1、106武大国际法评2023年第4期国际法视野下欧盟数据治理立法发展及对中国的启示夏菡*内容摘要:国际法视域下,对数据的规制场域包括双边、多边贸易和区域合作机制。欧盟近年来在数据治理领域频频出台新立法。以数据治理所涉领域的体系化分类为基础,欧盟立法在数据治理方面有诸多进展,主要体现在促进对数据的合理利用与共享、强化大型网络服务提供者的义务规范、维护公平的数字市场竞争秩序。欧盟数据治理立法中的新动向可为我国构建中国特色的数据治理体系以及积极参与数据治理的国际合作提供借鉴。关键词:全球数据治理欧盟数据立法市场竞争规则数字经济成为推动新型全球化的重要特征,数据是数字经济中的关键要素。随着全球从工业经济
2、迈向数字经济,数据成为各国竞相争夺的资源。大国对于数据的监管模式各异,分歧巨大,数字领域的规则博奔成为全球治理中的新焦点。近年来,全球经济发展放缓,出于维护本国利益,各国保护主义规制抬头,导致国际贸易受到了负面影响。对于数据要素的治理关乎数据生产、流通、使用、处理过程中的诸多政策与制度安排,已成为当前各国面临的共同课题。晚近以来,欧盟关于数据治理和数据市场监管的立法引发关于数据主权、数据规制的域外效力、规制冲突等议题的探讨。一、引言随着2 0 2 1年中华人民共和国数据安全法(以下称数据安全法)和中华人民共和国个人信息保护法(以下称个人信息保护法)通过,我国数据安全和个人信息保护领域的基础法律
3、框架基本完成。在配套立法方面,我国已出台多项行政法浙江外国语学院“一带一路”学院讲师感谢武大国际法评论编辑部和匿名审稿专家的修改意见,文中错漏由笔者负责。感谢武大国际法评论编辑部和诺名审稿专家的修改意见,文中错漏由笔者负责。参见王燕:数据法域外适用及其冲突与应对一一以欧盟通用数据保护条例与美国 澄清参见王燕:数据法域外适用及其冲突与应对一一以欧盟通用数据保护条例与美国澄清域外合法使用数据法)为例,第10 页。夏菌:国际法视野数据治理立法发展及对中国的启示规、部门规章和地方性法规,为数据安全、网络安全和大数据环境下的数据流动提供保障。但整体而言,我国的数据治理立法还较为分散。个人信息保护立法、国
4、家安全立法和数据管理立法及政策文件各自成文,法律规制的效果与效率有待加强。在全球数据治理方面,我国的参与程度相比于欧美国家较为有限,且在跨国数据流动监管、国家间数据治理协调、争议解决机制构建等方面较为滞后。本文以欧盟数据立法为研究对象,结合当前数字服务贸易规则发展、各国有关数据跨境流动规制方面的困境与我国的现实考量,分析欧盟在数据治理领域的立法脉络,探析欧盟新近立法进展。在此基础上,围绕我国数据安全法律体系的完善、数字市场的优化监管,参与全球数字贸易规则制定、推动数据治理体系规则构建提出建议。讨论涉及的新立法主要为欧盟2 0 2 0 年数据治理法(Data GovernanceAct)、2 0
5、 2 2 年数据法(草案)(DataAct)以及2 0 2 2 年9 月和10 月相继通过的数字市场法(Digital Market Act)和数字服务法(Digital Services Act)。二、欧盟数据治理立法的国际法背景从形式上看,数字贸易包括基于信息技术开展的数字货物贸易、数字服务贸易以及数据贸易三类。但目前尚无专门的国际数据条约或国际数字服务贸易条约对数字经济发展所涉及的数据治理与贸易合作加以规范。经济发展减速的背景下,贸易环节的跨境数据流动治理平衡被打破,强调数据安全、限制数据流动的倾向明显。数据治理的国际合作与谈判陷人僵局,数据监管规则呈碎片化,全球范围内的规则协调亦受到阻
6、碍。多边模式下的治理以WTO服务贸易总协定(以下称“GATS”)为主,该体系下的条文规定少。近年来,WTO谈判功能弱化,规则缺乏更新,数字贸易制度鲜有进展。数据全球治理语境下,各国普遍接受的跨境数据流动管辖机制和跨境数据流动管理体系规范尚未形成。3(一)WTO数字服务贸易规则缺乏更新现行的多边贸易体系中,数字服务贸易规则内容有限,条款分布较为分散,在贸易实践中受国内规制影响大,难以发挥法律规范应有的基础作用。在WTO谈判功能运行困难的背景下,部分WTO成员形成的利益相关方和贸易合作伙伴在服务贸See Proposal for a Regulation of the European Parli
