他山之石:数据要素流通利用的欧洲方案——欧盟《数据法》简析
本文将对欧盟《关于公平访问和使用数据的统一规则的条例》中涉及企业如何参与数据流通的重点内容进行深入解析,并与我国当前立法趋势进行对比解读,以期为读者提供有益参考。
作者丨蔡鹏 肖莆羚令 唐静思
2023年11月27日,欧盟理事会正式通过《关于公平访问和使用数据的统一规则的条例》(Regulation on Harmonised Rules on Fair Access to and Use of Data)(Data Act,下称《数据法》),将于欧盟官方公报公布后第20日正式生效,并在生效之日起20个月后适用,其中第3条第1款将在生效之日起32个月后适用。
一、前言
随着数字技术的不断创新和网络普及率的持续上升,数字经济方兴未艾,数据已然成为引领第四次工业革命的关键生产要素。近年来以ChatGPT为代表的大模型产品的爆发式流行,更是引发了全球范围内对于人工智能及其背后海量数据使用方式的普遍关注。如何抢占数据资源高地、推进数据开发利用无疑已成为当下世界范围内最热门的议题之一。
欧盟委员会于2022年2月23日公布《数据法》草案,与已经生效《数据治理法》(Data Governance Act)共同推动欧盟内单一数据市场的建立。《数据法》明确了企业和个人访问、获取、共享数据的具体规则,为欧盟境内各方主体提供了公平访问和使用数据的统一方式。作为欧洲数据战略的重要组成部分,欧盟《数据法》充分体现了欧盟在数据利用规则方面的创新,对于我国现阶段推进数据流通利用、释放数据要素价值的制度探索也具有借鉴意义。本文将对《数据法》中涉及企业如何参与数据流通的重点内容进行深入解析,并与我国当前立法趋势进行对比解读,以期为读者提供有益参考。
二、《数据法》的适用范围
在客体方面,《数据法》适用于个人数据和非个人数据,并针对不同类型的数据的不同数据处理活动作出规范,具体如下表所示:
点击可查看大图
在主体层面,《数据法》适用范围广泛,不仅适用于欧盟境内注册的企业实体,还涵盖了涉及特定数据流通环节的非欧盟企业,具体如下:
点击可查看大图
如上所示,《数据法》的适用范围较为宽泛,涵盖了多种数据类型和主体类型,且针对各类数据流通场景设置了不同的监管规则,从事欧盟业务的相关企业应予重点关注。特别是当相关业务活动涉及向欧盟销售物联网产品、在欧盟境内提供云存储服务、为欧盟客户部署智能合约等时,企业需重点关注自身是否落入《数据法》的监管范畴。
三、《数据法》下的数据流通安排
作为欧盟数据流通规则,《数据法》对企业-用户(B2C)、企业-企业(B2B)、企业-公共部门(B2G)等场景的数据共享进行了具体规定,厘清了企业、用户、公共部门等主体在数据流通过程中的权责关系。本文主要聚焦于企业-用户和企业-企业之间的数据流通制度安排,以下将重点阐述。
1. 数据持有者向用户提供数据(B2C)
(1)数据共享路径:默认提供和基于申请提供
在数据持有者向用户提供数据方面,《数据法》设计了默认提供和基于申请提供的互补路径,并对数据持有者如何向用户提供联网产品及关联服务数据提出了较为具体的要求。具体如下:
基于默认提供:联网产品的设计和制造,以及关联服务的设计和提供,在技术可行的情况下,应确保用户能够基于默认,方便、安全、免费地直接访问以全面、结构化、通用和机器可读的格式呈现的产品数据和关联服务数据,包括解释和使用数据所需的相关元数据。
基于用户申请提供:当用户不可直接访问相关数据时,可向数据持有者申请获取相关数据,数据持有者应当在没有不当延迟的情况下,以全面、结构化、通用和机器可读的格式,免费向用户提供任何现成可用的数据,以及解释和使用该数据所需的元数据。
针对基于用户申请提供数据的场景,为防止用户权利行使受阻和权利滥用,《数据法》还设置相应的数据流通保障机制:
一方面,要求数据持有者不得为用户设置任何行权障碍,包括要求用户提供除身份验证之外的信息、通过页面设计等方式损害用户的自主选择权。
另一方面,关注数据持有者端的商业秘密保护问题,明确当用户获取的数据涉及商业秘密时,只有当数据持有者与用户均采取了必要措施以维护其机密性,并对商业秘密保护进行协商、约定后,数据持有者才应当向其提供相关数据。如双方未能就商业秘密保护达成一致,或用户未能有效保护商业秘密的情况下,数据持有者可暂停向用户共享商业秘密数据;如数据持有者有证据证明即使用户采取了上述保护措施,仍极有可能因商业秘密泄露给其造成严重经济损失的,其可在个案中拒绝用户的数据获取请求。
