B2B場景下非個人數據共享

馬斌

摘? ? 要：在時間是關鍵因素的B2B場景下，非個人數據聚合為數據池才能為各個利益相關方帶來利益，而可攜權在這方面并不起作用。吸取可攜權之教訓，數據共享規則需要按照市場原理去設計。首先，當參與數據共享的各方之間存在共享數據的動因時，中立的第三方中介機構可以重新組織市場以克服市場失靈之處，吸引各方匯聚為數據池。其次，當存在反競爭之情形時，競爭法規則即可適用。最后，由于競爭法適用具有事后性并且耗時長，事前監管措施即可彌補該缺點。事前監管措施主要體現為強制性共享數據，多發生于沒有數據共享之經濟動因的場景，旨在促進公共利益以及基于數據的政府、社會治理。

關鍵詞：非個人數據;數據共享;競爭法;事前監管;訪問權

中圖分類號：D 912 ? 文獻標志碼：A? ? ? 文章編號：2096?9783（2021）06?0029?11

引? 言

2015年，歐盟提出了“單一數據市場”戰略。2016年，歐盟議會通過《通用數據保護條例》（以下簡稱GDPR），旨在建立統一的個人數據保護法律規則，為歐盟企業創新發展和促進“數字單一市場”創造法律環境。歐盟認識到，數據驅動創新是推動歐洲經濟增長和就業的關鍵因素。在線收集的和物聯網設備生成的數據，以及大數據分析工具和人工智能應用程序的可用性是關鍵技術驅動因素。數據是一種非競爭性資源，這使得同一數據支持若干新產品、服務或生產方法的創建成為可能，使數據的價值可以得到社會化最大利用1。因此，2018年，歐盟發布《非個人數據自由流動框架條例》[1]，旨在消除歐洲成員國和IT系統之間非個人數據自由流動的障礙，以構筑歐盟數據經濟。歐盟委員會的這些研究促使歐盟在2020年再次提出新《歐盟數據戰略》[2]，概述了未來五年的數據經濟政策措施和投資戰略。歐洲數據戰略旨在建立一個單一的數據市場，確保歐洲的全球競爭力和數據主權。歐洲公共數據空間將確保更多的數據可用于經濟和社會，同時使生成數據的公司和個人保持控制。

GDPR第20條規定了個人數據可攜權，最大化了數據主體對個人數據的控制，即控制者對個人數據不具有控制權，僅負有配合義務，由此避免控制者爭奪用戶數據，促進數據流動、競爭以及創新[3]。這就創造了一個迂回的B2C2B渠道，以克服個人數據共享的障礙。它可以被視為促進數據共享和競爭的工具，同時也是賦予數據主體的一項基本權利。數據主體像是個人數據權利的“自然方”。但是，目前關于非個人數據可移植性的法律規定卻尚未建立，沒有在收集數據的一方與有權訪問數據的一方之間建立明確的法律聯系。非個人數據通常是共同生成的，可供多方訪問，沒有一個“自然方”可以對其主張權利。因此，引入非個人數據的所有權之想法已逐漸消失，現在已由訪問權取代。如同當年歐盟創設個人數據可攜權一樣，也是從訪問權的分配著手，并未建立所有權，只是在最終的條例（GDPR）中將可攜權從訪問權中獨立了出來，并對其作了延伸性規定2[3]。同樣的問題再次擺在我們面前，并且難度升級：在無法確定、識別非個人數據的“自然方”的前提下，如何在多個利益主張者中確定訪問權的享有者，抑或是否需要規定非個人數據的可攜權？

非競爭性是數據共享或數據再用（re?use）所帶來的經濟福利收益的根本驅動力。如果一家公司收集的數據可以用于多種目的，那么如果其他公司能夠訪問和使用這些數據，以生產出原始數據收集者所沒有想到的創新性數據服務，這將為社會節省成本。但是，正如歐盟委員會的數據戰略中提到的，目前許多數據仍然被鎖定，無法用于創新性的重復使用。它確定了數據共享的幾個障礙，包括企業之間缺乏信任、市場力量不平衡、缺乏數據互操作性以及缺乏增強個人或企業行使數據權利的工具。因此，數據共享還可能會給數據控制者帶來經濟損失3。是否參與數據共享，則需要數據控制者將從共享數據中獲得的利益與共享數據可能產生的成本間進行權衡。收益將刺激數據共享的私人市場，而成本將限制數據共享。

本文立足于市場失靈的角度，法律應僅在市場未提供基于最大化數據共享量的社會福利時進行干預，界定不同數據控制者之間的關系，同時考慮數據共享的成本和收益。而在分析該問題之前，個人數據訪問權（尤指可攜權）的分配規則（亦為流動規則）的理論與實踐情況為我們提供了一個可供借鑒抑或檢討的視角。

一、可攜權配置規則的不可借鑒性

（一）以數據主體角度構建可攜權規則不能發起數據流動

GDPR第20條規定：“滿足以下情形時，如果數據主體向某數據控制者提供了與其有關的個人數據，那么該數據主體有權從該數據控制者處獲取結構化、通用化和可機讀的上述數據;同時，數據主體有權將這些數據轉移給其他數據控制者，原數據控制者不得進行阻礙。”在40多個國家和地區立法例中，只有少數對該項權利予以明確規定，如巴西2018年的《統一數據保護法》（LGPD）、印度2019年的《個人數據保護法》（草案）、菲律賓2012年的《數據隱私法》以及泰國2019年的《個人數據保護法》。為何只有少數的幾個國家規定了可攜權，這不禁令人深思。

