鞠颖
(中国人民公安大学 法学院,北京 100038)
目前,数据共享流动并未在全球范围内形成统一的规制框架,不同国家的规制方式和举措都不尽相同。总体看来,数据共享的规制模式受到国家安全、政府政策、数据保护能力、技术水平等的影响。同时,错综复杂的利益关系,不同的价值观念使得国家之间缺乏信任基础,不同程度上也阻碍各国达成数据共享的规则共识。加强数据保护或是推动数据的自由流动,如何在数据共享中获得更多的经济效益,也在考验一个国家政府的执政能力。本文通过研究不同国家和地区的数据共享模式,希望能为我国的数据共享提供借鉴和参考。
美国依靠其全球的政治、经济影响力推动建立有利于其国家和企业的数据共享体系,减少数据跨境流动的限制,希冀实现境外数据聚集到国内。美国希望通过数据的自由流动,建立一个充满活力的全球数据开放体系。同时为了防止欧盟、中国等数据大国对其地位的冲击,采取了数据保护主义措施,为他国的数据本地化设置障碍。
奥巴马政府时期,美国将政务数据的开放放在了重要位置。《开放数据政策》(Open Data Policy,2009)指出,为了提高政府的效率,政府之间、政府与私营部门可以进行合作。该政策对如何将政府数据更好地管理提出建议,要求首席技术官(Federal chief information officer,FCTO)、管理与预算办公室(Office of Management and Budget ,OMB)一道推动政府数据的开放[1],随后管理与预算办公室提出备忘录《开放政府指令》(US Open Government Directive,2010)为执行部门如何进行数据开放共享提供指导。同年,联邦政府建立了Data.Gov 政府数据开放平台。该平台将联邦政府内各部门的数据聚集,方便公众使用。这一系列举措,标志着美国政府数据共享跨出了历史性的一步,公众能够更便利地获取政府数据。随后,为了完善美国的政务数据开放,《公共、公开、电子与必要性政府数据法案》(又称《开放政府数据法案》,Open Government Data Act),提出“政府有大量有价值的公共数据,应用来改善服务和推进私营部门的创新。政府的数据在默认情况下应以开放形式提供”。该法案中政府数据开放的一系列实践应由有关信息监管部门和首席信息官共同执行。这些条文为美国的数据开放共享奠定了制度基础[2]。
美国不断扩大在国际领域的数据话语权,签署的《澄清境外数据的合法使用法案》(Clarifying Lawful Overseas Use of Data Act,简称“云法案”,2018),规定了美国有权调取境外非美国国籍的个人数据,但对于外国政府调取、共享美国境内个人数据需经美国政府同意且有严格的程序[3]。通过“云法案”,美国限制数据流出,加强对本国数据的管控,执法部门采取更加便捷的方式获取数据,扩大国内法的域外适用范围,从而让从美国调取数据的国家对美国产生依赖。美国也在积极推动亚太经合组织(Asia-Pacific Economic Cooperatio,APEC) 的“ 跨境隐私保护规则”(Cross Border Privacy Rules,CBPR,2012)体系,希望通过采取促进数据存储于美国本地,保障美国企业掌握更多数据。该规则体系的本质是要求各加入国家在个人数据流动共享时放弃数据在国内的高保护水平,转而适用美国较低的保护水平[4]。为确保在国际社会的贸易领先地位,在数据流动中占据主导权,于2018年通过的《美国-墨西哥-加拿大协定》(U.S.-Mexico-Canada Agreement,2018,简称 USMCA)。USMCA由美国行政办公室下设的贸易代表委员会进行谈判和施行,该协定规定,区域内协议三方可就信息数据自由流动共享。因而,美国可以巩固北美区域的主导地位,继续增强美国在北美区域经济贸易中的核心位置[5]。
欧盟的数据共享以《通用数据保护条例》(General Data Protection Regulation,GDPR)为界,该法案以前的数据共享法规政策较为分散且由于GDPR的出现使得所有数据共享政策条例的推行需以满足数据保护为前提。因此,本文主要就GDPR以后颁布的数据共享有关条例和政策予以总结分析。
