欧盟公布《数据治理法案》,大力推动单一数字市场建立
来源:CAICT互联网法律研究中心 发布日期:2021-02-22 阅读:84次
2020年11月25日,为了更好地开发欧盟不断增长的数据中蕴含的巨大潜力,欧盟委员会(以下简称欧委会)提出了《数据治理法案》(以下称“法案”)。该法规将促进整个欧盟以及各部门之间的数据共享,从而在增强公民和企业对数据掌控力度和信任程度的同时,为欧盟经济发展和社会治理提供支撑。
当前,欧盟公共机构、企业和公民生成的数据量不断增长,根据欧委会的统计,2018年至2025年之间数据量预计将增加五倍。为了释放欧洲的数据潜力,欧委会在今年2月份发布了欧盟《数据战略》的总体规划,旨在使欧盟成为世界上最具竞争力的数据敏捷型经济体。为实现这一目标,欧盟必须在数据市场公平性、数据互操作性、数据治理、数据的个人控制权和网络安全等方面构建完善的法律体系框架,以建构“单一数据市场”为目标,将欧盟打造成全球数据赋能社会的典范和领导者。在这一战略中,欧委会明确为了促进数据的共享和使用,将在战略部门和公共利益领域建立九个共同欧洲数据空间,即共同的欧洲工业(制造业)数据空间、共同的欧洲绿色协议数据空间、共同的欧洲移动数据空间、共同的欧洲卫生数据空间、共同的欧洲金融数据空间、共同的欧洲能源数据空间、共同的欧洲农业数据空间、共同的欧洲公共行政数据空间、共同的欧洲技能数据空间。法案就是在《数据战略》规划下公布的第一个成果,旨在尊重欧盟数据保护等基本规则和价值观的前提下,促进九个共同数据空间的建立和发展,为欧盟社会治理和经济发展提供更多具有使用价值的数据。
法案通过对公共机构的数据、数据中介机构、数据利他主义三个主要要素的规制形成了整个立法框架的体系。一是支持促进开发公共机构共享其持有的由于敏感暂时尚未得到共享使用的数据,如出于保护个人权利、企业商业秘密和知识产权的需要而还没有进行共享的数据。但这些数据能够在欧盟产生巨大的价值,如通过健康数据的重用可以推进研究和发现罕见或慢性疾病的治疗方法。法案为这些公共机构数据的重复使用建立了相关的机制,提供了一系列允许重复使用这类数据的统一的基本条件,例如,公共机构数据的重用必须遵守非排他性的要求。二是创立数据中介机构,允许数据共享服务提供者以非营利的性质促进个人、企业间的数据交换。法案以数据中介机构为中立第三方平台明确了促进数据共享的一系列原则,如要求数据中介应当在成员国主管公共当局处登记,同时对敏感和机密的数据要提供足够的保护措施。三是促进数据利他主义的发展,即为个人或企业自愿提供数据创建有利条件和安全环境,以官方的名义将从事数据利他活动的组织注册为“欧盟认可的数据利他主义组织”,以提高整个社会对该组织的信任度,为其开展相关活动提供便利。
法案将有助于欧盟单一数据市场的建立和数据主权的实现。《数据战略》中明确提出将通过发挥欧盟境内数据的价值和吸引域外数据的流入来提振欧盟在数字经济时代的数据主权和技术主权地位。欧盟市场数据量巨大,为实现其中蕴含的巨大潜力,必须促进数据的共享和使用。欧盟统一立法的制定将确保各成员国在数据共享方面保持一致的行动,也为欧盟境内的数据自由流通共享创建有利的法律环境,实现更多数据的价值发挥,从而为创建一个真正意义上的欧盟单一数据市场奠定良好的制度基础,有助于扫除成员国之间在数据共享方面的冲突和障碍,为欧洲共同数据空间的发展提供支持和可能性。
法案建立了以数据保护为前提,最大程度实现数据共享流通的法律框架体系。欧盟一直将个人数据保护权利作为基本人权对待,在个人数据保护方面,欧盟《通用数据保护条例》(GDPR)是不可逾越的底线。法案虽然规定了公共机构掌握的有关涉及个人信息、企业商业秘密和知识产权等数据的重用,但同时也明确规定在公共机构数据重用中涉及到个人数据保护、知识产权、商业秘密或其他商业敏感信息问题的,也必须首先要遵守相关的法律法规,同时规定公共部门应当通过匿名化等技术处理手段,或要求重用数据者签署具有法律约束力的机密协议达到法律要求。由此可见,从另一个角度讲,法案在一定程度上是对GDPR限制过严的一种修正,对于公共机构掌握的数据,除在《开放数据指令》框架下向社会公开外,还可以通过更加强化的数据保护措施来实现涉及个人信息、企业机密等敏感数据的重用。
