欧盟数据治理新走向：《非个人数据自由流动框架条例》评析

吴沈括 北京师范大学刑科院暨法学院副教授

霍文新 北京师范大学刑科院硕士研究生

前言：

欧盟委员会于2017年下半年提出《非个人数据自由流动框架条例》的提案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for the free flow of non-personal data in the European Union）（下文简称：《非个人数据流动条例提案》），其核心内容要素主要包括与数据本地化要求有关的规则、向主管部门提供数据的可用性以及专业用户的数据迁移等相关问题。该提案旨在统一有关非个人数据(non-personal data)的自由流动规则，试图为欧盟数字单一市场带来良性的竞争环境，同时为发展更为安全的数据存储空间提供新的治理框架。

1

非个人数据流动保护背景

云计算、大数据、人工智能和物联网等新一代数字化技术以最大限度提高效率、实现规模经济并发展新服务作为目标追求，为技术使用者带来了诸多益处——敏捷性、高效性以及自主性。

欧盟对数据保护一贯极为重视，迄今出台了多部相关立法力求建构完善的数据保护制度，促进数据合法、有效的利用。但若将个人数据与非个人数据同日而语，则忽略了二者在隐私保护以及价值、影响方面的重大差异。欧盟委员会发布的《非个人数据流动条例提案》着眼于二者的差异，对非个人数据制定了不同的流转规则体系。

（1）亟待解决的问题

欧盟数据报告文本显示，欧盟数据市场的价值呈逐年增长趋势，为了释放欧盟数据市场的潜力，该《非个人数据流动条例提案》特别提示以下亟待解决的问题：

改善单一市场中非个人数据的跨境流动性。由于本地化限制或市场法律的不确定性，许多成员国对跨境的非个人数据予以限制;

确保有权机关为监管控制目的要求和获取数据的权力不受影响，例如检查和审计;

使数据存储或其他处理服务的专业用户更容易更换服务提供商和端口数据，同时避免为服务提供商带来过度负担以及产生市场扭曲。

该提案将上述诸多问题作为总体政策目标，对数据存储和数据处理服务、动态的数据市场增添竞争力和整合性。

（2）追求目标

目前数据保护立法的适用范围将一些部门排除在外，这将导致仅仅依靠《欧洲联盟运行条约》（TFEU）的相关规定，不足以消除数据市场中的数据服务面临的现有障碍。在当下欧盟数据市场环境中，相关成员国的数据侵权保护程序极为复杂，抑或面临公营与私人层面数据处理规则不同的障碍。

为此，《非个人数据流动条例提案》与政策领域的现有政策规定以及其他欧盟政策保持一致，力求提高法律确定性，侧重于提供数据存储和其他处理服务，并进一步培育欧盟数字服务市场。该法案提出的非个人数据流动具体规则以及相关措施，旨在减少欧洲数据驱动型竞争经济的壁垒，增强数据的可访问性和再利用性，减少因数据集中对公共利益或私人造成的损害。

数据自由流动的规制，将增强数据的可操作性，妥善处理数字合作问题，对互联网的开放提供保护性框架。

2

《非个人数据流动条例提案》核心框架

该提案所针对的适用对象涵盖除个人数据以外的其他电子数据，规范其存储以及相关处理服务等活动。就内容而言，对于非个人数据的处理活动，为了统筹个人数据与非个人数据的整体保护框架，其提出对数据本地化措施予以最大程度的限制或禁止。此外，对有权机关获取数据的权利以及其他专业用户迁移数据的方式提供了进一步保障和具体措施。

对于数据本地化，提案做出的定义为：成员国法律、法规或行政规定中规定的义务、禁止、条件、限制或其他要求，而这些要求对数据存储或数据的其他处理行为做出了特定领域的限制或阻碍。

而“有权机关”是指根据国家或联盟法律规定，有权履行其公务职责、获得自然人、法人存储或处理的数据的成员国主管部门;“专业用户”是指包括公营部门实体在内的自然人或法人，基于与其贸易、商业、工艺、专业或业务相关的目而提出使用或请求数据存储以及其他处理服务。

针对以上概念定义，提案提出了非个人数据在国际电联内部自由流动的规则理念，也即最大程度限制或禁止数据本地化并为各成员国之间对法律适用提供单一联结点，同时在该前提下要保障有权机关依法获取数据的权力，并改善专业用户更换数据存储或其他处理服务提供商移植数据的条件。

