国外数据监管实践及启示
一、欧盟的数据监管实践
(一)出台系列法律,扩大数据监管范围
关注更多数据类型,不断扩大数据监管范围。欧盟是较早开展数据监管实践的地区,随着数据量不断增加、互联网企业创新发展等带来的数据处理行为的变化,数据监管的范围和重心也在不断地发生调整。欧盟从最初的数据监管,主要关注个人数据权利的保护与监管,逐步延伸至企业数据、公共数据等非个人数据的监管,而且开始更多关注“数据巨头”的数据权力。
强调以市场为导向,以监管促进数据高效流通。绕开产权制度顶层设计,专注数据要素不同流通环节的参与者进行权责分配。欧盟于2022年2月通过了《关于公平获取和使用数据的统一规则(数据法)提案》,规避赋予数据持有人以数据产权的环节,引入了“数据用户”“数据持有者”“数据接收者”等概念,试图区分数据交易与利用过程中的不同参与者,并对各类参与者分别赋予权利与施加义务。
对于流通过程中的不同参与者做出了不同的监管要求,一是通过《非个人数据自由流动条例》《数据治理法案》等法律法规,对政府行为进行限制。二是出台《数字服务法案》《数字市场法案》,规范企业恶性竞争行为,促进企业间数据共享。三是对于数据生产者提出要求,通过建立特殊授权机制维持市场活力,促进数据市场化流通,提出数据生产者应当许可他人访问数据的特殊机制,以防市场不足以维持非个人数据的流动性和非专有性。
(二)设立专职机构,统筹数据监管工作
欧盟层面成立统一的数据监管机构,通过系列法律赋予和加强数据监管机构的权力,已经形成了以欧盟委员会为主导,欧盟数据保护委员会、欧盟数据创新委员会、欧盟监察专员等共同参与的数据监管格局。
(三)赋予监管权力,强化数据监管职责
欧盟层面及各成员国层面的数据监管机构分别被赋予了监管权力,且欧盟层面的数据监管机构对各成员国的数据监管机构具有监督执法和调停斡旋的权力。在欧盟层面上,欧盟委员会享有立法权和监督权,能够统筹欧洲数据治理,修订数据法律和数据政策,并监督欧盟数据条约的执行;其设置的专职数据监管机构——欧盟数据保护监管局具有监管权、接受咨询、提供建议及监督协调合作的权力;欧盟检察专员则具有对行政行为的监督权。在成员国层面,各国数据监管机构被赋予完备的数据监管权力,是强化数据监管职责的重要举措。欧盟不断地通过完善立法,明确各国数据监管机构具备包括调查权、矫正权、干预权和行政处罚权等在内的执法权力。
(四)创新监管模式,推动数据共享流通
欧盟在健康、环境、能源、农业、流动性、金融、制造业、公共行政和技能这九大领域构建欧洲共同数据空间,打造可用、可信的欧洲数据池,公共部门和私营部门的数据得以低成本、高信任度的交换共享,实现跨成员国、跨部门、跨行业的流通,推动欧洲经济区的数据驱动产品和服务创新。
具体举措包括促进公共数据流通、允许在公共数据空间进行数据访问与利用、方便欧盟和国家监督机构之间更便捷地监管数据报告与分享、设立“数据中介机构”为数据供需双方营造信任环境等。欧盟不断完善“共同数据空间”的治理机制和监管体系,针对“共同数据空间”的运营监管,涉及欧盟数据监管体系中的多个机构。其中,欧盟委员会负责发布针对“共同数据空间”的政策制定,规范数据持有者的权力,如有机会访问或分享他们控制下的某些个人或非个人数据。欧洲数据创新委员会负责对跨领域和行业的标准制定、完善数据中介与数据共享服务。
二、美国的数据监管实践
(一)领域分散化立法,形成分散监管模式
个人隐私数据监管——分领域强化立法。美国历来重视关于个人信息和隐私保护的监管,相继出台了多部法律来加强个人数据的监管要求,但是美国联邦层面没有统一的个人数据保护法案。一是出台多部法律加强个人信息数据监管;二是分行业、分领域的立法模式,分别在金融、健康、电信、教育以及儿童在线隐私等领域都有专门分领域数据保护立法;三是联邦政府和州政府均有隐私和数据保护立法权,加州的法律走在美国各州前列。