7、ament and of the Council on Harmonised Ruleson Fair Access to and Use of Data(Data Act),COM(2022)68 final,2022/0047(COD),Brussels,23 Febru-ary2022.参见联合国贸易和发展会议:数字经济报告2 0 2 1(跨境数据流动与发展:数据为谁流动),https:/unctad.org/system/files/official-document/der2021_overview_ch.pdf,2023年6 月15日访间。参见黄志雄主编:数据治理的法律逻辑,武汉大
8、学出版社2 0 2 1年版,第49 2、49 5页。108武大国际法评2023年第4期易国内规制、数据跨境流动监管合作等方面进行了一些探索。这些工作推动数字贸易领域逐渐形成了开放式诸边谈判、“主题模块”型合作等创新机制,可供其他国家和地区作为蓝本。同时,贸易规则发展由多边转向区域和双边也暴露出了各国与各地区在数字经济发展水平、数据治理方面存在一些巫待化解的矛盾与问题。有观点认为,以RCEP为代表的区域规制体系更能体现数字服务贸易领域的共治性特征,尤其更符合发展中国家在数据流动监管问题上的立场和需要。类似的区域贸易框架并未提供数字服务贸易发展所需要的统一且具有可操作性的全球标准,无法替代国际性规
9、制的主导作用。部分WTO成员主张,对跨境数据流动的限制构成国际贸易壁垒。然而,如超出合理限度,WTO成员对跨境数据自由流动的限制在GATS规则下可能构成任意或不公正的歧视或变相限制。但是在规则层面,GATS电信附件中关于服务提供者使用网络进行跨境信息传输的规定、附件中关于“进人和使用公共电信传送网及服务”列举的允许条件和限制措施以及GATS一般例外条款,共同形成了跨境数据传输自由和国家对数据流动监管之间的相对平衡。当前形势下,在WTO项下就数字服务贸易达成共识非常困难,主要原因有二:一是贸易领域的数据资源流动尚未形成成员广为接受的、类似于“非歧视性待遇”之类的基石性原则,而取决于各成员在GAT
10、S协定下有关计算机和相关服务的市场准人政策及所做的具体承诺。二是国内基于个人隐私保护或个人信息权保护等的法律法规都有可能造成对数字服务贸易的限制。(二)双多边贸易体制下数字服务贸易规则存在分歧目前各国在数字服务贸易涉及的诸多议题上难以达成一致,尤其是在第二代数字贸易议题方面,包括数字服务税、数据跨境流动、数字服务市场准入等问题上分歧较大。欧盟为了扩大征税权,对开征数字服务税持支持态度,美国则因数字服务税将限制美国跨国企业的海外竞争优势而反对欧洲各国单边征收数字服务税的行为。以数据跨境流动为例,跨境数据流动规制的目标分歧、规制共识和合作基础薄参见周念利等:基于DEPA探究亚太地区数字贸易治理前景
11、,长安大学学报(社会科学版)2 0 2 2 年第2 期,第18 页。参见谢卓君等:全球治理中的跨境数据流动规制与中国参与一一基于WTO、C PT PP和RCEP的比较分析,国际观察2 0 2 1年第5期,第10 4页。3参见朱福林:数字贸易规则国际博奔、“求同”困境与中国之策,经济纵横2 0 2 1年第8 期,第45-46 页。4参见宋丽等:数字服务贸易规则的发展趋势及中国的因应之策一一以海南自贸港为视角,上海政法学院学报2 0 2 0 年第2 期,第46 页。参见刘宏松等:美欧数字服务税规则博奔探析,欧洲研究2 0 2 2 年第3期,第7 8 页。109夏菌:国际法视野下对中国的启示展弱、规
12、制协调的功能受限,是当前对跨境数据流动的有效国际治理缺失的主要体现,也是造成跨境数据流动全球治理国际法治匮乏的主要原因。另外,已有的国际数据跨境流动政策调整对象以个人数据为主,在对政府数据等非个人数据的开放、流动、合理利用与流转等问题上,各国受各自保护制度和保护水平的影响大,合作型的数据市场建设受到较大阻碍,非个人数据提出的不同于个人数据治理的规制要求呕待回应。其次,各国在贸易规则体系场域中话语权的争夺激烈。区域和双边、多边贸易协定模式发展较快的主要是由美国和欧盟各自主导的贸易规则体系。欧盟主导的规则相比“美式模版”约束力更强,其基于“权利话语”的隐私权保护标准高,但欧式模版体系性相对较弱。以
13、欧盟一日本经济伙伴关系协定文本为例,第8 章第1条和第8 章第3条规定了双方在服务贸易、投资自由和电子商务方面的管辖权,以及基于GATT协定第2 0 条,言明双方的规制措施不得造成对对方服务的任意、不公正的歧视或变相限制。有关数字贸易规则的条款并未单独成章。三、欧盟数据治理立法的改革历程回顾以欧盟为代表的区域共同体关于数据治理涉及的个人信息保护、数据要素的利用与共享、数据跨境流动等议题的立法发展迅速。在数字改革的背景下,欧盟提出,实施各项法案应立足于消除成员国之间的法律分歧,推动形成“单一数据市场”。从规则建构角度来看,欧盟通过数据立法改革在个人信息保护、数据自由流动监管和数据保护国际合作机制
