对“数据共享合法化”的分析与思考 系列之三 ——更好的保护才能更好的共享
编者按:
本系列文章将对欧盟数据共享报告及其案例研究做出更深入的解读和分析,同时结合中国法律政策环境的变化发展,对数据共享合法化予以持续的关注和思考。作者为作者为竞天公诚律师事务所上海办公室合伙人冯坚坚、中国社会科学院大学互联网法治研究中心执行主任刘晓春。本系列文章一见:对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点。文章二见对“数据共享合法化”的分析与思考 系列之二 ——欧盟B2B数据共享的案例研究
系列文章三主要观点:
严格而适当的个人信息保护体制可以给个人、企业、社会带来更大的信任感和安全感,在此基础上,企业间的数据共享将获得更广泛、更深入的数据主体授权和民意支持,进而为企业间数据共享创造更友善的社会环境、法律政策环境,推动其进一步的发展。
个人信息保护立法应当防止绝对化倾向,并应从企业数据共享的角度监测相关法律规定的执行情况,以便查明可能存在的差距或灰色地带,了解企业在遵守法律方面遇到的障碍。
中国政府在推动“数据共享合法化”的过程中,可以借鉴欧盟数据共享报告中的建议,创建一个示范性的B2B数据共享体系或机制,支持数据互操作性和相关标准的发展,并为有助于企业间数据共享实现的技术研发、项目开展提供财政扶持。
企业的数据合规能力建设已不再是纯粹的风险规避型成本支出,数据合规能力已逐渐成为企业的核心竞争力之一,并将持续为企业直接创造利润和更大的价值。
正文:
本文系《对于“数据共享合法化”的分析与思考》系列文章的最后一篇,主要通过介绍《关于欧洲企业间数据共享的研究》[1](以下简称“欧盟数据共享报告”或“该报告”)的主要结论和该报告针对欧盟委员会提出的建议,让读者对于“数据共享合法化”在中国的实现路径产生进一步的思考。
一、欧盟数据共享报告的主要结论
通过调研和案例分析,该报告得出了如下主要结论:
有大量证据表明,欧洲经济区的企业一直在进行企业间数据共享,且将继续增长。欧洲企业已认识到B2B数据分享和再使用对其商业产出能力的提高,企业之间通过共享数据,能够探讨开发新产品、新服务以及新业务模式的可能性。在今后五年内,欧洲企业中愿意对外分享数据的企业数量和希望对其他企业数据进行再使用的企业数量预计会继续大比例增长。虽然人们对B2B数据共享的兴趣越来越大,但对这一概念还没有完全达成共识,在某些情况下,这一概念仍会受到怀疑和误解。
欧洲企业的数据经济生态系统中存在着不同的参与者,采用着不同的商业模式。共享数据供应商和共享数据使用者是这个生态系统的关键参与者。企业在这个生态系统中可能扮演双重角色, 即它们既是共享数据供应商又是共享数据使用者。此外,工业数据平台、数据交易市场和数据共享的技术推动者亦是这个生态系统的重要参与者。欧洲企业B2B数据共享的商业模式包括数据货币化、数据交易市场、工业数据平台、技术推动者和开放数据策略。
数据通常在同一领域中分享和再使用,但共享数据提供者仍只倾向于分享他们所生成数据的一小部分。主要共享数据供应商和共享数据使用者基本都是大企业,数据通常在同一领域中分享和再使用,更进一步来说,共享数据提供者只愿意与与他们有密切业务关系的企业共享数据。这些共享数据主要是由企业内部IT系统生成的数据(如关于产品、服务、销售、物流、客户、合作伙伴或供应商的信息)以及由物联网(IoT)生成的数据(包括传感器和移动电话),其中实时或接近实时的数据以及交易数据最为受到欢迎。必须强调的是,根据调查结果,共享数据提供者仍只倾向于分享他们所生成数据的一小部分,这一发现与欧盟委员会于2017年年初组织的公开意见征询[2]中所收集到的意见相一致。
由于从其他企业获取实时数据或定位数据方面的成本预算不足,有可能导致共享数据使用者错失商业机会。在该报告中,失去的商业机会被理解为,由于企业无法从其他企业获得数据,而无法将新的或改进迭代的产品、服务引入市场。通过调查收集到的反馈可以得出这样的结论:投入大量资源从其他企业获取实时和地点/定位数据,可对将新的或改进迭代的产品、服务引入市场产生积极影响。
