文章轉載|陳怡:論非個人數據的治理——以歐盟與印度為例


   澳門城市大學法學院陳怡助理教授日前於《澳門法政雜誌》2022年第1期發表署名文章,以下為原文轉載。

 

一、數據與非個人數據的概念界定  

(一) 數據及其類型 

      人類社會自計算機問世以後,有兩個概念被頻頻使用:一個是程序,另外一個則是數據。在計算機科學當中,數據通常被用以描述計算機系統或程序中記載、處理的信息,這種信息既可以被存儲,亦可以被傳輸。如我國《網絡安全法》第七十六條第(四)項就規定:「網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。」 

      按照不同的標準,數據可以劃分為不同的類型。譬如,根據是否對電子數據加密,可以分為加密電子數據、非加密電子數據;根據是否被標記為已刪除記號,可以區分為看得見的數據、看不見的數據等。根據數據的處理程度,可以分為原始數據與衍生數據;根據涉足行業領域的不同,可以分為電子政務數據、電子商務數據、醫療健康數據,金融數據、工業數據、旅遊數據、教育數據等;根據數據擁有主體的不同,可以劃分為個人數據、企業數據以及政府數據。與這一分類相似,理論上(有些立法亦如此)還根據數據包含的信息內容與作為社會個體的自然人的關係,將其劃分為個人數據與非個人數據。 

(二)個人數據與非個人數據 

1.個人數據 

      所謂個人數據,主要是指記載了與某個特定個體或自然人相關的信息的電子數據。如,我國 《個人信息保護法》第四條規定:「個人信息是以電子或者其他方式記錄的與已識別或者可識別的 自然人有關的各種信息,不包括匿名化處理後的信息。」;《網絡安全法》第七十六條第(五)項 規定:「個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、 住址、電話號碼等。」 

      歐盟在2018年開始生效的《一般數據保護條例》(General Data Protection Regulation,簡稱 GDPR)中規定,個人數據指任何已識別或可識別的自然人(「數據主體」)相關的信息;可識別的自然人是能夠被直接或間接地,特別是通過諸如姓名、身份證號碼、定位數據、網上標識,或者與該自然人身體、生理、遺傳、心理、經濟、文化或社會身份有關的一個或多個因素識別的人。另外,根據GDPR 前言第26條之規定,匿名信息不屬於GDPR的調整範圍。換而言之,匿名信息不屬於個人數據的範疇。 

      印度在目前正在由議會審議的《個人數據保護法案》(The Personal Data Protection Bill,簡稱 PDP)當中,將個人數據定義為與直接或間接可識別的自然人有關或相關的數據,其涉及該自然人身份的任何特徵、個性、屬性或任何其他特徵,或者這些特徵的任何組合,或此類特徵與其他任 何信息的任意組合以及基於分析,從該等數據得出的任何推論。