GDPR的实施,开启了欧盟数据保护元年,欧盟后续所有法案与条例都以遵守GDPR的规定为前提。欧盟坚持认为,只有在提供充分保护并建立信任的基础上才可能谈个人数据的再利用和流动[6],GDPR保证,在知情同意的情况下提供信息的公民会受到保护[7]。GDPR的第五章在严苛的数据保护之外设定了灵活的数据流动共享条款,主要有:“白名单制度”(1)白名单国家:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、美国(仅限于隐私盾框架)、 日本(私营部门)和韩国。这些国家能够符合充分性认定,即欧盟委员会认可第三国、或该第三国国内的特定行业、部门或国际组织能够确保数据得到充分保护,而无需采取任何额外的步骤来遵守跨境数据流动规则。、标准合同条款和有约束力的公司规则、适当性减损等措施[8]。该条例的颁布掀起了全球个人数据保护的热潮,也让欧盟接下来的数据共享战略都需在GDPR设定的个人数据保护框架内进行。
欧盟不断完善公共领域与私人领域的数据共享。《非个人数据自由流动框架条例》(Regulation on a framework for the free flow of non-personaldata in the European Union,2018)规定了非个人数据在欧盟境内自由流动的规则,消除不合比例的数据本地化要求。为减消欧盟内部数据流动的障碍以及实现欧盟数字化单一市场目标提供了文本支持。《开放数据和公共部门信息再利用的指令》(Directive of the European Papliament and of the council on the re-use of public sector information,2019)规定数据与信息的再利用可以在没有法律或法律、技术和财务等条件不健全的情况下开展。同时,该指令规定,要以遵守GDPR中包含的权利和义务为前提。同时,对于研究数据和高价值数据集可以免费提供文件,将新类型的公共数据和公共资助数据纳入指令范围,避免排他性协议。因而中小企业在获取数据方面成本降低。欧盟将数据共享监管的领域从公共部门扩展到了私营部门。
2020年是欧盟数据政策与法案喷涌之年,通过一系列的数据法案,逐渐形成欧盟“加强流通、规范保护”的数据规制框架。《欧洲数据战略》(A European Strategy for Data)提出及建立九个公共数据空间,推动跨部门的数据共享再利用,构建自由的数据流动体系,也要求提供更多适合数据存储的空间和环境。《数字市场法》(Digital Market Act)主要规制作为服务提供者的大型中介平台,要求大型中介平台承担更多的义务,防止平台对消费者和中小企业施加不公平的条件,从欧盟层面解决不公平的现象。使用平台服务的企业和个人可以获取他们在平台上所产生的数据,且平台不能将这些数据用于与用户进行竞争,进而欧盟的中小型企业可以有更好的发展空间。《数字服务法》(Digital Service Act)防止科技巨头和垄断者对中小企业和消费者进行限制和不公平的对待,为中小企业保驾护航,让欧盟数字市场的竞争更加有序。欧盟委员会制定并通过的《数据治理法》(Data Governance Act)在欧盟层面实施,建立欧盟层面的数据共享体系。该法强调在欧盟内部市场促进成员国与各部门之间数据共享。利他数据、数据共享服务提供商提供以及公共部门的某些受他人权利约束的数据都可以重复再利用。该法案增加了数据共享的社会信任度,强化了数据的可利用性,同时在技术层面为数据共享再利用破除障碍。《数据治理法》维护欧洲公共利益和数据主体的合法利益,能够进行国际合作,让欧盟拥有更多的数据资源。该法案是对已有数据共享条例和政策的补充,也是欧盟建立单一数字市场战略的重要一环。
日本数据共享制度,在受到双边或多边跨境数据流动的影响下逐步建立起来。长期以来,日本针对欧美政策进行协调,与欧美国家的数据战略接轨,在国内数据流动与共享的立法形式上采取更加灵活的政策,积极接纳美国的数据战略举措,积累了较为丰富的合作与竞争并存、国内外协调共生的数据共享经验[9]。
在国际数据规则领域,一方面,日本随从美国的数据流动开放政策,加入以美国为主导的跨太平洋伙伴关系协定(Trans-Pacific Partnership Agreement,TPP) 和 APEC 的跨境隐私保护(CBPR) 体系,而美国在2017年退出TPP 后,日本成为协定的主导者。另一方面,日本又积极对标欧盟的数据保护规则,通过双边协定,确定了日本加入欧盟的“保护充分性”白名单。双方关于白名单的认定意味着日本在欧洲的数据跨境流动共享与在日本国内并无两异。