应用程序编程接口(API,Application Programming Interfaces)是企业之间分享和再使用数据的首选机制,但也存在更多的技术解决方案。该报告证实了以前的研究结果,表明API是在B2B数据共享中的首选技术机制。事实证明,这一机制能够方便、迅速地获取数据,监测数据的使用情况,并对滥用数据的情况采取行动。其他机制还包括软件开发工具包(SDK,Software Development Kits)、文件传输协议(FTP,File Transfer Protocols)、基于云平台或基于web的软件产品,此外还存在一些比较简单的机制(例如通过电子邮件或DVDs)。工业数据平台和数据交易市场在某种程度上也可被理解为数据共享的技术机制。
数据共享仍存在重大障碍,技术能力和法律合规能力对于企业的B2B数据共享至关重要。该报告指出,妨碍数据分享的最常见障碍包括技术、成本以及法律障碍。更具体地来说,技术障碍可能包括缺乏互操作性、安全顾虑和其他网络安全要求;成本障碍主要指基于数据长期、安全的储存需求可能产生的基础设施投资;法律障碍主要是“数据所有权”的不确定性、对数据合法利用的边界,以及在满足企业对数据保护方面的法律需求上遇到的困难。在数据再使用方面,直接拒绝、歧视、代价高昂、缺乏互操作性和数据标准化都是目前企业面临的主要障碍。此外,通过该报告的案例研究[3]显示,在B2B的数据共享中,企业的技术能力和法律合规能力至关重要。技术技能包括信息技术专门知识(如软件开发人员和工程师),以便能够建立、实施和跟踪实现数据共享的基础设施和机制,以及通过这些设施和机制对数据进行可视化处理。然而,正如接受访谈的企业所重点强调的,法律合规能力是企业进行B2B数据共享时的一项核心能力,该能力有助于确保关于数据的相关立法得到充分理解,帮助企业确定如何合法合规地处理数据,并对滥用数据的情况及时采取行动。
许可协议(Licensing Agreements)是B2B数据共享的关键要素。许可协议是企业之间分享和再使用数据过程中必不可少的要素,该协议明确界定了使用数据的条件和限制,也规定了数据可再使用和用于何种目的的期限。通过对企业的实地访问发现,在大多数情况下尽管会使用模板协议,但许可协议的具体内容仍是针对每个共享数据使用者而定制的。这些协议通常十分详细,且经过漫长、昂贵和复杂的协商过程。但正如案例研究中的一些企业所强调的,许可协议除了提供法律保护外,还是确保企业之间信任的关键工具。
建立信任并保持简单,是成功进行B2B数据共享的重要因素。该报告深入地探讨了对各企业成功共享数据产生积极影响的因素:与共享数据使用者和共享数据供应商从一开始便建立信任关系是一个重要方面;其他关键因素包括了解对数据的需求、建立伙伴关系以及建立简单方便的机制、工具和许可协议;最后,法律和政策体系在规范相关问题(如数据保护、知识产权)和促进B2B数据共享方面也发挥着非常关键的作用。
针对企业间数据共享仍需要进行更多的研究。该报告指出,虽然最近的研究使人们对B2B数据共享有了一般性的了解,但还需要进行更多的调查和研究,以掌握B2B数据共享中不同模式的特殊性。例如,目前对B2B数据共享技术推动者仍知之甚少,它们在市场中生长壮大的土壤和条件是怎样的;考虑到数据交易市场在欧洲具有相当的独特性,今后的研究可以调查在其他国家(例如美国、日本、中国)运作的数据交易市场,这将有助于掌握在欧洲需要创造哪些条件来支持其他受信任的中介机构建立其数据交易市场(例如在某一专门领域内)。
二、欧盟数据共享报告针对欧盟委员会提出的建议
该报告为今后的政策制定提供了一套切实可行的建议,这些建议考虑了该报告中提到的主要问题,也考虑了调查研究中收集的反馈意见以及对B2B数据共享感兴趣的企业和利益相关方的意见。
建议一:进一步发展“B2B数据共享”的概念
尽管欧洲企业之间共享数据已有多年,但“B2B数据共享”在一定程度上仍然是新颖和未知的概念。另一方面,在政策文件中,该词又经常被互换为“数据访问和传输”,这也可能造成不确定性,并导致了误解,包括对监管机构意图的误解。
