加强数据保护并促进数据的流通利用,是数字经济时代各国面临的重要课题。近年来, 欧盟率先以“保护个人数据权利和促进数据自由流通”为目的开展数据立法,探索建立个人数据保护基础上的数据流通促进机制,首创了数据中介制度,即通过专业化、中立化的数据中介服务提供者,有效促进欧盟数据的跨成员国和跨部门流通利用。赛迪研究院政策法规研究所认为,梳理和研究欧盟数据中介制度,对加快我国数据流通利用有一定的借鉴参考意义。
一、欧盟的数据中介制度
欧盟创设了新型第三方中立性的数据中介— 数据中介服务提供者。数据流通与利用是数字经济发展的基础, 众多数据中介应需而生,以中间人身份促成数据从数据源到使用者之间的流动。数据中介的职能涉及采集、汇聚、处理、售卖中一个和数个环节,在不同国家有不同模式和称呼,目前较普遍的有撮合者(deal makers)、数据汇聚者(data aggregators) 或数据经纪人(data brokers) 等。2020 年11 月, 欧盟《 数据治理法案》(Data Governance Act)( 草案) 首创“ 数据中介服务提供者”(providers of data intermediation services), 成为欧盟数据中介的主要称谓。与其他数据中介模式不同的是, 欧盟数据中介服务提供者是中立的数据中介机构, 通过分离数据交易中的数据提供、中介和使用环节, 将数据交易的双方关系变为三方关系, 以提升社会对数据中介服务的信任度,促进数据的共享流通,推动构建新兴数据驱动型生态系统。
‖ 表 1:《塑造欧洲数字化转型》对数字技术分类
数据中介服务提供者可提供三类服务。欧盟数据中介服务提供者的服务对象包括个人、企业、公共部门机构、学术或非营利组织等, 旨在促成数据持有者和数据使用者之间的数据共享, 帮助双方在业务、法律、技术等方面建立直接联系。基于服务对象的不同提供三类服务:第一类是数据持有者(法人)与潜在数据使用者之间的中介服务; 第二类是受欧盟《一般数据保护条例》(GDPR) 管辖的个人数据主体和潜在数据使用者之间的中介服务;第三类是数据合作社的服务。
数据中介服务提供者需遵循特定的运行规则。《数据治理法案》(草案)从组织形式、服务对象、数据处理权限、数据格式和安全保障等方面,对数据中介服务提供者执业行为予以规范。组织形式方面,数据中介服务提供者必须是独立的法人;服务对象方面,数据中介服务提供者必须向不特定数量的数据持有者和数据使用者提供中介服务; 数据处理权限方面, 数据中介服务提供者仅能基于数据交易需要进行有限的数据处理;数据格式方面,数据中介服务提供者为了增强部门互操作性, 应当将数据转化为特定格式;安全保障方面,数据中介服务提供者具有防止数据欺诈或滥用、确保存储和传输安全的义务。
数据中介服务提供者需接受欧盟全过程监管。数据中介服务提供者履行事前告知义务, 并接受主管部门的全程监管。在提供数据中介服务前,数据中介服务提供者需将其提供数据共享服务的意向告知主管部门, 向主管部门提交基本信息情况和服务内容,欧盟委员会保留数据中介服务提供者的登记册。不在欧盟境内的数据中介机构, 会指定一名代表负责相关法律程序。在提供数据中介服务的过程中,主管部门持续监督数据中介服务提供者的合规情况, 尽可能使欧盟公民和企业的共享数据得到保护。
二、欧盟数据中介制度对提升数据流通信任、促进数据自愿共享以及构建数据驱动型生态系统有重要作用
欧盟通过战略立法构建数据中介制度, 为促进欧盟成员国之间数据流通提供制度保障。目前,全球各国普遍存在数据流通规则制度供给不足的情形,影响了数据交易市场的健康有序发展。一方面,数据交易规范不明和监管空白致使交易无序,以及非法收集、买卖、使用个人信息等“灰”“黑”数据产业出现。另一方面,交易主体无法规避交易风险, 也无法预测交易活动结果, 导致数据流通成本大幅提高。
这样的背景下,欧盟通过推动《数据治理法案》(草案),从国家法律层面构建数据中介制度, 致力于化解各成员国因数据流通规则不同而形成的制度壁垒,进一步促进欧盟范围内的数据流通。针对数据中介服务提供者设立的全过程合规监管体系,可从数据保护、竞争、网络安全等层面对数据中介服务进行全过程合规监管, 保障数据流通规范有序地发展。
数据中介服务提供者通过采取限制数据处理范围、承担数据保护义务、保障个体和组织对数据的控制等措施,有效促进市场主体对数据共享的信任。在数据交易过程中,相关企业和个人的数据无法得到保护以及数据控制权的丧失, 是影响潜在交易主体对数据流通信任的重要因素。一方面,数据交易涉及数据收集、存储、传输和使用等多个环节, 数据滥用和数据泄露等隐患影响着数据交易安全。另一方面,数据具有易复制和流动的特性,目前普遍存在不少问题, 比如数据流通过程缺乏透明度; 数据提供者无法有效行使数据访问、修正、删除等权利;丧失数据控制权等。
基于此,《数据治理法案》(草案) 对数据中介服务提供者进行如下限制: 一是限制其数据处理和数据使用范围。数据中介服务提供者不得出于自身利益处理或使用进行交易的数据,例如,不能利用这些数据开发产品。二是要求其从技术、组织、法律层面采取措施确保数据安全。对于非个人数据,要确保数据存储和传输的高度安全, 重点防范知识产权和商业秘密受到非法访问; 对于个人数据,其交易必须通过特定形式的数据中介进行。
