欧盟《数据治理法》中数据共享主体的运行逻辑及对我国的启示
2023-01-09鞠颖,康宁
鞠 颖,康 宁
(中国人民公安大学 法学院,北京 100038)
一、引言
2021年9月1日,我国《数据安全法》正式生效,除在第五章规定了政务数据的共享外,对其他部门的数据开放共享,以及共享的主体类型并无明确规定。而欧盟2020年11月25日出台的《数据治理法》(Data Governance Act)以《通用数据保护条例》(General Data Protection Regulation,缩写为GDPR)中对个人数据的保护规定为前提,通过立法的形式规定了数据共享的主体及其权利义务,为促进欧盟数字单一市场的尽快建立,以及完善其他主体的数据处理提供了一种参考范式。本文希望通过研究欧盟的数据共享主体,完善数据开放共享的主体类型,为我国数据共享的相关立法提供借鉴与参考。
二、《数据治理法》中的数据共享主体类型
鉴于数据在社会生产中的重要性与日俱增,欧洲急需一个开放且能够行使主权的单一数据市场。早在2013年,欧盟理事会就制定战略议程,呼吁成员国在数字单一市场整合领域采取行动[1]。欧盟个人数据的再利用和流动领域相关立法在充分保护并建立信任的基础上开展[2]。2018年,GDPR的实施标志着数据保护时代的到来,掀起了个人数据保护的热潮。数据保护和合理利用随之成为数据领域的关注重点。
欧盟出台的《数据治理法》是规定数据合理利用的重点法案,其理念的核心在于数据的市场化流通与应用。该法案虽将数据按类型分至环境、卫生、农业、交通等具体领域,却并未对这些不同类型的数据进行系统完善的框架构建。
欧盟《数据治理法》主要是通过以下四个主体来实现数据的重复利用和共享。一是公共部门机构,在一定条件下公共部门的某些数据可以供公众利用;二是数据共享服务提供商,通过建立通知制度,增强公众对数据共享的信任度,降低企业对企业(B2B)、消费者对企业(C2B)数据共享的成本(1)参见《数据治理法》解释性备忘录。;三是数据利他组织,这些组织交换不同领域内的数据,提高数据的共享度;四是欧盟层面的数据创新委员会,该委员会能够确保法案的贯彻执行,并在必要情况下提供咨询与建议[3]。然而,欧盟数据共享的市场化在获得社会效益和经济效益的同时也意味着风险。如何将数据共享对社会和个人的作用发挥到最大,如何增强公众对数据共享、再利用的信任,提高数据的共享度,凡此种种,都需要数据共享主体在数据共享、再利用过程中实时把控。
(一)公共部门机构
《数据治理法》中所提到的公共部门机构(Public Secter Bodies),是指在某一国、地区或地方政府当局中,受到公权力约束的机构。长期以来,公共部门作为数据密集度最高的部门之一,虽然其数据的可用性和广度很难确定[4],但作为这些数据的主要拥有者与储存者,公共部门还是承担着产生、收集并支付大量数据的重要职能[5]。
公共部门机构共享数据时,需由一个或多个具有类似职能的机构或由机构组成的协会予以重复利用和共享。该机构开展数据共享及数据再利用要受国家、地区、地方当局或是公法管辖的其他机构的管理与监督,抑或是在公共部门内部设立行政、管理或监督委员会(这些委员会中有半数以上的成员由国家、地区、地方当局或受公法管辖的其他机构来任命)负责监督数据共享活动(2)参见《数据治理法》第二条。。运作数据共享需要很多资金,这些资金的来源也应限于公法管辖下的部门或机构。公共部门机构大多由政府财政支持进行数据共享的有关活动,因而所需资金的来源抑或是监督这些机构的委员会都要受到公权力的约束。
公共部门机构共享数据不以营利为目的,具有非商业性和“公益性”。该机构对费用的收取有较大的自主性,不仅可以收取数据共享所需要的费用,也可以自主确定是否免费或以较低的价格提供数据。但费用的收取应合理、透明且非歧视,对费用的使用情况也应向公众公示(3)参见《数据治理法》解释性备忘录。。
(二)数据共享服务提供商
欧盟《数据治理法》第三章将数据运作的新角色称之为“数据共享服务提供商”(Providers of Data Sharing Services),该服务商负责欧洲数据空间内可信赖数据的共享并为数据持有者与使用者提供中立的数据交换服务。不仅企业对企业(B2B)、消费者对企业(C2B)可由数据共享服务提供商提供中介服务,而且个人之间的数据共享也由特殊的数据共享服务中介机构进行处理(4)参见《数据治理法》解释性备忘录。。
