民间物议｜欧盟数据赋能的法律促进路径：挑战、应对与启示

数据要素的价值潜力凸显，在数据安全与隐私保护的面向之外，支持数据流通利用、促进数据赋能的治理维度已成为政策关注重点，学界也积极为数据赋能的法律路径贡献方案，但尚未形成共识。数据赋能治理成效关乎数字经济发展活力和数字时代国际竞争格局，理应审慎考虑。欧盟在数据赋能的目标下面临协调数据治理价值立场、抉择数据开放促进路径、解决数据利益格局失衡等关键挑战。对此，欧盟于2020年发布《欧洲数据战略》，并相应出台《数据治理法案》与《数据法案》两部支柱性数据法案，锚定挖掘数据潜力、释放数据价值的制度目标，引入一系列数据新规，通过依场景提供数据利用方案、建构数据信任支持体系、打造数据利益平衡机制等方略，以期解决此前长期困扰欧盟的数据赋能障碍和治理困境。以欧盟的经验为镜鉴，我国数据治理可以考虑建立数据治理综合框架，紧扣数据利用痛点难点，革新数据要素治理范式，坚持人本理念，营造数据惠益共享格局。

来源：《世界社会科学》2024年第4期

作者：林秀芹（厦门大学法学院、知识产权研究院、一带一路研究院教授）

研究背景：数字化转型中的数据价值鸿沟与必要跨越

当前，新一轮科技革命和产业变革深入发展，数据赋能不断催生新产品、新业态、新模式，成为驱动经济创新发展的新引擎。然而，孤立的数据本身并无价值，数据价值的释放也非线性的传导过程，而是高度依赖于数据规模集聚和社会化利用。经济合作与发展组织（OECD）认为数据价值的产生是“由数据转化为知识和创新的过程”，呈现出“海量字节聚合为大数据—数据分析—建立知识库—数据驱动的决策作出—价值增益”的数据赋能链条。可见，从数据要素本身之“此岸”迈向价值实现和增益目标之“彼岸”，其间任一环节运行阻滞，数据都可能无法“跨越”价值鸿沟。因此，数据治理的关键任务是促进数据价值链的畅通流转和及时对接，充分释放数据要素价值，避免陷入“数据充裕”和“可用数据稀缺”的悖论。

自党的十九届四中全会首次将数据列为生产要素后，“建立完善数据要素资源体系，激发数据要素价值，提升数据要素赋能作用”一再成为中央政策文件明确部署的重点任务。各省市也积极发力，探索数据要素开放流动和开发利用的地方方案。然而，在制度层面，数据要素权属配置方案尚未明晰，与数据获取和流通利用相关的利益分配规则尚在酝酿之中，成为困扰数据要素畅通流转、制约数据开发利用实践的重要问题。

由于数据的价值链条中主体复杂、利益杂糅，如何建立效率与公平的数据治理框架是学术研究的核心议题。对于数据财产保护的重要性及数据利用秩序建立的必要性，学界并无异议，但在具体实现进路上长期存在“权利法路径”和“行为规制路径”的范式之争。申言之，“权利法路径”要求赋予数据利益相关者依法占有（控制）、利用、收益、处分的对世性财产权利，认为只有依赖财产权的规范架构，才能实现数据保护的充分性和数据流转的便利性。与之相对，“行为规制路径”则提倡摒弃传统数据财产权属思维，聚焦数据的控制和使用规则建制，强调数据赋权既无必要，亦不可行，还可能产生数据垄断、割据等问题，与数据流动、共享等目标背道而驰。两种数据治理范式背后的价值理念、分析视角，乃至基本概念范畴均存在着一定分歧甚至对立，因此不妨暂时跳出理论阐释和逻辑推演的论证循环，将视野投射至域外前沿数据治理实践，从其决策进路及重点举措中获得启示。

相比于当今世界其他主要国家采取相对谨慎保守的数据立法态度，欧盟秉持及时应对、主动出击的立场，积极为数据赋能扫清法律障碍、提供制度支持。尤其是2020年以来，欧盟发布《欧洲数据战略》，随之出台《数据治理法案》和《数据法案》两部支柱性的数据法规，锚定“挖掘数据潜力、释放数据价值”的制度目标，引入一系列新规，以期解决此前长期困扰欧盟的数据赋能障碍和治理困境，旨在实现其“成为数据赋能社会之典范与领导者”的野心。其为实现数据赋能所采取的具有全球引领性价值的治理立场、立法思路和制度方案值得关注和借鉴。

欧盟数据赋能所遇治理困境与挑战

在数据保护问题上，欧盟一直走在世界前列，其以隐私和个人信息保护为核心构建的制度框架，已成为全球数字经济治理的重要范本。然而，在数据“利用”议题上，特别是在深挖数据价值、赋能经济发展的语境下，欧盟仍然面临诸多困境挑战，有待制度回应。

数据的价值链涉及多方主体，亦牵涉多元复杂的诉求，其间的利益分歧和目标冲突无可避免。具言之，数据治理至少涉及三个维度的价值目标：激发数据流动利用的经济价值、维护数据安全和保护个人信息。然而，三种基本目标居于三角形的各个顶点，指向截然不同的政策方向，构成“三元悖论”。促进数据充分流动、重复利用则不可避免地会增大数据隐私和安全的风险，而基于安全和隐私等考量过分强调数据保护则极可能抑制数据发挥效能的空间。

欧洲学者提出，应当尽力将数据利益视为“等边三角形”，对诸项目标赋予同等的重视程度。然而，政策发力方向的衡平不能仅凭理论上的“兼顾”，不可避免地面临实践中的“取舍”，其间价值的选择和尺度的把握无疑是数据政策制定者必须面对的问题。对于长期坚持“数据保护立场”的欧盟而言，个人数据强保护规则通常无可避免地与促进数据充分流动和深度利用的立场存在分歧乃至冲突。是否要对其数据治理的重心进行适度调整，以及在已经形成的严格个人数据保护的框架下，如何为数据自由流动和价值挖掘释放空间和提供政策工具，是欧盟数据赋能治理面临的不容忽视的挑战。

