欧盟数字监管挑战：《数据治理法》《数据法》或存在法律互操作性问题.docx

欧盟数字监管挑战：数据治理法数据法或存在法律互操作性问题遵循非欧盟/欧洲经济区政府的要求，欧盟委员会通过数据法（Data Act）引入新的规则，管理受知识产权和云服务提供商持有的商业机密保护的非个人数据的国际传输和访问(第27条)。数据治理法（Data Governance Act）第5条和第30条，这是制定基于通用数据保护条例（General Data Protection Regulation,以下简称GDPR）第五章 “国际数据传输综合法律框架”的最后一部分。在此背景下，本文旨在介绍与数据国际传输相关的未来欧盟监管格局。它揭示了这些新规则背后的基本原理，也指出了潜在的法律互操作性问题。1欧盟管理国际数据传输的法律框架规范数据经济的法律框架越发依赖于以下前提：个人数据和非个人数据之间存在明显区别后者涵盖受知识产权（“IPRs”）或商业秘密保护的数据，以及不受保护的数据（即机器生成的数据）。在数据的国际传输方面，到目前为止，重点主要集中在个人数据上根据欧盟宪章保护个人的个人数据保护权。GDPR 第五章做出了严格的规则，无论数据国际传输是出于一般目的（例如商业、研究），还是为了响应非欧盟/欧洲经济区政府的执法和其他合法目的的要求（GDPR 第 48 条）。在后一种情况下，GDPR旨在防止刑事调查日益依赖数字证据和某些非欧盟/欧洲经济区政府颁布法律，迫使其管辖下的公司授予其访问数据的权限，而不管存储位置如何的背景下，过度访问或传输个人数据。相比之下，目前没有法规规范非个人数据的国际传输。在这种情况下，如果非欧盟/欧洲经济区政府向在欧盟处理其数据的云服务提供商提出不成比例的传输或访问请求，则知识产权和商业秘密所涵盖的数据持有人的权利和利益可能会受到损害。缺乏对此类数据传输的监管是有问题的，因为与个人数据保护权一样，知识产权或商业秘密所涵盖的数据持有人的权利理应根据欧盟宪章（EU Charter）第17条的基本财产权加以保护。为了补充适用于数据经济的现有欧盟法律框架，欧盟委员会通过了数据治理法提案（2020年11月）和数据法提案（2022 年 2 月），这是 2020 年欧洲数据战略下的两项主要立法举措，特别关注非个人数据。这些提案引入了类似 GDPR 的规则，在以下情况下管理受知识产权或商业秘密保护的非个人数据的国际传输：（1）非欧盟/欧洲经济区政府的传输或访问请求；（2）由公共数据库保存的、二次使用者（re-users）发起的、第三方权利所涵盖的数据传输。2欧盟管理非个人数据国际传输的新规则首先，数据治理法提案引入了类似 GDPR 的规则，以管理公共数据库中第三方权利所涵盖的非个人数据的国际传输。这些规则是一种机制的一部分，在这种机制下，公共部门可能会授予二次使用者（自然人或法人）重用公共数据库中持有的、受第三方知识产权或商业秘密保护的非个人数据的权利（且不属于开放数据指令的范围）。然而，为了尊重数据权利人的权益，二次使用者只能在严格的条件下将数据传输到非欧盟/欧洲经济区国家，包括类似 GDPR 的充分性制度。根据拟议中数据治理法规则（第5条），在相关国家提供基本同等水平的知识产权和商业秘密保护的条件下，二次使用者可以将数据传输到非欧盟/欧洲经济区国家；或者，传输只能根据问责制进行，在该问责制下，二次使用者根据合同承诺保护数据权利持有人的权利和利益，即使在数据被传输之后。  图1：由第三方知识产权或商业机密所涵盖的公共数据库所持有的非个人数据，二次使用者可否将数据转移至非欧盟/欧洲经济区国家？（作者制图）其次，当涉及非欧盟/欧洲经济区政府要求的国际传输时，对于在欧盟受知识产权和商业秘密保护的非个人数据，数据治理法和数据法提案都引入了类似 GDPR 的规则。数据法要求云服务提供商防止传输或拒绝访问在欧盟持有的非个人数据，因为此类传输或访问会与欧盟法律产生冲突。在实践中，与 GDPR 下的机制（第 48 条）类似，除非基于诸如司法互助条约之类的国际协议，否则必须阻止传输并拒绝访问。