数据交易治理:中国、欧盟和印度的发展(附报告全文)
本文编译自耶鲁大学法学院蔡中曾中国中心2021年8月发布的研究报告《数据治理政策的叙事转变和新兴趋势——中国、印度和欧盟的发展》(Shifting Narratives and Emergent Trends in Data-Governance Policy: Developments in China, India, and the EU)。
数治君将该报告分为“作为经济政策的数据治理”、“数据访问治理”和“数据交易治理”三篇发出,本文是该报告的第三篇。报告第一、二篇已发出,可点击作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)和 数据访问治理:中国、欧盟和印度的发展(附报告全文)阅读。
为保证阅读流畅性,本文对原文及其脚注略有删减。
3. 数据交易
\ 趋势
支持数据交易或类似机制的政策越来越普遍。从广义上讲,这些机制被描述为技术和法律机制,可以促进不同实体之间更容易地转让所有权和控制数据的使用。这些新提案的实际形式和实施情况仍不太清楚。
在中国、印度和欧盟,最近的政策提案承认并推动建立数据交易或其他数据共享架构,以促进不同实体之间的数据共享。在这些提案中,我们将数据集概念化为可以在技术和法律机制支持下无缝交易的商品。然而,鉴于每个地区都在推动这些技术和法律安排,以追求不同的目的,相似之处可能就到此为止。
在中国,早期存在于政府和私营部门支持的平台上的数据交易可以作为试验政策及其经济影响的试验场,供决策者观察与数据使用、共享和传输相关的规则如何在小型数据经济中发挥作用以及如何相互作用。数据交易所更进一步实现了一系列目标:它们促进私营部门公司和开发人员更大程度地访问数据集。
在欧盟,DGA提案提出了一个更为具体的技术和法律安排(“在由公共部门提供和控制的安全处理环境中”),这使得政府机构持有的数据能够得到更大程度的共享和重用,同时仍然遵守GDPR下的数据保护承诺。DGA虽然没有提供这些安排如何运作的细节,但立法提案的存在本身就表明官方承认并鼓励这种机制的发展。
在印度,官方认可的DEPA和非个人数据框架都为创建新的数据交易市场提出了详细的愿景。例如,DEPA基于对每一粒数据的“电子同意令牌”的概念,然后可以通过技术门户(如仪表板)对其进行管理,该门户经过优化,便于从一个实体转移到另一个实体,并基于数据主体的同意。值得注意的是,一系列非政府利益相关者在开发这些框架方面具有影响力,与典型的政策或监管文件相比,这些框架在技术和操作细节方面非常丰富。
中国
中国《数据安全法》草案是第一部承认和促进建立数据交易市场的国家法律。尽管草案没有提供细节,但该法对数据交易市场概念的承认,为“将数据资源共享和交易作为促进经济发展的一种方式”的想法提供了合法性依据。
中国学者将数据分类分级机制视为数据市场的基础,它们描述了什么样的数据可以成为此类交易的一部分并创建了一个流程,旨在打击非法或不受监管的数据代理、数据安全问题和猖獗的欺诈行为。通过正式支持数据交易的想法,政府希望获得更多的可见性和监督,同时增加数据的可用性和访问,以推动数字经济。
在早期阶段,政府和私营部门支持的平台都存在数据交易,这些数据交易是试验政策及其经济影响的试验场,让政策制定者能够观察与数据使用、共享和传输相关的规则和新技术如何在小数据经济中发挥作用并相互作用。中国也在整合区块链等技术,以缓解隐私和安全问题。
