对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
The following article is from 网安寻路人 Author 冯坚坚 刘晓春
数据隐私和网络安全
专栏
作者:冯坚坚 刘晓春
编者按:
本系列文章将对欧盟数据共享报告及其案例研究做出更深入的解读和分析,同时结合中国法律政策环境的变化发展,对数据共享合法化予以持续的关注和思考。作者为竞天公诚律师事务所上海办公室合伙人冯坚坚、中国社会科学院大学互联网法治研究中心执行主任刘晓春。
系列文章一的主要观点:
欧盟对于数据尤其是个人数据的严格保护,并没有影响欧洲企业间数据共享的蓬勃开展。最新的研究显示,欧洲企业目前的数据共享已经实现了相当程度的规模化和商业化,成功的数据共享案例不仅出现在产业经济和社会生活的多个领域,也在很大程度上获得了产业界及公众的信任。
另一方面,欧盟精英阶层对于GDPR(通用数据保护条例)可能给数据共享带来的不利影响有清醒的认识。一贯强调“政治正确”的欧盟精英们没有在数据流动问题上将“个人信息保护”定性为绝对的“政治正确”,而是采用了更为柔软的姿态去平衡数据共享当中的价值冲突。
在数据共享的竞争中,中国已然落后,推动“数据共享合法化”是中国当下现实而紧迫的需求。
习总书记在2018年4月召开的全国网信工作会议上,再次重申了十九大报告中关于“推动大数据和实体经济的深度融合”的精神,再结合总书记在2017年12月8日政治局集体学习上做出的“实施国家大数据战略加快建设数字中国”的重要讲话[1],“推进数据资源的开放共享”已经被最高领导层上升为中国国家战略。
尽管高层给予充分重视,但是数据共享的合法化仍是在学术界和产业界均存在巨大争议的话题。该话题项下的具体问题包括从“数据所有权”到“个人信息权”的确权定性,再到数据主体、数据控制者、数据处理者各自对于数据拥有何种权利,以及数据如何进行合法交易、转让等等。法律界和实务界的从业者大多都认为,在这些问题没有被回答和解决之前,数据共享的合法化无从谈起。
本系列文章将不会首先讨论这些尚无定论的问题,而是以近日欧盟官方网站上公布的一份研究报告为起点,开始我们对于“数据共享合法化”的分析与思考之旅。
《关于欧洲企业间数据共享的研究》的公布
2018年4月26日,欧盟的官方网站上公布了一份名为《关于欧洲企业间数据共享的研究》(Study on data sharing between companies in Europe)[2]的报告(以下简称“欧盟数据共享报告”或“该报告”),该报告系欧盟委员会委托NTT DATA旗下的咨询公司everis制作。随该报告一同发布的还有针对欧洲16家公司的数据共享案例研究[3](以下简称“欧盟数据共享案例研究”或“案例研究”)。
根据该报告所述,欧盟委员会在2017年初就“建立欧洲数据经济”进行了讨论,并决定展开一项研究,以加深对欧洲经济区(EEA)企业间数据分享和再使用情况的认识和了解。这项研究从2017年7月开始,直到2018年2月完成,研究在欧洲31个国家[4]展开,对129家不同规模的公司进行了调查访问。这些公司主要分布于以下六大行业:数据生成驾驶(例如汽车、运输和物流,比较接近国内车联网的概念)、智能农业、智能制造、电信运营商、智能生活环境(例如家居自动化、传感器、机器人技术、可穿戴技术)、智能电网和计量设备[5]。该研究是带着以下四个问题进行的:
欧洲经济区公司间数据分享和再使用的具体量化规模有多大?
因无法从其他公司获得相关数据而导致错失的商业机会有多少?
企业间数据分享和再使用的障碍是什么?
促成企业间数据共享的成功因素是什么?
