高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究

吴沈括

网络法治国际中心执行主任、博导

中国互联网协会研究中心副主任

胡然

网络法治国际中心研究员

根据欧盟委员会的定义，数据治理是指一系列使用数据的规则和方法，例如通过共享机制、共享协议和技术标准等，意味着以安全的方式(包括通过受信任的第三方)共享数据的结构和流程。2020年2月19日发布的《欧洲数据战略》中提出形成“健康、环境、能源、农业、流动性、金融、制造业、公共行政和技能”九个由安全的技术基础设施和治理机制组成的公共数据空间，在这些公共数据空间中，欧盟委员会意图不断改善和治理能源消耗，使个性化医疗成为现实，并促进获得公共服务，并允许来自整个欧盟的公共部门和企业的数据采取较低的成本以可信赖的方式进行交换，从而促进新的数据驱动产品和服务的开发。《欧洲数据治理条例》（数据治理法案）提案作为欧盟委员会设想的通往欧洲公共数据空间道路上的第一步，继续支持在战略领域建立和发展欧洲公共数据空间，旨在释放数据和人工智能等技术的经济和社会潜力，通过建立一个增强信任的保障体系来鼓励数据共享，形成以欧盟价值观为基础和原则的新型数据治理方式。

《欧洲数据治理条例》（数据治理法案）提案作为《欧洲数据战略》下的第一项倡议成果，将以单一市场的规模为基础，根据明确、实用和公平的访问和再利用规则，在欧盟内部和不同行业之间提供数据流动的空间，确保在符合欧洲公共利益和数据提供商合法利益的条件下，更为广泛地在国际上共享数据。数据作为人工智能等数字技术的主要输入，没有大量数据，即使是最复杂的算法或计算基础设施也无法成功，而数据共享则是获取大量数据的重要环节。如果欧盟为竞争性数据共享创造适当的条件，欧洲企业仍然有机会成为可信的、经济上有吸引力的非欧盟竞争对手的替代品。在该提案出台之前，在数据共享过程中经常会出现因缺乏对数据共享的信任，而产生难以重复使用相关数据的障碍，导致数据使用的成本过于高昂。基于保护和管理个人和企业所共享的数据的目的，《欧洲数据治理条例》（数据治理法案）提案应运而生，该提案规定了一系列增加数据共享信任度的措施，意图消除因缺乏信任所产生的障碍。对此，欧洲内部市场专员Thierry Breton表示：“我们正在定义一种真正的欧洲数据共享方式。随着工业数据在我们经济中的作用越来越大，欧洲需要一个开放且主权的单一数据市场，在正确的投资和关键基础设施的支持下，我们的监管将帮助欧洲成为世界第一的数据大陆。”

在世界进入数据时代以来，公共机构、企业和公民生成的数据量不断增长，预计在2018年至2025年间，这一数字将增长5倍。欧盟允许这些数据得到利用，并将为欧洲各部门的数据空间铺平道路，使社会、公民个人和企业受益。欧盟委员会认为，良好的数据管理和数据共享将使各行业能够开发和创新产品服务，并使各部门更加高效和可持续，同时也有利于发展人工智能系统。有了更多的数据，公共部门就可以制定更好的政策，从而实现更透明的治理和更高效的公共服务。欧盟委员会执行副主席Margrethe Vestager表示：“你不必分享所有数据，但如果你这样做，而且数据是敏感的，你应该能够以一种数据可以被信任和保护的方式进行分享，我们希望为企业和公民提供控制数据的工具，并在建立信任的情况下，确保数据的处理符合欧洲的价值观和基本权利。”在《欧洲数据治理条例》（数据治理法案）提案中，致力于欧盟经济和社会获取更多数据，并为公民个人和企业提供对他们所生成的数据的更多控制权。依照公民个人和企业数据在现实中的适用情况，提案将数据分为健康数据、移动数据、环境数据、农业数据、公共行政数据五种：一、在健康数据方面，掌握不同病人的数据情况，有利于改善个性化治疗，提供更好的医疗保健，帮助治愈罕见或慢性病；大大减少了医疗成本，每年为欧盟卫生部门节省约1200亿欧元；在应对COVID-19疫情等全球健康危机的过程中，提供了更有效、更快的响应；二、在移动数据方面，数据为出行提供了实时导航，每年可节省超过2700万小时的公共交通用户时间和高达200亿欧元的汽车驾驶员人工成本；三、在环境数据方面，有利于及时应对气候变化，减少二氧化碳排放，应对洪水和野火等紧急情况；四、在农业数据方面，推动了农村地区发展精确农业，打造农业食品部门的新型产品和服务；五、在公共行政数据方面，提供更好、更可靠的官方统计数据，并有助于循证决策。针对这五类数据，提案还规定了个人数据空间的使用，这是一种新颖的个人信息管理工具和服务，这也意味着欧洲公民在享受以上五种数据所带来的福利的同时，将获得对个人数据的更多控制，并决定谁将获得他们的数据的详细级别，以及出于什么目的，同时确保他们的个人数据得到充分保护。就企业数据而言，无论大小企业，都将受益于新的商业机会，以及降低获取、整合和处理数据的成本，这预示着企业进入市场的壁垒降低，以及新产品和服务上市时间的缩短。

