转载请注明出处:微信公众号 gipcenter
摘要:随着数字技术的发展以及全球信息数据体量的快速增长,数据已逐渐成为支撑经济发展的关键要素。面对全球的数据竞争,欧盟积极出台了一系列关于数据治理和个人数据保护相关法律制度,致力于构建公平透明的数据治理环境,从而保障和强化欧洲数字主权。为了帮助认证的专业人士更好地应对数据风险和机遇,RICS对其会员的行为准则进行了一系列更新与修订。然而,当前我国的造价师协会尚未就应对数据治理提出相关规定,在数据安全、数据保护等方面仍存在较大隐患。因此,本文旨在深入探讨《数据法案》的关键方面,并重点关注RICS会员行为准则的改革变化以及《数据法案》的颁布对RICS会员的影响,进而提出对中国造价师的管理建议。关键词:欧盟《数据法案》;RICS;数据治理;造价师
在数字经济时代,数据监管框架在确保合规和数据安全方面发挥着至关重要的作用。作为欧盟数据战略的第二步,欧盟《数据法案》(以下简称为“《数据法案》”)旨在促进欧盟内部和跨境数据流动,进而提升和强化欧盟数据主权。《数据法案》涵盖了各种条款,对土地、房地产、物业、建筑和基础设施等多个行业的专业人士产生积极的影响,加速推动数字经济领域的发展。2018年,欧盟颁布了《一般数据保护条例》(GDPR),该条例旨在保护自然人的个人数据,其中包括针对自然人的个人数据保护的相关规则、限制和禁止欧盟内部个人数据的自由流动,以及保护自然人的基本权利与自由等三方面重要条款。该条例与国内的《个人信息保护法》类似,强化数据保护,更加注重数据安全和有效性,是欧盟与数据治理相关的最重要的立法之一。随着信息化和数字化的迅猛发展,各行各业的数字化变革进程也在不断加深与推进,监管的重点也从个人数据保护逐步推进至行业数据保护。2020年2月,欧盟委员会发布了欧盟数据战略,致力于形成健康、环境、能源、农业、流动性、金融、制造业、公共行政和技能等九个公共数据空间。在这一战略规划下,欧盟对数据治理做出了相关的立法。2020年11月,欧盟发布了《数据治理法》,该法案是欧洲数据战略规划下的首个成果。该法案明确规定欧盟需要建立非营利性质的“数据中介机构”,允许自然人或法人在由公共部门提供的安全处理环境中访问公共数据,并提出对涉及隐私或商业机密的公共数据进行强制匿名或删除等提案。尽管该法案为欧盟公共数据空间的发展提供了支持和更多可能性,但也给成员国国内机构带来不均衡的压力,增加了政治不稳定因素。为加强数据创新治理,欧盟委员会于2022年2月23日正式公布通过了《数据法案》,该法案是欧洲数据战略规划下的第二个成果。《数据法案》与《数据治理法》形成平行互补的关系,二者均以促进欧洲数据价值的释放为目标,但各自侧重不同,《数据治理法》明确了公共部门的数据在私营经济间的分享和企业间数据共享(即G2B、B2B)的规定,而《数据法案》则专注于非个人数据,并与《一般数据保护条例》(GDPR)共同构成欧盟数据治理的两大支柱,进一步强化了数据保护并推动数据流通释放价值的数据治理新格局。从《通用数据保护条例》对个人数据保护设立严格的标准,到《数据治理法》为促进欧盟内各部门和成员国之间的数据共享提供了法律框架,再到《数据法案》的制定出台,欧盟始终处于数据治理创新的前沿。作为数字经济时代的关键生产要素,海量的数据在欧洲数据战略的规划下逐步实现价值最大化,并加速了欧盟数据敏捷型经济体的发展进程,为欧洲公共数据空间的发展提供支持和更多可能性。《数据法案》制定了关于使用和访问欧盟数据的新规,它的颁布标志着欧盟在数据保护和治理方面的重大进展。根据《数据法案》,消费者和企业能够更好地掌握可以使用其数据做什么,明确谁可以访问数据以及以什么条件访问数据。《数据法案》的理念和文本均具有较强的先进性,将对其他经济体、其他区域经济组织健全数据治理规则起到一定的引领和促进作用。以下《数据法案》的提案值得特别的关注:允许联网设备的用户获取由其生成的数据,并与第三方共享此类数据,以提供售后市场或其他数据驱动的创新服务。