欧盟出台“数据法案”:公平数据访问与共享框架将如何落地?

作者
刘媛媛    腾讯研究院研究员

2022年2月23日,欧盟委员会正式发布《数据法(Data Act)草案》(以下简称《数据法》),旨在释放符合欧盟规则和价值观的数据和技术所拥有的经济和社会潜力。法案围绕数据共享、公共机构访问、国际数据传输、云切换和互操作性等方面提出新要求,对全球数字经济与数据治理具有重大潜在影响。本文就该草案核心内容、战略意图与影响做简要分析。

01 《数据法》核心内容

《数据法》着重强调数据经济参与者之间数据价值分配的公平性,旨在为数字信任建立坚实框架,通过促进开放公共部门数据、消除数字边界、鼓励数据贸易、开放竞争,以实现安全的欧盟单一市场。

《数据法》将适用于数字服务和连接产品(物联网)的供应商以及欧盟的相关数据用户。相比于欧盟数字领域的其他法规,《数据法》更侧重于非个人数据或不包含任何可识别个人身份信息的数据(如车辆性能、工业设备运行数据、农场温度湿度等),沿用了《一般数据保护条例》(GDPR)针对个人数据的权利义务,并补充了侧重于公共部门数据使用的《数据治理法案》(DGA),因此也被称为“欧盟数据战略下最后一个横向组成部分”。

《数据法》草案的核心内容主要包括以下五个方面:

(1)
数据访问与共享权

草案针对用户、第三方以及大中小企业在数据访问与共享的权利义务方面做出了详细说明。数据持有者(通常是联网设备的制造商)应允许用户免费访问其生成的数据;在保护商业机密、知识产权以及个人隐私的情况下,用户可以选择将这些数据与授权的第三方共享。

第三方不得以勒索或操纵用户同意的方式获取数据,也不得将数据用于开发竞争产品。但该访问权存在一个例外:由欧盟《数字市场法》指定为“看门人”的大型在线平台不属于合格的第三方,即这些企业不得要求用户及第三方共享或获取他们提供的数据。而小微企业则无需履行以上数据共享义务。

(2)
合同义务

草案明确了企业间数据共享的实现路径,以推动产业价值链上的企业数据流通共享。草案强调:获取数据的条件应符合公平、合理和非歧视原则,否则将被视为无效。如果合同主体对合同条款的理解出现分歧,相关方可以诉诸由成员国认证的争议解决机构。

欧盟委员会还将制定示范合同条款,帮助相关企业起草和谈判公平的数据共享合同,并专门引入一项公平性测试(fairness test),防止滥用数据共享合同、对中小微企业造成不公平待遇。

(3)
公共机构使用

草案规定,在应对恐怖袭击、公共卫生、自然灾害等紧急情况或履行法律义务时,公共机构有权访问和使用私营部门(小微企业除外)所持有的相关必要数据。数据持有者应及时、免费提供上述数据(个人数据需进行匿名化处理),但也可以以无数据或不符合情况拒绝;而针对其他非紧急情况,数据持有者则可以要求与实际费用相等的补偿。此外,公共机构不得重复使用获得的数据,但可以用于科学研究。

(4)
云切换与互操作性

数据处理服务供应商需采取措施,消除影响切换服务商的商业、技术、合同或组织障碍,应免费向公众开放接口、并确保互操作性规范或与欧洲标准兼容。欧盟委员会将会要求一个或多个欧洲标准化组织起草云服务互操作性的协调标准。

草案规定,合同需明确说明云切换的权利与义务,数据处理服务商需在30天内完成切换或数据转移,并在过渡期间提供全面支持和服务连续性;《数据法》生效之日起三年内,服务商可针对云切换收取较低费用,但三年后则必须免费。委员会还将引入监控机制,负责监测上述服务商收取费用的情况。

(5)
数据国际传输

数据处理服务提供商应采取一切合理的技术、法律和组织等保障措施,包括合同安排,防止向非欧盟或非欧洲经济区成员国非法传输非个人数据,以增强人们对支撑欧洲数据经济的数据处理服务的信任。

只有在签署有效国际协议(如司法协助条约)或满足其他具体条件的情况下,第三国对数据的获取或转移方可得到承认及执行,且只能共享所允许的最小数据量。

02 欧盟战略意图

(1)
发挥欧洲比较优势,
释放非个人数据价值、助力数字经济

欧洲不曾培育类似美国脸书、苹果等本土科技巨头,其人口基数也比不上中国,但其比较优势在于丰富的高端制造业和工业数据,工业数字化转型也被认为是欧洲未来数字经济发展的关键。

根据欧盟的粗略估算,预计到2030年,来自欧洲企业的数据流将是2020年的15倍,而存储在云上的大部分数据其实属于非个人数据(占比59%)。目前,欧洲高达80%的工业数据尚未被开发或被充分利用,若能通过《数据法》在法律、经济和技术层面解决这一问题,欧盟GDP或在未来6年内实现2700亿欧元的增长。在全球数字经济加速发展、大国数字博弈不断的背景下,欧盟利用释放其工业数据在促进创新与数字化转型的价值,是实现数字发展“弯道超车”的一种重要路径。

