导言：2021年10月6日，欧盟安全研究所发布由该所研究员卡米尔·波利诺（Camille Boullenois）撰写的智库报告《中国数据战略：创建国家引导的市场》。该报告阐述了数据治理的创新、安全、隐私、监督四个维度，分析了中国数据治理的基本框架，并为中欧开展数据合作提出系列政策建议。 

　　2019-2020年，欧盟、英国和美国分别发布了各自的数据治理战略，认识到了数据对其经济发展和国家安全的重要性。这些数据战略从不同侧重点强调了以下四方面相互竞争的目标：创新（利用数据创造新的商业模式，促进经济增长）、安全（确保敏感数据不被敌对外国势力使用）、隐私（保护公民的个人信息不被滥用）以及监督（利用数据监督公民和公司的行为）。 

　　过去两年中，中国同样围绕上述四个方面的战略目标，研究制定自己的数据战略和治理机制。虽然学者、决策者、游说者和国家机构仍在讨论具体的数据治理框架，但地方政府出台的有关规定对数据以及相关主体地位的界定，预示着未来的治理特点。 

　　本报告旨在阐明关于中国新兴数据治理框架的争论。文章首先描述了该框架的目标，继而通过总结围绕中国决策者正在建立的新数据权的争论，分析了中国第一个定义这些权利的地方试点法规。然后，概要将重点放在卫生数据上，以说明中国的数据治理机制是如何设计的。最后，简要概述了中国数据治理框架给欧盟政府和公司带来的挑战。总的来说，中国的数据治理制度将对欧盟公民的数据保护产生重要影响，并引发数据保护主义的风险。因此，欧盟应尽早了解中国的数据战略，以便能够做出适当的反应。 

　　一、释放数据资源的潜力 

　　与许多国家一样，中国数据治理政策的目标正在迅速演变。最初，中国政府更关注数据安全，并将数据用作监督工具。在过去五年中，中国政府建立了全面的数据隐私保护制度，并制定了数据发展战略，以创造数据市场，鼓励创新和数字经济增长。 

　　中国政府长期以来都主张以安全为中心的数据利用规则，保护网络基础设施，防止网络攻击和数据泄漏已成为中国数据治理体系的关键目标，如2017年出台的《网络安全法》以及2021年出台的《数据安全法》等。为实现其治理目的，对人口深入了解也是中国政府长期战略的一部分。如始建于1998年，由公安部负责运营的数字警务“金盾”项目，建立了中央刑事信息系统，从而打造出联合行动平台的警察数据系统。 

　　中国政府近几年将保护个人隐私作为数据战略目标。2018年中国追随欧盟的脚步，开始建立保护数据隐私的系统性法律框架。其中包括《信息安全技术个人信息安全规范》（GB/T 35273-2020），及随之而来的一系列个人信息保护法规，并最终于2021年8月颁布了《个人信息保护法》。 

　　在过去五年中，中国的数据治理框架也致力于发展数字经济。2015年，国务院颁布了《促进大数据发展行动纲要》。2016年发布的“十三五”规划专门用一整章的篇幅阐述了国家大数据发展战略。支持数字经济的发展对中国政府十分重要，原因有二。一方面，中国在智能制造和工业数字化方面落后于西方国家。例如，中国在这方面的支出占GDP的比例较美国的少六倍，比德国的低三倍。中国的制造业在很大程度上仍然是低技术、低技能，依靠廉价劳动力的，数据被视为创新和经济转型的关键要素。另一方面，中国快速增长的电子商务市场异常强劲，约占该行业全球交易量的45%，中国领导人希望利用这一优势实现经济发展的目标。 

　　为了释放数据资源的潜力，中国政府在数据治理方面采取了前所未有的方法。2019年10月，中共共产党第十九届四中全会将数据定性为“生产要素”。这一认识为关于如何创建国家主导的数据市场的讨论铺平了道路，该市场将通过降低交易成本和允许更顺畅的数据流通促进数字经济。2020年，国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，明确指出数据作为生产要素参与市场分配。 

