歐盟數據戰略的目標沖突與中間道路*

王中美

2020年2月，歐盟委員會公布了《歐盟數據戰略》，正式提出并描述了歐盟在未來五年打造數據經濟的政策措施與投資戰略。同時發布的還有《塑造歐洲的數字未來》和《人工智能白皮書》兩份歐盟委員會報告。數據、數字經濟、人工智能三者密切聯系在一起，其中數據可能是賦能的基礎要素，對歐盟來說也關涉人文精神與價值觀。從過去十年歐盟的努力來看，歐盟數據戰略仍然有很多沖突性的矛盾需要解決，其選擇的道路較之美國和亞洲一些國家具有獨特的中間模式特點。

一、歐盟數據戰略的沿革與變化

(一)第一階段：促進公共部門信息的再利用

歐盟數據戰略的核心是“解鎖各種類型數據的再利用潛能和創造歐洲數據共同空間”。(1)“Data Policies and Legislation,” https://ec.europa.eu/digital-single-market/en/data-policies-and-legislation.歐盟初期的努力主要聚焦于“公共部門信息”(public sector information)的再利用。2002年歐盟委員會建立了一個專門的“公共部門信息專家組”(PSI Group)，2003年發布了第2003/98/CE號指令(2013年被2013/37/UE號指令修正)，(2)“Modifiant la Directive 2003/98/CE Concernant la Réutilisation des Informations du Secteur Public,” https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:32013L0037.其主要內容是要求成員國之間應該對公開信息的共享和再利用加以鼓勵和提供便利。歐盟并就此制定了一套最低規則(minimum set of rules)，但是否授權再利用的決定權仍然保留在各成員國。值得一提的是，歐盟之所以選擇從公共部門信息入手，是因為早在1995年通過的第95/46/EC號指令(3)European Parliament and the Council, “Directive 95/46/EC of the European Parliament and of the Council,” https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&rid=5.規定了對個人信息(personal information)的強有力的保護。按照95/46/EC指令的規定，個人信息不得被以與之最初被收集時特定的、明確的和合法的目的不一致的方式被進一步處理和收集。這基本上堵住了個人信息再利用的可能途徑。

作為公共部門信息再利用的范本，歐盟委員會首先從自身做起，免費在線開放了其所擁有的統計數據、出版物和法律文件。2011年歐盟委員會通過第2011/83/EU號決定(4)European Commission, “Commission Decision of 12 December 2011 on the Reuse of Commission Documents (2011/833/EU),” https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32011D0833.，將其信息的共享再往前推一步，建立一個數據門戶以進一步簡化數據的再利用。歐盟委員會的決定僅為信息的商業和非商業使用設置了三個條件，即注明出處、不得扭曲和歐盟委員會不為信息使用的后果承擔任何責任。2013年歐盟發布了“數據供應鏈倡議”(5)European Commission, “A European Strategy on the Data Value Chain,” https://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?action=display&doc_id=3488.，其核心是建立“公私伙伴關系(public-private partnership，PPP)”，希望在公有部門努力的基礎上，將更多的私人部門納入到全歐數據生態圈中。但公共數據的共享問題在成員國層面推行的情況參差不齊，比較有成效的建設仍然集中在研究和教育領域，如建立了“泛歐研究與教育數據網絡”。

“數據供應鏈倡議”服務于歐洲“地平線2020計劃”(6)歐洲地平線2020計劃是目前為止最大的歐盟研究與創新計劃，首期投入(2014～2020)預計達800億歐元。該計劃將鼓勵具有突破性的世界一流的科技成果向市場轉化。參見“What is Horizon 2020,” https://ec.europa.eu/programmes/horizon2020/en/what-horizon-2020。，特別鼓勵科學數據在歐洲內部的共享和再利用，以促進歐洲整體科技與創新能力的提升。所謂“公私伙伴關系”實際上是希望將公共部門和私人部門動員起來，打造歐洲內部密切結合的數據生態系統。其具體措施包括鼓勵大學、研究機構和企業的聯合研發，促進成果轉化；培養數據相關合格人才；對中小企業特別扶持；鼓勵對數據領域新創或成長企業投資；加快電子政務建設；公有部門率先采購新數據服務；廣泛的數據可得和再利用；基礎設施建設，包括網絡、存儲器和便利研發的設備的建設；歐洲范圍內云計算使用。通過這些措施，數據生產、存儲、處理、采購和再利用的供應鏈能進一步通暢起來，直接作用于數據產業的發展。直到今天，這些措施仍是歐洲數據戰略的重要組成部分。

(二)第二階段：打造數據驅動的經濟

2013～2016年，歐盟又出臺了一些政策和立法，基本上圍繞“公私伙伴關系”，致力于發揮數字技術在歐盟經濟中的推動作用。這一時期的關鍵詞是“數據驅動的經濟(data-driven economy)”(7)European Commission, “Digitising European Industry,” https://ec.europa.eu/digital-single-market/en/policies/digitising-european-industry.，重心是全歐網絡等基礎設施的可用性、互聯和速度。(8)“Connectivity for a European Gigabit Society,” https://ec.europa.eu/digital-single-market/en/policies/improving-connectivity-and-access.“數據驅動的經濟”被認為具有以下幾個特點：(1)高質量的、可靠的和可互操作的數據資產(datasets)和高效的基礎設施；(2)能夠便利數據資產增值的完善的框架條件，包括人才、法律和公私合作等；(3)大數據能發揮作用的大量應用領域，既包括強大的信息與通信技術硬件系統，也包括公共部門通過采購、試用扮演數據產品的首批客戶角色等。(9)European Commission, “Towards a Thriving Data-driven Economy,” pdf, pp.5～6.

