欧盟《数据法案》立法之路

智道

栏目主持人：於兴中

剩余的“标红”条款大多是相当难啃的“硬骨头”，直接涉及数据流通和个人数据保护、商业秘密保护究竟如何平衡

(资料图片)

欧盟《数据法案》（以下简称《法案》）立法谈判已近尾声。只要在少量具体条款上达成一致，再做一些技术检查和调整，《法案》的立法工作就可以说是基本完成。由此，眼下也是回顾和展望《法案》立法，简析其经验与教训的良好时机。

立法背景

《法案》的立法背景可以大致分为三个方面：一是《法案》的《解释性备忘录》阐述的立法理由；二是立法所经历的欧盟普通立法程序；三是立法谈判已经达成一致的内容，以及尚未达成一致的少量具体条款。通过结合三个方面，可以更好地展开主要内容的述评。

首先概括《解释性备忘录》阐述的立法理由。立法者的核心关切点始终是数据要素的流通利用。既要在保存数据要素产出激励的前提下促进共享利用，又要规范紧急情况下政府机关对数据的调取。云服务产业的发展和规范是另一核心关切点。既要为客户在云服务间的转换提供便利，又要规范云服务提供商对客户数据的处理。此外，还要通过促进互操作性促进数据要素的跨行业互用，打破行业间壁垒和孤岛。

其次是简介普通立法程序。简言之，普通立法程序包含正式和非正式程序两部分。正式程序大致是首先由欧盟委员会提案，然后由欧盟理事会和欧洲议会各自经过三读程序表决通过。实践中，非正式程序也很重要：在欧盟委员会提案，欧盟理事会和欧洲议会各自一读法案以后，三方会共同对《法案》展开逐条谈判。尽管三方谈判的结果仍需要正式程序来确认，但通常足以敲定绝大部分内容。

最后是三方谈判的进度。绝大部分条款都已“标绿”或“标黄”——绿色代表彻底达成一致，黄色代表价值层面达成一致，技术层面仍需对齐。剩下是在价值层面尚未达成一致的“标红”条款。这样的条款还有十条左右，主要包括数据接收者概念的地理范围、商业秘密持有者概念的范围、数据持有者拒绝访问共享的条件、主管机关以及生效时间。谈妥这些条款，就基本敲定了《法案》。

主要内容

《法案》正文分十一章，共46条。其“鉴于”部分包含90条。考虑到数据要素市场的发展建设，正文有至少五章尤其值得关注：一是定义条款体现的概念体系设置；二是数据访问和共享的规则；三是企业间数据合同的公平性；四是政府调取数据的规则；五是云服务的互操作性。结合相应的鉴于条款，笔者以下分别简述。

一是概念体系的设置。以数据共享规则的权利主体和义务主体为例，《法案》采取了用户/消费者、数据持有者、数据接收者分设的体系。用户是有权使用获得、收集或者生成数据的产品或相关服务的自然人或法人。数据持有者是能够合法使用或提供相应数据的自然人或法人。根据数据共享的规则，用户可以请求数据持有者将数据共享给其他自然人或法人，也就是数据接收者。

二是访问和共享规则。无论是用户直接从数据持有者处访问数据，还是请求将数据共享给数据接收者，都要通过设定其条件和方式来充分平衡三方权益。以访问情形下数据持有者的商业秘密保护为例，《法案》第5条第3-3a款设定了三层规则：数据持有者首先识别元数据等商业秘密；然后，其与用户约定成比例的技术和组织保护措施；最后通过协议范本、技术标准、自律规则等强化保护。

三是企业间数据合同的公平性。《法案》第13条第1款规定“单方面强加的……不公平合同（对被强加一方）没有约束力”。其余各款细化了“不公平”和“单方面强加”两个要件。以不公平为例。定义与传统的显失公平大体一致。第3款进一步规定了七类推定不公平的情形，包括显著侵害知识产权或商业秘密等合法利益，或者允许单方面变更价格或数据性质、格式、数量、质量的情形。

四是政府机关的调取规则。调取规则主要包括调取主体、客体、对象和调取的条件与方式。调取主体需为公共机关或特定欧盟机关。调取客体既包括数据，也包括元数据。调取对象限定为本身不属于公共机关的法人数据持有者。只有能够通过规定格式的请求阐明存在两类紧急情形之一，才能向数据持有者调取数据。如果涉及调取个人数据，需要满足额外的条件，且需采取匿名化等保护措施。

五是云服务的互操作性。概言之，通过技术、制度和经济的“组合拳”，全面促进云服务提供商之间的互操作性。技术上，不仅要求数据的可携带性，也要求容器等数据资产的互操作性，还通过认可和规范智能合约提供更多工具。制度上，既对云服务提供商施加实质的信息披露义务，也对提供商和客户间的服务合同提出细致的规定。经济上，明确要求在生效三年内基本消除服务转换费用。

此外，《法案》和其他数字立法的协同值得关注。《法案》对数据共享利用的促进不能妨碍保护个人数据的《通用数据保护条例》和保护隐私的《电子隐私指令》。《法案》的概念设置、共享规则、数据合同和互操作性等各章节也时常与《数字服务法》《数字市场法》甚或《人工智能法案》等彼此协同。或者说，数据和欧盟的个人信息、网络安全、人工智能与平台治理制度有机地构成一体。

展望比较

对于《法案》后续立法进程的展望包括两部分。既关注《法案》剩余“标红”的条款，也着眼《法案》与欧盟其他立法的关系。对于《法案》的经验与教训的比较分析同样分为两部分。一方面简述其在数据交易、政府调取、互联互通等方面的经验，另一方面举例说明其在体系冲突方面的教训。

《法案》剩余的“标红”条款大多是相当难啃的“硬骨头”，直接涉及数据流通和个人数据保护、商业秘密保护究竟如何平衡。是通过后12个月内生效，还是24个月生效，也会引起公共机关和全球企业截然不同的合规策略。不过，笔者认为，考虑到欧盟理事会正计划在相应问题上作出实质让步，很有希望在今年6月底基本达成一致。与此同时，三方正在就《人工智能法案》紧张谈判，欧盟理事会和欧洲议会也在推进涉及数据和人工智能侵权责任纠纷的《产品责任指令》的一读。如果其他法律在年内顺利达成一致，欧盟的数字立法体系即已蔚成。

《法案》在数据交易、政府调取和互联互通方面的具体规则可圈可点。数据交易上，用户和持有者间法定为主、约定为辅，企业和企业之间约定为主、公平设界，是数据交易强监管制度设计的可选模式。《法案》在政府调取和互联互通上的“组合拳”设计同样值得借鉴。

尽管如此，随着立法体系日趋复杂，冲突愈发难以化解。例如，《数据市场法》限制了大型互联网平台作为一方的数据共享。这些平台因此很难同时满足个人数据保护和《法案》对互联互通的要求。

（作者系北京科技创新中心研究基地研究员）

关键词：