【好文推荐】欧盟基于数据要素流通的立法构建与举措嬗变

当前，随着人工智能、区块链、物联网、5G等技术的发展带来海量的数据，如何在保护数据安全、维护个人隐私的基础上，促进数据要素的安全流通交易成为全球日益关注的问题.在数据要素流通交易方面，欧盟通过构建法律体系，在保护欧盟数据要素安全的基础上促进欧盟范围内数据要素的流通交易，从而实现构建单一数据市场的目标.

1 欧盟数据要素流通的立法构建

1981年1月欧洲委员会各成员国签署了《有关个人数据自动化处理的个人保护公约》(简称为108号公约)，该公约强调在进行处理个人数据时应尊重个人权利和基本自由［1］.公约的实现取决于签署国对公约的适用，但结果并未达到预期.因此欧洲委员会在1990年向欧洲理事会提交了《关于保护共同体个人信息及信息安全的指令草案》，开启了欧洲个人信息保护制度一体化的进程.1995年10月24日，欧盟通过《个人数据处理保护与自由流动指令》(简称为95指令)［2］，95指令对108号公约进行补充，确立了在处理个人信息时知情同意等原则，明确了数据主体、数据控制者、数据处理者的权利义务.但95指令本身没有法律效力，需要成员国转化为国内法方可实施，各成员国出于自身利益考虑，往往选择在有利于自身的情形下进行适用.由于95指令带来欧盟范围内在个人信息保护立法方面的分歧，因此，2012年1月25日，欧洲议会(European Parliament)公布了《通用数据保护条例》(General Data Protection Regulation, GDPR)的草案，并在2016年通过GDPR，该条例于2018年5月25日正式生效［3］.

GDPR正式生效后，欧盟开始着眼于推动数据要素在欧盟各成员国的自由流动.由于GDPR着重保护个人数据安全，为了促进欧盟境内数据要素的流通交易，欧洲议会和欧盟理事会于2018年11月14日颁布《非个人数据自由流动条例》(以下简称《条例》)，该条例旨在保障非个人数据在欧盟境内能够自由流动并于2019年5月28日正式实施［4］.2019年6月20日，欧盟通过《开放数据和公共部门信息再利用的指令》(以下简称《指令》)［5］，推动欧盟区域内公共数据的开放与使用，该指令于2019年7月16日正式生效.为构建更加全面的数据要素流通交易法律体系，2020年2月19日，欧盟委员会(European Commission)发布《欧洲数据战略》，提出未来将建立欧盟共同数据空间并在数据立法方面，为欧洲公共数据空间提出一个立法框架，将出台《数据法案》以促进行业之间横向数据共享［6］.2022年2月欧盟委员会公布《数据法案(草案)》全文，提出在保持高隐私、安全和道德标准的同时，平衡数据的流动和使用［7］.此前，2020年11月25日欧盟委员会已发布《数据治理法案》提案，旨在促进成员国与各部门之间的数据共享.2022年5月16日，欧盟理事会批准了《数据治理法案》，该法案于2022年6月生效［8］.

通过完善的立法，欧盟构建起数据要素流通法律体系，在数据要素保护与流通的立法方面继续在全球处于引领地位.

2  欧盟数据要素流通举措的嬗变

从GDPR开始，欧盟从根本安全上进行个人数据保护与流动，此后在举措上呈现出不断演变的趋势，在非个人数据的流动与保护、公共数据的再利用、公共部门与私营部门之间及私营部门之间的数据流通等方面加快发力，通过多元化举措促进欧盟数据要素的流通交易.

