政策解读 | 欧盟发布《数据治理法案》实施指导文件

2024年9月24日，在《数据治理法案》（Data Governance Act，简称DGA）实施一年之际，欧盟委员会发布了一份指导文件（《数据治理法案》实施指导文件，Implementing the Data Governance Act - guidance document）。

DGA实施以来，11个组织已申报为数据中介服务提供商，在欧盟各地提供服务，还有一个组织已注册为数据利他主义组织。此外，欧洲数据创新委员会（European Data Innovation Board）已经召开了四次会议，该委员会将成员国和利益相关者聚集在一起，分享实施DGA的最佳实践。

本次发布的指导文件是一份深入的指南，用来帮助利益相关者实施DGA。需要注意的是，指导文件是一份动态文件，不具有法律约束力，也不代表委员会的正式立场，可能会随着时间的推移而更新。

（一）指导文件按照DGA的结构分为九个章节，目录如下：

（二）DGA与GDPR等法律的关系

指导文件明确指出DGA不削弱《通用数据保护条例》（General Data Protection Regulation, GDPR）及《电子隐私条例》的规定，当DGA规则与二者发生冲突时，后者优先适用。DGA不为受保护个人数据的再利用创造权利或GDPR意义上的新法律基础，GDPR下的监管机构的角色不受影响，在进行规则解释时，数据保护机构或负责电子隐私的机构具有管辖权。

（三）公共部门的数据再利用

指导文件指出，公共部门的数据再利用，是在确保数据保护和隐私的前提下，推动数据的开放和共享，以提高数据的社会和经济价值。

指导文件还详细阐述了数据再利用的具体条件及公共部门与数据使用者的各自责任，强调禁止重新识别数据主体，并明确了通知义务及在数据泄露或未经授权使用非个人数据时的应对措施。

关于请求再利用的程序，公共部门机构必须在接收到再利用请求后的两个月内做出决定，如果请求特别广泛或复杂，公共部门可以将这一期限延长最多30天，并需告知申请人延期的原因。

数据安全方面，为保护数据的机密性，公共部门机构应要求再利用者遵守保密义务，禁止再利用者泄露可能危及第三方权力和利益的信息。推荐使用技术手段如匿名化和安全处理环境来实现数据的保护与再利用平衡。DGA对独占性数据再利用协议实施严格限制，确保公共利益的实现。

（四）数据的国际传输

针对个人数据，遵循GDPR规则。非个人数据的国际传输，当用于再利用时，需要事先通知公共部门，包括数据传输的意图和目的；需要签署合同承诺，确保数据在传输后仍保持保护，且接受公共部门机构所在成员国的司法管辖；欧盟委员会有权制定示范合同条款，供公共部门在与再利用者签订国际传输合同时使用；

当特定第三国的再利用请求数量较多时，欧盟委员会可采取“等效决定（equivalency decisions）”来认定这些国家提供的保护水平与欧盟相当。对于高度敏感的非个人数据，可能会对欧盟的公共政策目标构成风险，欧盟委员会将制定额外的条件，以在将此类数据传输到第三国前确保满足特定的保护要求。

（五）数据中介服务提供商的监管要求

指导文件中关于数据中介服务提供商的监管要求旨在确保这些中介能作为数据共享的可信组织者，并促进数据的安全和有效利用。具体规定包括通知与注册、合规与监督、中立性和冲突避免、标签与认证、透明性要求和跨境数据中介等内容。

指导文件指出数据中介必须作为中立方，不能利用获取的数据和元数据进行除改善中介服务外的其他用途。实际操作中，提供数据中介服务的实体需要与提供其他服务的实体法律上分离。合规的数据中介可以使用“欧盟认可的数据中介服务提供商”标签，并在所有相关的在线和离线发布材料上明显展示由委员会设立的通用标志。在多个成员国设立的数据中介将受其主要设立地成员国的管辖，但需遵守欧盟关于跨境行为损害赔偿的法律规定。