欧盟个人数据保护有着相当深厚和稳定的价值和制度基础。“个人数据受保护权”被写入《欧盟基本权利宪章》，是一项在法律上与隐私权等价的独立基本权利，作为欧洲价值观的具体化，其合法性无可置疑。因此，个人数据保护（包括已识别和可识别数据）相较于数据经济价值的开发而言，向来被欧盟认为是位阶更高的价值。

2016年，欧盟通过被称为“最严格的数据保护规则合集”的《通用数据保护条例》（General Data Protection Regulation, GDPR）。GDPR以增强个人对个人数据的控制权为核心，以可识别标准对个人数据设立了一个较为宽泛的范围，并确立了数据收集处理的诸多限制性原则和规则，例如个人数据处理的目的性原则、最小化原则、存储限制原则、安全性原则等，并通过设立政府监督机构、施加高额罚款等方式强化数据保护水平。在此框架下，欧盟数据保护的逻辑被总结为“对个人数据的处理者执行最严格的监督和限制规则”，而数据处理企业不合规的风险亦随数据的收集量和数据处理的复杂性而增加。

可见，在欧盟的语境下，个人数据的内核事实上离人权更近，而离商品或资产更远。虽然欧盟并不希望导致抑制数据正常流动的后果，但事实上GDPR的严格保护使个人数据价值开发的潜力被大幅抑制，而且这种抑制力通常不仅及于个人数据，也影响着整体数据利用活力。因为实践中个人数据和非个人数据往往深度融合，难以截然剥离，这使GDPR的严格限制可能从个人数据辐射至非个人数据。数据处理者，尤其是技术较为薄弱的中小型公司，往往难以确保能将含有个人信息的数据完全过滤，匿名化处理技术亦不能规避重识别的风险。而兼有个人数据和非个人数据的混合数据集，则将落入GDPR的适用范围，因此实践中GDPR的适用边界显得过于宽泛以至于“包罗万象”，使数据处理者背负了过重的管理负担。GDPR生效后，一些小公司和初创企业甚至出于对法律风险的担忧陆续退出欧盟市场，而其余企业也会对数据处理业务和数据流转的场景产生顾虑，更遑论积极参与数据共享和流转。

对欧盟而言，尊重、保护人权的基本价值取向，并积极保护个人数据权利的立场不会发生根本性的改变。因此，在这种价值选择下如何理解数据经济利益开发的重要性位阶，以及在不违背GDPR及相关制度规则已经确立的数据保护框架的基础上，如何为数据的充分流动和价值增益争取更多的制度空间和政策支持，是立法者需要面对的挑战。

除了欧盟严格的个人数据保护立场外，欧盟非个人数据的利用潜力也有待挖掘。根据欧盟的统计数据显示，占比80%的欧盟工业数据（主要包括互联网消费和机器生成数据，如工业传感器、物联网设备等）从未被使用。这并不意味着数据的充裕乃至过剩，而是指向欧盟数据开放不力，致使欧盟实际数据开发水平仍然和社会对数据价值的预期极不相称。

数据难以利用和生成价值的症结在于数据开放程度不够。由于数据的价值循环必然建立在数据规模集聚和社会化利用的基础上，如果数据生成后未及时流向下一轮数据处理者或利用者，而是处于相对封闭的状态，数据的规模集聚难以顺利进行，意味着大部分数据难以进行处理和利用，数据孤立、碎片化和冗余的现象往往同时存在。

然而，从数据处理者的视角观之，与其他主体共享数据必然承担一定的合规成本和法律风险，加之数据作为关键的生产要素，与其他主体乃至竞争对手共享数据很可能削弱自身的比较优势。

德勤对欧盟公司的一项实证研究发现，78%的受访公司会将数据封闭于公司内部或所委托的下游分包商进行分析处理，独立经济运营商之间的数据交易仅占受访公司的4%，而只有2%的研究公司以或多或少开放的方式提供公司数据以供重复使用。从数据业务形式上看，实践中很少有公司愿意提供原始及未经整理的数据以供访问和重复使用，也鲜有能够对接多种数据交易环节（如数据谈判、定价等）和跨部门数据运营的双边市场。

打破数据控制主体封闭数据、内向化处理的倾向，需要合理的规则引领和适宜的政策支持。显然，要求企业基于公共利益进行“数据慈善”“数据捐赠”或以承担社会责任的名义进行数据共享，难以成为数据开放的普遍范式，而基于合同自由原则的自愿数据交易被认为是市场经济下最适宜的数据开放形式。从经济理性人的立场出发，数据交易的前提是数据控制者相信其交易能够获得法律确定性的保护，并对获得合理对价具有信心。同时，由于数据流出后就很难进行控制，也会构成数据控制者因担忧无法持续获利而拒绝交易的理由。

对此，欧盟曾经探索将数据的产权配置视为提高数据可交易性、扫除数据开放流动障碍的一种重要举措，以避免数据合同中数据利益归属的不确定性引致数据合同的复杂性，从而提升数据的交易成本和交易风险。

2017年，欧盟在《关于数据自由流动和欧洲数据经济新问题工作文件》（以下简称“2017年《工作文件》”）中，阐述了建构一种“数据生产者权”的设想，并提出两种权利建构方案。方案之一将“数据生产者权”定义为一种对世、排他性的权利，控制任何未经授权访问数据的行为。在这种构想中，数据生产者权利的范围应“比传统的专有技术保护更广泛”，而且可能不需要实质性投资的权利取得要件。除强排他权外，欧盟还提出了一种防御权作为替代方案，这种防御权被解释为“等同于对事实占有的保护”，数据的事实控制者可以在第三方盗用数据的情况下寻求禁令救济、获得赔偿，并可要求未经授权使用数据而创建的数据产品退出市场。

