欧盟在数据领域具有3部统帅意义的法律:2016年公布的《通用数据保护条例》,也就是我们通常所说的GDPR,对各成员国在数据保护上都产生了深厚的影响。2021年2月发布的《电子隐私条例》(草案),在电子通信领域对GDPR进行了补充。此外,2018年11月14日出台的《非个人数据自由流动条例》则补充了欧盟在非个人数据的处理和流动规则。
战略层面,2020年2月19日,欧盟委员会发布 《欧洲数据战略》 和 《欧洲人工智能白皮书》 ,描绘构建一个健康共通的数据空间的蓝图。同年12月,欧盟委员会和外交与安全政策联盟高级代表发布了新的 《欧盟数字十年的网络安全战略》 ,为未来欧洲数字领域的发展定下十年计划。
(资料图片)
01
数据战略与网络安全战略
在《欧洲数据战略》指导下,欧盟逐步制定实施了多部针对具体领域的法律,这些法律相互之间与政策性文件一起有机构成了欧盟的数字规范体系。
其中,针对 数字平台和网络服务领域 的专门法律目前主要有两部:
《数字服务法案》 ( Digital Services Act):2022年4月23日,欧盟成员国与欧洲议会谈判一致通过。该法案对2000年的《电子商务法》进行了更新和澄清,同时针对在线平台的透明度要求和问责机制给出了规范,在打击非法内容方面,还强调各大在线平台需要承担一定的社会义务。此外补充了特定行业立法,包括《视听媒体服务指令》《数字单一市场版权指令》《消费者保护法》等。
《数字市场法案》 (Digital Markets Act):欧洲议会、欧洲理事会和欧盟委员会于3月24日就《数字市场法案》达成一致,但仍需欧洲议会和欧盟理事会的正式确认,该法案预计在2022年10月生效。作为欧洲数据战略中的竞争法部分,《数字市场法案》侧重维护经济秩序,创新提出“守门人”概念,阻止“守门人”从事不合理的商业行为,从而确保重要数字服务市场的公平性和开放性。
此外,围绕 数据共享、开发利用 的法律主要有两部:
《数据治理法案》 (Data Governance Act):2022年5月16日经欧盟理事会批准通过,可能在年内正式公布。该法案主要构建G2B、B2B商业模式下的数据共享及再利用的框架和模式;
《数据法案》 (Data Act):该法案目前仍然处于草案阶段,其是对《数据治理法案》的补充 ,旨在促进企业之间以及企业与政府之间的数据共享,使得消费者和企业对其拥有的数据拥有更多的控制权,可以自主决定如何使用数据。
网络安全领域目前主要是进入最终谈判阶段的 《网络和信息系统安全指令》 (NIS2)修订(提案),以及提案阶段的 《关 于关键实体韧性的指令》 。
上述法律政策文件虽然在各自的领域内发挥作用,但 都强调受全世界关注的数据流通和个人隐私保护等问题。
02
欧洲人工智能白皮书
“人工智能是数字经济最重要的应用之一,欧洲当前和未来的可持续经济增长和社会福利越来越依赖于数据所创造的价值,欧洲必须作为一个整体开展行动,打造成为未来数字市场的新领袖。”
欧洲人工智能白皮书《面向卓越和信任的人工智能发展之道》(WHITE PAPER On Artificial Intelligence - A European approach to excellence and tru st)旨在建立欧洲统一的人工智能发展环境。
白皮书的内容结构包括:
人工智能概述
利用工业和专业市场的优势
抓住下一波数据浪潮机遇
卓越生态系统
信任生态系统
结论
其中,重点探讨了以下内容:
1、利用工业和专业市场的优势
欧洲具有利用人工智能潜能受益的优势,不仅拥有十分出众的研究中心、创新型初创企业,而且在机器人、竞争激烈的制造业、服务业等领域占据世界领先,覆盖汽车、医疗保健、能源、金融服务和农业等领域。此外,欧洲已经发展了强大的计算基础设施(如高性能计算机),还拥有大量的公共和工业数据,并且具备公认的低功耗的安全数字系统优势,这些对人工智能的发展十分关键。
欧盟通过在下一代技术(机器学习、深度学习、深度神经网络等)和基础设施方面以及数字能力方面的投资,将增强欧洲在关键技术和基础设施方面的技术主权,支持创建欧洲数据池(European data pools),从而支持可信的人工智能。
2、保障措施
在研发、投资、人才、数据等领域开展更有效率的合作。培养技能型人才,弥补人才短缺。加强计算基础设施投资建设,保障数据安全。
3、强化监管机制
由于人工智能系统非常复杂,并在某些情况下会引发重大风险,因此建立信任至关重要。需要通过明确的规则,解决高风险的人工智能,同时又不会给低风险系统带来过多负担,比如开展“以风险等级为基础”的监管路径,强制性规定原则上只适用于高风险人工智能活动,确保监管干预具有适用性和针对性。此外,实施多方参与监管治理,由会员国指定的认证机构对人工智能系统进行独立审查和评估。