2.非個人數據 

      關於何為非個人數據,學理上的定義並不多,但從二分法的邏輯來看,可以將其理解為個人數據以外的其他數據,或者是不包含任何可用於識別特定自然人身份信息的數據。如,歐盟在2019 年5月28日生效的《非個人數據自由流動規則》第3條第(1)項中就簡單明瞭地規定,該條例所指的數據(即非個人数據)指第(EU)2016/679號條例(即GDPR)第4條第(1)項界定的個人數據以外的數據。根據GDPR前言第26條之規定,匿名信息,即與已識別或可識別的自然人或與以數據主體不可識別或不再可識別的方式匿名呈現的個人數據無關的信息,屬於非個人數據。同樣的,印 度政府於2019年9月發佈的《非個人數據治理框架》(Non-Personal Data Governance Framework,以下簡稱 NPDF)報告當中,也採用了排除式的定義方法,將非個人數據界定為「當數據不是個人數據」(如PDP法案所定義),或數據沒有任何個人識別信息時(PII),為非個人數據」。除了概括性的規定,NPDF還根據數據的來源,對非個人數據的內容及範圍作了具體的說明。根據NPDF第四條之規定,非個人數據既可以是與已識別或可識別的自然人無關的數據,如天氣狀況數據、安裝在工業機器上的傳感器數據、公共基礎設施數據等,亦包括最初是個人數據,但經過技術處理後匿名化的數據。另外,在最初的版本中,NPDF中還根據數據來源(或收集主體)的不同對非個人數據作了類型化區分,具體包括三類:(1)公共非個人數據,主要指由政府或任何政府機構收集 或生成的非個人數據,或其他參與主體在執行政府資助項目過程收集、生成的數據。例如,土地記錄、公共衛生信息、車輛登記數據的匿名數據,大學根據政府資助項目收集的城市污染水平的數據等(參見表2);(2)社區非個人數據,主要是指源於自然人社區的匿名化個人數據,以及關於各種事物或現象的事實數據。如市政公司或者公共電力公司收集的數據集,電信、電子商務、網約車公司等私營企業收集的用戶信息的數據集等;(3)私人非個人數據,主要是指由政府以外的個人或私人實體從其私有的事物和流程收集的數據,或者由其私人努力產生的衍生數據、觀察數據,包括涉及算法應用、專有知識的推斷或衍生的數據、見解。(參見表3)雖然印度政府在2020年12月發佈的NPDF修訂版中刪除了這種具體的分類,但在內容上基本還是保留了上述概念。 

      由上述相關立法可以發現,雖然不同國家、地區在立法上對個人數據和非個人數據的規定有所不同,但是也呈現出一些共同點:個人數據一般指的是與可識別的某個特定自然人相關的數據。通常而言,這些數據所包含的信息具有很強的人身屬性。非個人數據則是作為與個人數據相對應的另外一種存在。非個人數據與個人數據的最大差別就在於其承載的信息無法用於識別特定個人的身份。因此,即使是個人數據,但經過匿名化處理後無法用於識別特定個人時,它就會成為非個人數據。除了匿名數據,非個人數據通常還包括公共、私人實體源自自身財產、行為、活動而收集、生成的各類數據,如公司關於自身註冊登記信息的數據、公司研發產品的數據等。

  二、非個人數據治理的必要性  

      數據被喻為是數字經濟時代的石油。在大數據時代,數據在社會經濟的發展中具有極其重要的地位與作用。可以毫不誇張的說,掌握數據就等於掌握了發展的資源與主動權。作為核心生產要素,數據只有通過流動和共享,才能充分發揮其生產力作用和價值。由於個人數據承載的信息內容 具有濃厚的人身屬性色彩,涉及個人的隱私,因此,當它出現並廣泛應用於社會生活中時,備受關注。除了我國,目前世界上許多國家、地區都有專門立法,對個人數據的使用、跨境傳輸等問題進行不同程度的規制,以加強對個人數據的保護。正如前述所言,除了個人數據,數據還包括非個人數據,而且,隨著經濟、社會數字化的深入發展,非個人數據在經濟、社會中的作用與價值愈漸凸顯。由於涉及不同主體的利益,非個人數據的共享與使用面臨著如何把握匿名化數據與個人數據的界限、如何協調非個人數據流動與數據本地化之衝突、如何在促進非個人數據共享與流動的同時兼顧市場弱勢群體利益以及社會公共利益等問題。因此,非個人數據的流動、共享與使用不僅僅需要技術的支持,還需要法律制度層面的支持和保障。

  三、非個人數據治理的域外考察  

      與個人數據不同,雖然非個人數據近些年來也逐漸受到關注,但就世界各地相關的立法實踐來看,大多數國家都只是在個別單行法中對一些特定類型的非個人數據作出規定,專門對非個人數據問題進行統一立法的國家和地區並不多,比較具有代表性的是歐盟和印度。 