在這一階段，歐盟已經發現自己在大數據時代遠遠落后于美國，而且缺乏產業能力，有競爭力的企業也比美國少得多。歐洲一方面已經暴露出在網絡基礎設施、代表性企業、產業運用、數據人才等方面的短板，另一方面其嚴苛復雜的法律環境加大了數字資產接入的難度并制造了創新的障礙。(10)European Commission, “Towards a Thriving Data-driven Economy,” pdf, pp.2～3.但是，歐盟也認為，促進數據驅動的經濟的條件是提高數據的保護水平和信任，因為這對數據驅動的經濟至關重要。

這一時期與數據戰略密切相聯系的是歐洲“數字單一市場”(digital single market，DSM)戰略。(11)European Commission, “A Digital Single Market for the Benefit of All Europeans,” https://ec.europa.eu/digital-single-market/en/news/digital-single-market-benefit-all-europeans.“數字單一市場”戰略提出在歐洲實現人員、服務和資本流動的自由化之外，推動網絡和在線活動的無縫接入，以促進歐洲內部競爭條件的公平。這一戰略要求高效的基礎設施，包括云計算、超級計算器、5G網絡、物聯網和公共數據設施。在2014～2019年期間，歐洲戰略投資基金(EFSI)向數字經濟領域投入了413億歐元，同時與成員國共同投入10億歐元建立世界級的歐洲超級計算機設施；(12)歐洲超算項目(The Euro HPC Joint Undertaking)建立于2018年，目標是在2020年底前建成世界級的超算中心，用以支持包括醫藥、生物工程、氣候、新材料、油氣開發、飛機和汽車設計以及智慧城市方面的產業發展，目前已有30個歐洲國家參加了這一項目。約2800個歐洲城市被挑選獲得價值15000歐元的WIFI4EU免費券，該項目在城市的公共區域(市政廳、圖書館、博物館、公園等)建立WIFI熱點；歐洲5G項目正在推進；同時還希望在2020年對所有市民和企業提供“一鍵進入”的行政手續辦理，即“單一數字門戶”(sing digital gateway)。除了基礎設施的改進外，“數字單一市場”戰略還聚焦于法律與規則的保障。歐盟委員會提出了30項法案，其中28項獲得通過，涵蓋了包括電子商務、在線平臺、電子合同和簽名、價格透明度、無障礙電子閱讀等方方面面的細小領域，以推動從商務到生活的數字經濟的便利化。

盡管迫切希望推進以數據驅動的經濟和數字單一市場，歐盟也認識到由此產生的規制問題。這些規制問題為數據戰略的推進消除障礙的同時也可能形成新的阻礙和限制。2014年以來，歐盟對于數據規制的關注主要聚焦于四個方面。(1)個人數據保護和消費者保護。這一問題在歐洲是廣泛關注的社會問題，涉及價值觀和人權，因此是非常復雜的社會、政治、經濟、法律和技術問題。(2)數據挖掘(data mining)。這主要涉及著作權。(3)由大數據引起的信息安全問題。這涉及基礎設施要求、責任分割、數據使用等方面。(4)所有權和數據傳輸。數據的本地存儲在一些領域的要求限制了數據的跨境流動，進而對歐盟在云計算和大數據方面形成單一市場構成障礙。歐盟特別關注物聯網技術獲得的數據的所有權和相關責任。

(三)第三階段：在高保護前提下推動私人部門數據的再利用

2018年以后，歐盟開始將數據再利用的觸角向私人部門(private sector)持有的數據延伸，其重點是在線收集的數據和物聯網(IoT)技術運用后產生的數據。歐盟提出大數據分析工具和人工智能運用將是重要的技術引擎，這都離不開數據的共享和再利用。(13)European Commission, “Guidance on Private Sector Data Sharing,” https://ec.europa.eu/digital-single-market/en/guidance-private-sector-data-sharing.對于私人部門數據的再利用，歐盟提出了B2G(business to government)和B2B(business to business)兩種模式。B2G強調私人部門為公共部門提供數據收集、分析和處理等服務，幫助公共部門提高在城市規劃、疫情防控、道路和交通管理、環境保護、市場監控和消費者保護方面的能力。B2B則主要針對物聯網產生的數據的再利用，是機器產生的非私人的數據在企業之間的共享，其出發點是為了公平競爭和鼓勵后續創新。

從實際的成效來看，B2G在政府的推動下先行一步。歐盟委員會公布的最佳實踐案例也主要集中在B2G。(14)European Commission, “Good Practices and Pledges on B2G Data Sharing,” https://ec.europa.eu/digital-single-market/en/good-practices-b2g-data-sharing.例如，在芬蘭，森林每年提供約84億歐元的國內生產總值，而大多數與森林相關的數據可以從Mets??n.fi網站上獲得。這一門戶網站聯結森林所有者和第三方服務提供者，網站上的數據都以隱名的形式提供，如果要獲得具名的信息，則要依法通過特定的注冊程序獲得。在B2G模式下，芬蘭森林中心(芬蘭農業與森林部下屬的公共機構)也在建設一個重要的新數據平臺，推動數據(包括氣候、環境、規劃、木材等)在私人部門的運用，如向私人部門提供木材的采購和成本核算等信息，同時政府也能獲得更多渠道的數據。芬蘭于2018年3月開始正式推動森林相關數據的開放，到2020年3月數據下載量達到10.5TB。(15)“Good Practices B2G Data Sharing Finnish Forest Data Ecosystem,” https://ec.europa.eu/digital-single-market/en/news/good-practices-b2g-data-sharing-finnish-forest-data-ecosystem.