14、三个方面形成了较为完善的法律体系。(一)欧盟内部的个人信息保护机制2012年,欧盟司法专员提出个人数据保护改革。欧盟企业大多向欧盟境外传输参见谢卓君等:全球治理中的跨境数据流动规制与中国参与一一基于WTO、C PT PP和RCEP的比较分析,国际观察2 0 2 1年第5期,第10 5-10 6 页。参见谭观福:数字贸易中跨境数据流动的国际法规制,比较法研究2 0 2 2 年第3期;胡苗苗等译:欧盟非个人数据自由流动框架条例指南,北外法学2 0 2 0 年第1期,第147 页;吴沈括等:欧盟数据治理新指向:非个人数据自由流动框架条例(提案)研究,网络空间安全2 0 18 年第3期,第31页。Se
15、e Robert Holleyman,Data Governance and Trade:The Asia-Pacific Leads the Way,National Bureauof Asian Research,9 January 2021,https:/www.nbr.org/publication/data-governance-and-trade-the-asia-pacif-ic-leads-the-way/,visited on 15 June 2023.4See European Commission,EU-Japan Agreement Chapter by Chapter
16、,https:/policy.trade.ec.euro-pa.eu/eu-trade-relationships-country-and-region/countries-and-regions/japan/eu-japan-agreement/eu-japan-agreement-chapter-chapter_en,visited on 15 June 2023.10武大国际法评2023年第4期数据,但欧盟此前的信息保护制度性框架数据保护指令中关于跨境流动的规则难以适应大数据时代信息快速流动的发展要求。作为数据治理改革举措的一部分:欧盟通用数据保护条例(GeneralData Pro-t
17、ectionRegulation,G D PR)是欧盟建立数据单一市场和推进数据安全议程的重要内容。GDPR对数据的“跨境流动”进行了概念界定,在数据资源逐渐成为全球经济发展核心资源的背景下,GDPR对跨国企业在欧运营影响巨大。GDPR确立了数据处理过程中应当遵守的七项基本原则:合法、公平、透明;目的限制;数据最小化;准确;存储限制;完整与保密;问责与合规。有关国际数据传输的法律规定主要体现在GDPR第5章。在跨境数据的具体监管路径方面,GDPR并不直接介入限制数据流动,而是通过判断数据接收方的保护水平是否达到标准来实现对数据流动的间接限制。GDPR规定了欧盟数据跨境传输的方式和应满足的条件,
18、包括基于“充分认定”(a d e q u a c y d e c i s i o n)的对于数据跨境传输限制的豁免、基于具备对数据主体权利的适当保障和有效法律救济的传输、跨国企业内部的“约束性企业规则”(binding cor-porate rules,以下称“BCRs规则”),以及基于公共利益等特定因素而允许的跨境传输。G D PR规则无须欧盟成员国立法程序转换即可在成员国直接适用。同时,由于在管辖标准上采取了“经营场所标准”(establishmentcriterion)加“目标指向标准”(t a r g e t i n g c r i t e r i o n)的模式,其地域适用范围得到了
19、扩张,在欧盟以外的国家产生了域外实施的效果。GDPR对于欧盟内部和整个国际数字贸易市场的影响存在明显差异。其统一并规范了欧洲的数据市场,促使欧盟进一步以其成员国之间达成的市场标准作为规范,在全球事务中强势发声。在对外部市场的影响方面,GDPR通过嵌人“充分认定”机制来判断非欧盟国家的数据保护水平,由此以数据方面的市场准人标准扩大了对境外数据的监管权,产生了数据监管模式输出的效果。4在对数据主体和企业权利保护方面,GDPR的数据治理改革借由对个人数据的跨境传输管理得以实现:以保护前置的理念,强化数据主体权利,将数据权利保护要求前置到数据收集和处理阶段,新增了包括更正权、清除权、数据可携权等一系列
