前不久，欧盟委员会正式公布《数据法案》（草案）。根据欧盟委员会介绍，依循2030年数字目标，该法案解决了导致数据未被充分利用的法律、经济和技术问题。新规则将使更多的数据得到利用，并将确保数字环境的公平性，刺激数据市场竞争，使所有人更容易获取数据，从而为数据驱动的创新提供机会。鉴于欧盟内部80%的非个人数据迄今从未被使用过，此次法案推动释放的数据预计到2028年将创造2700亿欧元的额外GDP。
　　此前，欧盟与数据治理相关的最重要立法为《一般数据保护条例》（GDPR），针对个人数据保护设立了严格的标准，而此次《数据法案》则专门针对非个人数据，从而与GDPR共同构成欧盟数据治理的两大支柱，支撑起既强化数据保护，又推动数据流通释放价值的数据治理新格局。然而，《数据法案》所蕴含的内外有别、一体双标的立法思路又与以严格著称的GDPR迥然不同。
　　按照欧盟立法设计，《数据法案》旨在为非个人数据的利用，涵盖各种智能设备、自动化生产线、自动驾驶汽车等多产生的数据，提供公平的访问和共享框架，明确B2B、B2G的数据流通措施，同时确定数据处理服务提供商的相关义务，推动数据市场更加开放，充分发挥数字经济价值。因此，外界普遍认为科技巨头公司将首当其冲受到冲击。除了被迫分享更多其所掌控的商业和工业数据，巨头们还需要遵守法案对互联网平台“守门人”从用户数据便携性规定中获益的各种限制。同时，由于法案规定非个人数据应与个人数据一样不受外国政府监控，以对冲美国CLOUD法案的影响，即使来自美国的科技巨头决定在欧洲存储和处理欧洲用户的所有数据，其处境也将变得更加艰难。
　　然而，削弱科技巨头对海量数据的垄断并非《数据法案》的主要目的，法案更核心的诉求是为欧盟内部和跨境数据流动构建相适应的规则框架，以便促进内部数据单一市场中的数据要素流动，并同步维护数据跨境传输安全，强化欧盟数据主权。因此，法案的具体规则制定也呈现出一体双标的特点。
　　从针对欧盟内部数据流动的规定来看，重点集中于扩大消费者、中小企业和公共部门等数据主体获取非个人数据的权利范围和实现数据共享的路径，以促进数据充分流动。《数据法案》首先明确其原则为“每个用户，无论是个人还是组织，都应当有权获取其促成产生的数据”。在此基础上，《数据法案》允许使用联网智能产品的用户访问由其产生的数据（通常由制造商采集）并可向第三方分享。相应的，联网产品和相关服务应默认以可访问的方式向用户提供数据。不仅如此，用户还有权选择在不同的云数据处理服务提供商之间切换，以实现数据自主转移。科技巨头及其掌控的平台对此应予以配合。
　　另一方面，为了增强中小企业在数据共享谈判中的议价能力，防止大企业滥用数据共享合同，法案专门设计了保护中小企业免受强势一方提出的不公平合同条款的规定以及豁免情形，并制定有利于公平的标准化合同条款，再辅以对互联网平台“守门人”的限制性规定，即用户或第三方不能与守门人分享相关数据，而守门人也不能要求用户与他们分享数据或接收数据。与此同时，公共部门在发生紧急公共事件、获得法律授权等特定情况下也可以获得私营部门持有的数据。为此，法案也花了大量篇幅来阐述用来消除妨碍数据流转、利用和共享实际障碍的操作细则和详实路径，构建了较为公平、完善的权责体系，以提高包括中小企业在内的更多参与者投身数据经济的积极性，刺激数字市场竞争和产业投资。
　　对于非个人数据跨境流动，《数据法案》予以了专章规定，且其限制严格程度堪比GDPR之于个人数据。首先，法案的适用范围以主体进行确定，不限于欧盟境内，具体包括了在欧盟市场上销售产品的制造商和相关服务供应商，以及此类产品或服务的用户；向欧盟数据接收方提供数据的数据持有者；接收数据的欧盟数据接收方；因公共利益执行任务的特殊需要而要求数据持有者提供数据的公共部门机构和欧盟机构，以及应此类要求提供这些数据的数据持有者；向欧盟客户提供此类服务的数据处理服务提供商等。设置如此宽泛的适用范围某种程度上亦是对美国CLOUD法案“长臂管辖”的有力回应。
　　在此基础上，法案设计了5项机制来规范欧盟非个人数据向境外的传输：第一，数据处理服务提供者应采取一切合理措施，确保非个人数据传输到国外后不违反欧盟法律及相关成员国立法中的规定；第二，若数据处理服务提供者收到来自第三国的任何将在欧盟存储的非个人数据传输到境外的要求，必须以第三国与欧盟之间具有已生效的国际协议为前提，方能开展传输；第三，在没有国际协议的情况下，只有符合欧盟《数据法案》规定的三个特定条件，才可以向第三国当局转移或允许其访问非个人数据；第四、数据处理服务提供者应提供响应请求所允许的最低数量的数据；第五、数据处理服务提供者应在响应第三国行政当局的要求之前，及时告知数据持有者存在查阅其数据的要求。
　　在《数据法案》做出上述规定之前，只有GDPR专章规定了个人数据跨境流动的合规路径，同时欧盟又通过Schrems I和Schrems II案分别否决了用于跨国数据传输的“安全港协议”和“隐私盾协议”。《数据法案》的出台虽然有效弥补了欧盟数据跨境制度的空白，但也为非个人数据跨境流动至第三国设置了较多障碍，以有效限制非欧盟国家通过本土立法获取欧盟境内非个人数据。这样的制度设计在给欧盟非个人数据提供更有力的安全保障的同时，也必然加重有跨境数据传输需求企业的负担。云服务提供商在部署IT架构、配备管理人员时，将需要把不同国家的数据本地化与出境法律规定纳入考量，尽可能采取措施，防止第三国访问或转移与欧盟法律相冲突的非个人数据。受此影响，本地化的IT设备与人员配置将持续增加，企业因此不得不承担更多的数据使用、管理与合规成本。
　　欧盟采取对内促进非个人数据流通，对外严格规制数据跨境流动的“一体双标”治理思路，其动因并不难理解。数据的价值产生于流动。近年来，欧盟一直试图通过构建内部数字单一市场来释放数据活力以及实现公平、可持续的欧盟数字化转型，以造福广大欧盟企业、消费者、公共部门及整个社会。因此，欧盟在内部必然倾向选择推行有利于数据流动和破除科技巨头数据垄断的法规。从严监管非个人数据出境，则是为了进一步增强广大用户对欧盟国际数据处理能力的认同，减少对外国数据服务的依赖，进而更有效维护数据主权和数据安全。相关理念和实践对其他国家的数据保护立法，以及实现大量工业、商业数据价值具有一定参考意义。
　　同时，也应当看到，综合采用欧盟《数据法案》“一体双标”的各项立法举措，虽然有助于释放符合欧盟数据治理规则和价值观的数字经济潜力，但过度监管和合规成本快速增长也有可能压制科技公司的创新意愿和业务成长。在提升自身全球数字治理规则话语权的同时，欧盟将如何平衡保护与发展的关系，还有待进一步观察。
　　(澎湃新闻2022-03-25，澎湃研究所研究员 吕娜)