数据已经成为世界主要国家在政策和立法工作中的重点领域。数据创新中心(Center of Data Innovation)在2023年9月发布了由Gillian Diebold撰写的报告《世界各国数据政策优先事项》。数据创新中心隶属于信息技术与创新基金会 (Information technology & Innovation Foundation)研究数据、技术和公共政策的交叉点,是一个位于美国的非营利性、无党派智库。Gillian Diebold希望通过比较世界各国数据政策中的优先事项,为美国政策制定者提供参考,以制定有利于创新和协调一致的数据战略。Gillian Diebold从数据战略、机构和具体政策三方面分析比较了中国、印度、新加坡、英国和欧盟的关键数据政策,重点关注制定数据政策时如何协调以下两个目标:最大限度地发挥数据驱动创新的好处(鼓励数据收集和数据共享,并避免不必要的繁琐的数据保护规则),以及尽量减少数据跨境流动的障碍。本文对其报告进行译介,该报告带有典型的美国立场和美国偏见,内容仅代表Gillian Diebold的观点
1
中国
(一)战略
为建设数字经济和社会,中国制定了三大数据战略:
1. 为了国家利益收集尽可能多的数据,最大限度地利用数据促进经济增长。
中国将数据列为生产要素,以巩固其作为关键经济资源的地位,国家产业政策也包括数据资源分配。
2. 通过公共机构密切监控有关公民的数据。(译者注:这是带有偏见的观点)
中国限制网络匿名,并要求私营部门在涉及重要国家安全的情况下将数据移交给国家。(译者注:这个观点不符合实际情况)
3. 推动经济民族主义,加强国家对数据的控制。(译者注:这是带有偏见的观点)
中国限制外国公司在其境内的活动,并要求所有数据都存储在中国境内。(译者注:这个观点不符合实际情况)
(二)机构
中国主要有两个机构负责监督促进数字发展的数据政策:
1. 国家互联网信息办公室负责监管中国的大部分数字法规,包括网络安全、数据保护、跨境数据流动和数字内容方面的法规。
2. 国家数据局负责公共机构之间的数据共享、大型互联网平台之间的数据互联以及私营部门数据的使用。(译者注:这是不准确的观点)
(三)政策
1. 将数据分类为生产要素。
《“十四五”国家信息化规划》以“信息化对经济社会发展的驱动引领作用”为指导,详细提出了一系列加大数据收集力度的项目。该计划解释了需要“充分发挥数据作为新生产要素的关键作用,以数据资源开发利用、共享流通、全生命周期治理和安全保障为重点。”因此,国家产业政策将数据资源纳入考虑。
2. 利用数据施加更强的社会控制。(译者注:这是带有偏见的观点)
a. 《数据安全法》赋予国家充分的监督权,第21条根据数据对国家安全的潜在影响建立数据分类分级制度,并对经济数据和安全数据给予最高级别的保护。
b. 根据《数据安全法》第45条,中国国家互联网信息办公室对数据安全保护义务的监督拥有主管权,对违规行为可以处以罚款、停业、冻结资产等处罚。
c. 《网络安全法》允许执法部门获取个人数据,第28条规定“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”。
d. 《网络安全法》禁止在线匿名,第24条规定“网络运营者......应当要求用户提供真实身份信息......用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
3. 经济民族主义。(译者注:这是带有偏见的观点)
a. 《网络安全法》对网络安全和数据保护作出规定,以“促进经济社会信息化健康发展”。第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”此外,《网络安全法》要求在中国境内收集的商业数据和中国公民数据存储在中国境内,并限制其跨境传输。
b. 《个人信息保护法》强化了个人数据保护政策。该法第二章第三节规定,国家机关处理的个人数据必须在中国境内存储。同样,第38条规定了个人数据跨境传输的严格条件,即国家主导的安全评估。
2
印度
(一)战略
1. 加强消费者数据隐私保护。
为了加强消费者数据隐私,印度提出了个人数据保护法,加强了个人隐私使用目的限制和数据最小化要求,为个人数据的使用制定了明确的指导方针。它还拥有一套由国家主导的技术应用程序,集中用户同意协议(centralize user consent agreements)。
2. 促进经济民族主义。
