2022《数据治理法案》:数据要素流转利用的欧洲方案

（笔者与爱尔兰数据保护专员，布鲁塞尔）

一、数据治理的范式革新

针对数据治理规范碎片化影响数据资源可用性和数据共享安全性的瓶颈症结，以《欧洲数据战略》与《欧洲人工智能白皮书》两份报告于2020年2月19日的公开发布为里程碑，欧盟持续强化数据治理领域的规则引领，强调建设欧洲“共同数据空间”和“单一数据市场”，由此揭开数据要素流转利用规则体系的历史新篇章：

作为示例，2020年11月25日，为进一步革新欧洲数据治理模式，发挥数据要素在经济和社会方面的价值潜力，欧盟委员会通过了《欧洲数据治理条例》（又称：《数据治理法案》）的条文提案。2021年11月30日，欧盟委员会、欧洲议会和欧洲理事会就《数据治理法案》达成政治协议，2022年4月6日，欧洲议会一读通过《数据治理法案》，后续还将提交欧洲理事会审议，但该法案的通过与施行已成定局。

整体而言，《数据治理法案》以为欧盟公民和企业带来重大利益为价值出发点，明确未来的数字服务应该如何处理数据，注重着眼于处理公民个人数据和企业数据的中介主体的业务规则设计，从而促进各部门和各成员国中的数据共享。

侧重于公共部门释放数据的规则设计的《数据治理法案》与欧盟其他数据立法（特别是同步处于立法进程中、侧重于私营部门释放数据的规则设计的欧盟《数据法案》）一道为未来十年的欧洲数据要素治理生态奠定了制度基础。它们既预示着数据规则建设成为欧洲数据战略的关键支柱，同时也表明欧洲的数据治理格局将从传统的“个体数据处理模式”向着一种“以欧盟价值观为基础和原则的新型数据治理模式”转变。这种新型数据治理模式的核心方法论是，强调发现和克服已经影响数据重复使用效率的障碍因素，创新和丰富不断提高数据资源可用水平的机制安排，培育和巩固持续促进数据要素流转利用的信任生态。

二、数据资源的类型划分

针对数据资源的类型划分，欧盟2022年《数据治理法案》致力于欧盟经济和社会获取更多数据，并为公民个人和企业提供对他们所生成的数据的更多控制权。依照公民个人和企业数据在现实中的适用情况，《数据治理法案》将数据分为健康数据、移动数据、环境数据、农业数据、公共行政数据五种类型：

一是在健康数据方面，掌握不同病人的数据情况，有利于改善个性化治疗，提供更好的医疗保健，帮助治愈罕见或慢性病；大大减少了医疗成本，每年为欧盟卫生部门节省约1200亿欧元；在应对COVID-19疫情等全球健康危机的过程中，提供了更有效、更快的响应。二是在移动数据方面，数据为出行提供了实时导航，每年可节省超过2700万小时的公共交通用户时间和高达200亿欧元的汽车驾驶员人工成本。三是在环境数据方面，有利于及时应对气候变化，减少二氧化碳排放，应对洪水和野火等紧急情况。四是在农业数据方面，推动了农村地区发展精确农业，打造农业食品部门的新型产品和服务。五是在公共行政数据方面，提供更好、更可靠的官方统计数据，并有助于循证决策。

针对这五类数据，《数据治理法案》还规定了个人数据空间的使用，这是一种新颖的个人信息管理工具和服务，这也意味着欧洲公民在享受以上五种数据所带来的福利的同时，将获得对个人数据的更多控制，并决定谁将获得他们的数据的详细级别，以及出于什么目的，同时确保他们的个人数据得到充分保护。就企业数据而言，无论大小企业，都将受益于新的商业机会，以及降低获取、整合和处理数据的成本，这预示着企业进入市场的壁垒降低，以及新产品和服务上市时间的缩短。

