9月5日,信息技术与创新基金会(ITIF)数据创新中心发布《比较世界各地的数据政策优先事项》报告,指出全球各国在数据保护、数据共享和数据访问等关键数据政策方面体现出不同的发展趋势,但数据政策的重点方向已呈现出向平衡数据驱动型创新和数据保护的转变。目前,很少有国家采取措施制定促进数据生产相关政策,数据政策制定者应考虑在数据收集和共享方面减少数据驱动型创新的障碍。
一、主要国家数据政策对比
报告从数据保护、数据共享、数据访问和数据生产四个维度对欧盟、英国、新加坡、印度和中国的数据政策进行分析。
(一)欧盟
报告认为,欧盟的数据战略目标是实现欧盟区域内的数字化转型,促进区域内的数据共享以增加经济效益,但更注重保护个人权益。欧盟通过两个机构来实施数据相关战略,一是欧盟数据保护委员会(EDPB),该机构是欧盟独立的数据保护监管机构,负责欧盟《通用数据保护条例(GDPR)》的执行和监管;二是欧盟数据创新董事会(the European Data Innovation Board),负责欧盟数据共享政策的制定以及欧盟数据利他主义的执行。欧盟虽然发布促进数据驱动型创新的战略,但着重保护个人权益的GDPR严重限制了数据共享,并通过“必须具有与欧盟同等保护水平”的数据跨境流动限制将GDPR强加于他国。
欧盟数据相关政策具体包括:一是欧洲数字十年计划为欧盟数字化转型在数字技能、业务转型、数字基础设施和数字公共服务等方面设定了的具体目标,以实现互联互通、可互操作和安全的欧盟数字单一市场。二是数据保护政策,GDPR规定了数据保护七大原则,包括合法、公平、透明,目的限制,数据最小化,准确性,存储限制,诚信和保密,以及问责制;《数字权利和原则宣言》指出,数字化转型不应导致个人基本权利的倒退,适用于线下的个人基本权利应同样适用于线上。三是数据共享政策,数据共享是欧盟数据战略的一部分,《非个人数据自由流动条例》规定了非个人数据的国际传输和互操作性要求;《数据法案(DA)》也规定了B2B以及B2G的数据流通相关措施,以及数据处理服务商的数据共享相关义务;《数据治理法(DGA)》创建了数据利他主义的“欧洲共同数据空间”,鼓励个人和企业为公共利益捐赠数据。
(二)英国
报告认为,英国数据战略的目标是提高国家经济竞争力,以用户友好的方式促进隐私保护,使个人数据既受保护又可访问。英国通过信息专员办公室(ICO)这个独立机构专门负责管理英国的数据保护和数据共享。英国采取了比欧盟更宽松的政策,允许公共部门与私营部门共享数据,并通过灵活和创新的监管方法在风险和收益之间取得适当的平衡。
英国数据政策具体包括:一是通过相关立法平衡隐私保护和数据创新,包括《隐私和电子通信条例(PECR)》《数据保护法案(DPA)》以及拟议的《数据保护和数字信息法案(Data Protection and Digital Information Bill)》规定了英国数据保护的核心原则,包括数据可移植性要求,以及因执法需要和业务目的访问个人数据的相关要求等。二是对公共部门数据的再利用,《数字经济法案》规定了公共部门之间的数据共享原则,例如用于编制统计数据、用于研究目的、用于公共服务、用于欺诈案件相关数据的共享等,希望政府和更广泛的公共部门机构以一致的方式向行业提供数据,促进研究和创新,改善公共服务。三是建立促进数据共享的相关机制,包括ICO的《数据共享准则》为处理个人数据的组织提供了数据共享的最佳做法;第二个支付服务指令(PSD2)等关于开放银行业务的规则,要求国家银行以标准化格式提供其数据,以便第三方使用这些信息来创建新的产品和服务。四是创新监管方法,以促进科学和技术商业应用的广泛采用,例如为人工智能技术的采用开发“监管沙箱”。
