•
歐盟《資料法》的落地,標誌著全球資料治理進入「規則競合」新階段。這部法案以「破除資料壟斷」為名,透過重構資料持有者義務、重塑資料流通規則,正在深刻改變歐洲乃至全球資料市場的權力格局。金晶教授的《數據持有者何以塑造資料市場? 》(原標題)一文,以穿透式研究揭示歐盟立法背後的策略邏輯與制度風險,為中國政策制定者和參與全球數據競爭的企業提供了關鍵性警示。
歐盟《數據法》的激進實驗,既暴露了法律強制干預市場的製度限制,也為中國優化數據基礎制度提供了鮮活樣本。建議企業將本文作為歐洲市場合規的“預警路線圖”,政策部門則可從中提煉規則博弈的攻守策略——在數據主權的底線之上,以更具彈性的製度設計參與全球數字秩序重構。
本文為司法部法治建構與法學理論研究部級課題「資料交易的民法制」(21SFB3017)的階段性成果,原載於《歐洲研究》2025年第2期。經作者金晶教授的授權,現於本平台轉載全文,但囿於篇幅和排版原因,本平台將該文分為2個部分(上下)分別刊載,並刪除了原文的索引部分,修改了標題和小標題。
資料價值化作為資料流通的第一原理,是資料立法的科學前提,也是資料市場的理論基礎。作為國家競爭的新命題,資料流通的經濟促進意義巨大。正如2024年德拉吉( Mario Draghi)在《歐洲競爭力的未來》中指出,“歐盟競爭力將愈發依賴於全行業的數位化和在先進技術領域建立優勢…物聯網、遠端感測器、增材製造和預測性維護等先進技術的連接對於促進循環經濟潛力巨大。”
資料流通秩序之建立,有賴於資料市場基礎制度之確立。中國和歐盟在數據市場的規模結構上雖有不同,但都關注數據經濟促進、數據市場發展。 《中共中央國務院關於建構資料基礎制度更好發揮資料要素作用的意見》(以下簡稱“資料二十條”)將數據產權、流通交易作為構建數據基礎制度體系的首要任務,數據政策密集制定,學術研究方興未艾,在中國政策制定的攻堅階段,以歐盟為代表的域外立法絕非中國構建數據基礎制度的單純立法參照或對比項,在國際貿易背景下不斷發展變化的大背景下,中國在立法機構中既要考慮到國際貿易系統的數據制度。因此,研判歐盟資料市場立法的策略與風險,既有製度競爭的戰略意義,也是建構中國自主知識體系的內在要求。
2023年歐盟《關於公平存取和使用資料的統一規則及修訂(歐盟)2017/2394號條例和(歐盟)2020/1828號指令的(歐盟)條例》(以下簡稱《資料法》)作為一套新的法律框架,被譽為資料保護法的範式轉換,規則規制重點從資料保護
一是改變立法路徑,這是根本、實質的改變。《資料法》的立法者揚棄了曾一度納入考慮的排他性使用權的立法方案,轉而採取非排他性存取權的反向工具(Anti-Instrument)。在如何確定資料權利歸屬和利益分配此資料立法的首要命題上,歐盟採取了對資料生態系統相關方進行全面「合約化」安排的規制方案。作為一種對數據(權益)的事實分配方案,它從根本上改變了數據經濟的既有法律框架,對數據生產者( Datanproduzenten)、數據持有者( Dateninhavern)和數據利益方( Dateninteressenten)的三方關係進行重新平衡。這種從排他性使用權到非排他性存取權的結構性轉換,意義重大。
