B2B场景下非个人数据共享
2021-01-07马斌
马斌
摘 要:在时间是关键因素的B2B场景下,非个人数据聚合为数据池才能为各个利益相关方带来利益,而可携权在这方面并不起作用。吸取可携权之教训,数据共享规则需要按照市场原理去设计。首先,当参与数据共享的各方之间存在共享数据的动因时,中立的第三方中介机构可以重新组织市场以克服市场失灵之处,吸引各方汇聚为数据池。其次,当存在反竞争之情形时,竞争法规则即可适用。最后,由于竞争法适用具有事后性并且耗时长,事前监管措施即可弥补该缺点。事前监管措施主要体现为强制性共享数据,多发生于没有数据共享之经济动因的场景,旨在促进公共利益以及基于数据的政府、社会治理。
关键词:非个人数据;数据共享;竞争法;事前监管;访问权
中图分类号:D 912 文献标志码:A 文章编号:2096⁃9783(2021)06⁃0029⁃11
引 言
2015年,欧盟提出了“单一数据市场”战略。2016年,欧盟议会通过《通用数据保护条例》(以下简称GDPR),旨在建立统一的个人数据保护法律规则,为欧盟企业创新发展和促进“数字单一市场”创造法律环境。欧盟认识到,数据驱动创新是推动欧洲经济增长和就业的关键因素。在线收集的和物联网设备生成的数据,以及大数据分析工具和人工智能应用程序的可用性是关键技术驱动因素。数据是一种非竞争性资源,这使得同一数据支持若干新产品、服务或生产方法的创建成为可能,使数据的价值可以得到社会化最大利用1。因此,2018年,欧盟发布《非个人数据自由流动框架条例》[1],旨在消除欧洲成员国和IT系统之间非个人数据自由流动的障碍,以构筑欧盟数据经济。欧盟委员会的这些研究促使欧盟在2020年再次提出新《欧盟数据战略》[2],概述了未来五年的数據经济政策措施和投资战略。欧洲数据战略旨在建立一个单一的数据市场,确保欧洲的全球竞争力和数据主权。欧洲公共数据空间将确保更多的数据可用于经济和社会,同时使生成数据的公司和个人保持控制。
GDPR第20条规定了个人数据可携权,最大化了数据主体对个人数据的控制,即控制者对个人数据不具有控制权,仅负有配合义务,由此避免控制者争夺用户数据,促进数据流动、竞争以及创新[3]。这就创造了一个迂回的B2C2B渠道,以克服个人数据共享的障碍。它可以被视为促进数据共享和竞争的工具,同时也是赋予数据主体的一项基本权利。数据主体像是个人数据权利的“自然方”。但是,目前关于非个人数据可移植性的法律规定却尚未建立,没有在收集数据的一方与有权访问数据的一方之间建立明确的法律联系。非个人数据通常是共同生成的,可供多方访问,没有一个“自然方”可以对其主张权利。因此,引入非个人数据的所有权之想法已逐渐消失,现在已由访问权取代。如同当年欧盟创设个人数据可携权一样,也是从访问权的分配着手,并未建立所有权,只是在最终的条例(GDPR)中将可携权从访问权中独立了出来,并对其作了延伸性规定2[3]。同样的问题再次摆在我们面前,并且难度升级:在无法确定、识别非个人数据的“自然方”的前提下,如何在多个利益主张者中确定访问权的享有者,抑或是否需要规定非个人数据的可携权?
非竞争性是数据共享或数据再用(re⁃use)所带来的经济福利收益的根本驱动力。如果一家公司收集的数据可以用于多种目的,那么如果其他公司能够访问和使用这些数据,以生产出原始数据收集者所没有想到的创新性数据服务,这将为社会节省成本。但是,正如欧盟委员会的数据战略中提到的,目前许多数据仍然被锁定,无法用于创新性的重复使用。它确定了数据共享的几个障碍,包括企业之间缺乏信任、市场力量不平衡、缺乏数据互操作性以及缺乏增强个人或企业行使数据权利的工具。因此,数据共享还可能会给数据控制者带来经济损失3。是否参与数据共享,则需要数据控制者将从共享数据中获得的利益与共享数据可能产生的成本间进行权衡。收益将刺激数据共享的私人市场,而成本将限制数据共享。
本文立足于市场失灵的角度,法律应仅在市场未提供基于最大化数据共享量的社会福利时进行干预,界定不同数据控制者之间的关系,同时考虑数据共享的成本和收益。而在分析该问题之前,个人数据访问权(尤指可携权)的分配规则(亦为流动规则)的理论与实践情况为我们提供了一个可供借鉴抑或检讨的视角。
一、可携权配置规则的不可借鉴性
(一)以数据主体角度构建可携权规则不能发起数据流动
GDPR第20条规定:“满足以下情形时,如果数据主体向某数据控制者提供了与其有关的个人数据,那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据;同时,数据主体有权将这些数据转移给其他数据控制者,原数据控制者不得进行阻碍。”在40多个国家和地区立法例中,只有少数对该项权利予以明确规定,如巴西2018年的《统一数据保护法》(LGPD)、印度2019年的《个人数据保护法》(草案)、菲律宾2012年的《数据隐私法》以及泰国2019年的《个人数据保护法》。为何只有少数的几个国家规定了可携权,这不禁令人深思。