然而，配置数据上的排他权或为数据控制者提供的禁令救济能够极大强化数据生产者对数据的控制，这种路径能否切实促进数据获取利用的制度目标，仍然颇值得怀疑。法律之力的控制与数据生产者对数据的事实控制相结合，反而有可能给数据获取和自由流动造成新的壁垒。经过数年时间，欧盟学者的讨论逐渐从积极研究数据财产权的配置转向对排他性权利阻碍数据获取和流动的担忧。

与此同时，欧盟“失败”的数据赋权先例也应引以为戒。具体而言，在“小数据”时代，欧盟曾为数据库创建者创设“数据库特殊权”（sui generis right)，以期用赋权保护的方式激励欧盟数据库产业发展，抢占国际竞争先机。然而其制度实效却不尽如人意，数据库特殊权引入后的多次立法效果评估均指出，该专有权对数据库产生的（积极）经济影响尚未得到证实。综合视之，学者认为考虑到潜在的风险，加之现有理论和实践尚无法证成构建数据生产者权利的合理性，在没有明确有力的经济和法律例证支持的情况下，就不应引入数据生产者权利。

然而，在否定数据赋权路径的基础上，如何通过其他替代性方案厘清各参与主体的权责边界，却远未能达成共识。因此，立法层面应当采取何种策略，以尽可能鼓励和支持各类主体开放共享其控制的数据资源，从而“解锁”数据、打破数据孤岛，使更多的数据流入便于加工处理的资源池，作为价值产生之“原料”供后续持续分析和利用，无疑是数据赋能型立法所面临的重要挑战。

对传统的竞争性生产要素而言，资源集中和规模化可能是提高资源利用效率的重要策略，但数据本身具有非排他性，可进行近乎零成本的复制并供多个主体同时利用，在共享和重用中实现多轮价值增益。因此，数据有望为经济和社会带来更多平等的福祉和机遇。欧盟也多次强调，数字欧洲应当体现“欧洲最好的一面”，包括实现开放、公平、多元化、民主和自信等价值观，并确保每个人都能从数字红利中受益，使社会从创新和竞争中获得最大收益。这一方面要求在市场竞争中具有弱势地位的中小企业获得更为开放公平的数据利用机会，另一方面也要求数据社会的建构坚守普惠共享的信条，使普通公民也能够尽可能地分享到数据利用的价值。

然而实践的反馈往往表明，数据利用问题上的不平等现象反而更为凸显。在市场竞争领域，中小企业面临着更为严峻的数据机会的危机。首先，数据经济结构体现出网络效应和锁定效应，使得数据领域的市场力量失衡现象显著：少数大型科技公司掌握着全球大部分数据，“数据优势”带来的高度市场支配力可以让这些公司在平台上制定规则，单方面强加数据访问和使用条件，人为制造数据壁垒，或者在开发新服务时利用这种“权力优势”并向新市场扩张。其次，除了来自竞争者的因素，数据运行市场机制不健全也是中小企业数据访问机会受限的重要因素。一则，渠道不畅增加了搜寻成本，数据供需双方对接困难，寻找数据的中小企业可能无法及时接触到其所需数据的提供商，而数据提供商可能无法找到与其报价完美匹配的客户。二则，标准化和互操作性的不足也增加了转换成本和锁定效应。例如，不同的数据供给方可能采取不同的应用程序和数据模型或数据共享要求，需求者可能不愿意支付额外的转换成本而降低联系其他供应商的意愿。当然，中小企业本身数据支付的能力和技术利用能力薄弱也是其数据访问机会受限的重要原因。

当中小型的市场竞争主体被普遍排斥在充分实现数据访问的机会之外，也就意味着它们被排斥于数据驱动的商业模式之外，这不仅意味着缺少比较优势或创新机遇，更可能直接关系其是否得以继续开展日常业务。因此，这种数据市场竞争能力失衡的困境必须得到重视。政策应当基于平等和促进创新之意对这种数据领域被放大的失衡进行调控，但调控的尺度和手段都应当审慎考量。如何在不扭曲自由竞争秩序和不挫伤市场主体积极性的情况下给予中小企业合理的制度支持和政策激励，显然是有待解决的问题。此外，在数据访问的实现手段上，例如考虑确定数据标准和制定互操作方案时，如何合理平衡大型企业和中小企业双方的诉求，避免过分偏倚，也是政策制定者必须解决的问题。

除了市场竞争主体，个人的数据受益能力问题也值得重视。GDPR引入的个人数据可携权曾被期望成为数据普惠的重要抓手，但该制度因可实施性严重不足而沦为“纸上权利”。具体而言，GDPR规定，数据主体有获得其提供给数据控制者的个人数据，并不受阻碍地将数据传输至其他数据控制者的权利，这被认为能够在一定程度上改变个人的绝对弱势地位、重塑个人与数据服务提供者之间的关系，从而使个人能够在数字经济中分享数据红利。然而，实证调查发现，由于缺乏宣传推广和条文本身的抽象性，数据可携权沦为GDPR中“最不被知悉和难以理解的权利”，多数用户并不具有行使数据可携权的意识和动力。更为致命的是，GDPR也未向消费者提供便于实现数据转移的有力工具，缺少必要的配套制度，包括数据控制者建立互操作性系统的义务和数据传输的通用标准等。实践中大部分数据控制者以缺乏互操作性为由拒绝向用户提供导入和导出数据的服务，致使数据可携权难以实现。

从社会整体的维度来看，公共数据利用不力的问题较为突出。欧盟公共部门是欧盟持有数据最密集的部门之一，受公共财政资助的数据集的惠益理应由整个社会共享；同时，由于不牵涉过多利益主体，公共部门持有的数据亦最具充分供给利用的条件。然而，虽然欧盟围绕挖掘公共数据的经济和社会效益进行了长期实践，并通过两次修订《关于公共部门信息再利用的指令》优化公共数据开放机制，但高价值数据利用成本较高、敏感数据集（例如公共健康数据）缺乏合理利用机制的问题一直未能有效解决，这制约着欧盟数据社会价值的发挥。