需要特别说明的是,该研究没有区分个人和非个人数据,以公司遵守相关的数据保护法规为假定前提。该报告及案例研究的公布,为我们观察和了解欧洲企业数据共享的现状,以及把握未来数据共享的趋势,提供了丰富的信息和资料。
《关于欧洲企业间数据共享的研究》的公布
欧盟数据共享报告长达158页,其案例研究也有104页,因此在本节,我们除了对该报告的主要内容进行概述外,还会重点介绍和分析若干中国数据产业界可能比较关心的问题。对于该报告和案例研究中其他有价值的信息,我们会在后面的系列文章中做进一步介绍和分析。
1、欧盟数据共享报告的内容概述
该报告共由10部分组成,另附有4个附件(附件4为案例研究,单独公布),主要内容包括:
欧洲企业间数据分享和再使用的政策和立法方面的最新发展情况,并讨论了这一领域的有关研究结果;
通过统计分析所收集的数据,对欧洲经济区内的企业间数据分享和再使用的规模进行量化;
通过对部分公司共享数据的典型案例研究,对数据共享的障碍和成功因素进行了深入分析,同时介绍了典型案例中公司的经验教训;
最后,该报告提出了研究的主要结论和以调查事实为基础的建议,以支持未来在欧洲经济区企业间数据分享和再使用领域的政策制定。
2、什么是数据分享?什么是数据再使用?什么是数据共享?
B2B数据共享的概念通常用来指公司之间的数据交换。这一概念包括数据交换的供应和需求方面,其中的主体包括对外分享数据的公司和被授权访问数据的公司。在欧盟数据共享报告的框架内,“数据分享”和“数据再使用”其实只是从供给和需求的不同角度对同一行为的描述,前者限定在数据供应方的视角,后者限定在数据需求方的视角。在此基础上,该报告定义了“数据分享”和“数据再使用”这两个概念。
数据分享:指企业A采用免费或是有偿的方式,向不属于市场竞争对手或者分包商角色的另一家企业B,提供企业B基于其商业目的所需的数据。这些数据是经由分享数据的企业A生成(generate)或收集(collect)的。
数据再使用:指企业B对另一家不是直接市场竞争对手的企业A的数据,基于企业B其自身商业目的进行再次使用(不包括承包-分包的关系)的过程。再次使用的对价可以是免费的,也可以是基于一定的报酬或其他类型的补偿,包括提供服务。
由于英文中“数据共享”和“数据分享”的表达均为“data sharing”,导致欧盟数据共享报告标题中的“data sharing”与报告中和“data re-use”并列的“data sharing”无法进行区分,所以本文用“数据共享”来包含了“数据分享”和“数据再使用”两个概念,以示区别。
3、欧盟数据共享的现状和未来五年的预计
据欧盟数据共享报告所述,无论是在形成该报告的调查中,还是在近期欧盟的其他调查及欧盟委员会于2017年年初组织的公开意见征询中,均有大量证据表明:不少总部设在欧洲经济区的企业一直在分享和再使用数据。
根据2017年进行的一项针对欧洲数据交易市场的研究调查[6]显示:2016年欧盟28国数据交易市场的交易额合计为595亿欧元,预计年增长率为9.5%,将于2020年达到1068亿欧元;欧盟市场上数据需求的总金额加上数据对整个经济直接或间接产生的价值影响,在2016年达到接近3000亿欧元,如果配以适合的法律和政策环境,这一数字在2020年预计将达到7390亿欧元。这项研究还对欧洲数据公司的营收情况进行了统计:2016年,欧洲数据公司的总收入达到约620亿欧元,2015年的这一数字为560亿欧元,2014年为510亿欧元。最后,这项研究认为数据经济对欧盟2016年GDP的贡献比例已达到1.99%,而按照最乐观的预测,到2020年这一比例可能会达到4%。
在形成该报告的调查中,对129家公司的调查访问结果显示:39%的公司声称从事分享数据的行为,其中约20%的公司认为分享数据已构成其主营业务;五年内将分享数据作为其主营业务的公司比例预计会增至46%,而目前尚未参与B2B数据分享的公司中,预计有三分之一在未来五年内会开始向其他公司分享数据。此外,42%的公司声称对来源于其他公司的数据进行再使用,其中很大一部分公司认为数据再使用对其业务非常或极其重要;几乎半数从未对数据进行过再使用的公司都认为,在未来五年内,有可能从事B2B数据的再使用。这些发现证实了欧盟委员会关于“建立欧洲数据经济”的公开意见征询中已经显现的一种趋势,在此次公开意见征询中,三分之一的受访者(主要是企业和协会)声称进行数据分享,超过半数的受访者认为依赖第三方的数据来实现其业务目标。这些发现都表明,欧洲企业已经在大量实践B2B数据分享和再使用,并大大提高了商业生产率。
