一、立法背景
2017年9月,欧盟委员会发布了《非个人数据自由流动框架》)以下简称“提案”)(A framework of the free flow of non-personal data in the EU)。一旦提案获得通过并成为最终立法,欧盟各国将不得要求企业必须在本地数据中心存储数据。该提案也将与今年生效的《一般数据保护条例》(GDPR)共同成为欧盟单一数字市场战略的有机组成部分,打造一个强大的欧盟数据空间。
总的来看,欧盟目前仍存在数据跨境流动的障碍和限制,一方面来自各国监管机构的本次化措施,一方面来自各个IT系统的“各自为政”,无法让欧盟的商业机构和组织把我经济、社会和商业机遇。而立法的不确定性和缺乏信任也为非个人数据跨境自有流动增添了额外的障碍。从实践上来看,无法实现数据流动意味着不能充分的选择云服务和最具成本效益的IT资源位置,更无法做到数据资源在云服务商和自身IT系统之间的灵活调整。在非个人数据的自由流动原则下,商业机构可以避免数据资源的无效复制,对于进入新的市场和扩大积极性会感到更有信心。
二、提案要点和消除数据壁垒的必要性
为消除实现欧盟公司、公共行政机构和公民数据自有流动的障碍,该提案的立法要点如下:
(1)通过支持欧盟非个人数据跨境自有流动来支持内部市场的适宜运转。该提案提出了取消那些不公平或不恰当地阻碍企业选择储存或处理数据地点的成员国法律。成员国如果出台新的数据本地化要求或修改已有的规定,应当通知欧盟委员会。
(2)支持监管机构依据职责履职要求在其他成员国接入和获取数据的权力,这一权力应等同于监管机构在本国所采取的做法;
(3)鼓励建立 “自我规制行为准则”(Self-regulatory code of conduct),让更改云服务提供商更加容易。
(4)在每个成员国建立单点联络机制,用来让欧盟委员会及其他成员国进行日常沟通。
欧盟认为,数据驱动创新是就业和增长的使能器,可以有效推动欧盟在全球市场的总体竞争实力,让数据实现跨界自由流动的使用可以最大程度的发展数字经济。因此,接触数据本地化限制将成为释放数字经济潜力的最重要因素,推动GDP增长4%,预计到2020年将达到7390亿欧元。除此之外,尽可能的解除数据本地化限制措施将实现数据服务成本的降低,让商业机构更加弹性的组织数据管理和数据分析,并且扩大他们使用和选择数据服务商的范围。根据测算,这一措施将为欧盟每年增加80亿欧元的GDP。
本提案的基本框架是对即将生效的一般数据保护条例(General Data Protection Regulation,简称GDPR)的有益补充。从高水平的数据保护水平来看,GDPR提供了欧盟范围内个人数据的自由流动和可携带权,因此各个成员国不得以保护个人数据为由强制实施数据本地化。本框架与欧盟现有立法保持了一致,对于个人数据以外的电子数据存储和处置提供了高水平的自由流动原则。同时,本提案的措施也确定了欧盟范围内非个人数据自由流动和携带转移的全面及有效路径。
三、提案对数据安全和欧盟公民的影响
这一法律将提升各类商业和公共数据实现跨境流动后的安全需求。从监管机构的角度来讲,数据安全措施不仅适用于本国数据,当数据在其他成员国存储或处置的过程也同样适用。因此,本法律将让商业机构对跨境情形下存储或接入数据的各项措施树立产生更加明确的安全意识。具体而言,提案中的措施将提升跨境数据存储和处理过程中的安全弹性。在发布本立法框架的同时,欧盟委员会同时提出了新的网络安全认证框架,以便有效的预测、回应和处理各类网络威胁;这一框架将会充分支持各类跨境云和其他数据服务的供给及需求调节,让这一系统更加透明有效。
该立法没有直接覆盖到个人,但不可避免的会对个人权利产生影响。例如,关于数字合同规则的部分强化了用户权利,允许用户终止与数字内容供应商的合同,也允许用户从数字内容供应商处理的数据中调取其个人信息。从中可以看出,这一立法将塑造一个更具竞争力和开放性的单一数字市场,欧盟用户也将从中获益。
作者简介
刘婷,中国信息通信研究院产业与规划研究所工程师,主要从事网络数据和用户个人信息保护、电信和互联网服务监管、用户权益保护等领域的研究
联系方式:liuting@caict.ac.cn
单寅,中国信息通信研究院产业与规划研究所工程师,主要从事个人信息和网络数据保护、ICT监管等领域的研究。
联系方式:shanyin@caict.ac.cn
校 审 | 陈 力、 陆 廷
编 辑 | 凌 霄
欢迎转发分享!
如需转载,请联系授权事宜:
电话:62304025 62300198
Email:media@caict.ac.cn
推荐阅读
点击阅读原文,查看更多