企业数据监管——重在防止数据垄断。美国政府在加大自身数据主动开放力度的同时,也通过立法约束、判例导向等多种方式引导企业规范数据开放行为,防止出现滥用数据优势、侵犯消费者数据隐私的行为。一方面,美国议会通过发布报告和审议法案等方式约束平台企业滥用数据行为。另一方面,通过判例引导防止企业数据垄断,保护消费者个人信息隐私。此外,美国一贯注重数据自由流动,防止数据流通过程中数据产权垄断。
公共数据监管——构建数据权责体系。美国公共数据监管的实践经验主要体现在政府数据开放领域。一是美国目前尚无针对政府数据监管的联邦统一立法,分行业或州的分散式立法较多。二是美国较早便建立了针对政府数据开放权责制度规范,条例中明晰了政府的权利义务,各州在此基础上也设立相应的数据监管岗位。三是美国在政府数据的确认与开放方面具备较深入的实践经验。
跨境数据监管——致力主导全球规则。美国主导建立全球数据传输机制。2018年3月,美国总统批准发布了一项特殊法律《澄清域外合法使用数据法》(CLOUD Act)采取了美国政府坚持的“数据控制者标准”,规定“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照《存储通信法案》所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”与其他国家签订合作框架,促进数据跨境流通与数据隐私保护。2023年6月8日,美英两国共同发布《大西洋宣言:21世纪美英经济伙伴关系框架》,宣布建立美英数据桥,在确保强有力和有效的隐私保护基础上,进一步促进两国间的数据流动。
(二)分散式监管机构,提升数据监管效率
美国对于数据监管采取了分散式的监管模式,除了体现在立法层面的分散之外,监管机构的设置也是分散的。一方面,关于政府监管,没有统一的监管机构,不同领域的数据由不同领域的部门履行数据监管职能;另一方面,关于市场监管,虽说是“强市场、弱政府”化监管,但是市场自律监管也无统一的监管机构。立法的分散化决定了法律规定的具象化和专业化。分散化的法律规定可以充分考虑各行各业的固有特点,进而可以对该行业的数据处理行为提出具有行业特征的合规要点和监管重点,避免了统一立法的笼统性和普适性所带来的弱操作性。监管机构的分散化可以提升数据监管的效率。不同领域的监管机构对于该领域数据处理行为的特征、发展方向的了解程度远高于统一的监管机构,可以在监管过程中兼顾本行业的发展和数据利用的特点,使得监管政策有的放矢。
(三)多举措打造团队,强化数据监管职能
美国数据机构的职位设置依据联邦政府出台的法律进行职能细化规定,以及进行职位新增。2002年《联邦信息安全管理法》(FISMA) 明确规定,联邦政府各部门负责人指定一名CIO,再由CIO指定一名高级信息安全官员,负责承担CIO的信息安全职责;2014年的《联邦信息技术采购改革法》将首席信息官确定为机构负责人的关键战略伙伴和机构现代化目标的促成者,其通过向机构负责人及其他高级官员提供建议和协助,确保机构获取信息技术和管理信息资源以实现战略目标。
同时,2002年《联邦信息安全管理法》(FISMA) 明确规定,由CIO指定一名高级信息安全官员(CISO),负责承担CIO的信息安全职责;首席信息官有权将与信息安全相关的任务委托给机构CISO,设立的首席信息安全官委员会(CISOC)隶属于首席信息官委员会。为满足相关政令和标准对政府部门的网络安全要求,美国首席信息安全官委员会于2018年6月发布了《CISO手册》,对CISO应承担的信息安全工作进行了规范,帮助CISO了解网络安全法律、政策、工具和资源,促进网络安全体系建设和协调合作。
三、英国的数据监管实践
(一)细化监管政策,营造宽松的数据监管生态
重视数据安全监管,多领域打造监管合力。英国数据安全监管立法范围逐渐从个人数据安全、政府数据安全到网络数据安全、人工智能数据安全方面细化。一是个人数据安全贯穿英国数据安全监管立法的始终。二是扩大政府数据开放,促进数据跨地区流通,营造宽松监管环境。三是注重数据安全保护。
(二)明晰部门职责,打造协同共治的监管格局