20、权利;明确要求成员国不得以许可的方式管理跨境数据流动;增加了“充分认定”的对参见方芳:欧盟个人数据跨境流动政策的演变:市场统一与贸易规范,复旦国际关系评论第2 4辑,第16-31页。See Chapter 5 of GDPR,https:/gdpr.eu/tag/chapter-5/,visited on 15 June 2023.23参见王燕:数据法域外适用及其冲突与应对一一以欧盟通用数据保护条例与美国澄清域外合法使用数据法为例比较法研究2 0 2 3年第1期,第1-2 页;俞胜杰等:通用数据保护条例域外效力的规制逻辑、实践反思与立法启示,重庆社会科学2 0 2 0 年第6 期,第6 2-6
21、 4页。参见金晶:欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”,中外法学2 0 2 3年第1期,第46-53页;吴沈括等:欧盟GDPR与数据跨境问题分析,中国信息安全2 0 18 年第7 期,第31-37 页。夏菌:国际法视野下里立法发展及对中国的启示象类型;标准合同条款(standard contractual clause,以下称“SCCs条款”),为企业提供更多的、符合需求的个人数据跨境传输合同文本选择。(二)欧盟的数据流动监管机制欧盟数据流动监管分为全球市场上的数据流动与欧洲内部市场的数据流动两个方面。在数据跨境流动监管方面,欧盟形成了以基本权利保护为价值基础、以欧盟法院司法
22、审查为监管工具的模式。2 0 12 年启动的以个人数据保护为主题的立法改革虽然由司法部门主导,但无论是从欧盟官方文件还是从以最终形成的法律文本来看,欧盟该轮改革的目的都不仅限于消费者的数据权利或隐私权利保护,建立“数据单一市场”、推动欧盟数据产业发展与安全才是其更为迫切的考量。在欧盟委员会2 0 16 年立法工作计划中,数据保护改革被归人构建单一数字市场的举措中,而未归人司法和基本权利保护领域的规划中。3以数据保护为立法主旨,将法律规则视为赋权手段,GDPR体现了欧盟在数字化转型的时代背景下为应对全球数据经济竞争,对数据主权的维护与公民数据权利保护的协调。对于数据在欧盟市场内部的传输与流转问题
23、,2 0 18 年11月由欧盟立法机关通过的欧盟非个人数据自由流动框架条例明确提出“非个人数据”的内涵,要求禁止数据本地化限制,目的在于破除已有的数据保护制度对欧盟内部单一数据市场造成的阻碍(三)欧美数据隐私保护合作机制的更新从欧美的数字治理和贸易实践来看,双方在数字经济和数据流动监管方面竞争明显,数据传输与合作机制存在较大的不确定性。欧美此前数据监管合作集中于数据跨境流动的监管规则领域。下文以美欧隐私盾协议到跨大西洋数据隐私框参见叶开儒:数据跨境流动规制中的“长臂管辖”对欧盟GDPR的原旨主义考察,法学评论2 0 2 0 年第1期,第110-111页。参见金晶:个人数据跨境传输的欧盟标准一一
24、规则建构、司法推动与范式扩张,欧洲研究2 0 2 1年第4期,第8 9 页。See European Commission,Joint Statement on the Final Adoption of the New EU Rules for Person-al Data Protection,14 April 2016,https:/ec.europa.eu/newsroom/just/items/30856,visited on 15 June 2023.参见何傲:数据全球化与数据主权的对抗态势和中国应对一一基于数据安全视角的分析,北京航空航天大学学报(社会科学版)2 0 2 1年第3
25、期,第2 3页;CommunicationfromtheCommis-sion to the European Parliament and the Council,Data Protection as a Pillar of Citizens Empowerment andthe EUs Approach to the Digital Transition-Two Years of Application of the General Data Protection Regu-lation,24 June 2020,https:/eur-lex.europa.eu/legal-content