这类数据中介对个人数据持有者承担特殊的信托义务, 包括协助个人行使GDPR 权利、提出数据使用建议、调查交易对象的真实性,避免欺诈或数据滥用情况,最大程度地实现个人数据和隐私保护。这些限制措施有助于提升数据保护程度, 切实加强企业和个人的数据控制权,增加欧盟企业和公民对数据共享服务的信任。
数据中介服务提供者通过提供数据共享基础设施和进行标准化处理, 提升数据的互操作性和可用性。
目前,全球普遍存在数据技术规范不统一制约了数据的互操作性,降低了数据流通效率和数据产品的丰富性。
一方面,数据采集标准不统一,增加了数据生产者和使用者之间数据共享互认的难度,导致特定行业不同来源的数据以及跨行业数据难以有效整合。
另一方面,数据交易场所数据标准的差异,不统一的开放格式、数据维度以及语义等问题, 制约了不同平台间数据的流通。
为此,《数据治理法案》(草案)规定, 数据中介服务提供者可采取以下措施:
一是通过为交易双方搭建数据交换和数据利用平台、数据库等基础设施, 从技术层面解决交易中数据交换不畅的情形。
二是对共享数据按照行业实践标准或国际数据标准来转化数据格式, 以提高数据的可用性和互操作性,为数据优化整合提供条件。
数据中介服务提供者可为中小企业提供谈判议价服务, 促进企业广泛参与数据流通,活跃公平竞争的数据交易市场。目前全球主要由大型科技平台主导数据处理和数据交易, 少量数据寡头控制着海量数据, 并可能通过共享和交易进一步巩固数据集中优势。
在数据交易中,不同规模的参与者议价能力不对等,影响交易的公平性,导致弱势方容易遭受经济损失。上述情况制约了中小企业广泛参与数据交易的积极性。欧盟数据交易市场同样面临类似问题,而数据中介制度可有效提升并促进企业广泛参与数据流通。
一方面,《数据治理法案》(草案) 明确了云服务提供商、物联网平台、社交媒体平台无法成为数据中介服务提供者, 而这些企业也是目前欧盟市场的数据垄断企业。
另一方面,在具体交易过程中,数据中介服务提供者可提供“数据合作社” 服务,以协助弱势企业确定谈判交易条件和合同条款, 保障不同规模企业间实现平等议价和公平交易。如此,不同规模的市场主体特别是中小企业和初创企业,可以不受歧视地参与数据交易,欧盟本土中小企业参与数据流通积极性大大提高, 从而营造公平且有活力的交易市场。
三、启示与建议
2020 年 3 月,我国出台了《关于构建更加完善的要素市场化配置体制机制的意见》, 首次提出将数据作为五大要素之一,要加快培育数据要素市场,提升社会数据资源价值、加强数据资源整合和安全保护, 以及健全要素市场化交易平台等要求。
目前, 北京、上海、广东等多个省市已经开展数据改革试点探索, 促进数据要素流通的规范有序、配置高效公平, 释放数据红利。欧盟数据中介制度值得我国数据要素市场改革借鉴。
加快制定促进数据流通的法律法规和相关战略, 为有序的数据流通提供制度保障。近年来,欧盟出台了“欧洲数据战略”和《数据治理法案》(草案), 从顶层设计方面为数据流通清除制度壁垒。
目前,我国虽已出台《网络安全法》、《数据安全法》和《个人信息保护法》, 但尚未在国家法律层面构建数据流通制度,亟需完善顶层设计,加快出台相关的法律法规。
为此,必须详尽掌握数据流通实际情况, 摸清制约我国数据流通的痛点难点问题,明确数据流通的基础性制度规范、监管体系等内容,为促进数据规范流通、充分释放数据红利奠定制度基础。
完善数据中介服务机构的运营模式和管理制度, 充分发挥中介机构促进数据交易的功能。欧盟通过设立可信的数据中介服务提供商, 激发中小企业和个人自愿共享数据的积极性, 扩大社会数据供给。
目前我国数据中介服务机构的实践主要基于大数据交易平台、数据经纪人等模式,未来可从以下方面入手:
一是借鉴欧盟中立、专业的数据中介服务提供者模式,为中小微企业和公民个人提供谈判协助服务,鼓励其广泛参与数据共享。
二是借鉴欧盟《数据治理法案》(草案),从服务对象、数据处理权限、数据格式和安全保障等方面, 完善我国数据中介服务机构相关运行规则, 规范数据中介服务机构的执业行为。
三是对数据交易流通全过程进行监管。借鉴欧盟“ 企业申请 / 备案 + 主管部门事中事后监管” 的做法, 由主管部门设定数据中介机构的资格条件, 机构进行申请或备案,主管部门后续对公平竞争、数据安全等领域进行监管,保障数据中介的数据流通全过程合规。
加强数据中介服务机构的数据安全和风险防范能力建设, 提升公众对数据交易的信任度。
一是强化数据中介服务机构的安全保障义务。数据中介服务机构必须遵守数据安全和个人信息保护方面的相关法律法规,加强专业人才队伍建设,对从业人员进行法律法规方面的专业培训等, 确保数据存储和传输的高度安全。
二是防范数据分类分级管理中的常见风险。个人数据交易可与特定的数据中介服务机构进行协作,此类机构对个人承担着信托义务, 需履行严格的个人信息保护义务, 保障数据主体对数据的控制权; 非个人数据交易则重点防范保护知识产权和商业秘密免受侵害。(文︱王轶 张浩 赛迪智库政策法规研究所)