4、针对性立法框架
在设计未来的人工智能监管框架时,对高风险人工智能应用的要求可能包含以下主要方面:
1)用于训练AI系统的数据集;
2)数据和记录保存;
3)提供使用高风险AI系统的相关信息;
4)人工智能应用的鲁棒性和准确性;
5)人为监督;
6)出于远程识别目的对生物识别数据进行收集和使用等特殊情形。
03
欧洲数字战略
如果说欧洲人工智能生态系统的核心是“数据+算法”,那么形成欧洲单一数字市场也是推动构建欧洲人工智能生态系统的重要前提。
2020年2月19日,《欧洲数据战略》提出通过“开放更多数据”和“增强数据可用性”为欧洲数字化转型提供发展和创新动力,形成一种新的欧洲数据治理模式。
打造共同欧洲数据空间、单一数据市场是欧盟的主要战略目标。为此,《欧洲数据战略》共有4个支柱型工作:
1)建立统一的数据访问和使用的跨部门治理框架,构建“共同欧洲数据空间治理立法框架”,解决数据开放和再利用问题。比如依赖《数据治理法案》。
2)增强数据基础设施投资,投资重大影响力项目——开发共同欧洲数据空间和互联云基础设施,预计投入40-60亿欧元。
3)提升个体数据权利和技能,提升个人对其数据(个人数据空间)的控制权。培养公众数据素养等。
4)战略层面和公共利益层面打造欧洲共同数据空间,建立9个领域数据空间,工业(制造业)、绿色交易、交通、健康、金融、能源、农业、行政与技能数据空间。2022年5月3日,欧盟委员会就建立欧洲健康数据空间公开征求意见。
此外,在战略指导下,近年来欧盟陆续推动相关法案的立法进程。
04
《数据治理法案》《数字服务法案》《数字市场法案》
聚焦欧盟数据战略下的三部数据相关法案,目前立法进程最快的是《数据治理法案》,其侧重数据要素的流转利用,明确公共部门的数据如何向私营经济分享及企业间的数据共享(即G2B、B2B)。《数字服务法案》明确责任问责机制,削弱大型数字平台发布非法内容与虚假新闻、广告投放对社会产生的影响,尊重包括言论自由在内的基本权利。《数字市场法案》则针对大型数字服务提供者,遏制该类平台企业的恶性竞争性行为、对企业和消费者的不公平限制,确保数字市场公平、开放。
三部法案分别从数据流转、基本权利保护、促进良性竞争等不同的侧面勾勒了未来数据要素生态图景的欧洲方案。
1、《数据治理法案》
《数据治理法案》(DGA)以“开放的数据市场”为中心,值得注意的是,其中只要涉及个人数据,或无法分开个人数据和非个人数据的混合数据集,在适用DGA的同时也适用GDPR。DGA强调通过数据共享刺激社会数字经济发展。整个法案的核心就是为数据共享奠定体制机制的基础,同时做好数据合规和隐私保护。
该法案的核心要点包括:
公共数据再利用
以尊重他人权利(个人信息/商业机密)为共享前提。提出建立公共部门数据再利用机制,允许自然人或法人在公共部门所主导的安全处理环境中,实现公共数据的访问和再利用。(1)要求数据共享禁止排他——遵守竞争法,禁止制定排他协议,防止垄断性市场行为,提供一般利益的服务且存在必要性的情况下,可以例外。(2)在共享前,公共数据在共享、开发利用前需要进行数据脱敏处理。在传输数据前,需要进行个人数据匿名化且无法重新识别个人信息主体、修改或者删除商业机密信息、采取双重加密等安全保障措施。匿名或删除后的公共数据无法满足数据再利用者的需求时,可以在签订保密协议后,允许在公共部门提供的安全处理环境中内部或远程使用数据,在这个处理环境中的数据分析行为,会受到公共部门的监管。(3)采取有条件收费机制,遵循合理、透明、在线公开、无歧视的收费原则。(4)各成员国需设立一个单一联络点,可获悉可用数据(电子登记簿)目录。
建立第三国数据保护能力评估
充分保护向第三国的合法数据传输,包括防止欧盟法律禁止的任何传输。委员会还可以通过示范合同条款,在《数据治理法案》涵盖的非个人数据转移到第三国的情况下,为公共部门机构和数据再利用者提供参考。
数据共享服务提供商机制
倡议建立非营利性质的“数据中介机构”,降低B2B、C2B数据共享成本。数据中介机构链接数据持有者和数据再利用者,需在指定的主管当局备案。数据中介机构本质是数据共享服务提供商:在交换数据方面保持中立的要求,不能将数据用于其他目的。要确保数据共享服务以开放和协作的方式运行,让自然人和法人更好地了解和控制数据。
数据利他主义
希望个人或公司出于共同利益自愿提供数据。此类数据为可无偿使用数据,从事数据利他主义的组织可允许被注册为“欧盟认可的数据利他主义组织”,增加可信度。法案还建议开发通用的欧洲数据利他主义同意书表格,降低收集同意书的成本,促进数据的可移植性。