提案还支持公共部门的数据在商业或者非商业用途中重复使用，而这些数据在数据保护、知识产权或者商业秘密方面通常是十分敏感的，故在很多情况下，公共部门数据不能作为开放数据提供给大众，但该提案明确提出倡导建立可重复使用公共部门数据的机制，并辅以相关制度予以完善和保护，如健康数据的重复使用可以促进研究，以期找到治疗罕见或慢性病的方法。针对重复使用数据的行为，提案规定了相应的时间限制和义务限制，即享有重复使用这些数据的权利不应超过三年，且公共部门的下属机构没有义务允许重复使用这些数据，但那些允许这种类型重复使用的机构需要在技术上做好相应准备，以确保数据保护。同时，并非所有公共数据都可以重复使用，提案对能够重复使用的数据的敏感度水平附加了一定的条件，例如公共当局可能会强制要求匿名或假名个人数据或删除商业机密信息，包括商业秘密等。

鉴于欧盟在第一波数字创新（如社交媒体或者网络购物）的数据获取方面处于竞争劣势，欧盟为准备迎接来自亚洲和美国的第二波工业数据的挑战，提案中还规定了“数据利他主义”，即允许私营部门在利他主义的基础上为追求共同利益而与非营利实体共享数据或者使用数据，比如电信数据已经被用于预测西非的埃博拉疫情。公民个人或者企业可以同意所谓的“数据利他主义”，以自愿和免费的方式分享他们为公共利益产生的数据。当公民个人或者企业希望共享自己的个人数据时，或者其想捐赠这些数据来满足公共利益时，将会在自己所控制的个人数据空间内进行自由处置。例如，患有罕见疾病的人可以自愿分享他们的医学测试结果，用于改善对这些疾病的治疗。新的个人数据空间将确保人们可以控制自己的数据，个人数据空间还将确保它们仅用于约定的目的，仅在这种情况下用于医学研究，而不会在不知情的情况下另作他用。

针对自愿共享的数据，提案建立了相关标准，对所共享的数据进行标准化处理，对数据集、数据对象和标识符进行更加准确和尽可能一致的描述，以便于数据在各国、各部门及企业机构间流动时不产生误解，使数据具有良好的可查找性、可访问性以及可重复使用性，同时这也是确保其他人可以使用数据的有用标准。提案中还指出，阻碍数据共享造福社会的是工具的缺乏，而不是意愿的缺乏。许多公民个人和企业都愿意分享其所掌握或形成的数据，但因缺乏相应的保护手段和措施造成了数据共享的阻滞。数据本质上是免费提供的且用于纯粹的非商业用途，其意在使社区或整个社会受益，故应为公民个人和公司创造适当的条件，使其在分享数据时能够相信这些数据将由受信任的组织根据欧盟的价值观和原则进行处理。基于此种情况，《欧洲数据治理条例》（数据治理法案）提案规定了一系列增加数据共享信任度的措施，特别是使数据能够跨部门和跨国界使用，并能够为正确的目的找到适当的数据。例如，提案规定允许公民个人自愿捐赠他们的数据用于科学研究或者其他有益的目的，提出建立一个由每个欧盟成员国代表组成的“欧洲数据创新委员会”形式的专家小组的计划等。