这些交易所有许多不同但相互加强的目的。首先,它们旨在帮助打破政府机构内的数据孤岛,帮助提高数据共享效率。多年来,一系列政策要求更好地协调政府数据资源,以打击数据囤积,而现在,交易所是迫使政府机构以标准格式提供其数据集的一种方式。国务院总理李克强在2018年的一次讲话中描述了这些数据壁垒带来的挑战,他在讲话中说,“中国80%的数据资源掌握在政府手中,不开发和利用这些数据将是一种浪费。”自2007年国务院通过《政府信息公开条例》以来,政府机构努力要求披露政府记录,包括要求和保留政府持有信息的权利,政府机构在数据共享方面表现出了或多或少的进展。
在国务院于2020年4月宣布数据为生产要素之后,政府开始将数据视为经济资产。数据交易已成为政府立即建立数字经济和控制国内数据流动的一种方式。大数据交易所的目的主要是允许私营部门通过向数据提供者、API访问或数据服务收取费用来从数据交易中赚钱。最近的声明和试点项目提供了一些迹象,表明市场的目标是什么,以及未来可能扩展到国家级系统的现行政策和流程。
在该法公布后的一个月,浦东干部学院负责人何立胜在官方媒体上发表的一篇文章提供了有关政府愿景的更多细节。在这篇文章中,何立胜倡导“开放共享数据资源”,以“发挥数据经济的溢出效应”,并带来“经济金融领域,市场参与主体可依托云计算、大数据、人工智能等实现深度的数字化转型,促进科技创新、推动产业升级。”他还解释说,数据分类分级将是创造“数据有序交易”以实现“价值创造”和促进数字经济高效发展的基本组成部分。
在实践中,数据是通过多种力量传递的:数据集的销售;在线提供免费可下载的数据集;API服务提供商;以及数据可视化、分析和清理等数据服务。Schaefer表示,“(数据交易)基本上是数据产品和服务的购物中心。”相关服务包括允许访问数据集进行查询,而无需传输数据集本身。例如,上海数据交易所(Shanghai Data Exchange)提供的一项名为“中国受众画像库”的服务交易称,可将来自不同行业的数十家数据供应商(其中许多是注册交易所会员)的数据进行汇总,为希望更多了解用户正在寻找的产品类型以及用户购买力、偏好、习惯等变量的数据买家提供综合分析以及地理特征,以满足项目市场需求。
省级政府的试点区提供了一个视角,让人们了解这些交易所是如何作为一个试验场来创建一个共享数据的流程和框架的,这些数据可以在未来扩展到一个国家系统。例如,天津市发布《天津市数据交易管理暂行方法》(征求意见稿),其中包括对可交易数据范围的要求:数据必须“合法获取、处理,以便无法识别或恢复原始数据生成器”;此外,禁止交易某些类型的数据,例如“与国家安全、公共安全和个人隐私有关的数据”。交易的个人信息应该匿名化处理,或者取得个人信息主体的同意。但尽管随着市场的发展,重新识别身份的隐私风险仍然不可避免,这是一个需要仔细检查的领域。
两个最大的数据交易所贵阳大数据交易所和上海数据交易中心的模式类似:任何拥有匿名数据的公司都可以向这些交易机构申请成为 “交易成员”,这允许他们将数据出售给其他注册成员(有时是经过验证和认证的第三方)。涉及的公司通常要么是直接向数据购买者出售其消费者数据的企业,要么是汇编面向消费者的企业向其出售的数据的大数据公司。买家(注册交易所会员)可能是应用程序开发人员,也可能是将数据用于业务开发、营销或产品开发的人。
欧盟
2020年《数据治理法案》提案鼓励建立技术法律安排,以提高数据的可用性、共享和重用。它还为数据市场创建了一系列新的中介机构(如数据共享服务和数据利他主义组织),它们被认为是“促进大量……数据的聚合和交易的工具”这些数据中介机构必须保持独立性并遵守严格要求,以防止“不一致的激励措施鼓励个人提供更多数据进行处理,而不是为了个人利益。”该提案还包括一个认证或标签框架,包括对遵守这些要求的后续监控。这一想法与几个司法管辖区正在探索的“数据信托”概念有所区别。