2、《数字服务法案》
《数字服务法案》旨在为用户提供一个更安全、更开放的网络数字空间,以及为企业未来几年更公平的竞争环境设定标准,同时发布非法内容的科技巨头也将面临巨大额罚款。
该法案提供和完善了一套统一的数字规则,以降低企业遵守欧盟规定的成本。相比其他法案来说,更为强调社会义务,包括促使在线平台打击非法内容,保护用户隐私安全,规范在线广告。通过确认平台的尽职调查义务和超大型平台的更强义务,进一步建立完善的监督结构。
该法案的一大特色是 平台责任分层与监管体系 ,规定了分层责任框架:在线平台具体的义务划分与它们在数字生态中的角色、规模和影响相匹配,小型企业只需承担与其能力和规模相称的义务。
建立了明确的 事前监管机制 ,根据“通知-行动”原则使数字平台对标记为非法的内容迅速采取行动。对违法行为进行了明确、严厉的威慑和处罚:在线平台和搜索引擎可被处以高达其全球营业额6%的罚款。
明确 算法问责制 ,规定欧盟委员会以及成员国将有权访问大型在线平台的算法,同时大型平台的风险管理需要接受定期的监督、评估和独立审计。
该部法案也重点关注了 消费者权利 ,由于平台和商业用户之间的谈判能力不平衡,存在结构性差距,法案提出内容审核决策的透明度要求,使得用户和消费者能够通过审计报告和独立研究更好地了解大型在线平台对社会的影响,并享有言论和信息自由,用户和消费者可以对在线平台做出的删除决定提出异议,选择直接向平台投诉、庭外纠纷解决机构或向法院寻求赔偿等方式。
3、《数字市场法案》
《数字市场法案》是欧盟实施严厉保护人们在线数据最全面的数字政策,该法旨在阻止大型的科技平台利用其连锁服务和资源锁定用户压制新兴对手,为新进入者创造空间。侧重数字市场经济,反垄断、反对不公平竞争,促进公平的市场竞争环境,为数字市场的创新、中小企业的发展提供空间。
该部法案的内容主要围绕以下三点展开:
1、提出“守门人”概念:
(1)公司需要在至少三个欧盟国家提供核心平台服务;
(2)“其中任何一项业务的规模”达到每月至少有4500万活跃终端用户,以及在过去一个财年内在欧盟境内有超过1万的活跃商业用户;
(3)年营业额达到80亿欧元、市值达到800亿欧元;
2、监管与处罚
法案只适用于根据法案中的客观标准被认定为“守门人”的大型在线企业。通过加强守门人平台进行规制与监管,防止科技巨头对企业和消费者施加不公平条件。
如果“守门人”不遵守规则,委员会可以对其处以最高为该公司全球年度总营业额10%的罚款;如果重复违规,则处以20%的罚款,并定期支付最高为该公司全球日总营业额5%的罚款。
3、《数字市场法案》与欧盟现行竞争法的关系
该法案着重强调补充了欧盟竞争法的实施。使传统的竞争法原则拓展并适应于数字市场的新情形,最大限度地将不公平做法对数字市场的不利影响降至最低。禁止不正当竞争,促进数字服务质量改善,使得小型企业和新企业更容易扩张和发展。
05
借鉴与启示
欧盟所采的一系列数据战略举措,都是在向着欧洲成为全球数据中心的目标前进,而在下一波数据浪潮来临前,我们能否抓住机遇,提前做好准备?根据欧盟在数字领域做的动作上可以关注几个方面:
1、根据《数据治理法案》的内容,可以推动建立更多具有公信力和资质认可的非营利性质组织——“数据中介机构”,推动数据流通利用。
2、倡议以官方的名义对从事数据利他活动的组织进行认证。将提供数据共享服务、且具有社会公益属性的组织作为数据流通的补充力量。
3、围绕互联网企业及在线数字平台开展不对称监管方式。基于平台规模、影响,要求其承担不同的义务与社会责任,从而推动国内数字市场的公平性发展。
4、聚焦大型互联网企业及科技平台,开展风险评估或年度安全审查。形成围绕互联网在线平台(社交媒体/科技门户等),聚焦消费者数据权益、数字内容规范的监管侧重。
5、在人工智能领域形成风险等级为基础的监管路径,针对高风险人工智能活动开展相关适用性和针对性的监管举措,包括对人工智能系统的独立审查和评估。
6、随着《互联网信息服务算法推荐管理规定》提出网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作。后续或可细化平台算法问责制,明确平台启动算法评估的条件及具体制度事项,保障人工智能技术的使用规范。
数字服务格局快速发展和演进,欧盟已经逐步做出了十年数字化进程的一系列重大举措。随着数据作为生产要素的价值愈发凸显,我国的相关立法进程和司法举措也应该跟上时代的步伐,蓬勃数字经济关乎民生,建立一个健康、有序的数字市场环境是当下的重中之重。
免责声明: 本文转自赛博研究院,原作者周雪静 邱芹。 文章内容系原作者个人观点,本公众号转载仅为分享、传达不同观点,如有任何异议,欢迎联系我们!