欧盟如何为繁荣数字经济打造统一的数据法律规则？

文|曹建峰

翻译|刘诗蕾、曹建峰

数据自由即将成为欧盟的第五大自由

10月4日，即在欧盟议会、理事会、委员会三方于6月19日就在欧盟全境废除数据本地化限制达成政治协议之后，欧盟议会审议通过了“非个人数据自由流动条例”（Regulation on the free flow of non-personal data）。欧盟理事会将于11月6日批准该条例。之后，该条例将被公布在欧盟公报上，并于公布之日起六个月后生效实施。

考虑到已于5月25日生效实施的《一般数据保护条例》（GDRP），规定了个人数据在欧盟范围内的自由流动，该条例和GDPR一道奠定了欧盟的第五大自由，即在人、货物、服务和资本可以在欧盟自由流动之后，如今，数据也摆脱了成员国的边境、负担和障碍带来的限制，可以在欧盟范围内自由流动。就与GDPR的关系而言，该条例与GDPR不会重叠，而是互为补充；当数据集中既有个人数据，又有非个人数据时，倘若两者可分则分别适用该条例和GDPR，倘若不可分则适用GDPR。

在欧盟立法者看来，这无疑有助于消除威胁着数字经济的数据保护主义，并为人工智能、云计算和大数据分析铺平道路，从而推动数据经济和数字经济发展，以增强欧盟在全球市场的竞争力。

押注单一数字市场战略，拥抱数字革命

为了抓住数字革命带来的数字机遇，2015年5月6日，欧盟委员会启动单一数字市场战略（Digital Single Market Strategy），旨在通过一系列举措革除法律和监管障碍，将28个成员国市场打造成为一个统一的数字市场，以繁荣欧盟数字经济。这一战略以三大支柱、十六项关键计划为核心。第一大支柱，旨在便利消费者和企业跨欧盟获取数字产品和服务，涵盖跨境电商、消费者保护、物流、地理屏蔽、电商领域反垄断调查、版权法改革、卫星和有线指令审查、税费改革等事项。第二大支柱，旨在为数字网络和创新性服务繁荣发展创造适宜的条件和公平竞争的环境，涵盖电信规则改革、音视频媒体制度审查、在线平台规则、个人数据保护、网络安全等事项。第三大支柱，旨在最大化数字经济的增长潜力，涵盖数据自由流动、标准和互操作性、数字技能等事项。2017年5月10日，欧盟委员会发布单一数字市场中期评估报告，显示其已经提出了35项提案，还将针对数据经济、网络安全、在线平台等采取进一步行动。

此外，2016年4月19日，欧盟委员会公布数字化欧盟工业的计划，提出明确的行动路线。工业的数字化对欧盟维持其在工业领域的全球竞争力，是至关重要的。为此，这一计划投入500亿欧元，以支持工业的数字化。不独如此，2017年1月10日，欧盟委员会发布政策文件《打造欧盟数据经济》（Building a European data economy），正式启动“打造欧盟数据经济”计划，并为此提出政策和法律解决方案。数据是创新和增长的关键来源，因此需要确保数据自由流动，以保障最广泛地获取和利用数据。此外，拟为非个人的机器生成数据的归属、交换和贸易制定规则，以促进数据分享。2018年4月25日，欧盟委员会发布政策文件《建立一个共同的欧盟数据空间》（Towards a common European data Space），聚焦公共部门数据开放共享、科研数据保存和获取、私营部门数据分享等事项。

可见，在科研投入之外，欧盟主要靠一场造法运动，来推动数字经济发展。欧盟的人工智能战略与此如出一辙，将为人工智能的发展制定适宜的法律和伦理框架，作为三大支柱之一。与之类似，在这场已经进行了多年的单一数字市场运动中，为数据经济和数字经济发展制定适宜的数据法律规则，被认为是繁荣单一数字市场并增强国际竞争力的关键。因为在欧盟立法者看来，欧盟内部统一的数字市场，需要以统一的数字立法为保障。否则，彼此割裂的市场不仅无助于欧盟消费者和企业最大化地抓住数字机遇，而且无力增强欧盟在国际市场的竞争力。

建立全方位的数据法律规则是欧盟单一数字市场战略的关键

为单一数字市场建立统一的数据法律规则，是欧盟单一数字市场战略的重头戏。通过近年来的一系列立法举措，欧盟尝试从以下方面建立统一的数据法律规则。

其一，个人数据保护规则。GDPR作为欧盟个人数据保护立法改革的产物，从个人数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务、个人数据跨境转移等方面，为互联网时代建立了完备的个人数据保护制度，并对全球个人数据保护立法产生了涟漪效应。在GDPR制定之后，2017年1月10日，欧盟委员会提出《隐私与电子通讯条例》（Regulation on Privacy and Electronic Communications），该条例作为GDPR的特别法，意欲取代当前的《电子隐私指令》，旨在规制电子通信服务并保护与用户终端设备相关的信息。该条例将即时通讯、VoIP等OTT服务商纳入与传统电信服务商一样的隐私监管框架，对电子通信数据的保护不仅针对通信内容本身，而且包括时间、地点、来源等标记通信内容的元数据。

