能力。不同于欧洲数字主权以公民赋权为基础的是,我国将总体国家安全观引领下的网络安全视作网络主权建设的核心理念。
2017年《网络安全法》正式生效,标志着我国逐步开展网络安全法制体系建设,此后《数据安全法(草案)》《电子商务法》《密码法》《个人信息和重要数据出境安全评估办法》《信息安全技术网络安全等级保护实施指南》等配套性的法律法规制定公布,我国已经建立起相对完备的网络安全与数据保护法制体系。分析上述法律法规的核心价值,不难发现我国数据规则的主要落脚点在于维护网络安全,在网络安全得到保障的前提下,更好保护其他主体的数据权利,国家安全至上是我国网络主权与数据治理的核心价值。
而与欧盟对数据主权相关概念理解相同的是,我国同样将网络数据治理视作网络安全(欧盟的数字主权)的构成要素。《数据安全法(草案)》第五条明确指出,本法“促进以数据为关键要素的数字经济发展,增进人民福祉”;而《网络安全法》则将维护数据安全与维护网络平稳运营,防范网络违法犯罪活动视作网络安全的战略任务。所以在我国,网络内的数据安全是网络安全的从属概念,而数据治理所代表的数据主权,同样也是网络主权的构成要素。而下文即将参照欧盟数据主权战略良性因素提出的举措,都是在网络主权框架下围绕如何实现最佳数据治理的探讨,并未突破网络主权的制度体系。
4.2.2 探索符合国情的数据监管模式 宏观层面上,大数据作为信息科技,对提升社会生产力,改善人民生活水平有积极作用,从人类社会发展的角度出发自然是一项“好”科技;但同时大数据也是一项工具,不同的使用方式当然产生不同的社会效果。譬如网络购物平台可以利用大数据分析用户喜好,实现广告的定向推送,为用户提供更加合适商品的同时提升企业经营效益。但诸如“大数据杀熟”等算法偏见,以及过度收集与滥用数据必然侵犯公民的基本权利,如此使用大数据技术的社会价值评价为“恶”[32]。所以,国家主权应当针对大数据的工具性设计相应的监管制度,以督促大数据技术应用“摒恶向善”。同时,大数据技术本质上是对信息价值的挖掘分析,可以用于社会生活诸多方面,不同行业与领域对数据的价值需求、挖掘方式与使用途径大相径庭,不可能由单一的主体实现多元的监管。我们可以充分理解大数据的工具性与行业差异性,以构建全方位、多主体的数据监管模式。
其一,厘定数据管理职能与数据监督职能。所谓数据管理职能是指数据规则制定与指导数据活动的权力,主要包括制定数据行业标准,审核数据服务提供商准入资格,对各主体使用数据提供指导性意见等具体工作,是对特定区域内数据行业开展宏观调控的管理机构,此类机构通常具有行政性。而数据监督职能则是指相对独立的机关、委员会或个人,对具体领域内数据相关行为开展的审核与追责的权力,主要负责数据行为事中审核与事后追责,监督对象既包括数据管理机构,也包括其他数据收集者、储存者与处理者,监督权的权力属性要求数据监督主体以客观公正的姿态执行监督职能,此类主体通常有司法性。
我国《国家安全法》与《数据安全法(草案)》颁布后,中央国家安全领导机构负责数据安全工作的决策与统筹,各地各部门对本地区本行业的数据工作负主体责任。是由于我国尚未建立起完备的数据监督规则,各领域各行业内大数据工具的使用仍然自用自监,缺乏有效的外部监督。目前我国大数据侦查活动尚未建立有效的外部监督机制,承担监督职责的主要是机关内的纪检监察与法制部门,但是此二部门的监督工作并不专门针对大数据侦查,并且行政级别不高于侦查部门,要求其实现对大数据侦查活动的有效监督难度较高[33]。因此,各领域、各行业的数据监督制度亟待完善。
