欧盟新法案促进非个人数据自由流动｜网络法律评论

2017年9月13日，欧盟委员会发布《非个人数据自由流动条例（提案）》（Regulation on the free flow of non-personal data）（以下简称《提案》），旨在废除欧盟各成员国的数据本地化（data localization）要求，同时确保监管机构的数据访问、获取权限。如果《提案》最终获得批准，成为欧盟立法，欧盟成员国政府将不能再要求企业在本地数据中心存储数据。

《提案》将限制欧盟成员国的数据本地化要求的范围，打造一个欧盟公共数据空间，创造一个更具竞争力的数据存储和其他处理服务的统一内部市场。这将成为欧盟数字单一市场战略的重要推动力。2017年报告《建立欧盟数据经济》指出，欧盟数据市场的价值在2016年约为600亿欧元，相比2015年增长了9.5%，根据研究，欧盟数据市场的价值在2020年将超过1060亿欧元，增长前景非常可期。

为了实现欧盟数据经济的潜能，《提案》旨在解决以下问题：

■（一）适用范围和数据本地化的定义

在适用范围上，《提案》中的规则适用于发生在欧盟境内的非个人数据的存储或其他处理服务，包括两种情形：

其一，该服务由居住在欧盟境内或者在欧盟有住所的自然人或者法人实施；

其二，服务商为居住在欧盟境内或者在欧盟有住所的用户提供服务，无论服务商是否在欧盟境内成立。

数据本地化意味着成员国法律、法规、行政条款中规定的义务、禁止、条件、限制等要求数据储存或其他处理服务的地点限制在特定成员国领土范围内或阻止在任何其他成员国提供储存或处理数据服务。

■（二）废除数据本地化要求，确保数据自由流动

为确保欧盟境内的数据自由流动，该《提案》提出了五项措施，旨在废除不合理或不合适地阻碍企业选择储存或处理数据地点的成员国规定。成员国必须告知欧盟委员会其新的或现有的数据本地化要求。这五项措施包括：

（1）除非是基于公共安全，否则不得将发生在欧盟境内的数据存储或其他处理服务的位置限定在特定成员国领土内，不得限制或禁止企业在任何成员国提供数据存储或其他处理服务；

（2）成员国如果出台新的数据本地化要求或对原有数据本地化要求做出改变的，应通知欧盟委员会；

（3）在《提案》生效之日起12个月内，成员国应废除数据本地化要求，如果成员国认为一项数据本地化要求符合前述规定而予以保留，其应当告知欧盟委员会此项措施并说明理由；

（4）成员国应将其领土内数据本地化要求的详情通过单一信息枢纽进行在线公布并随时更新；

（5）成员国应告知欧盟委员会前述单一信息枢纽的地址，欧盟委员会在其网站上对此进行集中公布。

■（三）保障监管机构的数据获取权限

《提案》在促进数据自由流动的同时，也确保监管机关为履行职责而调取数据的权力不受影响。根据规定:

（1）这些规则不应影响监管机构依据欧盟或成员国法律履行监管职责而要求访问、获取数据的权力，不得因在另一成员国内存储或者处理数据而拒绝监管机构访问数据；

（2）某个成员国的监管机构如果穷尽了所有的办法仍然无法获取数据，就可以按照《提案》设置的程序要求数据所在国监管机构予以协助，除非与数据所在国公共秩序相违背，数据所在国监管机构应当提供协助；

（3）监管机构的数据获取权限包括访问自然人和法人的数据存储或其它处理设备和方法，访问、获取数据必须遵循欧盟或成员国的程序法。

■（四）建立行为准则，促进数据转移和自由转化数据服务商

由于数据在不同提供商之间转移涉及复杂的经济和竞争利益，因此欧盟委员会没有采取直接立法的方式作出详细要求，而是鼓励在欧盟层面建立数据提供商的“自我规制的行为准则”，从而使用户更容易地转换云服务提供商，比如提供商应告知用户转移数据的条款和条件。建立行为准则有两个目的：