(一) 歐盟方案 

      針對非個人數據的治理,歐盟主要有兩個舉措:一是在成員國之間消除數據本地化的限制,實現非個人數據在歐盟境內的自由流動。為此,歐盟專門制定了《非個人數據自由流動條例》 (Regulation on the Free Flow of Non-personal Data,以下簡稱《條例》),該條例已經於2019年5月28日開始在各成員國生效適用。二是擬建立一個公平、有序的非個人數據共享機制。繼上述《條例》之 後,歐盟於今年2月23日公佈了一部旨在促進非個人數據開放與共享的議案—《數據法案》(Data Act)。雖然該法案目前尚處於討論階段,但該法案的提出,表明非個人數據的開放與共享問題已經成為歐盟在非個人數據治理方面的又一關注焦點。 

根據《條例》及《數據法案》,歐盟在非個人數據的治理方面主要具有以下內容及特點:

1.原則性禁止數據本地化 

      數據本地化是指要求在特定國家、地區收集、處理和或存儲非個人數據的任何法律或措施。在歐盟委員會看來,數據的自由移動對於釋放數據經濟的巨大潛力至關重要,數據本地化是實現數據跨境流動自由、推動數字經濟創新與發展的一大障礙。因此,條例中首先對數據本地化要求作出了一般禁止性的規定,要求各成員國在2021年5月30日之前消除既有的數據本地化要求。成員國政府僅能以公共安全為由作出數據本地化的要求,但是與此同時必須符合比例原則,即以公共安全為理由的數據本地化要求應當與其所追求的目標相適應,不能超出實現該目標所必需的範圍和限度。而所謂的「公共安全」,根據條例的規定,包括成員國的內部和外部安全,以及社會公共安全問題,尤其為了方便刑事犯罪的調查、偵查和起訴。客觀上,它要求以對社會基本利益存在真實且嚴重的威脅為前提,譬如危及國家機關和基本公共服務的運作、人民生存、外交關係、國家的和平共處或者軍事利益等。各成員國取消數據本地化的限制,意味著市場主體乃至公共管理部 門可以在歐盟任何地方存儲和處理非個人數據,不受地理位置的限制。另外,根據條例的規定,各成員國所有基於公共安全原因保留、頒布的數據本地化政策都必須向歐盟委員會報備,並向公眾充分公開。 

2.克服執法障礙,強化政府監管 

      雖然條例要求各成員國取消數據本地化的限制,非個人數據可以在成員國之間自由流動,但這絕非意味著取消了各個政府對數據的監管權。相反,為了避免各成員國政府因為廢除數據本地化要求而可能出現的無法對跨境處理的數據進行有效管控的問題,條例明確規定,對於在歐盟境內任何地方存儲和處理的數據,各成員國政府主管機構均有權根據歐盟法及其國內法訪問、獲取、使用與其履行職責相關的數據。當事人不能以數據在另一成員國處理或存儲為由而拒絕提供。有義務向主管機構提供數據的主體可以通過向主管機構提供保證的方式來履行義務,即確保不管數據在哪個成員國進行處理,主管機構均能夠及時有效地進行電子訪問有關數據。與此同時,各成員國之間有相互協助的義務。當用戶有義務提供數據,但未履行該項義務時,主管機關可以向數據所在國的有權機關尋求協助獲取相關數據。除此以外,該成員國政府還可以對拒絕提供數據的主體適當採取一些 具有懲戒性的處罰措施。 

3.鼓勵建立行業准則,確保數據具可移植性

      除了法律制度,一些私人因素也會阻礙、限制數據的跨境自由流動,譬如基於合同約定或者技術上的原因,數據處理服務的用戶難以將其數據從一個服務提供商轉移到其他服務提供商或者遷移回到自己的信息技術系統。在委員會看來,無障礙地遷移數據,是便利用戶選擇和促進數據處理服務市場有效競爭的關鍵因素。上述障礙和限制會導致雲服務提供商之間缺乏有效競爭,各種數據處理服務商鎖定各自數據,最終會導致數據嚴重缺乏流動性。但是考慮到數據在不同服務商之間的切換轉移涉及複雜的經濟利益,條例最終沒有對此直接做出具體的要求,而是鼓勵數據流通行業的參與者(如雲服務提供商)與所有利益相關者(如中小企業、初創企業、用戶和雲服務提供商等)密切合作,在歐盟層面建立行業自律行為準則(以下簡稱行為準則),避免供應商鎖定的行為,使用戶能夠更加容易、便捷的變更數據存儲或數據處理服務提供商。 

