2018年10月4日,欧洲议会通过了《非个人数据自由流动框架条例》(以下简称《条例》),预计欧盟理事会将尽快通过并正式实施。《条例》对成员国的数据本地化要求进行限制,并对国家机关获取数据、数据自由迁移等问题作出了规定。它与2016年发布的《通用数据保护条例》组成一套连贯的规则,共同构成了欧盟数字经济的重要法律基础。当前,我国正在加快发展数字经济,有必要参考欧盟做法,建立数据自由流动规则体系,充分挖掘数据价值和潜力。
《条例》消除数据在欧盟境内自由流动的障碍
对各成员国的数据本地化提出要求。基于数据监管等方面考虑,欧盟多个成员国出台了数据本地化的规定,有研究表明,过去10年间成员国数据本地化的措施翻了一番。为加快构建欧盟单一数字市场,《条例》明确对此作出限制:一是除非基于公共安全的理由,数据本地化要求应当被禁止;二是成员国立法引入新的数据本地化要求或者对现行要求作出修改,应当按照程序报告欧盟委员会;三是在《条例》实施之日起24个月内,成员国应当废除现行的数据本地化措施;四是成员国应当通过国家单一信息站点公开数据本地化要求的详细信息,并保持更新。
确保成员国主管部门的数据获取权限。《条例》不影响成员国主管部门依据法律法规获取或访问数据。一是当成员国主管部门提出访问数据的请求时,不得以该数据由另一成员国处理为由而拒绝。二是当成员国主管部门提出访问数据的要求后未能获得访问数据,且欧盟法律或国际协议下不存在不同成员国主管部门交换数据的具体合作机制的,一国的主管部门可以按照程序要求另一成员国主管部门予以协助。三是根据欧盟或成员国法律,成员国对未遵守数据提供义务的行为可实施有效、适当的处罚。
保障“专业用户”能够自由地进行数据迁移。针对欧盟境内云计算等服务商利用技术、合同等手段锁闭用户的情况,《条例》提出保障“专业用户”对数据进行自由迁移:一是将“专业用户”界定为:基于贸易、商业、手工业等相关目的而使用或请求数据处理服务的自然人或法人;二是欧盟委员会鼓励和促进欧盟层面制定自律性行为守则,行为守则应涵盖几个方面,包括:向用户提供数据迁移的流程、技术要求、时间等的详细信息,协助“专业用户”对数据服务认证机制进行比较等。
《条例》是欧盟数字经济发展的重要基础和保障
《条例》确立了欧盟境内非个人数据自由流动规则,与《通用数据保护条例》共同构成了欧盟数字经济的法律基础。2016年发布的《通用数据保护条例》建立了欧盟内部统一适用的个人数据保护规则,成员国不得以个人数据保护为由限制或禁止个人数据在欧盟境内的自由流动。《条例》针对非个人数据,如匿名化数据、精确农业数据、有关工业机器维护需求数据等,建立了与《通用数据保护条例》具有连贯性的规则,成员国除非基于公共安全的理由,不得以数据本地化要求限制数据在欧盟境内的自由流动。它与《通用数据保护条例》为所有类型数据在欧盟境内的自由流动奠定了法律基础。
《条例》鼓励服务商制定数据迁移的自律行为守则,以解决服务商锁闭用户问题,有助于数据服务市场的良性发展。无障碍地进行数据迁移是发挥数据价值的重要方面,考虑到数据在不同服务商之间迁移的复杂性,《条例》没有直接对数据迁移作出详细要求,而是由欧盟委员会鼓励、促进和监督数据服务商制定自律行为守则,并评估此类行为守则的发展情况和实施效果。这不仅能够促进数据服务市场的竞争和规范化,而且使“专业用户”能够以更具效率的方式存储和处理数据,不必多次复制数据,从而吸引更多用户使用数据服务,促进数据服务市场发展。
《条例》明确数据自由流动时仍适用2016年《欧盟网络与信息系统安全指令》,确保了对数据的高水平保护。欧盟对个人数据和非个人数据实行高保护水平下的自由流动。《通用数据保护条例》明确了个人数据保护的要求,包括:数据处理应当经数据主体同意,数据主体拥有删除权、携带权等权利,数据处理的企业、机构应当满足隐私保护设计要求等。非个人数据方面,没有针对性的数据保护要求,但《条例》明确,非个人数据保护仍适用2016年《欧盟网络与信息系统安全指令》的相关要求,包括确定并采取适当、相称的技术及组织措施,以管理非个人数据所在网络和信息系统所面对的安全风险,所采取的措施应确保与所涉风险相称的安全水平。
对我国的启示
基于不同的价值考虑,制定个人数据和非个人数据的自由流动规则。个人数据承载了人的隐私权利,因此在欧盟个人数据流动以个人同意为前提,且数据流入国应实施与欧盟同等水平的数据保护;对非个人数据,欧盟重在挖掘数据价值,因此除非基于公共安全的理由,不得要求数据本地化。
我国也应基于不同的价值考虑,制定个人数据和非个人数据差异化的自由流动规则,尤其是在数据跨境流动方面,应区分个人信息和重要数据出境安全评估的目的,个人信息侧重隐私保护,重点评估数据能否获得较高水平保护,重要数据出境则重点评估对国家安全的影响。
针对数据自由流动出现的问题,加快法律法规和标准规范制定。当前数据境内自由流动面临的主要问题有:数据权属界定困难,缺乏相应的数据权属规则;数据资源开放共享程度低,开放共享制度不健全,数据规范和标准不统一;尚未建立公平、透明的数据的流通和交易规则。建议:一是加强数据资产和权属研究,通过法律修订等明确数据资产权益归属原则,及数据拥有者、使用者、管理者等各方权利义务;二是制定政府公共数据开放共享规则,建立政府数据资源共享和开放目录;三是建立数据交易规则与标准体系,完善数据交易监管机制。
规范数据服务市场,加强用户权益保障。目前我国对数据服务市场中各类主体规范不够,既不利于数据服务市场发展,也难以有效保障用户权益。
建议参考欧盟做法,对数据服务商行为提出原则性要求,鼓勵和监督服务商通过自律行为守则等方式落实法律法规和监管机构要求,更好地保障用户权益。
闫晓丽
……
关注读览天下微信,
100万篇深度好文,
等你来看……