大数据经济是互联网经济和传统经济的结合,需要通过无处不在的智能机器设备和各类终端不断获得传统经济中的各种海量数据。然而,出于国家主权、社会安全等各种考虑,目前各国基本上都严格限制数据跨境流动。为消除数据自由流动的障碍,欧盟出台针对非个人数据自由流动的专门条例,希望能够解决数据本地化要求、数据迁移、跨境执法合作等比较棘手的问题,最终实现欧盟境内非个人数据的跨国自由流动。
全球数字经济正在加速发展,互联网通信技术成为现代创新经济发展的基础和支撑,数据则是新型经济业态的核心。数据价值链是建立在不同形式的数据活动之上的,数据只有在流动中才能够产生相应的价值。然而,欧盟一些成员国政府却要求一些数据只能在特定地域进行处理,数据处理服务提供商也往往锁定相关数据,这些做法都严重妨碍数据的自由流动。为此,欧洲议会和欧盟理事会于2018年11月14日共同颁布《非个人数据自由流动条例》(以下简称《条例》)。《条例》旨在保障非个人数据在欧盟境内能够自由流动,并对数据本地化要求、主管当局的数据获取及跨境合作、专业用户的数据迁移等问题作了具体规定。根据规定,该《条例》已于2019年5月28日正式实施。本文对该《条例》简介如下:
适用范围:
非个人数据的处理行为
从行为对象来说,《条例》仅仅适用于除个人数据以外的电子数据,其中“个人数据”是指《欧盟一般数据保护条例》第4条第(1)项定义的个人数据,即与一个身份已经被识别或者身份可识别的自然人(数据主体)有关的任何信息;身份可识别的自然人是指其身份可以直接或者间接,特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人。非个人数据的具体示例包括用于大数据分析的聚合和各种匿名化的数据集。不断扩大的物联网、人工智能和机器深度学习,代表了非个人数据的主要来源。如果技术发展可以将经匿名化处理后的数据转换为个人数据,那么此类数据仍将被视为个人数据,并且相应地适用欧盟的《一般数据保护条例》。如果某一数据集由个人数据和非个人数据组成,《条例》则仅适用于数据集的非个人数据部分。如果数据集中的个人数据和非个人数据之间存在着不可分割的联系,则《条例》不得妨碍欧盟《一般数据保护条例》的实施。
从行为本身来说,《条例》仅仅适用于数据处理行为。《条例》规定的“处理”是指对电子格式的数据或数据集进行的任何单一操作或者任何一系列操作,无论这些操作是否通过自动化手段完成,例如收集、记录、组织、结构、储存、改编、修改、使用,通过传输、传播或其他方式的披露,以及组合、删除或销毁等。《条例》适用于最广泛意义上的数据处理,包括所有类型的信息技术系统的使用,无论该使用行为发生在用户场所还是外包给服务提供商;涵盖不同强度级别的数据处理,从数据存储到平台上的数据处理等。
从地域方面来说,《条例》从用户和服务提供商两个方面对适用范围进行了界定。其一,从用户方面来说,服务提供商向居住在欧盟境内的用户或者在欧盟境内设有机构的用户提供数据处理服务的,不论该服务提供商是否设立在欧盟境内,均适用本《条例》。其二,数据处理服务由居住在欧盟境内或者在欧盟境内设有机构的自然人或法人实施的,适用本《条例》。
需要指出,本《条例》的实施,不影响成员国的公共机构和受公法规制的机构之间关于处理数据的权力和责任的分配,不影响成员国为履行这些权力和责任而制定的法律、法规和行政命令,也不影响合同当事人就数据处理服务的合同报酬。
成员国政府:
删除“数据本地化要求”
限制或禁止数据自由流动的障碍主要源自一些成员国法律要求一些数据必须固定在特定区域或者必须在特定领土内才可以进行处理。这就是所谓的“数据本地化要求”。“数据本地化要求”是制约数据自由流动的明显且主要的障碍。“数据本地化要求”是指各成员国政府通过法律、法规或行政命令提出的一些条件、限制或其他要求,规定一些数据只能在特定成员国领土内进行处理,而不得在任何其他国家进行处理。另外,其他行政管理规则或者行政管理实践也具有“数据本地化要求”的实质效果,例如数据处理必须使用经特定成员国政府认证或批准的技术设备设施。
为了实现非个人数据的跨境自由流动,《条例》要求成员国政府删除现有的数据本地化要求,立即引入新的数据本地化要求或对现有数据本地化要求进行修改,并在欧盟内设置多个数据处理点,同时为监管控制目的要确保数据具有可获得性。成员国政府可以而且仅能够将公共安全作为数据本地化要求的理由,但是数据本地化要求需要符合比例适当原则。此处的“公共安全”,包括成员国的国家内部安全和国家外部安全,以及社会公共安全问题,特别是为了便于调查、侦查和起诉刑事犯罪。
需要特别指出,本《条例》并不限制企业签订合同的自由,企业之间仍然可以约定固定和处理数据的地理位置。本《条例》只是要确保欧盟内的任何地点都可以成为合同当事人能够自由约定的固定或处理数据的地点。
成员国主管当局:
数据具有可获得性
根据成员国或欧盟的法律规定,为了履行公共职责或者行使官方权力,一些机构有权获取、使用相关数据。根据职责范围和履职的实际需要,成员国可能设置了不同的机构或者将不同的职权赋予了不同的机构。《条例》将这些机构统称为 “主管当局”。当事人之间的合同往往禁止对方向境外主管当局提供数据。“数据本地化要求”通常源于成员国主管当局对跨境数据处理缺乏信任,认为一旦数据在其境外处理,就难以再获取相关数据。这种缺乏信任,仅仅通过认定相关合同条款无效并不能得到克服和根本改善。为此,本《条例》不得影响主管当局根据欧盟或成员国法律获取数据的权力,并且当事人不能因为数据在另一成员国处理而拒绝向主管当局提供数据。同时,成员国主管当局可以就信息技术系统提出一些功能性的要求,以支持数据的获取。
有义务向主管当局提供数据的用户(自然人或法人)可以通过向主管当局提供保证的方式来履行数据提供义务,即不管数据在哪个成员国进行处理,主管当局均能够有效、及时地进行电子访问数据。数据访问保障措施可以通过用户与服务提供商之间的合同条款得到保证。
如果用户有义务提供数据,但未履行该项义务的,主管当局可以向其他成员国的主管当局寻求协助。在这种情况下,主管当局应当根据特定情况,选择相应的合作协助机制,例如警务合作、刑事或民事司法合作或行政事务合作,以及欧盟网络犯罪公约等。在没有具体合作机制的情况下,主管当局也应当相互合作,通过下文将提到的请求协助程序获得对相关数据的访问。当然,主管当局请求协助进入自然人或法人的任何场所,包括进入任何数据处理设备,此类进入必须符合欧盟法或成员国法律,并且满足事先司法授权的任何要求。
本《条例》不允许用户试图规避成员国法律的适用。成员国主管当局为履行欧盟或国内法规定的公共职责而需要访问用户的数据,如果用户进行阻止的,成员国政府可以对用户采取有效、比例相称、劝阻性的处罚。在紧急情况下,如果用户滥用权利,成员国政府可以采取比例相称的、更为严格的临时措施,例如提出数据重新本地化要求。但是,如果成员国采取的临时措施导致相当长的时间内背离数据自由流动原则的,例如数据重新本地化要求超过180天,则应当通知欧盟委员会,以便欧盟委员会审查有关临时措施与欧盟法的兼容性。
×