通过支付与传输相关成本并禁止在与其产品直接竞争中使用共享数据,激励制造商投资于高质量数据生成。防止滥用数据共享合同中的不平衡,采取措施重新平衡中小企业的谈判权力。《数据法案》将保护中小企业,使其免受在谈判地位上更加强势的一方强加的不公平合同条款的影响。欧盟委员会将制定示范合同条款,以帮助这些企业起草和谈判公平的数据共享合同。允许公共部门机构在特殊情况下,访问和使用私营部门持有的数据。特别是在发生公共紧急事件时,或在执行法定任务但无法以其他途径获得数据的情况下。允许客户在不同的云数据处理服务提供商之间进行有效切换,并制定了防止非法数据传输的保障措施。RICS(Royal Institution of Chartered Surveyors)——英国皇家特许测量师学会,是世界最大的房地产、建筑、测量和环境领域的综合性专业团体。RICS的主要职责是制定行业标准、规范行业行为、为政府机构出谋划策、为会员提供专业服务等。随着政策环境和市场趋势的变化,RICS专业人员的资格认证和行为准则也在不断发展和更新,以帮助全球专业人士应对新的风险和机遇。RICS于2022年2月2日对RICS会员的行为准则进行了更新,取代了自2007年以来对会员和事务所实施的旧版本。与旧版本相比,新的版本在结构上更加简洁,同时针对每项规则都提供了会员和事务所遵守规则的具体示例。此外,新的规范可以帮助RICS更好地应对数据和技术使用方面的变化、相关利益和风险、气候变化以及推动可持续发展。在本节的后续部分,将重点介绍与客户关系管理和数据治理相关的条款修订。根据业务类型,咨询企业可能会从不同的来源收集各种类型的数据及个人资料。数据来源包括但不限于雇员、客户、潜在客户、所管理的物业的租户或涉及提供服务项目的第三方。个人资料是指任何可以用来识别个人身份的信息,例如姓名、地址、出生日期等。首先,RICS会员需要考虑所掌握的信息是否属于个人信息、敏感的个人信息或来自客户或其他利益相关者的保密信息。在记录这些信息时,需要明确记录所持有信息的目的以及获得同意的过程(如适用)。同时,还需要保存一份同意记录的副本(如有需要),以便进行处理、储存和保留。最后,RICS会员需要仔细检查是否已经制定适当的合约条款,明确如何使用这些信息或数据,包括量度、估值、计算、分析等用途。在大多数司法管辖区,数据保护立法规定了如何收集、使用、存储和共享个人信息的要求。根据法规,RICS会员需要遵守相关规定,并在当地的数据保护监管机构注册,对收集、使用的个人信息承担责任和义务。数据泄露可能以多种方式发生,其中包括员工的工作失误、设备故障、黑客入侵、网络攻击、恶意软件(针对计算机系统的非法访问软件)以及设备遗失等。针对这些风险,大多数企业应当定期进行审核,并记录所有类型数据的风险情况。通常情况下,企业会设定一项保留政策,以规定不同类型的数据应该保留多长时间。该政策会考虑数据治理的目的,并根据不同类型的数据设定相应的保留期限。机密数据和信息通常受保密条款或保密协议的保护。无论是在内部披露还是与其他业务方接触时披露,这些措施都是保护企业重要机密和专有信息的基础。除了保护自身的机密信息,企业常常还承担着合同责任,保护另一方披露给它的信息。除了对接收其机密信息的各方施加保护限制和义务外,企业还应最大限度地减少管理和保护从他人获取的机密信息所带来的行政负担和潜在责任。《数据法案》的颁布是数据治理领域的一个重要里程碑,旨在为欧盟内部个人数据的保护和利用建立全面的指导方针和保障措施。它构建了适用于所有部门的数据使用基本规则,提升数字经济环境的公平性,并刺激竞争性数据市场的形成。该法案为数据驱动的创新提供了机会,加速了欧盟数据敏捷型经济体的发展进程。此外,该法案还为企业或个人数据进行跨平台的融合应用创造了条件,并对其他经济体、其他区域经济组织健全数据治理规则起到一定的引领和促进作用。