三、数据要素的共享利用

针对数据要素的共享利用，《数据治理法案》特别强调支持公共部门的数据在商业或者非商业用途中重复使用，而这些数据在数据保护、知识产权或者商业秘密方面通常是十分敏感的，故在很多情况下，公共部门数据不能作为开放数据提供给大众，但该法案明确提出倡导建立可重复使用公共部门数据的机制，并辅以相关制度予以完善和保护，如健康数据的重复使用可以促进研究，以期找到治疗罕见或慢性病的方法。针对重复使用数据的行为，法案规定了相应的时间限制和义务限制，即享有重复使用这些数据的权利不应超过三年，且公共部门的下属机构没有义务允许重复使用这些数据，但那些允许这种类型重复使用的机构需要在技术上做好相应准备，以确保数据保护。同时，并非所有公共数据都可以重复使用，法案对能够重复使用的数据的敏感度水平附加了一定的条件，例如公共当局可能会强制要求匿名或假名个人数据或删除商业机密信息，包括商业秘密等。

值得关注的是，《数据治理法案》中还规定了“数据利他主义”，即允许私营部门在利他主义的基础上为追求共同利益而与非营利实体共享数据或者使用数据，比如电信数据已经被用于预测西非的埃博拉疫情。公民个人或者企业可以同意所谓的“数据利他主义”，以自愿和免费的方式分享他们为公共利益产生的数据。当公民个人或者企业希望共享自己的个人数据时，或者其想捐赠这些数据来满足公共利益时，将会在自己所控制的个人数据空间内进行自由处置。例如，患有罕见疾病的人可以自愿分享他们的医学测试结果，用于改善对这些疾病的治疗。新的个人数据空间将确保人们可以控制自己的数据，个人数据空间还将确保它们仅用于约定的目的，仅在这种情况下用于医学研究，而不会在不知情的情况下另作他用。

特别地，针对自愿共享的数据，《数据治理法案》建立了相关标准，对所共享的数据进行标准化处理，对数据集、数据对象和标识符进行更加准确和尽可能一致的描述，以便于数据在各国、各部门及企业机构间流动时不产生误解，使数据具有良好的可查找性、可访问性以及可重复使用性，同时这也是确保其他人可以使用数据的有用标准。法案中还指出，阻碍数据共享造福社会的是工具的缺乏，而不是意愿的缺乏。许多公民个人和企业都愿意分享其所掌握或形成的数据，但因缺乏相应的保护手段和措施造成了数据共享的阻滞。数据本质上是免费提供的且用于纯粹的非商业用途，其意在使社区或整个社会受益，故应为公民个人和公司创造适当的条件，使其在分享数据时能够相信这些数据将由受信任的组织根据欧盟的价值观和原则进行处理。基于此种情况，《数据治理法案》规定了一系列增加数据共享信任度的措施，特别是使数据能够跨部门和跨国界使用，并能够为正确的目的找到适当的数据。例如，法案规定允许公民个人自愿捐赠他们的数据用于科学研究或者其他有益的目的，提出建立一个由每个欧盟成员国代表组成的“欧洲数据创新委员会”等。

四、结语

需要指出的是，欧盟2022年《数据治理法案》并非孤立的立法突破，而是在《欧洲数据战略》的指引下，与欧盟《通用数据保护条例》（GDPR）、《非个人数据自由流动条例》、《开放数据指令》、《数字内容指令》、《数字市场法案》、《数字服务法案》以及《数据法案》等一揽子法律共同构成欧洲单一数据市场建设的顶层设计，各自从基本权利保护、主体准入资质、业务操作规则、政企公司合作、跨国监管协调等不同的侧面勾勒了未来数据要素生态图景的欧洲方案。法案的核心启示在于，着眼新型数字生态的构建，监管执法应当成为增进创新和福祉的强大引擎，各类企业应当积极投入新的数据驱动型产品和服务，而社会民众应当在数据资源流转利用中获得切实的普惠权益。