4、欧洲企业间数据共享产业的主要形式
该报告对欧洲企业间数据共享产业的几种主要形式进行了说明:
数据货币化:比较典型和常见的方式,指公司通过向其他公司分享数据而取得额外收入的单边方法,也包括因获得服务而实现数据货币化。不少此类公司的主要经营目标就是从其产生的数据中(在得到数据主体的有效授权基础上)获得收入。
数据交易市场:数据供应企业和数据需求企业通过受信任的中介机构,在其设立或管理的安全的在线平台上交易数据,中介机构对平台上的每一笔数据交易收取佣金。
工业数据平台:一些公司选择达成战略合作伙伴关系,自愿加入一个封闭、安全和专属的平台,以便从数据交换中获得互惠互利,数据可以在该平台上免费共享,也可以支付对价。这些来自不同公司的数据集合可以给相关各方带来明显收益,参与此类协作平台的公司可能因此开发出新的产品、服务,或是大幅提高原有产品、服务的性能和水平。
技术推动者:一些企业被视为数据共享的“技术推动者”或“技术实现者”,他们并不直接从数据共享中获得收入,而是专门从事并致力于开发和实施针对数据共享的技术解决方案(例如基于网络的软件产品、应用程序或平台),然后据此获得收入。
开放数据策略:虽然比较少见,但也有一些公司选择完全开放数据以促进新产品、新服务的开发。采取此策略的公司大多在法律上负有开放数据的义务,尤其集中在能源领域。
该报告认为,考虑到欧洲数据经济的发展潜力巨大,可能还会不断涌现出B2B数据共享的产业新形式。
在该报告所附的案例研究中,16家案例公司均被归入上述五种数据共享产业形式之一,具体如下:
数据共享的产业形式 | 公司及简介 |
数据货币化 |
|
数据交易市场 | DAWEX(法国公司,数据交易的信任中介) |
工业数据平台 |
|
技术推动者 |
|
开放数据策略 |
|
5、欧洲企业间数据共享所面临的主要障碍
该报告认为其调查研究证实了以往的研究结果,表明最常见的数据分享障碍是技术、成本以及法律障碍。更具体地来说,技术障碍可能包括缺乏互操作性、安全顾虑和其他网络安全要求;成本障碍主要指基于数据长期、安全的储存需求可能产生的基础设施投资;法律障碍主要是“数据所有权”的不确定性、对数据合法利用的边界,以及在满足企业对数据保护方面的法律需求上遇到的困难。在数据再使用方面,直接拒绝、歧视、代价高昂、缺乏互操作性和数据标准化都是目前企业面临的主要障碍。
对欧盟数据共享报告的初步分析与思考
1、中国的数据共享现状
从欧盟数据共享报告及其案例研究中可以看出,欧盟地区企业之间的数据共享已经实现了相当程度的规模化和商业化。如果把数据产业分成白、灰、黑三种形态,虽然可以预计欧洲也同样存在大量的灰色、黑色数据产业链条,但是其白色部分的比重及绝对金额可能均已远远超过了中国。
通过国内的部分新闻报道,我们可以大概了解中国国内数据共享现状。以数据共享中的大数据交易市场为例,《财经》杂志在2018年1月8日的一篇文章[7]中指出,中国大数据交易行业正规玩家们的收入合计一年可能不到50亿元。
另一个更乐观的数字预计来自自媒体公号“DT数据侠”于2018年2月8日发布的一篇文章[8],文中引用了民资背景大数据交易平台“发源地大数据”创始人马建军的观点,他预计2017年的交易额有200亿元左右。尽管作者目前没有看到对于中国企业间数据共享的权威调查研究,但正如大多数从业者所感同身受,和大数据交易遇冷没有本质区别,不同企业间以B2B形式直接进行的合法数据分享和数据再使用同样可以用冷冷清清来形容。中国与欧洲一样,企业在数据共享方面亦面临技术、成本和法律三大障碍的挑战,而且有过之而无不及。
2、中国企业对数据共享在法律层面的顾虑
尤其在数据共享的合法化上,中国企业目前顾虑重重。这些顾虑不仅包括个人信息界定的模糊、数据权利的不确定性、“50条入刑”的刑法威慑,也包括行政监管机构的不统一、执法边界和尺度的不确定,而大公司和大平台更须顾及舆论热点事件引发的公关危机可能对公司形象、高管个人造成的毁灭性打击。从近期Facebook事件在中国社会舆论中引起的热议和关注来看,虽然一方面社会及公民对于个人信息保护的普遍认识得到了提高,但是整个社会的隐私期待(expectation of privacy)也有滑向不切实际、极端化的风险,这对于数据共享的生存发展环境是极为不利的。
3、在竞争中落后的到底是谁?