为了促进经济民族主义并支持国内行为者,印度支持数据本地化并优先考虑印度企业访问用户数据。
3. 利用非个人数据促进经济增长。
为了利用非个人数据的价值,印度创建了国家数据共享框架,并在关键领域创建了高价值数据集。
(二)机构
印度采用由电子和信息技术部(Ministry of Electronics and Information Technology, MEITy)领导的主要集中式方法来监管和监控数据。MEITy的使命是“将印度的电子发展作为向发达国家和赋权社会转型的引擎”。待定政策还将创建新的机构来管理个人和非个人数据。
(三)政策
1. 加强消费者隐私。
拟议的《个人数据数字保护法》(Digital Personal Data Protection Act)规定了印度公民的权利和个人数据的合法使用。最新的草案包括数据最小化和目的限制要求,但指出“该法的目的是,以既承认个人保护其个人数据的权利,又出于合法目的处理个人数据的需要的方式,处理数字个人数据。”
2. 建立国家主导的数据信托服务。
India Stack 是一组加强国家数字基础设施的计划。除了为使用电子商务和电子政务服务的公民实现数据共享之外,India Stack的同意层、数据赋权保护架构(Data Empowerment Protection Architecture, DEPA)还通过建立数据受托人,来赋予公民对其个人数据更大的自主权。数据受托人充当信息用户和提供者之间的中介,并根据用户设定的标准向公司提供同意。
3. 促进印度优先的数据共享和存储。
a. 《非个人数据治理框架》(Nonpersonal Data Governance Framework)草案第5.1节包括,“为相关印度社区带来利益的必要性;不仅对收集此类数据的组织,而且对通常产生所捕获的原始/事实数据的社区……包括与公民、印度初创企业、印度公司、印度公立和私立大学、印度公共和私立研究实验室、印度非政府组织以及印度中央和邦政府合作”
b. 《非个人数据治理框架》第6条规定,在有公共利益理由的情况下,如能源数据或乘车服务和交通,与一个新的横向类别的印度“数据企业”共享数据。第6.3.v节指出,“印度公民和总部位于印度的组织将可以开放访问有关包括政府在内的不同数据企业收集的数据的元数据。”在该节的关键要点中,报告指出:“委员会坚信,数据业务的元数据共享将刺激本国前所未有的创新......相关的关键目标之一是促进和鼓励国内行业和初创企业的发展,这些行业和初创企业可以扩大其基于数据的业务”。
c. 个人数据保护法案的过往草案包括严格的数据本地化要求,但2022年8月发布的新版本法案允许在“受信任”国家跨境传输和存储数据。
4. 启用非个人数据共享。
《非个人数据治理框架》涵盖所有类型的非个人数据的数据共享,包括与人完全无关的数据或已匿名的个人数据,其目标是建立一个数据共享框架,解锁“经济、社会和公共领域的数据的价值”,并建立了企业和政府的国家数据存储库。
5. 创建高价值数据集。
非个人数据治理框架将设立两个办公室,一个是印度数据管理办公室,负责制定新政策;另一个是非个人数据管理局,负责监督数据共享活动并批准新的高价值数据集的申请。框架中的7.2.ii建议“印度应在国家层面指定一类新数据......具有特殊公共利益的数据或高价值数据集,如健康、地理空间和/或交通数据”并“逐步确定其他优先部门通过利用非个人数据获得经济和社会效益”。
3
新加坡
(一)战略
1. 支持企业使用数据。
为了支持企业和吸引新企业,新加坡鼓励使用个人数据进行商业创新。
2. 重视非个人数据的收集、共享和使用。
为了加强非个人数据的使用和收集,新加坡创建了数据共享框架,专门促进国内企业之间的数据共享。
3. 通过明确的合规规则保护消费者数据。
为了保护消费者数据,新加坡授权个人反对负面商业行为及利用他们的数据。
(二)机构
信息通信媒体发展局(Infocomm Media Development Authority, IMDA)作为主要的信息和媒体监管机构,负责领导新加坡的数据政策;下属机构个人数据保护委员会(Personal Data Protection Commission, PDPC),专门执行和管理国家个人数据保护法。
(三)政策
1. 使企业能够使用个人数据。
a. 《个人数据保护法》(Personal Data Protection Act, DPDA)的目标包括维护公民的信任以及“规范组织之间的个人数据流动......以加强新加坡作为值得信赖的商业中心的地位”。