二是調整規制方法,以橫向規則推動多維度監管,以強制性規則調整商業資料流通方向。首先,《資料法》與《資料治理法》(DGA)均採取橫向立法的對稱監管思路,《資料法》以資料存取和使用為特定問題域,設定資料流通的跨產業監管架構。在立法策略上,這是一種先確立資料流通跨行業一般規則,再針對具體行業「量體裁衣」確立縱向特殊規則的務實安排。其次,《資料法》在資料流通問題上採取較激進的規制模式,以強制性規則引入資料提供法定義務。但這一方案並非初始立法選擇,曾有三種方案被納入考慮:方案一強度最低,在盡量減少法律干預的設想下,設置無拘束力的法律舉措,例如僅設置先合同資訊義務;方案二強度居中,以有限的立法措施來提高數據使用確定性,例如對商事合同內容的預先確定和審查;方案三強度最高,就數據使用設定的法定權利,例如法定訪問儘管歐盟委員會傾向於方案二,其有助於提高資料流通的確定性和資料復用率,賦予消費者和企業更大的資料控制權,鼓勵資料持有者產生資料的積極性。但《資料法》更接近方案三,德國知名資料研究機構魏岑鮑姆研究所認為其是一種「透過促進歐盟立法公平性,來消除合約主體力量結構失衡」的方案。
在資料法範式轉換的宏觀背景之下,本文以資料市場塑造為線索,圍繞資料持有者的概念構造與義務構成,從市場結構、市場主體與市場流通三個維度,研究歐盟《資料法》矯正資料市場結構失衡的規制方法、創設資料持有者概念的政策考量,以及資料持有者法定義務的正當性基礎與市場影響。
(一)資料持有者對資料市場的結構性影響
市場設計理論認為,市場制度的設計構成市場設計的重點,而數據特性則是數據
市場制度設計的事實起點。
數據具有非競爭性、事實獨佔兩大特性,這是數據市場塑造的事實基礎。
首先,資料的非競爭性是資料利用過程中發揮「乘數效應」的基礎。 《資料法》鑑於條款第1條第4句開宗明義:「相同資料可用於各種目的,可以無限重複使用,而不會造成品質損耗或數量減損」。非競爭性決定了資料使用不會導致資料消耗,其他使用者存取的資料也不會隨之減少,資料使用效率也不會下降,這是資料區別於傳統生產要素的一大特性。其次,資料的事實壟斷,導致資料利用過程中存在「絆腳石」。持有資料的主體通常對資料擁有事實上的控制和管理能力,使得資料利用受制於特定主體。資料持有者對資料事實的控制也意味著,其很容易能夠阻止甚至排除其他經濟主體存取或使用資料。 《資料法》鑑於條款第2條將這種資料事實壟斷描述為「給資料共享製造障礙,阻礙了為社會利益而需要進行的資料分配優化」。
資料的非競爭性、事實獨佔特性為資料市場帶來了結構性影響。歐盟委員會指出,“歐盟內部市場的大多數數據未被使用,或者價值集中於相對少數的大公司手中。”主導《數據法》立法的歐盟委員會官員迪爾克•施陶登邁爾(Dirk Staudenmayer)也提出,“當下歐盟數據經濟立法的重點在於數據經濟產生的依賴性”。歐盟資料市場的結構性失衡表現為大「數」之下,「寸草不生」,資料經濟對資料持有者有較強依賴。資料經濟對資料持有者的依賴性源自於以下市場發展:快速發展的物聯網使網路連線設備能夠收集數據,海量資料的出現與匯聚引發生產、銷售流程的數位化,催生了純粹基於數據的商業模式。作為新型生產要素,資料的重要性與日俱增,一旦企業要以其他企業的資料來開發或經營其商業模式,但又無其他資料來源可用之時,對資料及其持有者的依賴隨之出現,這種市場力量失衡會進一步加劇數據市場機制失靈,這是《數據法》要解決的結構性問題。
資料流通的邏輯前提是市場主體能掌控(存取)資料。數據無法存取或使用,數據就難以有效利用,商業模式也無從創新。《資料法》遵循資料流通基本邏輯,以矯正數位經濟產生的依賴性為目標,旨在打破市場主體對資料持有者的依賴。
(二)經濟動機:資料持有者對歐盟市場的戰略價值
《資料法》是歐盟基於「建立真正資料內部市場」願景所推出的基礎制度,構成2020年《歐洲資料戰略》中資料立法議程「四大支柱」的第一支柱。歐盟將《數據法》的遠期目標錨定為「使歐洲在全球數據經濟中發揮主導作用」,將近期目標定位為「透過改善數據的訪問和促進負責任的數據使用,發揮日益增多的可用數據在促進社會和經濟福祉方面的潛力……通過制度設計,為數據敏捷型歐洲經濟構建適當的方式框架,從而更主動地掌控歐洲市場和經濟福祉方面的潛力…透過制度設計,為數據敏捷型歐洲經濟結構或全球市場的宏觀市場的結構性數據。
