其他
吴沈括 胡然 | 欧盟委员会《欧洲数据治理条例》提案研究
The following article is from 数字治理全球洞察 Author 梦溪拾笔
作者 | 吴沈括(北京师范大学网络法治国际中心执行主任,博导,中国互联网协会研究中心副主任)
胡然(北京师范大学网络法治国际中心研究员)
来源 | “数字治理全球洞察”微信公众号
感谢吴沈括教授对本文的授权。
前言
一、欧盟委员会《欧洲数据治理条例》提案出台的背景
《欧洲数据治理条例》(数据治理法案)提案作为《欧洲数据战略》下的第一项倡议成果,将以单一市场的规模为基础,根据明确、实用和公平的访问和再利用规则,在欧盟内部和不同行业之间提供数据流动的空间,确保在符合欧洲公共利益和数据提供商合法利益的条件下,更为广泛地在国际上共享数据。数据作为人工智能等数字技术的主要输入,没有大量数据,即使是最复杂的算法或计算基础设施也无法成功,而数据共享则是获取大量数据的重要环节。如果欧盟为竞争性数据共享创造适当的条件,欧洲企业仍然有机会成为可信的、经济上有吸引力的非欧盟竞争对手的替代品。在该提案出台之前,在数据共享过程中经常会出现因缺乏对数据共享的信任,而产生难以重复使用相关数据的障碍,导致数据使用的成本过于高昂。基于保护和管理个人和企业所共享的数据的目的,《欧洲数据治理条例》(数据治理法案)提案应运而生,该提案规定了一系列增加数据共享信任度的措施,意图消除因缺乏信任所产生的障碍。对此,欧洲内部市场专员Thierry Breton表示:“我们正在定义一种真正的欧洲数据共享方式。随着工业数据在我们经济中的作用越来越大,欧洲需要一个开放且主权的单一数据市场,在正确的投资和关键基础设施的支持下,我们的监管将帮助欧洲成为世界第一的数据大陆。”
二、欧盟委员会《欧洲数据治理条例》提案的制度设计
提案还支持公共部门的数据在商业或者非商业用途中重复使用,而这些数据在数据保护、知识产权或者商业秘密方面通常是十分敏感的,故在很多情况下,公共部门数据不能作为开放数据提供给大众,但该提案明确提出倡导建立可重复使用公共部门数据的机制,并辅以相关制度予以完善和保护,如健康数据的重复使用可以促进研究,以期找到治疗罕见或慢性病的方法。针对重复使用数据的行为,提案规定了相应的时间限制和义务限制,即享有重复使用这些数据的权利不应超过三年,且公共部门的下属机构没有义务允许重复使用这些数据,但那些允许这种类型重复使用的机构需要在技术上做好相应准备,以确保数据保护。同时,并非所有公共数据都可以重复使用,提案对能够重复使用的数据的敏感度水平附加了一定的条件,例如公共当局可能会强制要求匿名或假名个人数据或删除商业机密信息,包括商业秘密等。
鉴于欧盟在第一波数字创新(如社交媒体或者网络购物)的数据获取方面处于竞争劣势,欧盟为准备迎接来自亚洲和美国的第二波工业数据的挑战,提案中还规定了“数据利他主义”,即允许私营部门在利他主义的基础上为追求共同利益而与非营利实体共享数据或者使用数据,比如电信数据已经被用于预测西非的埃博拉疫情。公民个人或者企业可以同意所谓的“数据利他主义”,以自愿和免费的方式分享他们为公共利益产生的数据。当公民个人或者企业希望共享自己的个人数据时,或者其想捐赠这些数据来满足公共利益时,将会在自己所控制的个人数据空间内进行自由处置。例如,患有罕见疾病的人可以自愿分享他们的医学测试结果,用于改善对这些疾病的治疗。新的个人数据空间将确保人们可以控制自己的数据,个人数据空间还将确保它们仅用于约定的目的,仅在这种情况下用于医学研究,而不会在不知情的情况下另作他用。
针对自愿共享的数据,提案建立了相关标准,对所共享的数据进行标准化处理,对数据集、数据对象和标识符进行更加准确和尽可能一致的描述,以便于数据在各国、各部门及企业机构间流动时不产生误解,使数据具有良好的可查找性、可访问性以及可重复使用性,同时这也是确保其他人可以使用数据的有用标准。提案中还指出,阻碍数据共享造福社会的是工具的缺乏,而不是意愿的缺乏。许多公民个人和企业都愿意分享其所掌握或形成的数据,但因缺乏相应的保护手段和措施造成了数据共享的阻滞。数据本质上是免费提供的且用于纯粹的非商业用途,其意在使社区或整个社会受益,故应为公民个人和公司创造适当的条件,使其在分享数据时能够相信这些数据将由受信任的组织根据欧盟的价值观和原则进行处理。基于此种情况,《欧洲数据治理条例》(数据治理法案)提案规定了一系列增加数据共享信任度的措施,特别是使数据能够跨部门和跨国界使用,并能够为正确的目的找到适当的数据。例如,提案规定允许公民个人自愿捐赠他们的数据用于科学研究或者其他有益的目的,提出建立一个由每个欧盟成员国代表组成的“欧洲数据创新委员会”形式的专家小组的计划等。