如前所述,《数据治理法》包括共享和重复使用政府持有的个人数据,只要这些数据符合现有的GDPR要求。该提案没有规定如何实现这一平衡,但确实表明或表明要使用现代技术工具来实现这一点。例如,该法案规定,公共部门机构可以规定只有在“由公共部门提供和控制的安全处理环境中”才能访问数据的义务虽然该法律草案没有提供任何关于这将如何运作的进一步细节,但这可能会认可新的研究提议,即保留数据集所有者的计算轨迹,并防止与可能不可信的第三方共享原始数据的机制。
印度
最近的数据治理政策因其提出的新颖而详细(如果复杂)的技术法律架构而与众不同。这些不仅仅是陈述法律原则,而是提出监管和技术系统的组合,以共同实现政策目标。NITI Aayog的报告指出,DEPA可以“为印度的数据生态系统做的,就像TCP/IP互联网协议(TCP/IP Internet protocol)或GPS这两个美国公共数字基础设施的有力例子分别为通信和导航所做的那样:引入一种新的可能性,创造一个寒武纪爆炸式的新产品和服务,赋予人们权利。”
DEPA和《非个人数据框架》草案都提出了创建新数据交易市场的技术法律框架。例如,DEPA基于每一粒数据的“电子同意令牌”概念,然后可以通过一个技术框架进行管理,该框架经过优化,便于从一个实体转移到另一个实体,并基于数据主体的同意。考虑到个人在管理这种规模和深度的同意权限方面的预期困难,该框架建议创建被称为同意管理者的商业实体,作为中介,代表用户管理权限,以换取金钱奖励。虽然该框架被认为在数据驱动的业务中具有价值,但它可能很难抽象地概念化。行业监管机构已承诺实施这些新数据交易市场的版本。金融监管机构印度储备银行(Reserve Bank of India)已经在2020年12月以DEPA为模式启用了一个“账户聚合器”系统,但规模仍然非常有限。8月,印度总理还批准建立一个“国家卫生堆栈”,其中包含一个联邦电子卫生数据系统,据说该系统是以DEPA为模型的。
与DEPA类似,非个人数据框架草案还提出了一系列新的法律和市场参与者(如数据受托人)、现有业务的新法律要求(“数据业务”作为一个法律类别),以及无缝数据共享的可互操作技术网格。起草非个人数据框架的委员会的民间社会成员帕明德·吉特·辛格承认,具有相当程度“技术组织能力”的组织非常适合扮演框架中设想的数据受托人的角色。鉴于目前的连通性水平和印度数据市场的成熟度,以及创建技术成熟的市场中介机构以发展业务的不明确动机,这对这些模型的可行性提出了疑问。
另一种反复出现的批评是,该框架将大多数权利和利益赋予了模糊且未定义的“社区”概念。正如政策专家马拉维卡·拉哈万(Malavika Raghavan)在一次公共研讨会上指出的那样,在目前的背景下,很难想象数据驱动社区会围绕他们对数据的共同兴趣进行有机发展和组织。
一系列非政府利益相关者在制定目前由政府机构认可和实施的框架方面发挥了影响力。例如,政府的尼蒂·阿约格(NITI Aayog)关于DEPA的论文承认,该提议是与iSPIRT的几名成员共同努力的结果。iSPIRT是一家非营利智库,成员来自印度Infosys、Paytm和PhonePe等公司的知名成员。iSPIRT将自己描述为“将想法转化为政策建议,提交给政府” “利益相关者”,并因其在政府各部门中不同寻常的深刻影响和访问而引起争议。同样,政府任命的起草《非个人数据框架》草案的委员会包括印度技术和商业界的成员,以及帕明德·吉特·辛格,一位民间社会倡导者,他一直在声援社区对数据的权利以及出于国家利益对跨境数据传输的限制。
(完)
附:《数据治理政策的叙事转变和新兴趋势——中国、印度和欧盟的发展》全文
往期文章:
1. 全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
2. 数据权属与数据治理之争
3. 欧盟数据治理模式