      根據《條例》的要求,行為準則應當明確供應商鎖定不是可接受的商業慣例,並且涵蓋數據移植過程中的一些重要內容,如數據備份的流程和位置、可用的數據格式和支持、啓動數據移植之前所需的時間以及數據的移植期限、費用等,確保用戶能夠通過以一種簡單、清晰和透明的方式將他們的數據從一個提供商轉移到另一個提供商或返回到他們自有的系統。在該條例的指引下,一個由 雲服務提供商及利益相關者組成的群體 (SWIPO)已經制定了兩份關於雲轉換和數據可移植性的行為準則,即分別針對基礎設施即服務(IaaS)雲服務和軟件即服務(SaaS)雲服務的行為準則, 並且建立了用戶投訴機制。根據條例規定,歐盟委員會將在 2022 年 11 月之前評估這些行為準 則對雲市場流動性和競爭力的影響。

4.明確數據匿名化的標準與規則 

      除了《非個人數據自由流動條例》,歐盟在非個人數據治理方面的另外一個重要舉措就是對數據匿名化處理作出規範和指引。首先,GDPR 前言第26條在明確DPRG不適用於匿名數據時,還從識別主體、手段、方式三方面明確了數據匿名化的判斷標準,即在確定某一自然人是否可識別時, 應考慮控制者或其他人為直接或間接識別該自然人而可能使用的所有合理方法;在確定某一方法是 否可能被合理用於識別該自然人時,應考慮識別所需的成本、時間以及識別時可用的技術以及技術發展等所有客觀因素。除此以外,早在2014年,歐盟第29條數據保護工作組還曾經通過一個《關於匿名化技術的05/2014意見》(Opinion 05/2014 on Anonymisation Techniques,以下簡稱《05/2014意見》)。該意見分別從法律和技術兩個層面對數據匿名化作出詳細的規定,既分析了匿名化技術在歐盟數據保護法律背景下的有效性和局限性,同時還對歐盟一些主要的匿名技術進行了分析,並指出其內在的風險,即在許多情況下,匿名數據集仍然有可能給數據主體帶來殘留風險,尤其當匿名數據集與其他數據集組合在一起時,仍然有可能識別出特定主體。在此基礎上,《05/2014意見》 建議數據控制者應識別新風險並定期重新評估匿名數據的殘留風險,評估對已識別風險的控制是否足夠並進行相應調整等。 

5.倡導建立非個人數據開放與共享機制 

      雖然《數據法案》目前尚為議案,但從中亦可窺見歐盟在非個人數據開放與共享問題上的一些思路: 

      第一,鼓勵非個人數據在不同主體之間開放與共享。為此,法案主要制定了企業與消費者及其指定的第三方之間、企業與企業之間以及企業與公共部門機構之間共享非個人數據的具體規則。譬如,法案中明確,用戶有權訪問或使用其通過購買、租賃方式獲得的產品或接受服務的數據,企業有義務向獲得產品或接受服務的用戶指定的第三方(譬如維修商)提供有關產品或服務的數據等。 

      第二,加強對市場中處於弱勢地位的消費者以及微型、中小型企業的保護。法案強調非個人數據的共享應當兼顧消費者以及微、中小企業的利益。為了防止權利濫用,明確數據持有人應當以公平、合理、非歧視的條件和方式提供數據。為達致這一目的,法案還進一步對企業與用戶及其指定的第三方以及企業間共享非個人數據的協議進行干預,規定數據共享協議如對用戶及其指定的第三方不利,不具有約束力,企業間共享協議中單方強加給微型、中小型企業的不公平條款無效。