事實上，私人部門持有數據的分享問題一直沒有取得突破性的進展，其原因之一是涉及個人信息的數據保護問題。歐盟的《通用數據保護條例》(GDPR)是1995年第95/46/EC號指令的修訂版，其基本原則并沒有實質性的變化，只是應信息時代的特點作了具體規則上調整。2018年5月這一條例生效，被認為是歐洲數據戰略的重要組成部分。如前所述，歐盟堅持認為，只有在提供充分保護并建立信任的基礎上才可能談個人數據的再利用和流動，因此《通用數據保護條例》也被認為是目前世界上對個人數據保護力度最大的立法。例如，依據《通用數據保護條例》，被界定為個人數據的數據是指可以識別個人的信息，包括姓名、性別、電話號碼、住址、身分證字號或是社會安全號碼等，以及其他可以直接或間接過濾出特定對象數據的數據類型，如網絡瀏覽器中的Cookie、網絡IP地址，或是包括其他足以識別特定個人身份或性別的基因、生物特征或醫療數據等。

簡單概括《通用數據保護條例》的內容，可以歸結為以下三個原則：(1)所有涉及個人信息收取、處理和利用的活動都必須事先取得當事個人的明確同意；(2)數據持有企業分為“數據控制者”和“數據處理者”，二者都負有數據保護的直接責任，需要滿足歐盟在硬件、程序和人員配備上提出的一系列要求；(3)在確立安全和充分保護的前提下，鼓勵數據，特別是非個人數據在歐盟內部的自由流動；在嚴格的條件下，可以允許個人數據轉移到經歐盟認定具備充分保護水平的第三國、(16)截至2020年2月，歐盟已對13個國家給予安全認定，包括安哥拉、阿根廷、加拿大(商業組織)、法羅群島、格恩西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭和美國(僅限于隱私盾框架)。參見 “Adequacy Decisions: How the EU Determines if a Non-EU Country has an Adequate Level of Data Protection,” https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en。第三國的某個區域或特定部門以及國際組織；同時也允許跨國企業內部在具備“有約束力的公司規則”(binding corporation rules，BCR)(17)在《通用數據保護條例》之前，已有部分歐盟成員國的監管機構接受“有約束力的公司規則”，包括埃森哲、寶馬汽車、惠普、摩托羅拉等72家跨國公司獲得了“有約束力的公司規則”的認可。下進行數據轉移?！锻ㄓ脭祿Ｗo條例》被稱為最嚴的數據保護法主要體現在對違反行為的巨額罰金，但該條例也明確規定，不能以保護個人數據中的相關自然人為由，對歐盟內部個人數據的自由流動進行限制或禁止?！锻ㄓ脭祿Ｗo條例》是以建立保護為前提推動數據的流動，但也在公共利益、個人其他重大利益、數據控制者的正當利益等方面進行了一定的平衡，設定了許多限制條件。

《通用數據保護條例》的實施對歐盟的數字經濟帶來了巨大的影響。所有在歐盟經營或從歐盟獲取數據的企業都需要遵守《通用數據保護條例》，因此這一法令較之過去任何一次指令、行動和倡議，都更為私人部門所重視。從這個意義上來看，歐盟的數據戰略上了一個新的臺階。隨后2018和2019年歐盟又密集出臺了《非個人數據自由流動條例》、(18)European Parliament and of the Council, “Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a Framework for the Free Flow of Non-personal Data in the European Union,” https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R1807.《網絡安全法》、(19)European Parliament and of the Council, “Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act),” https://www.legislation.gov.uk/eur/2019/881/contents#.《公開數據指令》(20)European Parliament and of the Council, “Directive (EU) 2019/1024 of the European Parliament and of the Council of 20 June 2019 on Open Data and the Re-use of Public Sector Information (Recast),” https://www.legislation.gov.uk/eudr/2019/1024/contents#.等法律法規。在這樣的背景下，2020年2月歐盟委員會公布的《歐盟數據戰略》報告(21)European Commission, “A European Strategy for Data,” https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf.繼續列明歐盟在未來五年將要采取的政策措施和投資。報告提出，全球數據總量將從2018年的33ZB增長至2025年的175ZB，這將帶來巨大的機遇，因此為歐盟設定了三個2025年數據目標(基于2018年的數字)，即(1)數據經濟的產值從3010億歐元增長到8290億歐元；(2)數據專業人員數從570萬人增長到1090萬人；(3)歐盟具有基本數字技能的人口占比從57%增長到68%。(22)European Commission, “European Data Strategy: Making the EU a Role Model for a Society Empowered by Data,” https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy.報告特別提出，希望通過一系列的政策和措施使得歐盟在數據經濟中的份額至少與其經濟體量相當。

二、歐盟數據戰略的目標沖突：一體化、隱私保護、流動和競爭力

盡管歐盟從2002年開始關注公共部門信息的共享問題，但是將數據問題上升到戰略角度不過是近十年時間的事。事實上，在美國20世紀90年代開始的數字經濟創新浪潮中，一大批美國企業崛起并壟斷了社交媒體、在線購物、網絡游戲和智能手機等消費領域。進入21世紀，日本、韓國、中國等亞洲國家的企業也陸續成長起來后，歐盟發現自己在信息技術設施、設備、網絡和內容各方面都落后了。根據麥肯錫報告，目前歐洲數字經濟占國內生產總值的比例約為1.7%，大大低于美國的3.3%和中國的2.1%。(23)《默克爾急了！三季度GDP僅增0.1%，敦促歐盟奪回數據控制權》，https://news.hexun.com/2019-11-16/199292480.html。特別是數據方面，歐洲企業的數據基本上都存儲在亞馬遜、谷歌和微軟的云服務。在人工智能技術的催化下，歐盟對這些數據增值服務的依賴可能繼續加大，因此這對歐洲來說是關涉政治、經濟、社會、文化的重要問題。

依據2020年2月歐盟委員會發布的《歐盟數據戰略》，歐盟數據戰略的目標是確保歐盟在數據賦能的經濟中成為領導者，為此，它希望通過建立一個真正的歐盟數據空間(data space)、一個單一數據市場(single market for data)去解鎖更多未經使用的數據，允許這些數據在歐洲內部和各部門間自由流動，以促進經濟增長和創新。雖然在很多場合，歐盟表達了對數據控制權和競爭力的擔憂，但其公布的數據戰略仍然是比較寬泛和靈活的，并未有非常細致、具體的安排，這是因為歐盟希望保留數據市場的活力和自由。歐盟委員會主席烏爾蘇拉·馮德萊恩說：“今天我們展示了塑造歐洲數字未來的雄心壯志。它涵蓋了從網絡安全到關鍵基礎設施、從數字教育到技能、從民主到媒體的一切。我希望數字歐洲反映出歐洲最好的一面，即開放、公平、多樣化、民主和自信?！?24)《歐盟發布人工智能白皮書，計劃每年吸引200億歐元AI投資》，https://new.qq.com/omn/20200220/20200220A0PENI00.html?pc。

