面向未来：欧盟数据治理框架的要素分析与经验启示

程娅

（中南财经政法大学知识产权研究中心，武汉 430073）

在全球数据竞争日益激烈的当下，积极探索数据治理规则成为各个国家和地区抢占数据高地的共同选择。伴随着数字化转型（digital transformation）的影响，欧盟相继出台了《塑造欧洲的数字未来》（Shaping Europe’s Digital Future）、《人工智能白皮书》（the White Paper on Artificial Intelligence）、《欧洲数据战略》（A European Strategy for Data）、《欧洲新工业战略》（A New Industrial Strategy for Europe）等战略性文件，以及《数据治理法》（Data Governance Act）、《数字市场法案》（Digital Markets Act）、《数字服务法案》（Digital Services Act）等指导性政策规范，联合引领全球数据治理风向的《通用数据保护条例》（General Data Protection Regulations）及配套法案，欧盟逐渐形成较为完整的数据治理体系。基于此，本文拟通过中国电子工业标准化技术协会信息技术服务分会（以下简称ITSS分会）提出的数据治理框架（以下简称“ITSS框架”），梳理并分析欧盟近年来的数据治理体系，以期对我国数据治理实践提供参考。

1 欧盟数据治理框架的分析模式

检索欧盟官方网站可以发现，欧盟近年来颁布了与数据治理密切相关的21份文件（见图1）。单独分析某一文件，难以从整体上把握欧盟数据治理的逻辑框架。为更清晰展示其内在体系，采用数据治理框架进行梳理。

图1 欧盟数据治理文件

1.1 数据治理框架的典型分析模式

数据治理（data governance）源于Watson等[1]提出的数据仓库治理（data warehouse government）概念，指企业内部管理数据使用的行为。随后，数据治理概念逐渐渗入政府、教育等其他领域的治理实践中，并形成了与管理行为密切相关的数据治理框架[2]。数据治理框架将数据治理的基本要素（总体目标、组织架构、过程等）组合起来，为数据治理实践提供了清晰的评估参考。

目前，国际上形成了四种较为典型的数据治理框架：一是由国际数据管理协会（Data Management Association）制定的DAMA框架，该框架以数据治理的生命周期为切入点，对数据管理架构、数据开放等10个领域的具体要素进行了研究[3]；二是由国际数据治理研究所（Data Governance Institute）制定的DGI框架，该框架从组织、规则、流程三个方面探讨了数据治理的关键要素[4]；三是由IBM数据治理委员会（IBM Data Governance Committee）制定的IBM框架，该框架是包含数据质量、信息安全、数据架构等在内的数据治理模型[5]；四是由ITSS分会提出的ITSS框架，该框架遵循国际标准，规定了数据治理的顶层设计、治理环境、治理域、治理过程等核心要素[6]。

1.2 欧盟数据治理框架分析模式的选择

本文选用ITSS框架作为分析工具的原因有三个。第一，ITSS框架综合了其他框架的分析优势。ITSS框架的研制晚于前三种，这为其借鉴前者经验发挥综合优势提供了条件。DAMA框架为ITSS框架提供了分析内容，DGI框架为ITSS框架梳理了组织流程，IBM框架为ITSS框架完善了数据架构。第二，ITSS框架更为贴合欧盟数据治理实践。文本分析可以发现，欧盟数据治理过程与ITSS框架的内在逻辑一致，两者都是在顶层设计的指引下，对数据治理条件、治理维度和治理举措等展开规范、有序的体系分析。不仅如此，两者在治理目标上也具有一致性，其核心目标都是通过数据治理使数据活动处于可控状态，最终目标都是更加安全、高效地促进数据的充分利用。第三，ITSS框架的评估架构能够更好地服务于我国数据治理体系。ITSS框架是由我国标准研制组编制，并结合国际标准和国内实践同步推进的研制思路，该框架融合了国内近百家单位的数据治理实践，对数据治理标准的完善进行了充分论证，有效解决了国际标准不易应用的现实问题，充分体现了数据治理的通用性、开放性、体系性和前瞻性。因此，在此框架下进行欧盟数据治理分析，不仅能更为清晰地展示欧盟数据治理的有益经验，也能将其分析结论更好地用于我国治理实践。