个人数据可携权配置规则的逻辑起点在于从数据主体的角度重构个人数据的权属规则(同时也是流动规则),进而界定数据主体与数据控制者,以及不同数据控制者之间的关系。该项权利的权属规则可细分为权利客体、义务主体以及权利内容三个维度,并且正是这三个维度赋予了可携权这一种类所有权之属性,从而阻碍了个人数据流动。
1.维度之一:权利客体范围过宽
各国对个人数据范围进行了相似的规定,均要求个人数据应当限于与数据主体相关、由数据主体提供给数据控制者的范围内。
表1 个人数据的范围
[个人数据的范围 国家/地区 数量 数据主体的相关个人数据 欧盟、印度、泰国 3 已由数据主体提供给数据控制者 欧盟、印度、泰国 3 ]
如表1,欧盟表述为“数据主体提供给控制者的相关个人数据”,欧盟第29条工作组(WP29)认为应当对“提供”作广义理解,指数据主体有意和主动提供的个人数据,并且通过服务或者设备所提供的观测数据也应当包括在内,但应当排除“推测数据”与“派生数据”。印度规定的是“向数据受托人提供的个人数据”“数据受托人在提供服务或使用货品的过程中所产生的数据”以及“构成数据主体任何简介的一部分数据”;泰国规定为“与其相关的个人数据”“根据本法规定同意收集、使用或披露此类个人数据,或根据第24(3)款豁免同意要求的个人数据,或委员会所规定的根据第24条所指的任何其他个人数据”。
可以看出,数据可携权中的个人数据范围,并不是局限在狭义意义上数据主体所提供或者上传的数据,而是偏向于广义上之理解——与数据主体相关的个人数据,但并不包括数据控制者通过对数据主体所提供的数据进行推导或分析而获得的数据。后者通常表现为数据主体的行为数据,即数据控制者通过记录主体行为而得到的数据,包括位置数据、通过可穿戴的便携式设备记录的健康数据抑或在线网络浏览历史等。
而若采取广义上的个人数据之理解,那么涉第三人的数据以及关系链数据是否也需要纳入该项权利的客体范围?一旦采纳该观点,那么就会有侵犯第三方数据主体的基本权利以及企业的商业秘密之风险。
2.维度之二:权利内容不明确
表2 权利内容
[行使的权利内容 国家/地区 数量 获取个人数据 欧盟、印度、泰国、菲律宾(副本) 4 直接将个人数据转移至其他的数据控制者 欧盟、印度、泰国、巴西 4 要求数据控制者提供的个人数据格式 欧盟、印度、泰国 3 ]
一般情况下,数据可携权的权利内容包括两点。一是数据主体有权从数据控制者处获取或者取回个人数据。2012年菲律宾的《数据隐私法》中明確规定要求控制者提供个人数据的副本,并且该副本可以满足主体的进一步使用需求。在欧盟第29条工作组(WP29)中提到,数据主体有权接收数据控制者处理的有关其个人数据的子集,并且将其存储供个人进一步使用。可以看出这一权利内容从性质上属于访问权的补充,数据主体可以在一定条件下获取个人数据并管理使用。
二是有权要求直接将个人数据移转至其他数据控制者,使个人数据在控制者之间更安全地共享,从而提升数据主体服务体验感。数据主体有权要求数据控制者将获得的个人数据整理为特殊格式。例如欧盟规定的“普遍使用的、机器可读的”个人数据;泰国规定的“可读或以通用的自动工具或设备格式,并能以自动化方式使用或披露的格式”。尽管菲律宾并未在个人数据格式上作特殊规定,但在适用情形中要求个人数据是“以电子或者结构化格式”进行处理的,并且委员会可以指定格式,传输的技术标准、方式以及程序。从各国对数据格式的要求可以看出,其目的在于尽可能地统一数据的传输标准,降低数据传输成本。一方面,对于数据主体而言,在获取数据时易于管理与使用;另一方面也有利于实现将个人数据从一个数据控制者传输至另一个控制者不受阻碍的目的。
然而,这一要求的前提在于技术可支持。例如,欧盟规定的“技术可行时,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者”。印度则在限制权利行使情形中规定“技术不可行的”不适用;泰国规定的“除非由于技术原因无法获取”。因此,尽管该格式要求是为了促进控制者对可互操作性的格式进行开发,防止控制者在这一过程中设置传输障碍,但是,这也并未要求数据控制者有义务采用或者维护技术上兼容的处理系统。因此,“技术可行”需要进行个案分析。
对于“无障碍”之理解,WP29解释道:“无障碍”应做狭义理解。GDPR只鼓励数据控制者采取可互操作的格式,方便数据主体传输和重新使用数据,并没有要求数据控制者开发进出口系统(EIM)[4]。这降低了企业的成本。但是,WP29建议应当满足“互操作性”,该要求有可能会威胁到个人数据安全,特别是在技术能力和控制成本有限的中小型企业中,有可能会增加个人数据泄露的风险。
3.维度之三:义务主体范围过宽
竞争法规制的是滥用市场支配地位行为,因此在相关产品市场中具有一定的市场支配地位是判断违反竞争法的关键一步。而可携权之义务主体并未区分对象,而是适用于一切数据控制者,包括中小型企业,这就为其设置了过高的门槛。对于消费者而言,企业为满足数据可携性要求而付出的巨大成本最终都会转移到消费者身上,从而也会降低消费者的福祉[5]。