26、/EN/TXT/?uri=CELEX%3A52020DC0264,visit-edon15June2023.参见吴沈括等:欧盟数据治理新指向:非个人数据自由流动框架条例(提案)研究,网络空间安全2 0 18 年第3期,第31页。参见李墨丝:中美欧博奔背景下的中欧跨境数据流动合作,欧洲研究2 0 2 1年第6 期,第15页。武大国际法评论2 0 2 3年第4期架(European Commission and United States Joint Statement on Trans-Atlantic Da-ta PrivacyFramework)的更新为例加以说明。主要关注点为欧盟在数据保护
27、国际合作方面的旧有模式引发的争议,以及新模式中的规则调整。2020年7 月,欧洲法院对施雷姆斯II案做出裁决,认定欧美之间的数据传输机制隐私盾协议无效。SCCs条款虽然是欧盟在数据跨境传输中使用最多的工具,但其在欧盟与其他国家的数据合作实践中却并非没有阻碍。2 0 2 0 年8 月,爱尔兰数据保护委员会向脸书发布命令,要求其停止将用户数据从欧盟转移至美国,暗示SCCs条款也不能用于支持欧盟与美国之间的数据传输。受该案件影响,如果SCCs条款不能作为欧美跨境数据传输的法律基础,欧盟其他成员国可能也会做出相应的调整,要求脸书进行数据在欧洲的本地化保存。除了GDPR对企业造成的合规成本增加以外,欧美
28、隐私盾协议在爱尔兰高等法院和欧盟法院被裁定为无效。四、欧盟数据治理立法的新走向2020年2 月19 日,欧盟委员会发布欧洲数据战略(EuropeanStrategyforDa-ta),就数据经济发展制订了未来五年的规划。在欧盟关于数字经济已有的法律框架基础之上,该文件提出了欧盟在数据规则构建方面的重点计划:制定数据法,以解决数据访问、使用和跨部门治理的问题;计划在数据法中就公民授权个人数据的访问和使用做出规定,以期最大程度地赋能个人,增强对公民信息权利的保护;同时,拟在涉及成员国国家战略与公共利益的部门,推动形成协同治理机制,涉及工业、环保、医疗卫生、金融、能源等九大领域。另外,为提高欧盟在数
29、据存储、处理方面的能力,拟通过与成员国签署备忘录等方式,鼓励、推动有关云存储的项目投资2021年3月,该战略以决议的方式由欧洲议会投票通过。在数据战略的指引下,欧盟立法机关提出数据法(草案)数据治理法数字服务法和数字市场法。以此为代表的新规则,正是欧盟对于当前数字经济发展、数字贸易竞争与数据治理规则博奔所做出的回应。以下将从数据要素利用与共享、平台企业规制和数字市场竞争规则构建三个方面,对欧盟数据立法中的亮点和关键规则展开论述。参见李艳华:隐私盾案后欧美数据的跨境流动监管及中国对策软数据本地化机制的走向与标准合同条款路径的革新,欧洲研究2 0 2 1年第6 期,第2 5页。参见单文华等:欧美跨
30、境数据流动规制:冲突、协调与借鉴基于欧盟法院“隐私盾”无效案的考察,西安交通大学学报(社会科学版)2 0 2 1年第5期,第9 4页夏菌茵:国际法视野中国的启示展(一)促进数据要素的合理利用与共享2020年出台的数字治理法是在欧盟数据战略下尝试进一步革新数据治理模式的规则设计。该法根据个人和企业对数据资源的使用情况,将数据分为公共行政数据、健康数据、移动数据、环境数据和农业数据,旨在促进由公共部门控制的数据资源的流转,促进数据要素的价值释放。在数据共享方面,数字治理法制定了一系列促进信任度的措施,包括提出个人数据空间使用的机制,增强个人对自身数据的控制权,确保公民隐私权的充分保护;对于企业而言
31、,规定了重复使用数据的时间和义务限制,加快新产品和服务上市的效率,降低发展成本;针对公共部门,倡导建立可重复使用的公共部门数据使用机制,并配套相关的保护制度从2 0 2 1年欧洲议会通过的欧盟数据战略来看,拟出台的数据法中的规则将涉及数据在不同类型主体之间的共享,包括:(1)所有在欧盟市场上销售产品的制造商、相关服务供应商、此类服务的用户;(2)向欧盟数据接收方提供数据的数据持有者与欧盟数据接收方;(3)出于保护公共利益的职能而要求数据持有者提供数据的公共职能部门,应此类要求提供数据的数据持有者以及向欧盟客户提供此类服务的数据处理服务供应商。(二)强化对超大规模网络服务提供者的义务规范数字服务