数据中介服务是独立、中立且专门的。数据共享中介机构不能为了自身利益交换数据。中介机构在开展数据共享服务时,须与其他服务进行结构上的完全分离,不得逾越,以确保中介机构的独立性。中介机构为数据的共享者和使用者提供了一个公平、可信任的访问和使用环境。当提供商同时是数据持有者(如云服务供应商),抑或是该服务商被数据持有者或使用者所专有时,提供商便失去了中立性,不得继续作为《数据治理法》中规定的服务商共享数据(5)参见《数据治理法》解释性备忘录。。
与公共部门的公益性不同,数据共享服务提供商是以营利为目的的运营实体,所能共享的数据主要来源于私营主体,仅能通过中介服务获取利益;不得将获取的数据用于其他目的,包括获取非中介服务所得利益及损害他人利益等(6)参见《数据治理法》解释性备忘录。。这些中介机构虽受到国家机关的管辖和监督,但其内部的组织结构完全由机构自己决定,其营利所得也用于机构自身的活动。
(三)数据利他组织
《数据治理法》将数据利他组织的概念正式化,即个人或公司出于公共利益(如科学研究、改善公共服务等)自愿无偿地提供数据给某些组织重复利用。这些能够将数据集合起来的组织可以称之为“数据利他组织”(Data Altruism Organisations)(7)参见《数据治理法》解释性备忘录。。这些组织必须遵守透明度要求,以及符合 GDPR 的同意机制才可以提供个人数据(8)参见《数据治理法》第十八条。。
根据数据使用的部门和目的不同,欧洲委员会须制定不同的“利他同意表”(Data Altruism Consent Form)(9)参见《数据治理法》第二十二条。。该同意表在获得数据持有人完全同意的前提下适用,能够简化数据利他组织的行为,将数据的应用模块化。数据利他同意表给予了利他组织一个共享框架,使得利他组织在框架下能够以同意书的形式向数据持有人收集数据利他共享的意向,让数据持有人可以清楚了解数据利他组织的职能,推动大规模的数据利他共享。数据利他组织在欧盟任一成员国注册便可成立。注册成立的组织须在成员国内设立机构;未设立机构的数据利他组织必须任命欧盟境内的法定代表人(10)参见《数据治理法》第十八条(1)。。
利他组织以非营利为基础,与其他活动分开开展业务;维护数据主体和法人实体在数据方面的权益。利他组织的非营利性还体现在对数据进行利他共享的过程中,须遵守特定要求(透明度义务和目的限制原则(11)透明度义务指收集的数据需表明用途和使用的领域。目的限制原则是指所收集的数据只能用于维护公共利益的目的。),以实现维护数据主体和法人实体在数据方面的权益。
(四)数据创新委员会
《数据治理法》第六章提到了建立欧洲数据创新委员会(European Data Innovation Board)。该委员会是独立于成员国的主管机构,战略定位于欧盟层面,以专家组的形式出现。其内部成员(成员由欧盟成员国的主管机关代表、欧洲数据保护委员会、欧盟委员会,以及相关数据空间的其他主管部门的代表组成)并非一成不变,而是以动态形式灵活变动(12)参见《数据治理法》第二十六条。。作为一个具有法律约束力的行政机构,它并不直接参与数据共享,而是为公共部门机构、数据共享服务提供商和数据利他组织提供咨询意见和协助。为了能够在两个不同的数据处理环境中进行数据共享,数据创新委员会还会建立了一套用于数据共享的技术和法律标准,但技术标准的建立不得妨碍特定行业或领域内的数据共享标准(13)参见《数据治理法》解释性备忘录。。
欧盟的数据创新委员会是非营利性的公权力机构。当利益相关者和相关第三方主张自身权利时,数据创新委员会可允许他们参与数据共享的会议和工作,以保证数据共享活动的公平与公正。作为新创立的机构,数据创新委员会的职能和作用将随着数据共享的开展不断丰富和补充(14)参见《数据治理法》第二十六条。。
欧盟《数据治理法》中四个数据共享主体的差异比较见表1。
表1 欧盟《数据治理法》中数据共享主体的差异比较
三、数据共享主体的功能是推动数据开发利用
欧盟《数据治理法》中的数据共享主体发挥自身功能推动数据开发利用:公共部门机构通过为数据重用提供安全环境和技术支持以扩大数据共享的范围;数据共享服务提供商提供的服务和通知框架有助于数据市场良好共享氛围的营造;数据利他组织以公共利益为导向建立数据池,有利于数据共享在公共领域发挥作用;数据创新委员会提出的建议和监督利于数据共享的规范化。各类数据共享主体挖掘数据的深层价值,均为数据的开发利用发挥了推动作用,让数据使用者更方便、更安全地使用数据。
