基于数据治理的欧盟法律体系建构研究

林梓瀚

(中国信息通信研究院政策与经济研究所 北京 100191)

(linzihan@caict.ac.cn)

当前，人工智能、区块链、物联网、5G等新技术的发展所带来的数据治理问题日益引起人们关注.人工智能需要海量数据来进行深度学习，使得人工智能数据采集日益常态化.区块链开放性的特点使得任何人都可以通过公开的接口查询区块链的数据，个人隐私泄露成为必然.5G网络带来人工智能、物联网的井喷式发展，使万物互联成为现实，在万物互联的时代，数据治理面临极大的挑战.如何保护数据安全，维护个人隐私，实现数据的科学化、系统化治理成为全球日益关注的问题.数据治理是一项系统工程，不仅涉及技术、经济、法律，还涉及政策、环境、公共管理多个方面[1].在数据治理方面，欧盟走在世界的前列，从法律入手，欧盟通过构建法律体系进行数据治理，从而保护欧盟数据安全，维护欧盟数据利益，同时促进数据对数字经济的赋能.

1 欧盟数据治理法律体系的建构演进

欧盟数据治理法律体系的建构演进主要分为5个阶段：1981年的公约阶段；1995年的指令阶段；2016年的条例阶段；2018年的条例配套法律阶段；2020年始的数据战略阶段.当前欧盟已经建构起关于数据治理的法律体系，在数据保护与使用的律法制定方面继续在全球处于引领地位.

第1阶段：欧洲委员会(Council of Europe )制定约束性公约.1981年1月，欧洲委员会各成员国在法国斯特拉斯堡签署了《有关个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)(简称为108号公约).108号公约是全球第1份关于个人数据保护的约束性公约，该公约目的是在每个缔约方的领土上确保每个人，无论其国籍或住所，在对其进行自动化处理个人数据时应尊重其权利和基本自由，尤其是对其隐私权的尊重[2].公约效力的实现依赖于签署国对公约的适用，从108号公约的实施效果看，其并未达到预期，截至1989年底公约只获得7个欧共体成员国的批准，而已批准生效的成员国均没有建立配套的国内实施法规[3].

第2阶段：欧盟基于公约统一指令.由于108号公约没有取得如期的效果，欧洲各国在个人信息保护立法方面存在着差异，因此欧洲委员会决定起草一个指令以提高欧洲个人信息保护法律的统一程度[4].为此欧州委员会在1990年向欧洲理事会(European Council)提交了《关于保护共同体个人信息及信息安全的指令草案》，开启了欧洲信息保护法律制度一体化的进程.欧盟成立后，1995年10月24日，欧盟通过《个人数据处理保护与自由流动指令》(Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data)(简称为95指令)[5]，该指令为欧盟成员国制定和实施通过数据保护法律提供了一个基本框架和雏形，深刻地影响了世界对隐私和个人数据保护的态度[6].95指令在108号公约的基础上作出了一定的补充，确定了在处理个人数据时公正合法、知情同意、保障安全等原则，明确了数据主体的权利以及数据控制者、处理者的义务，努力推动成员国在个人数据保护领域的立法统一.但95指令本身没有法律效力，需要成员国转化为国内法方可实施，各成员国在具体实施和适用时有各自的考虑与选择，因此加剧了欧盟境内个人数据保护立法的冲突与分歧，2003年欧盟委员会发布的《95指令实施报告》说明了这一情况[7].

第3阶段：欧盟将指令升级为条例.由于95指令带来成员国在个人数据保护立法的冲突与分歧，加之技术的发展导致数据泄露事件频频发生，欧盟迫切需要制定一部更加切合实际、严格的立法.自2009年始，欧盟理事会(Council of the European Union)决定以条例的形式取代95指令[8]，因此，2012年1月25日，欧洲议会(European Parliament)公布了《通用数据保护条例》(General Data Protection Regulation, GDPR)的建议稿，并就该建议稿进行公开意见征询，于2014年形成GDPR草案，旨在在欧盟范围内建立更为统一、严格的立法.2016年，经过2年的讨论与磋商，欧洲议会与欧盟理事会相继通过该条例，并于2018年5月25日正式在欧盟各成员国生效.与95指令不同，GDPR一旦生效意味着即刻成为各成员国的国内法，不用再进行转化便可直接适用，实现了欧盟境内有关个人数据保护的立法统一.