2. 数据持有者基于用户请求向第三方共享数据(B2B)
根据《数据法》第5条,当用户或其代理人要求将联网产品及关联服务数据共享至第三方时,数据持有者应当在没有不当延迟的情况下,以全面、结构化、通用和机器可读的格式,按照与数据持有者获取该等数据的同等质量,免费向该第三方提供任何现成可用的数据,以及解释和使用该数据所需的元数据。在技术可行的情况下,此类数据应当连续实时地提供。
针对企业与企业之间的数据共享,为防止企业利用该规则不当获取或使用其他企业的数据,维护数据持有者的合法权益,《数据法》对该场景下的数据共享作出了以下限制:
适用范围限制:将尚未投放市场的新产品、新物质或新工艺测试的现成可用的数据排除在企业间数据共享的范围之外,数据持有者与用户签订的合同另有约定的除外。
数据获取手段限制:第三方不得使用胁迫手段或者滥用数据持有者旨在保护数据的技术基础设施中的漏洞来获取数据。
商业秘密限制:涉及商业秘密的数据仅在为实现用户与第三方商定的目的所必要的情形下,才需要向第三方披露。数据持有者或商业秘密持有者应当与该第三方协商确定商业秘密保护措施,如双方未能就商业秘密保护达成一致,或第三方未能有效保护商业秘密的情况下,数据持有者可暂停向第三方提供商业秘密数据;如数据持有者有证据证明即使第三方采取了上述保护措施,仍极有可能因商业秘密泄露给其造成严重经济损失的,其可在个案中拒绝用户的数据获取请求。
再提供限制:获取数据的第三方不得将数据提供给其他第三方,除非该第三方与用户签署的合同另有约定的。
数据使用限制:获取数据的第三方不得将所获取的数据用于开发与数据来源的相关产品相竞争的产品,或基于此目的向任何第三方共享数据。
数据分析限制:获取数据的第三方不得使用其所获取的数据来深入了解数据持有者的经济状况、资产状况、生产方法或数据使用情况。
产品安全限制:获取数据的第三方不得以对联网产品或关联服务的安全性产生不利影响的方式使用所获取的数据。
商业限制:获取数据的第三方不得阻止用户将其获取的数据提供给其他方。
除以上限制外,GDPR对于个人数据处理的相关规定依然适用。换言之,企业在对个人数据进行共享时仍需要满足存在合法性基础、数据传输保护措施等要求。
此外,值得注意的是,《数据法》第3章“根据欧盟法律有义务向第三方提供数据的数据持有者的义务”的适用范围不仅覆盖《数据法》下的企业间数据流通场景,也包括数据持有者根据其他欧盟法律向第三方提供数据的场景。基于此,即使相关企业并不涉及联网产品相关业务,仍有必要关注《数据法》下的相关规定,识别自身的数据共享义务。
四、《数据法》如何保障数据公平自由流通
(一)破除专有权壁垒:明确联网产品数据不受《数据库指令》保护
在欧盟立法体系下,数据专有权保护是数据流通面临的首要困境。根据欧盟《数据库指令》,内容选择、编排具有独创性的数据受到版权保护;而对于不具有独创性的数据,《数据库指令》则创制了“数据库特别权利”(sui generis right),对其赋予 “抽取权”(right of extraction)和“再使用权”(right of re-utilization),实质上授予了数据库所有者共享数据库中数据的专有权利。
抽取:以任何方式或形式将(数据库的)全部或主要(substantial part)内容予以永久或暂时性地转移到另一载体(或介质);
再使用:通过分发复制品、出租、线上或其他形式的传输,以任何形式向公众提供一个数据库的全部或主要内容。
此外,尽管《数据库指令》所规定的权利保护期限为15年,然而数据库所有者只要对数据库不断更新且达到“相当投资”的水平(包括对数据库的维持与内容的确认等等),即可重新计算保护期间,实质上等于赋予其无限期的数据共享专有权,无疑将成为数据流动利用的重大阻碍。
随着人工智能、物联网技术的持续发展,联网产品数据已成为企业从事产品研发、更新迭代的重要资源,《数据库指令》的垄断式赋权已难以适应当下突出数据流动、数据要素资源开发利用的经济发展需求,《数据法》第35条特别明确了《数据库指令》中规定的数据库特别权利不适用于联网产品或关联服务中获取或产生的数据,已实质上打破了数据库专有权利赋予数据持有者的垄断式保护。值得关注的是,《数据法》第35条仅排除了数据库特别权利,并未排除对于内容选取、编排具有独创性的数据库的版权保护,在数据选取、编排上具有独创性的数据库仍可受到版权保护。