(2)
凸显欧盟打造数字
单一市场、夯实数字主权的决心

在“欧盟数据战略”的框架性指引下,欧盟已陆续出台《一般数据保护条例》、《非个人数据自由流动条例》、《数据治理法案》等多项法律条文,《数据法》则是欧盟发挥规范性优势、抢抓数字治理高地的又一次发力。欧盟委员会市场专员布雷顿也明确表示:促进安全的数据访问和使用将有助于形成一个基于主权的欧洲数据市场。

此外,《数据法》可以看作是GDPR在非个人数据方面的延伸,特别是欧盟也有意复刻GDPR在个人数据保护方面的影响,进一步塑造全球数字议程。

(3)
挖掘数据潜力,更好支持“绿色新政”

数字经济和绿色经济是欧盟政策规划的两大支柱。《欧洲绿色新政》明确提出:要充分挖掘数字转型的潜力,利用人工智能、5G、云与边缘计算及物联网等数字技术更好支持欧盟的绿色政策。《数据法》也特别强调数据在实现欧洲绿色协议目标的重要性,包括加深政府、企业和个人对整个供应链中的产品、服务和材料对社会和经济的影响的理解;通过调动现有丰富的相关私营部门数据,解决与气候变化、生物多样性、污染治理与自然资源保护利用相关的问题;以及通过加强缓解、准备、应对和恢复行动,缩小知识差距并管理相关危机等。

03 法案预期影响

(1)
行业态度不一,或对欧洲经济弊大于利

从法案本身以及欧盟整体战略意图来看,《数据法》是一个雄心勃勃、意在打造欧洲为最具竞争力数据经济体的计划。但与此同时,在GDPR以及整体数据战略的影响下,欧盟的政策可能会有反噬效果,尤其是当其贸易伙伴也相应提高跨境数据流动的限制水平。

根据英国咨询公司Frontier Economics的最新报告,为禁止非个人数据非法传输而设立的保障措施,不仅会大幅增加企业的合规成本,还将损害企业创新及其与子公司和商业伙伴合作的能力,未来六年间欧洲GDP可能会面临高达5530亿欧元的损失;但若允许国际数据流动,欧洲GDP将实现2万亿欧元的增量,并增加200万个就业机会。

而代表3400多家德国和欧洲机械和设备工程公司的行业协会VDMA也公开表示反对,称新法案所包含的数据访问和信息义务、对合同自由的限制、对技术设计的干预等内容,是对创业自由和整体生态系统的干扰,将影响工业合作伙伴之间运作良好的数据关系、给企业造成不确定性和负担,最终可能会损害欧盟自身的工业4.0战略。

(2)
有意削弱美科技巨头影响,美欧摩擦可能激化

数据隐私与跨境流动问题仍是目前美欧主要的摩擦点,日前还有30位美国议员联名致信美国总统拜登,要求敦促欧盟修改《数字市场法》文字,以避免不公平针对美国企业。在“隐私盾协议”失效且暂无替代方案的前提下,《数据法》实质上是否认了美欧之间数据的自由流动。

而《数据法》针对云服务商的诸多条款,更是将矛头直指美国科技巨头。根据市场调研公司Synergy Research Group的最新数据,自2017年起到2021年第二季度,欧洲云市场增长了近四倍,本土云服务商的收入虽然翻倍,但其市场份额却从27%跌至16%以下,亚马逊、微软和谷歌仍然占据了69%的市场份额,且这一比例还正在稳步上升。《数据法》强制要求免费云切换,则是直接表明要减少对美国云供应商的依赖,提高本土云服务商的竞争力。

此外,针对头部互联网企业掌握大量数据、单方面对小微及初创企业施加不公平条款等情况,《数据法》也做出明确规定,被《数字市场法》判定为“看门人”的企业将不属于合格第三方,不得获取欧盟非个人数据,实际上是对脸书等社媒平台在欧洲业务采取进一步限制。

(3)
存在外溢效应,为他国数据治理提供参考借鉴

欧盟在数据保护与监管方面的举措通常具有全球性的外溢效应,例如GDPR的立法思路就已被多国借鉴,《数据法》也可能步其后尘,不仅影响全球企业的数据保护以及数据利用方式,还可能会与他国国内监管形成联动、转化为相似法律法规。

目前,我国虽然已针对数据治理形成了基本的制度框架,但围绕数据确权等重大问题还缺少明确的界定,要想形成统一的数据确权体系仍需大量探索,数据要素市场也尚未形成。但“十四五”数字经济发展规划中的“充分发挥数据要素作用”板块,已经在一定程度与《数据法》的思路不谋而合。例如,推动各领域打破技术和协议壁垒,努力实现互通互操作,形成完整贯通的数据链;构建统一的国家公共数据开放平台和开发利用端口,释放数据红利;鼓励市场力量挖掘商业数据价值,满足各领域数据需求;鼓励重点行业创新数据开发利用模式,调动行业协会、科研院所、企业等多方参与数据价值开发等。

虽然《数据法》的相关规定对美国企业的影响更大,但中国企业也同样会受到相似的制约及挑战,尤其是在国际数据传输方面的限制将极大影响企业在欧洲业务的拓展。为此,我方应对相关情况持续保持跟踪,预先研究对业务的具体影响、内化合规要求,尤其是关注欧盟在标准方面的新动作(包括示范合同条款);由于欧盟非常重视公众意见,也多次对外征集信息、了解企业想法,因此仍存在反馈空间、可以择机发声。