第4阶段：围绕GDPR打造配套律法.GDPR正式生效后，由于GDPR着重保护个人数据安全，也为了配合GDPR在各成员国的落实适用，欧盟围绕GDPR打造配套的律法文件.欧洲议会和欧盟理事会于2018年11月14日共同颁布《非个人数据自由流动条例》(Regulation on the Free Flow of Non-Personal Data)，该条例旨在保障非个人数据在欧盟境内能够自由流动，并于2019年5月28日正式实施[9].《非个人数据自由流动条例》的实施对GDPR起到了补充辅助作用，其针对非个人数据的相关规定弥补了GDPR面向个人数据保护的不足.2019年6月27日，欧盟2019年《网络安全法案》(EU Cybersecurity Act)正式施行.《网络安全法案》中制定了对欧盟机构在处理网络数据安全时应当遵守的法律规范，并强化了欧盟网络安全机构，为GDPR的实施奠定了安全制度框架.2019年6月20日，欧盟通过《开放数据和公共部门信息再利用的指令》(DIRECTIVE (EU) 2019/1024 on Open Data and the Re-Use of Public Sector Information)，在涉及个人数据保护方面，该指令规定须在GDPR的基础上实现对个人数据的重复使用，该指令于2019年7月16日正式生效[10].

第5阶段：制定欧洲数据战略，构建全面的数据治理法律体系.为了提升欧盟单一市场对于数据、数据赋能和服务的使用及需求，2020年2月19日，欧盟委员会(European Commission)发布《欧州数据战略》.《欧洲数据战略》明确提出欧盟委员会在尊重和促进构成欧洲社会基础的基本价值的同时，将采取哪些具体措施使欧盟保持在数据敏捷经济的最前沿[11].在数据立法方面，《欧洲数据战略》提出为欧洲公共数据空间提出一个立法框架，将于2021年提出《欧洲数据法案2021》(Data Act)，促进行业之间横向数据共享.同时，2020年11月25日欧盟委员会通过《欧盟数据治理条例》(数据治理法案)提案，旨在促进成员国与各部门之间的数据共享.加上此前的GDPR以及围绕GDPR打造的配套律法，欧盟建构起数据保护-数据赋能的全面的数据治理法律体系.

2 欧盟数据治理的法律体系解析

从GDPR开始，到围绕GDPR打造配套律法至当前提出的欧盟数据战略，欧盟形成了基于数据治理的法律体系.从最根本上进行个人数据保护与流动，此后在非个人数据的流动与保护、数据的再利用发力，在保护的基础上促进数据赋能，构建起了数据保护-数据赋能的法律治理体系.

2.1 GDPR全面保障个人数据安全

GDPR由11章共99条组成，主要从2方面对个人数据的安全进行保障：一方面扩大数据主体的权利，另一方面增加数据控制者、管理者的义务.在扩大数据主体的权利方面，GDPR主要规定了数据的访问权、纠正权、被遗忘权、限制处理权及可携带权等权利，并明确了以同意作为数据处理的合法性基础.其中，数据主体的被遗忘权是GDPR最引人注目的设计[12]，也是数据权利主体权利扩大的最直接的体现.在增加数据控制者、管理者义务方面最主要体现在首先确立了数据保护官制度，其次规定了对数据泄露的通知制度.

GDPR第17条明确数据主体的被遗忘权，规定数据主体有权要求控制者无不当延误地删除有关其的个人数据.在此基础上，GDPR详细构建了被遗忘权的构成要件，包括主体、客体、适用条件、例外情况及不遵守被遗忘权的相关处罚措施[12].GDPR第6，7条为数据的处理设置了“同意”前提，明确了同意作为合法性基础，并对同意的要件进行了细化，最重要的是规定数据主体有权随时撤回他或她的同意，进一步保障了个人对其数据的自主处理权利.

