数据访问治理:中国、欧盟和印度的发展(附报告全文)
本文编译自耶鲁大学法学院蔡中曾中国中心2021年8月发布的研究报告《数据治理政策的叙事转变和新兴趋势——中国、印度和欧盟的发展》(Shifting Narratives and Emergent Trends in Data-Governance Policy: Developments in China, India, and the EU)。
数治君将该报告分为“作为经济政策的数据治理”、“数据访问治理”和“数据交易治理”三篇发出,本文是该报告的第二篇。报告第一篇已发出,可点击作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)阅读。
为保证阅读流畅性,本文对原文及其脚注略有删减。
2. 数据访问
\ 趋势
增加对数据的访问是最近跨司法管辖区数据治理提案的一个核心议题,该议题将数据视为支持国内数据业务以及国家行为者数据驱动治理的基础性资源。在欧盟和中国,私人企业对政府数据集的访问受到了高度关注,而在印度,政策草案显示了对外国私人企业持有的数据的访问。
摘要
基于“数据是数据经济竞争的基础资源”这一共识,最近的数据治理政策优先考虑提高国家和地区企业的数据可用性和访问权限。在印度,政策文件有时将其称为超数据保护,转而将“数据共享”和“数据授权”作为数据治理政策的驱动力。在欧盟,数据治理政策是根据“真正的单一数据市场”这一更广泛的政策目标制定的;2020年的《数据和人工智能战略》和《非个人数据自由流动的框架》推动了该地区公司(和国家)内部更通畅的数据传输。
这就是说,在不同地区,这种对话的方向(政府访问私人数据与私人访问政府数据)存在着重大差异。然而,许多人认为,创建一个更制度化的流程,让政府提出数据访问请求,最终可能有助于促进企业和政府之间更多的数据共享。
在欧盟,最新的2020年《数据治理法案》(DGA)提案则完全专注于创造对政府数据集(包括包含个人数据的数据集)的更多访问。这些提议并没有削弱GDPR,而是为允许这种数据共享,同时确保遵守数据保护规范的技术法律安排留下了可能性。在印度,近期政策举措的重点一直是增加对外国公司持有的数据的访问,有利于国内企业和公共机构,同时提出了为“公共利益”(仍然模糊)而访问私人数据集的概念。印度仍然缺乏全面的数据保护法,最新版本的个人数据保护法案因在限制国家获取数据方面特别薄弱而受到批评。在这种情况下,民间社会的一个突出要求是,这些发展必须遵循而不是先于数据保护框架和对政府监控的限制。
中国
中国数据治理体系的最新发展旨在为政府间和公司间的数据访问创建合法流程,这些努力试图打破因多种因素导致的数据孤岛。
长期以来,数据孤岛一直困扰着政府的跨部门工作,并在私营企业之间制造了障碍。公司将其数据作为宝贵的商业知识产权,不愿进行共享。政府数据的使用更多是为了数字经济发展和其他行政需求。随着政府寻求建立流程,提高数据共享效率,促进合法访问数据,以刺激创新,同时集中控制与治理相关的信息流,这种情况可能正在发生变化。数据交换市场似乎与法律制度的变化协同工作,以促进不同参与者之间的数据访问。
DSL草案和《个人信息保护法》(PIPL)都包含政府访问数据的规定。正如杰米·霍斯利所观察到的,PIPL草案“将国家机关置于其关于合法性、合法性、必要性和数据处理最低范围的一般限制原则之下,并规定它们必须根据其法律权限处理个人信息,不得超出履行法定职责所需的范围和限制。”
根据DSL,相关条款为34条与63条,其中规定:
履行个人信息保护职责的部门依法履行职责,当事人应当予 以协助、配合,不得拒绝、阻挠。
北京大学法学院教授王锡锌对媒体财新网说,“关于政府访问数据的部分应该扩展为一个独立的章节,以包括更详细的要求。政府机构需要在公共利益的数据管理效率和个人隐私保护之间寻求平衡。”在一位早期学者版本的PIPL草案中,事实上有一个较长的章节专门用来充实这个问题,但后来被删除。该法律可能已经尽可能地承认,政府数据访问需要一个制度化的过程和一套防护措施。
