DPOHUB读书会16 | Laura Somaini：《规范欧盟非个人数据的动态概念：从所有权到可携性》

2023-04-28 14:04

预报名:DCMM“注册数据合规师”线下培训

认证介绍：为贯彻落实“数据二十条”，工信部教育与考试中心批准开展“DCMM注册数据合规师”，创新新业态新职业。
申请条件：律师、数据保护官、法务、公务人员、数据安全和数据治理等相关从业者，以及有从业意愿者均可报考。
排课：北京（5月底，线下3天半）；上海（6月中旬，线下3天半）
联系：微信（徐博士）：heguilvshi，手机（朱老师）：13816646268

DPOHUB读书会是何渊老师和他的学生们定期学习和交流的机制，聚焦于数据法的理论及实践，每月一期，目前已进行到第11期。何渊老师期待通过这种教学相长的方式，督促他的学生们多读英文文献，多了解数据合规实务，多练习法学论文的写作，争取为数据法共同体培养更多优秀的储备人才。

DPOHUB读书会16 | Laura Somaini：《规范欧盟非个人数据的动态概念：从所有权到可携性》

研读人：伍滢，上海交通大学法学院硕士生

本文发表于《European data protection law review (Internet)》2020, Vol.6 (1)，作者是College of Europe的Laura Somaini。本文探讨了非个人数据的概念，并评估了欧盟考虑的两种主要方法：基于产权的制度（暂时搁置）和FFD条例（Regulation on the Free Flow of Non-personal Data）所采用的综合方法。

本文主体内容由五部分构成：在第一部分作者介绍了数据自由流动的一般原则；第二部分，作者介绍了非个人数据的监管方法，包括现有的一些路径和采取建立产权制度的可行性；第三部分，作者介绍了FFD条例——这是目前欧盟所采取的路径，并分析了尚未解决的定义问题，此外作者还强调了混合数据集引起的数据保护问题；第四部分，作者探讨了非个人数据的可移植性的相关问题，包括监管方法和对其在云市场中的应用；第五部分是作者对本文的总结。

一、数据自由流动的一般原则

建立数据自由流动的一般原则的政治支持是强大的，因为有机会在管理数据经济的监管标准方面获得先发优势而形成势头。FFD条例迅速获得通过，并在2019年5月开始适用，宣布欧盟的“第五自由”——除非基于公共安全的理由，否则禁止本地化要求。这为组织在欧盟范围内自由选择数据存储和处理地点提供了可能，实现了跨境数据流动。

作为改革后的数据保护框架的补充，FFD条例确保了自由流动原则，现在包括所有类型的数据，而不仅仅是个人数据--正如TFEU第16条的横向条款和GDPR的第）条所规定的那样。其拟议的目标是与GDPR保持一致，完成一个关于数据自由流动和可移植性的全面制度。

二、非个人数据的监管方法

本部分介绍了欧盟立法者考虑的监管非个人数据的途径，以完成数字单一市场（DSM）并促进欧洲数据经济。本节简要考虑了欧盟监管格局中的现有制度，并且以理论上提出的“数据生产者的权利”（DPR）作为可能的数据产权的一个例子。

1、数据所有权制度

非个人数据，包括工业和原始机器生成的数据，已成为了数据经济的关键组成部分。个人和非个人数据的数据所有权问题一直存在激烈争论，DSM（Digital Single Market）战略探讨了建立数据所有权的可能性，并授权解决新出现的所有权问题，但没有为要采取的监管行动提供任何具体的指导方针。一方面，在数据自由流动的背景下，没有理由认为市场力量本身会有效分配非个人数据；另一方面，新权利的建构需要充分的经济理由，因为仅存在数据的经济价值本身不足以证明建立产权是合理的。

作者探讨了是否能使用欧盟监管格局中的现有制度完成对非个人数据的监管：第一、二种方式是将非个人数据置于关于数据库保护的第96/9号指令或知识产权法之下，然而，管理数据库的原则与产权制度不一致，而知识产权保护也需要证明某种程度的新颖性或独创性，而且创造新的知识产权可能会加强已经扣留大量数据的企业的进入壁垒和市场力量。第三种方式是建立一套有利于事实持有人的防御性权利，类似于专有技术保护（know-how protection），该制度下允许一种基于民事补救措施的保护：寻求禁令以防止第三方使用数据，将基于盗用数据的产品排除在市场商业化之外，对未经授权的数据使用造成的损害进行赔偿。

但这三种方式都被委员会否决了，理由系：非个人和原始机器生成的数据不太可能满足任一路径之条件；数据价值对情境化的依赖与建立一个产权作为一刀切措施之理由相矛盾；与其说所有权，人们普遍强调关注获取和交流的重要性。