《數據法》的經濟動機至為明顯,甚至可稱為內部市場經濟刺激工具,將為歐盟內部市場帶來蔚為可觀的經濟刺激。可資佐證的是,在《‹數據法›影響評估報告》中,歐盟委員會將歐盟數據經濟的主要問題歸結於“內部市場可用數據不足,進而影響到一系列經濟行業,導致歐盟層面數據利用不足,給消費者選擇、創新和公共服務提供帶來負面影響”。歐盟委員會甚至從「經濟帳」的角度,預測《數據法》的經濟促進效果。歐盟委員會預估,在整體市場影響層面,到2028年,《數據法》將使27個成員國國內生產總值增長1.98%,其中2024年至2028年四年間,將使政府收入和投資活動各增加968億和304億歐元,並額外創造220萬個工作機會。在市場賦能和行政降本層面,到2028年,一方面,透過提高數據在商業用途和企業創新中的可用性,《數據法》每年產生的收益將達1.96億歐元,另一方面,透過促進為公共利益目的使用商業數據,《數據法》每年減少的行政負擔將達1.55億元,其中僅訪問數據請求一項的年營業額將接近一項200億元。
《資料法》立法時間表的一系列關鍵節點,體現了歐洲對這部法案的急切期待。2022年2月23日,歐盟委員會公佈《資料法(草案)》,啟動正式立法程序。草案一公佈即引發激烈爭論,相關爭論聚焦於法案的概念清晰度、立法目標、規制工具、結構性路徑( structural roads )等議題。草案一讀過程中通過多項修正,2023年3月14日,歐洲議會向理事會提交修訂後的《資料法(草案)》。儘管爭論激烈,但僅8個月後,即2023年11月27日,草案就獲得理事會一致通過,並在同年12月就條例最終版本達成一致,12月22日歐盟官方公報發布正式文字,法案自2024年1月11日,即發布正式文字的20天后正式生效,從20259月12日起適用。此時距草案最初公佈僅22個月。 《資料法》立法進程如此迅速,以至於有學者評價法案通過「未產生重大政治摩擦…這與當時相關行業人員和利益集團忙於實施監督GDPR、《數位服務法》和當時尚未通過的《人工智慧法(草案)》有關」。利害關係人無暇顧及固然是原因之一,但《數據法》迅速通過的根源,仍在於歐盟的政治決心以及預期的經濟效果。
(三)規制資料持有者的方法:資料存取制度
存取設計(access bydesign )構成《資料法》對資料市場力量結構性介入的核心製度,旨在打破歐盟內部市場的資料孤島。此制度與歐盟《一般資料保護規範》(GDPR)的隱私設計一脈相承,首要目標是更好利用歐盟內部市場產生的工業數據,透過加強商業和非商業數據生態系統中不同主體間的數據共享,為網聯產品及關聯服務用戶提供基於產品或服務生成數據的存取途徑。
資料存取制度具有雙重功能,既能用資料存取促進創新,也能維持一套有利於資料生產的激勵機制。
為讓資料存取更易實現,《資料法》第1條第1款引進了相互關聯的規制工具,據此確立了四類基礎制度:
一是用戶的資料存取權;
二是資料持有者的資料提供義務;
三是資料持有者向政府機構提供資料的義務;
四是資料存取、傳輸和使用的互通標準。
上述四類制度表現為權利與義務、原則與例外、主要與補充的組合關係。首先,使用者的資料存取權與資料持有者的資料提供義務一體兩面;其次,將資料提供義務設計為原則與例外關係,資料持有者原則上負有對使用者提供資料的法定義務,僅例外情形下才對政府機構負有提供資料的義務;再次,促進資料處理服務的互通、切換等技術規則的發展,作為資料存取權、資料
(四)工具評估:規制資料持有者的“隱藏”目標與“限度”