(二)消解市场障碍:推动数据公平获取,防范数据垄断
1. 限制守门人获取数据
为了维护数字市场竞争秩序,欧盟于2022年通过《数字市场法》(Digital Market Act),对大型数字平台(守门人)提出了特殊的监管要求,平台数据反垄断进入落地阶段(相关链接:“新法速递 | 欧盟《数字市场法》正式公布,平台数据反垄断近在咫尺”)。作为回应,《数据法》对守门人获取用户数据进行了严格限制,以防止大型科技平台企业基于自身强大的经济、技术实力,利用旨在实现数据公平共享的数据流通规则,强化自身垄断势力,具体如下:
1)守门人不得以任何方式(包括提供金钱或任何其他补偿)招揽或商业激励用户,将其从数据持有者处获取的数据用于该守门人的服务;
2)守门人不得招揽或商业激励用户,请求数据持有人向该守门人的某项服务提供数据;
3)守门人不得接收用户从数据持有者处请求获取的数据;
4)数据接收方不得将基于用户请求所取得的数据提供给守门人。
概而言之,守门人将被禁止通过任何渠道获取根据《数据法》共享的任何数据,包括通过用户直接获取或通过数据接收方间接获取。对此,需要提示的是,如相关企业基于用户请求从数据持有者处获取了相关数据,应避免向守门人提供此类数据,特别是在与守门人合作开发或运维相关联网产品或关联服务的过程中,应确保此类数据不向守门人传输。
2. 为中小微企业提供倾斜保护
(1)数据提供义务豁免
对于小微企业[3],《数据法》明确,该法项下的B-C、B-B数据提供义务不适用于微型企业或小型企业制造或设计的联网产品或提供的相关服务所产生的数据;对于中型企业,《数据法》将该豁免的时间范围限制在联网产品使用或投入市场后1年内(以较近者为准)。
(2)制止不公平合同,保障数据公平访问和获取
根据《数据法》第8条,数据持有者与数据接收方应当协商确定数据共享的具体安排,获取数据的条件应符合公平、合理和非歧视原则(FRAND原则),如相关合同或条款的规定属于一方单方面强加给另一方的不公平合同条款,则将被视为无效,对另一方无约束力。此外,依据《数据法》的前言,欧盟委员会后续还将制定示范合同条款,协助相关企业确保数据共享协议的公平性,并将引入一项针对合同的不公平性测试(unfairness test),防止大型企业借助自身优势地位,滥用数据共享机制,损害中小微企业的利益。
(三)弥合技术分歧:推动数据处理服务互操作
除扫除上述法律和市场障碍外,《数据法》还对促进数据流通的技术性要求进行了明确,强调用户的服务切换自由和数据处理服务的互操作性。一方面,数据处理服务提供商应当消除用户在不同服务间切换的障碍,并逐步取消切换费用;另一方面,云服务提供商及数据处理服务提供商应满足互操作性要求。特别是对于云服务提供商而言,其不仅需要建立便于用户在不同云服务提供商切换的技术框架,还负有较为严格的信息披露义务,具体包括:
应当充分说明数据集的内容、使用限制、许可证、数据收集方法、数据质量和不确定性,并应采用机器可读的格式予以披露,便于接收者查找、获取和使用数据;
应当公开数据结构、数据格式、词汇表、分类方案、分类法和代码表(如有)等信息,并采用一致的方式对上述信息进行描述;
应当充分描述访问数据的技术手段。
此外,欧盟还将制定云服务互操作性技术标准和数据处理的开放式互操作性规范和统一标准,确保数据的可携带性和数据处理服务之间的互操作性。我们理解,随着未来欧盟推出相应的实施细则和技术标准,互操作性将成为赴欧企业数据合规的必答题,相关企业有必要密切关注欧盟的相关立法动态,并尽早引入专业机构对公司可能涉及的互操作性要求进行梳理并提供合规建议。
五、对比与展望:中国数据流通立法趋势解析及制度建议
数字经济时代,数据已成为新的经济发展推动力,数据资源的挖掘、获取以及数据资源的开发、利用已成为各国部署国际竞争战略、提升国际竞争力的战略高地。如何推动数据在不同主体之间的有序、顺畅流动,已成为全球立法者、政策制定者的共同议题。《数据法》作为全球首部针对企业间数据流通利用的系统性立法,无疑将成为各国数据流通利用立法探索的重要范本。