虽然 GDPR 在没有国际协议的情况下提供了替代法律依据，因为第 48 条包含“不妨碍”条款（根据第五章“不妨碍其他转让理由”），但在实践中，目前仍不清楚向外国政府转让或披露数据的“其他理由”是什么。然而，数据法提供了一个明确的替代方案在没有相关条约的情况下，只有在第三国提供充分的法治保障的条件下，才能进行传输或访问，即：（1）第三国制度要求陈述决定的“理由和相称性”，并要求法院命令或决定（视具体情况而定）具有“具体性”，例如要与某些嫌疑人或侵权行为建立充分的联系；（2）收件人的合理反对须经主管法院审查；（3）发布命令或审查行政当局决定的主管法院，依法有权适当考虑受欧盟法律或相关成员国国家法律保护的数据提供者的相关“合法利益”。数据治理法中引入了相同的机制，用于数据共享中介和公共数据库中数据的二次使用者。然而，当谈到法治保障的评估时，这两个立法案有所不同：数据法规定了征求相关主管机构或当局意见以评估第三国法治的可能性，而数据治理法的政治谈判则导致采用自我评估方法，删除了征询任何机构对此事的意见。同样的自我评估方法很可能也会在数据法的政治谈判中达成一致，这意味着云服务提供商将有责任决定，在没有相关国际协议的情况下，请求访问或传输客户数据的外国政府是否提供了足够的法治保障（在当前情况下，见下图两种制度的比较)。  图2：非欧盟/欧洲经济区政府是否可以获得访问或传输在欧盟境内持有的受知识产权或商业秘密保护的非个人数据的权利（作者制图）随着这些管理非个人数据国际传输的新规则的引入，欧盟将通过创建一个全面的国际数据传输法律框架，同时确保高水平的知识产权保护，来补充 GDPR。虽然知识产权和商业秘密法在世界贸易组织与贸易有关的知识产权协定（TRIPS 协议）下受到国际层面的最低保护标准，但保护的实施因国家而异，特别是在执法和有效的法律补救措施方面。考虑到这一点，拟议的新规则旨在为受保护的非个人数据的国际传输提供条件，旨在确保：01受保护的非个人数据不会传输到不按欧洲标准提供知识产权和商业秘密保护的国家，特别是在公共数据库中保存的第三方权利涵盖的非个人数据的国际传输的情况下；02为保护欧洲企业免遭知识产权盗窃或工业间谍活动，在刑事/外国情报调查的背景下，缺乏法治保障的外国政府可能无法获得存放在欧盟的有价值的非个人数据。这些新规则可能会影响某些第三国的法律体系。特别是，它们可能会推动第三国将其知识产权和商业秘密保护制度与欧盟标准保持一致，以进入与欧盟公共数据库中保存的受保护非个人数据相关的（潜在的）数据处理服务市场。它们还可能激励第三国提供更好的法治保障，以加快刑事诉讼中的跨境数据访问或传输（不过可能性较低）。3法律互操作性数据国际传输的不同规则能否得到有效实施？通过采用类似 GDPR 的制度来提高对知识产权的保护水平这是与数据保护权一样越来越受到数据共享影响的另一项基本权利欧盟将提高对数据的整体保护水平。 然而，在实践中，在个人和非个人数据越来越难以区分的情况下能否精准实施不同的规则，还有待观察。在知识产权/商业秘密保护和数据保护可能重叠的数据集中，个人和非个人数据可以混合在一起，因为知识产权和商业秘密保护不论数据的性质(个人或非个人)都适用。因此，不仅很难确定要传输的数据是属于个人数据还是非个人数据（因此确定应适用哪些规则），而且个人数据也可能受到知识产权或商业秘密保护。在这种情况下，如果（仅）适用GDPR 规则，一般传输（例如用于商业或研究目的）仅以第三国提供的数据保护级别为条件。但是，在知识产权/商业秘密保护方面的承诺，却不是必需的。关于非欧盟/欧洲经济区政府规定的数据传输，对于在欧盟持有数据的云服务提供商等实体而言，可能难以遵守新规则。在这方面，虽然数据法第27 条以 GDPR第48条为基础，但这两项规定包含不同的规则。此外，GDPR 的相关规定引发了严重的解释问题。因此，数据法第27条的引入可能会增加云服务提供商本已存在的困惑他们应该如何处理这类外国政府的请求？或许，另一种方法可能是：在受保护数据的国际传输情况下采用单一制度进行管理，无论所涉数据是个人数据还是非个人数据。13