(三)新加坡
报告认为,新加坡数据战略的目标是将数据作为一种工具,吸引企业在该国开展业务,通过明确的规则保护消费者数据的合规使用。新加坡信息通信媒体发展局(IMDA)作为主要的信息和媒体监管机构,负责主导新加坡的数据相关政策;同时,新加坡设有个人数据保护委员会(PDPC)专门负责《个人数据保护法(PDPA)》的执行。新加坡允许个人数据用于商业目的,并通过可信数据共享框架促进非个人数据在企业间的共享。
新加坡的数据政策具体包括:一是使企业能够使用个人数据,新加坡PDPA的目标是“规范组织间的个人数据流动……,以巩固新加坡作为企业值得信赖的商业中心的地位”,并建立了企业出于公共利益或业务改进目的,在未经同意的情况下收集、使用或披露个人数据的例外条款。二是在有利于业务的框架内保护消费者利益,PDPA规定企业因违反PDPA而使消费者受到损失或损害,消费者有权通过民事诉讼程序寻求法院救济。三是促进B2B数据共享,IMDA创建了可信数据共享框架以促进个人和非个人数据的B2B数据共享,该框架提供了“通用数据共享语言”,如合同数据共享的法律模板示例等。
(四)印度
报告认为,印度数据战略的目标是保护消费者的数据隐私权,支持数据本地化以保护印度本地企业,同时利用非个人数据促进经济增长。印度电子和信息部(MEITY)是印度数据相关战略的领导机构和监管机构,并计划创建新的机构来管理个人和非个人数据。印度在数据生产方面进行了探索,其数据授权和保护框架(DEPA)为收集数据的应用程序和数字服务建立了一个框架。
印度的数据相关政策包括:一是加强消费者隐私保护,《数字个人数据保护法》对印度公民的权利保护和个人数据的合法使用作出了相关规定,包括数据最小化原则和目的限制要求等;二是建设国家主导的数字基础设施——数据信托服务,除允许印度公民使用电子商务和电子政务服务共享数据外,数据授权和保护框架(DEPA)设立数据受托人,在用户和信息提供商之间充当中介,并根据用户设定的标准提供同意,赋予公民对个人数据更大的自主权。三是实行严格的数据本地化政策,但2022年8月发布的新版法案对此有所放松,允许与“受信任”的国家进行数据传输和存储。四是实现非个人数据共享并创建“高价值数据集”,在国家层面对具有特殊公共利益的数据或高价值数据创建数据集加以利用,如健康、地理空间和/或交通数据,以利用非个人数据带来的经济和社会效益。
二、报告主要观点总结
一是,报告建议美国政策制定者考虑多重因素制定有凝聚力、有利于创新的本国数据战略,而非复制他国方案。报告认为,美国尽管在州层面建立了许多数据保护相关规则,但在关键数据政策方面缺乏明确且一致的国家方案。理想的数据政策框架应包括:基于风险的数据保护路径、个人数据和非个人数据的共享框架、数据自由流动规则、积极的数据生产政策。同时建议美国成立国家数据基金会以促进数据共享,协调全国数据处理活动。
二是,报告建议各国采取制定协调一致的数据政策,减少数据跨境流动障碍,最大限度的提高数据驱动能力。报告认为,支持创新型数据政策的国家将成为人工智能经济领导者,数据政策应平衡数据保护与数据收集和使用带来的经济和社会效益,促进跨领域的数据收集,并将其用于数据生产。美国将在美国-欧盟贸易和技术理事会等论坛上促进数据跨境自由流动。
根据报告来看,全球各国数据政策的目标、战略和策略各有差异,但在制定和修订相关数据政策时将更加注重数据对创新的驱动作用。我国已在数据安全、个人信息保护等方面建立了较为完善的数据保护政策,并通过建立国家大数据局对数据共享和使用进行统筹,后续应对各国在数据生产方面的政策走向进行关注。
关注“广东技术性贸易措施”,获取更多服务。