它山之石可以攻玉---《欧盟数据法案》的解读与启示

（作者王鹏为北京市社会科学院研究员，数据资产化研究院执行院长）

随着数字化时代的到来，数据已成为推动现代社会发展的关键资源。在这个背景下，欧盟发布了《欧盟数据法案》，旨在制定统一和创新的数据治理框架。该法案不仅关注于数据的流通和利用，还特别强调个人隐私和商业秘密的保护。通过这一举措，欧盟力图在促进数据自由流通和维护个人隐私保护之间找到平衡点，从而推动经济增长和创新。《欧盟数据法案》的发布是对全球数字经济格局的重要贡献，它不仅为欧盟成员国内的数据管理设定了新的标准，也为全球范围内的数据治理提供了参考模式。此法案体现了在确保数据安全和隐私保护的同时，如何有效利用数据资源以驱动创新和发展的双重目标。在全球经济日益依赖数据驱动的今天，理解《欧盟数据法案》的内涵、影响及其对全球数据治理的潜在启示，对于各国尤其是中国在制定自身的数据政策时具有重要意义。

一、《欧盟数据法案》发布的背景

欧洲对数据保护的关注可以追溯到上世纪70年代。1976年，面对各国在数据保护立法上日益增长的差异，欧洲议会开始敦促欧盟委员会协调各国间的数据保护法律。这一行动显示出了对碎片化数据保护法律的担忧，标志着欧洲对数据安全和隐私保护重要性的早期认识。

数字化时代的数据法规

随着互联网的迅猛发展和数据量的爆炸式增长，欧盟在2012年提出了改革数据保护法规的提议。这一改革旨在帮助民众更好地保护个人信息，并促进企业在“单一数字市场”中的机遇利用。到2015年6月，欧盟成员国的司法及内政事务部长会议在新规的五项原则上达成一致，为新时代的数据治理奠定了基础。这些原则包括在欧盟范围内建立统一的法规、“被遗忘权”的强化、欧洲境内适用欧洲法律、加强各国数据保护机构的权力以及提供“一站式服务”。

《通用数据保护法案》（GDPR）

2016年4月14日，经过四年的讨论，欧洲议会通过了《通用数据保护法案》（GDPR），这是一项具有里程碑意义的法规。GDPR由11章共99条组成，于2018年5月25日正式生效，取代了原有的《数据保护指示》。GDPR的通过标志着欧盟成员国在数据保护方面的统一和加强。该法案通过加强对数据控制者和处理者的监管，扩大公民对其个人数据的控制权，被誉为“史上最严”个人数据保护条例。

欧洲数据战略的转变

2020年，欧盟发布了欧洲数据战略，标志着在数据治理领域的重大战略转向。此次转变的立法重点从保护公民个人数据隐私转为促进数据的流通和利用，个人数据的定位也从纯粹的人格承载转变为重要的经济资产。这一转变反映了欧盟在数据治理方面的新思路和方向，对全球数据政策产生了深远影响。

二、《欧盟数据法案》的主要内容与重点

根据2023年11月9日欧洲议会通过的《数据法案》的最终版本，该法案旨在“确保数字环境的公平性，刺激竞争性数据市场，为数据驱动的创新开启机会，并使数据对所有人更加可访问”。这一法案是欧盟塑造数字未来的更广泛战略的一部分。其关键要素包括：

首先，加强数据可移植性和数据共享：允许连接设备用户访问和与第三方共享由连接设备生成的数据，从而使售后市场和其他数据驱动的创新服务（如预测性维护）更便宜。

其次，第三方数据处理规则：规定第三方在《数据法案》下共享的数据的处理规则，以及第三方接收数据者与原始数据持有者之间的关系。

第三，平衡中小企业的谈判权力：防止在数据共享合同中滥用合同不平衡的行为。欧洲委员会还将开发模板合同，帮助公司起草和协商公平的数据共享合同。

第四，赋予公共部门访问和使用数据的权力：在高公共利益的情况下，如自然灾害等，公共部门可以访问和使用私人公司持有的数据，但须符合特定条件。

再次，数据和云互操作性规则：允许最终用户有效地在云和边缘服务提供商之间切换，并建立针对非欧盟政府非法数据转移和访问的保护措施。

第七，关于物联网(IoT)设备数据的数据库规定澄清：明确包含物联网设备和物体数据的数据库不应受到单独的法律保护，从而使物联网设备生成的数据更容易被最终用户访问和使用。

最后， 限制与被视为数字市场法案下的“门户网站”实体的数据共享。此外，《数据法案》将在正式被理事会采纳后生效，其大部分条款将在生效后20个月内开始适用。欧盟成员国将被要求指定一个或多个主管监管机构来执行《数据法案》，并负责定义适用于违反《数据法案》的罚款规则。这些罚款应当是有效的、成比例的，并具有威慑力。根据《数据法案》第40(4)条，欧盟数据保护监管当局将负责监督《数据法案》第II、III和V章的应用，就个人数据保护而言，将适用《通用数据保护条例》(GDPR)下的罚款规则。

三、《数据法案》通过后对中国的影响和启示

随着《数据法案》的通过，全球数据治理进入了一个新的时代。这一法案不仅影响欧盟成员国，也为全球范围内的数据政策制定提供了新的视角。特别是对于中国这样的数据大国，理解和吸收《数据法案》的精神和规定对于制定自己的数据治理策略至关重要。当前，中国在数据治理方面面临着多重挑战，包括如何在保护个人隐私和促进数据经济之间找到平衡，如何应对数据安全和跨境数据流的问题，以及如何在国内外市场之间实现政策的一致性和互操作性。《数据法案》的通过为中国提供了一个宝贵的参考，特别是在这些复杂问题上。从《数据法案》中学习的重要启示包括：

1、数据流通和创新：中国可以借鉴《数据法案》鼓励数据的流通和创新使用的做法，同时保障用户隐私和数据安全。

2、互操作性和用户权益：《数据法案》通过提高数据服务互操作性，保护了用户不被特定服务商锁定。这对中国来说是一个重要的启示，即在推动数字经济发展的同时，应重视保护用户的选择权和数据的可移植性。

3、平衡监管与创新：欧盟在《数据法案》中展示了如何在监管和创新之间找到平衡。中国在制定数据政策时，需要考虑如何激励企业和研究机构进行数据创新，同时确保这种创新不会侵犯用户隐私，不会损害数据安全。

对中国数据政策的具体启示：

首先，制定全面的数据治理框架：中国可以考虑建立一个更加全面和详尽的数据治理框架，不仅涵盖数据保护，也包括数据的开放使用和跨境流动。

其次，跨境数据流动的管理：鉴于中国企业日益国际化，中国可以借鉴《数据法案》处理跨境数据流动的方式，制定更加开放和灵活的跨境数据管理政策。

第三，数据安全与隐私保护：《数据法案》在保护个人数据和商业秘密方面提供了宝贵的参考。中国可以加强其数据安全和隐私保护法律，同时确保这些法律既符合国际标准，又适应本国的具体情况。

总而言之，《数据法案》的通过为中国提供了一次独特的学习机会。通过吸取欧盟在数据治理方面的经验，中国可以在全球数字经济中更好地定位自己，同时确保其数据政策既促进经济发展，又保护个人隐私和国家安全。