欧盟《数据法案》即将发布,带来哪些启示?
近日,媒体消息称,欧盟委员会计划在2022年2月23日推出其关于非个人数据的《数据法案》(Data Act)。公开资料显示,欧盟委员会的草案包含关于数据共享、公共机构访问、国际数据传输、云转换和互操作性的规定,监管对象为互联网产品的制造商、数字服务提供商和用户等。多位受访专家认为,这对我国健全数据治理政策法规具有较强的参考价值。
《数据法案》释放重要信号
根据欧盟网站已公开的相关资料,中国科学院科技战略咨询研究院大数据战略研究中心执行主任冯海红指出,《数据法案》的重点内容主要包括三个方面:一是界定了公共部门使用数据主体的相关数据的权利和约束,完善了企业对政府(B2G)数据共享规则的结构和专用功能;二是系统构建了企业对企业(B2B)数据共享的权责体系和实现路径,切实推动产业价值链上的企业数据流通与共享;三是在合同公平、数据交换、云服务互操作、数据跨境、中小微企业豁免等方面进行了切实可行的详细规定,形成了强有力的落地实施保障。
有观点认为,此举再次释放出一个强烈信号:在数据治理方面,欧盟是认真的。前有“数字欧洲计划”、“欧盟数据战略”,为部署与开放公共数据空间给予框架性指引;后有《欧洲数据治理条例》《非个人数据自由流动条例》《数据法案》等多项法律条文先后出台,数据共享规则约束力进一步增强。
“欧盟希望通过立法的方式促进并规范数据的共享流通,通过释放数据价值驱动创新潜力。”赛迪研究院大数据产业研究中心研究员王汇对《中国电子报》记者分析表示, “从立法角度对欧盟内的公共数据进行了全面规定,为企业和政府部门在处理数据上提供了法律的确定性,提高了对数据处理服务的信任,并对相关服务提供者给予了法律支持和限制,将有效促进数据的有序流动。”
与此同时,冯海红指出:“此次拟出台的《数据法案》关于公共部门的准入规定是否会带来潜在的安全影响,或者影响各行业的自愿协议,造成欧盟相关行业对《数据法案》的抵制情绪,这一点也十分值得关注。”
数据集中在少数“大公司”手中,弊端不容忽视
此次欧盟委员会围绕整个欧盟产生的数据 "成倍增长",但数据 "集中在相对少数的大公司手中"问题的讨论也引起了国内相关专家的关注。
云创大数据总裁刘鹏对《中国电子报》记者表示:“数据集中在相对少数的大公司手中,是一个相对自然的演变过程,同时也符合经济规律。”他认为,根据马太效应,强者愈强、弱者愈弱,整个数据市场将呈现两极分化现象。数据管理可重点监管大公司,同时兼顾其他中小数据平台,但是由于大公司的数据使用情况不明晰,比较容易出现侵犯用户隐私、数据滥用等情况。
数字经济时代,数据作为企业核心资产,重要性毋庸置疑。从市场表现来看,一方面,大量数据主要集中在互联网企业,而互联网企业具有“头部固化”属性,少数企业能够通过强大的用户资源和权力,越来越方便地收集并分析数据,使用者在公司面前没有主动权,被动接受公司的数据收集方案,导致数据集中在少数公司。另一方面,小企业实力弱,无法与大企业进行抗衡,造成少数企业垄断数据。王汇指出,大公司数据垄断导致初创公司获取数据的成本和创新成本也会增高。
冯海红认为,大公司作为具有较强谈判能力的数据持有者,可以通过单方面施加不利于寻求数据访问的公司的不公平条款和条件,阻碍数据驱动的新参与者及其发展,最终将其并购或挤出市场。如果不对这些持有大量数据的大公司加以规制,势必形成垄断,而这就会阻碍行业创新,阻碍新的公司和市场参与者进入市场。
欧盟做法可以参考,但不必复制
当前,我国虽已针对数据治理颁布了一系列法律法规等,但仍存在法律效力有限、规定分散、体系不完备的问题。例如在数据确权方面,我国尚未对数据的所有权、使用权、经营权、知情权、遗忘权、修改权、删除权、拒绝与限制处理权等一系列权利进行明确的界定,要形成统一的数据确权体系尚需进行大量探索。在数据使用方面,数据的采集范围、采集方式、利用方式、流通方式,参与者的权利义务等等都尚未进行具体明确的规定,这对数据安全、数据监管等存在较大隐患。
“我们应该在数据壁垒尚未形成之前,加快建立数据保护与数据共享机制,明确平台数据的权利体系,既要避免平台将数据产权化,也应承认数据收集者、控制者对数据的利用,赋予其合理适度的权利,鼓励相关产业发展。”王汇指出,“这就要求我们出台更细化的管理规定,明确数据收集的具体原则、范围,对相关参与者进行更为严格精准的监管。”
“欧盟在数据安全保护与监管方面的做法,尤其是如何对少数大公司掌握的数据资源进行更好的保护和使用,是我们的研究重点。”刘鹏谈道,“值得一提的是,由于制度上的优势,我国的互联网监管以及数据监督和保护,可以集中有效地实施,比如防电信诈骗、疫情防控等,都是制度优势的充分体现,因此,对于欧盟的思路和做法我们可以参考,但不必复制。”
冯海红建议称:“一方面,我们应该持续健全、完善我国数据安全保护的政策法规和标准规范,特别是针对性强、可操作性强的详细规定;另一方面,还应该加强数据安全监管执法机构职能建设,采取强有力的政策措施切实加强专业机构的能力建设,特别是打造一支技术能力过硬的网络和数据安全人才队伍。”
“可以预见的是,随着立法执法的建立与完善,数据平台自律和他律有法可依,国民的网络和数据安全意识也将进一步增强,我国数据治理将在行业发展和执法实践中持续摸索、总结。”刘鹏表示。