因此，如何使数据驱动型经济和社会带来的红利惠及每一个个体，改善数据利用能力和机会的失衡，使既有数据被尽可能广泛地有效利用和深度价值挖掘，实现价值生产的最大化，是数据赋能的立法支持制度所面临的重要挑战。

困境纾解与挑战应对：
欧盟数据赋能的治理框架

立足数据治理的现实困境，欧盟积极探索制度供给方向。经过数年的讨论，欧盟立法者从积极探索为数据创设权利转向审慎认定数据财产权的治理立场，并通过《数据治理法案》和《数据法案》两部支柱性法案，围绕“开放”“信任”“公平”等几组彼此关联但各有侧重的关键词，构筑了一个鼓励数据开放获取和要素流通的综合性法律框架，以期解决数据价值开发不同环节的关键问题，消解数据赋能的制度掣肘。

从2014年题为《走向繁荣的数据驱动经济》（Towards a Thriving Data-driven Economy）的委员会通讯开始，欧盟就开始聚焦大数据环境下数据治理规则的建构，提出建立法律框架来规范数据的经济开发和可交易性。此后，几乎每年欧盟都会对数据流通和获取规则、数据权属等问题展开深入探讨。

2018年11月，欧盟通过了《非个人数据自由流动条例》，旨在推动欧盟单一数字市场发展、消除非个人数据在欧盟境内的流动障碍，与立足“保护”的GDPR相协作与补充，反映出欧盟对数据“利用”价值的关注。2019年6月，欧盟通过《关于公共部门信息开放数据再利用的指令》，进一步将促进数据开发利用和价值增益作为制度供给的重要面向。

2020年2月19日，欧盟发布具有里程碑意义的《欧洲数据战略》（A European Strategy for Data），成为欧盟后续系列数据立法行动的总纲。相较前述2017年《工作文件》中“数据生产者权”的构想，《欧洲数据战略》特别强调，由于数据经济的所有发展要素尚难以完全把握，应“着意避免过于细致、严格的事前监管，而倾向于采用更有利于数据实践的灵活治理方法”。《欧洲数据战略》提出欧盟建构“单一数据市场”的四大预期目标，集中概述了未来五年欧盟发展数据经济的政策措施规划和投资战略，被认为“揭开了数据要素流转利用规则体系的历史新篇章”。

《欧洲数据战略》发布后，数据获取和使用的立法治理方案迅速由规划落实为法律提案，欧盟先后于2020年11月和2022年2月颁布了《数据治理法案》（Data Governance Act）和《数据法案》（Data Act）两部支柱性法案。相较前期欧盟委员会通讯中展示的关于数据规则的构想和讨论，《数据治理法案》和《数据法案》集中体现了欧盟新的数据治理思路。根据欧盟委员会的解释，《数据治理法案》负责创建数据共享的流程和结构，而《数据法案》接续其后，阐明何种主体可以在什么条件下从数据中创造价值，二者具有一定的系统性和连贯性。因此，必要的观察视角是将《数据治理法案》和《数据法案》视为一个有机整体。与此同时，由于《数据法案》涉及跨度较广的横向立法和数据共享的各个方面，并与欧盟其他法规密切关联，因此应避免全景概览式的分析思路，而聚焦于其中的核心价值面向及有代表性和创新性的治理规则。

在具体规则层面，《数据治理法案》和《数据法案》两部数据法案主要通过以下几方面实现其目标：首先，提供类型化的数据访问和利用方案，以协调和捋顺数据治理的多维价值目标；其次，构建规范有序、严格监管的数据共享服务机制，营造可信的数据利用环境，消解实践主体的顾虑；最后，通过对弱势群体的数据获益能力提供必要制度支持，推动形成公平、普惠的数据利用结构，从而有针对性地解决此前长期困扰欧盟的数据赋能障碍和治理困境。

1.致力开放：因类施策提供数据利用方案

欧盟解决数据赋能困境的核心思路是放弃对数据控制者财产权的探索，直接聚焦于数据访问规则，为实践中各种类型的数据利用需求提供可行的机制安排和可靠的运行模式。以法律的确定性为数据利用“松绑”，便于实践主体理解“哪些数据在哪些情况下可以使用”，以消解数据交易和数据利用的顾虑。

首先，《数据治理法案》提供了受保护的公共部门数据的利用方案，涉及含有商业秘密、统计性秘密、知识产权以及GDPR规制范围之外的个人数据的再利用问题。欧盟所定义的“公共部门”（public sector body）不仅包括政府部门，还包括任何受公法管辖的机构或多个类似机构组成的协会。对于受保护的公共部门数据，欧盟并未为公共部门设置新的开放义务或要求，而是为这类受其他法律保护的公共部门数据创制了一个访问框架。为协调其他受保护法益与数据利用价值的冲突，《数据治理法案》规定了受保护公共数据利用的必要条件，包括采取技术措施对个人数据进行匿名处理，对含有商业秘密或知识产权的数据进行修改、汇总或进行其他披露控制，并对数据访问环境的安全性提出要求。虽然受保护的公共部门数据难以直接开放，但非排他仍是重要的利用原则。《数据治理法案》原则上禁止公共部门对受保护的公共数据作出排他性安排，基于公共利益所需的专有许可也应保证透明、平等待遇和不以国籍为由进行歧视，且专有许可期限不得超过三年，以避免排他性许可协议等给数据的利用增加障碍。为了保持访问的便利性，《数据治理法案》要求欧盟成员国对重用受保护公共数据指定主管机构设置统一的信息发布机构和独立、简单、信息完整（well-documented）的信息渠道。