32、法是针对网络中介服务提供者(providers of intermediary services)的立法,其突出特点是强化了大型网络平台和搜索引擎的责任。该法第2 条确立了管辖权范围,即在任何国家或地区设立营业场所的平台企业和搜索引擎,只要是为欧盟境内设立了营业场所的主体提供中介服务,即受数字服务法约束。在序言中,欧洲议会和欧盟委员会阐明了管辖范围条款背后的理念和司法实践中的裁量方法,即确保法令中的规则能得到有效执行,在欧盟范围内营造公平竞争的市场环境;关于“提供服务”的判断,立法者的建议为:需要证明服务提供者与欧盟“存在重大联系”(as evidenced by a substantial
33、connection to the Union),包括在欧盟设立了营业场所,或者在欧盟某个或多个成员国的用户数量在所涉国家总人口中占比极高。3参见曾彩霞等:欧盟企业数据共享制度新动向与中国镜鉴一一基于欧盟 数据法)提案的解析,德国研究2 0 2 2 年第6 期,第8 4页。See European Commission,Proposal for a Regulation of the European Parliament and of the Coun-cil on European Data Governance(Data Governance Act),Text with EEA Rel
34、evance,Brussels,25 November2020,COM(2020)767Final.See Regulation(EU)2022/2065 of the European Parliament and of the Council of 19 October 2022on a Single Market for Digital Service and Amending Directive 2000/31/EC(Digital Services Act).4武大国际法评论2 0 2 3年第4期数字服务法第33 43条界定了“大型网络平台”(verylargeonlineplatf
35、orms,以下称“VLOp”)和“大型搜索引擎”(very large online search engines,以下称“VLOSE”)的判断标准,即在欧盟境内每月活跃用户在450 0 万人以上。至于哪些互联网企业构成该法中的超大网络平台和超大搜索引擎,将由欧盟相关部门制定清单作为指引并定期更新。超大网络平台和超大搜索引擎信息处理规模和用户数量之巨,远远超出了其他数字平台服务提供者,相应地,其发布信息的影响力更大,引发系统性风险的可能性也更高。因此在义务规范方面,除了要履行数字服务法第三章第一部分同等适用于所有数字服务提供者的透明度报告等义务以外,数字服务法为VLOP和VLOSE服务提供者制
36、定了更高的义务规范。该法第三章第二部分至第五部分,针对该类服务提供者的特殊义务规定了风险评估、风险规避与响应机制,第三方专家合规审计,有关广告推送排序的信息透明度,配合本国数据服务专员调查,提供必要数据或平台算法信息等。通过这些规则设置,欧盟立法者意在对平台企业进行合理的差别化管理,在扩大管辖范围的同时,加强对大型数字企业与服务提供商的规制,以更好地保护欧盟网络服务消费者的合法权利,确保欧盟数字服务市场的公平有序竞争。欧盟一份针对数字服务法的评估报告分析了可能导致该部法律执行困难的各种因素,其中,欧盟法律框架的不足包括:(1)互联网企业对于数据有极大的控制力,而当前欧盟层面缺乏专门立法来保护数
37、据使用者的权利;(2)在争端解决方面,当前欧盟层面关于数字服务诉讼没有统一的规则,消费者进行申诉耗时长,且司法程序费用高昂;(3)在管辖权问题上,许多平台运营者尤其是占据欧盟市场主要份额的互联网企业总部不在欧盟。通常欧盟境内的交易商(traders)和这些平台企业之间的合同中都包含司法管辖权选择(a choice of jurisdiction)和平台运营者所在地法院的选择(a choice of courts referring to the jurisdiction of the seat of the plat-form operator),因此将导致欧盟法律在国际私法事项管辖中不适用。
38、2See Council of the European Union,Leveraging European Unions Competitiveness and Global In-fluence through an Ambitious Digital Services Package-Policy Debate,8470/1/21,https:/data.consilium.euro-pa.eu/doc/document/ST-8470-2021-INIT/en/pdf,visitedon15June2023;王燕:跨境数据流动治理的国别模式及其反思,国际经贸探索2 0 2 2 年第1期
