根据《数据法》提案,欧盟委员会应非欧盟/欧洲经济区政府的要求,引入了新的规则来管理云服务提供商持有的受知识产权和商业秘密保护的非个人数据的国际传输和访问(第27条)。根据《数据治理法》(第5条和第30条)*,这是在GDPR规则的基础上制定国际数据传输综合法律框架的最后一部分(第五章)。在此背景下,本文旨在介绍欧盟未来与国际数据传输相关的监管格局。虽然它揭示了这些新规则背后的基本原理,但也指出了潜在的法律互操作性问题。
管理国际数据传输的法律框架
监管数据经济的法律框架越来越基于个人数据和非个人数据之间存在明确区别的前提,后者涵盖受知识产权或商业秘密保护的数据以及不受保护的数据(机器生成的数据)。
在国际数据传输方面,到目前为止,重点主要放在个人数据上,以根据《欧盟宪章》(第8条),特别是基于《通用数据保护条例》(见第五章),维护个人数据保护的权利。在这方面,《通用数据保护条例》第五章规定了严格的规则,无论是出于一般目的(如商业、研究)还是应非欧盟/欧洲经济区政府的执法和其他合法目的的请求进行国际转让(《通用数据保障条例》第48条)。在后一种情况下,《通用数据保护条例》旨在防止在刑事调查越来越依赖数字证据的情况下过度访问或转移个人数据,而某些非欧盟/欧洲经济区政府颁布了法律,迫使其管辖下的公司允许其访问数据,无论存储位置如何。
相比之下,目前没有关于非个人数据国际转移的法律规定。在这种情况下,如果非欧盟/欧洲经济区政府向在欧盟处理其数据的云服务提供商提出不成比例的转移或访问请求,知识产权和商业秘密所涵盖的数据持有人的权益可能会受到损害。缺乏对此类转让的监管是有问题的,因为与个人的个人数据保护权一样,知识产权或商业秘密所涵盖的数据持有人的权利应根据《欧盟宪章》规定的基本财产权予以保护(第17条)。
为了补充适用于数据经济的现有欧盟法律框架,欧盟委员会通过了《数据治理法》提案(2020年11月)和《数据法》提议(2022年2月),这是2020年欧洲数据战略下的两项主要立法举措,特别关注非个人数据。这些提案引入了类似GDPR的规则,以管理受知识产权或商业秘密保护的非个人数据的国际传输,包括(i)非欧盟/欧洲经济区政府的传输或访问请求,以及(ii)公共数据库中第三方权利所涵盖的数据的再用户发起的传输。
管理非个人数据国际传输的类似GDPR的新规则
首先,《数据治理法》提案引入了类似GDPR的规则,以管理公共数据库中第三方权利所涵盖的非个人数据的国际传输。
这些规则是一种机制的一部分,根据该机制,公共部门可以授予再用户(自然人或法人)重新使用公共数据库中保存的、受第三方知识产权或商业秘密保护的非个人数据的权利(这些数据不在开放数据指令的范围内)。然而,为了尊重数据权利持有人的权利和利益,重新用户只能在严格的条件下将数据转移到非欧盟/欧洲经济区国家,包括类似GDPR的充分性系统。根据拟议规则(第5条),在相关国家提供基本同等水平的知识产权和商业秘密保护的情况下,数据可以由再用户转移到非欧盟/欧洲经济区国家。或者,转移只能根据问责制度进行,根据该制度,再用户根据合同承诺保护数据权利持有人的权益,即使在数据转移之后也是如此(有关该机制的更多详细信息,请参阅此处)。
其次,当涉及到应非欧盟/欧洲经济区政府的要求对在欧盟持有的知识产权和商业秘密所涵盖的非个人数据进行国际转移时,《数据治理法》和《数据法》提案都引入了类似GDPR的规则。
《数据法》要求云服务提供商防止转移或拒绝访问在欧盟持有的非个人数据,如果这种转移或访问会与欧盟法律产生冲突。在实践中,与《通用数据保护条例》(第48条)下的机制类似,除非基于司法协助条约等国际协议,否则必须阻止转让并拒绝访问。尽管GDPR规定了在没有国际协议的情况下的替代法律依据,因为第48条包含“不损害”条款(根据第五章,“不损害其他转让理由”),但到目前为止,尚不清楚在实践中向外国政府转让或披露数据的其他理由是什么(例如,参见Christakis)。然而,《数据法》提供了一个明确的替代方案。在没有相关条约的情况下,只有在第三国提供充分的法治保障的情况下才能进行转让或准入,即:
- 第三国制度要求说明决定的理由和相称性,并要求法院命令或决定(视情况而定)具有具体性质,例如与某些可疑人员或侵权行为建立充分联系;
- 收件人的合理反对意见须经主管法院审查;和
- 根据法律,发布命令或审查行政当局决定的主管法院有权适当考虑受欧盟法律或相关成员国国家法律保护的数据提供商的相关法律利益。
《数据治理法》为数据共享中介机构和公共数据库中数据的再用户引入了同样的机制。然而,当谈到对法治保障的评估时,这两项建议有所不同。虽然委员会通过的《数据法》规定了征求相关主管机构或当局意见以评估第三国法治的可能性,但《数据治理法》的政治谈判结果是采用了自我评估方法,删除了提及任何机构对此问题的意见。在《数据法》的政治谈判期间,很可能也会商定同样的自我评估方法。这意味着,在没有相关国际协议的情况下,云服务提供商将有责任决定请求访问或转移客户数据的外国政府是否提供了足够的法治保障(在当前情况下,两种制度之间的比较见图)。
随着这些管理非个人数据国际传输的新规则的出台,欧盟将通过创建一个全面的数据国际传输法律框架来补充GDPR,同时确保高水平的知识产权保护。虽然知识产权法和商业秘密法受世界贸易组织《与贸易有关的知识产权协议》规定的国际一级最低保护标准的约束,但各国对保护的实施情况差异很大,特别是在执行和有效法律补救方面。考虑到这一点,拟议的以国际转让受保护的非个人数据为条件的新规则力求确保:
- 受保护的非个人数据不会转移到不按照欧洲标准提供知识产权和商业秘密保护的国家,特别是在公共数据库中第三方权利所涵盖的非个人信息的国际转移情况下;和
- 在刑事/外国情报调查的背景下,法治保障不足的外国政府可能无法访问在欧盟持有的有价值的非个人数据,以保护欧洲企业免受知识产权盗窃或工业间谍活动的影响。
正如之前的一篇博客文章所提到的,这些新规则可能会影响某些第三国的法律体系。特别是,他们可能会推动第三国根据欧盟标准调整其知识产权和商业秘密保护制度,以进入与欧盟公共数据库中保存的受保护非个人数据相关的(潜在)未来数据处理服务市场。它们还可能激励第三国提供更好的法治保障,以加快刑事诉讼中的跨境数据访问或传输(可能性较小)。
法律互操作性——关于国际数据传输的不同规则能否有效实施?
通过采用类似GDPR的制度来提高知识产权的保护水平——这是另一项与数据保护权一起日益受到数据共享影响的基本权利——欧盟将提高数据的整体保护水平。
然而,在个人和非个人数据越来越难以区分的情况下,如何在实践中实施不同的规则还有待观察(例如,见Graef、Gellert和Husovec)。此外,个人和非个人数据可以混合在数据集中,其中知识产权/商业秘密保护和数据保护可能重叠,因为知识产权和商业秘密保护适用,而不考虑数据的性质(个人或非个人)。因此,不仅很难确定要转移的数据是否符合个人数据或非个人数据的资格,因此应该适用哪些规则,而且个人数据也可能受到知识产权或商业秘密保护。在这种情况下,如果(仅)GDPR规则适用,则一般转让(例如用于商业或研究目的)仅受第三国提供的数据保护水平的限制。然而,在知识产权/商业秘密保护方面不需要任何保证。
最后,关于非欧盟/欧洲经济区政府要求的转移,对于在欧盟持有数据的云服务提供商等实体来说,可能很难遵守新规则。在这方面,虽然《数据法》(第27条)肯定是建立在《通用数据保护条例》(第48条)的基础上的,但这两条规定包含了不同的规则。此外,《通用数据保护条例》的相关条款提出了严重的解释问题。因此,《数据法》第27条的出台可能会加剧云服务提供商在如何处理此类外国政府请求方面已经存在的困惑。也许,另一种方法是,在国际转让受保护数据的情况下适用单一制度,无论所涉数据是个人数据还是非个人数据。
*《数据治理法》于2022年5月30日通过,并于2022年6月3日发表在《欧盟官方期刊》上。自2024年9月24日起适用。关于国际数据转让的条款编号已从提案中的第30条改为通过的案文中的第31条。
- 登录 发表评论