其次，欧盟数据新法为私营主体之间的数据共享交易提供了一揽子方案，既能促进企业之间交易非个人数据，又能成为GDPR下个人数据可携权的实现机制，使个人数据的流动利用具备可操作性。具体而言，《数据治理法案》创设了一种类似于“数据中介”的实体，即“数据共享服务提供者”（providers of data sharing services），旨在促进数据沟通、润滑数据交易，共涉及三种类型的数据服务：（1）创建平台、数据库或构建其他基础设施，以助力双边或多边的数据交易及数据联合利用；（2）协助个人行使数据可携权，为个人与潜在数据利用者之间的沟通提供技术等方面的支持；（3）提供数据合作社的服务（data cooperatives），帮助合作社成员（主要是个人或中小企业）就同意数据使用和与第三方就处理成员数据的条款进行谈判，以作出更有利于成员的决策。欧洲数据保护委员会（DBPS)判断，个人数据的处理可能成为此类数据中介的核心活动。

最后，欧盟立法者还考虑了公共部门利用企业数据的方案。《数据法案》建立了“特殊需要”下企业向政府共享数据的新框架，包括应对突发公共事件和“缺乏可用数据导致公共部门无法基于公共利益完成特定任务”的情况：在前一种情况下，公共部门可以请求免费访问企业持有的数据；而在后一种情况下，公共部门需要按照已发生的边际成本加上合理的利润来向私人企业支付报酬。公共机构有义务证明“特殊需要”，确保这种数据请求是相称的，并在达到规定目的后销毁数据。此外，除了从事公共利益研究的个人和研究组织外，公共部门不得让第三方重复使用数据；为了保护商业秘密，公共部门还需要采取“适当的技术措施”。

值得注意的是，为了支持数据访问方案，欧盟数据新法还重新审视了“数据库特殊权”。《数据法案》规定，对于包含物联网设备及服务数据的数据库，不得主张数据库特殊权的保护。

2.营造信任：共享支持体系的建构

为数据驱动经济营造信任的生态是欧盟数据赋能立法的重要目标之一。一方面，数据环境的信任可能来源于健全的数据利用机制和相关制度的严格落实。法律所规定的各种数据共享模式的法定程序、监管机制及救济措施的有效执行，能为数据交易、利用主体提供法律上的确定性和利益受保护的信心，因此，在一定程度上，数据环境的信任可以理解为立法建立数据利用规则的理想制度效果。另一方面，“完善的数据利用机制”与“信任的数据环境”更体现出具体制度与整体环境、微观规则与宏观框架的不同侧重，不是可以直接进行因果推导的等式，后者具有独立价值。在此意义上，数据治理立法就不能只依赖于一般性的利用规则，更要从数据价值循环系统的整体生态出发，有针对性地考虑和提供信任支持机制。

在数据领域，“信任”可以具体解释为两种“放心”：放心参与市场交易，不因担忧缺乏对数据的后续控制而产生数据封闭倾向；放心基于公共利益无偿提供个人数据，而不担心其被不当泄露或不法牟利。

欧盟在这方面的重要创举是通过《数据治理法案》设置两类“数据中介”，分别用于润滑数据商业交易和促进数据公益性共享。这种思路意在将主体众多、难以建立普遍性信赖的数据持有者和数据利用者通过受认证的中间性组织联结，并通过程序规则和严格监管保证此类组织运行有序，促进这种基于对中立组织的信任而传导至数据交易和共享行为的信任，进而在整个数据利用系统建立一种信任的环境氛围。

对于数据商业交易的信任机制，数据共享服务提供者的设置为其提供了重要的组织基础，但如何使这种组织被市场主体普遍接受和信赖，则是制度运行的关键。在主体的可信度建立方面，《数据治理法案》要求数据共享服务提供者在开展业务之前，必须根据规定的程序将其意图通知国家主管机构，主管机构应确保通知程序是非歧视性的，不会扭曲竞争，并确认数据中介服务提供商已提供了充分的信息。获得主管部门的确认后，数据共享服务提供者方能进行合法运营。欧盟委员会还将保留数据共享服务提供者的登记名册。在行为的可信度建立方面，制度设计上注重其业务运行的中立性和透明度。一方面，业务的单纯性是成为数据共享服务提供者的首要条件，也是中立性的重要来源。《数据治理法案》规定服务提供者不得将其提供服务的数据货币化或用于其他目的，只能将其供数据用户使用，且数据中介服务应当与其他形式的服务结构分离，以避免中立性受到侵蚀。换言之，数据共享服务提供者的唯一业务目的是协助其他主体建立数据商业关系，如果某个组织收集、加工数据是为自身利用数据分析结果，则违背了数据使用行为的中立性意旨，应被排除于数据共享服务提供者的范畴之外。另一方面，《数据治理法案》还明确规定数据共享服务提供者必须以公平、透明、无歧视的条款（包括价格）提供对其服务的访问，获取的任何数据和元数据只能用于改进数据中介服务。

非商业性的数据共享中介组织被称为“数据利他主义组织”（Data Altruism Organisation），此类组织可以出于医疗保健、应对气候变化等普遍公共利益（general interest）目的，科学研究或统计需求等，组织个人或非个人数据的自愿共享，并建立可用的数据池，而无需对个人数据主体或数据控制者进行经济补偿。毋庸置疑，这种自愿、无偿的公益性数据共享更要以主体的高度理解信任为动力。