还有一种可能性是,创建一个更制度化的流程,政府应通过该流程提出数据请求,从而促进公司和政府之间更多的数据共享。到目前为止,出租车行业明确了数据访问要求,交通运输部和公安部2018年联合发布的通知证明了这一点。通知规定,叫车平台必须“为公安机关提供技术接口,提供平台驾驶员、车辆登记数据、车辆位置、行驶路线、乘客信息等实时数据”。
因此,DSL可以创建第一部明确概述数据访问要件的国家法律。
中国大型互联网平台的数据问题引来越来越多的关注,中国人民银行对蚂蚁等私营企业“滥用市场支配地位”的“不当数据访问和控制”表示担忧。
数据交易(详见下篇)在政府内部和整个私营部门创建了另一个渠道,以促进数据资源的更多共享,以打击数据囤积。通过数据交易所更方便地访问数据集加强了数据的可见性,同时也有助于服务于其他目的(比如从提高电子政务的效率到推动数字经济中的创新)。
欧盟
除了在整个欧盟范围内创建更多可互操作的数据空间外,欧盟数据战略还强调更多地利用政府机构持有的数据集。这一庞大的数据库被认为对欧盟经济和社会具有未开发的价值(也就是说,“加快整个欧盟增值信息产品的开发”),尤其是在战略部门。根据这一战略宣布的2020年12月DGA提案朝着这一方向迈出了步伐。
虽然存在鼓励公众共享政府数据集的框架,但这些框架仅限于非个人数据或不受商业、知识产权或数据保护限制的数据。DGA为个人数据集的数据共享提供了可能性,尽管其工作方式尚未详细说明,但不会减轻或削弱GDPR。DGA没有强制要求共享或重用政府数据集,但确实建立了一系列机制(如数据创新委员会),鼓励数据共享,并为更多参与者的访问创造条件。
欧盟的一个显著重点是防止公共部门机构给予优惠待遇或独家接触特定的私人利益,而DGA提案包括一系列涉及公共部门信息的协议的透明度要求,从而避免独家交易。
除政府机构外,欧盟委员会还提出了实体为科研等利他目的捐赠数据的机制。已经创建了“数据利他主义组织”的标签,并为希望出于非商业目的、出于公共利益共享数据的实体建立了认证流程,并且仅允许具有欧盟数据利他主义认证的特定组织处理和存储该数据。
印度
创造更多的数据访问权是近期数据治理提案的中心主题,该提案将数据视为支持国内数据业务以及国家行为者数据驱动治理的基础原材料。第4节详细讨论了印度国家转变研究所(NITI Aayog 关于《数据授权和保护架构》(DEPA)的提案,以及非个人数据框架草案,旨在增加国内私主体和公共机构对用户数据的访问。2020年8月的DEPA明确指出了从数据保护转向数据共享的必要性,并提出了实现这一点的技术法律安排。
从广义上讲,人们担心的是,鉴于其市场主导地位,少数(主要是外国)私营公司目前控制着对印度人数据的访问。因此,打破数据孤岛是为了扩大能够访问印度人数据的公司网络,从而“金融科技或健康科技公司在产品设计、分析和价值创造方面展开竞争,而不是在数据访问方面”。
数据的获取还与更大的金融包容性或将更多印度人纳入数字银行和支付网络的需要有关。他们的论点是,印度12亿人口拥有巨大的未开发潜力,可以生成可用于创造财富的数据。一个突出的说法是,印度穷人“在经济富裕之前会变得数据富裕”(与高收入或中等收入国家的穷人形成对比),这种数据追踪或数字足迹将使他们能够“与机构建立信任”。
这些政策框架还提出了一系列中介机构和法律实体,这些机构和法律实体受到激励,以实现这些数据传输,并受到监管。它们还将在确保这些数据访问机制不与现有或即将出台的数据保护和安全规范冲突方面发挥关键作用。
目前尚不清楚这些旨在增加无摩擦数据访问的政策如何与数据隐私要求相互作用。而数据保护规范对数据的访问和使用在过去几年中迅速发展,以应对国内和全球的发展。印度仍然缺乏全面的数据保护法,而最新版本的非个人数据框架草案因在国家获取数据方面特别薄弱而受到批评。在这种情况下,民间社会的一个突出要求是,这些发展必须遵循而不是先于数据保护框架和对政府监控的限制。
“数据交易”篇将于下篇发出 ,敬请期待!
附:《数据治理政策的叙事转变和新兴趋势——中国、印度和欧盟的发展》全文
往期文章:
1. 全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
2. 数据权属与数据治理之争
3. 欧盟数据治理模式