欧盟对数据领域公共安全的态度刍议及中欧潜在合作点思考
——以欧盟“企业到政府”(B2G)数据流动法律战略进程为例
2023-10-13□文凌翔梁昕
□ 文 凌 翔 梁 昕
0 引言
数据流动是数据领域的重要组成部分。当前,欧盟在数据流动领域已形成较为完善的法律战略规范体系。其中,“企业到政府”(B2G)数据流动已成为欧盟在非个人数据流动领域进行战略布局的关键一环。随着2023年3月欧洲议会以压倒性多数通过包含B2G落地规范的《数据法案》,且欧洲议会和欧盟理事会代表于2023年6月27日就《数据法案》达成临时政治协议并待最终批准,欧盟在B2G领域的法律战略框架已基本形成。本文拟从欧盟在B2G数据流动领域的相关规范入手,深入分析欧盟决策者出台法律战略的考量因素,以期寻找中欧在价值理念方面的相似点和共通点,为中欧探索数据领域的合作提供思路与借鉴。
1 B2G数据流动规范在欧盟现有数据流动法律战略体系中的定位
近年来,欧盟在数据流动领域出台了多部具有前瞻性的法律框架与战略规划,试图通过体系化进程探索打造“共同数据流动空间”和“单一数字市场”。其陆续推出并付诸实践的法律框架与战略规划,构成了欧盟在数据流动领域的整体规范体系。
依据法律和战略规范的对象,欧盟将数据流动整体划分为个人数据流动和非个人数据流动两部分。针对个人数据流动,欧盟在2018年5月25日生效的《通用数据保护条例》(GDPR)中进行了较为明确的规范,构建了“用户到企业”(C2B)、“企业到用户”(B2C)、“用户到用户”(C2C)等数据流动规范。
与个人数据流动相对应,欧盟也开始探索非个人数据流动方面的法律规范框架。根据数据流动方式的不同,可将非个人数据流动划分为“企业到企业”(B2B)、“政府到企业”(G2B)、“政府到政府”(G2G)、“企业到政府”(B2G)等四大类。由于欧盟数据规范涉及领域众多且繁杂,本文拟从B2G数据流动这一细分领域入手,对涉及到B2G的法律战略进行梳理,以期理解欧盟制定法律战略的行为逻辑和考量因素。
值得注意的是,欧盟在非个人数据流动方面的任何一部法律战略,不能被简单划归到B2B、G2B、G2G、B2G中的单一类别中,如欧盟提出的《数据治理法案》涉及B2B、G2B等领域,下文将重点分析的《数据法案》更是涉及B2B、G2B、B2G等领域。因此,需要明确的是,下文所研究的主要对象——“欧盟在B2G领域的法律战略”,指的是部分内容涉及到B2G相关规范的法律战略,但相关文件并非专门规范B2G的法律战略。
在欧盟涉及B2G领域的法律战略进程中,主要有四部法律战略值得重点关注分析(如图1所示)。
图1 欧盟在B2G数据流动方面的法律战略及其在欧盟现有数据流动法律战略体系中的定位
2017年1月10日,欧盟委员会发布工作文件《关于数据自由流动和欧洲数据经济新问题》,对B2G数据流动的监管框架进行初步性探讨,建议适当赋予公共部门访问企业数据的权力,且须制定规范程序和保障措施,并建立补偿机制。2018年4月25日,欧盟发布政策文件《迈向共同的欧洲数据空间》,首次提出B2G数据流动的六大原则,包括“比例原则”“目的受限原则”“避免侵害原则”“互惠原则”“减轻局限性原则”“增加透明度原则”等。2020年2月19日,在欧洲数据流动领域较为重要的指引性政策文件《欧盟数据战略》发布,在B2G领域呼吁建立支持B2G数据共享的治理框架;在公共部门与企业中创建和推广受认可的数据管理架构;组织B2G数据共享合作试点;探索建立欧盟具体监管框架;明确企业在因公共利益被索取数据时可获得适当补偿。
随着欧盟B2G规范逐渐从概念层面传导到法律政策层面,《数据法案》应运而生,对欧盟B2G数据流动框架进行了详尽的程序性细化和补充。该法案于2021年开始在成员国和公众间征求意见,并于2022年2月23日正式发布提案。最终,《数据法案》于2023年3月14日在欧洲议会全体投票时以压倒性多数获得通过,且欧洲议会和欧盟理事会代表也于2023年6月27日就《数据法案》达成临时政治协议并待最终批准。《数据法案》对欧盟B2G数据流动框架进行了详尽的程序性细化和补充,创造性规范了“谁有权使用数据”和“公共部门如何从企业处获得数据”等方面的操作性内容。