GDPR第37，38，39条对数据保护官的任命、地位及任务作了相应的规定.第37条规定必须设立数据保护官的3种情况.1)政府部门及公共机构作为数据控制者进行处理的.2)机构核心业务涉及以下大规模活动：日常的以及系统性的监控数据主体.3)处理特殊类型的个人数据，或者数据处理活动与刑事定罪相关[13].第38条与39条则强调数据保护官应该履行的相关义务，包括向公众公布信息联系方式以及向监管部门报告等.在对个人数据泄露的通知制度建设方面，GDPR第33，34条分别规定了在数据发生泄露时向监管部门以及数据主体进行通知的时间.其中，第33条规定应至少在知悉此事后72h内，将个人数据泄露通知给监管部门，第34条规定如果个人数据泄露很可能给自然人的权利和自由带来高风险，则控制者应立即将个人数据泄露告知数据主体，不要过分拖延.数据保护官与泄露通知制度实质上增加了数据管理者、处理者的义务，但本质是为了增加风险成本，从而进一步保障数据的安全，防止个人信息的泄露.

GDPR除从权利义务方面全面保障个人数据外，另一个显著的特点是GDPR扩大了其管辖范围，从属地管辖延伸到属人管辖.属地管辖体现在对于在欧盟境内的机构，一律适用GDPR，属人管辖体现在对于欧盟境外的机构，只要其涉及处理欧盟境内个体的个人数据，将同样适用[14].此外，依国际公约适用欧盟成员国法律的主体也受GDPR的管辖，如驻成员国的外国大使馆等.

2.2 GDPR配套律法促进数据流动与再利用

GDPR正式生效后，由于GDPR着重保护个人数据安全，为了促进数据的进一步开放与非个人数据的流动使用，欧盟围绕GDPR打造一系列律法文件，主要包括《非个人数据自由流动条例》《开放数据和公共部门信息再利用的指令》《网络安全法案》等法律文件，其中关于数据治理比较重要的是《非个人数据自由流动条例》与《开放数据和公共部门信息再利用的指令》.

当前欧盟有成员国要求一些数据只能在特定地域进行处理，数据处理服务提供商也往往锁定相关数据，这些行为严重妨碍了欧盟境内数据的自由流动[9].为消除数据自由流动的障碍，欧盟出台《非个人数据自由流动条例》，希望能够解决成员国数据本地化要求等问题，实现欧盟境内非个人数据的跨国自由流动.因此，《非个人数据自由流动条例》要求成员国政府删除现有的数据本地化要求[15].《非个人数据自由流动条例》在一定程度上是对GDPR的补充，填补GDPR的立法空白.该条例认为非个人数据是指GDPR第4条定义的个人数据以外的电子数据，如果某一数据集由个人数据与非个人数据组成，则《非个人数据自由流动条例》仅适用于其中的非个人数据.如果数据集中的个人数据和非个人数据之间是不可分割的，《非个人数据自由流动条例》并不妨碍GDPR的适用.从管辖范围上，《非个人数据自由流动条例》与GDPR一样，都实现了从属地管辖到属人管辖的延伸，进一步保护欧盟数据安全.

数据是数字经济发展的要素之一，当前欧盟的数据很大部分来源于公共部门，因此为了促进公共部门数据的再利用，欧盟通过了《开放数据和公共部门信息再利用的指令》，该指令完全遵循欧盟GDPR的相关规定，主要内容包括：鼓励成员国公共部门提供尽可能多的信息以供再利用；引入了高价值数据集的概念，包括地理空间、统计、气象等数据集；开放通过应用程序编程接口(API)提供的实时数据；明确禁止排他性协议等，此外，由公共资助的研究数据也被纳入该指令范畴.欧盟委员会规定，成员国须在2021年7月16日之前适用该指令，接下来委员会将会在2021年通过执行法案确定一系列高价值数据集.