      第三,建立企業與公共部門機構之間強制共享數據的機制。法案明確基於執法或是公共利益的目的,公共部門機構有權訪問和使用私營機構的數據,尤其在應對公共緊急狀況時,企業有義務免費向公共部門機構提供包括非個人數據在內的相關數據。

(二) 印度方案 

      繼2018 年發佈了《個人數據保護法案》之後,印度政府於2019年9月又發佈了《非個人數據治理框架》報告,期冀建立一個全面的非個人數據監管法律制度。根據公眾的咨詢意見,印度政府於 2020年底對NPDF進行了修訂。根據修訂後的報告,印度對非個人數據的治理方案主要包括以下幾個方面:

1.明確非個人數據的範圍 

      根據NPDF的規定,所有不屬於PDPB下的個人數據或沒有任何個人身份信息的數據均屬於非個人數據。由個人和非個人數據組成的混合數據集以及重新識別的數據,即如果構成匿名化數據集的個人數據被重新識別(例如,匿名化處理失敗、與其他信息或任何其他有意識的重新識別方式相鏈接),則適用PDPB。簡而言之,包含個人數據的混合數據集和重新識別的數據不屬於非個人數據的範疇。 

2.要求披露數據匿名化處理 

      考慮到匿名化的個人數據存在去匿名化的風險,為了加強對個人數據主體的保護,NPDF建議數據收集者在收集個人數據時,應當告知數據主體他們的個人數據可能會被匿名化並用於其他目的,同時還應當向他們提供不匿名化處理的選擇。另外,即使數據主體在提供個人數據時已經同意數據收集人將其數據去匿名化處理,在被匿名化處理之前,仍然可以通過撤銷同意,拒絕個人數據匿名化處理。 

3.引入強制數據共享機制 

      雖然印度的《個人數據保護法案》主要是針對個人數據保護的法案,但是該草案同時也提到了非個人數據的治理問題,規定對非個人或匿名數據實行強制性共享,即政府可在與數據保護局協商後,指示任何數據受託人或處理者向其提供匿名的或其他非個人數據,以便政府更有針對性地提供服務或制定有據可查的政策。在此基礎上,NPDF對非個人數據的共享進一步作出規定,允許任何實體、個人基於法定目的(即國家安全、公共利益、經濟目的)利用公、私營機構收集的原始數據或事實數據,所有實體、個人都可以公開訪問數據企業(包括政府)收集的數據的元數據。NPDF專家委員會認為,公平地共享數據至關重要。如果允許數據壟斷,少數大公司則可以在不受 監管的情況下積累大量數據,這對中小企業、公民和政府不公。在委員會看來,數據共享機制有利於刺激創新,鼓勵、促進印度數字經濟的發展。但報告公佈後,引來不少質疑及反對的聲音,認為強制數據共享是「一次大規模侵犯私有財產的行為」,將對印度的對外貿易和投資產生負面影響,包括Google、亞馬遜、Facebook在內的美國科技巨頭公司更是一致認為強制數據共享違反了市場競爭原則。有鑒於此,印度政府對強制共享非個人數據的目的作了修改,不再對出於經濟目的 與其他實體共享非個人數據作出要求。因此,在修訂後的NPDF中,只有出於主權目的(如國家安全)以及公共利益目的共享(如用於制定政策、改善公共服務、設計公共項目、基礎設施以及研究等)。

4.設立專門監管機構 

      NPDF建議設立專門機構——非個人數據管理局(NPDA)對非個人數據進行監管。在組織架構上,該機構由數據治理及技術領域的專家組成,並獨立於包括數據保護局、印度競爭委員會在內的其他監管機構。機構的主要職責為創建數據共享框架,支持合法的數據共享請求,維護、管理數據業務的元數據目錄、解決與隱私及數據濫用有關的問題,裁決數據共享中涉及創建高價值數據集的糾紛等。