至此,欧盟B2G数据流动领域的法律战略框架基本形成。下文将重点从实操性的角度分析欧盟对B2G数据流动的具体规范,并从中分析出欧盟在法律政策制定中的具体考量。
持有数据的企业应基于公共部门的特殊需求向公共部门提供数据。
2 欧盟对B2G数据流动进行规范的主要内容
欧盟《数据法案》第五章“根据特殊需求向公共部门提供数据”,详细阐明了公共部门“可基于特定公共利益目的”访问和使用企业数据的法律规范。该章节主要从以下四个方面进行阐释:
2.1 公共部门享有获取企业数据的权利
《数据法案》第五章第十四条规定,“根据要求,持有数据的企业应基于公共部门的特殊需求向公共部门提供数据。”该法条明确赋予公共部门享有获取企业数据的基本权利,是B2G数据流动的基本法律来源,为欧盟应对各类安全威胁、合理获取企业数据提供了法律依据。该法条明确表明“基于特殊需求”这一前提,法案第五章第十五条明确规定了“特殊需求”的范围:一是“所要求的数据是应对公共紧急情况所必需的”;二是“数据要求的时间和范围受到限制,且是为了应对公共紧急情况或协助从公共紧急情况恢复到常态所必需的”;三是“由于缺乏可用数据,公共部门无法完成法律明确规定的符合公共利益的特定任务,以及无法通过替代手段获得此类数据”。
2.2 公共部门承担“要求透明”和“隐私保护”的义务
随着B2G数据共享的实践不断涌现,为了更好地规范公共部门的行为,欧洲社会对于数据要求公开性和透明度的诉求更为凸显。《数据法案》第五章第十七条第一款规定,“(1)公共部门应明确表明需要哪些数据;(2)证明要求提供数据的特殊需求;(3)解释数据要求的目的、所要求数据的预期用途以及使用期限;(4)说明要求提供数据的法律依据;(5)规定提供数据的截止日期,或企业可要求公共部门修改或撤回要求的截止日期。”该条第二款规定,“提出数据要求应当:(1)以企业可理解的清晰、简明且直白的语言表达;(2)在所要求数据的颗粒度、数量以及访问频率方面,与特殊需求相称;(3)尊重企业的合法目的,同时考虑商业秘密保护以及提供数据所需的成本和努力;(4)尽可能关注非个人数据;(5)告知企业不遵守要求须承担处罚;(6)在网上公开发布数据要求且不得无故拖延。”通过对公共部门在数据要求环节义务的明确规定,可形成更加公平的责任分配和问责机制。
2.3 企业承担按照要求提供数据的义务
根据《数据法案》,企业在面对公共部门基于公共利益考量所提出的合理数据要求时,应让渡部分权利并承担按照要求提供数据的义务。第五章第十八条第一款规定,“企业在收到根据本章所提出的数据查阅要求后,应立即向提出要求的公共部门提供数据。”同时,为规避数据滥用行为,第五章第十八条第二、三款也规定了豁免条款,“当发生以下两种情况时,企业可在收到应对公共紧急情况所需数据的要求后5个工作日内,或在其他特殊情况下15个工作日内,拒绝或寻求修改要求:一是数据不可用或者不符合本法案所规定数据的要求条件;二是基于同一目的已向其他公共部门提供的,且尚未收到销毁数据通知的。”
2.4 企业享有获得补偿的权利
推动企业与公共部门共享数据,最大的潜在障碍在于经济利益。对此,《数据法案》在第五章第二十条规定了适当的激励措施,以鼓励企业提高积极性,“一般来说,为应对公共紧急情况而提供的数据应免费提供。如企业在按照要求提供数据后欲申请补偿,则该补偿不得超过为遵照该数据要求而导致的技术和组织成本。”通过此规定,一方面可保证获取数据的补偿水平和企业提供数据所需的成本实现有效挂钩,另一方面也可充分保障企业的合法权利。
企业在按照要求提供数据后欲申请补偿,则该补偿不得超过为遵照该数据要求而导致的技术和组织成本。
3 欧盟规范B2G数据的考量因素分析
随着《数据法案》正式进入最后立法程序阶段,欧盟在B2G数据流动领域的法律战略进程的全貌逐渐呈现在公众面前,欧盟决策者的出发点和考量因素也日渐清晰。本文认为,欧盟决策者加速落地B2G数据流动的法律战略进程,主要有以下三方面考量:
3.1 起始点:疫情笼罩扩大规范范围