以下是《数据法案》的对RICS会员所带来的影响:根据《数据法案》规定,参与数据收集、处理或存储活动的RICS成员必须遵守更严格的数据保护义务。这些义务包括采取适当的技术措施和组织措施来保护个人数据,确保处理个人数据的合法、合规性,并获得个人的知情同意。此外,RICS会员还必须熟悉合规、负责任地处理个人数据的指导原则,涉及目的限制、数据最小化和存储限制等多个方面。《数据法案》扩大了数据主体的个人权利,赋予他们对其个人数据更大的控制权。这要求RICS会员必须熟知这些权利,并提供必要的机制,使个人能够行使这些权利。这些权利包括访问个人数据的权利、更正的权力、删除的权力、限制处理的权力、数据可移植的权力以及反对某些类型的数据治理的权利。对于从事跨境数据传输的RICS会员,《数据法案》提出了更严格的要求,以确保对个人数据的保护。《数据法案》要求RICS会员对接收国的数据保护是否充分进行全面评估,确保其达到要求的标准。此外,RICS会员可以采取适当的保障措施,如标准合同条款或有约束力的企业规则。在遵守以上要求的同时,RICS会员必须时刻保持警惕,以确保在数据共享和协作过程中实现有序的数据流动,同时保护个人数据。《数据法案》非常强调责任和管理。RICS成员需要落实全面的数据保护政策,并定期进行数据保护影响评估,同时保留详细的数据处理活动记录。这些措施有助于建立一种问责文化,并表明对负责任的数据治理的承诺。此外,《数据法案》还提供了强有力的执行机制,并对违规行为的严厉惩罚进行了规定。随着数据分析和人工智能(AI)对建筑行业以及相关产业的持续影响,《数据法案》制定了具体条款,旨在解决数据使用方面的道德和责任的问题。对此,RICS会员在使用数据分析或人工智能技术时,必须确保其算法和模型的透明度、公平性和可问责性。此外,当自动化决策过程对个人产生重大影响时,RICS会员必须告知个人并建立相应的人工干预机制。通过对RICS的新举措进行分析,可以看出RICS对数据传输、数据共享、数据保护等方面的重视,并考虑了这些因素对其会员的影响。通过更新RICS会员的行为准则,并对客户关系管理和数据治理方面做出新规定,旨在确保会员的业务行为更具有合法、合规性,并与客户和利益相关者建立可靠的信任关系。然而,国内的造价师协会尚未就应对数据治理提出相关规定。鉴于此,本文参考RICS的新举措,提出以下建议:(1)相关协会应该制定关于数据安全和数据保护的新规定,以强化造价师在数据保护方面的责任。同时,造价师应深入了解相关法规的范畴、目标以及数据治理的原则,并采取适当的技术措施和组织措施,确保业务行为的合规性,并与客户和利益相关者建立可靠的信任关系。(2)造价师应全面落实数据保护政策,并定期进行数据保护影响评估,评估当前的数据治理活动对个人数据的影响,并采取适当措施化解风险。同时,造价师应保留详细的数据治理活动记录,以便记录和追溯数据治理的操作、目的和合规性。(3)在数据共享和国际数据传输方面,造价师应对接收国的数据保护是否充分进行全面评估,以确保在数据共享和协作过程中实现有序的数据流动,同时保护个人数据。此外,协会还应鼓励成员积极参与制定国际数据传输标准并进行合作。(4)在造价业务中应用数据分析或人工智能技术时,应该确保算法和模型的透明度、公平性和可问责性,并采取有力的问责和治理措施来解决数据分析和人工智能的道德影响问题。(5)协会应加强对造价师在数据治理的方面的培训与指导,并提供更好的继续教育机会,帮助造价师在不断变化的数据治理环境中更合规地提供服务。作者单位:花园园,闫敬修,刘思佳,北京建筑大学城市经济与管理学院;王华,中国建设科技集团股份有限公司
作者联系方式:huayuanyuan@bucea.edu.cn
大型工程项目分包的管控机制研究——基于交易成本的视角
(点击标题跳转)
内容来源 / 花园园 闫敬修 刘思佳 王华
责任编辑 / 高颖
图文编辑 / 唐玲