提请欧盟委员会:与欧洲经济区的企业和利益相关方共同确定B2B数据共享的定义。
建议二:提高对B2B数据共享的认识
自2016年以来,欧盟委员会一直在通过一些举措让企业和其他利益相关方参与关于B2B数据共享的更广泛讨论。为了加强其行动,欧盟委员会目前正在计划建立一个数据共享支持中心,以帮助确定和分享欧洲的最佳实践,并提供技术指导。
鼓励欧盟委员会和各成员国政府:
开展以用户为中心的运动,让企业和利益相关方参与整个运动过程(从设计到执行)。这一运动的目的是明确企业之间数据分享和再使用的不同方面和商业模式,展现数据共享的价值,并解释数据共享活动法律基础的特征。
继续通过政策和基于实践的方法,提高人们对B2B数据分享和再使用价值的认识,包括交流、建议、决议,以及促进企业之间数据分享和再使用的工具包或指南。
提高已进行B2B数据共享企业的知名度。这类案例可以帮助感兴趣的企业了解如何启动数据共享活动,如何安全有效地共享数据,以及如何避免和应对其他企业遇到的挑战。
建议三:就有关条例和指令提供指导
在过去几年中,欧盟委员会一直致力于通过修订关于电子通信中数据和隐私保护的政策,审查基于数据的权利,或取消与非个人数据有关的数据本地化限制,来加强法律体系建设。这些规则(或关于规则的建议)涵盖了B2B数据共享的重要方面。同时,这一法律体系为企业的合同自主权留下了足够的空间,这对其追求商业目标至关重要。但在法律体系的某些方面,似乎缺乏关于其实际应用的知识。
呼吁欧洲委员会:
提高企业认识并给予企业释明和指导,确保其明确了解重要条例和指令的适用范围。
明确不同的条例和指令的法律后果和影响范围,尤其是《通用数据保护条例》(GDPR)。
提供最适当的去识别技术的通用性指南。
建议四:监测和评价相关条例的执行情况
参与该报告调查研究的企业和利益相关方认为,在欧盟委员会近期提出的法律变动的具体运用上,缺乏明确性和相关知识。需要密切跟踪和评估相关法律和政策举措,以确保它们符合立法目的,并对欧洲企业和公民有所帮助。
欧盟委员会应当:
从B2B数据分享和再使用的角度监测相关条例和指令的执行情况,以便查明可能存在的差距或灰色地带。
继续与企业和利益相关方进行公开磋商,了解企业在遵守法律方面遇到的障碍。
建议五:共同创建一个B2B数据共享体系
有迹象表明,B2B数据分享和再使用将在今后五年中继续增长,预计这将有助于建立欧洲数据经济,并最终建立“数据单一市场”。然而,欧盟委员会仍需要在数据共享的基本原则和条件方面提供更有力的指导和建议,以便在企业之间进行数据共享。
提请欧盟委员会:
建立一个统一的B2B数据共享体系,阐明进行B2B数据分享和再使用的基本概念、原则和条件,并提出向其他企业分享和再使用数据的建议。通过与各企业和利益相关方的密切合作,创建这一体系并确保考虑其需要。该体系的价值潜力在于为欧洲经济区企业分享和再使用数据设定标准,并帮助其克服共同的障碍。
建议六:支持数据互操作性和相关标准的发展
调查中有不少企业反映在B2B数据分享和再使用方面遇到技术障碍,包括缺乏标准化和互操作性,导致固定成本提高,因此需要进一步发展数据的互操作性和相关标准。
鼓励欧盟委员会:
继续在欧洲数据经济中促进互操作性和相关标准的发展。
让企业(包括中小企业)参与标准制定过程,以确保其需要和困难得到考虑,同时还可能需要考虑制定特定领域的具体标准。
建议七:对支持企业开展B2B数据共享的项目予以资助
B2B数据共享需要企业的持续投资,通过建立和不断开发安全便利的技术解决方案以使数据交换成为可能。在市场上有着悠久历史和高营收的企业可能有能力为技术解决方案的实施或改进投入资金,而小型或微型企业则可能难以进行此类投资。
欧盟委员会应当:
利用现有的资金扶持方案(如Horizon 2020[4])支持各企业开展B2B数据分享和再使用。例如,鼓励企业建立协作平台,从交换的数据中相互受益。
资助初创企业开发技术解决方案,以加强B2B数据共享。(在该报告的案例研究中亦列举了提供技术解决方案使得B2B数据共享成为可能的“技术推动者”企业案例。)