3

限制数据本地化以及提高法律确定性

欧盟数字单一市场中数据流动的障碍已被确定为核心问题，而问题驱动的因素则是本地化限制：立法和行政的本地化限制;法律不确定性和市场缺乏信任的数据本地化;禁止处理服务提供商进行数据移转活动的限制。该提案将要求根据第2015/1535号指令评估本地化限制是否合理。

（1）数据本地化问题的评估及其限制

《非个人数据流动条例提案》第4条第（1）款提出了国际电联内部数据自由流动的规则：国际电联存储或其他数据处理的位置不应限于某一特定会员国的领土，并且不得禁止或限制任何其他成员国的存储或其他处理，除非基于公共安全的理由。

该规定表明，在欧盟，数字经济的建立以及依赖数据的新技术会受到数据流动障碍的影响，从而影响数字单一市场中的企业及其运营。数字本地化规则对于个人数据的保护而言，具有强针对性保护，但就数字经济而言，数据流动的过分限制同时也阻碍了经济横向发展。

为此提案指出，成员国应引入新的数据本地化要求或根据国家法律实施第2015/1535号指令中规定的程序对现有数据本地化要求进行修改或废除。该举措的目标是为数据存储和处理活动培育更具竞争力的欧盟市场，具体而言，这意味着减少数据本地化要求的数量和范围，进一步增强法律的确定性。

综合条文规定来看，数字本地化并非被完全禁止，但在必要的范围内应当被更改或者修订。根据对该提案的影响评估报告显示，对现有本地化政策的限制情况应当予以评估，即该影响评估报告提出可采用优先选择权来确保审查程序，并建立明确的法律原则，以此有效地消除现行不合理的本地化限制，以及避免将来可能科加的限制。该举措可提高对条例确立的法律原则的认识，还将提高市场的法律确定性。

数据本地化应当被完全禁止还是应当采取立法手段予以规制，存有一定的争议。在《建立欧洲数字经济》的交流报告中，虽然大部分公众认为应当对其采取禁止措施，但事实上，众多利益相关者则认为采取立法行动才是消除本地化限制的最合适手段。

（2）单点联系增强法律确定性

当然，非个人数据的流动并非仅要求限制数据本地化要求。该提案考虑到了法律确定性问题。提案第4条的第（4）款和第（5）款提出了单一信息点的建立问题，该信息点主要为成员国在网上公开适用于其领域的数据本地化要求的详细信息提供了展示方式。此外，根据第7条的规定，每个成员国均应指定一个单一信息点，与其他成员国和欧盟委员会的联络点进行联络。

单一联络点的适用前提是成员国之间没有可依据的明确法律框架来形成具体的合作机制。此时，在成员国向其他成员国请求协助时，单一联络点将包含一个适当的动机要求以及对被请求方的书面解释理由和寻求访问数据的法律依据。换言之，该种方式是通过在成员国之间建立一个明确的框架规范成员国之间的合作方式，同时通过成员国自身的自律性以提高法律确定性和彼此间的信任水平。基于成员国之间的单一联络点，赋予彼此合作方式一定的灵活性，以长期保持法律框架和各国合作机制的相关性和有效性。

4

数据提供以及数据迁移

数据本地化要求往往是由于缺乏对数据跨境存储或其他处理的信任而产生的，但当这些数据是成员国有权机关为了检查、审计监管或监督控制等合法性目的而收集的，对有权机关的权力不应当按照此提案的要求予以限制。

（1）向有权机关提供数据

《非个人数据流动条例提案》第5条规定，在有权机关根据联盟或国家法律要求获得依据公职而收集数据的权力时，在不违反公共秩序的前提下，有权机关的此种权利不应受到限制。换言之，有义务向有权机关提供数据的自然人或法人应保证向其提供相应数据，并保证其有效、及时地访问数据，且不论该数据在哪一个成员国中被存储或以其他方式处理。

如果有义务提供数据的自然人或法人不遵守这些规定，并且有权机关已经用尽所有适用的手段获取数据，有权机关可寻求其他成员国的协助。在这种情况下，有权机关应根据特定案件的具体情形，依据欧盟相关法律框架的具体条文规定彼此提供有效的合作。此外，在缺乏明确、具体的合作机制的情况下，有权机关可通过指定的单一联络点提供需要的数据。

该条文主要确保了有权机关监管控制中的数据可获取性。为此，用户不得以数据在另一成员国存储或以其他方式处理作为理由，拒绝向主管当局提供数据访问权。

（2）专业用户数据迁移条件的优化

鉴于监管目的而力求在数据可获取性方面取得进展，专业用户可以通过增加数据处理合同中适用程序或其他条件的透明度，更换数据处理服务提供商和端口数据，且不必在此阶段对服务提供商施加具体标准或义务。