(二)可携权之反思:回归竞争法规则并加强事前监管
在大数据时代,数据是被生产出来的,即对特定对象的描述或者关于某对象数字化记录,由此将数据所描述的对象称为数据源,而将描述或数字化记录本身的过程(与描述对象的分离)称为数据生产[6]。因此,在数据生产过程中,数据主体只是提供了一个可供描述的对象,而数据控制者则投入了大量的人力、物力将该对象数字化记录,形成可机读的原始数据。这也是国内外正在呼吁为数据控制者赋权的根本原因所在。在这种情形下,数据主体将获得的副本直接授予另一位控制者使用,无疑侵害了前一控制者的利益,不利于市场的有序竞争[7]。尽管数据主体应当参与到因处理数据而产生的收益分配中,这也是贯彻了经济合作与发展组织制定的《隐私保护和个人数据跨境流通指南》所规定的八大原则中的“人人参与原则”,但是数据主体应当在何种情形下或者在多大程度上参与这种分配却难以界定。至少就GDPR实施的效果来看,不应将数据主体置于数据共享发起者之中心角色,即不应赋予其较大控制力。这是因为,将个人数据商业化利用者为数据控制者,数据主体难以理解变化复杂的商业政策以及隐私政策,仅仅依靠“告知—同意”框架,难以有效保证数据主体知悉数据控制者的使用目的。而数据代表着时间,数据使用是具有排他性的,体现在企业访问和分析数据的速度上。数据主体面对无数个“告知—同意”选项,有限理性的存在意味着难以通过信息披露的方式激活竞争机制的约束效用,其后果会影响中小型企业的经济效益或造成“强者恒强”之局面。
竞争法鼓励动态创新,主要考虑创新对公民长期福利的影响,而非单一的消费者福利。竞争法一般赋予成功的创新者从其资产中排除竞争对手的权利,从而补偿其发展风险。而可携权违背了竞争法的这一基本原则,并倾向在存在市场竞争的地方减少创新。因此,解决之道就在于将本属于竞争法所规制的对象还原回去,即将可携权所规制的对象还原给竞争法。而这就需要削弱数据主体的控制力(即削弱可携权),不能让数据主体充当数据共享的发起者,应让数据控制者成为数据共享的发起者。
削弱可携权的切入点在于厘清可携权与访问权之间的关系。两者之间的关系可归纳为两点:其一,访问权是可携权的前提,只有在访问的基础上明确知道自己上传和被收集的个人数据,方能进行下载和转移;其二,可携权是访问权的延伸,在知道和了解自己个人数据的基础上,数据主体可以通过下载和转移的方式,让自己或第三方控制者深挖自己的个人数据,从而分享大数据流通的增值蛋糕。若用一个公式來表达两者关系,则为:访问权(A)+数据转移之决定权(B)=可携权(C)。由此观之,赋予数据主体以数据转移之决定权(B),恰恰就是阻碍数据经济的问题根源,即“将本属于市场的东西给了个人”。因此,按照市场原理,须要去除数据转移之决定权(B),结果为仅剩下访问权(A),而这就回到了立法之初。事实上,访问权与更正权、删除权等权利并列,共同构筑了数据主体的一系列防御性权利,保护个人免受数据处理行为的侵害,即可达到保护个人权益之目的;若继续赋予数据主体以转移决定权,就会使得个人利益与社会利益失衡。
但是,由于竞争法规则通常是事后的,并且案件时间耗时长,这与数据战略相悖。因此,事前监管规则不可或缺,且域外已经着眼于事前监管规则。意大利通信管理局(AGCOM)是监管机构之一,根据意大利的《电子通信法规》(8月1日第259号立法法令),AGCOM必须确保作为大数据支柱的通信服务的市场准入;这种获取必须符合客观、透明、非歧视和相称性的标准。此外,为了克服执行基本设施原则所带来的困难,其他国家监管机构(例如法国)也制定了新规则,要求私营企业在符合公共利益的情况下开放其数据[8]。由此观之,事前监管在非个人数据访问权配置规则中扮演重要角色。
二、非个人数据共享规则之设计——基于市场原理
在物联网设备所生产的非个人机器数据之情景下,情况将变得更加复杂,因为目前尚无明文规定在数据控制者一方与数据访问需求者一方之间建立明确的法律联系。并且聚合范围经济是数据经济的命脉,即只有在汇集多个独立且互补的数据集的情况下,才能从其中获得更高的价值。而事实上排他性控制数据的持有者不一定是从数据中获得最大利益的一方。因此,如何分配数据访问权以促进数据共享4[9]是开展数据经济的关键所在。而该问题的解决,需要吸取可携权之教训,即应按照市场原理去分配访问权,从而促进非个人数据共享。
(一)一级数据收集市场与二级数据利用市场之间的协调困境
从一家私营公司(企业1)的角度出发,假设该公司收集相对稀缺的数据集(D1),且没有相对紧密的替代品。因此,该公司受益于垄断市场地位。我们假设企业1使用D1生产服务S1,因此,D1和S1的生产是垂直整合的。D1可以独立于S1收集,也可以是生产S1的副产品。例如,在提供电子商务或社交媒体服务时收集的消费者数据5。假设D1可以被企业1或另一个企业2重用以产生另一个服务S2,或者需要将D1与企业2拥有的另一个数据集D2聚合(聚合范围经济)以产生服务S3。为了使社会从D1可能产生的潜在范围经济中获得社会福利收益,S2必须由企业1或企业2生产,而S3的生产需要企业1和企业2之间的协调。可能阻碍实现范围经济的障碍有以下三点:
1. S1和S2之间的替代效应对D1再利用的影响
如果S2是S1的竞争替代品,则企业1将试图阻止S2的生产,因为它破坏了其自身服务S1的市场。例如,汽车制造商将不愿意与独立的维修服务提供商共享汽车维修数据,这些服务提供商将与自己的官方经销商竞争;如果S2是S1的补充,企业1有动力促进S2的生产,因为它将增加S1的销售。例如,汽车保险和导航服务是汽车销售的补充。汽车制造商有动机使用数据来降低成本和提高这些售后服务的质量,因为这会增加汽车销售量;或者,相对于S1,S2可以是中性的,既不是互补物,也不是替代物。例如,移动电话服务运营商生成的移动性数据可用于增强城市交通管理,该服务既不具竞争性,也不补充原始用途。出售用于交通管理的移动性数据,将为移动电话运营商带来纯粹的额外收入。
总之,如果S1和S2是紧密替代品,则可能无法实现数据重用。这可能给社会造成福利损失,尤其是在当替代品会增加下游服务市场的竞争时。这样的例子包括汽车维修、支付服务和能源分销市场中数据驱动的竞争。
2. 企业1和企业2之间的数据交易或垂直整合,以生产S2
企业1的第二个问题是内部生产S2还是将对D1的访问权出售给企业2以生产S2。这是一个垂直整合的问题,答案取决于哪种选择对企业1来说是最有利可图的。由于重复使用D1生产S2的边际成本接近于零,盈利能力将由企业1提供给企业2关于D1的访问权而获得的垄断价格决定。其一,如果企业2可以获得替代数据集D2来生产S2,则D1的定价必须考虑替代数据集D2的成本。D2可能是一个不完美的替代品,它产生的服务质量较低,而S2的市场价格较低。例如,汽车保险和导航服务的生产商可以转向汽车导航数据的替代供应商,如移动电话运营商,以生产竞争性服务。不过,汽车制造商可能会决定,他自己的服务S1可以与S2竞争,而且这种选择比销售D1更有利可图。数据收集市场和二级利用市场的市场状况将影响企业1出售D1的定价策略。其二,如果没有替代数据集D2,企业1垄断了生产S2的“基本设施”,并可能以垄断方式对D1定价。这就导致了市场扭曲。
除了数据交易,企业1与企业2还可以合并以产生联合服务S2。De Cornière和Taylor研究了企业合并对一级市场(投资收集D1的动机)以及对二级市场竞争的影响[10]。在二级市场中,D1被重新用于生产S2。他们发现,如果数据交易不可能,合并会增加消费者福利,因为它会增加数据驱动的S2的市场竞争。如果数据交易是可能的,合并会降低收集更多数据的动机,从而减少S2市场的竞争,因为与没有数据交易的情况相比,S2中可用数据的质量和/或数量会降低。
在将数据出售给企业2以及企业合并之间可能还存在中间解决方案,即第三方平台的引入。例如,大型在线消费者平台可能向声称可以使用D1产生S2的潜在创新者企业2授予临时和有限的数据访问权。企业2可以在企业1的服务器系统中进行数据分割,以避免数据泄漏风险;并在有限的时间内试用S2市场中的数据[11]。如果创新成功,两家企业可能会采用事先约定的协议来分割收益。如果不成功,则仅关闭数据访问。该平台还可以允许将数据临时传输到企业2,以在开发新服务时尝试对数据进行创新使用。在没有先前协议的情况下,数据持有者可能会切断创新者的数据访问权限,免费搭创新者的便车,而不会产生给予补偿。但是,正如Facebook和Cambridge Analytica案所示,数据泄漏和滥用的风险可能很高。
3. D1和D2聚合产生的外部性内部化,或企业1和企业2之间协調产生的利益
第三个问题在于,S2的生产需要企业1自身所没有的补充性投入。如果这些补充投入的市场具有竞争力,它可以购买这些投入,以确保S2的内部生产。即便如此,这些投入也可能存在固定成本和规模经济,导致市场不完善,因为获得投入对企业1来说成本过高。在这种情况下,企业1最好把D1卖给已经有这些互补投入的企业2。因此,固定成本可能是双向的。数据收集中的固定成本可能会使企业1在生产S2方面具有优势。但互补资源的固定成本可能会将这些优势转移到其他企业。这将影响企业1内部生产S2,以及与另一家企业交易数据D1以生产S2之间的切换。
如果补充投入品的市场是垄断的,则企业1与数据垄断者和将必须达成协议,共享各自的生产要素,以生产S2。在经济学上,这被称为“反公地悲剧”问题,而这通常会导致战略行为,即每一方生产要素的所有者试图将自己的利益内化并向他人施加外部性成本。这导致了帕累托次优的解决方案,因为所有(事实)排他权利的持有者都旨在最大程度地提高自身利润并设定垄断价格。结果就导致数据资源利用不足,S2将不会被生产,或者只生产出次等的质量和数量的S2。 除非有基于市场的解决方案来克服这种协调失败,否则可能需要采取政策干预措施。当新服务S3的生产需要D1和企业2拥有的另一个垄断数据集D2的补充输入时,就会发生特定情况。这是数据聚合范围经济的典型情况。企业1和企业2需要达成协议,作为生产联合服务S3的先决条件。