1）数据生产者的权利（Data Producer's Right，DPR）

委员会最初建议设立数据生产者权利（DPR），受GDPR和欧盟宪制保护的个人数据将被排除在该权利的保护范围之外。DPR将包括使用和授权使用非个人数据的权利，以此来减少法律权利的不确定性，但这可能会阻碍创新投资，即设备的所有者或长期用户。然而，DPR的形式对非个人和机器生成的数据进行的干预缺乏对特定市场失灵的识别，可能导致更低的效率。此外，DPR对知识产权和其他国际监管体系的潜在影响也没有得到充分评估。

2）所有权的抛弃

所有权将为数据相关的产品和服务创造激励的假设受到高度质疑：在当前的市场条件下，由于澄清数据分配和授予第三方访问权限的额外负担，交易成本可能会增加。此外，所有权可能会造成或再现谈判地位的失衡，为了避免不合理的竞争限制，需要设置例外情形。从更实际的角度来看，利益相关者也强烈反对强加所有权类型的权利或许可义务。

因此，考虑到行业敌意、矛盾和对潜在影响的研究不足，拟议的DPR被搁置一边。尽管如此，未来可能会通过部门倡议提出类似的权利。例如，在自动化车辆领域可能就是这样。原则上，这种权利允许根据每种情况的要求采取细致入微的方法。就方法而言，立法者放弃所有权是受欢迎的：向促进控制的转变，特别是通过可移植性，通常更灵活，而更广泛地说，进一步的努力应该集中在加强数据访问和交换上。

三、FFD条例——所采取的路径

随着管理非个人数据的专有制度被搁置，对监管的争论逐渐缩小了其范围和目标，最终形成了FFD条例的主体。

1.FFD条例的政策目标

FFD条例确保消除非个人数据在欧盟范围内自由流动的障碍。它提供了一项全面的自由流动原则，系统地将非个人数据纳入欧盟法律的范围，而欧盟法律以前是由合同安排或部门措施决定的。它追求双重目标：避免市场分裂和法律不确定性，以及维持整个DSM的数据流通和访问的总体目标。

大多数利益相关者表示支持关于数据流动的立法原则，以改善缺乏信任、法律不确定性、国家限制和供应商锁定的情况。而数据本地化要求则是在欧盟范围内免费提供数据处理服务的最明显障碍。因此，FFD条例规定：（1）减少数据本地化限制的数量和范围，保持以公共安全为由的单一理由；（2）为用于监管目的的数据跨境提供便利；（3）改善条件，专业用户可以切换数据存储和/或处理服务提供商，或将数据移植回他们自己的IT系统；（4）加强跨境数据存储和/或处理的信任和安全；（5）确保法律确定性。

2.尚未解决的问题：数据的动态性质

FFD条例旨在解决不受控制地使用非个人数据的问题。目前，法律讨论主要集中在个人和非个人数据之间的区别上。在实践中，运营商通常会处理一系列的这两种类型的数据，而非单一类型。事实上，随着分析技术的成熟度的提高、允许重新识别数据挖掘的数据关联、Al的使用技术的完善，要终身保证任何数据的非个人化，变得越来越困难。

1）定义非个人数据

FFD条例未对非个人数据进行正面定义，而是依赖于第2条第（1）款中规定的“由个人数据以外的数据组成”的剩余的定义。这一定义招致了批评，因为个人数据是个动态概念，这种定义下的非个人数据也是一个动态概念。个人数据的范围已被证明是偶然的和根据情境才能特定化的——个人数据的范围与技术发展和不同情境下的应用相关，是动态的。在实践中，个人数据和非个人数据之间几乎没有明确的界限，这在从根本上破坏了FFD条例的前提。

虽然二者在保护制度目标上没有差异，但不能忽视他们范围上的混淆和重叠。因为不明确的分离框架可能会导致法律和实施的不确定性，从而致使FFD目标的有效性受到破坏。可以理解，委员会想要避免破坏涉及个人数据的平衡，因为对非个人数据的正面定义几乎不可行，并且也不能充分明确这两个概念。关于边界可以追溯到哪里的问题——如果有此种边界的话，还会对当前基于二元分类的数据保护法律和原则提出深刻的挑战。

作者认为，如果在数据保护法改革之初就考虑到对非个人数据的处理，就可以设计出一种更连贯、更灵活的方法，例如，涵盖频谱数据或基于“使用模型”的数据。第一种情况下：个人数据可以被视为一个连续体，根据实际可识别性的可能性、容易程度和成本，提供不同程度的义务。第二种情况下：重点将从收集转移到数据使用，根据对个人的潜在益处或危害进行评估。作者认为，在可能的情况下，应该努力克服纯粹人为的分类，以便更好地反映动态的现实。

2）难题：混合数据集

FFD条例第2条第（2）款规定：如果数据集由个人数据和非个人数据组成，则本条例适用于数据集的非个人数据部分，如果两者有不可分割的联系，则GDPR的应用不会受到影响。应该注意的是，数据集通常混合了两种类型的数据，而且“混合数据”的界限不明确。这种情况下出现的问题：