  四、我國非個人數據治理之應然思考  

      我國目前沒有專門針對非個人數據治理的法律法規。在國家立法層面,對非個人數據的規制主要散見於關於數據治理的一般性法律,如《網絡安全法》、《數據安全法》,以及若干關於特定類型數據治理的行政規範性文件中。總之,現行立法對非個人數據的規制較為分散,呈現出碎片化的特點;但不可否認的是,在信息技術時代,除了個人數據,還存在大量非個人數據,而且這些非個人數據與個人數據一樣,在數字經濟乃至社會的發展中具有非常重要的作用與價值。因此,對非個人數據的治理與規制同樣不容小覷。歐盟及印度通過專門法規對非個人數據進行治理的實踐或者探討也反映出國際社會對數據治理的未來趨勢和新走向——從個人數據向非個人數據的延伸。從內容來看,歐盟對非個人數據的治理主要集中於數據的自由跨境流通與共享問題,印度則關注非個人數據的共享問題。雖然不同國家、地區對非個人數據治理的方案均有各自的考量,但對我 國未來跟隨國際趨勢,進一步完善非個人數據的治理與規制均具有一定的啓示意義。

(一)明確個人數據匿名化的法律與技術標準,加強對匿名數據的法律規制 

      從前述相關國家、地區的規定來看,包括我國在內的許多國家、地區基本上都將匿名數據納入非個人數據的範疇,不屬於個人數據保護法調整的範圍。雖然不同法域之下匿名數據的定義和標準各不相同,但總體而言,大都要求經過特定技術處理後,無法識別出該數據所對應、關聯的特定個人。數據匿名化處理是平衡個人隱私保護與數據自由流通二者矛盾的一種重要的方式與手段。通過匿名化處理的數據,由於無法識別出或無法關聯到特定的自然人,能有效保護個人隱私,因此在使用、流通方面一般不受個人數據保護各種原則與要求的限制與約束。我國《個人信息保護法》中雖然明確規定匿名信息不屬於個人信息的範圍,但是並未明確匿名信息的標準。2020年10月1日正式實施的《信息安全技術個人數據安全規範》第3.14條將匿名化定義為「通過對個人數據的技術處理,使得個人信息主體無法被識別或關聯,且處理後的信息不能被復原的過程」。由上述規定,可以認為,在我國匿名數據必須滿足「無法識別特定自然人」及「不能復原」兩個條件與要求,但是目前立法對「無法識別」的認定標準、識別主體範圍及判斷主體等相關問題均未作出明確規定。匿名化處理是區分個人數據與非個人數據的重要界限與標準,匿名化中的識別標準關係到相關數據的性質及其使用規則。立法的缺失及模糊不僅會導致個人數據控制者策略性地利用這一規則來逃避自身 負有的個人數據保護義務,而且在司法實踐中也會阻礙法院準確界定匿名信息。因此,我國立法有必要進一步明確數據匿名化的標準,對「無法識別」的認定標準、識別主體範圍及判斷主體作出明確的規定,並可效仿歐盟對其技術標準作出規範和指引。

      雖然在大數據時代,匿名化數據在社會經濟、統計、市場營銷、醫學等眾多領域的研究中具有非常重要的作用與意義,但是不少研究亦表明,從技術層面來講,絕對完美、牢不可破的匿名化技術是不存在的。在科技日新月異的時代,絕對不具有識別能力的數據應當只是個美麗的幻想, 當匿名化的數據與其他數據集相結合時,仍可能再次識別出特定的數據主體。也正因為如此,歐盟《05/2014意見》才指出,匿名化的數據對數據主體仍可能具有「可識別」的殘留風險。在現實中,亦不乏匿名數據被去匿名化並重新識別到數據主體的例子。這也表明,匿名數據與個人數據之間的界限其實是動態的,而非涇渭分明且靜止不變的。因此,雖然我國立法將匿名信息排除在個人信息之外,不受個人信息保護規則的調整,但這絕非意味著匿名化數據的使用、處理可以不受任何規制。從法律層面上,可以借鑒印度NPDF中的建議,在信息、數據收集階段,為數據收集者設定披露匿名化處理的義務。匿名數據法律規制的關鍵在於對數據再識別風險的預防和控制。雖然我國2020年公佈的《信息安全技術個人數據安全規範》中已明確個人信息控制者應建立個人 信息安全影響評估制度,要求信息控制者應對匿名化處理後的數據集重新識別出個人信息主體或與其他數據集匯聚後重新識別出個人信息主體的風險進行個人信息安全影響評估,但是並沒有明確這 種風險評估的持續性。有鑒於此,未來立法或許可以考慮借鑒歐盟的作法,進一步明確數據控制者 對匿名化的數據負有持續監測、評估、控制風險的義務。一方面,數據控制者要定期根據當前技術對之前匿名化數據的新風險進行評估,評估其採取的措施是否足以保證數據主體不被識別,並根據風險系數較高的數據進行相應的調整;另一方面,數據控制者還要定期對匿名數據再識別的殘存風險進行評估。