2.1GDPR构建个人数据安全保障底座

GDPR由11章共99条组成，通过严苛的规定对个人数据的安全进行保障.GDPR一方面扩大数据主体，如规定了数据的访问权、纠正权、被遗忘权、限制处理权及可携带权等权利，并明确了以同意作为数据处理的合法性基础.其中，数据主体的被遗忘权是GDPR最引人注目的设计，也是数据权利主体权利扩大的最直接的体现.同时，GDPR第20条中规定的个人数据可携带权也日益引发关注，其主要内容为“数据主体将个人数据无障碍地从一个数据控制者转移到另一个数据控制者的权利”，强化了个人对其个人数据的控制，打破平台数据垄断.我国《个人信息保护法》45条第3款也引入了这一权利设计，一定程度上破除了互联网平台数据垄断的现象.另一方面，GDPR也相应地在增加了数据控制者、管理者义务方面，如要求数据控制者、管理者建立数据保护官制度，并规定了对数据泄露的通知制度等［9］.

2.2取消“本地化要求”推动非个人数据自由流动

GDPR正式生效后，由于GDPR着重保护个人数据安全，为了促进非个人数据在欧盟成员国之间自由流动与使用，欧盟出台《条例》.《条例》定义了非个人数据，旨在解决数据本地化要求、数据迁移、跨境执法合作等比较棘手的问题［10］.

当前欧盟有成员国要求一些数据只能在特定地域进行处理，数据处理服务提供商出于商业秘密保护需求也往往限制相关数据流动，这些行为妨碍了欧盟境内数据的自由流动.为消除数据自由流动的障碍，《条例》要求成员国政府删除现有的数据本地化要求，引入新的数据本地化要求或对现有数据本地化要求进行修改.为避免成员国政府对本地化要求的滥用，《条例》明确规定成员国政府仅能以“公共安全”作为数据本地化要求的理由，并对“公共安全”包括的内容范围进行了清晰划定，同时提出即使出于“公共安全”需要，数据本地化要求也必须符合比例适当原则.

除欧盟成员国和政府主管当局的限制外，非个人数据自由流动还受困于数据处理服务提供商的限制，妨碍数据处理服务的用户将其数据从一个服务提供商迁移到另一个服务提供商或迁回自己的系统，因此《条例》规定了“数据可迁移性”要求［4］.不过出于市场竞争性与活跃性考虑，《条例》未制定“数据可迁移性”强制性条款，仅强调市场主体以行业自律的方式明确数据迁移的具体信息和操作要求，最终形成本行业在欧盟层面的行为准则.

2.3多举措并行促进公共数据开放与再利用

数据是数字经济发展的要素之一，当前欧盟的数据很大部分来源于公共部门，为了促进公共部门数据的再利用，欧盟通过了《指令》.早在2003年，欧盟就出台《欧洲议会和理事会关于公共部门信息再利用的第2003/98/EC号指令》，并于2013年对2003年的指令进行修订，形成《欧洲议会和理事会关于公共部门信息再利用的第2013/37/EC号修正指令》.而《指令》则是对《欧洲议会和理事会关于公共部门信息再利用的第2013/37/EC号修正指令》的修订.

《指令》围绕树立数据收费原则、明确数据开放格式与接口要求、限制排他性协议、建立高价值数据集等举措推动欧盟公共数据的开放与利用，同时对开放数据范围作了限制，排除了对第三方持有知识产权信息的再利用［11］.在数据收费方面，欧盟主张开放数据应该免费，包括符合规定的高价值数据集与研究数据，但为保护个人隐私、商业秘密等产生相应的成本则可以收取成本费用.此外，对于大学图书馆、博物馆等公共事业单位则可以考虑给予其合理的投资回报等.在明确数据开放格式与接口要求方面，《指令》提出提供的开放数据和元数据需符合正式的标准并能以电子方式提供，并以应用程序接口(API)形式提供实时数据.在限制排他性协议方面，《指令》防止公私部门“排他性”协议的达成，提出开放数据应向所有可能的使用者开放，但不排除涉及公共利益、知识产权等特别情形下达成“排他性”协议的情况，为此《指令》从审查机制、时效等方面对此类情形进行了规制.在建立高价值数据集方面，欧盟引入了高价值数据集的概念，高价值数据集包括地理空间、地球观测和环境、统计、气象、移动、公司及公司股权所属6类数据集.在《欧洲数据战略》中提出欧盟于2021年第一季度细化《高价值数据集实施法案》来指导高价值数据集的再利用，目前《高价值数据集实施法案》已于2022年6月完成公众意见征询［12］.