其二，数据产权和交易规则。数据已经不再是一座价值孤岛，而是与云计算、物联网、无人驾驶和人工智能等先进技术集群相联系，成为数字经济高速发展的驱动基础。对此，欧盟委员会认为，有利于数据交易发展的法律环境的缺失，可能导致大量数据库的可获取性降低，对数据市场参与者形成障碍，甚至导致不正当竞争。由于著作权、数据库权、商业秘密保护、合同机制等既有保护模式的不足，非个人数据保护依然缺乏有效的制度安排。为此，在政策文件《建立欧盟数据经济》中，欧盟委员会呼吁针对非个人的机器生成数据设立数据产权，规范市场和交易。欧盟委员会希望通过这一“数据生产者权利”鼓励（特殊情况下强制）企业授权第三方访问其数据，促进数据流通和增值。此外，为了促进数据访问和共享，欧盟委员会考虑基于“公平、合理、无歧视”（FRAND）条款建立数据许可框架，以为中小企业和初创公司提供更公平的数据利用机会。

其三，数据自由流动规则。如前所述，GDPR和《非个人数据自由流动条例》一道建立起了所有数字数据在欧盟境内的自由流动。这体现在两个方面。其一，数据跨境，即禁止成员国制定不合理的数据本地化要求，除非是为了公共安全等正当目的。在该条例实施之后，成员国必须在规定期限内废除针对机器生成数据、商业数据等非个人数据的所有不合理的数据本地化要求。移除本地化限制，有望使欧盟数据经济在2020年达到7390亿欧元，对GDPR贡献率达到4%。此外，可以降低数据服务的成本，为企业的数据管理和数据分析提供更多的弹性空间，为企业获取服务商提供更多选择，每年可以贡献80亿欧盟的经济增长。其二，数据可携，即允许用户将其全部数据从一个网络转移到另一个网络，在GDPR中为数据可携权，在该条例中为专业用户切换服务商或将数据转移到其自己的IT系统的规定。为此，欧盟委员会将指导行业制定自律性质的行为准则并监督其有效实施。这意味着企业可以充分利用云服务，为其IT资源选择成本最优的地点，自由切换服务商或将数据其自己的IT系统。然而，欧盟通过GDPR和该条例建立起来的数据自由流动仅限于欧盟范围内，而不包括第三方国家。当前，全球数据本地化趋势在不断加强，俄罗斯、印度等越来越多的国家在强硬推行数据本地化，这将会阻碍全球数字经济的发展，不利于全球数字产品和服务贸易。为此，需要建立全球数据流动规则，以破除国家数据保护主义，实现国家数据监管和数据跨境流动之间的平衡。

其四，数据安全规则。2016年7月7日，欧盟通过首部网络安全立法《网络与信息系统安全指令》，旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全，要求两者履行网络风险管理、网络安全事故应对与通知等义务。因此，即使在跨境背景下，企业也必须遵守所有的安全要求，从而在欧盟范围内确保统一的数据安全。

其五，数据开放共享规则。数据的价值和增值来源于数据流通。数据流通涉及企业之间以及企业、政府之间数据的分享和利用。为此，欧盟正在推动制定公共部门数据开放共享、科研数据获取、私营部门数据分享等方面的规则。

探索智能时代的数据伦理和数据治理之道

如前所述，数据已经不再是一座价值孤岛，而是与云计算、物联网、人工智能等先进技术集群相联系，成为数字经济高速发展的驱动基础。人工智能驱动的经济和社会正在成为可能，在其中，数据和算法的使用无处不在。但与此同时，数据和算法正在带来多方面的社会和伦理问题，诸如意外行为、缺乏远见、难以监管、分散责任、各种危害（如算法歧视，限制自由选择，假新闻，放大、固化就偏见和社会分层，数据和算法滥用，监控和隐私、自由问题）等，这些新的社会和伦理问题正是所谓的“新石油”带来的“新污染”。

在此背景下，数据伦理（data ethics）和数据治理（data governance）成为我们这个时代的新命题，需要人们进行更多思考和探索。对企业而言，数据伦理一方面在于通过作出正确的决策赢得消费者信任，另一方面在于确保第三方不会未经授权访问数据以及滥用数据。欧盟与数据相关的一系列举措，正是为了建立欧盟的数据治理框架，从而为数字经济发展奠定必要的数据法律制度基础，同时以此重塑数字社会的信任基石。欧盟制定这些规则的初衷是为了繁荣数字经济、数据经济、云计算、人工智能等新事物和新技术的发展，但其效用如何以及是否可能产生适得其反的效果，还有待进一步的实证研究和观察。

附录：《欧盟非个人数据自由流动框架条例》