在内阁统领下,英国在数据治理上政府各部门职责清晰、各有分工。内阁办公室主要负责数据相关政策的制定、协调和实施,并下设公共部门透明委员会和政府数字服务局执行针对政府数据的监管职能。司法部统筹数据相关法律政策的制定完善与监督落实职能,不仅对《信息自由法》《自由保护法》等法律进行解释说明,而且负责监督中央政府对法案的执行情况。
此外,司法部还下设了信息法庭以响应数据相关的诉讼。竞争和市场管理局主要监督数字市场主体的市场竞争行为,下设数字市场部门针对数据巨头和市场竞争行为进行监管,并拥有数字市场所受损害的调查权。信息专员办公室主要监督相关法律的执行状况,并能够对违反监管的情况实施制裁,以确保英国脱离欧盟后能够继续保护个人数据在欧盟成员国内无障碍地流动。此外,针对金融、通信等专业领域,金融行为管理局、政府通信总部等均履行了一定程度的监管职能。
(三)创新监管机制,适应数据监管的时代变化
人工智能技术的创新发展涉及大量的数据信息,数据信息使用需要符合隐私安全等相应的制度,而人工智能技术的难监管性和监管机构的能力有限使得两者之间失衡。为处理人工智能技术创新发展与数据隐私安全的矛盾,英国官方采取“监管沙盒”机制充当创新与监管之间的桥梁和合作空间。允许企业用真实的消费者信息在市场上测试创新,以此实现在保护创新的同时又不会削弱消费者保护,降低风险的不确定性。“监管沙盒”可以减少信息不对称与监管不确定性,也可能成为加快金融创新的关键政策工具。
2023年8月1日,英国金融行为监管局(FCA)数字沙盒永久开放,向更广泛的创新企业、初创企业和数据提供商开放该平台。英国的“监管沙盒”在各个领域得到应用与发展,包括绿色金融、基于区块链的支付服务、监管科技主张、数字身份等,实现了人工智能技术创新发展与数据隐私保护之间的协同。英国政府通过制定人工智能发展标准和监管原则,确保人工智能数据安全。
四、对浙江省数据监管的启示
(一)完善监管依据:细化数字监管政策法规
国外数据监管围绕个人隐私数据、企业数据、公共数据、跨境数据流动,根据地域情况进行了分散式或统一性立法,例如美国在各行业领域的立法非常完善,如个人数据保护的《隐私保护法》、医疗健康领域的HIPPI法案、儿童隐私领域的COPPA法案、金融领域的FCRA法案。美国在2018年出台的《澄清境外数据的合法使用方案》将跨境数据流动的监管范围在立法层面扩展到境外。
此外,欧盟数据监管统一立法呈现出覆盖全面、重点突出的特点,数据监管的范围逐渐从个人数据扩张至非个人数据、公共数据,而且将针对新时期出现的“数据巨头”及时纳入监管范围。
我国国有资产监管在此方面也具有较为成熟的经验,统筹健全国有资产监管规章制度体系,出台了《推进中央党政机关和事业单位经营性国有资产集中统一监管试点实施意见》等政策意见,通过加强顶层设计对国资监管原则、机构设置、监管方式等做出了明确规定,更好构建监管大格局。
实行科学有效的监管,必须根据地方特色不断完善细化科学规范、运行有效的数据监管政策规章。目前,浙江省已经出台了《浙江省公共数据条例》《浙江省公共数据开放与安全管理暂行办法》《浙江省公共数据授权运营管理办法》等多维度配套政策,随着数据要素市场的不断扩大,浙江应当以保证数据高效流通为原则,在已经出台的规章政策基础上,继续确立一套清晰的数据监管政策框架,对主管部门、适用情形、主管对象、监管原则等核心内容进行清晰界定。此外,需要进一步明确数据监管部门的监管范围,一方面要“扩大范围”,逐步加强针对各企业、第三方独立机构等“数据巨头”的新业态新行为的监测、监督,避免其通过一定的路径规避监管,阻碍数据产业创新发展;另一方面要“限制范围”,充分发挥市场在资源配置中的决定性作用,明确监管部门有序引导和规范发展的作用与定位,对数据要素市场内监管部门的监管权利做出一定的限制,营造出自洽自律的数据要素市场生态。