盡管理想高遠、道德標桿立得很高，歐盟可能無法同時實現這么多商用和非商用的目標。歐盟的數據戰略與數字經濟、電子商務、人工智能等問題密切相聯，但又更為敏感復雜，在實踐中一直以來就存在一些自相矛盾和自我沖突的問題。如前文所展示，過去三個階段的歐盟數據戰略的推進基本上仍然局限于數據在公共部門的共享和公共部門如何更好地利用數據服務上，法規法令則主要是提高私人數據的保護，以建立流動的信心。這些還都是基礎工作，關鍵是下一步數據如何流動和更好地應用于經濟。歐盟仍然要解決下述三個重要矛盾或沖突，才可能推動歐盟數據賦能的經濟的實質變化。

(一)歐盟數據單一市場與成員國數據主權的沖突

歐盟數據戰略提出，首先應當建立恰當的數據治理、接入和再利用的法規框架，以促進數據在歐盟內部的自由流動。以《通用數據保護條例》為例，在強調個人數據保護的前提下，該條例特別規定了“一站式(one-stop)”數據保護監管模式。簡單來說，企業如在歐盟多個成員國有業務營運的，可以選擇一個成員國的監管機關作為帶頭監管機關(lead supervisory authority，LSA)，企業只需要與這個帶頭監管機關對接《通用數據保護條例》中的數據保護監管事務，而無需分別與多個成員國的監管機關打交道。原則上，企業應選擇其主要機構(main establishment)所在地的監管機關為帶頭監管機關。(25)European Commission, “Guidelines on the Lead Supervisory Authority (WP 224 rev.01),” https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235.如果涉及對該企業的投訴遞交到其他成員國監管機關的，其他成員國監管機關應當不遲延地報告給帶頭監管機關，而帶頭監管機關應當在三周內決定具體由哪家監管機關處理該投訴，所有監管機關應當加強合作。

這一看似理想的一站式架構卻也反映了歐盟內部仍然存在多國監管的難點。雖然通過《通用數據保護條例》的實施，各成員國在數據保護方面實現了法規框架的基本一致，但各成員國在具體規定、程序、效率等方面仍然存在諸多的不一致。(26)以德國為例，德國的數據監管權不在聯邦層面，而是交由16個州政府，為了協調執法，聯邦層面成立了“數據保護會議”。同時，德國聯邦數據保護與信息自由委員負責電信服務中的數據保護問題，并作為德國代表參加歐盟數據保護委員會。而且《通用數據保護條例》第56(2)條明確規定，如果一項侵權行為發生在其境內或實質性影響了其境內數據當事人，成員國監管機關有權執法。這一規定使得帶頭監管機關的作用也很有限。為了進一步解決多國監管的問題，歐盟又成立了“歐盟數據保護委員會”(European Data Protection Board，EDPB)。該委員會由各成員國監管機關的代表組成，負責監督《通用數據保護條例》在全歐的實施，可以對跨國數據處理問題作出有約束力的決定，同時發布相關指南，指導全歐對條例的一致解釋。(27)European Commission, “EU Data Protection Reform: Ensuring its Enforcement,” https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-role-edpb_en.pdf.

《通用數據保護條例》對違反行為規定了高昂的罰金——最高達該企業全球營收的4%或2000萬歐元，但這在各自為政的多國監管體系下也存在實施的沖突問題。在《通用數據保護條例》出臺之前，跨國數據保護問題可能由多國監管機關依照本國法律進行執法并處以罰金，這可能存在同一行為的疊加調查或疊加懲罰?！锻ㄓ脭祿Ｗo條例》出臺之后，類似跨國案件可能提交給歐盟數據保護委員會，由涉案成員國的監管機關代表共同選擇一個牽頭機關，此牽頭機關作出的調查決定或者經所有涉案成員國同意或經所有成員國多數表決通過，可以對所有涉案成員國有約束力。這就一定程度地避免了疊加和沖突。

但是這是理想情況，即多國監管機關同時發現涉案行為，并決定提交給歐盟數據保護委員會。在實踐中，情況要比假設的理想情況復雜得多。數據當事人所在地、主要侵權行為發生地、數據控制者主營地等可能在不同的成員國，執法時間可能有先有后，重點和角度也千差萬別。尤其是在涉及法院司法程序的情況下，問題可能更多。各成員國法院遵循的國內數據侵權法律與《通用數據保護條例》在歐盟層面的實施之間也存在協調問題?？偟膩砜?，由于未能建立統一的執法與司法體系，跨國數據的保護關涉各成員國的數據主權(data sovereignty)問題，目前相互間的權限沖突并不能依靠歐盟數據保護委員會完全解決。而且，由于數據跨國收集和處理在歐盟廣泛存在，數據歸屬始終是個突出的問題。

(二)隱私保護與數據再利用的沖突

按照歐盟數據戰略的基本思路，首先應當建立個人數據得到充分保護的信任，才有可能推動個人數據的流動和再利用。在2020年的《歐盟數據戰略》中，歐盟提出將特別關注以下領域數據的應用：工業制造、“綠色”數據、可持續發展、流動、健康、金融、能源、農業、公共行政等。(28)“Shaping Europe’s Digital Future: Commission Presents Strategies for Data and Artificial Intelligence,” https://ec.europa.eu/eip/ageing/sites/eipaha/files/news/shaping_europe_s_digital_future_commission_presents_strategies_for_data_and_artificial_intelligence.pdf.這些領域的發展可能涉及兩方面活動產生的數據，一是物聯網數據，即由機器產生的數據；二是人的數據，即由消費者或使用者產生的數據。物聯網數據由私人部門所有和控制，共享和流動的問題還相對簡單，而人的數據的所有者、控制者和利用者都可能不同，且因為可能涉及隱私，在歐盟引起特別大的關注。另外，由于第二方面人的數據大量被收集和掌握在美國公司手中，這更引起歐盟的憂慮，因此才有了《通用數據保護條例》的出臺。