1.3 欧盟数据治理框架分析模式的建构

在综合考虑ITSS框架以及欧盟数据治理要素的基础上，本研究构建了欧盟数据治理框架分析模型（见图2）。

图2 欧盟数据治理框架分析模型

顶层设计、治理环境、治理域和治理过程是欧盟数据治理框架的核心内容。第一，顶层设计是数据治理的基础内容，包含欧盟数据治理的总体目标、治理理念、规划设计等要素，这些要素受欧盟数据治理环境影响，对治理域和治理过程发挥指引作用。第二，治理环境主要包含数据治理的内外部环境、促成要素两方面内容，该模块既为顶层设计提供有力支撑，也为治理域和治理过程提供切实保障。第三，治理域作为欧盟数据治理的主要对象，链接顶层设计和治理过程，主要包含数据安全、数据质量、数据价值等要素。第四，治理过程围绕治理域开展治理活动，是欧盟数据治理的实施步骤，包含统筹规划、构建运行、监控优化等内容。这些模块既相互支撑又相互独立，共同构成了逻辑严密的分析体系。

2 欧盟数据治理框架的要素分析

基于ITSS框架下欧盟数据治理模型，对其顶层设计、治理环境、治理域和治理过程进行要素分析。

2.1 顶层设计：欧盟数据治理框架的战略愿景

作为世界数字竞争格局中的重要一极，欧盟新一届委员会颁布一系列战略文件，来推动自身的数字化转型[7]。就战略目标而言，《塑造更安全的数字未来》提出希望把欧洲塑造成一个强大、独立的数字化社会，拥有数字主权，并能在全球数字化转型中处于领先地位；《欧盟数据战略》强调要提升欧洲的数据主权，确保欧盟成为数据驱动型社会的榜样和领导者；《2030数字罗盘》再次重申，要确保数字主权，提高数据应用能力，推动欧洲数字化社会的可持续发展。可见，数据驱动下的数字化社会、主权概念、“领导者”的身份转变，成为现阶段欧盟数据治理目标的鲜明特点。对内而言，欧盟旨在防范风险的基础上，实践民主、法治、公平、开放等治理理念，并发挥数据效能、赋能数字经济，推动数字化社会的转型和发展；对外而言，欧盟强力主张数据主权，并将欧盟数据治理方案和价值理念映射到国际舞台。

在总体目标的影响下，欧盟数据治理的战略规划从三方面共同推进。一是制度层面，欧盟致力于谋划数据治理的立法框架，以欧盟成员国的最新举措为基础，围绕跨部门数据使用、公共部门数据再利用等问题展开规范研讨，并以明确的立法进程推动数据治理实践。二是技术层面，欧盟致力于开发“以人为本”的数字技术，在保障公民数据安全的基础上，加强欧盟在人工智能、量子通信、区块链等尖端技术上的战略布局，并将欧盟内部的云设施作为保障数据安全、促进数据流动的建设重点。三是思想层面，对内凝聚共识，消解公民、私人机构、公共部门之间的数据信任危机，同时强调数据治理的主体责任，通过创设“守门人规则”等制度来提升数据的安全性和交融性；对外输出理念，执行高标准的数据境外传输审查机制，并针对跨国企业提出关于保障用户数据安全、数据使用透明度、数据使用权限等严格要求，以强化数据空间地缘政治的主权意识。

2.2 治理环境：欧盟数据治理框架的实施条件

治理环境包含内外部环境和促成要素两部分内容，其中，内外部环境是欧盟实施数据治理的基础条件，促成要素是欧盟实现治理目标的关键条件，这两部分内容相互影响、相互作用，共同推进着欧盟数据治理进程。

2.2.1 欧盟数据治理的基础条件

就内部环境而言，欧盟数据治理一直存在着协调不充分的问题，尽管设置了负责处理欧盟内部事务的横向工作组，但各成员国在数据治理方面仍然较为割裂[8]。究其缘由，主要在于各成员国在数字经济发展水平、核心利益诉求等方面差异明显，数据政策的推行往往难以获得成员国的普遍认同。不仅如此，新冠肺炎疫情的暴发加剧了欧盟成员国的内部矛盾，“反欧”“反一体化”等声音愈发高涨，对欧盟推进数字时代一体化造成诸多阻碍。

就外部环境而言，欧盟也面临着前所未有的压力。截至2021年5月，全球百家数字平台仅有12家企业来自欧洲，市值占比仅为3%，远低于美洲和亚洲[9]。可见，欧盟在数字平台建设等领域已呈现落后趋势，特别是在数据存储方面，欧盟更是对美国形成了非对称性依赖。据统计，西方国家数据资源有92%存储于美国，仅有4%存储于欧洲。这意味着欧盟在数据安全和数据主权方面存在巨大隐患。随着“棱镜门”等事件的曝光，欧盟进一步意识到数据议题已上升为“成败攸关”（make or break issue）的政治议题[10]。因此，无论是从应对数据技术发展的外部压力，还是维护数据治理权威的现实需要来看，欧盟都应加快数据治理进程。

