对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
本文编译自Co-Regulation and the Competitive Advantage in the GDPR: Data Protection Certification Mechanisms, Codes of Conduct and the 'State of the Art' of Data Protection-by-Design,作者Prof. Dr. Maximilian von Grafenstein LL.M.。为便于理解,数治君调整了原文部分结构,补充了原文未说明的GDPR共同监管工具概况(3.1),并删去了脚注。
1. 引言
数字经济的发展为监管带来了挑战。法律本身并不是创新的内在障碍,而是创新的平衡者。但是法律在什么情况下可以做到这一点,单靠法律研究是无法回答的。是否存在既能防范数字经济创新带来的风险,又能最小程度的阻碍创新(甚至可以增强创新)的监管工具?本文从实证研究的角度,说明了对数据的监管如何陷入了困境,以及解决困境的出路,并介绍了欧盟《一般数据保护条例》(以下简称“GDPR”)所提供的共同监管工具。
2. 监管数据:困境与出路
2.1 监管的困境
知识不确定性是创新过程的内在要素。在高度动态、创新的数字经济环境中,监管机构和监管对象都面临着巨大的的知识不确定性。一方面,数字经济中的商业模式是不断演变,甚至是“创造性破坏”的,而监管机构对未来将要发生的事件了解有限。在某些情况下,某种行为可能对特定的保护对象造成损害;在有些情况下,对这种线性因果关系的认识还不够,但仅仅有可能造成损害就足以证明采取预防性保护是合理的。另一方面,监管对象(通常是企业)也面临着知识不确定性。在形成新的数字经济商业模式时,企业需要定位商业机会,积累资源,生产产品或服务。在高度动态的数字经济环境中,企业可能会在已经有充分了解的前提下“发现”一个已经存在的商业机会,也可能在没有足够了解特定结果的情况下“创造”一个不存在的商业机会。
宽泛和模糊的规定会导致监管对象适用法律的方式可能不符合监管机构的期望。这分为两种情况:一是监管对象确实希望满足监管的目标,但没有成功,原因是他们不知道监管者对他们的明确期望是什么。二是监管对象并不想满足监管的目标,而是利用法律规定的广泛性和模糊性作为漏洞,一些有能力的企业可能会滥用其知识优势,损害有关个人的利益。第一种情况下,法律不确定性对创新企业家产生了负面影响;第二种情况下,法律不确定性则对相关个体产生了负面影响。这导致了创新环境中的监管困境。一方面,如果监管机构规定了具体的规则,这些规则就会面临过度监管的风险,无法满足创新带来的实际威胁。另一方面,如果监管机构提供的宽泛的法律条款和/或原则基本上是对创新开放的,就会降低法律的确定性。
监管策略的选择一直以来都是法律在复杂和高度动态的领域中面临的棘手问题。以下几种监管策略较为常见,分别是(1)命令式法律(“命令和控制”,也称为“规则”),(2)国家规定的自我监管(“共同监管”,也称为“原则”或“标准”),以及(3)社会自我监管。“命令和控制”和“共同监管”有各自的优缺点和适用情况。首先,命令-控制规则一般以“如果-那么”的模式表述,因而更加明确和直接,提供了较高的法律确定性;但此类监管策略没有考虑到管制对象的具体情况及其经济行为的限制,这种不灵活性导致此类监管策略无法对环境的动态变化做出反应,从而会严重限制它们的适用空间。因此,监管者对其保护工具的有效性和效率的了解越多,这种类型的监管就越合适。但如果监管者没有足够的知识,比如在复杂的、高度动态的、创新的环境中,这种命令和控制式的监并不是最合适的工具。其次,共同监管策略可以更好地利用分散在不同私人实体之间的知识,从而能够更具体地对特定环境作出反应,因此对于复杂的、动态的和创新的环境而言更为合适。
2.2 监管的出路:共同监管
为了解决法律原则和开放创新的宽泛法律条款和法律不确定性间的冲突,监管机构可以添加程序性工具,让监管对象自行增加法律确定性。一个突出的例子是由私人实体建立的标准,在一定程度上涉及监管机构介入,并在技术和组织要求方面明确法律。这种法律原则或宽泛的法律术语与程序性文书的结合是共同监管策略的典型特征。
仔细研究GDPR可以发现,立法者显然在很大程度上选择了基于原则的“共同监管”策略。比如GDPR第5条规定的“个人数据处理原则”,以及GDPR第25条和第32条规定的“通过设计的数据保护和默认的数据保护”和“处理的安全”要求。在这些条文中,立法者将基于权利的方法(如GDPR第5条)和基于风险的方法(如GDPR第25条)相互结合。例如,根据GDPR第25条,数据控制者必须在考虑其处理的“风险”、“目的”和“上下文”等方面的情况下,实施GDPR第5条中列出的原则。而所有这些法律原则和术语相当广泛而模糊,这种综合策略的优点是,监管对象既有规范的方向,又有足够的回旋余地,以找到最适合的解决方案的监管目标,同时还可以考虑商业中数据处理背景的具体情况。