(一)公共部门机构:推进数据重用,提供安全环境与技术支持
数据有其独有的使用价值,可以被多次利用。公共部门持有的个人数据为个人和社会带来了巨大的潜在价值。推动公共部门数据的多次利用不仅不会降低数据的价值,而且能够扩大数据共享的涉猎领域。
1.推动受他人权利限制的数据重用
公共部门所能共享的数据是属于欧盟《第2019/1024号指令》范围的,以及已有特定行业以外的、受到保护的数据。这些数据由于保护级别较高而具有较高的机密性,以往不得共享。在《数据治理法》中,公共部门能够进行数据共享的数据,是因以下原因而受到保护的数据,包括:(1)商业机密性;(2)数据机密性;(3)第三方的知识产权保护;(4)个人数据保护(15)参见《数据治理法》第三条。。这些类别的数据虽由公共部门掌握,具有非个人属性,但从数据的使用影响个人权利行使的角度讨论,则具有“个人属性”。数据所展现出来的这种“个人属性”使得个人数据重复利用的价值在数据保护的成本之上,欧盟即对这些类型的数据予以再利用。
在欧盟的交通运输业方面,公共部门机构最大限度地利用公共数据库中有关交通领域的数据。例如,交通运输中所涉及的姓名或名称、居住地、各类联系方式等往往对个人与社会具有重大意义。《数据治理法》中对交通运输业的数据治理并没有明确规定,但在该法案制定之初,制定者就听取了交通运输行业相关主体的有关意见。公共部门运用交通运输业中受他人保护的数据可以为智慧交通系统扩充数据来源[6]。公共部门的数据共享更是在COVID-19疫情的大环境下,为社会各部门抗击疫情提供了便利。
2.为数据共享再利用提供支持
随着数据共享水平的提高,公共部门机构为数据重用提供了保护和技术支持,还对数据传输到第三国做出规定,以确保法案更好地实施。由于个人数据需要受到GDPR的严格保护,公共部门进行数据再利用时,就面临数据自由流动带来的经济效益与保护个人基本权利之间如何平衡的难题[7]。这些部门在重用数据时,必须将数据匿名、假名化或删除包括商业秘密在内的商业机密信息,并且仅在GDPR允许的情况下才可以公开(16)参见《数据治理法》第五条。。GDPR保证,公民在知情同意的情况下提供信息,而公民的有关信息也将会受到保护[8]。
《数据治理法》还要求公共部门对传输到第三国的某些高敏感、非个人数据的传输环境与保护条件,以及对第三国的数据保护水平予以考察(17)参见《数据治理法》解释性备忘录。。完整的信息技术和通信系统是公共部门机构对数据共享安全性的重要技术支撑。公共部门通过理论和技术层面的双重保障,降低了泄露数据再利用的可能性,从总体上降低了数据重用的风险性。
(二)数据共享服务提供商:提供中介服务与通知框架
数据共享服务提供商为包含数据主体在内的数据的持有者与潜在的数据使用者提供中介服务,协助他们建立业务、法律联系或者潜在的技术关系,并佐理数据持有者和数据的使用者进行数据资产交易。事实上,这些数据服务公司因数据需求的增加,形成了一个数据共享的生态系统,为数据共享服务[9]。
1.为数据共享提供中介服务
数据共享服务提供商提供三种中介服务。一是提供数据持有人和数据用户之间的中介服务,包括双边或多边的数据交换,亦有创建平台或数据库。提供商在数据持有人和用户之间提供法律和技术服务,并协助双方进行数据资产交易。二是提供旨在不限数量的数据主体和潜在数据用户之间的中介服务。三是提供数据主体、一人公司或微型中小企业的数据合作社服务(18)参见《数据治理法》第三条。。提供数据中介服务的数据共享服务提供商有以下两家。(1)法国的Dawex公司。作为受信任的数据共享平台,Dawex公司的主要业务是进行数据交换、共享和协调数据生态系统。开放数据、数据共享、数据价值化等是Dawex主要的许可经营模式。持有人与用户、数据主体与潜在数据用户都是该公司提供中介平台的对象(19)http://www.dawex.com/en/.。(2)法国的NumAlim平台。NumAlim为法国18 000家农业食品部门和组织提供访问数据和相关服务。这使他们通过将食品数据与其他基本数据集相结合,进而释放食品数据的战略潜力,以增强该行业公司的竞争力并满足消费者对透明度的需求(20)https://www.plateforme-numalim.fr/.。