在国内法律政策方面,日本对共享数据的方式及使用条件进行了修改。2013 年日本内阁发布《世界最先进的 IT 国家宣言》(World’s most advanced IT national declaration)推动政府公共数据的利用,以及与民营企业数据,如通信、服务教育、交通运输领域数据的共享,充分发挥数据聚集作用,对数据进行充分的再利用,以发挥更大的经济价值。日本国会对已制定的《个人信息保护法》(Personal Information Protection Act)进行修订,增加了个人信息保护委员会(Personal Information Protection Commission)作为数据流动共享的监督机构。同时,该法案要求当数据跨境流动共享时,需得到数据持有人的同意。这些内容的增加,为日本数据的流动共享提供了保护和政府层面的监管,让数据流动共享更有秩序,且更加合理。
为更好地开展数据共享,日本较早地设定了数据共享的有关主理部门:开放政府数据委员会(Committee of Open Government Data),其附属内阁秘书处,具有统筹全局的职能,规划数据共享再利用的政策法规并检查其基本方向是否正确;IT 融合论坛—公共数据工作组(IT Fusion Forum-Public Data WG)则以实现政府数据共享,加快政府数据共享进程为目标;开放数据促进会(Open Data Promotion Consortium)由日本内务总省建立,其主要职能是根据已有政策规定具体的共享实施方针,为社会不同数据共享主体提供媒介,推动跨领域充分共享。这些机构的设置都对日本数据流动发挥了重要作用。
在数据保护和数据共享的权衡中,美国最终选择了重视数据共享。数据的需求量巨大,需要不断有大量的数据流入美国,美国重视数据自由流动带来的便利与经济效益,一系列的数据自由流动措施,扩张了美国的数据管辖权,因此,美国对于数据共享流入十分宽松,坚持推动数据跨境、跨行业流动,以获取更多的经济价值。数据的流动为其自身经济的发展提供动力,也为提高美国在国际经济领域的话语权服务。
美国认为以市场为导向的数据共享政策才能够带来更多的经济效益。因而在法律规定之外,重视行业自律规范的运用。不论是自律规范、“云法案”还是跨境保护等相关规则都希望通过保护数据的跨境流动进而最大限度地攫取价值。我国在制定专门的法律法规及政策时,可以根据我国数据共享现状,借鉴美国对数据共享的措施,以市场为导向,在制定传统法律规定之外,达成跨地区、跨领域的合作,实现数据价值利用的更大化。但也要警惕通过以数据安全为借口,将企业的大量数据掌握在自己手中的国家。
欧盟构建以数据保护为主,数据共享为推动力的数据治理体系[10]。个人信息和数据的保护在欧盟占据首要位置。在数据得到充分保护的前提下,欧盟建立全行业,甚至跨行业、跨部门的全方位数据共享体系,让数据通过共享全面赋能到欧盟各行各业,从而为全球数据的共享再利用提供了“欧洲”方案。但从数据流动带来的价值层面分析,欧盟严苛的数据保护,为数据流动共享设置了障碍,法律的稳定性和滞后性让欧盟的数据共享无法根据市场需求做出及时的判断。
欧盟以数据安全为前提,全面推进公共领域与私人领域的数据共享。让数据实现从“自益性”到“共益性”,要平衡共享参与者之间的利益,处理好数据安全和数据价值挖掘的关系。从而确保对欧盟境内所有数据的自由流动采取全面、一致的处理方法。欧盟对个人数据各领域内的数据共享规定,提醒我国需要最大限度地考虑各领域内的数据共享现状。GDPR对数据安全与保护的规定,是推动数据共享与数据安全政策协同发展的重要举措。数据流动不论是法律层面还是实践层面都需要有协调一致的举措,这就为挖掘我国数字经济潜力提供制度上的支持。
日本的数据战略多与美国和欧盟对接,积极弥合与美欧在数据领域的差距。与欧盟的内生性制度成长特性相比,日本数据流动共享更多地具有外生性[11]。日本的数据开放共享虽晚于欧美国家,但为了本国数据的流动利用,日本政府不仅发布了与数据共享利用有关的政策,还十分注重政策推行,以加快数据的开放共享[12]。数据共享和流动方面,日本设置的限制性要求相对较少,只对涉及国家安全的重大或敏感数据进行监管,积极实现数据的流动价值。 但日本过度强调迎合欧美也会让其国内失去自主权。