其一，界定转换提供商的“最佳实践指南”，为将来建立行业规范打下制度基础；

其二，确保专业用户与提供商签订数据储存或其他处理服务的合同之前，提供商对数据转移的具体技术细节和要求提供足够详细、清晰和透明的信息。

《提案》同时规定欧盟委员会应该鼓励提供商在本法生效后一年内有效落实前述行为准则，且在本法生效后两年内，欧盟委员会应当审查行为准则的制定和实施，以及服务商是否向用户做出了有效告知。

一方面，为了创造更具竞争力的数据存储和其他处理服务的数据服务市场，《提案》要求成员国废除现存不合理的数据本地化限制，协调成员国不同的法律规定，从而增强法律确定性和市场信任。这将有助于打造欧盟境内单一的数据服务市场，推动数据经济的发展。《提案》的提出是欧盟委员会大力推动欧盟数字一体化市场愿景的又一大动作。《提案》通过数据制度创新促进经济社会的发展，因为非个人数据的自由流动将直接降低成本，使企业在进行数据管理和数据分析时有更大的灵活性，同时扩大数据使用。

另一方面，《提案》从促进市场竞争的角度出发，借鉴《一般数据保护条例》中个人对个人数据享有的数据可携带权，要求数据和云服务商建立行为准则，方便专业用户转移数据和切换服务商。企业将可以充分利用云服务，为计算机资源选择最具成本效益的位置，在服务提供商之间转换，或者将数据返回到自己的计算机系统中，避免在多个地点复制数据，因此将更有信心进入新市场、扩展其业务。因此，有关便利数据转移和服务商切换的规定将促进数据市场和云服务市场的竞争，最终降低社会成本，推动数字经济发展。

总之，《提案》为促进非个人数据的跨境自由流动建立起了基本制度框架，通过促进数据存储或其它处理服务的跨境和跨部门使用来充分释放欧洲数据市场的潜力。此外，除了促进非个人数据跨境流动的立法，欧盟委员会也在考虑数据财产权（数据生产者的权利），明确数据经济中各国对数据享有的权利和归属，并促进数据开放共享，从而促进数据经济发展。

在2017年发布的《建立欧盟数据经济》中，欧盟更是考虑设立数据产权，即“数据生产者权利”，其客体主要是“非个人的和计算机生成的匿名化数据”。实践中，计算机生成的数据可以是个人性的或非个人性的，当机器生成的数据能够识别自然人的时候，该类信息则属于个人信息，应适用个人数据保护规则，直到这些数据完全匿名化为止。按照欧盟委员会的设想，数据生产者（设备的所有者或长期用户）权利可以是排他性的财产权，数据生产者有权分配或许可他人使用其数据，并独立于其与第三方之间的合同关系；或者是仅仅是纯粹的防御性权利，只允许在非法盗用数据的案件中提起诉讼。

在数据跨境流动方面，欧盟对个人数据（按照GDPR，个人数据指与一个已被识别的或者可被识别的自然人相关的任何信息）和非个人数据采取了不同的规制模式。

欧盟GDPR对个人数据提供严格保护，跨境转移个人数据需要满足GDPR的规定，第三方国家的充分保护认定、双边数据保护协议（比如美国和欧盟的隐私盾协议）、有效合同约束等都是可选方案。

但对于个人数据以外的非个人数据，因为其自由流动和开放共享对数据经济发展和市场竞争意义重大，所以欧盟旨在废除成员国不合理的数据本地化存储要求，是符合数据经济和大数据市场发展需求的，所以受到了广泛欢迎。

因此，在数据跨境立法方面，对个人数据和非个人数据进行差异化立法的思路，是可以借鉴的，一方面可以在互联网、大数据乃至人工智能时代对个人数据提供强保护，另一方面可以最大程度发挥数据、大数据的对社会经济的潜能。