环境数据在数据中介市场中发展得较为成熟。在欧盟内部,环境监测站增加、环境相关产业发展水平不断提高、环境保护意识不断加强,与环境关联的大量数据通过各类数据中介机构汇集和交换。市场环境监测基础设施、人力、物力投入加大,环境管理需求持续增加,社会各界对环境问题持续关注。这些有利因素都促使环境领域的数据中介机构蓬勃发展。可以预见,欧洲环境数据中介机构发展的机遇期即将到来[3]。
2.为数据共享建立通知框架
《数据治理法》为数据共享服务提供商制定了一个通知框架,特别是对数据共享服务提供商施加了事先通知的义务(21)参见《数据治理法》解释性备忘录。。该法要求,数据共享服务提供商应将其提供上述三类(22)参见《数据治理法》第九条(1)。中介服务的用意或方案通知主管当局,公众将监督有关遵守情况;服务提供商的名称、联系人和联系方式等也由数据共享服务商通知(23)参见《数据治理法》第十条(6)。。通知活动能够向公众展示数据共享服务提供商的信誉和共享服务的状况,使其在欧盟委员会的监督下开展符合规定的数据共享。
让公众感受到数据流通带来的便利是必要的。当主管当局需要某些信息时,数据共享服务提供商必须与之共享,以验证其是否符合《数据治理法》中对数据共享的要求。指定的主管部门还应与数据保护部门、网络安全主管部门及其他相关部门合作, 以便顺利开展数据共享。
(三)数据利他组织:建立服务公共利益的数据池
1.以一般利益为导向,为公共利益服务
数据利他组织自愿遵守利他目的及透明度的要求,采取措施保护数据主体在数据共享中的利益。该组织收集数据是以改善公共服务、改进医疗、促进官方建立统计数据或进行科学研究为目的(24)参见《数据治理法》第二条。。这些活动主要以公众的一般利益为导向。《数据治理法》规定数据的利他组织为了通用利益成立,允许公民和企业在数据利他组织的主持下免费提供数据造福社会(25)参见《数据治理法》第十六条。。通常情况,数据的利他共享须获得数据主体的认可,数据主体允许经由欧盟认可和批准的数据利他组织进行有利于数据的跨境共享。
欧盟《数据治理法》在解释性备忘录中数次提及“农业”,立法者在立法之初就构想了数据共享在农业数据治理方面的应用。在农业领域,数据利他组织的建立将极大程度地聚集数据,形成农业数据空间和数据池。以环境条件数据为例,假定公开环境数据,农民就可以通过及时采取改善环境的措施来提高农业生产效率[10]。农产品质量和农业现代化水平的提高也受到了数据共享的影响。
2.为数据共享建立数据池
公共领域的数据庞大而又繁杂,很多时候这些数据中蕴含着不可估量的经济价值和社会价值。从众多数据中整理出所需要的数据,不仅需要数据的来源多元化,还需要数据整合迅速。这就需要建立数据库。多个数据库又可以形成数据池以供公众选取所需数据。数据共享的数据池可以将从他人处收集的数据用于一般公共利益,扩大数据的使用范围,提高数据的社会价值。
《数据治理法》的出台推动了数据池的形成。注册“欧盟认可的数据利他组织”,可以提供大规模数据,从而建立数据库(26)参见《数据治理法》第十五条。。数据利他同意表在约束数据收集者和保护数据主体权利方面发挥着重要作用。由于利他组织的注册在成员国内都有效,这就便于在欧盟内形成覆盖多个成员国的数据池(27)参见《数据治理法》解释性备忘录。。早在2020年新冠疫情暴发之初,欧洲议会就提议建立COVID-19技术访问池,呼吁社会各界共享相关技术、知识产权和数据,进而找到治疗病毒的有效办法。
(四)数据创新委员会:提供建议、协助与监督
1.提供建议与协助
欧洲数据创新委员会的任务是确保该法案在所有成员国中得到贯彻实施,给予跨部门、跨地区数据共享以支持,在必要情况下提供咨询建议与协助,并促进国家主管部门之间的合作。
欧洲数据创新委员会可以就公共部门机构提出的数据再利用请求提供意见与协助;就欧盟委员会对数据共享服务提供商的规定提供咨询意见与协助;创新委员会能够给予数据跨行业共享以支持,为数据共享提供技术性和法律性的标准,使不同领域和不同处理环境的数据共享更具秩序性。但数据领域的执法和实施并不属于创新委员会的职能,其提出的数据共享的咨询建议不具有强制性(28)参见《数据治理法》第二十七条。。