上述三个问题揭示了数据持有人的市场力量如何阻止在数据的重复使用和聚合中实现范围经济。数据市场失败的根源,如外部性、市场力量不均衡、生产力缺失、交易成本以及信息不对称,它们往往相互重叠,干扰数据市场之运行。除此之外,不完备合同也是一个巨大的障碍物。
在传统合同法中,意外的成本和收益被分配给交易货物或服务的所有者。由于现行法律中并未明确数据权属,因此很难应用该解决方案。此外,双边合同不能针对第三方执行。如果数据泄漏给第三方,原始数据生产者将再次面临非排他性风险,这可能会削弱数据共享的动力。
谈判、编写和监视数据共享合同的执行成本很高。编写一个可以预见所有可能情况的合同将带来巨大的成本,导致事前交易成本和事后执行风险可能很高。在市场上签订合同的成本越高,越有更多的企业想要规避市场并保持内部交易[12]。这样的后果为,(大型)企业内部积累的数据过多,反过来又重新带来市场失灵的新根源,形成恶性循环。
(二)第三方中介机构可以克服市场协调困境
有许多例子表明,私营企业和市场通常能够克服协调问题,即在第三方中介的帮助下实现数据聚合的范围经济。第三方可以充当中间人,采用新的技术和方式组织市场,以减少和弥补以前的市场失灵,促成以前不可行的交易。例如,汽车制造商只能访问来自其自己品牌的汽车的导航数据,而不能访问其他品牌的汽车的导航数据,这使得难以生成准确的交通拥堵图。几家制造商可以通过第三方联合导航服务中共享汽车导航数据,从而提高导航服务的质量[13]。
从经济学视角看,第三方中介机构的出现其实是规模经济原理运用之结果。新制度经济学家巴泽尔以合同视角描述了规模经济之构造。一项资产往往有多重属性,以一台大型设备的产权为例,通常一台大型设备需要多个掌握不同属性的技工一起操作,才能最大程度利用以及维护该设备。若不对个人行为约束,结果就是削弱对机器进行认真操作和维护的行为进行激励。而解决之道就是将这些技工变为雇员,通过特定合同来划分相应的职责。这就是巴泽尔产权理论下企业的形成,即规模经济原理运用之结果。转换视角来看规模经济原理,其实该原理就是旨在解决可信的问题。无论是设立企业,还是第三方中介,均旨在通过这样一个可信的平台,得以约束特定组群体,进而实现资源最大化利用。
数据信托和工业数据平台符合这一特点。为了保证执行数据共享合同,中介机构应该保持中立,对数据或分析结果没有利害关系。这避免了以牺牲数据使用者利益为代价的战略行为。中介机构只应获得一个固定的报酬,以产生预期的结果,这使其能够作为一个可信的服务提供商。并且,中介机构可以强制执行合同,因为他完全控制了数据和对服务器的访问,这降低了合同签订后的风险和合同监控成本。通过这种方式,中立的第三方中介机构可以克服数据市场失灵。
但是,由于对适当数据和合作伙伴的搜索成本以及双方之间谈判合同成本之存在,因此可能会产生过高的前合同交易成本。要克服该问题,就需要一个更加活跃的中介机构,该中介机构在达成数据提供商与(再)使用方之间的B2B数据交易方面具有利益,但在数据传输的内容方面则无利害关系,从而避免了中介机构的战略行为。
第三方B2B数据共享平台在相互知悉的封闭用户组中可能比在开放性用户组中更为成功。例如,哥本哈根的Hitachi B2B数据平台并不成功,因为数据供应商不愿将数据重用的控制权移交给中立的中介平台。重用可能会对数据提供者产生负面的外部影响,或者他们可能会错失通过数据共享交易获得更多收益的机会。
尽管存在降低交易成本的障碍,但第三方中介机构可以为促进B2B数据共享交易做出积极贡献。活跃的中介机构可以通过在数据共享合同中提出标准化条款来降低前合同交易成本,以促进谈判。这似乎是欧盟委员会在其工作人员工作文件(2018b)中的意图,该文件为数据持有人与下游用户之间的B2B数据共享合同提出了非约束性指导原则。其中包括:(1)有关可以访问数据的实体的透明度,详细信息的类型和级别以及使用数据的目的;(2)尊重彼此的商业利益和对数据的价值贡献[14]。这些原则纯粹是针对数据交易者的规范性准则,且没有法律约束力,但可能会被数据共享合同所包含。标准条款减少了谈判合同的成本和难度。
中间平台还可以通过制定互操作性标准,从而降低交易成本。标准的制定可能自下而上,由市场力量驱动;也可能由监管机构自上而下实施;或可能通过中介机构,从单一企业到公认的国际标准制定组织(International Standard Setting Organisations,简称SSO),以半官方的方式促进标准的出现。SSO有助于克服市场协调失败[15]。
总而言之,从经济角度来看,第三方可以通过多种方式促进企业间的B2B数据共享,包括:(1)降低事前交易成本和事后合同风险;(2)克服协调问题;(3)充当合同执行工具并促进私人主体之间的自我监管;(4)制定互操作性标准。在推广第三方中介机构的同时,法律也必须为其设定中立性运营的义务。
(三)事前监管措施之设立