在个人数据保护方面，欧盟历来贯彻非常严格的个人数据隐私保护规则。欧盟制定的《通用数据保护条例》（GDPR）于2018年5月实施，被称为“史上最严”个人数据保护条例，GDPR旨在通过加强对数据控制者和处理者的规制，维护和扩大公民对其个人数据的控制权。

同时，GDPR也成为了一道贸易壁垒，提高了别国数字经济企业进入欧洲市场的成本。GDPR过于严苛的个人数据处理规则，一定程度上削弱了欧盟在全球数字市场上的竞争力。

在公共数据的利用方面，欧盟坚持数据应当有利于社会的原则。2019年7月，欧盟通过了《开放数据与公共部门信息再利用指令》（The Directive on Open Data and the Re-use of Public SectorInformation，简称《开放数据指令》）修订，强化对公共部门数据的利用，但其开放的公共部门数据范围有限，商业秘密（commercial confidentiality）、统计上的数据秘密（statistical confidentiality）、受保护的第三方知识产权以及个人数据等敏感数据通常被排除在外，较大程度地限制了公共部门数据的再利用。

2019年3月，欧洲理事会提出，欧盟需要进一步发展具备世界级连通性的具有竞争力、安全、包容和合乎道德的数字经济。应特别强调数据安全、人工智能，以及在可信任的环境中访问、共享和使用数据。2020年2月19日，《欧洲数据战略》（A European Strategy for data）发布，设计了在未来五至十年内的欧洲数字经济愿景，目标是基于“数据治理”“投资”“赋能”“公共数据空间”四大支柱在战略层面创建共同的欧洲数据空间，促进公共数据（例如健康、农业或环境数据）的再利用，强化欧盟在全球数据领域的引导作用，通过“开放更多数据”和“增强数据可用性”促进欧盟数字化转型。

《欧洲数据战略》的实行表明欧盟在数据治理领域发生了重大战略转向，欧盟的立法侧重从保护公民个人数据隐私转为促进数据流通利用，个人数据的定位也发生了从人格承载向重要资产的转变。在公共数据领域，DGA进一步将公共部门数据中可再利用的适用范围扩大到商业秘密、统计上的数据秘密、受保护的第三方知识产权以及个人数据。

欧洲数据战略包含了一揽子立法规划，在2020年11月25日推出的DGA是首部立法，欧盟意图通过它来构建全新的数据治理路径，代替过去大型科技公司的平台治理模式，推动欧盟内部无国界的数字市场经济。DGA的发布得到了公共部门、行业组织、学术和研究机构、普通大众的赞同。但也存在不同意见，如，欧盟数据保护委员会（European Data Protection Board，简称EDPB）和欧盟数据保护专员公署（European Data Protection Supervisor，简称EDPS）在2021年3月表示，DGA未能充分保障个人数据权利，和GDPR等法律存在冲突。

《数据法案》(Data Act，简称DA)，在2023年12月公布，旨在增强欧盟数据经济并促进竞争性数据市场。DA是DGA的补充，DGA增加了对数据自愿共享机制 (voluntary data-sharing mechanisms) 的信任，DA为数据的访问和使用提供了法律明确性。

DGA、DA与GDPR、《开放数据指令》《数字市场法》（Digital Markets Act）、《数字服务法》（Digital Services Act）等共同构成了欧盟单一数字市场建设的顶层设计。

表：欧盟《数据治理法案》和《数据法案》 对比

欧盟此次发布的《数据治理法案》的指导文件，明确了DGA和相关法规的关系，阐明了DGA的各项规定，包括数据保护、再利用、中介服务、国际传输等内容，是DGA的操作指南，后续可能会根据法规实施经验和反馈进行更新。

回顾欧盟推进数据治理的政策进程，欧盟对数据保护、数据共享所涉的公私主体，采取了不同的激励方式和监管路径。

在《欧洲数据战略》的指导下，欧盟的数据治理立法既注重产业激励效果，同时注意和GDPR等现有法律的衔接，构建了一揽子立法计划。对我国数据保护指定部门的制度设计者来说，可从技术维度、组织维度、监管维度上多管齐下，进行深入研究借鉴。