2.监督数据共享活动的开展
委员会将重点关注该法案涵盖部门的数据共享活动,即公共部门数据的再利用,以及数据共享服务和数据利他组织的运营。欧洲数据创新委员会的监督不具有强制性,而是为了数据共享立法、执行等可以更好地开展。
《数据治理法》中的主体是欧盟委员会数据与数字战略的重要组成部分,旨在鼓励创建用于共享数据的基础设施,进而帮助建立跨欧盟成员国的数字单一市场。该法案成为欧盟经济部门,以及包括在卫生、交通、环境等公共领域建立“欧洲数据空间”的推动者,长期以来数据共享存在的障碍将被打破。数据的共享将提高现有工作方式的效率和促进经济增长(29)https://www.pinsentmasons.com/out-law/analysis/the-eus-data-governance-act-just-part-data-sharing-puzzle.。
四、欧盟数据共享主体的实际意义与反思
(一)数据共享主体的实际意义
1.推进更广泛数据的重用
简单的数据聚集并不是数据共享,利用好数据的价值才是数据共享的意义之所在。因此,数据共享不仅要推进数据的集中和开放,还需要加强大量传统数据单位的数据再挖掘和开发能力,鼓励数据共享。
欧盟《数据治理法》规定,公共部门能够将具有商业机密性、数据机密性,以及受到第三方知识产权保护或受个人数据保护的数据进行重复利用(30)参见《数据治理法》第十三条。。现在,随着数据共享环境水平的提高,这些数据可以在安全的环境下共享。公共部门机构对这些数据的再利用不仅是简单的开放共享,而且还提供了技术上的支持和安全的重用环境,让数据的持有者能够放心地将数据提供给公共部门使用,从而实现对数据价值深层次的挖掘(31)参见《数据治理法》解释性备忘录。。
法案出台后,欧盟推动受他人权利限制的数据重用,涵盖了以往公法共享范围之外所遗漏的数据,扩大了数据共享的广度。通过推进更广泛的数据重复利用与共享,政府部门和企业掌握了更多的数据,欧盟内部的企业与其他国家和地区进行竞争时可以拥有更大的数据优势。
2.为数据共享建立中立的服务机构
数据共享服务提供商作为《数据治理法》中数据共享的重要中介机构,其中介与通知服务的建立构成了数据共享服务中介的基本范式,为培养新的商业模式建立了框架。对于公司而言,中介服务可以采用数字平台的形式,支持公司之间的数据共享或促进法律规定数据共享义务的履行。个人数据的共享需要满足GDPR的条件。这将帮助人们完全控制自己的数据,并允许其与信任的公司共享数据(32)https://www.consilium.europa.eu/en/press/press-releases/2021/10/01/eu-looks-to-make-data-sharing-easier-council-agrees-position-on-data-governance-act.。
数据共享服务商主要为私营部门的数据共享提供中介服务,实现数据在持有者和使用者之间的双向共享。服务商还建立通知制度,对数据共享服务的中介机构提出了向主管部门通知的要求(33)参见《数据治理法》第十条。。通知的内容包括数据共享服务提供商的一系列基本信息和计划提供服务的成员国等。提供通知服务可以为数据共享服务的开展提供法律上的合理性,以保障欧盟内部可信数据的交换。这种做法也为政府部门的管理提供了便利,并且能够增强数据共享服务提供商作为中立的中介机构的可信度,提高公众对中介机构的信任。
数据共享服务的提供商在促进大量数据(个人和非个人数据)的汇总和交换方面发挥关键作用,具有作为数据中介工具的功能,能够为数据的融合聚集和双向共享做出贡献(34)参见《数据治理法》解释性备忘录。。中介机构通过采取举措,使公众加强信任,为增强欧盟内部的各类数据共享体制机制提供途径,实现更大范围的数据共享。
3.建立维护普遍利益的利他共享
作为新出现的利他组织,最大的特点在于其公益特质。该类型组织存在之功能就是为社会的普遍利益服务。社会公共服务的发展对建立数据池提出了要求,利他组织在欧盟注册认可后,获得数据持有者同意方可进行数据的跨境使用和汇集,建立覆盖多个成员国的数据池,从而形成规模性的数据在欧盟内流动(35)参见《数据治理法》解释性备忘录。。这些机构符合一系列的注册要求,可以鼓励公众出于利他目的而提供数据,也能够增强社会对利他组织的信任。