此外,浙江的数据监管制度可以在当前已有的硬法约束基础上做“软法”补充,实现“硬法与软法”并重。由于《数据安全法》《个人信息保护法》《网络安全法》以及《数据出境安全评估办法》等法律法规内容较为抽象,针对数据合规监管的内容方式、范围标准等具体问题并未给予细致回应,而短期内另行制定数据合规监管的专门性法规既无可能更无必要。这一形势下,浙江可以根据自己的立法权限,考虑制定一系列兼具前瞻性与可操作性的指引规则、行业指南、技术操作规程等,与硬法共同促进数据合规监管的立法完备。
(二)确定监管原则:平衡数据监管与发展
英国在脱欧之后开始修订相关数据监管法规,已调整原来对于个人数据全域的严格保护,更加关注数据流通和使用,将低干涉性、敏捷性和前瞻性确定为数据监管的基本原则,避免由于过度监管而扼杀数字经济的创新发展。
此外,美国对于个人数据监管同样注重平衡数据保护和产业发展的关系,只对个别特殊领域的个人信息提供法律隐私保护,而不涉及隐私领域的个人数据则可以自由采集、使用、加工和交易。我国的金融监管贯彻了“审慎监管+行为监管”的“双峰”监管理念,坚持宏观审慎、微观审慎,形成了具有中国特色、兼顾发展与安全的现代金融监管体系,更好地维护了金融市场健康良好的发展。
因此,建议浙江数据监管应以“数据利用与再利用”为核心。传统数据合规监管以保障数据所有者的决定权和控制权为逻辑起点,侧重于考察数据应用是否取得权利人的“知情、同意”,并以此作为数据合法使用的先决条件。而随着智能技术的变革,数据应用不再是从数据搜集到数据处理再到算法决策的简单分析过程,而是数据集聚、自主整合与算法预测模型交错裂变后全新内容的输出过程,这一过程可以轻易绕过甚至超越原始数据。这就引发了一个问题,即便数据权利人在数据搜集获取环节获得了权利人的一揽子授权同意,但也不意味着一些匿名化、去标识化的隐蔽计算被永久地授权,数据利用与再利用的过程仍存在侵犯权利人利益的可能性。
(三)明确监管理念,探索建立数据监管机制
确立机构监管、行为监管、可持续监管为主的监管理念。国内金融行业监管、市场监管、国资监管的监管理念都是不断发展和变化的,结合最新国家机构改革方案的要求以及最新改革实践可以看出,这三个领域的监管理念都呈现出强调机构监管、行为监管、持续监管并重的“矩阵式”监管特点。
因此,建议浙江省数据监管可以借鉴上述经验,一是强调机构监管,对公共数据、企业数据、个人数据等各类数据持有机构、数据加工机构以及数据产品经营机构的市场准入、持续经营、风险管控和市场退出等实施全生命周期的审慎监管;二是强调行为监管,对从事数据收集、汇聚、开发、交易、利用等活动的机构和人员进行监管,通过对数据要素流通各环节的行为实施规范统一的管理,打击违法违规行为,推动数据要素流通,释放数据要素价值;三是强调可持续监管,对监管对象实施的全周期、全过程、全链条的动态监管,强调监管行为和效果的连续性,以实现对风险的有效识别、化解和处置。
无论是国外的数据监管经验,还是国内不同行业的监管经验,均遵循了监管与发展平衡的原则,旨在更好地促进市场积极向好发展。数据监管涉及内容广泛,核心是要协调多方利益,通过科学机制创新来兼顾公平和效率,并在数据利用与数据保护之间取得平衡,充分维护数据主体的权益。当前,浙江正处于公共数据、企业数据和个人数据等各类数据的探索试用阶段,也是平台企业等各种数据开发利用新业态、新模式的快速发展阶段,面对萌芽阶段的数据要素流通市场,要保持浙江最早探索数据要素市场化配置的先行优势,其监管就既要兼顾安全运行,又有考虑创新发展需求,不宜采取过于严格的监管措施而影响创新发展的动力。
(四)明晰监管权责:厘清监管机构职能边界
欧盟对不同层级监管机构的权力进行合理配置,赋予了欧盟层面监管机构立法、监督、协调等权力来强化其统筹监管工作的职能,各成员国监管机构调查、干预、行政处罚等权力来强化其事前事后审查、自身取证各环节具体监管职能。英国数据治理政府各部门职责清晰、各有分工,例如内阁办公室主要负责数据相关政策的制定、协调和实施,竞争和市场管理局主要监督数字市场主体的市场竞争行为等。