因此，《数据治理法案》的相应制度设计强调数据利他组织的公益属性，要求其必须是为实现普遍的公共利益而成立、业务独立运作的非营利实体。满足相关要求的实体能够成为“欧盟认证的数据利他主义组织”，欧盟层面负责维护一份统一的数据利他主义组织名册。另外，数据利他主义组织有较高的透明度义务和维护数据主体权益的具体要求。对于前者，数据利他主义组织必须保存数据用户和数据使用的详细记录（包括日期、期间、目的、费用），并起草年度活动报告；对于后者，《数据治理法案》要求数据利他主义组织承担一定的信息义务，例如，在数据处理之前提供有关预期处理的目的和位置的信息，并通知个人数据主体有关数据泄露的信息。数据利他主义组织的业务行为也受到严格的目的限制，即不得将数据用于除维护公共利益外的其他目的。数据利他主义组织还负有提供用于获取和撤回同意的技术工具的责任、安全保障责任等。欧盟还将推行一种模块化、可基于实际需求定制的欧盟通用的“数据利他主义同意书”，目的是以统一的格式在成员国之间收集数据，确保共享数据的人可以轻松地给予和撤回同意，并为希望基于利他主义使用数据的研究人员和公司提供法律确定性。

除了作为实体的数据中介机构，“数据利他主义”实际上也是一种文化建设和理念宣传。当基于公共利益自愿“捐赠”其产生或掌握的数据成为一种机制和惯例，并且产生稳健的运行秩序和可观的社会收益，无疑会使整个社会的数据利用信任感增强。

3.塑造公平：利益衡平机制的引入

基于欧盟坚持的价值观和伦理，改善各类主体数据利用能力、提供更普遍地从数据中获益的机会，能够促进数据价值最大化挖掘开发。

在一般性规则上，欧盟在不少数据利用的具体安排上为中小型企业提供了资金上的豁免或更为简便、友好的程序，以平衡数据利用机会和成本、建立更公平的数据市场环境。与此同时，欧盟数据新法还制定了提高数据利用安排公平性的专门规则。

首先，《数据法案》重点关注了衡平数据访问和使用合同中缔约方利益、重构合同公平性的措施。一方面，数据谈判中的议价能力不仅是由利益相关者的经济规模决定，而且由其在数据生态系统中的角色决定。由于数据往往具有不可替代性，且只能从特定的数据控制者处获取，因此数据控制者即使并不具有市场支配地位或未达到欧盟《数字市场法案》中“守门平台”的标准，也往往具有与其经济规模不成比例的议价能力优势，可能滥用合同意思自治原则，单方面提供合同条款；而弱势一方只能被迫选择“接受或放弃”，其数据利益可能被严重侵蚀。另一方面，由于欧盟市场尚未形成较为成熟的数据交易的商业惯例，对于通常缺乏足够专业知识和技能的中小企业而言，维护其公平利益就更为困难。为此，《数据法案》明确规定合同条款应当公平、合理、透明和非歧视，并提供了“公平性测试”的方法，弥合因缔约方之间谈判能力“严重失衡”产生的不公平。

为处理好衡平双方利益和契约自由之间的关系，不公平测试的适用范围受到较大限制。其一，不公平测试仅限于保护中小企业利益的目的，检验对象是大型企业单方面提供的合同条款。换言之，如果合同条款是由中小企业单方面提供给大型企业，则无需接受不公平测试的检验。其二，不公平测试不去判断合同的主要标的物或应付价款是否有失公平，欧盟认为这是应留给双方自由协商的空间。其三，不公平测试仅针对有关数据访问和使用的特定合同条款，同一合同中不与数据访问使用相关的其他条款并不属于该测试的控制范围。

具体而言，不公平测试包括：（1）一项一般条款，规定“如果一项合同条款的性质严重偏离了数据获取和使用方面的良好商业惯例，违背了诚信和公平交易，则该条款是不公平的”；（2）一份“当然不公平”清单（例如“排除或限制单方面提供该条款的一方基于故意或重大过失的责任”的条款）；（3）一份“被推定为不公平”的清单（例如“允许单方面提供该条款的一方以严重损害另一缔约方合法利益的方式访问和使用另一方的数据”的条款）。

如果中小企业因不愿意失去合同交易机会被迫接受了对方单方面提供的合同，可以合同条款不公平为由向有管辖权的法院起诉，法院将审查该条款是否落入“不公平测试”的范围之内。合同条款提供方负有证明该条款并非“单方面强加”的义务，而证明该条款存在不公平因素的举证责任则归于中小企业。被法院认定为不公平的数据合同条款不对中小企业产生法律约束力，但不影响其他条款的效力。

其次，《数据法案》还力图给予消费者和中小企业更多参与数据经济、分享数据惠益的机会，与此相对应的两个制度是赋予物联网设备使用者的“数据访问权”和“数据可携权”，以及实现用户对云数据处理服务商的可转换性权利（a right to switchability）。具体而言，物联网设备的用户，无论是企业还是消费者，均有权免费访问其所连接设备产生的数据，或要求数据控制者将其指定的数据提供给第三方。相应地，数据控制者有义务应用户的请求提供此类数据，或向用户授权指定的第三方提供其设计或制造的产品产生的相关数据，而不得通过不平等合同的条款限制用户的该项权利主张。值得注意的是，被《数字市场法案》认定为守门平台的商业实体不是适格的第三方，因此任何守门平台均无法请求或被授予访问因使用产品或相关服务而产生的用户数据的权限。与此同时，《数据法案》还规定了“通过设计实现数据可访问性”的义务，根据该义务，设备和服务的设计和制造必须实现在默认情况下使用户能够以简单、安全和直接的方式访问数据，并提前告知客户可能提供哪些数据。

根据用户授权获得数据的第三方也应承担一系列注意义务，包括严格遵守用户授权范围，目的失效后及时删除数据，不得以任何方式胁迫、欺骗或操纵用户从而损害用户的自主、决策或选择权；除非为了提供用户要求的服务，不得使用数据进行用户画像，不得将数据以任何形式再提供给第三方，也不得以任何形式阻止用户将其数据提供给其他主体。

为了兼顾数据控制者的正当利益，《数据法案》对物联网设备用户数据访问权和可携权的行使也施加了一定限制。例如，禁止用户和第三方使用收到的数据开发与数据来源竞争的产品。此外，只有在采取特定保密措施的情况下才能披露商业秘密等。