破除資料持有者依賴、提高資料可用性是《資料法》的規範目標,歐盟委員會在《‹資料法›影響評估報告》中,將這一目標描述為「透過立法矯正資料流通的結構失衡,保持對資料產生進行投資的激勵機制,最大限度地提高資料在經濟和社會中的價值…《資料法》旨在透過確保更廣泛的利益相關者
本文認為,《資料法》的目標不止於此,或「隱藏」了更深層的競爭與產業政策意涵:透過規範力量(法律制度),以法定義務形式,讓有市場競爭優勢、掌握資料的特定主體向潛在競爭對手提供資料。
例如,歐盟委員會《‹數據法›影響評估報告》對法案目標的上述描述更接近於產業政策,即透過物聯網領域的數據存取規則,重新分配內部市場工業數據,改變特定主體(第三方)獲得和使用數據的能力,其事實效果是釋放更多數據供歐洲中小型企業使用,數據持有者的市場優勢可能受到削弱。具體來說,在歐盟市場運營的數據富集型的數據持有者(跨國科技公司、數位平台、物聯網巨頭)依法提供(「交出」)數據,由此干預數據商業流向,讓處於數據資源劣勢的經濟主體(歐盟中小型、新創公司)能基於存取權和數據提供義務依法使用/存取(“獲得”)資料。這種法律干預的結果是重塑數據流向,其目標或在於形成有利於歐洲的數據市場結構,提高歐洲數據市場甚至歐洲產業的競爭力。
上述「隱藏」目標是以經濟數據為支撐的。根據《‹數據法›影響評估報告》的預測,對第三方而言,單是旨在解決合約失衡的不公平合約條款的法律規則,就將為(歐洲)中小企業帶來每年約52億歐元的利潤;對數據持有者而言,《數據法》的成本將分攤到持有數據的企業,其中大多為製造商,基於數據共享義務,數據持有者不得不向消費者、第三方開放訪問數據,與數據訪問相關的技術基礎設施的一次性成本和經常性成本將分別達到4.1億和8800萬歐元,數據持有者向政府機構提供數據的一次性費用和經常性費用將分別達到5.525億和7810萬歐元,為滿足互操作性要求,數據持有者就每項標準的成本將花費100萬歐元。而上述經濟營收與成本支出,實質上是以犧牲數據持有者的經濟利益為代價的。由此可見,數據持有者面對第三方、政府機構的「數據犧牲」代價,表現為第三方的利潤增加、數據持有者的成本支出、數據持有者提供數據的法定義務,是一種數據市場的「利他」安排。
橫向規則的適用及其限度尚需進一步考慮。德國馬克斯•普朗克創新與競爭研究所指出,“歐盟在數據市場立法上引入橫向規則確有必要,尤其在特定問題上採用橫向規則恰逢其時……但橫向規則無法取代對具體行業的特殊監管,單憑橫向規則無法成為未來行業規則的優良範本。”
本文認同上述立場,橫向規則應有一定限度。盡管歐盟委員會主張「未來的行業立法原則上應與《數據法》的橫向規則保持一致」,但基於《數據法》的適用範圍,法案將影響到所有可能與歐洲市場產生聯繫的工業行業。然而,橫向規則並非數據經濟「一勞永逸」的立法方案,各行業數據持有者的特徵不同,針對具體部門的特殊規則更具針對性,更能靈活應對技術發展。橫向規則雖然符合立法統一性的形式美感追求,但易落後於產業技術的迭代發展。立法者若盲目追求橫向規則,恐與資料市場、數據技術、物聯網產業的複雜性相悖。
(一)數據持有者的概念確立
從概念史回溯,資料持有者並非既定法律概念,而是歐盟新創的主體概念。資料持有者也非GDPR所用概念,GDPR確立了個人資料處理者、個人資料控制者概念,但未引入資料持有者概念。
數據持有者的概念使用可回溯至2020年《歐洲數據戰略》,其中兩處提及數據持有者。一是正文中,歐盟委員會在解決資料可用性問題的語境下提出「可以根據誰是資料持有者、誰是資料使用者/使用者來進行分類」;二是腳註中,歐盟委員會提出「資料存取權的範圍應當考慮資料持有者的合法利益」。由此可見,《歐洲數據戰略》雖然從政策角度提出數據持有者概念,但其僅是政策用語,概念語境與數據流通利用密切相關,政策制定者更多的是將數據持有者與數據使用者作為一組概念區分使用,側重數據持有者與數據用戶的區分,將數據持有者與數據訪問權關聯使用,但並未明確數據持有者的法律含義。