三、欧盟委员会《欧洲数据治理条例》提案与数据共享
欧洲数据共享的对象包括两方面,一是对企业、私人部门,另一个是对其他公共部门。欧盟委员会认为现行的数据共享模式在这两方面都有必要加强。对于面向企业、私人部门的数据共享主要存在两个问题,一是数据资源分散,企业获取困难。二是敏感信息共享方式不明确。过去欧盟虽然积极鼓励共享数据,但各部门独立发布,数据发布的周期、类型、格式均有差异,而且在各成员国之间也存在区别,且特别对于中小企业来说收集数据过程较为复杂,收集这些碎片化的信息存在一定困难。故《欧洲数据治理条例》(数据治理法案)提案明确了数据共享的获取方式以及着重强调了数据共享的整体性。提案并不强制要求任何人共享数据,而是促进数据共享的发展,为那些愿意共享数据的公共机构、公民个人或者企业提供了法律上的清晰度和值得信赖的环境。提案明确规定了两种截然不同的要素,首先,对于公共机构持有的数据,欧盟委员会希望能够利用那些因为太过敏感而导致目前没有共享的数据。它这些数据之所以敏感,是因为它们关系到他人的权利,例如,这些权利可能涉及知识产权、商业机密性或隐私权。而提案的规则提出后,这种数据已经可以实现共享且可以被重复使用,即使数据位于其他国家也会受到合理的保护。另外,对于一些有助于公共政策制定、社会治理的数据,例如健康数据、环境数据等,公共机构可以根据需要通过特别项目的方式获得一部分企业数据的使用权,将获得的数据与政府现有的数据进行对照匹配,互相补充。除了企业单独收集的数据外,更重要的是对企业共有数据进行所有权和使用权的确权问题,这种情况主要指利用物联网等新型数据收集方式形成的企业共有数据。在此期间,提案还调整了当前阻碍数据共享的规定,打通节点并以法律形式澄清数据使用的责任问题,避免数据提供方因第三方错误而受到不公正的牵连。
其次,为了促进数据共享,提案也为相应的数据中介机构制定了原则,为公共数据空间中的数据共享提供基础设施。数据中介机构背后的原则是促进自愿数据共享,同时保持公司和家庭对数据的控制。只有当这些中介机构得到充分信任时方才有效。基于此,提案详细规定了数据中介机构进行数据共享的限制,以及确保数据中介机构在欧洲公共数据空间内作为可靠的数据共享或汇集组织者发挥作用的措施。数据中介机构本质上是数据共享服务提供商,公共机构、公民个人或者企业只有确定其数据不会被数据共享服务提供商用于其实际和明确商定的目的之外的任何其他目的,才会准备好共享数据,这也为那些愿意共享数据的人提供了一个安全的环境。数据共享机构被认为是“中立和透明的”,其将被用来组织数据共享和数据汇集,形成以主要科技平台数据处理实践的新模式。数据中介机构必须向主管公共当局通知其提供数据共享服务的意向,且只能作为连接数据持有者和数据用户的中立第三方发挥作用。为了确保这种中立性,该提案明确规定数据共享中介不能自行处理数据或者为了自己的利益使用这些数据,而是必须严格遵守相应的要求,比如其不能将数据出售给另一家公司,或者适用数据来开发基于这些数据所形成的产品。无论是只提供数据共享服务的独立组织,还是在其他服务中附加提供数据共享服务的公司,其数字共享活动都将被允许,但必须与其他数据服务严格分开,数据中介机构也需将其提供数据共享服务的意向通知主管当局,主管当局必须随时监督关于这些要求的遵守情况,而欧盟委员会也将保留一份数据中介机构的登记册。如果数据中介机构的不在欧盟境内,应当指定一名代表来负责相关法律程序,从而尽可能地确保公民个人和企业的数据共享得到保护。
结语
-END-
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能
点击「在看」,就是鼓励