这种共同监管策略,不仅在监管中为创新留下了空间,而且可能鼓励进一步创新和市场竞争。在微观经济层面,共同监管策略所提供的法律确定性可以对创新活动产生积极影响。“法律在促进创业活动方面的作用是减少企业感知到的不确定性”。虽然“命令与控制”的监管策略为企业应用法律提供了精确的标准。然而,在高度动态和创新的环境中,这种策略有增加不必要的官僚主义和阻碍企业活动的风险。因此,监管者也可以通过建立法律原则和/或宽泛的法律术语,以及允许企业家自己指定这些规范的程序性工具,来建立创造理论的逻辑。GDPR第42条和第43条规定的数据保护认证机制、第40条和第41条规定的行为守则以及第46条和第47条规定的有约束力的公司规则,都属于此类程序性工具。
在中观经济层面,这种共同监管策略可以为市场参与者(主要是消费者)发出数据保护程度的信号。消费者决定支持或反对某些具有特定品质的产品或服务,这决定了创业、创新活动的成功。就数据保护法而言,这意味着数据主体必须能够选择具有特定“数据保护品质”的产品或服务:偏好较低数据保护级别的数据主体不必购买保护级别较高的产品或服务。但是,如果没有一个通用尺度来衡量数据保护水平,数据主体就无法比较不同“数据保护质量”的产品或服务(例如,如果市场上有太多的数据保护证书,数据主体就会迷失在各种各样的证书中)。原则上,共同监管策略可以为企业提供明确和标准化的法律要求,从而使企业向数据主体表明其数据保护质量,向数据主体发出(其特定产品或服务)的数据保护质量信号。从而将法律规定的回旋余地转变为竞争优势。
在宏观经济层面,共同监管策略可以以提高市场在宏观经济层面的创新能力。例如,GDPR第25条和第32条都要求数据控制者和部分处理者,在实施适当的技术和组织措施以减轻其数据处理活动造成的风险时,考虑到“技术水平”。按照市场经济的逻辑,如果将“技术水平”确定在统一的命令-控制规则中,所有的竞争者都被要求平等地提供这种更高的产品或服务质量,创新者的投资就没有回报,从而失去创新动力。而共同监管策略可以帮助发展将“技术水平”作为其核心业务价值主张的市场参与者,这些市场参与者可以利用提及“技术水平”的法律要求作为不断更新的商业机会。每当这些市场参与者推动“技术水平”时,他们就会对其他竞争者造成压力,以实施新开发的、符合当下“技术水平”的保护工具。
3. GDPR的共同监管工具:类型与功能
3.1 GDPR共同监管工具的类型
GDPR所提供的共同监管机制包括行为守则、数据保护认证机制和有约束力的公司规则等。GDPR第五部分规定了各项工具的具体实施方案。
行为守则(Codes of Conduct)规定于GDPR40条,是由协会以及代表控制者或处理者的实体起草的、用于细化GDPR之适用的准则,涉及合理透明处理数据、个人数据的收集与匿名化处理等事项,也可用于个人数据跨境传输。2019年6月,欧盟数据保护委员会(以下简称“EDPB”)发布了《关于2016/679条例规定的行为守则和监督机构的指南 1/2019》,针对GDPR第40、41条与行为守则和监督机构相关规定澄清了程序和规则;2022年年初,EDPB发布了《关于行为守则作为数据跨境传输工具的04/2021号指南》(可点击《关于行为守则作为数据跨境传输工具的04/2021号指南》进行阅读)。
数据保护认证机制(Data Protection Certification Mechanism)的依据规定于GDPR第42条,即数据控制者或处理者可以设立数据保护认证机制、印章或标记,来证明对将个人数据转移到第三国或国际组织的情形采取了合适的安全措施。数据保护认证机制主要面向控制者和处理者的数据处理行为,而行为守则则从更广泛的意义上与数据处理部门的具体特征相关,两种机制互为补充,行为准则一般由行业协会或代表行业的机构发起撰写,确保在特定部门的合规性,通常结合了特定行业的特点,以此出发实现GDPR合规。而数据认证则是自愿的,是控制者或处理者在通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺后采取的证明机制。2019年6月4日,EDPB发布了《针对GDPR第42和第43条有关“认证”规定的指南》,对数据保护认证机制进行了详细的阐释。而有关数据跨境认证的《针对GDPR第3条和第5章有关数据跨境传输条款适用的指南》于2011年1月31日结束了公众咨询,但尚未发布正式版本。