2020年以来,面对疫情不断扩散蔓延所带来的陡然上升的公共安全威胁,欧盟决策者开始将关注重点对准各类涉公共卫生安全数据,这其中就包括与疫情防控相关的企业数据。通过对比2020年前后欧盟法律战略文本中关于B2G数据流动的相关表述,我们可清晰看出疫情加速蔓延在很大程度上影响了欧盟决策者的思维逻辑,使得欧盟决策者对于公共安全的重视程度明显提升,并推动其细化落实B2G数据流动的程序性规范,以期更好地解决公共安全问题。
在2020年2月19日《欧盟数据战略》发布后仅一个月,欧盟机构和成员国就迫不及待地推动B2G数据流动具体实践的落实,充分反映出欧盟决策者对于公共安全的担忧程度。据英国路透社2020年3月18日报道,意大利、德国和奥地利等欧盟成员国的卫生部门开始要求获取移动运营商的数据,以对民众是否遵守行动限制政策进行有效监管。如在意大利政府要求下,移动运营商Telecom Italia、Vodafone和WindTre已向政府提供涉及用户行踪的基础数据。
3.2 加速器:局势变化增加安全担忧
当前,世界百年未有之大变局进入加速演变期。特别是俄乌冲突以来,国际格局发生深刻变化,欧盟对于自身安全的担忧日渐成为决策者的重要考量因素。由于网络空间日趋与现实世界深度关联,欧盟对于网络空间外的传统地缘政治安全担忧,也传导到网络空间之中。同时,欧盟社会舆论中关于成员国大选被域外势力“操控”的声音时有发生,更加反映出欧盟上下已将公共安全问题摆在了较为突出的位置。
例如,欧盟网络安全局(ENISA)2022年11月3日发布《2022年网络威胁形势研究报告》称,“随着地缘政治局势发生剧烈变化,基于人工智能技术的虚假信息和深度伪造信息数量呈现井喷式增长,数据操纵问题日渐成为威胁网络空间安全的突出问题。”在安全问题日渐成为欧盟决策者突出考量的大背景下,有效防范基于数据的渗透操纵成为欧盟数据领域的热门话题,而将基于公共安全目的的B2G数据流动进行有效管理则是题中之义。
3.3 助推剂:防范超大平台数据垄断
由于当前欧盟范围内尚未出现具有国际影响力的超大互联网平台,其网络空间中处于主导地位的多为具有美国背景的超大平台。由此所产生的以美企为代表的超大平台坐拥数据并形成垄断的风险,一直成为欧盟决策者担忧的对象。2022年3月25日,欧盟与美国为了解决《隐私盾协议》被判无效而提出的“欧盟—美国新的跨大西洋数据隐私框架”,正是这一战略考量的典型体现。防范以美国为主导的超大平台数据垄断的战略考量,对欧盟推动B2G数据流动法律战略制定工作起到了重要作用。
例如,欧盟委员会于2022年11月7日决定对Airbnb等网络房屋租赁平台数据开展监管,要求Airbnb等每月主动与公共部门共享平台用户信息,且公共部门有权对违规行为进行惩治。再比如,在欧盟法律战略影响下,美国互联网巨头微软于2023年1月1日提出面向欧盟公共部门的“欧盟数据边界计划”,向欧盟提供数据本地化服务,并允许公共部门在欧盟存储和处理用户数据。
4 欧盟与我国数据安全价值取向的相似点和共通点
欧盟对数据安全的重视程度与日俱增,特别是在近年来公共安全领域风险突出的大背景下,欧洲内部对非个人数据流动领域的企业数据流动进行有效规范的舆论呼声日渐高涨。本文认为,欧盟在B2G数据流动规范中所体现出的价值取向,充分兼顾了“两个平衡”,即“公共安全与个人安全的平衡”,以及“公共安全与企业权益的平衡”。从理念角度来分析,欧盟近年来的立法和政策制定精神,与我国网信价值理念有共通之处。
4.1 兼顾公共安全与个人安全的平衡
由于GDPR在欧盟数据法律战略框架中处于较为突出的位置,欧盟所提出的“数据主权”概念时常被视为对欧盟辖区内用户个人数据安全的有效保护,“以保护用户数据安全为出发点去限缩公权力和企业行为”常被理解为欧盟决策的主要目标。但通过以上梳理发现,欧盟近年来对公共安全的重视程度明显提升,开始呈现兼顾公共安全和个人安全平衡的趋势,特别是在面对地缘政治问题、公共卫生事件和企业垄断风险等问题时,欧盟对公共安全的担忧和重视尤为突出。从价值理念方面来看,欧盟在价值取向上的“微调”,是“公民至上”和“公共至上”价值理念两极之间动态波动的结果,特别是当发生疫情暴发后所出现的“个人绝对自由VS公共整体利益”矛盾时,欧盟决策者的价值理念开始出现一定程度的转向是必然的,同时也是科学的。