在中国的学术界和产业界长期对欧盟有这样一种认识,即认为欧盟对于数据尤其是个人数据的严格保护,限制了数据产业乃至整个互联网业的发展,导致欧盟国家在互联网产业上的竞争落后。事实果真如此吗?尽管目前中国国内大型互联网企业风生水起,新兴商业模式层出不穷,外卖、电商带来了巨大的生活便利,但我们不能忽视这一切变化背后的人口红利和国家整体经济实力因素,更不能忽视中国企业目前在数据流动和数据价值挖掘上面临的困境。
最新的研究已经显示,欧洲企业间的数据共享目前已实现了相当程度的规模化和商业化,成功的数据共享案例不仅出现在产业经济和社会生活的多个领域,也在很大程度上获得了产业界及公众的信任;另一方面,欧盟精英阶层对于GDPR(通用数据保护条例)可能给数据共享带来的不利影响有清醒的认识。
欧盟数据共享报告中建议,欧盟委员会和各国政府应保持最低必要限度的监管以促进企业间的数据共享,同时还建议通过一系列“软法”(不具有强制效力的建议性、指导性文件)来为企业共享数据提供更明确的指导。可以清晰感知到的是,一贯强调“政治正确”的欧盟精英们没有在数据流动问题上将“个人信息保护”定性为绝对的“政治正确”,而是采用了更为柔软的姿态去平衡数据共享当中的价值冲突。就连被称为“史上最严格”的GDPR,也在其第1条开宗明义:“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制和禁止。”
当中国学术界和产业界仍在认为中国对于个人信息保护的宽松原则更接近于美国,因而在数据经济领域对欧洲具有天然优势时,欧盟已经在数据共享领域完成了大量立法政策咨询、技术力量储备和社会信任构建的积累工作,欧洲企业已经开始逐渐走上了“数据产生”—“数据共享”—“更好的产品和服务”—“数据主体受益于更好的产品和服务,从而愿意提供更多数据”的良性循环。真正在竞争中落后的是谁已经一目了然,推动“数据共享合法化”已是中国当下现实而紧迫的需求。
(未完待续)
注释
[1]网址:http://cpc.people.com.cn/n1/2017/1209/c64094-29696290.html
[2]网址:https://publications.europa.eu/en/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en/format-PDF/source-69800191
[3]网址:https://publications.europa.eu/en/publication-detail/-/publication/004fcf02-49c7-11e8-be1d-01aa75ed71a1/language-en/format-PDF/source-69800191
[4]这31个国家包括28个欧盟成员国、冰岛、列支敦士登和挪威。
[5]Data-generating driving (i.e. automotive,transport and logistics), smart agriculture, smart manufacturing, telecomoperators, smart living environments (i.e. home automation, sensors, robotics,or wearable technology), and smart grids & meters.
[6]IDC and Open Evidence (2017), European Data Market Study,Final Report (SMART 2013/0063), available at:https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market-study-measuring-size-and-trends-eu-data-economy
[7]首刊于2018年1月8日出版的《财经》杂志。
[8]网址:https://mp.weixin.qq.com/s/HoK568yT1BlzClDTZ3d2Qg
本专栏往期文章
1.《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人。
冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员,曾任阿里巴巴特色中国训练营讲师,长期为众多大型跨国企业、大型互联网科技企业提供法律服务,对于互联网新技术与商业模式有独到而深刻的理解。
自2016年开始,冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务,并从2017年网络安全法生效实施后,协助客户应对与网络安全合规有关的政府检查和调查,在公司的网络安全合规和调查应对上积累了丰富的经验。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.