大量的数据被自然人和法人所掌握并在医疗、基础设施建设、科学研究等方面具有巨大的潜力,这些数据完全可以通过一定的方式集中起来为公共服务。《数据治理法》中提出的利他组织就是能够将数据聚集的重要组织。数据的利他共享可以将私营部门的数据公用,在私营部门和公共部门之间架起桥梁,实现不同的数据持有部门之间的数据共享与重用。这些具有公益性质的数据利他共享,极大程度地整合了社会上的数据资源,使数据利用得以最大化。
我国公民和法人拥有大量的数据,这些数据对我国经济建设的各个层面有着重要的作用。因此,需要有一个或一些专门的机构或组织将这些数据收集起来,发挥数据集聚带来的丰厚效益,欧盟的利他组织即是如此。这对我国数据共享的发展具有重要参考价值。
4.建立辅佐数据共享的咨询机构
《数据治理法》规定创建欧洲数据创新委员会,以正式专家组的形式出现(36)参见《数据治理法》解释性备忘录。。该专家组向欧盟委员会提供数据跨部门标准化管理的支持和建议,为成员国内主管机关提供最优化建议。欧盟的数据创新委员会在设立之初就具有建议性与协助性,不仅协助参与数据共享的中介、机构和组织的建立,还协助欧盟委员会处理数据共享的事务。这一协助性机构的建立不仅减轻了欧盟委员会的负担,还能使数据共享活动的真正实践者获得有效的数据共享建议。这一机构的设立,在后疫情时代对加快欧盟经济的复苏也起到了重要作用。
我国数据开放步伐不断加快。我国的公民和企业要想在数据经济的发展中占据优势,同样也需要专门机构予以专业的建议,建立合乎我国国情的数据开放共享的建议性机构。
(二)数据共享主体的反思
数据共享主体的建立为欧盟单一数据市场的发展和完善提供了主体基础,但在数据共享主体法律责任的划分、数据主体规则的实施,以及主权国家的落实效果上存在的问题,都需要深刻反思。
1.数据共享主体的数据安全保护义务和法律责任未明确
数据安全被放在了至关重要的位置上。公共部门机构虽须为数据共享提供安全稳定的处理环境,但在实践中却缺少调解与管理数据共享双方的部门或机构,也存在政策制定的权、责模糊化等问题。公共部门机构希望在数据共享出现问题时可以免受追责[11]。其他数据共享主体的数据安全保护义务也并没有明确。
欧盟数据共享的范围不断扩展的同时,共享主体能否保障数据的安全,以及如何保障都没有明确的规定。对数据共享带给数据持有者的风险,数据共享主体也没有进行研判与分析。在数据共享发生数据安全问题后该如何去做,如何消除给数据共享参与者带来的隐患与损失,尚无定论。
数据共享主体的法律责任如何确定,《数据治理法》都没有确切规定。如果数据共享主体违反《数据治理法》,对违反者的处罚仅要求是有效的、相称的和劝阻性的(37)参见《数据治理法》第三十一条。。在该法中对法律责任及处罚的力度也缺少明确规制。
2.数据共享的主体规则在各个国家实施具有差异性
欧盟是超主权国家的政治和经济共同体,因此在欧盟层面规制的数据共享主体需要落实到各个成员国,但现实情况是,各个成员国的国内法并不属于同一法系,各国的政治、习惯等的不同使得数据共享的主体规定被引入后,各国对规则的实施具有差异性,对共享主体的规定不能一致适用。
数据共享主体规模庞大,主体之间会产生利益冲突与纠纷。根据《数据治理法》,欧盟成员国有裁决数据共享主体之间冲突的机构,成员国有权决定对冲突主体适用其国内的解决方式,故各个国家对数据主体之间产生矛盾的解决也存在不同。正是这些解决冲突的差异性不能使数据共享主体的矛盾得到公平合理的解决,而标准的不统一势必会带来结果的不公正性。
3.主权国家实施力度不足
《数据治理法》通过数据创新委员会的建议性倡导推动数据共享实践的统一。该机构虽然能够为数据共享主体提供意见,但该机构仅以专家组形式存在,数据共享主体的实践需要落实到各个国家。数据创新委员会的倡导性建议对各国并不具有强制执行性。各国并没有数据共享的配套举措。例如,卢森堡努力在国家互操性框架的背景下开发数据;荷兰政府数据议程则以数据作为解决政策和社会挑战的工具(38)https://www.oecd-ilibrary.org/sites/9cada708-en/index.html?itemId=/content/component/9cada708-en.。这些国家都将其国内数据政策作为执行的核心,对创新委员会所提出的建议并无执行力。
