宋姝媛等 | 欧盟数据治理模式对我国数据要素开发利用的启示
要目
0 引言
1 欧盟数据治理理念和框架
2 欧盟数据治理关键举措
3 我国数据要素开发利用存在的问题
4 欧盟数据治理模式对我国的启示
5 结论
摘要:欧盟围绕数据资源开发利用经历了三个阶段的发展,构建形成了对全球影响极大、极具欧盟特色的数据治理路径,目前,欧盟正加快体系化实施数据战略,以推动壮大本土数字产业,形成与美、中抗衡的数字经济竞争力。欧盟数据战略主要包含健全数据管理机构、推动数据共享流通、建设数据基础设施以及建立数据治理规则等方面,在实践中取得了显著成效。立足我国数据要素开发利用中存在的数据流通交易不畅、数据价值挖掘不足以及安全保障仍待补强等问题,研究总结欧盟数据治理模式对我国的启示,旨在为数据要素探索实践提供参考。
关键词:数据要素;欧盟数据治理;GDPR;数据流通
0 引言
我国率先在国际上提出将数据作为生产要素参与分配,这是我国发挥海量数据规模和丰富应用场景优势的创新性突破,也是构筑国家竞争新优势的战略性举措。随着“数据二十条”等指导性文件的发布实施以及国家数据局的揭牌成立,社会各界加快开展数据要素化实践,目前已有超过20个省级行政区成立数据局,“数据要素×”行动在各行各业探索落地,与此同时,数据交易、场景应用、安全合规等方面仍存在诸多问题亟待破解。本文研究总结了欧盟数据治理模式对我国的启示,以期为我国数据要素探索实践提供参考。
1 欧盟数据治理理念和框架
1.1 基础理念和发展脉络
欧盟将公民的隐私权划归为最基本的人权保护范畴,并将个人隐私保护理念贯穿至数据治理实践,发展形成对全球数据治理影响极大、极具欧盟特色的数据治理路径。在信息化发展的早期,欧盟反对对私人信息加以利用的商业行为,拒绝因贸易利益而消减个人基本权利,随着数字经济发展需求高企,欧盟在法律法规层面及应用实践层面趋于追求隐私保护与数据利用的平衡。欧盟数据治理发展过程经历了三个阶段。
一是2015年之前严格的个人数据保护阶段。早在1950年颁布的《欧洲人权公约》,通过保护个人私生活、家庭生活和通信权利的方式,确立了个人隐私权的法律地位,拉开了欧盟构建个人信息保护制度的序幕。1981年颁布的《关于个人数据自动化处理的个人保护公约》即“108号公约”,是国际上公认的最重要的关于个人信息保护的国际公约性法律文件。1995年颁布的《个人数据保护指令》,将“与已识别或可识别的自然人有关的任何信息”纳入数据保护范畴,严格提出数据控制者处置数据的条件要求,全面保障了个人对其信息的控制权。2002年出台的《隐私与电子通讯指令》,范围覆盖互联网数据传输在内的所有电子通信服务。2009年发布的《欧洲Cookie指令》,要求用户初始使用网站时网站必须关闭Cookie, 直至用户明确同意启用后才可开启此功能。2015年公布的欧洲数字单一市场战略,旨在破除成员国之间的制度围墙,促进欧盟内部数据流通,推动欧盟数据治理进入第二阶段。
二是2016~2019年保障数据安全流通阶段。为应对互联网信息服务广泛应用带来的强制授权、超范围收集个人信息等行为,同时增强欧洲在数据方面的国际竞争力,2016年欧盟议会通过《通用数据保护条例》(简称GDPR),并于2018年正式生效。GDPR核心通过要求企业在收集、存储、使用个人信息时取得用户同意来保护个人隐私,具体规定的个人权利有知情权、访问权、更正权、被遗忘权、限制处理权、可携带权、反对权等。GDPR所规定的个人权利需在限制条件下行使,以使个人数据权与其他正当权利和利益保持适当平衡,例如当个人信息控制者为了公共利益,或者为了行使其被赋予的官方职权而进行必要处理时,数据可携带权不适用。2018年和2019年欧盟先后通过《非个人数据自由流动条例》和《开放数据指令》,旨在促进欧盟境内非个人数据自由流动,平衡个人数据保护、数据安全和欧盟数字经济发展。