最后，从技术层面普遍提升各类主体公平利用数据的重要规则。降低服务器转换成本、提高标准化和互操作性，能够避免支付能力较弱的中小型企业承担高昂的退出成本或受制于锁定效应。《数据法案》要求云数据处理服务商必须消除转换障碍，例如：(1)通过书面合同，其中包含强制性最低限度的内容，涵盖与转换相关的客户权利和供应商义务；(2)逐步取消转换过程的费用；(3)保持服务的功能等同性（即在切换到另一供应商后，服务的最低功能水平）；(4)确保符合开放式互操作性技术规范或统一的欧洲标准。事实上，这种互操作性标准也被作为欧洲数据治理框架的一项关键措施，并可能成为贯穿相关立法的重要政策原则。

欧盟系列新规已经引起了欧盟乃至世界理论与实务界广泛的关注和激烈的讨论。总体而言，欧盟没有选择为数据扩展或创制新的知识产权，而是关注数据访问权利、积极提供数据利用机制、解决数据利用障碍，这一总体治理思路得到了较为广泛的认可和支持。其释放数据价值潜力、支持数据深度赋能的立法目标也受到了普遍的期待，欧盟委员会预计，到2028年，数据的开放和重用将为欧盟创造2700亿欧元的额外GDP。

与此同时，欧盟学术界和利益相关者对于系列数据新规也不乏疑虑和批评。较为突出的质疑是数据新法与欧盟的个人数据和隐私保护框架可能存在冲突风险。虽然欧盟委员会一再重申，两部数据法规并不会动摇GDPR所确定的保护框架和保护原则，但从实际效果上看，数据新规和旧有的个人数据保护条款是否确能实现合理协调和平衡兼容，则颇令人怀疑。譬如，从总体框架上看，《数据治理法案》和《数据法案》促进实现数据充分利用和增益、“可用数据越多越好”的治理目标和GDPR框架下个人数据“最小化”要求——“个人数据越少越好”的原则存在明显冲突。不少评论者直接否定兼容的努力和可能性，将其解释为“欧盟关注重点的根本转变，从保护个人隐私到促进数据共享成为一项公民义务”，“标志着欧盟处理个人数据的不良转向，重点从赋权给公民到赋权给数字经济”。

对此，欧洲数据保护委员会(EDPS)和欧洲数据保护监管机构(EDPS)呼吁立法者应当在法律文本中明确规定，就个人数据的处理而言，若规则上产生冲突，则GDPR应当优先适用，包括其确立的最小化数据处理原则也应当在新规中得到坚持，并呼吁立法者为数据主体制定额外的保障措施。更为激进的观点则认为，应当直接将“个人数据”排除于《数据治理法案》和《数据法案》的规则之外。颇具讽刺意味的是，也有学者坚称，新法不应过分受制于GDPR，从而错失良好创意带来的治理机遇。

另一类颇具代表性的批评意见是，《数据治理法案》和《数据法案》未能给予数据处理者充分的投资激励，反而施加了严苛的义务和严格的监管压力。例如，对物联网设备制造商而言，《数据法案》规定的物联网设备用户的数据访问权和可携权将增加制造商收集数据的成本，并抑制其对数据分析的长期投资，从长远观之将使欧洲公司在全球竞争中处于劣势。

也有观点认为欧盟提供的数据访问方案总体上仍建立在私人对数据的控制基础上，而未能建立集体数据权利和旨在实现最大化数据社会价值的集体数据管理模式，因此可能会“错失数据共享的良好机会”。

当然，除了整体框架思路外，对于数据新法引入的众多新的机制和工具，在欧盟对其具体规则建构的科学性、效力性等方面都多有讨论和争议。然而，仅依靠立法文本实难作出公允的评判，规则的具体落实也有待欧盟委员会后续出台的实施细则和各成员国实践。欧盟系列数据立法尽显欧盟积极推动法律治理、深化数据赋能、争取竞争优势的雄心与野心，但制度实效如何，有待实践检验。

欧盟支持数据赋能的法律规则启示

虽然欧盟系列数据新规的制度实效有待实践检验，但从其治理思路和规则取向上可以得出一系列有益的启示。

欧盟通过《欧洲数据战略》奠定了“赋能型”数据立法的总体思路，搭建了数据治理的整体框架，并在此框架下引入对应的法律措施，体现了顶层设计引领、规则迅速跟上的立法进路。

数据治理是一个庞杂、系统的包容性议题，既关乎多维价值目标，又涵摄数据生产者、控制者、使用者等多元主体和个人数据、企业数据、公共数据等属性迥别的数据，即使我国已经通过《个人信息保护法》《网络安全法》《数据安全法》的“三驾马车”先行处理了数据安全和个人信息保护的基本问题，但数据要素发展的支持和规制仍有诸多待决议题，很难通过一种思路、一套机制，在一部法律中进行讨论。因此，应当以综合治理的思路，把握数字经济规律、建构总体框架。中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》，初步勾画了数据基础制度体系的“四梁八柱”。这为数据制度体系化发展和全局性规划奠定了基础、指明了方向，但显然需要进一步落实更为具体、可操作的行为指引规则。

因此，应以顶层设计进行通盘布局，统筹后续数据立法工作的系统性和连贯性。一方面，便于理顺数据治理多维价值目标，梳理数据安全保障、隐私保护和赋能利用相关规则所需的制度空间和制度边界，使整体数据法律框架具备系统性，避免分头立法带来的体系冲突或衔接不畅；另一方面，在总体框架的搭建基础上，便于对后续的具体法律安排进行分模块、分阶段从容考虑，不必陷入力图在一部法律中解决所有问题，眉毛胡子一把抓的思维中。与此同时，在具体法律规则尚未落地的情况下，数据治理顶层设计的出台也便于提供明朗的政策环境，给予市场投资以信心和一定的可预测性。