39、,第10 4页;翰颖等:欧盟数据治理法中数据共享主体的运行逻辑及对我国的启示,太原理工大学学报(社会科学版)2 0 2 2 年第6 期,第6 1页;徐飞等:欧洲议会和理事会关于数字市场公平竞争条例(数字市场法)提案之解释性备忘录,竞争政策研究2 0 2 1年第3期,第45页。2See Niomo Lomba&Tatjana Evas,Digital Services Act,European Added Value Assessment,Euro-pean Parliamentary Research Service,https:/ on15 June2023.夏菡:国际法视野一欧盟数据治理对
40、中国的启示展(三)推动构建开放有序的数字市场拟通过的数据法和业已通过的数字市场法均涉及数字市场竞争。前者是针对不同类型主体的立法,主要是为数据的获取与使用订立规则;后者的监管对象是欧盟境内用户、企业提供平台服务的大型互联网平台企业,旨在推动构建公平、有序竞争的欧盟单一数字市场。数据法(草案)在继续推动数据公平共享的同时,确立了推动构建开放、有序竞争的统一欧盟数据市场的指向。欧盟数据战略涵盖未来五年欧盟数字经济发展的政策措施和投资策略安排,在立法规划部分,表示拟出台数据法。在竞争规则方面,欧洲议会在该战略文件中要求欧盟委员会确保用户数据可携权,保障信息技术设施的开放性;加强对大型数字企业的规制,
41、避免其滥用市场优势地位,从而保障不同体量的市场主体之间的公平竞争。从2 0 2 2 年2 月欧盟委员会提出的数据法(草案)文本来看,目前该立法尚在规划阶段,在为不同体量的数字企业构建公平竞争规则,尤其是加强对大型数字企业的规制方面,内容并不十分充实。该草案侧重于对数据处理行为定性以及与已有的欧盟数据规则之间的衔接。能否如提案中所计划的,确保不同主体之间公平的数据价值分配、促进数据的公平获取与使用,仍有待进一步观察。在数字市场法中,欧盟的数字竞争规则得到了进一步完善。该法的监管对象为欧盟大型在线中介服务提供者(gatekeepers),包括互联网访问提供商、域名注册商、托管服务提供者以及在线市场
42、、应用商店和社交媒体等网上平台。通过在互联网行业建立所谓的“守门人”制度,欧盟强化了对核心平台服务提供者和经营者的义务要求。该制度有利于弥补传统反垄断法对超大平台企业规制的不足,防止少数具有竞争优势的行为体利用其市场支配地位,排斥和限制竞争对手,对数据资源加以滥用。数字市场法构建“守门人”制度,目的在于更好地保护商业用户和网络终端个人用户的权利,同时维持良好的市场竞争环境。关于“守门人”企业的定义,即提供“核心平台服务”的商业存在,从业务范围上看涉及提供网络中介服务、搜索引擎、社See European Parliament Resolution of 25 March 2021 on a E
43、uropean Strategy for Data,https:/www.europarl.europa.eu/RegData/seance_pleniere/textes_adoptes/definitif/2021/03-25/0098/P9_TA(2021)0098_EN.pdf,visitedon15June2023.2See Regulation(EU)2022/1925 of the European Parliament and of the Council of 14 September2022 on Contestable and Fair Markets in the Di
44、gital Sector and Amending Directive(EU)2019/1937 and(EU)2020/1828(Digital Markets Act),Article 2(2).参见杨东等:设立“看门人”制度规制数字流量垄断一欧盟数字市场法(草案)对我国反垄断法修订的启示,中国市场监管研究2 0 2 2 年第2 期,第2 4页。4参见姚志伟:大型平台的个人信息“守门人”义务,法律科学(西北政法大学学报)2 0 2 3年第2 期,第113页。武大国际法评论2023年第4期交媒体服务等共十类在线服务的企业。从规模大小或影响力来看,达到“守门人”的标准意味着该企业对欧盟市场存在