三是2020年之后步入体系化实施数据战略阶段。欧盟连续出台《欧洲数据战略》以及《数据治理法》《数据法》《数字服务法》《数字市场法》系列数据法案,统筹构建数据资源开发利用战略体系,目标是创建一个面向世界开放的单一欧盟数据空间,破解当前存在的数据可用性不足、数据市场失灵、数据技术和技术设施对外部依赖强、数据技能及素养有待提升等问题,创造有吸引力的政策环境,构建数据生态体系,助力欧盟在未来全球数据经济中占据领先地位。
1.2 数据战略框架
欧盟数据战略提出未来十年欧盟在数据流通方面的主要原则和政策措施,包含制度法规建设、基础设施建设、行业应用推进及数字能力建设四个方面,如图1所示。其内在诉求是补足欧洲在数字技术方面的弱势,壮大本土数字产业,形成与美、中抗衡的整体竞争力。制度法规建设构建起欧盟内部统一的数据治理规则,重点围绕公共数据开放以及企业与政府间、企业与企业间数据共享做出要求,且联盟数据法案法律效力高于成员国国内法,能够消除国界壁垒,提升数据可得性、互操作性及标准化程度。基础制度建设通过投资重大影响力项目、促进成员国合作、建立欧洲云服务市场等举措构建联盟范围的数据流通应用基础设施,同时制定连贯一致的监管框架,明确相关方责任,确保建设符合各项要求。行业应用推进的核心是在制造业等战略领域开发公共数据空间,构建由公司、民间团体和个体组成的数据生态系统,此举能够将欧洲领先的工业发展和工业数据应用经验全面推广。数字能力建设聚焦提升个人和企业数字化能力,通过建立个人数据中介等方式授权个体行使权力,通过提供专项资金、明确发展路线等举措加强数字化技能教育,通过基金投资等方式加强对中小企业数字化发展的扶持。
2 欧盟数据治理关键举措
2.1 健全数据管理机构
构建“联盟-成员国”统一立法、集中监管的两级管理体系。欧盟层面已设立欧洲数据保护委员会、欧洲数据保护监管局(或译为欧洲数据保护专员公署)和欧洲数据创新委员会。欧洲数据保护委员会主要负责围绕数据战略实施事宜向欧盟委员会提供建议和协助,包括数据中介管理、数据分享、标准制定、公共数据空间建设等,同时可以就成员国的数据治理行为作出裁定。欧洲数据保护监管局主要负责监督和确保欧洲机构和团体尊重隐私及数据保护权利,针对GDPR和相关数据保护法要求向欧盟委员会提供建议和指导,通过发布年度报告披露欧盟数据保护工作的进展情况。欧洲数据创新委员会包含所有成员国主管机关的代表以及欧洲数据保护委员会、欧盟委员会、相关数据空间及其他主管机关的代表,主要围绕数据跨部门标准化治理、数据互操作等问题组织共同建设、信息交流和协调指导。成员国设立数据保护机构,负责确保GDPR在本国的一致适用及本国数据流通符合欧盟相关标准;设置单一信息点,促进本国公共数据资源共享、交换、开放和应用。目前,德国、法国、西班牙、意大利等欧盟成员国已成立本国数据保护机构。
图1 欧盟数据治理战略框架
2.2 推动数据共享流通