欧盟委员会规定，成员国须在2021年7月16日之前适用该《指令》，《指令》的落地将促进欧盟区域内公共数据的流通与利用，是欧盟实现“单一数据市场”的重要制度拼图.

2.4建立新机制打破“公-私”及“私-私”数据要素流通壁垒

作为对《欧洲数据战略》的具体落实手段，《数据治理法案》确定了系列增加数据要素流通信任度的机制，包括公共数据再利用、数据中介、数据利他主义以及数据创新委员会等新机制，以打破公私部门之间(G2B)及私营部门之间(B2B)的数据要素流通壁垒，其中公共数据再利用、数据中介机制尤为重要［8］.

《指令》排除了对第三方持有知识产权信息的再利用，《数据治理法案》建立了新的公共数据再利用机制，对《指令》进行了调整，将商业秘密、第三方持有知识产权数据、个人数据纳入可再利用的公共数据范畴.除制定禁止排他性协议以及再利用条件外，《数据治理法案》明确公共部门可以收取商业秘密等数据再利用的费用.为满足该类数据查询需求，法案要求各成员国建立单一信息点，并要求欧盟委员会建立欧洲单一访问点.

囿于当前欧盟区域内各主体对数据流通安全等各种问题的不信任，《数据治理法案》建立了数据中介机制并对数据中介服务提供商进行了定义［13］，其是指能为数据持有者和潜在用户之间提供中介服务，包括提供技术或其他手段实现中介服务的从业机构.数据中介服务机构面向多元主体，搭建起企业与企业之间、个人与企业之间数据要素流通的桥梁，并通过在欧盟委员会登记等方式强化背书，提高其服务的可信度.

《数据治理法案》解决的是数据要素流通机制不畅通的问题，而《数据法案(草案)》的主要目的在于将使用产品或相关服务所产生的数据提供给相应的用户，如用户基于家用智能设备、自动驾驶汽车、医疗健康设备等产生的数据，以促进此类数据在企业与个人(B2C)、企业与企业之间(B2B)、企业与公共部门之间(B2G)的流通［7］.

为增加数据流动性，《数据法案(草案)》明确数据持有者有确保数据可直接被用户访问和获取的义务，并赋予用户使用生成数据的权利、将数据共享给第三方的权利及更换数据处理服务提供商的权利［14］.其中，将数据共享给第三方的权利是GDPR第20条“个人数据可携带权”的直接体现［15］，在用户将数据共享给第三方时，数据持有者和数据接收方可以就提供数据达成报酬协议.但出于维护数据持有者利益的考虑，草案也规定了用户或接收数据的第三方关于数据使用和披露的限制和义务.草案中特别强调符合《数字市场法案》中“守门人”定义的企业则不能成为接收数据的第三方，这在一定程度上限制了外来的互联网平台巨头，扩大欧盟本土中小企业的发展空间.

同时，对于数据持有者在什么情形下将数据共享给公共部门，草案亦进行了明确，在突发公共事件的应对、预防或从中恢复等情形下，数据持有者有义务及时提供数据，请求提供的数据如果涉及到个人数据，应当对数据进行假名化处理.针对第1种情形，数据持有者原则上应免费提供数据，对于其他情形，数据持有者有权向公共部门寻求补偿.

截至2022年11月9日，《数据法案(草案)》修正案提交日期正式结束，欧洲议会议员提出了1 000多项修正案，这些修正案可能对最初的提案进行重大修改［16］.

2.5围绕行业领域构建欧洲公共数据空间

《欧洲数据战略》中提出未来将建立工业(制造业)、绿色协议、移动、健康、金融、能源、农业、公共行政以及技能9大公共数据空间，当前9大公共数据空间的建设正在稳步推进之中，率先进行建设的是欧洲健康数据空间［17］.