45、“重大影响”(significant impact)、对商业用户与终端个人用户而言是重要平台,同时具有持久和稳固的市场地位。关于数字市场法第3条第1款所规定的“重大影响的判断,立法者给出的参考标准为:过去3个财务年度在欧盟的年收人达到7 50 亿欧元;或者平均市场资本价值达到7 50 亿欧元,且至少在3个欧盟成员国提供核心平台服务;每月在欧盟的活跃个人用户数量至少达到450 0 万;每年在欧盟的活跃商业用户至少达到1万。在义务规范方面,该法第5条至第7 条是针对核心平台的义务规定。第5条以禁止性规范和命令性规范两种形式列举了“守门人”的义务,禁止性规范包括不得在未经用户知情同意或选择的情况下加
46、工、合并、共享数据。命令性规范如,在广告商要求的情况下,应当为其服务的广告商或广告商授权的第三方免费提供有关广告投放的每日讯息更新。第6 条第3款至第4款规定了对终端用户使用平台服务、软件应用方面提供技术支持的积极义务。在竞争规则方面,第6 条第2 款和第5款规定了与商业用户的竞争和与第三方企业的竞争相关的行为要求,包括不可出于与商业用户竞争的目的,利用无法通过公开渠道获取的信息。通过提出“守门人”的概念,增强对这类企业在透明度、公共责任义务方面的要求,欧盟的数字经济反垄断监管和规制的新路径已呼之欲出。该法已于2 0 2 3年5月2 日起开始实施。五、对我国参与国际数据治理的建议从新近立法来看
47、,欧盟的数据治理法律规则发展可能对全球范围的数据规则构建产生重大影响。通过完善对数据主体的监督,为不同体量的市场主体构建相对公平、合理的数据市场竞争规则,欧盟的数据治理立法也在一定程度上为我国数据立法完善和参与国际规则构建提供了借鉴。在我国,关于数据跨境流动监管,2 0 2 2 年7 月出台的数据出境安全评估办法将数据划分为重要数据、关键信息基础运营者处理的数据与一定数量的个人信息三类,在对“重要数据”的概念做出解释的基础上规定此三类数据出境都应当进行评估。在公民权利保护方面,个人信息保护法专章强化个人信息处理者的义务,对提供重要服务、用户数量大、业务类型复杂的互联网平台规定了与其影响力相匹配
48、的特别义务,同时明晰了个人在个人信息处理活动中的各种权利。个人信息保护法立足我国实际并借鉴国际经验,确立了处理个人信息应遵循的原则,强调处理个人信息应当以合法、正当、必要和诚信为原则;对个人权益的影响尽可能低,以及采取安全保护措施等。另外,我国在金融、医疗、网络产品与服务等行业领域也有诸多1参见丁晓东:数据跨境流动的法理反思与制度重构一兼评数据出境安全评估办法,行政法学研究2 0 2 3年第1期,第6 2 页。夏菌:国际法视野数据冶理发展及对中国的启示针对性的规范文件。随着大数据产业的快速发展,近年来我国各地加快了数据立法。已出台的地方数据条例中,上海、海南、山西等地的规定不同程度涉及数据跨境
49、流动方面的创新举措,包括设立并运营数据交易所,推动国际数据港、国际数据传输与流转枢纽平台建设,建立国际互联网专用通道等基础设施,鼓励参与大数据领域的国际标准制定。如前所述,我国的数据立法基本框架已经建立。未来数据法的完善可考虑三个方向:数据立法的统一和融合、数字服务贸易立法或在已有的外商投资法和对外贸易法中加入数据处理与利用的相关内容。在推动数据要素共享方面,为充分发挥数字要素对于经济的促进作用,未来我国不宜将数据出境安全评估作为单一合规机制,可参考欧盟经验,采取多样化的流动机制。在数据跨境流动合规方面,要关注数据跨境流动的政策目的及严苛程度,考虑可能产生的不公平竞争等问题。在数字贸易规则方面
50、,我国应考虑寻求利益共同体形成谈判集团,支持并推动WTO改革,回应在数字贸易、电子商务等方面的新发展,推动发达国家和发展中国家在存在共同利益的规制融合议题上展开多边谈判。在监督体系方面,平台企业在国际市场上可能受到来自不同辖区当局的监管,一旦产生纠纷,容易遭遇国家间管辖冲突的困境。目前的国际数据治理规则对平台企业跨国业务与运营监管有诸多不明确和不合理之处。这种规则冲突是企业国际化运营可能遇到的法律风险,我国应积极探索国家间司法协调、投资保护和救济机制等规则完善,强化数字领域海外投资的风险预警、纠纷调解等工作机制,为平台企业降低运营风险;同时,要督促本国的数字企业积极制定自我评估指南和网络系统风
浙ICP备2021020529号-1 | 浙B2-20240490 