(二)減少非必要的本地化限制,構建非個人數據自由流動規則體系 

      在「一國兩制」的背景之下,我國內地與港澳地區形成了「一個國家、兩種制度、三個法域」 的局面。港澳回歸以後,內地與港澳地區之間的經貿往來日趨緊密。近幾年,隨著粵港澳大灣區建設的發展與推進,數據在內地與港澳之間的流動亦日漸頻繁,但由於法律制度不相同,導致許多數據在三地之間流動時存在各種困難與障礙,尤其我國內地基於國家安全的考慮,對數據有本地化的要求,總體上對數據跨境流動的管理比較嚴格。就非個人數據而言,我國《網絡安全法》及《數據安全法》中均確立了重要數據境內存儲以及出境安全評估的制度。數據本地化是一國為維護國家數據主權而採取的數據防禦措施,能有效避免本國數據大規模外流,遏制他國尤其是發達國家的數據霸權,維護本國數據安全,在一定程度上有助於維護國家經濟發展,提升國家競爭力。與此同時,數據本地化也具有一定的缺陷,即阻礙數據自由流動,不利於數字經濟發展。數據安全與經濟發展是處理數據跨境流動問題時必須要平衡的矛盾。

      在「一國兩制」之下,雖然數據在內地與港澳地區之間的流動也屬於跨境流動,但歸根結底仍然是在一個主權國家之內不同區域之間的流動,不同於通常意義上跨越國界的數據跨境流動。因此,在非個人數據跨境流動問題上,不宜將數據安全價值絕對化、單一化,應當在確保數據安全的同時兼顧區域經濟的發展,減少一些不必要的數據本地化要求與限制,盡可能使與國家或社會公共安全無關的非個人數據在三地之間自由流動。國家「十四五」綱要中提出優化區域經濟佈局,促進區域協調發展,深化內地與港澳經貿關係以及支持港澳更好融入國家發展大局、實現與內地協同發展。在數字經濟時代,這些規劃與遠景目標的實現也勢必要求非個人數據在內地與港澳之間能夠安全、自由、有序的流動。歐盟通過《非個人數據自由流動條例》取消了成員國之間數據本地化的限制,為非個人數據在歐盟境內的安全、自由流動奠定了法制基礎,其對非個人數據的治理模式對於我國如何協調內地與港澳之間不同的法律規定,減少不必要的數據流動限制,在一個主權國家之內不同法域之間實現非個人數據安全、自由、有序流動具有一定的參考價值與借鑒意義。內地已經在頂層設計層面確立了重要數據本地存儲和出境評估審查的數據跨境流動規則,但重要數據的範圍如何,立法尚未明確,但從兼顧數據安全與國家區域經濟發展的目的出發,應當盡可能縮小重要數據的範圍,即除非涉及國家或社會公共安全,否則原則上應當允許非個人數據在三地之間無障礙流動;在監管層面,可以效仿歐盟,三地的數據監管機構建立官方合作機制,設立出於監管目的相互協助調取數據的機制,以降低監管機構跨境執法的成本及提高執法效率。