2.2.2 欧盟数据治理的关键条件

欧盟虽然未能在数据技术领域占据领先地位，但其在规则构建和产业基础方面仍颇具潜力。一方面，从规则构建角度分析，欧盟近年来凭借其市场竞争优势，不断将数据治理的“欧洲标准”上升为“全球标准”，对世界范围内的数据治理变革发挥引领作用。以《通用数据保护条例》为例，不仅越来越多的国家仿照其制定了类似的数据保护规则，而且诸多大型企业基于《通用数据保护条例》调整了自身的业务模式[11]。欧盟这种单方面规范全球市场的能力，被称之为“布鲁塞尔效应”，也被誉为欧洲永不衰落的“秘诀”[12]。目前，欧盟重塑全球数据治理规则的热情并未减弱，作为世界格局中的重要一极，其数据治理话语权仍在不断增强，这为欧盟继续提高数据治理能力打下了坚实基础。另一方面，从产业基础角度分析，欧盟不仅有其他国家和地区少有的工业体系、金融地位和教育水平，而且还拥有广阔的数据贸易市场和较高水平的消费能力，这些为欧盟数字化转型和数据治理提供了有力支撑和保障。

2.3 治理域：欧盟数据治理框架的维度选择

数据安全、数据质量、数据价值分别体现了治理域的不同维度，共同构成欧盟数据治理实践的核心要素。

2.3.1 安全维度下的欧盟数据治理

数据安全是数字经济蓬勃发展的重要前提，也是数字时代国家安全的直接体现[13]。欧盟秉承“保护数据就是保护人类本身”的基本原则，在个体、产业、国家层面持续推进数据安全治理。一是强化个体层面的数据隐私安全。GDPR作为“史上最严格”的个人数据保护规范，确立了合法、透明、目的限定等个人数据处理原则，明确了知情权、修正权、被遗忘权等7项数据权利，充分强调了隐私主体对个人数据的自决权。二是加强产业层面的数据使用安全。欧盟在多份文件中提出，要将技术维度的数据安全整合到量子通信、人工智能系统等产业实践中，要求高新技术企业持续公布数据分析、数据挖掘等数据处理实践和发展状态，仔细评估可能存在的技术风险并及时提供缓解风险的措施。三是增强国家层面的数据主权安全。欧盟提出数据与信息基础设施、主权安全密切关联[14]。为避免潜在隐患，欧盟要秉承欧洲价值观，加强数据存储本土化，减少对非欧盟国家的技术依赖，确保欧洲数据基础设施、网络通信能力的完整性和恢复力。

2.3.2 质量维度下的欧盟数据治理

数据质量是数据治理的核心，持续改进的质量管理能够促进数据要素的合规合理配置[15]。为推进质量维度下的数据治理，欧盟出台多项措施：①构建高质量数据集，为数据贡献者提供回报，收集处理不同来源数据；②确立数据集的动态更新机制，剔除冗余、错误数据，减少因数据不可靠导致的决策偏差和操作损失；③采用标准化兼容格式，要求数据持有者将数据集、数据格式、数据代码设置成能够查找、真实可用的质量状态；④改善数据处理结构，以协调一致的方式集中管理非结构化数据，清洗可疑、无效数据，提升数据可用度；⑤明确数据主体有权以结构化、机器可读的格式对接数据，且规定服务商有义务协助数据转移，并确保数据质量在转移前后具有一致性；⑥创新监测体系，施行算法问责机制，规定相关平台的数据使用算法应接受定期监督、评估和审计，以此加强行为约束和质量管理，提升数据的真实性、稳定性。

2.3.3 价值维度下的欧盟数据治理

数据要素的流转再利用，是发挥数据价值的最好方式[16]。欧盟致力于从个人数据和非个人数据两个方面，来提升数据的再利用能力。

一方面，对于个人数据，欧盟创设了一套完备的数据流动机制：对内积极破除流动壁垒，以“地域范围”为基准，通过官方认证建立信任机制，消除公众顾虑，强调并推动内部数据流转再利用；对外积极构筑“充分性认定”机制，将符合标准的国家纳入流通名单，并辅之商业规则、标准合同条款等，确保在个人数据保护水平“不会减损”的基础上，实现数据利用和数据保护的双重目标。此外，欧盟还遵循“人权”理念，赋予个人同意权、数据可携带权等权利，以推动并实现个人数据的自主流转和再利用[17]。