《通用數據保護條例》規定，個人數據的采集只能用于指定的、明確的、合法的目的，不得采用與這些目的不相符的方式進行進一步處理。數據當事人必須能夠訪問其個人數據，且有權對違反指令要求進行處理的個人數據進行整改、擦除或屏蔽。數據控制方必須采取適當的技術和組織措施，防止個人數據遭受意外或非法破壞、意外丟失、篡改、越權披露或訪問。關于個人數據的保護，《通用數據保護條例》為控制和處理數據的企業創設了很多實體和程序上的義務，這些繁復的義務及嚴厲的罰金設定的出發點就在于保護個人隱私。這被認為是歐洲人文精神和價值觀的體現。

但是，在個人數據保護非常嚴格的情況下，究竟數據可能因為安全和信任而更廣泛地流動，還是因為障礙過高而不能有效地流動，是一個并沒有定論的假設前提。歐盟選擇相信以保護為前提、以信任為基礎的流動在歐洲這樣的社會里會得到更多的接受。但從實踐效果來看，初始收集和利用個人數據階段的責任設置已經很復雜，如果進入再利用渠道，責任劃分可能更加具有不確定性。在這樣的情況下，企業很可能因為擔心承擔個人數據泄露的責任而不愿意公開和共享有關數據。如何促進私人部門所掌握的個人數據的再利用一直是個難題，而提高隱私保護并不能破解。簡言之，加重隱私保護責任與數據流動之間本身就存在天然的沖突。

在歐盟，這個沖突還會被進一步放大。歐洲的個人數據大多數由美國的互聯網或云服務公司控制，所以歐盟既想對這些跨國公司加諸責任，又希望個人數據最終服務于歐盟產業和市場，其本身能調用的工具已經捉襟見肘。歐盟規定，個人數據不得傳輸到歐洲經濟區以外的國家或地區，除非該國家或地區能確保與個人數據處理相關的數據當事人的權利和自由得到充分的保障。與美國達成的“隱私盾(privacy shield)協議”在很大程度上是因為歐盟處于較為被動的位置，雖然有一系列美方政府承諾、(29)美國政府向歐盟出具了書面承諾，公開表示以國家安全為由進行的訪問都必須受到約束和監管，保證不會對根據“隱私盾”協議轉移到美國境內的個人數據進行不加鑒別的、大規模的監視，批量收集的公民數據只能用于反恐、防擴散、網絡安全等六個特定目的，且不得破壞“隱私盾”協議的原則。另外，美國建立了獨立于國家安全部門之外的監察專員機制，專門負責跟蹤和處理個人提出的投訴和咨詢。爭端解決程序安排和年度聯合審查的安排，但在歐盟內部仍然有社會團體以隱私保護不力為由加以反對。(30)互聯網新技術新業務安全評估中心：《隱私盾：歐盟—美國數據轉移規則的最新狀態》， https://www.secrss.com/articles/8067。盡管如此，歐盟已經認識到，如果一味強調保護個人數據，將個人數據固守在歐盟內，不允許傳輸或流動，從長遠來看，歐盟就不可能獲得在數據驅動的經濟中的領導者角色。因此，歐盟對數據跨境流動問題一直持中立態度，既不完全支持美國的激進立場，也不贊同中國等國家堅持的絕對數據主權立場。

(三)數據壟斷與公平競爭的沖突

從《通用數據保護條例》公布之時起，關于數據接入(access)的問題就一直被認為可能成為該條例與競爭法之間的重疊領域。(31)被廣為提及的施雷姆斯(Schrems)案中，原告施雷姆斯就臉譜將歐盟個人數據傳遞到美國、侵犯個人隱私一事提出申訴。2016年就隱私盾更新后的申訴書可見Mag. Maximilian Schrems, “Complaint Against Facebook Ireland Ltd,” http://www.europe-v-facebook.org/comp_fb_ie.pdf; 歐盟法院之前就歐美安全港的意見可見“Opinion of Advocate General Bot,” http://curia.europa.eu/juris/document/document.jsf?docid=168421&doclang=EN; 關于穩私盾的更多爭議，可參考Hayley Evans and Shannon Togawa Mercer, “Privacy Shield on Shaky Ground: What’s up with EU-U.S. Data Privacy Regulations,” https://www.lawfareblog.com/privacy-shield-shaky-ground-whats-eu-us-data-privacy-regulations。在數字經濟下，擁有某一領域海量數據本身可能成為重要的資產和競爭優勢，因此涉及大數據的限制競爭行為就可能觸發競爭法的約束機制。以搜索引擎為例，越多的檢索使用數據越能促進后臺算法的改進，幫助搜索引擎服務的提供者找到最能匹配相應關鍵詞的內容，這也是谷歌被使用得越多就越擁有壓倒雅虎、必應(BING)等其他引擎的優勢的原因。在歐盟對臉譜和微信、谷歌和雙擊這兩個重要的互聯網公司合并案件的反壟斷審查中，歐盟競爭委員瑪格麗特·維斯塔格(Margrethe Vestager)指出，盡管一些兼并不涉及很大的營業額(turnover)，但是卻涉及有巨大商業價值的數據，因此也有必要納入審查中。(32)Margrethe Vestager, “Big Data and Competition,” http://ec.europa.eu/commission/20142019/vestager/announcements/big-data-and-competition_en.