近年来,我国也高度关注数据要素流通利用机制的探索。国家政策层面,2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,明确要更好发挥数据要素作用,并提出要构建;地方立法层面,浙江、江苏、北京等多地已发布数据知识产权登记管理办法,探索数据知识产权登记制度的落地方案。从我国现有政策、立法上看,我国对于数据流通利用的探索以构建数据产权为核心,强调通过构建数据资源持有权、数据加工使用权和数据产品经营权三权分置的数据产权制度来推动数据交易的方式,推动数据要素的开发利用。
与我国立法思路不同的是,《数据法》选择绕过了难以在短期解决的数据权益归属问题,从公平分配数据价值入手,通过设定用户、数据持有者、数据接收者等各方权利义务来构建数据流通利用的具体路径,从而在尽量短的时间内达成共识性的数据流通利用规则。
鉴于我国与欧盟在立法思路上存在差别,以及在数字经济发展水平上也存在一定的不同,我国在制定数据流通相关立法的过程中,可考虑借鉴《数据法》的部分思路。立法目标不仅需考虑国内数字市场现状及国际数字竞争,还需确保数据流通规则符合中国数字经济发展需求。
首先,可通过立法明确各方主体在数据流通过程中的权利义务。尽管我国当前的探索路径聚焦于数据分权,我们认为,在数据产权制度框架下,仍可借鉴《数据法》对于各方权利义务的细化规定,明确各方主体在数据流转交易过程中的权利义务边界,为相关企业提供具体细化的制度性指导。
其次,关注数据共享的公平性,防止大型企业滥用数据共享机制牟取垄断地位。网络效应的存在导致数字市场存在天然的垄断倾向,大型数字企业往往具有极强的经济、技术、数据、算法优势,其有能力也有动力通过不公平的数据共享条款攫取竞争优势;而当大量数据被控制在少数具有先发优势的数字巨头,中小微型企业又难以自行收集相关数据的情况下,若前者拒绝提供数据,将导致中小微型企业难以开展后续的数据利用,抑制数据要素价值的充分释放。
最后,进一步推进技术互操作性建设。技术互操作性是数据在企业间顺畅流动的又一基础,为了防止技术互操作性不足而导致数据实质性被锁定在某些企业,我们建议,立法者应当考虑推进数据技术标准化和互操作性建设,在兼顾中小微型企业技术实力的基础上,通过制定统一的技术标准,消除数据在不同主体间流通时的技术障碍。
六、结语
在各国数据利用立法不足、缺乏统一技术标准的当下,企业间数据流通仍然面临着权属不清与技术互操作性等多方面挑战,数据自由流通利用的理想图景与现实间仍然横亘着一条权属和技术鸿沟。欧盟《数据法》着眼数据价值的公平分配,越过难以在短期内达成共识的数据权属问题,直接从方法论的维度铺开数据流通的立法之路。
“他山之石,可以攻玉”,《数据法》不仅为欧盟提供了一套较为完善可行的数据流通利用方案,也为我国未来制定数据流通利用规则提供了重要的参考。尽管目前我国尚无国家层面关于规范数据流通利用的法律法规,可以预见的是,数据要素的流通与利用也将成为我国未来一段时期内的重点议题,欧盟当前提出的方案无疑也将成为我国后续相关立法活动的重要参考。在这样的背景下,无论企业是否涉及赴欧盟开展相关业务,均有必要予以关注,尤其是在涉及互操作性、服务切换等方面时,应当积极参与技术研讨和后续的标准制定讨论,最大限度维护自身发展利益。
[注]
[1] 不包括具体服务内容数据,例如用户记录、传输、显示或播放内容。
[2] 智能合约是指通过电子数据记录并确保其时间序列的完整性和准确性,用于自动执行协议或其部分的计算机程序。
[3] 根据欧盟相关立法,微型企业是指员工人数少于10人且年营业额或资产负债表(公司资产负债表)低于200万欧元的企业;小型企业是指员工人数少于50人且年营业额或年资产负债表总额不超过1000万欧元的企业;中型企业是指员工人数少于250人且年营业额不超过5000万欧元和/或年资产负债表总额不超过4300万欧元的企业。
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护,知识产权权利保护,合规和调查
特色行业类别:通讯与技术,健康与生命科学
肖莆羚令 律师
北京办公室 知识产权部
唐静思
北京办公室 知识产权部
《一文透视<科技伦理审查办法(试行)>》
《证券期货业网络和信息安全及数据保护合规指引(下)——重点解读:信息技术系统服务机构和证券期货业CIIO合规义务》
《证券期货业网络和信息安全及数据保护合规指引(中)——重点解读:核心机构和经营机构合规义务》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。