正如可携权只定义了最低的互操作性要求,但并不是为实时访问和流程互操作而设计的。在时间是关键因素的情况下,很难应用于B2B数据共享场景。强制实施必要的基础架构和互操作性要求的事前监管措施对于实现实时访问将是必要的。
1.数据访问权配置给数据使用者或再用者
尽管第三方中介机构可以克服市场协调问题,但仍不足以解决所有的数据市场失灵,因而更积极的事前干预是必要的。这首先可以通过竞争政策来实现,竞争主管部门进行事后干预,以根据具体情况纠正市场失灵。然而,有些市场失灵可能在更大范围以及经常性发生,竞争法规则可能还不够。在这种情况下,立法者可能有必要事先制定强制性规则,减少数据持有者对数据事实上的排他性控制。立法者可以对数据持有人施加义务,并将访问权分配给数据市场中的利益相关者。
欧盟委员会于2020年打算澄清物联网机器所生成非个人数据中的数据使用权6[2]。在数字世界中,信息不对称几乎是自然状态,扭曲了有效的决策。重新分配数据访问权限可能会影响市场结果。当数据生产者没有强有力的激励措施时,监管机构可以直接向数据使用者或重用者授予特定的数据访问权。对于机器生成的非个人数据,并不总是有一个“自然方”可以天然地主张数据访问权。机器制造商在设计机器时享有特权,他对数据拥有排他性控制权。在这种情况下,最好将访问权限从机器所有者、操作员处转移出去,并将其直接分配给特定的数据使用者或重用者[16]。
例如,在汽车行业,立法者要求汽车制造商与维护服务提供商共享维护数据,以促进授权经销商和独立服务提供商之间的竞争。制造商没有这样做的动机,因为这削弱了其特许经销商的市场地位。维修服务競争带来的消费者福利收益证明了这一决定的合理性7[17]。
农业数据的例子也说明了这一点。农民可以是机器的主人或操作员。他可以在自己的土地上或租赁的土地上使用机器。机器的操作可由农民、机器所有者、机器制造商或土地所有者签约的第三方服务提供商产生的数据分析驱动。每一方都可以要求访问数据。技术保护措施和双边合同将决定谁有权访问数据。数据访问和交易取决于缔约各方的谈判和市场力量。因此,作为数据发起者一方的农民,就会减少对数据驱动的需求。这解释了为什么欧盟农业产业组织提出了一个自发的《数据行为准则》,试图模仿GDPR式的同意权、访问权和可移植权,并将其分配给农民[17]。但与GDPR不同的是,该准则并非将权利定性为基本人权。因此,它在将这些权利赋予作为数据发起者的农民的同时,允许将访问权赋予机器所有者和操作员,并且规定权利可以交易,并受制于双边谈判的合同条款和市场力量。
总而言之,当作为数据发起者的一方没有私人动机将数据移植给另一个服务提供商时,最好将数据访问权转移出去,直接分配给数据使用(重用)者。这需要第三方的强制访问权限。这是因为,数据发起者在数据共享中不起作用。数据共享可以由数据使用者直接启动。这种访问权分配方式所带来的社会福利收益证明了该解决方案是可行的。在这种情况下,当净社会福利收益超过私人成本时,立法者或监管者可能会强制实行数据共享,尽管这将需要从数据提供者向接收者进行福利再分配。
2.强制性共享义务的设立
关于解决数据市场失灵问题的竞争干预措施,最相关的两种情况是:针对具有市场力量的企业滥用支配地位拒绝提供数据的干预措施;针对歧视性价格或支配地位企业获取数据的其他不公平条件的干预措施。
针对第一种情况,我国学者也在尝试界定数据市场中的“滥用市场支配地位”[18]。只要界定出“滥用市场支配地位”,竞争法干预就是可行的,本文不涉及此问题。
而第二种情况则与占支配地位的企业允许访问数据的价格有关。在这方面,Drexl指出,华为的判决可以作为数据访问权案例的启示。在该判决中,欧盟法院建立了一个基于公平合理和非歧视条款的标准基本专利许可谈判框架[19]。如Tombal所解释的那样,这也可以适用于数据的谈判框架:一旦数据访问权需求者表示愿意为数据支付公平的报酬,数据持有人必须提交具体的书面报价,说明价格以及计算价格的方式;接下来,对于寻求访问权限的人来说,要真诚地对这个提议做出及时的回应,而不要采取拖延战术[20]。如果访问权需求者不接受向其提出的要约,则必须立即以书面形式向数据持有人提交关于公平报酬的反要约;如果就报酬的细节还未达成协议,双方应通过共同协议要求由独立的第三方确定价格。例如,为了确定价格,该第三方可以依靠“棒球仲裁”机制(该机制最初在美国用于棒球工资谈判)。根据这一机制,每一方向第三方提出一个价格,第三方的任务是选择似乎最“合理”的价格。这迫使各方克制自己,不要提出不合理的价格,因为他们知道,如果他们提出一个过高的价格,而另一方提出一个更“合理”的价格,第三方将会选择另一方所报的价格。
Tombal指出,这个独立的第三方可能是2019年创建的数据共享支持中心。该中心可以很好地评估数据共享协议条件(尤指价格)的合理性,因为它的任务是收集最佳实践和现有的示范合同条款。因此,它应该有一个比较的基础来评估双方提出的价格8。