對于中小企業來說，接入和利用大企業所掌握的大數據將有利于它們的成長和創新，但也可能因為數據優勢上的不對稱，中小企業在與大企業的競爭中處于弱勢或被盤剝(exploit)的地位。(33)European Commission, “Online Platforms and the Digital Single Market Opportunities and Challenges for Europe,” http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52016DC0288.這對歐盟而言尤為重要，也是其更關心的問題。福布斯排名前20位的數字企業全部在美國和亞洲，(34)“Top 100 Digital Companies,” https://www.forbes.com/top-digital-companies/list/#tab:rank.世界營收排名前十名的互聯網公司全部來自美國和中國，(35)依據Worldatlas的統計，年度營收前25名的互聯網企業中，歐盟企業僅占三席。Joyce Chepkemoi, “The 25 Largest Internet Companies in the World,” https://www.worldatlas.com/articles/the-25-largest-internet-companies-in-the-world.html。歐盟的企業確實已經處于數據弱勢地位。所以對歐盟來說，當務之急是增強數字經濟的競爭力，而數據受制于人是需要突破的瓶頸之一。以反壟斷的手段介入數據市場的競爭，要求強制接入大企業所掌握的數據，目前在歐盟層面暫無先例，但歐盟競爭委員在多個公開場合表示了這一可能性。(36)參見European Commission, “Competition Policy for the Digital Era,” https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf。

另外，對歐盟來說還有另一個扭轉局勢的抓手，即“物聯網數據”。依據《歐盟數據戰略》，未來五年數據的處理和存儲方式會發生巨大變化。目前80%的數據存儲和數據處理發生在數據中心和中心化的云設施，20%是在智慧聯結物品上，如汽車、家居和制造機器人，以及靠近使用者的計算設施，這又稱之為邊緣計算(edge computing)。但是2025年這兩個比例可能會發生對調。歐盟在機器制造業方面領先，德國的西門子、法國的阿爾斯通以及一眾歷史悠久的汽車企業都積累了相當多的工業數據，因此邊緣計算將可能是歐盟極力推進的重要領域。

歐盟也沒有放棄在云設施方面的追趕。Synergy Research Group 2020年初發布的新聞稱，過去十年企業花費在云服務上的支出從0增長到1000億美元，而且增長空間仍然巨大。(37)Synergy Research Group, “The Decade’s Megatrends in Numbers-Part 1: Cloud Goes from 0 to 100 in Ten Years while Enterprise Data Center Spending Stagnates,” https://www.srgresearch.com/articles/the-decades-megatrends-in-numbers-part-1.目前全球排名前三的亞馬遜、微軟、谷歌均為美國云服務商，占據了半數以上的全球市場。歐盟數據戰略中提出的重點推進工作就是要建立節能、高效和可信的歐盟自有的云設施和服務?！稓W盟數據戰略》特別提出將與Gaia-X(38)2019年10 月 29 日，德國經濟部長彼得·阿爾特邁爾(Peter Altmaier)在聯邦政府數字峰會(Digital Gipfel)上宣布了一項針對泛歐洲市場的云計劃——“Gaia-X”，旨在建立一個安全的數據基礎架構，以減少歐洲對亞馬遜、阿里云等外國云廠商的依賴，具體的技術和組織構造細節在 2020 年初提交給各歐盟成員國。協同推進這項工作，并預計于2020年第三季度與各成員簽署備忘錄，避免在云設施上碎片化和重復的建設。對歐盟來說，通過政府推動甚至投資來建立為其所控的云設施，某種意義上就是試圖爭奪在歐洲市場上的數據壟斷地位，特別是在下一輪物聯網和邊緣計算所需的云設施中勝出。(39)Fabian Schmidt, “Gaia-X: The Rise of Europe’s Connected Data Infrastructure,” https://homo-digitalis.net/gaia-x-the-rise-of-europes-connected-data-infrastructure/.在此之前，歐盟仍然將舉著促進公平競爭的大旗，試圖通過競爭法讓來自美國和亞洲的云服務企業進行數據分享或通過破除壟斷對這些企業進行干預。

三、基于規則的中間道路

從各項指標來看，歐盟要實現成為數據賦能的經濟的“領導者”這一愿望還有很長的路要走。如前所述，歐盟既無領先的擁有大數據的企業，也無高額的數據貿易，其自有的云服務設施也仍在建造中。而且，歐盟數據戰略本身也并不著眼于數據產業的發展，而是將數據作為重要的要素市場來培養，希望通過推動數據的共享和再利用，充分發揮數據對經濟增長及創新的支持功能。因此，歐盟數據戰略的立足點是促進數據的流動和充分利用。這又包括兩方面，一是數據在歐盟內部的流動；二是數據進出歐盟的流動。前者是歐盟極力推動的，從鼓勵公用部門數據的再利用到私人部門數據的共享，歐盟希望打造“歐盟單一市場”。歐盟對后者則相對謹慎，但并不完全禁止，歐盟也一直希望在雙邊和區域層面建立安全認證的框架。

其實，這兩方面的數據流動都涉及數據的跨境傳輸(cross-border data transfer)，關涉多個國家的數據主權。因此，對于歐盟來說，數據戰略首要解決的問題就是數據主權之間的協調，而為了加強主權之間的互信，必須建立統一的管制框架和統一標準?！锻ㄓ脭祿Ｗo條例》的出臺就是基于這樣的邏輯。通過加強保護建立起彼此的信任，才有可能談數據的跨境流動。但這樣還不夠。由于數據多掌握在共享意愿最弱的私人部門手上，必須促進公共部門與私人部門之間的數據共享以及私人部門相互之間的數據共享，才可能真正讓數據流動起來，讓其效能發揮到最大。因此歐盟通過投資設立公私合作項目，通過競爭執法破除數據壟斷和壁壘，最終就是要讓私人部門的數據成為具有流動性的要素。