①由于个人数据的保护不能以任何方式受到损害（欧洲数据主体对其个人数据享有宪法保护的权利——此种权利"不能以经济理由放弃"），当处理混合数据集时，即使个人数据只是其中一小部分，也只有两种选择：（1）在技术上可行且不耗尽数据集价值的情况下，从数据集中提取和分离个人数据；（2）将整个数据集置于GDPR保护之下（该做法还得到了委员会对FFD条例后续指导意见的认可）。

②采取上述两种选择的情况下，GDPR的作用不容忽视：GDPR将适用于本应被排除在其实质范围之外的数据类型，这可能导致不经意间违规而面临巨额罚款。

③就GDPR占据了《外国直接投资条例》相当大的一部分范围而言，后者仍有边缘化的风险。除了在释放自由数据移动方面的象征意义外，FFD条例并未给非个人数据建立一个通用框架。应考虑采用一种自我意识和基于证据的方法来审查GDPR，以更好地协调这两个框架，并赋予非个人数据在数据经济中更明确的法律地位。

四、非个人数据的可携带权

数据可移植性是蓬勃发展和竞争激烈的数据经济的关键。在抛弃所有权路径后，FFD条例提供了一个基于控制的更灵活的制度——可携性原则。

1.可携带权的规范

任何数据可携带权条款都无法避免与GDPR第20条规定的个人数据可携带权进行比较。最初，非个人数据采取可移植性的对称方法也得到了支持。这种一致性原则上是合理的，毕竟这两类数据之间缺乏明确界限，而且可携带也能促进竞争。行业方面反对在企业之间创建强制性的权利，认为采用合同条款来实现客户数据的可移植性会阻碍创新，从而主张最好的做法是采用不具约束力的文书。最终，FFD条例偏离了GDPR的制度，认为在云环境和行业发展的早期阶段创造新权利缺乏相应的现实依据。

因此，立法者放弃了横向交叉的方法，转而支持将实施权下放给行业的原则性条款。FFD条例第6条规定了自我监管的授权，根据附带特定法律后果的指定程序，将责任分配给相关行业参与者，以促进转换和可携带。这些自我监管机制显示出对特定行业解决方案的适应性，并将合规成本降至最低。即使非个人数据可移植性反映了开展业务的基本自由，但鉴于其动态性质可能导致将个人数据包括在内，这种政策引发了质疑——因为当数据基本权利受到威胁时，该条通常不可用。

总体而言，由于FFD条例的可携带权制度辐射的范围过于狭隘，FFD条例未能提供一种通用于欧盟所有类型数据且能够使得这些数据处理保持一致性的解决方案。

2.云数据的可携带原则

1）供应商锁定：促进可携带和切换的案例

现有的数据流动限制导致市场扭曲，这反映在许多使用障碍上。若不进行干预会导致增长水平下降，而规模较小的公司在使用公共云服务方面落后，这会进一步降低增长水平，从而造成不平等的竞争环境。以前在云环境中所使用的柔性法律工具表现出投入和有效性是低水平的。适用合同法和竞争法不足以有效鼓励数据流动和减少锁定效应。因此，对可移植性的干预应着眼于：在上游平衡合同的约束作用，在下游激发依赖可携带之生态体系的诞生，以提供措施来保护客户免受不合理成本的影响。总的来说，云法律框架的协调应该增强市场的信任，促进跨境贸易和数据流动。

2）在云中切换和携带的行为准则

FFD条例第6条规定：欧盟委员会有义务为云服务制定欧盟范围内的自我监管工具。因此，委员会为利益相关者主导的流程建立了一个框架。为此还成立了成立云交换和可携带工作组（cloud switching and porting-SWIPO）（SWIPO），以根据以下因素确定最佳做法：（i）透明度和互操作性；（ii）促进转换的信息要求；（iii）提供足够详细、清晰和透明的合同前信息。

五、总结

本文介绍了非个人数据监管的相关问题，探讨了可能的制度，并有针对性地评估了FFD条例：

首先，本文不支持建立一刀切的数据产权，因为没有确定具体的市场失灵和经济理由，正如抛弃DPR所表明的那样。

其次，本文认为，需要一种动态的方法来应对必然会扩展和发展的非个人数据动态概念。虽然个人和非个人数据背后的不同理由和受保护的利益没有受到质疑，也没有主张采取相同方法的必要性，但人们对所谓单一的“欧盟数据监管空间”的法律一致性和功能提出了质疑。此外，必须承认GDPR的深远影响，其适用范围超出了其实质范围。

第三，本文考察了FFD条例的数据可携带原则。在云数据可携带所辐射的狭隘范围中，它证明了为增强专业用户的能力和最大限度地降低转换成本所做的宝贵努力。然而，云行业行为准则在数据可移植性方面的有效性仍有待实践评估。

最后，为了审查FFD条例，委员会应当考虑基于证据和合理的经济理由的综合方法，以便与GDPR保持一致，并赋予非个人数据在欧盟数据经济中明确的法律地位。

以下是课件：