其二,数据监督主体的多元化。在《欧洲数据战略》中提到,欧盟将反思与重构数据监督模式,但主要是概括性的设想。就目前而言,官方层面,欧盟的数据监督机构是相对独立的欧洲数据保护监督局(EDPS),主要负责对数据违法行为开展追责,监督新技术对数据权利的影响,为欧盟与成员国的数据决策提供专家意见;同时欧盟法院有权裁判数据侵权的集体诉讼案件,通过判例指导全欧数据保护工作;各成员国也可以依照国情建立相应的监督机构。民间层面,在战略规划中,欧盟将在未来更加重视数据提供者(即制造数据的公民或商事主体)的意见,邀请公民与民间组织成为数据相关工作的监督者;《通用数据保护条例》也赋予公民对数据收集的知情权与数据处理权,其中个人数据的删除权(被遗忘权)的构建方式也被诸多学者所倡导[34]。
总而言之,欧盟构建了官方与民间对数据的双向监督制度体系,同时充分发挥民间主体的监督作用,可以有针对性地解决不同行业间与领域内的监管效度问题,为我国数据监督制度的完善提供了有益参照。
官方层面。一方面,可以参照欧盟建立相对独立的全国性数据监督机构,指导各级政府的数据监督工作,同时负责对数据管理机构制定的数据行业标准与标准执行情况开展审查。另一方面,完善国家机关使用大数据技术的监督制度,譬如智慧政务与大数据侦查等国家行为。目前而言,我国已建立起较为完备的专门监督体系,人大监督、监察监督、法律监督与审判监督等专门监督方式多向并行,构建了国家权力监督体系。所以,国家机关使用大数据的监督,不必再另行设立专门监督机构,只需赋予国家各监督机关对数据技术使用的监督权限,并在各部门法中针对性设立具体的数据监督措施即可。可以建立诸如数据技术应用备案制度,政府数据云储存,数据使用审核机制等。
民间层面。一方面,大数据科技可以应用于社会生活诸方面。随着科技的发展,人类社会必然与大数据深度交融,但社会各行业、各领域大数据的应用方法不尽相同,由国家权力针对各行业设立专门的数据监督规则难度太高。可以由各级政府鼓励帮扶各地的行业自律组织,依照本行业的具体需求,积极制定行业数据自律规则,自发监督特定区域与行业内的数据收集、储存与处理行为。另一方面,公民个人作为数据提供的主体,理应享有更多的数据权利,并参与到数据监督中,民主治理也是数据主权的重要内容。首先,我国应当建立涉数据决策公开听证制度,邀请民众代表参与到数据的立法与政策制定过程中;其次,可以研究如何赋予公民更多的数据权利,例如欧盟所倡导的公民个人数据处理权,提升公民对个人数据的自决自控能力,也是防止个人数据被滥收滥用的有效措施;最后,政府应当加强各类数据的公开共享,包括政府数据平台与商事数据的共享规则,使得商事主体与公民可以更加便利地获取数据资源,尽量减少政府与其他主体的信息鸿沟,减少大型企业利用数据优势建立垄断地位的风险。
4.2.3 强化企业数据责任,促进市场良性竞争 在数据监管模式之外,正确引导商事主体数据行为,营造良好的数字市场环境,也是欧盟数据主权战略的良性因素。
其一,明确企业数据责任,完善数据责任追究与权利救济制度体系。建议我国完善数据市场量化的准入标准,同时要求企业承担数据责任,譬如建立平台算法审查机制,企业将算法数据交由数据管理部门定期审核其公正性,及时纠正违背社会秩序或偏见算法;同时,要求企业为犯罪侦查、科学研究、学习交流等公益目的增设专门的数据共享接口,促进数据资源的共享;除此之外,应当要求绝大部分网络平台建立健全申诉救济机制。
其二,引导数据市场良性竞争,鼓励科技创新。我国是数据科技发展较早的国家,数据产业发展格局也已初步定型,大部分数据市场份额已经被阿里巴巴、腾讯、华为、字节跳动等大型科技企业占据,但与之相应的我国并未针对数据科技企业构建起完善的反垄断制度体系。建议我国参照欧盟《数字市场法》,明确大型数字平台的认定标准,并要求此类平台承担更多的数据义务。譬如可以要求大型平台将数据共享至中小型平台,大平台不得要求其客户禁止与其他同类平台合作,同时将数据算法在特定范围内公开,以供其他主体审查其算法公正性。