2.3 基于数据保护的数据赋能

随着GDPR的出台，为了继续推动欧洲数字经济的发展，使欧盟保持在数据敏捷经济的最前沿，欧盟委员会通过了《欧洲数据战略》.《欧洲数据战略》提出欧盟须在数据保护、数据治理、公民基本权利及网络安全等方面构建完善的法律体系框架，数据收集及运用过程中必须将个体的利益放在第1位，任何个人的数据共享只有基于欧盟的数据保护规则时才有利于数据驱动的创新[16].因此在此前数据保护体系的基础上，欧盟将继续出台《欧盟数据法案2021》，以继续促进数据赋能数字经济，最终形成欧盟的统一数据市场.同时，为了进一步促进欧盟境内各成员国的数据共享，激发数据潜在价值，2020年11月25日，欧盟委员会通过了《欧盟数据治理条例》(数据治理法案)提案.

《欧洲数据战略》提出2021年将出台《欧盟数据法案》.该法案总体上有三大目标：第一，增加单一市场中数据的可用性；第二，确保大量数据的互操作与质量；第三，赋权个人行使权利.针对第1个目标，该法案将促进企业与政府之间的数据共享，以实现公共利益.同时，其还将支持企业对企业之间的数据共享，特别是解决共同生成数据使用权(如物联网生成的数据)有关的问题[17].针对第2个目标，法案将建立1个生态系统供经济参与者在部门内与部门间集合不同的高价值数据源.针对第3个目标，法案将会增强数据主体的能力去行使权利，如《欧洲数据战略》中提出对于GDPR中第20条有关个人数据的可携带权的加强也将有可能纳入《欧盟数据法案》中.

作为对《欧洲数据战略》的补充与具体落实手段，《欧盟数据治理条例》(数据治理法案)确定了系列增加数据共享信任度的机制，旨在消除各部门与成员国因缺乏信任所产生的数据共享壁垒[18].《欧盟数据治理条例》重点对数据进行分类，把数据分为健康数据、移动数据、环境数据、农业数据与公共行政数据，企业与个人可对上述数据进行使用，以促进数据驱动的创新能力.但是，该条例提案提出一种新战略，即通过一种称为“数据中介”的机制为个人数据创建一个泛欧市场，将公民义务从保护个人隐私转变为促进数据共享.但这一战略引起争议，批评人士称该提议是“保护主义和歧视性的”[19].

3 欧盟数据治理法律体系的影响

欧盟通过数据立法形成有关数据治理的法律体系，其影响体现在：首先通过立法，欧盟实现了其长臂管辖权，目的是为了维护其数据主权；其次是立法具有全面性，体现在对个人、平台、政府等数据治理的全面规制；最后体现在欧盟数据治理理念在国际上被广泛接受，规则被各国采纳，引领全球数据治理与立法.

3.1 通过长臂管辖维护数据主权

从2020年起，欧盟委员会接连公布了一系列关于数字时代发展的战略规划，包括《塑造欧洲数字未来》《人工智能白皮书》《欧洲数据战略》，其中《欧洲数据战略》针对美国科技巨头意图非常明显.2020年7月欧洲议会发表了《欧洲的数字主权》(Digital Sovereignty for Europe)报告，提出欧洲须追求数字主权[20]，但是聚焦到数据治理，欧盟目的是为了维护其“数据主权”.欧盟通过GDPR以及《非个人数据自由流动条例》实现了其长臂管辖.GDPR与《非个人数据自由流动条例》扩大了欧盟的管辖范围，从属地管辖延伸到属人管辖.对于在欧盟境内的机构，一律适用这2个条例，对于欧盟境外的机构只要其涉及处理欧盟境内个体的个人数据，将同样适用于这2个条例.同时，未来的《欧盟数据法案》将会增强数据主体的能力去行使权利，尤其其对GDPR第20条个人数据携带权的增强，将进一步有利于欧盟在涉及个人数据安全时主张其数据主权.

3.2 保障了欧盟内部数据安全，促进数据为经济赋能

数据立法的全面性保障了欧盟内部数据安全，促进数据为经济赋能.全面性体现在欧盟通过立法，对个人、非个人、平台、政府公共部门的数据治理进行了规制，形成全面的治理立法体系，并囊括了数据保护、数据流动、数据使用、数据再利用的治理全链条.欧盟通过GDPR对个人数据进行了全面的保障，通过《非个人数据自由流动条例》消除数据自由流动的障碍，实现欧盟境内非个人数据的跨国自由流动，通过《开放数据和公共部门信息再利用的指令》促进了公共部门数据的再利用.同时，《欧盟数据治理条例》(数据治理法案)确定了系列增加数据共享信任度的机制，旨在消除各部门与成员国的数据共享壁垒，未来的《欧盟数据法案》则促进企业与政府之间、企业与企业之间的数据共享，最终实现欧盟的单一数据市场.