(三)建立和完善數據共享制度,進一步推進非個人數據的開放與共享 

      如前所述,歐盟、印度在有關法案及報告中都引入了非個人數據的共享或強制共享機制。雖然有關提案的命運還懸而未決,但是歐盟以及印度政府關於非個人數據共享的構想也為我國未來完善非個人數據的治理提供了新的視角與思路。我國未來在繼續推進政務數據、公共數據以及科學數據開放與共享的同時,應當在國家立法層面出台專門針對非個人數據治理的法律法規,為各類非個人數據的開放、共享與交易提供法律保障。

      首先,要盡快完善數據產權制度。我國目前已經建立了不少數據交易平台或數據交易所,但實際運行效果欠佳,其中一個重要原因在於數據確權制度缺位。產權清晰是數據共享與交易的前提。因此,當務之急要在立法層面明確界定個人、企業及不同組織、機構對非個人數據的所有權、使用權、可攜帶權等相關權利。

      其次,應當建立相應的激勵機制,擴大數據開放與共享主體的範圍,打破機構、行業、領域之間的信息壁壘,推進跨機構、跨行業、跨領域的數據開放與共享,實現政府與企業以及其他組織、實體之間非個人數據安全有序的開放與共享。目前我國數據的開放共享主要側重於政府等公共機構政務數據及公共數據的開放與共享,較少涉及其他私主體持有的非個人數據。企業及其他私營機構收集、生成的非個人數據由於法律及技術層面的障礙,開放與共享程度非常有限,而且存在政企數據融合不足的問題。因此,未來有必要在立法層面建立激勵機制,譬如通過稅收優惠、專項資金贊助、政策優惠等,鼓勵、引導企業等私營機構開放、共享非個人數據,推動非個人數據在企業與用戶之間、企業與企業之間,企業與政府之間、政府與政府之間、政府與企業之間的共享與使用。

      再次,完善、統一數據交易規則,建立相應的監管制度,為企業與企業間非個人數據的共享與交易建立一個公平、有序的法律機制,引導非個人數據共享與交易規範有序進行,避免非個人數據的壟斷現象。礙於法律制度的缺失,譬如數據確權制度缺位、交易規則不清晰、缺乏統一的交易規則與標準以及數據質量與估值定價機制不完善等,目前我國的數據交易平台實際運行效果不 盡如人意,企業間非個人數據的交易寥寥無幾。因此,未來除了要在立法上完善數據確權制度外,還有必要統一數據交易規則及完善監管制度,必要時可以考慮參考歐盟與印度的思路,建立專門的數據共享與交易監管機構。一般而言,企業間非個人數據的共享與交易應當在自願的基礎上按照市場經濟活動規律進行,政府的干預旨在避免市場失靈。因此,監管應當側重於保障在非個人數據共享與交易市場中處於弱勢地位群體(如消費者、微型、中小企業)的利益,側重於建立一個公平的非個人數據交易秩序,避免數據持有企業不會利用優勢地位導致數據集中,或是在共享協議中濫用權利,約定對另一方不公平的條款。對此,亦可借鑒歐盟在《數據法案》中的提議,由主管部門或行業組織機構制定有關數據共享與交易的合同範本等。最後,非個人數據的共享應當關注社會公共利益。歐盟與印度提出的數據強制共享制度都表達了一個共同的理念——數據共享固然是為了充分釋放數據的價值,刺激科技創新與數字經濟,但也不能忽視其對於維護社會公共利益的作用。在信息化時代,數據共享對政府妥善應對突發公共事件具有重大的作用,但由於立法的缺失,我國的政府部門在採集公共安全數據時往往無法直接訪問、 使用企業持有的非個人數據。有鑒於此,未來我國在構建給非個人數據的共享機制時,有必要借鑒歐盟、印度的做法,建立非個人數據的強制共享制度,即在特殊情形下,譬如基於維護國家主權安全、社會公共安全的目的,政府有權訪問、使用企業持有的有關非個人數據。