圖表來源：作者整理自制。

綜上，對歐盟來說，推動數據戰略的過程中需要解決三個沖突，即單一市場與數字主權的沖突、隱私保護與數據再利用的沖突、數據壟斷與公平競爭的沖突。這三個問題是嵌套在一起的，而歐盟解決的邏輯或方法也是嵌套在一起的，形成相互銜接的環形關系(如圖1所示)。從近十年歐盟數據相關行動的成效來看，主要難點和癥結仍然在三點：一是數據主權，即使是歐盟內部的互信與協作也沒有完全達成；二是私人部門數據的再利用，僅僅依靠嚴格的數據保護制度只是創設了前提，并沒有提供共享的動力，特別是在大數據企業都是歐盟以外企業的情況下難度更大；三是歐盟的領導力，如果沒有領先的云設施和云服務企業，歐盟在數據賦能的下一輪全球競爭中的領導力是沒有充分保障的。因此可以預見，歐盟下一階段戰略的重中之重是對自有云設施和以工業數據為基礎的物聯網的建設。

圖1 歐盟數據戰略的推進邏輯

事實上，歐盟面臨的問題與世界上大多數國家是一致的。同樣是面對內部的信息共享需求和外部的跨境數據流動問題，全世界至少存在三種以上的模式。一是美國模式。美國既具有強大的科技與產業基礎，也具有世界上最大的數據服務貿易量，同時美國著力促進內部和跨境的數據流動，在一系列國際協定和安排中倡導取消數據存儲本地化的要求。二是中國模式。中國模式突出信息安全的重要性。中國一方面推動國內數據產業和數字經濟的發展，另一方面又嚴格限制數據跨境流動。三是歐盟模式。歐盟的戰略選擇可能代表具有典型特點的中間道路，即在數據硬件受制于人的情況下，希望通過提高數據保護水平促進數據的內部和外部流動，以期在下一階段的全球化中也能受益于數據豐富性帶來的創新動力。

上述三種模式，對大多數國家來說，最可能接受和參照模仿的是歐盟模式。美國和中國都具有很突出的特殊性。二者作為數字經濟的領先者，都具有堅實的產業基礎和廣大的國內市場，因此在數據戰略實施上占據主動地位。不僅如此，由于在技術和市場上的優勢，中美兩國以國家安全為名的強勢干預都加大了其他國家的疑慮。(40)以美國2018年《澄清境外數據的合法使用法案》(Clarifying Lawful Overseas Use of Data Act, CLOUD)法案為例，該法案允許美國執法機關調取美國企業存儲在境外服務器中但由其控制的用戶數據，也允許適格的外國企業通過雙邊或多邊司法協助條約調取在美國存儲的數據。中國則要求數據必須本地存儲，在中國獲取的數據除非用戶同意，一律不得出境。所以，大多數國家和歐盟一樣，既不想被隔絕在數字經濟發展的洪流之外，需要促進數據的流動，又擔心被動地接受數據壟斷，成為被盤剝(exploit)的對象。歐盟提供的這套方案，如果從靜態來看，有許多的目標沖突，如既要高保護，又要促進共享，既要反數據壟斷，又要擁有能為己用的關鍵設施或服務的壟斷優勢。但是，從動態來看，正如前文所展示的，在矛盾中通過相反的作用力相互修正、相互限制并不斷向前推進是一種積極的選擇。

事實上，歐盟方案還通過兩個重要因素發揮示范性影響，一是全球跨國企業都不能忽視的歐盟市場；二是歐盟在規則制定上具有的優勢。歐盟從立意實施數據戰略以來便致力于規則化道路并密集制定了一系列與數據相關的規則，包括數據保護、公有部門數據再利用、非個人數據自由流動、網絡安全等相關法規。單以數據跨境傳輸問題為例，歐盟規定了至少五種可以將個人數據傳輸至第三國的機制(如表1所示)，每一條件都有較為公開透明且能為企業所運用的規則和程序。這一強調對等保護前提下開放跨境傳輸的規則模板也被歐盟之外許多國家，如新加坡、日本、印度等紛紛效仿。正由于歐盟《通用數據保護條例》和其他一系列法律法規標準比較高，在按歐盟的要求調整公司合規操作后，如果世界上其他主要市場也能有較為一致的要求，跨國公司將不再增加額外的合規成本。(41)European Commission, “Exchanging and Protecting Personal Data in a Globalised World,” https://www.eumonitor.eu/9353000/1/j9vvik7m1c3gyxp/vkaybywjxhzg.

表1 歐盟關于個人數據跨境傳輸的多種機制

所以，歐盟的數據戰略可以被視為一種中間道路，如歐盟委員會自己描述的兼合對跨國數據流動的開放性與對個人數據的高保護。歐盟因此有潛力成為“數據服務的中心節點(hub)，這樣的節點同時需要自由流動和信任”。值得一提的是，歐盟并未在自由貿易協定中推廣《通用數據保護條例》模式，而更多地強調非歧視原則。歐盟認為，數據保護和貿易談判是分開的兩個軌道，只有“適格決定(Adequacy Decision)”是建立在彼此信任基礎上允許數據跨境傳輸的最佳通道。(42)Ibid.言下之意，歐盟不會因貿易利益犧牲或交換在數據保護和跨境傳輸上的原則和標準。歐盟也認為，目前國際貿易協定談判中涉及的兩方面內容——電子商務和跨境數據流動的根本問題是關于這兩方面的國內規定或國際安排(無論是便利化措施還是限制措施)都不應構成對貿易的扭曲，(43)參見“EU Provisions on Cross-border Data Flows and Protection of Personal Data and Privacy in the Digital Trade Title of EU Trade Agreements,” https://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157129.pdf。不是強求對方接受《通用數據保護條例》的相應標準或直接要求對方取消數據的跨境流動限制。通過將數據保護標準和貿易談判問題分離，歐盟試圖在尊重各國數據主權的前提下，以溫和的方式處理數據跨境流動。(44)例如，貿易協定中建議可以規定，如果成員方要求保留對數據跨境處理的限制，如數據本地存儲要求，那么這樣的限制措施不應構成對第三方公平貿易機會的損害。開放措施亦然。這也不失為一種中間道路。