另一方面，对于非个人数据，欧盟推出《非个人数据在欧盟境内自由流动框架条例》等文件，采用多项措施消除再利用障碍：取消现有的数据本地化限制，要求成员国设定多个数据处理点，以便彼此之间相互获取他国数据；减少服务提供商的“锁定”效应，确立行业通行准则，保障数据不因法律、合同或技术等限制自由流转；明确公共机构数据获取权，规定企业应在紧急情况下向公共机构提供相关数据；确立公共部门信息再利用制度，限制各主体之间达成排他性协议，以免影响数据的再利用效力。

2.4 治理过程：欧盟数据治理框架的重要举措

治理过程是欧盟基于顶层设计，实施治理域活动的技术路线，主要包含统筹规划、构建运行、监控优化等要素。其中，构建单一数据空间、建立数据中介服务、创建数据垂直治理体制分别对应上述要素。

2.4.1 构建单一数据空间

作为以联盟为核心的独特区域组织，欧盟内部在数据治理方面较为割裂。为加快数据经济发展的整体布局，欧盟意识到要提高数据空间的规模效益。基于此，欧盟重点确立了四个方面的战略举措。①构建跨部门的数据访问与使用的治理框架，颁布《数据治理法》等通行法律规范，制定互用性框架，加强数据标准化，采用监管沙箱，不断总结最佳经验。②提高数字技术设施建设，通过Gaia-X协会、云计算战略持续整合资源，打造可信云、创建云供应，并将其作为单一数据空间的主要支柱。③完善数字服务平台规则，开展数据技能培训，提升欧盟的数据分析和利用能力，并着力于提升本土企业的竞争实力。④划定工业、能源、农业等战略性数据空间，要求成员国依照默认开放原则，公布公共事业数据和公共资金资助产生的研究数据，打造可用、可信的欧洲数据池，推动数据治理一体化发展。

2.4.2 建立数据中介服务

欧盟的数据中介服务是指由法定主体开展的中立、利他性质的数据服务，目的是帮助数据所有者、持有者和使用者建立安全、稳定的商业联系。关于数据中介服务的运行，欧盟进行了以下制度设计。①数据中介组织采取备案制，由准备开展数据中介服务的主体向主营机构所在地的主管部门发出申请，经审查备案后方可进行。②相关主体在开展数据中介服务时应遵守法定义务，主要包括在服务和定价中秉持利他主义与中立立场；采用通行格式、标准保证数据的可操作性；遵守关于数据隐私、安全和公平竞争的规定，并采取有效技术措施规避风险；设立法律代表来承担法律责任，确保数据中介服务在合法合规的程序下进行。③由设立数据中介服务的主管部门对其批准运行的服务机构进行监管，设计并颁发数据中介服务专门的认证标识，以提高合法主体的可识别度和可信赖度；创设专门机构，负责相关政策法规和数据标准的研究与制定，以对接并执行最新政策规范。④新出台的《数据治理法》还详细规定了发生纠纷后的司法救济程序和救济措施，并明确了数据中介平台管控数据的国际转移操作规范。

2.4.3 创建数据垂直治理体制

欧盟数据治理的垂直管理体制由欧盟委员会、各成员国、各行业代表共同构成。其中，欧盟委员会负责统筹欧洲数据治理，修订数据法律和数据政策，并监督欧盟数据条约的执行。在欧盟委员会之下，欧盟以专家组的形式设立了欧洲数据创新委员会（European Data Innovation Board），主要负责推动各领域数据标准的统一，为欧洲委员提供数据保护协助和咨询服务，并发布促进数据空间发展的具体任务。欧洲数据创新委员会的成员主要有欧洲数据保护委员会、成员国数据主管部门、各行业代表等，相关主体依章构成并承担不同职能。具体而言，①欧洲数据保护委员会主要侧重对数据的有效保护，其不仅在欧洲层面设置了专门的数据保护监管局，而且在每个成员国内部也设置了独立的数据监管机构，这些保护机构在检测各成员国数据保护情况的同时，也为欧盟数据保护委员会提供数据保护方面的情报，以供决策参考；②成员国数据主管部门下设单一信息点和专门机构，前者主要负责数据本地化以及成员国之间获取他国数据的协调工作，后者主要负责管理数据共享服务商、数据利他组织等机构的注册、建设，推动欧盟内部数据的流动；③各行业代表致力于构建数据保护的统一标准和行业规范，并在企业内部下设数据保护官，负责监督企业处理数据的过程是否合规合法。