2022年5月3日，欧盟委员会发布《欧洲健康数据空间条例(草案)》，以确保欧盟区域内各成员国间的健康数据可以安全、高效地进行访问与交换，从而实现欧盟各成员国的公民可以控制本人在本国或其他成员国的健康数据［18］.

为此，《欧洲健康数据空间条例(草案)》对处理个人健康数据的主要目的进行了明确，即为了向个人提供医疗服务而处理此类数据，同时赋予了个人访问、获得、修改个人健康数据的权利.而为了向个人提供更好的医疗服务，草案也赋予了医疗专家相应的权利，确保医疗专家可以及时在欧盟区域内获取公民的健康数据，各成员国应及时配合［19］.

草案的另一个目的是为了推动健康数据的开发利用，培育数字健康服务和产品市场，从而促进欧盟数字经济的发展.草案中将对健康数据的进一步处理定义为“二次使用”，并提出健康数据的二次使用可用于开发和创新、测试和评估算法等.基于上述目的，草案中提出搭建2个基础设施实现健康数据空间的构建，一个是MyHealth@EU，用于完成第1个目的，另一个是HealthData@EU，用于完成第2个目的.

3  中国与欧盟数据立法对比分析

为促进数据要素的安全流通，激发以数据为关键要素的数字经济的发展，近年来我国通过系列立法，坚持以“发展促进数据安全，以数据安全保障数据产业发展”，取得了一定的成效.通过在公共数据开放利用、数据安全保护、数据流通交易3大方向与欧盟在数据立法进程进行对比，从而发现中国未来的立法思路与进路.

3.1公共数据开放利用

为了促进公共数据的开放利用，中国从2007年始出台《政府信息公开条例》，并于2019年完成条例的修订.《政府信息公开条例》要求各级政府积极推进本级政府信息公开工作，并且应逐步增加政府信息公开的内容［20］.按照条例的要求，政府应该制定公开指南和公开目录，并对公开指南和公开目录的内容提出了相应的要求.在公开方式上，条例规定政府可以采取主动公开和依申请公开2种公开方式，并对主动公开和依申请公开的信息内容进行了明确，其中对于涉及国家安全、公共利益、商业秘密以及个人隐私等政府信息，行政机关不得公开.与欧盟《指令》《数据治理法案》相比，中国的《政府信息公开条例》侧重于政府信息的公开，强调的是政府的开放义务，对于公共数据的利用以及公共数据的收费模式等内容暂未涉及.中国在国家层面未对公共数据的开发利用进行清晰的规制，相关的内容散落在地方性立法或实践中，如北京为推动公共数据在金融场景的应用，设立了金融公共数据专区［21］；海南省出台《海南省公共数据产品开发利用暂行管理办法》，创新数据产品的开发与数据服务方式等［22］.

3.2数据安全保护

为了深化保障数据要素市场化配置改革，打牢安全基底，满足日益加剧的安全防护需要，我国继《中华人民共和国网络安全法》(以下简称《网络安全法》)后，于2021年陆续出台了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)等法律，从宏观层面为我国数据安全保护划下了红线.与欧盟数据安全保护立法相比，中国的数据安全立法更加完整与严格.欧盟基于GDPR，构建起严格的个人数据安全保护体系，而我国以“三法”为底座，构建起更加庞大且完善的数据安全保护立法体系.为进一步落实《网络安全法》《数据安全法》《个人信息保护法》，国家接连制定了《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》《网络安全审查办法》《数据出境安全评估办法》《移动互联网应用程序信息服务管理规定》等法规规章，对关键信息基础设施、网络数据监管、数据出境、应用程序提供等规则进行了规定，完善了“三法”数据安全规则体系［23］.此外，对数据安全的规定也散落在《中华人民共和国民法典》(以下简称《民法典》)与《中华人民共和国刑法》(以下简称《刑法》)之中，如《民法典》规定对个人隐私的保护，《刑法》第253条中规定的侵犯公民个人信息罪.