　　规制数据的法律制度必须平衡三方主体之间的利益。首先是企业，它们寻求的是个人数据的便捷收集，廉价、合法、快速地访问具有准确数据的数据库，以及保护他们的数据不受政府影响。它们还寻求机会与其他企业交换数据并将数据货币化，降低存储和使用数据库的合规成本，以及分析和使用数据以增强其业务模式的权利。其次是个人，个人希望对数据收集加以限制，以更好地保护他们的隐私，他们需要保证公司和政府持有的数据不会被用来伤害或控制他们。最后是政府机构，与世界上许多国家一样，各政府机构正在推动增加人口数据收集，以便更好地监督公民和公司的行为，它们试图平衡在企业与个人之间的利益。 

　　二、谁将拥有中国的数据 

　　中国对数据市场的理解非常具体：在中国的“社会主义市场经济”下，政府在定义权利和规则方面发挥着重要作用，同时认识到让参与者在国家定义的框架内自由互动是最有效的。考虑到这一点，中国决策者现在开始呼吁建立一个法律体系，创建和定义数据产权，从而使数据成为可以买卖的商品。 

　　创建数据所有权制度是有争议的。数据具有独特性，这使得这一努力变得困难：与有形商品不同，数据可以随意复制和传播。一项具有创造性和独特性的作品通常是被确认为“知识产权”的先决条件，但组建一个数据库不一定需要。经过多年的激烈讨论，美国和欧盟尚未建立这样的数据所有权制度。虽然这一想法的支持者认为这会促进数据的形成与共享，但批评者认为，这将扼杀数字经济的增长，阻碍数据的移动，加速数据垄断。 

　　这一话题在中国国内也存在争议。由于这是一个技术问题，立法仍处于早期阶段，因此有公开讨论的空间，学术和新闻文章中都公开表达了不同的观点。但在过去两年中，一直有人对引入数据产权表示一致和高度支持。2021年3月发布的第十四个五年规划——涵盖2021-2025年的国家发展高水平路线图——呼吁“建立和改进数据产权交易”。2021年3月，中央财经委员会第九次会议再次呼吁“加强数据产权体系建设”。 

　　根据这项立法工作支持者的说法，定义数据所有权将有几个好处。它将鼓励数据的流通和共享，并有助于消除数据使用的障碍。如果公司知道数据上的财产受到法律保护，不被盗用和滥用，他们就不会害怕共享数据。此外它将通过建立基于数据集的税收体系，更好地分配从数据使用中获得的财富和利益。它还可以打破自然数据垄断，通过允许较小的参与者将其数据货币化，而不用再担心数据丢失或向科技巨头购买所需的数据，确保公平的市场竞争。 

　　尽管中国的数据所有权制度仍处于早期阶段，但通过观察学者之间的讨论、立法者的讲话以及地方性法规，可预见其大概方向。大多数评论员同意，数据所有权制度应允许非排他性和多利益相关者的共同所有权，不同的数据主体和数据处理者根据其在生成、维护和使用数据方面的角色对数据行使不同的权利。 

　　在这一框架下，个人获得了实质性保护，免受公司对其数据权益的损害，中国的隐私条款与欧盟的《一般数据保护条例》（GDPR）非常相似。但中国专家和决策者也主张建立一个商业思维框架，严格意义上的数据所有权将保留给企业持有的大型数据库，而不是个人数据。这意味着个人将无法将其个人信息货币化或从中获得收入，但他们将享有“消极权利”，例如拒绝授权使用、删除、访问或更正其信息的权利。 

　　相比之下，收集数据的企业将享有在特定条件下管理、使用和从其持有的数据中获取收入的权利。其中一个条件是，数据收集要么需经过个人授权，要么是出于特定的目的（译者注：如公共利益的考量）。或者，当个人信息经匿名化处理，无法识别到特定的个人，则企业可以自由使用他们收集的数据。 