在规则方面,2021年欧盟出台《数据治理法》,通过完善欧盟数据共享机制,提升数据可用性。一是建立公共部门数据重复使用机制,以尊重他人的权利为前提,以保护个人数据以及知识产权和商业机密为基础,提出包括数据范围、法规连贯、安全环境、主管机构等方面的具体要求。重复使用范围是指属于成员国法律法规、部门规章或其他具有约束力的规范所定义的、构成相关公共部门机构公共事业的数据。在重复使用过程中要遵守竞争法,禁止排他性安排,保障知识产权或所有权。要求在公共数据传输之前对数据信息进行完全匿名处理,相关公共部门机构要具备相应的技术装备以确保充分保护数据的隐私和机密性。要求成员国建立主管机构支持重复使用受保护数据的公共部门机构的活动,包括授予访问数据的权限、提供最新技术支撑等。二是建立数据中介商业模式,并通过规定对数据中介机构的限制,来确保其中立和透明。法案禁止将中介服务与其他服务(如云存储或业务分析)捆绑在一起,数据中介服务应放在一个单独的法律实体中,欧盟委员会设置数据中介机构登记册进行统一管理。要求中介机构不能自行处理数据或者为了自己的利益使用收集的数据。三是鼓励数据利他主义,允许个人或法人出于共同利益自愿提供数据,通过签署欧洲数据利他主义同意书,以自愿和免费的方式分享他们为公共利益产生的数据。
在举措方面,一是建立行业数据空间,面向影响公共利益、具有战略价值的行业领域,结合行业数据创新应用的特色需求,打造公共数据空间促进行业领域内的数据流通、场景创新和企业培育。目前欧盟已启动工业、绿色协议、出行、健康、金融、能源、农业、公共管理技能等领域数据空间建设,但多数仍处于早期阶段。工业数据空间启动最早、发展最为成熟,通过“连接器”提供安全技术环境,通过“数据中介”提供数据撮合、数据合约、数据清算、数据加工等服务,通过“认证机制”对参与方进行评估和认证,通过“清算和交易机制”提供付费等金融服务,相关理念、架构和标准已在欧盟推广。二是强化中小企业数字能力建设,欧盟于2021年启动“欧洲地平线计划”及“数字欧洲计划”,连同其他结构和投资基金为中小型企业提供全方位扶持,帮助中小企业提升数据可用性和数据互操作性,促进其更好融入数据流通体系。
2.3 建设数据基础设施
一是建设统一、安全、开放的Gaia-X(盖亚)体系。Gaia-X体系于2019年由德国发起,近年来参与国家不断增加,其建设目标是推动实现数据和服务自由、安全地整合和共享,核心内容包括一个适用于任何现有云或边缘技术堆栈的数据治理开源软件,一套通用的政策和规则,一个开放、透明、安全的数字生态系统。目前,Gaia-X由包括西门子、SAP、德国电信等在内的22家创始成员企业及上百家全球数字企业共同参与建设。
二是建设覆盖欧洲的量子通信基础设施EuroQCI。EuroQCI是高性能、高安全的量子通信网络,将量子密码技术和基于量子的创新安全系统集成到传统通信基础设施中,利用量子基础设施以安全方式传输和存储数据,同时基于量子物理的安全性确保关键基础设施和加密系统免受网络威胁,例如通过提供基于量子密钥分发服务,保护欧洲政府机构、能源、银行、医疗等关键站点之间的数据传输。目前,所有27个欧盟成员国已经承诺共同建设EuroQCI,未来,EuroQCI将成为欧盟网络安全的主要支柱之一。
2.4 建立数据治理“欧盟规则”
一是法律管辖范围覆盖所有向欧盟境内提供商品或服务的企业,包括成立地在欧盟境内,不论数据处理行为是否在境内的企业;成立地在欧盟以外,只要向欧盟境内主体提供服务,或对欧盟境内主体的活动进行监控(如客流分析)的企业;成立地在欧盟以外,但基于国际公法,成员国的法律对其有管辖权的组织,如成员国大使馆。
二是强化国际“数据寡头”监管。将对境内市场有重大影响、具有持久和牢固地位的数字企业定义为数据“守门人”,对“守门人”限制竞争、自我优待、价格扭曲等行为加强监管,规范数字服务内容,如果违反相关规则,将处以高达营业额10%的罚款。美国的互联网巨头公司谷歌、Meta、微软、亚马逊等都曾被列入上述范围,2021年亚马逊因对个人数据的处理不符合GDPR的规定面临7.46亿欧元罚款,2023年Meta因向美国发送欧洲用户信息而被欧盟隐私监管机构处以13亿美元的罚款。