应当立足我国现有法律资源基础和本土实践需求，站在战略高度构建数据治理的顶层设计和统一的治理框架，综合考虑当下数据经济发展阶段与长期发展规划，衡量各类主体的利益诉求与国家社会的整体利益，协调多维治理目标，为数字经济的发展提供确认保障、激励促进、规范约束等多面向的工具支持，以期实现中国式现代化的数据治理，并为世界的数据治理贡献中国范式。

从赋予非个人数据生产者“数据财产权”的立法假设，到此轮立法所体现的确认和扩大“数据访问权”的治理思路，体现了欧盟数据治理范式的关键革新，反映了从数据赋能实质性障碍出发的务实态度和灵活思路。

摆脱传统财产权保护模式的范式依赖，基于数字经济的发展逻辑考虑具体方案应当是数据治理所持的基本立场。由于现代产权理论认为产权结构是创造有效率的市场的关键，市场的有效性依赖于产权的充分界定和行使的观点过于深入人心，很可能会使人陷入传统范式的惯性思维，不充分论证赋权本身有利于何种政策目标，似乎只需沿着现有法律原理进行推理，将数据实践的问题概括地归因于产权的缺乏。然而在数字经济结构中，数据资源集成和公有能够克服公共资源外部性问题，并通过提高资源配置效率创造更多价值，这打破了“所有权”的必要地位，使其不再是收益分配的唯一依据，反而可能成为数据流通和利用的障碍。

开放、发展的数据要素治理思路是基础，而合理数据赋能方案提出的关键在于查明数据实践的实际需求和真正障碍，继而判断法律能够为实践提供哪些必要指引和支持。欧盟经过实证研究显示，对于利益相关者“最关键的问题并非数据所有权，而是关于如何组织数据访问”。基于这种诉求考察，欧盟相应地提供了政府—企业、企业—企业、企业—个人等各类型数据利用方案，以期扫清实践中长期面临的数据利用障碍。

可见，数据治理务必深入体察数据利用赋能过程中的真正需求，不能仅凭逻辑推理判断“发展障碍”或断言“法律空白”。何为困扰数据实践的真正症结？是否确实存在数据处理控制者利益实现不能或司法救济不力？事实上，区别于作品或公开的技术方案，数据通常能够得到控制者一定程度的自力保护，并因此无需法律之力额外赋予的禁止权即能成为交易对象、实现经济价值。考察我国现有的法律资源和司法实践，商业秘密保护制度及反不正当竞争法一般条款和“互联网专条”的兜底性条款通常能够为数据控制者提供相应的权益保护。2022年底公布的《反不正当竞争法（修订草案征求意见稿）》已经考虑将“不正当获取或者使用其他经营者的商业数据”列为一类典型反不正当竞争行为。不赋权则必然导致利益保护缺位，并减损数据投资意愿、影响数据产业长期发展的论证并不公允。

数据市场的关键问题在于，数据控制者高度依赖自力控制，担心数据进入流通环节即丧失收益可能性；而数据需求者既缺乏交易风险性的评估依据，又通常缺失交易渠道和访问机会，双方都可能陷入“不敢交易”和“不能交易”的窘境。虽然反不正当竞争法从事后救济的角度能起到一定的利益保障功能，但反不正当竞争法是行为规制法，难以实现对客体进行正面描述的功能，无法为市场交易和数据利用提供确定规则和安定信心。对于这种现实障碍，可以考虑引入非排他性权利，例如规定数据控制者基于其收集、处理数据的行为而享有数据获酬权，从而对数据交易行为进行正面描绘，或是参照欧盟模式，综合考虑制定数据访问方案。

简言之，我国数据立法不能仅仅因袭“保护法”的思路，还应当考虑“促进法”的理念和策略，有效把握数据经济开放共享的基调和促进数据交易赋能的目标，紧扣实践需求、革新治理范式。

即使是在发展数据经济、开发数据价值的议题下，个人数据主体也不应成为被忽视的对象，更不应将个人数据权益和数据收集控制者的权益做二元对立式理解，认为强调对个人的保护必将提高数据收集处理的成本和风险，而提高数据经济效益就必然压缩个人利益。

应当坚持经济理性和伦理价值的认知统一，并树立以人为本的数据治理观，认识到每个个体享有的数据惠益应当是数据赋能的最终环节和数据治理的根本目的。数据生态的健康运转务必以利益的有效协调为基础，各类主体数据利益安排不应畸轻畸重。个人数据利益在数据经济运行过程中最易被异化和侵蚀，因此在制度安排上应当特别加以关注。

在传统的数据利用格局中，个人数据权益的实现是一种“以数据换服务”的间接模式，事实上导致绝大部分基于个人数据的利益被分配给数据控制者，个人数据主体在数据空间的获得感较低；如果数据环境缺乏信任支持机制和整体氛围，还会造成对隐私和安全的担忧。此外，还应警惕数据控制者以保护个人数据利益之名，行强化数据专有控制、排除数据流动之实。

因此，因循“个人数据要素利益统归平台代行”的要素利用格局将无可避免地引致利益分配失衡的倾向，在制度安排上应当予以矫正，除了基于安全和隐私价值的保障，还应当分阶段地考虑赋予个人更多的权利和能力，访问乃至开发、利用个人数据。初级阶段应当以透明度和自决为核心，提供技术工具，支持个人自主授予、撤回和撤销同意，避免同意虚化，并提高个人对其数据在流向数据使用者的程序的理解和知情程度。在数字社会系统发展后期，则应当进一步提升个人对其数据使用及开发方式直接控制的能力。

除了制度层面的支持，在数字化进程纵深发展的背景下，也应当加强相应的社会文化教育，积极宣传数据基本知识，培养公众掌握数据利用的基本技能，加强社会“每一个终端”的数据利用能力。