《数据治理法》为很多制度和体系架构奠定了主体基础,但它没有一个有权威的强制执行机构去执行与干预,仅依靠建议性机构、其他数据共享主体的架构及成员国的机构和体制予以规制。各类数据共享主体法律责任的规制,以及主体规则落地本土实施情况都导致各国的数据治理实施力度不足。
五、启示:我国《数据安全法》中的数据共享主体
现阶段,数字经济高速发展。数字经济高质量发展的核心和轴心由数据保护与数据流通共享共同构成[12]。在我国,虽未对数据共享进行全国性立法,但如若希望数据的价值能够得到更充分、更全面、更深层次的利用,推进立法则是我国开展数据共享的必然要求。《数据安全法》坚持数据安全与数据利用并重,保障数据依法有序自由流动、推进政务数据的开放,发挥数据基础性和创新性作用,提升公共服务的智能化水平[13]。
《数据安全法》第十三条明确提出,数据的开发利用与数据安全能够相互促进。第三十一条规定,数据出境安全管理办法需要遵循有关评估办法。在对数据共享开放的主体规定上,该法也仅仅模糊定义了国家机关对数据开放负责。第四章则规定了国家机关公开政务数据、数据安全保护责任及数据安全管理制度等内容(39)参见《数据安全法》第四章。。我国引入《数据治理法》中公共部门机构、数据共享服务提供商和数据利他组织这三类数据共享主体,可以为政府数据的开发利用、市场经济中的数字经济,以及公共领域的数据共享提供更多借鉴。
(一)明确政府部门数据开放的职责
《数据安全法》第五章规定了政务数据开放的内容。开放政府数据是维护公众利益之所在[14]。政务数据的开放共享,能够整合社会资源,促进数据在不同领域的创新应用,实现更加多元化的价值目标[15];在政务方面,则可以极大地提高政府的开放水平,保证政务数据使用的科学性、准确性和时效性,扩展数据开放的广度和深度。
我国的《数据安全法》在构建数据安全体系的同时,也强调了数据开发利用的重要性。其中,对政务数据开放的规定就是重视数据开发利用的重要证明。然而,与欧盟的《数据治理法》规定明确的数据再利用类型相比,我国《数据安全法》的规定并不明确。所以,我国政府部门机构若进一步推进数据的开放和再利用,需要借鉴欧盟《数据治理法》中对公共部门机构所能共享数据类型的规定,明确我国政府部门开放共享数据的类型。通过明确数据开放的类型,推进我国政务数据开放目录和互联互通的政务数据开放平台建设,为政务数据的开放利用助力。
政府数据集中共享在发挥聚集效益的同时,也带来了安全隐患[16]。《数据安全法》中就提出了保障政务数据安全的责任要求(40)参见《数据安全法》第三十九条。。我国政府部门在履行职责中知悉的关于个人隐私、商业机密等数据不得泄露或者不得违反法律规定向他人提供(41)参见《数据安全法》第三十八条。。《数据治理法》对政府职责的要求更加严格,不仅要求政府为机密数据提供安全的处理环境,还应当对经由公共部门机构的数据再利用提供技术支持(42)参见《数据治理法》解释性备忘录。。这类技术支持也是数据安全再利用得到保障的重要方式。因此,我国的政府部门在开展数据的开放共享时,可以规定对数据开放的安全处理环境和技术支持方面的要求,从而为政府部门的数据开放提供安全的环境和重要的技术支撑。
(二)推动数据开发利用技术在市场经济中发挥作用
数据保护不是我们的最终目的,经由数据保护推动数据共享,实现数据价值的再次利用,以更高水准的数据开发利用促进数字经济更好更安全的发展才是我们的终极追求[17]。数据的开发利用技术和数据的安全体系建设都在加速展开(43)参见《数据安全法》第十七条。,但《数据安全法》却未明确指出如何推进数据开发利用技术的研究。数据市场化的推动是数据技术发展的重要助力因素,但是我国还缺少私营部门数据开放共享的有关规定。
欧盟《数据治理法》中的数据共享服务提供商是数据共享的私营主体,也是以获取利益为目的的创收性市场主体。有市场就会有竞争,各服务商之间必然会产生市场化竞争。外部的竞争压力会促使机构内部为了能够占据市场份额,不断地提高数据利用水平和数据开发技术。我国引入数据共享服务商制度,将有助于提高数据共享开发技术,增强数据对市场经济的推动力,增大数据共享的力度,进而调动对数据开发利用的积极性,让数据成为市场经济发展的动力。