毕竟竞争法干预为事后干预,缺乏事前干预措施——强制获取数据。因此,欧盟委员会正在考虑一种新的竞争工具,允许竞争主管部门对违反竞争法的行为进行事前干预,包括强制获取数据。该设想主要是考虑到竞争干预只能在事后逐案进行,可能需要很长时间才能在法庭上达成最终结果。在“赢家通吃”的数据市场中尤其如此,一旦市场向特定企业倾斜,其他企业就很难与之竞争。为了避免这种情况,监管机构可以事先干预。这超越了竞争法本身的目标,这种数据共享框架要求数据市场参与者根据其市场份额共享一定数量的数据9[21]。正如欧盟数据共享支持中心所解释的那样,欧盟法律框架已经包含了若干鼓励个人和非个人数据的可移植性和访问的规则,后者为适用于B2C关系的数字内容指令(DCD)10和适用于B2B关系的数据自由流动法规(FFDR)11。其他规则是根据特定行业或特定部门,强制要求访问数据,如金融部门,第二支付服务指令(PSD2)强制要求访问支付账户数据,这已在英国通过开放银行计划完成12;在汽车行业,新的《机动车法规》强制要求获取一些车辆数据13;能源部门通过新的《电力指令》强制要求访问一些客户数据14。
上述许多情形均是建立在数据提供者与数据使用者存在数据共享之经济激励的基础上,第三方中介机构才能将数据聚合在能够产生范围经济的数据池中。而如果缺失经济激励时,第三方中介机构就会不起作用。这时,立法者或监管者可以强制创建数据池。
例如,B2B健康数据池会改善并提高健康服务的生产率,并使消费者受益。而市场本身不太可能形成数据池,因为私营健康服务提供商没有动力为之做出贡献,除非这为他们带来收益。健康服务提供者可能会因聚合数据池之成本(数据格式化以确保互操作性、传输成本)而缺失数据共享之动因,并且消费者也可能担心其隐私受到侵犯。为了克服数据来源和持有者之间缺乏激励的问题,芬兰政府强制要求公共卫生服务提供商和某些私营卫生服务提供商共享卫生数据,跳过了征得数据主体同意以及卫生服务提供商商业秘密保护之问题。而预期的公共福利收益证明了这一决定的合理性。同时,芬兰政府创建了一个数据池运营商和一个监督委员会,可以授权公共和私人研究人员访问数据。在某些情况下,这些研究人员的研究成果能够为健康服务提供商带来好处,这反过来又为提供商创造了激励机制,以进一步为数据池做出贡献,英国健康服务提供商与谷歌健康服务提供商共享数据就是例证。
强制共享数据更多发生于特定行业或特定部门关于数据访问规定之中,以刺激服务业的竞争,如前述提及的支付服务、汽车和能源部门。
结 语
促进非个人数据共享分为三步:第一步,第三方中介机构可以基于市场原理,组织数据控制者进行数据共享;第二步,数据共享中如果涉及垄断性条款和条件,需要国家进行干预来补救,这首先就需要通过竞争法的手段来实现,由竞争主管机构事后干预,逐案纠正市场失灵;第三步,由于這些市场失灵可能在更大范围内定期发生,竞争法可能还不够,在这种情况下,监管机构和立法者可以通过规定强制性共享数据的义务或授予数据使用者或再用者以访问权来进行干预。
然而,数据共享义务可能引发权益保护问题。GDPR赋予了数据主体的基本权利,从而对数据处理进行限制,以保护数据主体权益。类似的推理可以应用于非个人数据,其中假定商业秘密保护可以增强私人和社会福利。但是,在某些情况下,私人和社会福利会有所不同。减少私人权利可以增加社会福利,尽管不一定严格地增加帕累托福利。因此,这对我们提出了一个关于政策衡量标准的问题:究竟应以消费者福利(竞争法中常用的基准),还是社会福利(公共政策经济学家常用的基准)为标准来衡量社会福利?
例如,汽车导航服务提供商能否将汽车导向特定的街道,以了解通道是否堵塞?虽然这些信息对其他司机来说非常有用,但收集这些信息会给被引导到这些街道上的司机带来成本,并因道路堵塞而浪费时间。导航应用程序能否将司机重定向到次要街道,以减少主要道路的交通堵塞,但同时是否会给次要街道沿线的居民带来额外的污染成本?这是公平和社会福利再分配的问题,意味着对社会不同群体福利之间的权衡判断。
参考文献:
[1] Regulation on a framework for the free flow of non⁃personal data in the European Union[EB/OL].(2018⁃11⁃14)[2021⁃03⁃03]. https://eur⁃lex.europa.eu/eli/reg/2018/1807/oj.
[2] THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS. A European strategy for data[EB/OL].(2017⁃02⁃07)[2021⁃03⁃03].https://ec.europa.eu/home⁃affairs/sites/default/files/e⁃library/documents/policies/organized⁃crime⁃and⁃human⁃trafficking/cybercrime/docs/join_2013_1_en.pdf.