 欧洲数据共享的对象包括两方面，一是对企业、私人部门，另一个是对其他公共部门。欧盟委员会认为现行的数据共享模式在这两方面都有必要加强。对于面向企业、私人部门的数据共享主要存在两个问题，一是数据资源分散，企业获取困难。二是敏感信息共享方式不明确。过去欧盟虽然积极鼓励共享数据，但各部门独立发布，数据发布的周期、类型、格式均有差异，而且在各成员国之间也存在区别，且特别对于中小企业来说收集数据过程较为复杂，收集这些碎片化的信息存在一定困难。故《欧洲数据治理条例》（数据治理法案）提案明确了数据共享的获取方式以及着重强调了数据共享的整体性。提案并不强制要求任何人共享数据，而是促进数据共享的发展，为那些愿意共享数据的公共机构、公民个人或者企业提供了法律上的清晰度和值得信赖的环境。提案明确规定了两种截然不同的要素，首先，对于公共机构持有的数据，欧盟委员会希望能够利用那些因为太过敏感而导致目前没有共享的数据。它这些数据之所以敏感，是因为它们关系到他人的权利，例如，这些权利可能涉及知识产权、商业机密性或隐私权。而提案的规则提出后，这种数据已经可以实现共享且可以被重复使用，即使数据位于其他国家也会受到合理的保护。另外，对于一些有助于公共政策制定、社会治理的数据，例如健康数据、环境数据等，公共机构可以根据需要通过特别项目的方式获得一部分企业数据的使用权，将获得的数据与政府现有的数据进行对照匹配，互相补充。除了企业单独收集的数据外，更重要的是对企业共有数据进行所有权和使用权的确权问题，这种情况主要指利用物联网等新型数据收集方式形成的企业共有数据。在此期间，提案还调整了当前阻碍数据共享的规定，打通节点并以法律形式澄清数据使用的责任问题，避免数据提供方因第三方错误而受到不公正的牵连。

其次，为了促进数据共享，提案也为相应的数据中介机构制定了原则，为公共数据空间中的数据共享提供基础设施。数据中介机构背后的原则是促进自愿数据共享，同时保持公司和家庭对数据的控制。只有当这些中介机构得到充分信任时方才有效。基于此，提案详细规定了数据中介机构进行数据共享的限制，以及确保数据中介机构在欧洲公共数据空间内作为可靠的数据共享或汇集组织者发挥作用的措施。数据中介机构本质上是数据共享服务提供商，公共机构、公民个人或者企业只有确定其数据不会被数据共享服务提供商用于其实际和明确商定的目的之外的任何其他目的，才会准备好共享数据，这也为那些愿意共享数据的人提供了一个安全的环境。数据共享机构被认为是“中立和透明的”，其将被用来组织数据共享和数据汇集，形成以主要科技平台数据处理实践的新模式。数据中介机构必须向主管公共当局通知其提供数据共享服务的意向，且只能作为连接数据持有者和数据用户的中立第三方发挥作用。为了确保这种中立性，该提案明确规定数据共享中介不能自行处理数据或者为了自己的利益使用这些数据，而是必须严格遵守相应的要求，比如其不能将数据出售给另一家公司，或者适用数据来开发基于这些数据所形成的产品。无论是只提供数据共享服务的独立组织，还是在其他服务中附加提供数据共享服务的公司，其数字共享活动都将被允许，但必须与其他数据服务严格分开，数据中介机构也需将其提供数据共享服务的意向通知主管当局，主管当局必须随时监督关于这些要求的遵守情况，而欧盟委员会也将保留一份数据中介机构的登记册。如果数据中介机构的不在欧盟境内，应当指定一名代表来负责相关法律程序，从而尽可能地确保公民个人和企业的数据共享得到保护。

欧盟委员会《欧洲数据治理条例》（数据治理法案）提案的出台，对欧盟的影响无疑是巨大的，意味着欧洲数据治理的监管成为创新和新增就业的强大引擎，同时也使欧盟能够确保自己处于基于数据的第二波创新浪潮的前沿。在未来，社会作为一个整体也将受益于更多循证政策和更好的社会挑战解决方案，如气候变化和新冠肺炎疫情等。就企业而言，也将受益于数据获取、集成和处理成本的降低，以及进入市场门槛的降低，并且新产品和服务的上市时间也会大幅缩短，这将使大企业和小企业都能开发新的数据驱动型产品和服务。总而言之，《欧洲数据治理条例》（数据治理法案）提案对于欧洲数据治理和数据共享来说是一个良好的开端，后续也需要充分的立法和非立法行动相辅相成，欧盟方面也指出在2021年预计会有更多关于数据空间如欧洲健康数据空间和绿色交易数据空间的提案，此外，还将制定一项数据法案，使公民和政府能够更好地访问和控制来自行业和企业持有的大数据源的物联网数据，以创造更公平的经济，造福整个社会。

图文编辑：北京师范大学 冯士亮