《数据安全法》提出对数据进行审查,这将有助于中介机构在稳定安全的环境内处理数据。这种私营领域数据中介机构的建立,不仅需要保证数据的安全,同样需要规定其应履行的其他义务。欧盟要求中介机构必须保持中立和独立,且这些机构应专门实施数据共享;向主管机构通知也是中介机构的义务。欧盟对中介机构的规定,启示我国也可以建立专门性的数据共享中介机构,让中介机构在符合法律规定的数据安全框架下依法合理利用与自由流动,发展壮大我国数字经济。
(三)为数据共享共用释放价值
数据是经济转型与发展的新动力,也是社会治理的有效工具[18]。数据能否提升公共服务的智能化水平(44)参见《数据安全法》第十五条。也是我国重点关注的内容。我国强调数据对公共服务的价值,这与欧盟《数据治理法》中利他组织对社会价值的关注相一致。推进公有和私有部门的数据共享建设,可以促进社会向数字化转型,推动社会治理模式的改进,社会治理的能力也将进一步提升[11]。
作为以公共利益服务为目的而存在的数据利他组织,能够在公众需求和数据利用之间搭起桥梁,利用数据为社会主义社会建设服务,做到数据的“共用共享”。数据利他组织的数据为了公共利益而聚集。我国的《数据安全法》充分考虑老年人和残疾人的生活需求,希望通过对数据的利用提供智能化的公共服务(45)参见《数据安全法》第十五条。。在欧盟的《数据治理法》中,利他组织所收集的个人和法人数据通过聚集形成有规模效应的数据池,能够将数据的公益性发挥到最大化。我国在建立利他组织时,也应取得数据持有人的同意,以及符合《数据安全法》对数据利用的安全条件,让数据利他组织在法律框架下为社会谋福利。
数据利他组织的公益性决定了其直接为服务公众而存在。如果有数据利他组织可以对我国公共数据进行进一步的智能化开发,让公民能够直观地感受和享受数据聚集带来的便利,那么不仅能够提升数据价值,也能够从公众对服务的使用和反馈中获得更多数据,使“数据共享”真正成为现实,创造价值,达成共用共享的目的。
(四)完善数据共享的协调统筹机构
数据安全领域已基本完成上位法架构,在指导思想、基本原则、重点领域上形成了较为明确的指向[19]。我国提出制定政务数据开放目录,架构政务数据开放平台,促进政务开放(46)参见《数据安全法》第四十二条。。不论是目录的制定,还是政务平台的构建都需要专门的部门机构负责。《数据安全法》第六条规定了数据安全的领导和监管机构:中央安全领导机构即中共中央网络安全和信息化委员会办公室(简称网信办),主要负责网络数据安全的统筹协调和政策的制定;公安机关和国家安全部门由于其特殊性,自行管理数据;各地区、行业及部门的主管部门都要对数据安全负责。但《数据安全法》中缺少对数据开放共享及如何实施等有关内容,对数据如何开放也没有做出明确的规定。
欧盟《数据治理法》中数据创新委员会和欧盟委员会的职责划分可以为我国建立数据开放专门机构提供参考。欧盟委员会作为统领性机构,对欧盟内部数据共享的有关事项具有统筹与决定权。欧盟数据创新委员会是欧洲联盟层面的建议性和监督性机构,可以对欧盟的数据共享提出建议和协助,并对数据共享主体的共享行为是否符合法律的规定、是否损害数据持有者的利益进行监督。数据创新委员会通过低强度的监管干预,对数据共享主体进行横向治理。参见《数据治理法》解释性备忘录通过欧盟委员会和数据创新委员会的相互作用,可以更好地建立数据共享的信任,让数据共享能够被监督。
我国可以在网信办对数据进行统一管理下不断借鉴其他国家数据共享的体制机制,完善我国数据开放的协调统筹和建议机制,对数据开放的重大事项和重要工作进行协调安排,形成自上而下的数据共享协调机制。
六、结语
欧盟关于数据共享的法律法规将逐渐形成一个规则性的框架,在保护个人数据安全的前提下创建更值得信赖的数据共享模式。《数据治理法》中共享公共数据的公共部门机构、推进私营部门数据共享的数据共享服务提供商、为公共利益而建立的利他组织,以及提供建设性意见的数据共享机构,都是欧盟为建立数据共享模式提出的主要数据共享主体。欧盟以保护数据主权为大前提,也积极推动国际数据流动与共享标准的建立和世界范围内的数据共享。
我国面对欧盟这种处于技术和立法领先地位的国际组织,在不放松维护数据安全与数据主权的前提下,继续推进数据的商业化应用和数字经济的发展,驱动数据共享为我国数字经济赋能。《数据安全法》的出台为数据共享提供了安全的法律支撑。我国数据将会在安全的开放环境下,得到更充分、更深层次的利用。随着数字技术的发展,相信数据共享的主体权责的专门立法也将进一步实现。