我国金融监管、国资监管、市场监管也都构建了监管职责明晰、层级明确的统一监管格局,金融行业由“两委”实现中央集中统一全面领导,部署金融监管工作,“一行一局一会”履行具体监管职责;国有资产监管一方面明确国务院国资委履行中央企业出资人职责、全国国有资产监管职责和负责中央企业党的建设工作职责的“三位一体”职能定位,另一方面落实对国有资本投资公司、国有资本运营公司、产业集团公司“一企一策”授权放权;市场监管明确了省、自治区层面的市场监管局“一个机构管执法”的统筹职能,市、县层面的市场监管局“一支队伍管执法”的具体行政执法职能,理顺强化市局对县级行政执法的监督指导和统筹协调。
目前,浙江省数据监管部门的职责边界并未完全明确,行政执法权力配置仍未完全统一,上下级关系尚未完全理顺,统一部署、统筹管理的局面还未完全形成,可以参考国外或其他行业的部门职责设置,一方面强化监管部门的执法权力,健全、落实数据流通交易各环节的监管权力,加强全生命周期的数据监管力度。另一方面厘清分散授权运营时不同层级监管机构的职责分工,科学配置数据监管权力,从而提升监督体系整体效能,使得各种监督更加规范、更加有效。此外,在进行权力配置时,应当因地制宜,参考欧盟GDPR监管过严、数据监管机构疲于应付投诉的前车之鉴,综合考量省内各企业的合规能力和部门的监管能力,稳步前进。
(五)加强监管力量:建立专职监管执法队伍
建立监管队伍是保障政府监管成效的重要举措。从国外数据监管实践来看,为更好地执法,欧盟通过检察专员对联盟机构或组织进行的活动中出现的行政失当行为进行调查,英国也设立了信息专员监督保护个人数据流通,能够对违反监管的行为主体实施制裁。
从国内行业监管经验来看,国家市场监管总局成立执法稽查局,负责指导查处市场主体准入、生产、经营、交易中的有关违法行为和案件查办工作,而且各省市市场监管局也相应成立了专职执法队伍,国家金融监管总局成立稽查局,主要负责组织对违法违规金融活动相关主体进行调查、取证,提出处理意见,国务院国资委监督追责局负责所监管企业违规经营投资责任追究工作。
浙江省在数据要素制度顶层设计方面的先进实践较为突出,但具体执法队伍建设方面仍具有较大的探索空间。数据要素市场具有“内容新、发展快、门槛高”的特点,浙江省又在数据要素开发利用等方面采取了“分散授权,开放运营”模式等在内的创新举措,这就需要组建专门的执法队伍来专职负责数据监管。
而且,由于数据监管对于行政执法人员的专业性具有更高要求,要加快提升行政执法能力,加大对行政执法人员和企业的培训力度,通过培养高素质高学历人才,着力打造一支高精尖的综合执法骨干队伍,增强监管机构行政命令的执行力、威慑力,保障政策更好落地,市场主体权益得到更完善的保护。
(六)创新监管方式:适应新时期监管要求
欧盟、英国等国家和地区都在不断探索新的数据监管模式和举措,以适应数据发展环境的变化。欧盟共同数据空间意图构建一个能够解决数据权属管理问题、确保数据安全交换共享的完整数据生态系统;爱沙尼亚信息系统管理局等政府部门合力监管X-Road数据交换平台,以确保公共部门、私营部门的各种电子服务系统能够互相连接并和谐运行;英国率先提出“监管沙盒”的创新监管举措,核心目的是为了兼顾监管与创新的双重要求,主要应用于绿色金融、基于区块链的支付服务、数字身份、人工智能数据等新领域的监管尝试。
基于我国国情,不同行业也进行了创新性的监管方式探索。金融监管形成了“左眼监管安全、右眼监管服务”的特色金融监管模式;国资监管通过建立中央企业首席合规官制度、对不同类别企业的关键业务有针对性地实施监管等创新分类监管举措助力国有资产增值保值;市场监管创新了企业信用风险分类管理与“双随机、一公开”常态化市场监管手段有机结合的监管新模式。
随着数据数量不断增加、数据交易行为更加多元,各类数据的流通交易也将涌现出更多的方式,而要想针对不同数据采取更加有效的监管举措,浙江省数据监管部门可以借鉴共同数据空间、“数据沙盒”等监管理念,首席合规官等监管制度,“双随机、一公开”等监管手段,在不断深化浙江一体化智能化公共数据平台建设、首席数据官制度等实践的基础上,开展前瞻性、必要性的数据监管创新实践。
(李兴腾 华信咨询设计研究院有限公司 研究员;朱敏 华信咨询设计研究院有限公司 咨询研究院院长)