[3] 尚海涛.论我国数据可携权的和缓化路径[J].科技与法律,2020(1):86⁃94.
[4] Peter Swire,Yianni Lagos.Why the Right to Data Portability Likely Reduces Consumer Welfare:Antitrust and Privacy Critique[J].Maryland Law Review,2013,72(2):335⁃380.
[5] 刁胜先,李絁芩.欧盟数据可携权的困境与本土化思考[J].重庆邮电大学学报(社会科学版),2020,32(2):68⁃77.
[6] 高富平.数据生产理论——数据资源权利配置的基础理6论[J].交大法学,2019(4):5⁃19.
[7] 高富平,余超.欧盟数据可携权评析[J].大数据,2016(2):103⁃107.
[8] Data Driven Economy: Market Trends and Policy Perpectives[EB/OL].(2017⁃01)[2021⁃03⁃03]. http://www.itmedia consulting.com/documenti/economiadeidati.pdf.
[9] 高富平.数据流通理论——数据资源权利配置的基础[J].中外法学,2019(6):1405⁃1424.
[10] De Cornière A.and G.Taylor.Data and Competition: A General Framework with Applications to Mergers, Market Structure, and Privacy Policy[EB/OL].(2017⁃05⁃27)[2021⁃03⁃03].http://www.econ.ntu.edu.tw/uploads/asset/data/5ef059 4348b8a10278001848/HKBU_1090630.pdf.
[11] Geoffrey Parker,Marshall Van Alstyne.Innovation,Openness,and Platform Control[J]. Management Science,2017,64(7):3015⁃3032.
[12] Coase Ronald.The nature of the firm[J].Economica,1937,4(16):386⁃405.
[13] Martens B.and F.Müller⁃Langer.Access to digital car data and competition in aftersales maintenance markets[J].Journal of Competition Law and Economics,2020,16(1):116⁃141.
[14] European Commission Commission Staff Working Document.Guidance on sharing private sector data in the European data economy.[EB/OL].(2018⁃04⁃25)[2021⁃03⁃03]. https://digital⁃strategy.ec.europa.eu/en/news/staff⁃working⁃document⁃guidance⁃sharing⁃private⁃sector⁃data⁃european⁃data⁃economy.
[15] Justus Baron,Jorge Contreras,Martin Husovec,Pierre Larouche.Making the Rules: The Governance of Standard Development Organizations and their Policies on Intellectual Property Rights[EB/OL].(2019⁃10)[2021⁃03⁃03].https://cn.bing.com/search?q=%20Governance%20of%20standard%20development%20organisations%2C%20the%20case%20of%20intellectual%20property%20rights&qs=n&form=QBRE&sp=⁃1&pq=governance%20of%20standard%20development%20organisations%2C%20the%20case%20of%20intellectual%20property%20rights&sc=0⁃90&sk=&cvid=A05894ECC49E4C8DAA30932EEAD 46855.
[16] Bertin Martens,Alexandre de Streel,Inge Graef,Thomas Tombal,Néstor Duch⁃Brown.Business⁃to⁃Business data sharing: An economic and legal analysis[EB/OL].(2020⁃08⁃31)[2021⁃03⁃03]. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3658100.
[17] EU Code of conduct on agricultural data sharing by contractual agreement[EB/OL].(2018⁃04)[2021?03⁃03].https://copa⁃cogeca.eu/Archive/Download?id=3770357.
[18] 詹馥静.大数据领域滥用市场支配地位的反垄断规制——基于路径检视的逻辑展开[J].上海财经大学学报,2020,22(4):139⁃152.
[19] Josef Drexl.Designing Competitive Markets for Industrial Data⁃Between Propertisation and Access[EB/OL].(2016⁃10⁃31)[2021⁃03⁃03].https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2862975.
[20] Thomas Tombal.Economic dependence and data access[J].International Review of Intellectual Property and Competition,2020,51(1):70⁃98.
[21] Jens Prüfer.Competition Policy and Data Sharing on Data⁃driven Markets: Steps Towards Legal Implementation[EB/OL].(2020⁃03)[2021⁃03⁃03].http://library.fes.de/pdf⁃files/fes/15999.pdf.
Non⁃personal Data Sharing in B2B Scenarios
—From the Perspective of Ex⁃ante Regulatory Measures and Ex⁃post Competition Rules
Ma Bin
(Law School, East China University of Political Science and Law, Shanghai 200042, China)
Abstract: In the B2B scenario where time is the key factor, the aggregation of non⁃personal data into a data pool can bring benefits to various stakeholders, but the right to portability does not work in this regard. Drawing lessons from the right to portability, data sharing rules need to be designed in accordance with market principles. First, when there is a motivation for data sharing among the parties involved in data sharing, a neutral third⁃party intermediary can reorganize the market to overcome market failures and attract all parties to converge into a data pool. Second, when there is an anti⁃competitive situation, the rules of competition law can be applied. Finally, because the application of competition law is ex⁃post and time⁃consuming, ex⁃ante regulatory measures can make up for this shortcoming. Pre⁃regulatory measures are mainly embodied in mandatory data sharing, which mostly occur in scenarios where there is no economic motivation for data sharing, and are aimed at promoting public interest and data?based government and social governance.
Key words: non⁃personal data; data sharing; competition law; advance supervision; access rights