三是强化国际数据治理话语权。建立充分性审查要求和数据跨境白名单制度,欧盟委员会对第三国在数据隐私保护方面的水平进行评估,只有通过认定的国家才可进行数据的传输。同时欧盟采取经济方式和政治方式等多种路径促进数据治理域外管辖的执行,逐步让更多的国家和地区接受“欧盟标准”,如依托欧盟市场优势在自由贸易谈判中要求其他国家通过充分性审查标准,或通过政策激励手段影响非欧盟国家采用与GDPR规定相一致的法律。
3 数据要素开发利用存在的问题
3.1 数据流通交易不畅
数据供给质量不高。我国数据产量高、增速快,从2017年到2022年,我国数据产量从2.3 ZB增长至8.1 ZB,全球占比10.5%,位居世界第二,但从数据质量来看,尚不能满足各领域开发利用需求。一是数据供给水平不足,如政务领域开放数据普遍存在“有目录无数据”“有数据无价值”的情况,高达46%的地方平台更新频率过低或已停止更新。二是数据供给标准缺位,围绕数据采集加工等方面的制度、规范、标准等尚不成熟,无法提供统一指向和要求。三是数据供给服务参差,从事数据清洗、分析和挖掘机构的专业能力有待提升,不能满足产业发展实际需求。
数据流通规模不足。我国尚未形成成熟高效的数据流通体系,大量数据未能进入流通市场,每年真正被利用的数据增长率只有5.4%。从数据交易体量来看,根据国家工业信息安全发展中心测算,我国2021年数据市场规模为815亿元,而IDC数据显示,2021年全球大数据及分析市场份额达到2 157亿美元,美国占51%。
从数据交易生态来看,一方面大型数据平台的数据垄断现象对大量中小企业参与数据流通交易形成阻碍,另一方面行业数据应用规模距离国际同行业水平仍有较大差距,以金融数据服务商为例,国内东方财富、同花顺2022年营收分别为124亿元和35亿元,而汤森路透年收入达66亿美元。
3.2 数据价值挖掘不足
行业数字化转型仍处于跟跑阶段。行业数字化转型水平整体仍有较大提升空间,且行业间差距较大,后进企业受制于管理、技术等方面的不足,难以在企业经营活动中充分挖掘数据价值。传统企业启动数字化实践占比为65%,制造业、信息业以及大型企业受政策支持的影响推进力度较大,但大量中小企业的转型节奏缓慢。
数据闲置、用数难现象普遍存在。因数据流通机制不完善、设备数据不开放、通信协议不统一等问题,数据不可见、不贯通、不可管、不可用等问题突出,如在健康医疗领域,全国三级医院中未对医疗数据开展相关应用占比达18.7%,三级以下医院中这一占比高达55.7%;在金融领域,59%的商业银行认为自身数据价值挖掘能力欠缺,55%认为存在较为严重的数据孤岛问题;在工业领域,工信部专门出台《工业大数据发展指导意见》引导构建工业大数据生态体系,破解企业用数难的问题。
3.3 安全保障仍待补强
亟需提升全过程数据安全保障能力。根据网络安全公司Group-IB调查显示,2021年全球共有30.8万个包含敏感数据的数据库被暴露在互联网上,其中中国的暴露数据库数量达5.4万个,仅次于美国位列全球第二,且数据泄露呈现总体增长趋势,根据IBM Security对全球550家企业的调研报告显示,平均一起数据泄露事件会造成435万美元损失,其中以医疗、金融、能源等为代表的关键信息基础设施行业受损更为严重。
进一步提升国际数据治理话语权。《网络安全法》《数据安全法》《个人信息保护法》三部顶层法律,以及《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》《网络安全审查办法》等规范性文件为我国防范数据跨境风险建立起规则框架和解决方案,但在应对数据主权挑战、参与国际数据治理方面仍有待构建更主动、更完善的规则体系和切实举措。