法案通过官方的组织参与形式为促进数据共享活动的发展建立了可信机制。法案在制定之前,欧委会曾经组织了调研、评估和专家咨询。根据实践情况分析,欧委会认为欧盟的数据共享存在的最大问题是共享工具而非共享意愿的缺失阻碍了数据共享活动的开展。例如,缺少相应的平台和信任机制导致个人或企业不敢或不能共享数据。为了解决这一基本问题,欧委会在该法案中以政府机构为基础设立了多项制度,如数据中介机构在政府机构进行登记,为数据利他组织进行认证,设立专门的欧洲数据创新委员会以促进最佳实践的普及等等。政府机构的多方参与可以确保对相关平台和组织的数据共享情况进行相关的了解,但其实这些制度在很大程度上并非强制性的义务规定,其目的更重要的是可以以政府的名义为相关活动和组织进行认证,从而提高组织和活动在社会中的可信度,促进数据共享活动的发展。
附:《数据治理法案》的章节主要内容简介
第一章明确了法案的主题内容,并对整个法案中使用的相关概念进行了界定。
第二章为重复使用公共部门掌握的某些受保护的数据类别建立了一种机制,对这些数据进行重用的条件是要尊重他人的权利( 特别是关于个人数据保护、企业商业机密、企业知识产权等数据的保护)。法案中建立的这一机制并不影响欧盟关于获取和再利用这些数据相关具体部门立法的适用。同时,此类数据的重复使用并不属于指令(EU)2019/1024(《开放数据指令》)的规制范围。本章并没有针对重复使用这类数据设立权利制度,主要是提供了一系列允许重复适用这类数据的统一的基本条件(例如,要满足非排他性的要求)。法案要求开展重复使用数据活动的公共部门机构应当要具有技术设备上的相关保障,以确保充分实现个人数据、隐私和商业机密的安全。法案在本章规定了各成员国应当满足的相关要求,如必须设立一个单一的联络点,应当支持研究人员和创新企业对于数据的使用,且必须建立能够通过技术手段和法律援助对公共部门进行支撑的数据重用体系。
第三章旨在通过为数据共享服务提供者创建通知制度,增加对共享个人以及非个人数据的信任程度,降低开展B2B和C2B数据共享活动的成本。数据共享服务提供者必须遵守法案在本章中规定的相关要求,特别是关于共享数据保持中立性的要求,且数据共享服务提供者不能将这些数据用于其他目的。同时,针对为自然人提供服务的数据共享服务提供者而言,还必须满足对使用这些服务的个人承担个人数据保护的相关法律要求。该章的规定在确保个人和组织更好控制自身数据和维护其合法权利的同时,促进数据共享服务以开放和协作的方式运作。成员国指定的主管部门将负责监督数据共享服务提供者对于规定的遵守情况。
第四章促进数据利他主义(个人或公司为欧盟共同利益自愿提供数据)的发展和普及。该章节为从事数据利他主义的组织注册为“欧盟认可的数据利他主义组织”确定了可能性,旨在通过这种形式增加对其业务的信任,从而促进该活动的更进一步发展。此外,该法案规定欧委会还将制定一份共同的欧洲数据利他主义同意书,以降低收集同意书的成本,并促进数据的获取(前提是提供的数据并不属于个人数据)。
第五章明确了数据共享服务提供者和从事数据利他行为的实体应当向负责监督和管理的主管部门履行通知的义务,同时明确了主管部门开展监管应当遵循的相关要求,以及对主管部门的决定提出申诉的权利和进行司法补救的规定。
第六章设立了一个正式的专家组(“欧洲数据创新委员会”),该专家组将致力于发现和促进成员国中的数据共享活动出现最佳实践案例,特别是处理关于重新使用受他人权利制约的数据的请求(根据第二章的规定),确保在数据共享服务提供者(根据第三章的规定)和数据利他主义(根据第四章的规定)的通知框架方面采取一致的做法。
第七章规定欧盟委员会可以通过关于欧洲数据利他主义同意书的实施法案。
第八章规定了关于数据共享服务提供者开展活动的过渡性规定等内容。
作者:刘耀华,中国信通院互联网法律研究中心研究员
信息来源:https://mp.weixin.qq.com/s/ZpKS67Y6jWlmpjp28J1YSw