數據持有者的法律概念的界定和採用可回溯至《數據法》和《數據治理法》。例如,《資料法》在第2條的定義條款中單列一項,界定了資料持有者的積極要件和消極要件。
《資料法》第2條第13項將資料持有者正面界定為,“根據《數據法》以及適用的歐盟法律或為轉化歐盟法律所通過的成員國立法,有權有或有義務使用和在提供關聯服務過程中訪問或生成的數據的自然人或法人”。資料持有者的原型指向事實上、技術上掌握資料的主體,通常是有能力產生資料的網聯產品製造商或關聯服務提供者。當然,資料持有者並不限於這兩類主體。不過,並非所有法律持有主體,都構成《資料法》意義上的資料持有者,網聯產品製造商與資料持有者概念不等同,資料持有者的主體範圍僅限於產品製造商提供資料存取的情形。
《資料法》在鑑於條款中排除了不構成資料持有者的兩類情形。一是《資料法》鑑於條款第25條最後一句以及第63條規定,資料持有者概念通常不包括公共部門,但可能涵蓋公共企業;二是根據《資料法》鑑於條款第22條,GDOR第4條第8項意義上的處理者(為控制者處理個人資料的自然人、法人等實體)不構成《資料法》意義上的資料持有者。
適格的資料持有者應同時滿足(1)存在基礎法律關係和(2)對網聯產品及關聯服務有事實控制兩項隱含前提。首先,並非所有持有資料的主體都有義務提供資料訪問,必須存在使用者與資料持有者之間的基礎法律關係,例如產品或關聯服務的合約;對資料缺乏實際技術控制權而無法提供資料的製造商,對產品技術設計缺乏控制權的製造商,不落入《資料法》上資料持有者的概念射程。換言之,委託處理個人資料情境下的資料處理者不構成資料持有者,但其可依GDPR 第 4條第7項所定義的資料控制者的特別委託來提供資料。
如前所述,資料持有者並非GDPR的概念,但作為新的主體概念,資料持有者與GDPR的個人資料處理者和控制者之間有概念重疊,這種重疊僅限於個人資料,非個人資料的資料持有者與GDPR無關。
首先,能決定個人資料處理目的和方式的資料持有者構成資料控制者。在處理個人資料情形下,資料持有者也構成資料保護法意義上的資料控制者,但這須以資料持有者單獨或與他人共同決定資料處理的目的和方式為前提。但如果數據未儲存於數據持有者的技術和事實控制之下,而是其他主體依據其指示存儲並處理,例如網聯汽車的傳感器資料,或是第三方應用程序數據僅存儲於汽車製造商控制範圍內且第三方按汽車製造商指示處理材料,此時,《數據法》鑑於條款第24條仍適用,只有第三方應(使用者之)請求提供給汽車製造商的數據,才屬於針對汽車製造商的數據訪問請求的範圍。
其次,資料持有者和使用者可能構成GDPR意義上的共同控制者。基於《資料法》鑑於條款第34條,如果資料持有者和使用者構成GDPR第26條意義上的共同控制者,其必須透過合約安排確定各自在GDPR意義上的責任。換言之,一旦資料提供,如果使用者符合《資料法》上資料持有者的標準,並因此負有提供資料的義務,該使用者可以反過來成為資料持有者。
(二)數據持有者未被賦予資料持有權
需指出的是,資料持有者概念並未衍生出與中國「資料二十條」中資料持有權類似的權利形式。《資料法》未確立資料持有權,資料持有者亦未因其法律主體地位獲得新權利。
資料持有者與資料持有權之間的不相關性,在規範文義和關聯解釋中均有體現。
從規範文義觀察,《數據法》規則正文雖未提及,但其鑑於條款中有兩處明確確認:
一是《資料法》鑑於條款第25條首句明確,“本條例不應被理解為賦予資料持有者使用產品資料或關聯服務資料的任何新的權利,如果網聯產品的製造商是持有者,那麼製造商使用資料的法律基礎應是製造商與使用者之間的合約。”
二是《資料法》鑑於條款第24條最後兩句亦佐證,「在訂立提供網聯產品的合約之前,資料持有者有義務提供相關產品能夠產生的產品資料的資訊,這與資料持有者和使用者訂立的是網聯產品的買賣合約抑或租賃合約無關。如果相關資訊在網聯產品的合約內資訊或關聯服務的內容
由此可見,《資料法》中的資料持有者是對資料使用主體的描述,其使用資料的法律基礎仍為合約約定。關聯解釋表明,儘管《資料法》第11條第1款及鑑於條款第57條允許資料持有者採取技術保護措施(如智慧合約和加密措施)以防止資料非法披露或訪問,但此間接承認並非確認其享有法律上的財產權。立法確立資料持有者概念的真正目的,在於建構以其為中心的製度框架,即明確其法定義務與使用限制,後文將進一步闡述。
(三)概念評估:資料持有者的概念疑點
正如德國馬克斯•普朗克創新與競爭研究所在《資料法(草案)》的立場意見中指出:《資料法》第2條第6款的資料持有者定義條款並未引起任何關注,該概念雖貫穿法案,但本身存在問題」。作為《資料法》規則體系的概念基礎,資料持有者概念的正當性及其內涵亟待深入探討,目前存在若干疑問。
資料持有者的預設主體有待明確。在規範文義上,除了《資料法》第2條的定義條款,第3條第1款設定了資料持有者的實質要求,要求資料持有者「在設計和製造網聯產品以及在設計和提供關聯服務時,應使資料以全面、結構化、常用和機器可讀的格式…並在技術可行的情況下直接提供給使用者。」此外,《資料法》鑑於條款第22條從設計能力的角度,要求「網聯產品的設計,可以使某些資料直接從裝置的資料儲存器或遠端伺服器訪問,並將資料傳輸到遠端伺服器。」由此可見,資料持有者向使用者提供資料的前提,是要滿足第3條第1款意義上對網聯產品和關聯服務設計、製造產品的控制能力。本文將其定義為資料持有者的「供數能力」法定要求,即確保使用者存取資料的能力,此要求以生產和設計能力為前提。雖然《資料法》第2條第13項將資料持有者界定為包括但不限於產生資料的產品製造商和關聯服務供應商,但前述規定強調其需具備實質性「供數能力」,而能滿足此要求的主體主要為控制生產製造流程和設計能力的網聯產品的製造商,換言之,落入《資料法》第33條文義為第3條」的主題。德國馬克斯•普朗克創新與競爭研究所亦指出,若以製造商為預設資料持有者,則鑑於條款應明確說明。
《數據法》對資料持有者這一關鍵概念的陳述不夠明晰。例如,當多個經濟主體共同參與網聯產品製造時,難以明確誰是適格的資料持有者。若嚴格依據《資料法》的資料持有者概念,網聯產品價值鏈中的所有相關方都可能被視為資料持有者,進而承擔提供資料的法定義務。這對於全球價值鏈中的製造商而言似有失合理性。鑑於資料持有者以基礎法律關係為前提,應依據使用者與製造商或服務提供者的合約判定其構成,此問題尚待實踐檢驗。
《資料法》雖明確資料持有者不衍生資料持有權,且鑑於條款指出其概念不賦予任何新型權利,但德國學者梅茲格(Axel Metzger)和施瓦策( Heike Schweitzer )指出,《資料法》未創設新的知識產權,也不承認資料持有者對使用者或第三方享有強制執行的財產權或排他性,然而從經濟角度看主要所有權,《技術上,因其在不符合存取權法定要求時,仍可在技術上阻止他人存取機器產生的資料。因此,從訪問權的實際效果來看,《資料法》僅對資料持有者進行概念性界定,未完全闡明其事實上的「所有權」地位,而這仍是資料權利法定分配的關鍵。 (Internet Law Review)