前不久，歐盟委員會正式公布《數據法案》（草案）。根據歐盟委員會介紹，依循2030年數字目標，該法案解決了導致數據未被充分利用的法律、經濟和技術問題。新規則將使更多的數據得到利用，并將確保數字環境的公平性，刺激數據市場競爭，使所有人更容易獲取數據，從而為數據驅動的創新提供機會。鑒于歐盟內部80%的非個人數據迄今從未被使用過，此次法案推動釋放的數據預計到2028年將創造2700億歐元的額外GDP。

此前，歐盟與數據治理相關的最重要立法為《一般數據保護條例》（GDPR），針對個人數據保護設立了嚴格的標準，而此次《數據法案》則專門針對非個人數據，從而與GDPR共同構成歐盟數據治理的兩大支柱，支撐起既強化數據保護，又推動數據流通釋放價值的數據治理新格局。然而，《數據法案》所蘊含的內外有別、一體雙標的立法思路又與以嚴格著稱的GDPR迥然不同。

按照歐盟立法設計，《數據法案》旨在為非個人數據的利用，涵蓋各種智能設備、自動化生產線、自動駕駛汽車等多產生的數據，提供公平的訪問和共享框架，明確B2B、B2G的數據流通措施，同時確定數據處理服務提供商的相關義務，推動數據市場更加開放，充分發揮數字經濟價值。因此，外界普遍認為科技巨頭公司將首當其沖受到沖擊。除了被迫分享更多其所掌控的商業和工業數據，巨頭們還需要遵守法案對互聯網平臺“守門人”從用戶數據便攜性規定中獲益的各種限制。同時，由于法案規定非個人數據應與個人數據一樣不受外國政府監控，以對沖美國CLOUD法案的影響，即使來自美國的科技巨頭決定在歐洲存儲和處理歐洲用戶的所有數據，其處境也將變得更加艱難。

然而，削弱科技巨頭對海量數據的壟斷并非《數據法案》的主要目的，法案更核心的訴求是為歐盟內部和跨境數據流動構建相適應的規則框架，以便促進內部數據單一市場中的數據要素流動，并同步維護數據跨境傳輸安全，強化歐盟數據主權。因此，法案的具體規則制定也呈現出一體雙標的特點。

從針對歐盟內部數據流動的規定來看，重點集中于擴大消費者、中小企業和公共部門等數據主體獲取非個人數據的權利范圍和實現數據共享的路徑，以促進數據充分流動。《數據法案》首先明確其原則為“每個用戶，無論是個人還是組織，都應當有權獲取其促成產生的數據”。在此基礎上，《數據法案》允許使用聯網智能產品的用戶訪問由其產生的數據（通常由制造商采集）并可向第三方分享。相應的，聯網產品和相關服務應默認以可訪問的方式向用戶提供數據。不僅如此，用戶還有權選擇在不同的云數據處理服務提供商之間切換，以實現數據自主轉移。科技巨頭及其掌控的平臺對此應予以配合。

另一方面，為了增強中小企業在數據共享談判中的議價能力，防止大企業濫用數據共享合同，法案專門設計了保護中小企業免受強勢一方提出的不公平合同條款的規定以及豁免情形，并制定有利于公平的標準化合同條款，再輔以對互聯網平臺“守門人”的限制性規定，即用戶或第三方不能與守門人分享相關數據，而守門人也不能要求用戶與他們分享數據或接收數據。與此同時，公共部門在發生緊急公共事件、獲得法律授權等特定情況下也可以獲得私營部門持有的數據。為此，法案也花了大量篇幅來闡述用來消除妨礙數據流轉、利用和共享實際障礙的操作細則和詳實路徑，構建了較為公平、完善的權責體系，以提高包括中小企業在內的更多參與者投身數據經濟的積極性，刺激數字市場競爭和產業投資。

對于非個人數據跨境流動，《數據法案》予以了專章規定，且其限制嚴格程度堪比GDPR之于個人數據。首先，法案的適用范圍以主體進行確定，不限于歐盟境內，具體包括了在歐盟市場上銷售產品的制造商和相關服務供應商，以及此類產品或服務的用戶；向歐盟數據接收方提供數據的數據持有者；接收數據的歐盟數據接收方；因公共利益執行任務的特殊需要而要求數據持有者提供數據的公共部門機構和歐盟機構，以及應此類要求提供這些數據的數據持有者；向歐盟客戶提供此類服務的數據處理服務提供商等。設置如此寬泛的適用范圍某種程度上亦是對美國CLOUD法案“長臂管轄”的有力回應。

在此基礎上，法案設計了5項機制來規范歐盟非個人數據向境外的傳輸：第一，數據處理服務提供者應采取一切合理措施，確保非個人數據傳輸到國外后不違反歐盟法律及相關成員國立法中的規定；第二，若數據處理服務提供者收到來自第三國的任何將在歐盟存儲的非個人數據傳輸到境外的要求，必須以第三國與歐盟之間具有已生效的國際協議為前提，方能開展傳輸；第三，在沒有國際協議的情況下，只有符合歐盟《數據法案》規定的三個特定條件，才可以向第三國當局轉移或允許其訪問非個人數據；第四、數據處理服務提供者應提供響應請求所允許的最低數量的數據；第五、數據處理服務提供者應在響應第三國行政當局的要求之前，及時告知數據持有者存在查閱其數據的要求。

在《數據法案》做出上述規定之前，只有GDPR專章規定了個人數據跨境流動的合規路徑，同時歐盟又通過Schrems I和Schrems II案分別否決了用于跨國數據傳輸的“安全港協議”和“隱私盾協議”。《數據法案》的出臺雖然有效彌補了歐盟數據跨境制度的空白，但也為非個人數據跨境流動至第三國設置了較多障礙，以有效限制非歐盟國家通過本土立法獲取歐盟境內非個人數據。這樣的制度設計在給歐盟非個人數據提供更有力的安全保障的同時，也必然加重有跨境數據傳輸需求企業的負擔。云服務提供商在部署IT架構、配備管理人員時，將需要把不同國家的數據本地化與出境法律規定納入考量，盡可能采取措施，防止第三國訪問或轉移與歐盟法律相沖突的非個人數據。受此影響，本地化的IT設備與人員配置將持續增加，企業因此不得不承擔更多的數據使用、管理與合規成本。

歐盟采取對內促進非個人數據流通，對外嚴格規制數據跨境流動的“一體雙標”治理思路，其動因并不難理解。數據的價值產生于流動。近年來，歐盟一直試圖通過構建內部數字單一市場來釋放數據活力以及實現公平、可持續的歐盟數字化轉型，以造福廣大歐盟企業、消費者、公共部門及整個社會。因此，歐盟在內部必然傾向選擇推行有利于數據流動和破除科技巨頭數據壟斷的法規。從嚴監管非個人數據出境，則是為了進一步增強廣大用戶對歐盟國際數據處理能力的認同，減少對外國數據服務的依賴，進而更有效維護數據主權和數據安全。相關理念和實踐對其他國家的數據保護立法，以及實現大量工業、商業數據價值具有一定參考意義。

同時，也應當看到，綜合采用歐盟《數據法案》“一體雙標”的各項立法舉措，雖然有助于釋放符合歐盟數據治理規則和價值觀的數字經濟潛力，但過度監管和合規成本快速增長也有可能壓制科技公司的創新意愿和業務成長。在提升自身全球數字治理規則話語權的同時，歐盟將如何平衡保護與發展的關系，還有待進一步觀察。