3 欧盟数据治理框架的经验启示

结合ITSS数据治理框架可以探知，欧盟现已形成较为完整的数据治理体系，对我国具有重要的借鉴意义。为更好释放数据经济的时代红利，我国应参考欧盟数据治理经验，加强顶层设计、完善法制体系、强化平台服务。

3.1 加强顶层设计，健全治理机制

目前，我国对于数据治理模式的探讨仍然散见于各种政策文件中，没有形成整体、协调、系统的顶层设计框架[18]。单独依靠某一部门、某一领域难以调动利益攸关方推进数据治理的整体实践。因此，我国可借鉴欧盟经验，进一步加强顶层设计和整体谋划，强化数据治理的全要素协同能力。具体而言：在宏观层面，制定国家级数据战略规划，明确我国数据治理的价值目标、重点任务、推行计划、政策措施等总体布局，为数据资源的统筹利用提供框架指引；在中观层面，完善数据治理的组织架构，打破治理孤岛，建立健全中央与地方之间、部门与部门之间的协同联动机制，避免出现数据标准不一、数据管理粗放、审批流程繁杂等现实问题；在微观层面，提升数据治理的技术能力，明确数据要素的互操作性和可访问性，统一数据标准，支撑数据存储、数据清洗、授权使用等底层技术体系的协同发展。

3.2 完善法制体系，优化治理模式

2021年起，我国相继出台《数据安全法》《个人信息保护法》《数据出境安全评估办法》等数据治理规范，共同构筑了以数据安全为基础的法制保障。但是，上述法案无论是相较于欧盟系统而完善的立法实践，还是我国开展数据治理的现实需要而言，都仍显不足。为更好释放数据潜能，我国应从以下三个维度出发，完善法制体系，优化治理模式。就数据安全而言，我国应对生物识别、医疗数据、金融数据等重点领域的数据安全问题进行专门立法，以期形成安全、稳定的数据空间，并在深度融合的基础上促进个体、产业以及国家层面的数据安全治理；就数据质量而言，我国应结合地方数据立法经验，及时制定《数据开放共享条例》，强化可用、可信的数据供给，施行数据使用算法问责机制和监督评估体制，加强数据质量管理；就数据价值而言，我国应制定分类分级、逻辑严密的数据授权使用规范，推进数据持有权、使用权、经营权的分置机制，保障数据的可控流转，影响并辐射国际数据治理规则的变迁。

3.3 强化数据服务，提升治理能力

针对数据资源碎片化症结，欧盟以单一数据市场的构建为基点，推行了中介服务机制和垂直治理体制，打通了数据流动、使用和监管壁垒。我国幅员辽阔，经济社会运行的数据规模列全球首位，但数据资源的调配利用仍面临诸多挑战[19]。为更好地发挥数据汇聚效能，我国可以结合欧盟数据治理经验，采取以下措施强化数据服务，提升治理能力。第一，加快筹备全国统一数据中心，发挥政府、社会、市场的三元共治优势，探索政府统筹、市场激励、社会参与的共建模式，破除数据“孤岛效应”，筑牢数据系统国产化根基，实现统一数据中心的稳定化、集约化、高效化发展。第二，建立中立开放、利他公平的第三方平台，对接数据提供者和数据使用者，围绕数据交易周期提供全流程服务，构建数据安全交易体系，解决数据生态系统中交易互信难、入场难、定价难等现实问题，促使数据资源向数据资产跃迁。第三，在中央一级设立专门数据监管机构，统筹全国的数据监管和服务工作，形成从中央到地方、从政府到企业的链式管理模式，监督并优化数据中心、第三方平台的建设体系，促进数据资源和实体经济的深度融合发展。

4 结语

作为数智时代的关键要素和核心资源，数据对激发数字经济潜力、提高要素配置效率、推动社会经济发展具有重要作用[20]。近年来，欧盟为加快推进数字化转型，在数据治理方面推出了多项政策及法案，构建了完善的数据治理体系，在一定程度上引领了全球数据治理的发展风尚。合理借鉴欧盟数据治理框架的建设经验，对于科学构建中国特色数据治理体系、提升数据治理能力具有重要意义。未来中国应进一步加强顶层设计，明确数据治理的价值目标和总体框架，并在此基础上完善法制体系、强化平台服务，协调推进数据治理实践的长远、稳定、有序发展。