b.  PDPA要求通知并同意数据收集,但也为合法公共利益或出于商业改进目的的组织规定了例外情况。2021年法规的更新创建了“合法利益例外”,其中在某些情况下,企业可以未经同意收集、使用或披露个人数据。
2. 在有利于商业的框架内保护消费者利益。
a. PDPA第480条包括个人对违反PDPA的企业提起诉讼的私人权利,规定“因违法行为而直接遭受损失或损害的人......有权在民事诉讼中提起诉讼以寻求救济”。
b. PDPC正在更新法规,以纳入数据可携义务,其中组织必须以通用的机器可读格式将其拥有的个人数据传输给另一个组织。值得注意的例外情况包括,“个人数据,如果披露,将泄露可能......损害组织竞争地位的机密商业信息。”此外,法规只要求将数据移植到源自新加坡或在新加坡设有办事处的组织。
3. 促进B2B数据共享。
IMDA创建了可信数据共享框架,以促进个人和非个人数据的B2B数据共享。考虑到“共享数据的动机通常源于业务需求”,它旨在创建一种系统的数据共享方法,提供了一个“通用数据共享语言”和包括数据共享合同的法律模板示例。
4
英国
(一)战略
为了保护公民并增强国家竞争力,英国采取了以下战略:
1. 以用户友好的方式促进隐私,这意味着个人数据既受到保护又可访问。
为了促进用户隐私和用户数据的可访问性,英国制定了明确的数据保护规则,并为用户和企业利用数据提供便利。
2. 吸引新企业在该国经营并支持现有企业。
为了吸引新企业并支持现有企业,英国计划通过更好地重用公共部门数据和增强数据共享机制来增加行业对数据的访问。
3. 通过支持开发和实验的监管环境促进创新。
为了促进创新,英国开发了灵活的监管沙盒,使公司能够在受控环境中向真实消费者试用新产品和服务,而不会面临监管处罚的风险。
(二)机构
英国对数据保护监管采取横向方法,而对数据共享监管则采用部门方法。信息专员办公室(Information Commissioner’s Office, ICO)是一个独立的政府机构,专门管理数据保护和数据共享准则。
(三)政策
1. 重新平衡用户隐私和创新。
a. 英国通过各种立法,包括英国GDPR(UK GDPR)、数据保护法(Data Protection Act)、电子隐私通信条例(Privacy Electronic Communications Regulations)以及拟议的数据保护和数字信息法案(Data Protection and Digital Information Bill),涵盖了核心数据隐私原则,包括数据可携要求、企业对个人数据的访问以及用于执法目的的数据流等内容。
b. 《支持创新的技术监管审查:数字技术》指出,“确保相称和敏捷的监管方法可以向投资者、企业和公众提供清晰度和信心”,它承认英国的隐私制度为“限制性”的,并概述了加强平衡的建议,指出“需要在风险评估和利益之间保持适当的平衡”。
2. 重复利用公共部门数据。
a. 《数字经济法》(Digital Economy Act)第5部分第1章规定了公共机构之间的数据共享规则,例如用于统计数据制作、研究目的、公用事业等公共服务交付,或债务和欺诈案件。
b. 对数字技术的审查指出,“政府和更广泛的公共部门机构拥有重要数据,如果以一致的方式向行业提供这些数据,可以促进研究和创新并改善公共服务”,并建议优先考虑行业与公共部门数据的联系。
3. 加强数据共享机制。
a. ICO数据共享准则(ICO Data Sharing Code)为处理个人数据的组织提供了数据共享的最佳实践。强调数据共享机制的重要性,该准则指出“数据共享有时可能是一项复杂的活动,但在一些组织中,犯错的风险......超过了数据共享所能带来的好处,导致错失创新机会”。
b. 第二支付服务指令(Second Payment Services Directive, PSD2)与英国竞争和市场管理局关于开放银行(Open Banking)的规则相结合,要求国家银行以标准化格式提供其数据。这样,第三方可以使用这些信息来创建新的产品和服务。
4. 开发监管沙盒。
对数字技术的审查还阐述了监管灵活性的重要性,尤其是在“广泛采用商业科学和技术的增强创新方法”方面。它特别建议“政府应与监管机构合作,在未来六个月内为人工智能开发并投入运行一个多监管机构沙盒”。
5
欧盟
(一)策略
为了实现其高级别议程,欧盟:
1. 将追求人权置于经济利益之上。
为了优先考虑个人用户,欧盟制定了一系列数据和数字权利,并采取了严格的执法措施,并为制造商设定了设计要求。