　　早在中国颁布相关法规之前，其司法实践就已开始如此实施，如微博诉脉脉（2016年）和腾讯诉抖音（2019年）案表明，收集和使用数量巨大的匿名数据的公司已经被授予保护其免受其他公司不公平占用的权利。 

　　尽管如此，中国的政策制定者一直小心翼翼地不认可中国科技巨头的垄断和不公平竞争行为，并在最近针对他们展开了大规模的监管行动。数据资源往往形成自然垄断，需要打破这种垄断，以实现更公平的市场竞争。因此，最近的法规致力于保护消费者免受数据技术带来的集体伤害。例如，《个人信息保护法》禁止实施差别定价，并赋予了个人数据可携带权，以避免锁定效应。蚂蚁集团于2021年4月进行的重组是朝着这一方向迈出的又一步：尽管具体规则仍不明确，但该公司很可能不再能够在集团的不同行业和不同子公司之间自由、不透明地共享数据。在2021年9月，媒体报道称蚂蚁集团将被迫创建一个单独的贷款应用程序，并将用户数据移交给其与国有企业共同组建的新实体。 

　　此类规则产生的共同使用权制度被视为数据集资产化和货币化的先决条件。自2014年以来，中国一直在试验大数据交易平台。此外，中国人民政治协商会议全国委员会2021年年度会议上提出的数据产权制度提案，建议设立一个国家数据库，用户可以从中购买数据；当前的收入将根据所有利益相关者在生成、收集、维护和利用数据方面的参与程度分配给他们。 

　　国家作为数据收集和共享的关键监管机构和参与者，在建立数据所有权制度方面，拥有重大权力。政策制定者和专家们正在探索不同的途径，以鼓励公司向政府授予对其数据资源的访问权，例如，为愿意共享数据的公司提供税收减免政策，或为强制性数据共享提供财务补偿。 

　　然而，在这些主张中，同样重要的是中国政府向公众开放自己的数据资源。根据中国总理李克强2016年的一份声明，中国80%以上的信息和数据资源掌握在各级政府部门手中，但这些数据中很少有集中、使用或以有意义的方式共享。中国政府希望与公众分享其中一些数据，但也希望为公司提供一些有偿、有条件的使用。 

　　最后，国家的使命是保护国家数据资源，以应对国家间的激烈竞争。2021年6月发布的《数据安全法》指出了如何保护这些战略资源。法律对“重要数据”的定义是，这些数据一旦泄露，将损害中国的国家安全、公共卫生或经济社会发展。此类数据出境需经过繁琐的评估程序，包括获取当地公安部门的批准。 

　　围绕创建数据市场的所有想法，都已在中国第一份定义数据权利的地方法规草案中得以体现。该法规于2020年在深圳提出，并于2021年6月修订。法规将作为试点，并可能成为国家数据权利定义的蓝图，因此，它为中国未来几年的数据治理制度提供了宝贵的见解。 

　　《深圳经济特区数据条例》为三类参与者定义了三种数据权利：个人、企业和政府。个人享有的个人信息权利遵循《民法典》的定义，与所有权不同。相比之下，公司享有的权利更接近于传统所有权。他们可以通过合法建立的数据交易平台买卖合法获得的数据。深圳法规还将“公共数据”定义为“新型国有资产”，由政府部门和公共机构（如卫生、供水、金融、电信和交通部门）持有和收集。个人和公司必须遵守国家对其数据的收集，但如果他们认为数据收集不准确或侵犯了他们的个人隐私、商业秘密或其他合法利益，他们可能会提出反对。因此，其中一些公共数据将免费向公众提供，而有些数据将有条件地公开或仅供国家使用。 

　　《深圳数据条例》还规定建立数据交易平台，鼓励数据价值评估机构从实时性、时间跨度、样本覆盖面、完整性、数据种类级别和数据挖掘潜能等方面，探索构建数据资产定价指标体系，推动制定数据价值评估准则。 