四、結 語

總的來看，歐盟的數據戰略歷經20年并在近五年時間里真正成熟并形成完整的規則框架。在大數據時代被夾在中間的歐盟，試圖在堅持數據高標準保護和推動數據跨境流動自由化兩端之間開拓一條頗具特色的中間道路。通過《通用數據保護條例》及一系列法律法規的出臺，面對市場融合和數據主權之間、隱私保護和數據流動之間、數據壟斷和公平競爭之間的固有沖突，歐盟通過動態平衡創造了一種首尾銜環的驅動模式。從公權力層面來看，歐盟的數據戰略已經極盡各種手段調動多個方面的要素。盡管在市場培育和產業成長來看，歐盟還有較長的路要走，但歐盟對全球數據規則形成的影響將是深刻的。

相比之下，中國也已經意識到數據的重要性，并在許多領域推廣大數據的運用，但還沒有制定成體系的數據戰略。與歐盟相似，中國對數據戰略也關心以下幾方面：(1)提高數據再利用，促進數據賦能經濟的發展；(2)加強數據基礎設施建設，特別是擁有自主能力的關鍵設施的建設；(3)數據安全問題，中國《信息安全法》明文規定了個人數據和重要信息的保護；(4)通過鼓勵數據共享，促進本土市場內的數據一體化；(5)反對美國依據本國法律對本國互聯網公司所持有的數據擁有司法調取權。

但是，中國與歐盟在數據戰略的一些關鍵問題上也存在截然不同的理念和方式。中國和歐盟最重要的不同在于，中國將數據安全(主要是國家安全)放在第一位，強調數據主權(data sovereignty)概念，認為數據應首先適用被收集地法律和管轄。(45)Stephanie Carroll Rainie et al.,“Data as a Strategic Resource: Self-determination, Governance, and the Data Challenge for Indigenous Nations in the United States,”The International Indigenous Policy Journal, Vol.8, Issue 2, 2017, pp.1～29.由數據主權延伸出“數據本地存儲要求”，即要求在中國收集的數據應存儲在設于中國境內的服務器上，而且個人信息和重要數據非經監管部門批準不得跨境輸出。因此，與歐盟選擇的在法定條件下有限自由化的中間道路相比，中國在數據治理上走的是保守道路，與美國針鋒相對。

2020年9月，中國外交部發布的《全球數據安全倡議》(46)中國外交部：《全球數據安全倡議》，https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml。重申了中國的立場，其基調仍然是“安全第一”，針對的也是美國對全球數據安全可能造成的威脅。其中提出的八大倡議歸結起來重申了三個方面的訴求：(1)維護數據安全，既要防止竊取和濫用個人信息和重要數據，也要維護全球信息技術產品和服務供應鏈的開放、安全、穩定；(2)維護數據主權，企業要遵守所在國法律，各國應尊重其他國家法律和管轄權；(3)強化企業責任，不得設置后門，不得濫用優勢地位侵犯消費者利益。

所以，世界主要國家對數據治理的協調目前存在三種立場：具有信息技術優勢的美國，要求數據流動自由化，日本、韓國、加拿大、墨西哥、智利、巴西等國家將追隨美國；中國、俄羅斯、印度、印尼等國要求數據本地存儲，原則上不得進行跨境傳輸；處于信息技術弱勢的歐盟則堅持在數據高保護的條件下允許有序流動。

“棱鏡門”事件后，全世界對數據安全都提高了警惕性。歐盟《通用數據保護條例》的出臺很大程度上是為了應對美國利用美國互聯網公司調取全球個人數據。中國在《全球數據安全倡議》中提出的很多訴求應當能得到大多數國家包括歐盟的支持。但是，是否促進數據流動和共享才是數據經濟的核心問題。對此，目前中美之間尚無協調方案。2019年1月，包括中國在內的76個世界貿易組織成員在達沃斯召開的非正式部長級會議上簽署了《關于電子商務的聯合聲明》，共同發起電子商務議題的諸邊談判，其中將涉及數據跨境流動和數字貿易等核心問題。由于分歧巨大，談判進展緩慢。

值得一提的是，與歐盟在互聯網經濟上的相對落后不同，中國許多信息技術企業的產品和服務都已經全球化，因而在數據基礎設施和獲益能力上遠遠超過歐盟。(47)AlphaBeta, “The Data Revolution: How China can Capture the Digital Trade Opportunity at Home and Abroad,” https://alphabeta.com/wp-content/uploads/2019/03/digitaltrade_china-en-1-pg-view_hi-res.pdf.近期美國針對字節跳動和微信這兩個中國軟件發出總統封殺令，提出的主要理由是中國企業可能濫用其收集和獲取的美國公民個人數據。(48)參見Donald J. Trump, “Executive Order on Addressing the Threat Posed by TikTok,” https://www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/。在云存儲設施上，全世界最強的國家現在只有美國和中國。在《全球數據安全倡議》的第一條中，中國即提出信息技術產品和服務供應鏈的開放、安全和穩定。這一條指出，對信息產品和服務供應鏈的阻斷和干預都是出于各國宣稱的“國家安全”目的，中國的企業和貿易也深受其他國家政府“以數據安全”為名的干預之害。

因此，對中國來說，除了安全考慮之外，也要關注兩項重大利益：一是不能成為“數據孤島”，未來全球供應鏈的發展必然需要數據的共享和流動，中國必須置身其中；二是要幫助企業走出去，對等開放可能是無可回避的命題。歐盟提供的中間道路方案的關鍵點是以提高數據保護標準來允許數據有條件流動，提出了明確的企業可以跨境傳輸數據的標準，相較中國模糊的審批制更具透明度和操作性。數據分類和保護框架的認證也基本能解決中國所關心的數據安全問題。簡言之，在數據治理問題上，中國應當認真考慮中間道路的可行性，與歐盟形成盟友關系。