三、欧盟数据共享报告带给中国“数据共享合法化”的启示
严格而适当的个人信息保护体制可以给个人、企业、社会带来更大的信任感和安全感,如果再将数据共享的价值贡献充分展示和宣传,企业间的数据共享将获得更广泛、更深入的数据主体授权和民意支持,进而为企业间数据共享创造更友善的社会环境、法律政策环境,推动其进一步的发展。欧盟的案例已充分证明了上述观点,而中国目前正在经历个人意识觉醒、企业普遍失信、社会持续谴责的过程,“数据共享合法化”的生存发展环境正在不断恶化当中,不仅企业不敢轻易对外共享数据,就连掌握了最多、最详实数据的政府机构也变得异常谨慎。这一切都是中国在互联网大发展时期未及时重视个人信息保护以及相关立法滞后留下的后遗症,只能通过技术发展和立法建设来不断解决,并以此逐渐恢复民众及社会的信任感和安全感。
为“企业间数据共享”给出清晰定义和为其正名,是推动“数据共享合法化”的基础工作。通过欧盟数据共享报告,我们不难发现,即使在B2B数据共享已经蓬勃开展的欧洲,对于B2B数据共享仍然存在诸多认识混淆和误解。而明确其概念、宣传其益处将使得整个社会提高对“企业间数据共享”的认识和理解,避免其在大众心目中的印象走向“侵害个人隐私、侵犯个人信息权利”的污名化极端。
在法律体系建设上,应当建立对于个人信息的全方位、多层次法律保障体系,执法不应仅仅集中和停留于运动式的刑事犯罪打击层面,也应当加强对于个人信息的民事保护和行政监管支持;另一方面也要防止个人信息权利绝对化、事前化的倾向,主要通过设定个人信息保护原则和企业行为规范的方法开展相应立法工作。尤为重要的是,立法机关及政府机构应当借鉴欧盟数据共享报告中的建议,从B2B数据分享和再使用的角度监测相关法律规定的执行情况,以便查明可能存在的差距或灰色地带,同时在执行过程中不断与企业和利益相关方保持信息交换和沟通,了解企业在遵守法律方面遇到的障碍。
政府在推动“数据共享合法化”的过程中,可以借鉴欧盟数据共享报告中的建议,创建一个示范性的B2B数据共享体系或机制,支持数据互操作性和相关标准的发展,并为有助于企业间数据共享实现的技术研发、项目开展提供财政扶持。
以企业自身角度出发,我们从欧盟数据共享报告中可以发现,在数据共享难题面前,除了技术能力外,企业的法律合规能力也是解决该难题的核心能力,这与欧盟GDPR中所暗含的“企业拥有更大的数据合规能力,就可以挖掘更多的数据价值”理念也十分吻合。企业的数据合规能力建设已不再是纯粹的风险规避型成本支出,数据合规能力已逐渐成为企业的核心竞争力之一,并将持续为企业直接创造利润和更大的价值。
(华东政法大学民商法专业硕士研究生俞蔚对此文亦有贡献。)
[1]网址:https://publications.europa.eu/en/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en/format-PDF/source-69800191
[2]European Commission (2017), “Annex to the Synopsis report: Detailed analysis of thepublic online consultation results on Building a European Data Economy”,7.9.2017
[3]网址:https://publications.europa.eu/en/publication-detail/-/publication/004fcf02-49c7-11e8-be1d-01aa75ed71a1/language-en/format-PDF/source-69800191
[4]2011年11月30日,欧盟委员会宣布了经费高达800亿欧元的“地平线2020”(Horizon2020)科研和创新计划,在欧盟第七科研框架计划(FP7,550亿)的基础上增长了46%,实施时间从2014年至2020年。该计划是FP7的延续,更是首次将欧盟的所有科研和创新资金汇集于一个灵活的框架中。
(本系列完)