无障碍迁移数据的能力是用户选择和数据处理服务市场有效竞争的关键促进因素，而数据流动的障碍会破坏专业用户对内部市场的信心。据此，《非个人数据流动条例提案》第6条做出规定：

在专业用户想要切换到另一个提供商或端口数据时，在返回自己的IT系统过程中所适用的流程、技术要求等，均可采用可用数据格式的支持以及最小网络带宽，在迁移过程启动之前所需时间和数据将得以被保证；

以结构化等可读格式转换或迁移数据的操作要求，允许用户有充足的时间切换或迁移数据。

换言之，该条文主要要求服务提供者以合理且相称的方式应用于数据的存储或其他处理环节，减轻专业用户切换服务提供商和端口数据的操作难度，各参与者依自律性来履行彼此的义务要求。

5

完善非个人数据流动保护机制的未来影响

为了发展数字经济和提高欧洲工业竞争力，建设一个清晰、全面和可预测的法律体系，规制除个人数据以外的其他数据的处理活动非常有必要。《非个人数据流动条例提案》具有一定的灵活性，其以成员国之间基于自律性的合作来满足数据用户、服务提供者以及有权机关不断变化的需求，谨慎遴选技术规则以降低与现有机制产生重叠的风险，避免成员国和企业承担更高的经济负担。

总体而言，虽然有极大的可能性会导致欧盟市场监管要求以及企业额外成本的增加，该提案力求确保数字单一市场内部的平稳运行，对非个人数据的自由流通加以规制，进一步完善作为核心问题的数据跨境流动规则。

（1）促进市场竞争良性发展

该提案或将对竞争产生积极影响，其将刺激数据处理服务的创新，从而吸引更多的用户，特别是对于初创和小型服务提供商，可使其更容易进入新市场。此外，还将促进数据处理服务的跨境、跨行业发展，进一步推动数字市场的发展。中小企业是数据处理提供商以及市场创新驱动因素的重要组成部分，这些企业最可能从消除数据流动障碍的规定中受益，非个人数据的自由流动将直接降低其运营成本，并有利于增强其市场地位的竞争力。

（2）平衡监管与市场自律

《非个人数据流动条例提案》引入有关数据迁移方面的规定，对于专业用户而言，为了充分利用竞争环境，可据此广泛比较内部市场提供的各种数据处理服务情况，以此做出更为明智的选择。

该举措不仅是为了培育市场的创新潜力，同时要求数据处理服务提供商和专业用户具有一定的经验和专业知识以及一定的自律性。此外，通过鼓励为数据迁移制定行为准则的方式，将为云服务提供商带来更具竞争力的内部市场，此举将进一步完善数据的传输方法，并在欧盟监管和市场自律之间谋求平衡。

具体而言，该规定并未在数据处理服务提供商之间创设新的迁移权利，而是依赖其自我监管来确保与可迁移性相关的技术和操作条件的透明度，从而增强对数据处理安全性的信任。

（3）培育安全的数据存储空间

该提案所建立的数据自由流动框架，在建设具有竞争力的数据经济的同时，为数据存储和处理的规模经济提供了新的发展前景。虽然数据的流动性予以增加，但在数据治理的过程中，法律确定性随之增加，数据处理环节的参与者彼此之间的信任度也会同步上升。

欧盟对非个人数据自由流动规则的协调，不仅是出于法律确定性和数据公平竞争环境的需要，市场参与者遵循统一规则是数字单一市场运作的关键因素，规则的统一对于贸易障碍和竞争扭曲有控制和预防作用。此外，欧盟对数据流动规则的干预将有助于欧盟培育更为安全的数据存储空间。

▼

结语

经济数字化发展趋势正在加速，信息和通信技术从一个单一的产业部门发展成为现代创新经济体系和社会的基础，而电子数据正是这些系统的核心，并可以产生巨大的价值。数据价值链建立在不同的数据业务上，包括收集、存储、处理、分析以及使用等。而数据存储及其处理活动的健康、高效运作是数据价值链中基础的组成部分，对数据流动和数据市场的科学治理，将进一步促进数据经济的发展。

可以预期，《非个人数据流动条例提案》或将与《欧盟一般数据保护条例》（GDPR）共同协作，在个人数据和非个人数据两个层面，建构差异性数据保护立法框架，共同激发数据的泛在价值。