日本对于平衡其国内与国际关于数据共享规则为我国提供了参考。2019年,日本与欧盟通过协商已加入各自的“保护充分性”白名单,意味着双方数据的跨境流动与其国内的数据流动并无区别,这为双方数据共享提供了便利。对于我国而言,要想加快数据共享规范领域的发展,需要熟练运用并加入全球性数据共享规则,从而在全球范围内弥合差距,争取在数据共享领域拥有更高的话语权。
数据共享作为推动经济发展的重要举措,需要通过顶层设计,有一套自上而下的制度体系对数据共享予以规制,才能让数据共享在规范的体制流程内发挥更大的效能。随着数据在我们日常生活中发挥着越来越重要的作用,国家需要对于数据开始进行专门性立法,我国一直对数据安全十分重视,但在数据共享领域需要进行立法和司法探索,完善数据共享的监管体制,为数据的流动提供安全的社会环境。
数据共享监管制度的构建需要长远规划。首先,数据共享的监管需细化责任,对涉及国家安全的数据进行安全评估后予以数据共享,并对数据共享的合同或协议进行监管。其次,对于进行数据共享企业的数据安全环境资格进行监管,满足某些特定条件的企业,才能进行数据共享。我国需要不断完善数据共享的法律、政策和规划等顶层设计,给数据共享留下可执行的空间,并且在制定数据共享有关政策法规的过程中听取社会组织和公民个人的意见,根据各地实际情况,规范和引导社会组织和公众的行为,以实现数据再利用价值的最大化。
竞争社会,谁先制定规则谁就掌握主动权。随着数据主权的争夺,需要各个国家和地区加快数据治理规则的建立。两国之间在监管上的差异,会对两国之间的数据往来产生障碍。随着数据流动和共享的进一步深入,两国在数据开放的国际合作中应该求同存异,摒除“零和”思维,推进合作模式的探索建立,从自身的特点出发,构建合作关系。
数据共享不仅是国内问题,更是国际问题,构建数据共享的规则体系需要具有全球视野。国家、企业的发展需要数据的支撑,这些数据不仅仅局限于国内,更需要其他国家和企业予以支持。因此,需要我国加快融入数据共享的国际规则体系。在全球数据化进程中,中国不能独善其身,我们在制定规则的同时,也要善用规则以使自身成为最大的受益者[13]。积极融入和塑造数据共享的规则治理,建立面向未来的数据共享规则体系。
世界正在形成新的数据格局。欧盟在保护个人数据基本权利的基础上注重数据的流动与共享;美国构建的是注重数据流动,为自由市场服务的模式;中国以《个人信息保护法》和《数据安全法》为代表,试图建立以个人信息保护与数据安全为前提的发展模式。美国、欧盟、中国的治理模式表面上存在着数据保护和数据流动的冲突,但随着数据经济的深度发展,数据领域的国际合作也必不可少。我国正在推进一带一路倡议,可以通过加强沿线国家的数字贸易规则协定,与一带一路国家开展数据共享、数据保护的双边合作或多边合作。通过协商达成推动数字经济发展的措施,构建安全的数据共享模式。
2019年,时任日本首相的安倍晋三在达沃斯世界经济论坛年会上呼吁制定适用于数字时代的国际规则并倡议建立一个开放和信任的数据流动环境,减少数据流动障碍。同年,在G20大阪峰会之后,各国政府首脑同意共同致力于实现“信任的数据自由流动”愿景:建立数据信任机制,在合理的情况下允许他人基于公共利益的目的使用其数据;信任国家的治理能力,坚信获取和使用数据以及发展数据共享产生的价值可以抵消数据提供者提供数据的成本[14]。
数据更重要的功用体现在数据价值的深挖与利用。数据共享不仅能够推动数据的聚集和开放,还可以对传统行业与机构所拥有的数据进行开发再利用,鼓励全社会进行数据共享。构建数据共享战略要有全球视野,在积极探索国家模式的同时,探索建立数据共享的国际协同机制。我国在网络空间的管理上重视打击违法犯罪,对于信息流动管理较为严格。这就需要国内立法给数据共享的国际合作留下充足的空间,方便与其他国家达成数据流动的协定或条约,在国际数据全球化的大趋势下,深度构建全球数据共享模式,探索完整的数据共享和数据信任体系,从而推动数据共享成为当代国家竞争力的关键[15]。
数据成为重要的生产要素,数据的利用在万物互联时代愈发重要。其中,数据流动在加快,对数据共享提出了要求。因此面对处于数据技术和立法领先地位的国家,我国应加强对数据安全与主权的维护,继续挖掘数据价值,进一步促进数据共享与再利用。在保护数据主权的前提下,推动建立国际数据流动与共享的机制和标准,让数据通过共享发挥积极作用,以境外的数据共享模式为参考展开对我国数据共享的分析,加速推动数据流动与共享,以顺应数字经济发展之大势[16]。