2. 实现该地区的数字化转型。
为了实现数字化转型,欧盟为关键数字里程碑设定了具体目标。
3. 使用数据来增加社交和为居民带来经济效益。
为了增加社会和经济效益,欧盟促进公共和私人参与者的数据共享。
(二)机构
欧盟有两个超国家监督委员会:
1. 欧洲数据保护委员会(European Data Protection Board, EDPB)
负责监督数据保护法规的实施,由国家数据保护机构、欧盟独立监管机构和欧洲数据保护监管机构组成。
2. 欧洲数据创新委员会(European Data Innovation Board)
制定数据共享政策并监督数据利他主义组织。
(三)政策
1. 保护数据和数字权利。
a. 《通用数据保护条例》(GDPR)是世界上最严格的数据保护法,为组织提供了大量有关如何处理欧盟个人数据的要求。数据保护有七项原则:合法,公平,透明;目的限制;数据最小化;准确性;存储限制;完整性和保密性;问责制。
b. 数字十年计划包括欧盟个人的数字权利和原则宣言,以补充其现有的数据和隐私权。其《数字权利和原则宣言》指出,“随着数字转型的加速,欧盟现在应该阐明如何将其适用于线下的价值观和基本权利应用到数字环境中。数字化转型不应导致权利倒退。”
2. 通过设计强制数据共享。
作为欧洲数据战略的一部分,《数据法案》(Data Act)包括制造商设计数据共享的义务,以增强用户访问和与数据处理服务有关的规则,如非个人数据的国际传输和互操作性要求。
3. 创造数字化里程碑。
数字十年计划为2030年实现数字转型设定了具体目标。它专注于在多国项目中利用数据实现涉及数字技能、业务转型、数字基础设施和数字公共服务的目标,并“支持互联、互操作和安全的数字单一市场”。
4. 建立欧洲共同数据空间。
欧洲数据战略下的另一项立法《数据治理法》(Data Governance Act)创建了由负责保护数据的数据中介机构组织的“共同欧洲数据空间”。这些数据空间位于战略领域,特别是:卫生、环境、能源、农业、流动性、金融、制造业、公共行政和技能。根据欧盟委员会的说法,“该框架为控制着大量因而具有高度市场影响力的数据大型科技平台提供了数据处理实践的一种替代模式”。
5. 其他形式的数据共享:数据利他主义。
a. DGA允许利他主义数据共享,这意味着个人和某些企业可以为公共利益捐赠数据。数据利他主义的目标是“创建可信的工具,以方便地共享数据,造福社会”。
6
要点分析
表格1 各国数据政策总结对比
为寻求最大限度地提高数据的社会和经济效益,数据政策已成为许多国家的优先事项。政府的数据政策表明了其优先事项和利益,并可能表明它将如何应对未来的数据相关问题。但是,有时一些国家宣称的目标可能与其实际政策不一致。例如,欧盟发表了许多声明,宣布其致力于促进数据驱动的创新,但其数据保护法事实上严重限制了的数据共享。尽管每个国家的政策都是不断变化的——随着新的发展、政府领导层的更迭和时间推移导致的优先事项改变而变化——但在数据保护、数据共享和数据访问等问题上往往会呈现不同的趋势。
1. 数据保护
长期以来,数据保护一直是数据政策的重中之重。然而近年来,越来越多的决策者开始认识到数据保护和创新之间存在权衡。因此,一些国家的数据政策寻求在数据保护与确保数据可用于创造经济和社会价值之间取得平衡。例如,印度为其公民提供数据保护,但与扩大个人数据和非个人数据使用的规定共存;新加坡的数据保护法寻求比欧盟的GDPR更平衡的方法,抛弃了数据最小化原则,使组织更容易收集和使用个人数据;英国提议的《数据保护和数字信息法案》比GDPR更宽松,允许企业和执法部门访问个人数据。相比之下,欧盟的方法优先考虑个人权利,所有后续立法都致力于在GDPR范围内使数据共享可行。
2. 数据共享
许多国家还制定了促进数据共享的政策。一些国家优先考虑行业和政府行为者之间的协作数据共享安排,而另一些国家则只专注于与政府本身或政府内部的数据共享。例如,印度的《非个人数据治理框架》为企业和政府创建了一套共享数据时要遵循的规则和义务,以刺激创新并支持其国内初创经济;英国《数字经济法》允许公共部门与行业共享数据,因为私营部门最有能力从数据中提取经济价值;新加坡没有考虑政府,而是根据其商业优先的方法,专注于促进个人数据和非个人数据的B2B数据共享;中国创建了国家数据管理局,专注于政府部门间数据共享。
3. 数据访问