　　该条例还概述了战略数据资源的国际跨境传输和保护规则。尽管任何个人信息或重要数据的转移都必须向当地网络空间主管部门报告，但条例通过设立白名单制度，为双边和多边合作机制与其他国家自由跨境数据流动留下了空间。 

　　三、医疗数据案例 

　　医疗数据的案例清楚地说明了建立数据治理框架的复杂性，以及中国政府在这一框架方面采取的措施。 

　　医疗数据在涉及个人信息时尤其敏感，因为它涉及到个人生活最隐私的信息。《个人信息保护法》等法规将健康数据视为敏感数据，因此受到严格保护。 

　　从公司的角度来看，医疗数据也有其特殊价值。例如，制药公司渴望获得大规模数据来开发和测试新药、创建个性化治疗方案以及更精确的识别客户群体。中国已经认识到大数据在发展国民健康产业方面的潜力。例如，2017年，中国计划成立三个国家级健康大数据产业集团，汇聚地方政府、医疗机构和保险公司。 

　　此外，从公共卫生和国家安全的角度来看，医疗数据至关重要。最近，中国政府将新冠疫情危机视为证据，证明在发生突发卫生事件时收集详细的公民健康数据的重要性。2020年初，中国城市开始使用“健康码”，开放公共建筑和交通。然而，到目前为止，中国的医疗数据整合和集中程度远远低于西欧国家的水平。这主要是由于缺乏共同标准：不同的省、市和医院对医疗信息的标签和分类方式不同。 

　　为了鼓励健康数据的使用，中国已经开始定义医疗数据的权利，通过利益相关者、数据类型和情况复杂程度对其进行大致分类。通过定义特定情况下每个参与者的权利和责任以及特定类别的数据，国家希望建立一个既能保护每个人的权利又能鼓励数据使用的数据制度。 

　　新的医疗数据安全指南于2020年12月通过，并于2021年7月生效，旨在实现这一目标。它们区分标准个人健康数据和基本身份识别处理后获得的数据。后者可在未经个人授权的情况下用于健康研究和教育、公共健康和医疗保健。医疗提供者可以依靠自己的判断来决定使用和披露哪些个人健康和医疗数据，并且没有义务同意受试者限制使用其数据的要求。 

　　这项规定很重要，因为只要数据用于某些目的，它就为公司提供了强有力的类似财产的权利。它为制药公司在临床试验中收集和使用数据提供了更大的自由度：例如，对于上市后研究或回顾性研究，指南规定，只要数据经过身份识别处理，就不需要知情同意。这一点至关重要，因为中国越来越鼓励使用“真实世界数据”（在药物或医疗器械的整个生命周期中获得的数据）作为批准新产品的证据。 

　　附属于国家机构的数据权利优先于指南中授予的其他权利，如果数据是为公共卫生目的收集的，则无需获得数据主体的授权。实际上，政府已经开始建立广泛的数据清单，这些数据需要为公共卫生目的收集。例如，2019年发布的《全国医院数据上报管理方案》等法规列出了卫生服务提供者必须提交给国家卫生委员会的数据，并将其标准化。 

　　国家还规定了健康数据的类别，这些数据受到特别保护，不被外国收集和使用。人类遗传资源数据是指器官、组织、细胞、血液和DNA等遗传物质的信息，属于受保护类别：外国机构不得收集人类遗传资源数据，除非与中国机构合作；这些严格的规则赋予了中国同行相应的角色和责任。 

　　换句话说，中国立法者正在建立一个数据治理机制。在这个机制中，利益相关者的性质和角色，以及数据处理的类别和目的，都在决定他们的产权。为了更好地理解这个市场将如何运作，可以在数据治理制度和中国的土地所有权制度之间进行富有成效的比较。在这两种情况下，利益相关者（农村或城市、中国或外国、个人或集体）的性质决定了他们可以对客体主张的权利类型。 