3.3数据流通交易

欧盟通过立法的形式推动非个人数据的流动与保护、公共数据的再利用、公共部门与私营部门之间数据流通并围绕行业领域构建欧洲公共数据空间，同时通过初步构建公共数据再利用收费模式、用户设备数据权属界定等产权与收益分配机制，从而促进数据要素在欧盟境内的自由流通，繁荣欧盟区域的数据要素市场.目前我国国家层面未有专门立法以促进数据要素的流通交易，对于数据产权和收益分配机制的讨论尚未以法律制度正式确立下来，相关的立法也只是主要集中在地方性法规层面.2021年7月6日，《深圳经济特区数据条例》正式发布，该条例设立数据要素市场章节，主要解决2个问题：第一是如何对数据要素市场的培育；第二是如何维护数据要素市场的公平竞争.在市场培育方面，该条例明确了政府、第三方服务机构、交易平台相应的行为活动，在公平竞争方面，该条例着重规制市场主体的不正当竞争还有垄断行为［24］.2021年11月25日上海公布《上海市数据条例》，在数据要素流通交易方面，该条例强调培育公平、开放、有序、诚信的数据要素市场，建立资产评估、登记结算、交易撮合、争议解决等市场运营体系，从而促进数据要素依法有序流动.同时，条例明确建立健全数据交易机制，支持数据交易服务机构有序发展，创建完善数据交易服务机构管理制度等［25］.

4  对我国的启示

通过与欧盟的立法对比，本文认为我国应该继续加强我国数据安全保护，健全机制加快公共数据共享开放与利用，同时加快立法，完善产权与收益分配机制，从而促进公共数据、企业数据与个人数据的自由流通，繁荣我国数据要素市场.

4.1加强我国数据安全保护

当前，我国的《民法典》《网络安全法》《数据安全法》以及《个人信息保护法》《刑法》在数据保护方面，分别设立相应的民事、行政、刑事责任，力图全方位保障我国数据安全.然而我国现有数据安全立法需继续细化落地，如明确数据的安全开发利用边界、数据分类分级等.同时为应对欧美等国的长臂管辖，对于我国数据主权的维护也需进一步强化，因此我国一方面应继续加强立法，不断完善我国现有的数据安全法律体系.另一方面，法律的落地离不开技术手段的实现，因此我国应在技术手段发力，鼓励数据安全技术创新，从而双管齐下维护我国数据安全.

4.2健全机制加快公共数据共享开放与利用

自《政府信息公开条例》颁布以来，我国一直在推进公共数据的共享开放，但是我国在国家层面缺乏对公共数据流通、开发利用的统一指导，单纯依靠各地出台公共数据条例或管理办法，推动本地区公共数据的共享开放利用.目前，各地普遍存在共享渠道未打通、开放数据质量不高、公共数据利用率低等情况，在公共数据的共享、开放、开发、利用尚未形成全国性的统一机制，因此应加快在公共数据开发利用方面的立法，健全建立公共数据共享开放与利用机制，促进公共数据在全国范围内流通.在这方面，中国可优先从特定行业公共数据入手，通过国家层面立法，破除行业、地区阻碍，从而实现特定行业公共数据在全国范围内的自由流通.

4.3加快立法完善产权与收益分配机制

欧盟最新的立法对数据产权和数据收益分配机制进行了一定的尝试，如《数据治理法案》中对特别类别的公共数据的再利用采取收费模式，再如《数据法案(草案)》中，对于用户与数据持有者、数据持有者与第三方接受者、公共部门与数据持有者分别进行了产权和收益分配的不同设置.2022年12月19日，中央发布《关于构建数据基础制度更好发挥数据要素作用的意见》，强调“建立保障权益、合规使用的数据产权制度”“建立合规高效、场内外结合的数据要素流通和交易制度”.我国应加快在国家层面对于数据流通交易的相关立法，完善产权制度与收益分配机制.针对个人与企业、个人与公共部门、企业与企业、企业与公共部门之间基于不同情形下设置不同的确权授权、收益分配方式，从而促进个人数据、企业数据、公共数据在个人、企业与公共部门之间自由流通.