传媒教育网
标题: “被遗忘”的数据可移植性为何重现在欧盟《数据法》? [打印本页]
作者: 刘海明 时间: 2022-4-17 21:28
标题: “被遗忘”的数据可移植性为何重现在欧盟《数据法》?
数据可移植性和互操作性能否助力欧盟企业在数据市场分一杯羹,欧盟数据战略能否重塑其数据经济的价值链分工,将是一个庞大的工程。
和当初欧洲经济共同体建立一个商品、服务、劳动力和资本自由流通的共同市场一样,欧盟还想打造一个自由流动的数据共同市场,实现商业和工业数据的再利用,创造出更多的价值。
今年二月底,欧盟委员会公布了《数据法》(Data Act)草案,该草案是继《数据治理法》(Data Governance Act)之后欧盟数据战略中的第二项重要立法行动。《数据治理法》侧重建立数据单一市场的治理机制和框架,而《数据法》关注的是数据权利和义务本身,即谁可以获得因使用联网设备或服务(智能家居设备、工厂机器人、智能汽车等)而产生的数据、如何获得和迁移这些数据。
草案第二章规定了B2C和B2B之间数据分享中涉及的权利和义务。比如,产品在设计和制造时、服务被提供时,应确保用户在默认情况下能获取和使用在使用过程中产生的数据。而在与第三方的数据分享上,数据持有者(data holders)有义务应用户的要求,向第三方提供相应的数据。第六章则是关于在不同数据处理服务之间的切换。数据处理服务提供商应当保证用户将其数据、应用程序和其他数字资产移植到另一个数据处理服务提供商。
上面所罗列的条文,其实都在讲同一件事情,即如何实现数据在企业、个人、公共机构的分享和迁移。在实现数据的再分配和再利用的目标之下,数据可移植性(Data portability)的概念在《数据法》草案中被重新提了出来。
数据可移植性早就被安顿在《通用数据保护条例》(GDPR)里的第20条里,即数据主体有权以结构化、通用和机器可读的格式接收其提供给数据控制者的与其有关的个人数据。在满足一定条件下,数据主体有权将这些数据传输给另一个数据控制者。立法者的初衷是让数据主体将自己的个人数据在社交平台和云储存中进行转移,从而防止供应商锁定。不过,这项原本能赋予数据主体更多掌控力量的权利,几乎无人问津。
伦敦大学学院研究者们2019年曾对物联网领域中的数据可移植性权利的实际操作性进行了研究。研究者评估了160家联网设备制造商的隐私政策,其中关于数据可移植性的内容非常有限。该研究还选择了四种在消费者种比较常见的联网设备提供商(健康监测Garmin和Fitbit,智能家居AmazonEcho和Google home),并进行了数据移植实验。实验人员首先向设备提供商请求获得设备使用数据,然后将这些数据传输到另一家相关的设备提供商。结果发现,在数据接收、数据格式、所花费的时间上几乎都符合《通用数据保护条例》的相关规定,但是实验者们无法将接收到的数据移植到另一家设备提供商,而从一家设备到另一家设备的数据直接迁移就更不可能了。而且,数据接收者无法理解数据的属性和结构,这影响到了接收者对数据的再利用。
《通用数据保护条例》中规定的数据可移植性,其实包含两个层次:对数据的获得和实现向第三方的数据移植。研究中的设备提供商满足的是数据可移植性的第一个层次。研究指出,这些设备提供商,显然是利用应付《通用数据保护条例》第15条(数据访问权)的那一套工具来应付来自数据可移植性的要求。
《通用数据保护条例》中的数据可移植性是一个被遗忘的角落。截至2022年3月,因违反该条例而开出的罚单已达约16亿欧元,违反第15条的数据访问权也比较常见,而数据可移植性并没有出现在榜单中,不是因为该权利的主张得到了很好的落实,而是,它并没有引起重视。
不过,阿姆斯特丹法院曾于去年处理过类似的案件。使用英国网约车服务Ola的司机要求根据《通用数据保护条例》第20条获得他们的个人数据,且要求数据必须是通过API或CSV文件。而法院认为,“机器可读”并不一定要求数据控制者通过API或CSV文件格式提供数据。
数据的格式是数据移植性所涉及到的模糊地带之一。WP29工作小组(现为EDPB)曾在相关指南中对数据的可移植性进行了解读。在数据格式上,工作小组认为,数据控制者提供的数据格式得能支持数据能得到再次使用。法律条文中所规定的“结构化、通用和机器可读”是最低要求,它必须促进数据格式的互操作性。而且,可移植性的目的在于产生互操作性系统,而不是兼容系统。同时,工作小组建议,在没有共同格式的情况下,数据控制者应当提供常用的数据格式,如XML、JSON、CSV等等。其实,工作小组给出的指南并不十分明确,且没有法律效力,而《通用数据保护条例》却没有给出具体的界定。
当然,《通用数据保护条例》适用于个人数据,且侧重于个人消费者服务领域,比如社交媒体和云存储。而《数据法》不仅包括个人数据,也有非个人数据,侧重于物联网领域,也覆盖了云服务。后者在数据可移植性补充了前者。《通用数据保护条例》规定的数据范围为数据主体“提供的与其相关的数据“,数据主体有权将个人数据从一个数据控制者直接移植到另一个数据控制者,但在技术可行的前提下。而《数据法》则规定用户有权接收和向第三方迁移因使用产品或相关服务而产生的任何数据,不管是个人数据还是非个人数据,不管是主动提供的还是被观测到的数据,不管数据处理的法律依据。此外,草案还确保第三方访问覆盖范围内的所有类型数据的技术可行性。个人数据保护中的可移植性历史遗留问题,可能会在《数据法》中得到格外重视。
但数据并不是一个标准化的商品,如果要实现数据的可移植性,还会涉及到互操作性。各个服务商或供应商之前的数据移植缺乏互操作性,其原因之一在于尚未建立统一的标准。
《数据法》草案中专门有一章在谈互操作性(interoperability)。该条款主要应用在欧盟数据空间、数据处理服务和智能合同上。在互操作性的基本要求上,数据空间运营商应充分说明数据集内容、数据结构和格式、访问数据的技术手段等。欧盟委员会可以要求一个或多个欧洲标准化组织起草符合这些要求的协调标准,或通过实施法案的方式建立通用规范。在数据处理服务的互操作性上,规定应实现相同服务类型的不同数据处理服务之间的数字资产的可移植性。云服务和边缘服务也在该法律的适用范围之内。条文规定,云服务和云数据应在技术规范上实现移植。其目的就是在于防止云供应商锁定,保证多方供应商云环境。
数据可移植性和互操作性可能会是在欧盟数据战略中起到关键作用。不过,它能否撼动赢者通吃的局面、助力欧盟企业也挤进得数据市场分得一杯羹,而欧盟数据战略又能否重塑其数据经济的价值链分工,将是一个庞大的未来工程。
来源:FT中文网(公众号)
编辑:陶鹏辉
欢迎光临 传媒教育网 (http://47.106.15.148/) |
Powered by Discuz! X3.2 |