4 欧盟数据治理模式对我国的启示
4.1 完善流通交易体系规划与模式设计
在体系规划方面,以培育数据要素统一大市场为总体要求,统筹构建国家-区域、国家-行业两层级、双类型连接互促、创新融合的数据交易体系,明确区域和行业数据流通交易的典型特征和运营重点,构建与各领域各类型数据要素开发利用需求相适应的交易场所和交易规则,着力破除跨层级、跨领域的数据流通壁垒。构建数据采集、流通、定价各环节的标准规范体系,推动标准体系在交易平台、市场主体中互认互通,提升标准公信力,积极参与国际数据标准制定。
在模式设计方面,优先聚焦金融、医疗、交通、工业等数字化基础较好、数据应用需求迫切的垂直领域,加快培育合规咨询、数据授权使用、数据审计等新业态、新模式,积累行业经验进而向更普遍的领域拓展。支持银行等金融机构在风险可控的前提下,探索开展数据资产保险、数据资产融资、数据资产证券化等金融创新服务。设立第三方数据中介机构,提供数据托管、交易撮合、数据沙箱、数据资产评估等服务,提升交易效率,构建行业信任。
4.2 强化数据安全技术研发与设施建设
在技术研发方面,强化数据安全基础技术研发,紧跟全球安全问题形势和技术发展趋势,夯实终端设备安全、边缘安全、数据备份与恢复等技术能力,做精做优数据安全系列产品;强化数字信任技术研发,聚焦以零信任、隐私计算为代表的新一代安全技术,构建“基础技术-安全架构-解决方案”全栈安全保障体系,平衡技术成本和防护效果的关系,提高技术自主水平,注重成果转化效能。
在设施建设方面,适当超前布局下一代基础设施,发展壮大战略新兴基础设施产业,推进量子计算、量子通信、超级计算、高性能计算、区块链等设施研发建设。筑牢关键信息基础设施运营者的数字化底座,提高相关领域国产化软硬件的应用率,加强传统设施的安全加固改造力度。谋划建设一批高安全数据中心,从物理选址、安保级别、访问审查等方面构建立体防护体系。
4.3 深化国际竞合规则建设与评估审查
在规则建设方面,依据对等原则建立“白名单”认证机制,积极参与数据跨境流动的双多边协议,扩大与我国跨境数据流动规则主张相契合的发展联盟。制定分级分类的数据出境监管框架,确立宽严不同的数据跨境流动管理机制。支持部分自贸港和自贸区探索便捷有效的数据跨境流动机制,为境外数据创新企业来华发展制定保障性和激励性政策。
在评估审查方面,强化数据出境企业的风险自评估能力建设,引导企业建立符合法律要求的数据保护和合规体系,严格按照相关法规要求的评估要点开展评估与备案,推动相关市场主体履行安全主体责任。强化数据出境的国家安全评估审查,分领域明确数据安全审查的范围和要求,以查促建、以查促管、以查促防、以查促改。
5 结论
本文系统梳理了欧盟数据战略框架,分析了欧盟在管理机构、共享机制、基础设施及国际规则等四方面的关键举措,并对我国现阶段数据开发利用存在的问题进行剖析。立足当前问题,借鉴欧盟经验,结合发展实际,本文聚焦数据流通交易、数据安全保障与国际竞争合作,分别提出重点工作思路建议。
↓ 本文来源与作者信息
原文刊发于《网络安全与数据治理》2024年第4期。
宋姝媛(1992-),女,硕士,工程师,主要研究方向:数据要素、数字城市、企业数字化转型,E-mail:songshy120@163.com。王岩(1989-),男,博士,高级工程师,主要研究方向:数据资产化、数据要素、数字城市、数字经济。路琨(1979-),男,博士,高级工程师,主要研究方向:数据要素、数据产业、数字城市。以上成员单位均为中电数创(北京)科技有限公司。
因篇幅较长,已略去原文注释