控制或允许访问数据是各国实现其战略目标的另一种方式。一些国家将境内访问数据视为提高国家竞争力的工具。例如,中国和印度都通过数据本地化措施来促进经济民族主义。欧盟尽管和中国等国在数据控制的方法和理由上存在分歧,也在从事类似的活动,允许国内获取数据和数据在其境内流动,但限制境外访问数据,为数据的收集、使用和传输制定了严格的规则,并禁止将欧盟数据传输给任何未采用与GDPR等效的数据保护规则的国家,将其以数字权利为导向的数据保护方法强加给其他国家。
4. 数据生产
值得注意的是,虽然大多数国家认识到数据是产品开发、服务交付和循证决策所必需的,但很少有国家采取措施制定积极主动的政策来产生更高的价值数据。各国需要与私营部门进行积极对话,以确定哪些数据对收集和生成最有价值,或者公共部门可以填补哪些数据缺口。印度的《非个人数据治理框架》能够在高价值领域创建数据集,也是主动解决数据生产问题的一种方式。
印度等一些国家使用公共数字基础设施来指导数据政策的实施。通过堆栈技术套件,印度面向公众的数字平台实现了更多的电子商务和政府服务。此外,其数据赋权和保护架构(DEPA)是专门为促进用户同意和数据收集实践的一般透明度而设计的技术堆栈的一层。DEPA为收集数据时使用的应用程序和数字服务建立了一个框架,要求各组织就数据的使用方式提供清晰简洁的解释,个人可以授予明确和精细的数据使用权限。
7
政策建议
1. 全球各国
展望未来,各国应制定连贯的战略,涵盖数据政策的核心组成部分,即数据保护、数据共享、数据访问和数据生产。各国还需要思考试图通过数据实现什么目标,避免制定相互矛盾的政策。以欧盟为例,尽管欧洲决策者希望增加居民的社会和经济利益,并支持数字单一市场,但欧盟的大多数政策限制数据使用,并对企业施加昂贵的要求,包括GDPR合规性、设备设计授权和不允许私营部门参与的数据共享机制。在设计国家一级的数据战略时,各国需要意识到这些矛盾,以确保有凝聚力的政策。
渴望成为人工智能经济领导者的国家需要采取有利于创新的数据政策方法,平衡数据保护与数据收集和使用带来的经济和社会效益。更具体地说,采取支持创新方法的理想数据政策框架应包括:
a. 基于风险的数据保护
基于风险的数据保护方法鼓励组织专注于保护敏感个人数据,如个人的病史或财务信息,同时降低非敏感数据的监管成本。数据保护规则仍为用户提供在一定范围内访问、携带、删除和纠正其数据的能力,但不应包括限制创新的数据最小化或目的规范要求。
b. 个人数据和非个人数据的数据共享框架
各国应促进私营和公共部门对个人数据和非个人数据的数据共享。规则应默认允许数据共享,减少自愿共享数据的监管障碍,并消除政府内部对数据共享的复杂限制。
c. 数据自由流动
各国应促进跨境数据流动,以促进数字自由贸易。各国不应强加数据本地化要求,应促进开放、有竞争力和基于规则的全球数字经济。
d. 积极主动的数据生产政策
各国应优先考虑数据作为其经济生产的关键因素。为此,各国应促进跨部门的数据收集,并投资于数据生产,以刺激创新并避免有害的数据缺口。
2. 美国
Gillian Diebold建议美国政策制定者不应重复任何一种方法,而应借鉴各种选项来制定有凝聚力、有利于创新的数据战略,这些策略应包括:
a. 全面的数据隐私立法,采取有针对性的、基于风险的方法
美国的数据保护法规目前是按州制定的,这造成了混乱且成本高昂的法律拼凑局面。包括《美国数据隐私和保护法案》(ADPPA)在内的国家法案提案取得了重要进展,但需要进行一些关键调整,以取代州法律、区分敏感和非敏感个人数据,并排除私人诉讼权。
b. 实施国家数据基金会计划,以促进增加数据共享
美国需要让数据共享成为常态,而不是例外。建立国家数据基金会将允许政府以类似于投资科学的方式投资数据。国家数据基金会可以创建和共享各种类型数据的技术标准、治理框架和最佳实践。此外,国家数据基金会能够在协调和增加全国数据生产和收集方面发挥重要作用。
c. 致力于数据跨境自由流动
允许数据跨境自由流动符合美国的民主原则,并认识到数据流动是一股向善的力量。美国应在美国-欧盟贸易和技术理事会(US-EU Trade and Technology Council)等论坛上,抵制各国寻求将其数据政策强加于其他国家的意图,并反对限制跨境数据流动。
撰稿 | 石依冉,清华大学智能法治研究院实习生
选题&指导 | 刘云
编辑 | 王欣辰
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至[email protected],申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
继续阅读
阅读原文