有约束力的公司规则(Binding Corporate Rules)适用于开展联合经济活动的实体及其内部所有成员(通常是跨国公司)的个人数据跨境传输行为。有约束力的公司规则需要具有法律约束力、在处理个人数据方面明确赋予数据主体以可执行的权利,且须符合GDPR第47.2条等的相关要求。为方便该类主体进行国际数据传输时使用有约束力的公司规则,欧盟委员会第29条工作组发布了对控制者/处理者具有约束力的公司规则的工作文件(可点击《关于对控制者具有约束力的公司规则的工作文件》 或 《关于对处理者具有约束力的公司规则的工作文件》 进行阅读),以表格形式列出有约束力的公司规则的要素和原则,以反映GDPR的要求。
3.2 GDPR共同监管工具的功能
行为守则、数据保护认证机制和有约束力的公司规则都可以增加法律确定性,从而降低数据控制者和处理者的进行商业活动和创新所面临的监管复杂性。行为守则和数据保护认证都可以用于证明遵守了控制者的义务、在委托处理活动中符合必要性的保证,以及数据跨境传输的适当保护水平。有约束力的公司规则仅可以用来证明数据跨境传输的适当保护水平。因此,在微观经济层面,数据控制者可以使用GDPR所提供的共同监管工具作为证明遵守GDPR多种要求的手段。但应当注意的是,在GDPR所提供的共同监管工具不能简单地重复模糊的法律文本,只有在确实规定了法律、且使法律更加具体的情况下,合规功能才会有效。
在发挥数据保护质量信号功能方面,行为守则、数据保护认证机制和有约束力的公司规则的作用各有差异。行为守则与特定行业或整个处理活动类型有关,因此它原则上为所有的参与者定义了相同的保护水平。而有约束力的公司规则仅适用于数据跨境传输的情形,因此所发挥的数据保护质量信号功能也有限。由于只有可以在对不同的相同类别的产品或服务发出数据保护质量信号的情况下,共同监管工具的信号功能才可以发挥作用。因此,在中观经济层面,数据保护认证机制更能有效地发挥信号功能,进而为市场参与者带来竞争优势。但这又会产生数据保护认证机制到底是在为市场参与者做背书,是在为产品和服务做背书,还是对“个人数据保护水平”做背书的问题,即数据保护认证机制的适用对象。但本文认为,虽然题的答案还取决于法律规定:数据保护认证机制必须明确哪些内容实际上被认为符合具体要求,才能被用来证明合规性;但是问题的关键是,数据保护认证机制不能误导消费者或企业客户,认证机制必须从本质上澄清:(1)它指的是哪些处理操作;(2)这会导致的风险;(3)减轻这种风险的保障措施。因此,认证程序至少包括产品或服务所依赖的所有处理操作的情况下,才能将产品或服务作为一个整体来参考。
在应对复杂性方面,需要满足发布数据保护认证机制的实体、数据控制者和处理者以及数据主体的不同需求。对于发布数据保护认证机制的实体(即认证机构或数据保护机构)而言,他们需要在欧盟数据保护委员会批准的标准之上,持续监测不断发展的“最新技术”,否则可能违反GDPR第25条和/或第32条的有关规定。对于数据控制者或处理者而言,即使不再需要监测“最新技术”,获得数据保护认证、印章或标记的程序仍然十分复杂。可以通过对不同的风险进行分析评估的方法,将数据保护认证机制模块化,减轻数据处理者或控制者的负担。对数据主体而言,逐渐增多的数据保护认证机制会让数据主体在选择上遇到困难。尽管能够通过集中化数据保护认证机制的方法解决问题,但这种方法不利于市场发展,最好采用“软治理”模式,如在欧洲单一市场注册和公布数据保护认证机制。
4. 总结
法律原则和开放创新的宽泛法律条款与共同监管相结合,能够使能够最大程度平衡数字经济发展与监管之间的矛盾。通过使用行为守则,数据保护认证机制和有约束力的公司规则,企业可以将法律的模糊性转化为竞争优势,这种优势能够分别在微观、中观和宏观三个经济层面表现出来。同时,应该考虑数据控制者或处理者,以及数据主体的需求。在减轻微型、中小企业负担的同时,使数据主体能够或者数据保护市场的概览情况,推进数据保护市场的竞争性和创新性。
有效的监管对于数字经济发展十分重要。研究监管工具对数据驱动的创新和竞争优势的影响是一个相当复杂的问题,需要根据市场需求不断调整监管模式。从欧盟经验中我们可以看到,数字经济仍是一个不断发展的领域,法律原则和宽泛的法律条款是较为有效的法律治理方式。同时需要创建多种方式的数据保护认证工具满足不同类型企业的需求,探索多元化的治理模式,加强政府与企业间的合作,共同助力数字经济发展。
(完)
往期文章:
1. 欧盟数据治理模式
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
全文首发| 欧盟《数据法》草案中译本欧盟的公共数据治理方案(下)欧盟的公共数据治理方案(上)
欧盟的人工智能数据治理方案
Gaia-X:下一代数据治理基础设施
2. 数据权属与数据治理之争
应该在欧盟引入数据生产者权利吗?(上)应该在欧盟引入数据生产者权利吗?(下)3. 全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
4. 数据跨境流动治理