3.3 引领全球数据立法

数据治理理念在国际上被广泛接受，规则被各国采纳，引领全球数据立法.美国的《加州消费者隐私法》、印度的《个人数据保护法案》以及巴西的《通用数据保护法》，其条款都或多或少地借鉴了GDPR[21].印度的《个人数据保护法案》和巴西的《通用数据保护法》对数据可携带权的定义与GDPR基本一致，同时都要求个人数据的管理者任命数据保护官，并在进行数据处理之前作数据保护影响评估.而《加州消费者隐私法》虽然没有采用数据可携带权的说法，但是第1798.100节也明确规定允许消费者无障碍地将个人信息传递给另一实体，实质上实现了数据主体的可携带权.我国的《中华人民共和国电子商务法》明确在不同场景中保护个人信息，赋予个人信息主体的“删除权”，也在一定程度上借鉴了GDPR的相关规定.

4 对我国的启示

随着5G技术的发展，人类进入万物互联的时代，万物互联加速了数据的流动，其中，数据的跨境流动尤其加快，这加大了管辖的难度.另一方面万物互联也使数据的重要性日益凸显.因此面对欧盟的长臂管辖，我国应该继续维护我国的数据安全与主权，同时继续驱动数据赋能数字经济，进一步促进数据开放与再利用.

4.1 继续推动维护数据安全与主权

当前，《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共和国民法典》《中华人民共和国数据安全法(草案)》以及《中华人民共和国个人信息保护法(草案)》在数据保护方面，都确定保护原则并设立相应的民事、行政、刑事责任，力图全方位保障我国数据安全，但现有立法缺乏对特定场景的规定以及数据类别的区分[22]，因此需继续推动数据安全立法进程及落地.

同时，我国应继续完善数据保护、数据本地化及数据跨境流动的规则.GDPR实现了欧盟的长臂管辖，一定程度上实现了欧盟的数据安全，但是欧盟的长臂管辖在涉及数据跨境流动时很大程度上会侵害他国的数据主权[23].2020年9月8日，国务委员兼外交部长王毅发表题为《坚守多边主义 倡导公平正义 携手合作共赢》主旨讲话，提出《全球数据安全倡议》.《全球数据安全倡议》提出全球数字治理应遵循秉持多边主义、兼顾安全发展、坚守公平正义3原则，并强调未经他国允许不得直接向企业或个人调取境外数据，旨在保护各国的数据主权并强调了保护数据主权的重要性.当前，《中华人民共和国数据安全法(草案)》突破属地管辖，也适用于我国境外主体，维护了我国数据主权，但是对于详细的跨境数据流动规则尚未有完善的立法规制，因此我国应继续加强数据保护立法，加强跨境流动规则的研究，维护我国数据主权.

4.2 驱动数据赋能数字经济，推动数据开放与再利用

2020年4月9日，《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》)正式发布，《意见》明确提出数据作为五大生产要素之一.在数字经济时代，在数据保护的基础上如何促进数据驱动创新，赋能数字经济的根本是推动数据的开放与再利用，推动数据在数字经济各参与主体之间的共享.目前，全国首部省级层面政府数据共享开放地方性法规《贵州省政府数据共享开放条例》于2020年12月1日正式实施.该《条例》聚焦政府数据管理、共享、开放,旨在促进数据在社会经济发展中的要素作用，推动数字经济发展.2020年12月28日，《深圳经济特区数据暂行条例(草案)》提请深圳市人大常委会会议审议，草案提出建立公共数据共享负面清单制度，旨在推动公共数据全面共享.未来我国应继续加强数据的要素作用，推动数据驱动创新，赋能数字经济，并尝试进一步对数据开放与再利用进行规则完善，完善相关立法框架，推动企业与政府之间、企业与企业之间数据的共享与开放.