　　四、对欧洲政府及企业构成的挑战 

　　中国数据治理制度的特殊性对欧洲政府和公司有几点重要的影响。 

　　首先，是来自中国政府收集和使用个人和公司数据倾向的挑战和风险。在这方面，中国并非独一无二，所有政府都在一定程度上采取相类似的措施。欧盟的GDPR允许成员国为公共利益收集个人信息，前提是此类收集“必要且相称”。这将对在华欧盟公民构成挑战，也给制药和医疗保健等公司带来新的挑战，这些公司可能需要向政府提供有价值或敏感的数据。《国家安全法》（2015）、《网络安全法》和《国家情报法》（2017）等法律已经赋予中央政府访问外国公司敏感数据（包括源代码和知识产权）的所有权力。 

　　中国的战略也给欧盟带来了战略和意识形态上的挑战。在前面介绍的利益相关者（企业、政府和个人）三角关系中，欧盟迄今为止一直坚定地站在个人权利一边，GDPR是世界领先、影响世界的立法项目。欧盟主要关注的是人权和消费者权利，中国则从更全面的角度看待个人信息保护，包括将经济增长和社会稳定作为关键因素。中国在控制疫情方面表现良好。据悉，这与个人数据的大规模收集和处理有关，并可能会引起其他国家效仿。2020年9月，中国公布了其“全球数据安全倡议”，表明其制定全球数据治理规则的雄心。 

　　其次是中国的数据保护主义构成的挑战。虽然欧盟从一开始就非常保护公民的个人信息，但中国已将国家数据保护扩展到对中国经济和社会发展有价值的“重要数据”。跨境数据传输可能会采取针锋相对的策略。例如，2021年的《数据安全法》规定，中国将在数据资产交易中采取“相应措施”。在中美关系日益紧张的背景下，最近对中国对滴滴的安全审查表明，当敏感数据受到威胁时，政府可能会限制国内企业赴海外上市。 

　　这就造成了数据保护主义深化的风险，各国保留着自己的数据资源，不与外国行为者共享。更广泛地说，这也将危及数字贸易，因为科技公司将不得不在数据孤岛内运营，而不是在各国提供产品。同时，这也会对经济造成严重影响：2014年价值7.8万亿美元的数据流，预计到2022年将比2017年的水平增加近四倍。 

　　五、政策建议 

　　对于欧盟政府来说，可以通过双边和多边贸易谈判影响中国的数据立法。2021年8月发布的《个人信息保护法》表明，中国将遵守条约或国际协议中关于个人信息跨境传输的规定。2020年11月签署的《区域全面经济伙伴关系》（RCEP）包含此类条款。中国最近还表示希望加入《全面与进步跨太平洋伙伴关系协议》（CPTPP），该协议规定各方不得将数据本地化作为开展业务的条件，从而证明其愿意就这些问题进行谈判。 

　　中国地方政府虽然并非独立于中央政府，但也可以成为欧洲政府和欧洲企业的协商伙伴，因为各地政府之间已经开始竞争并吸引发展地方数字经济的投资。例如，海南自由贸易区正在试验更方便的个人信息海外传输和简化程序，以及物理基础设施，以促进更快的国际数据流。 

　　在这场辩论的早期阶段，研究人员、大学和政府运营的智库可以卓有成效地参与围绕全球数据规则和规范制定的讨论。例如，保护个人信息的一个关键方面是证明数据已充分匿名化。尽管中国最近发布了一项关于匿名化过程的标准，但通常不可能定义一个先验阈值，超过该阈值，匿名化就足够有效。在没有独立审计的情况下，公司将尽最大努力避免数据价值的降低，如果数据被泄露，将导致数据被重新识别的更高风险。欧盟在制定这方面的全球规则方面可以发挥重要作用。 

　　总之，欧洲政府和公司应该密切关注围绕中国数据治理制度的辩论、立法和执法活动，并观察其对欧盟公民和企业的潜在影响。 

　　原文链接：https://www.iss.europa.eu/sites/default/files/EUISSFiles/Brief_21_2021.pdf