4.2 兼顾公共安全与企业利益的平衡
从数据权属来看,用户数据是企业数据的重要组成部分,是企业收集、使用、处理行为的主要客体。从法条来看,公共部门出于公共安全目的推动B2G数据流动,既有对来自企业储存的个人数据调取的机制性保护,也有对企业合法利益的有效保障。通过有效限制公共部门“特殊需求”的适用范围,并对公共部门获取数据的程序进行明确规定,一方面可以充分保障企业在数据权属方面的合法权益,另一方面也可确保企业积极配合公共部门的合法数据要求。从价值理念方面来看,兼顾公共安全与企业利益的平衡,是有效平衡安全与发展这两大理念的重要体现,在一定程度上避免了资本对公共安全的侵蚀,同时也保障了资本的合法权益。
4.3 中欧在价值理念上的相似点
习近平总书记深刻指出,“国家安全是安邦定国的重要基石,维护国家安全是全国各族人民根本利益所在。”“安全和发展是一体之双翼、驱动之双轮。安全是发展的保障,发展是安全的目的。”在习近平总书记关于网络强国的重要思想的指引下,中国的网信事业发展坚持总体国家安全观,深刻认识国家安全的重要性,深刻理解国家安全和人民安全的有机统一关系,深刻实践安全和发展的辩证统一关系。同时,党和政府高度重视营造良好的营商环境,党的二十大报告明确指出,要“营造市场化、法治化、国际化一流营商环境”。
通过梳理欧盟在B2G数据流动规范中所体现出的数据安全价值取向可以发现,当今中欧双方都在网信法律战略理念、规划和政策落实方面,高度重视公共安全与个人安全、公共安全与企业权益的有效平衡,以期达到维护公共安全和保障人民福祉的目的。中国和欧盟在价值取向方面的相似点值得继续关注研究。
从数据权属来看,用户数据是企业数据的重要组成部分,是企业收集、使用、处理行为的主要客体。
5 对我国的借鉴意义与发展建议
5.1 借鉴他人经验,形成有效规范
目前,我国尚未在B2G数据流动领域形成专门规范,对其中涉及到的权利义务尚未进行明确规定。建议不断加强对欧盟在该领域法律战略的学习与借鉴,针对我国网络空间实际进行有效“扬弃”,推动构建适合我国安全与发展的B2G数据流动框架,对符合国家安全的B2G数据流动活动进行法律授权和政策支持,同时有效保障包括企业在内的各方合法权益,推动我国数据流动工作形成有效制度机制,助推数字政府建设,提升公共治理水平,有效维护国家安全与发展利益。
5.2 寻找价值认同,推动合作突破
中欧在数据领域对于公共安全的价值考量存在一定程度的共通点,或可成为中欧在网信领域开展务实合作的试点项目。建议在该领域探索开展交流和试点工作,以一域之内的数据流动经验交流为切入口,推动中欧之间开展战略释疑和价值沟通工作,加深中欧双方价值理念理解与互信,继而实现对彼此基于自身实际出台的法律战略做到双向尊重、包容与认同,从而推动欧盟形成自主的对华认知,奉行自主的对华政策,为推动中欧关系健康稳定发展提供帮助。
5.3 加强合规培训,开拓对欧市场
当前,我国有大量“出海”企业在欧开展正常商业活动。针对当前欧盟法律政策价值的优化完善,应加强对相关“出海”企业的法律合规培训工作,帮助相关企业充分了解并主动适配欧盟政策精神和法律规范,定期开展政策合规性自审自查工作,推动企业“入乡随俗”、合法合规开拓海外市场。此外,助力“出海”企业认真分析部分企业在美国等国家或地区所面临的政策安全风险,做好共性问题隐患梳理与防范工作,及时做好应急预案和风险防控,形成有利于企业平稳健康发展的内控机制和发展战略。
6 结束语
随着欧盟法律战略规范体系的不断完善,欧盟在B2G数据流动领域的价值取向更加清晰。相比于“欧盟在数据领域突出重视个人领域数据安全”的传统观点,本文认为欧盟近几年在B2G数据流动领域的战略布局,充分凸显欧盟更加重视“公共安全与个人安全的平衡”及“公共安全与企业权益的平衡”。针对这一新趋势,我国应积极加强战略研判,主动探寻中欧在数据领域的价值相似点和合作新锚点,助力欧洲采取更加独立的对华政策,推动中欧关系行稳致远。