個人數據可攜權配置規則的邏輯起點在于從數據主體的角度重構個人數據的權屬規則（同時也是流動規則），進而界定數據主體與數據控制者，以及不同數據控制者之間的關系。該項權利的權屬規則可細分為權利客體、義務主體以及權利內容三個維度，并且正是這三個維度賦予了可攜權這一種類所有權之屬性，從而阻礙了個人數據流動。

1.維度之一：權利客體范圍過寬

各國對個人數據范圍進行了相似的規定，均要求個人數據應當限于與數據主體相關、由數據主體提供給數據控制者的范圍內。

表1? 個人數據的范圍

[個人數據的范圍 國家/地區 數量 數據主體的相關個人數據 歐盟、印度、泰國 3 已由數據主體提供給數據控制者 歐盟、印度、泰國 3 ]

如表1，歐盟表述為“數據主體提供給控制者的相關個人數據”，歐盟第29條工作組（WP29）認為應當對“提供”作廣義理解，指數據主體有意和主動提供的個人數據，并且通過服務或者設備所提供的觀測數據也應當包括在內，但應當排除“推測數據”與“派生數據”。印度規定的是“向數據受托人提供的個人數據”“數據受托人在提供服務或使用貨品的過程中所產生的數據”以及“構成數據主體任何簡介的一部分數據”;泰國規定為“與其相關的個人數據”“根據本法規定同意收集、使用或披露此類個人數據，或根據第24（3）款豁免同意要求的個人數據，或委員會所規定的根據第24條所指的任何其他個人數據”。

可以看出，數據可攜權中的個人數據范圍，并不是局限在狹義意義上數據主體所提供或者上傳的數據，而是偏向于廣義上之理解——與數據主體相關的個人數據，但并不包括數據控制者通過對數據主體所提供的數據進行推導或分析而獲得的數據。后者通常表現為數據主體的行為數據，即數據控制者通過記錄主體行為而得到的數據，包括位置數據、通過可穿戴的便攜式設備記錄的健康數據抑或在線網絡瀏覽歷史等。

而若采取廣義上的個人數據之理解，那么涉第三人的數據以及關系鏈數據是否也需要納入該項權利的客體范圍？一旦采納該觀點，那么就會有侵犯第三方數據主體的基本權利以及企業的商業秘密之風險。

2.維度之二：權利內容不明確

表2? 權利內容

[行使的權利內容 國家/地區 數量 獲取個人數據 歐盟、印度、泰國、菲律賓（副本） 4 直接將個人數據轉移至其他的數據控制者 歐盟、印度、泰國、巴西 4 要求數據控制者提供的個人數據格式 歐盟、印度、泰國 3 ]

一般情況下，數據可攜權的權利內容包括兩點。一是數據主體有權從數據控制者處獲取或者取回個人數據。2012年菲律賓的《數據隱私法》中明確規定要求控制者提供個人數據的副本，并且該副本可以滿足主體的進一步使用需求。在歐盟第29條工作組（WP29）中提到，數據主體有權接收數據控制者處理的有關其個人數據的子集，并且將其存儲供個人進一步使用。可以看出這一權利內容從性質上屬于訪問權的補充，數據主體可以在一定條件下獲取個人數據并管理使用。

二是有權要求直接將個人數據移轉至其他數據控制者，使個人數據在控制者之間更安全地共享，從而提升數據主體服務體驗感。數據主體有權要求數據控制者將獲得的個人數據整理為特殊格式。例如歐盟規定的“普遍使用的、機器可讀的”個人數據;泰國規定的“可讀或以通用的自動工具或設備格式，并能以自動化方式使用或披露的格式”。盡管菲律賓并未在個人數據格式上作特殊規定，但在適用情形中要求個人數據是“以電子或者結構化格式”進行處理的，并且委員會可以指定格式，傳輸的技術標準、方式以及程序。從各國對數據格式的要求可以看出，其目的在于盡可能地統一數據的傳輸標準，降低數據傳輸成本。一方面，對于數據主體而言，在獲取數據時易于管理與使用;另一方面也有利于實現將個人數據從一個數據控制者傳輸至另一個控制者不受阻礙的目的。

然而，這一要求的前提在于技術可支持。例如，歐盟規定的“技術可行時，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者”。印度則在限制權利行使情形中規定“技術不可行的”不適用;泰國規定的“除非由于技術原因無法獲取”。因此，盡管該格式要求是為了促進控制者對可互操作性的格式進行開發，防止控制者在這一過程中設置傳輸障礙，但是，這也并未要求數據控制者有義務采用或者維護技術上兼容的處理系統。因此，“技術可行”需要進行個案分析。

對于“無障礙”之理解，WP29解釋道：“無障礙”應做狹義理解。GDPR只鼓勵數據控制者采取可互操作的格式，方便數據主體傳輸和重新使用數據，并沒有要求數據控制者開發進出口系統（EIM）[4]。這降低了企業的成本。但是，WP29建議應當滿足“互操作性”，該要求有可能會威脅到個人數據安全，特別是在技術能力和控制成本有限的中小型企業中，有可能會增加個人數據泄露的風險。

3.維度之三：義務主體范圍過寬

競爭法規制的是濫用市場支配地位行為，因此在相關產品市場中具有一定的市場支配地位是判斷違反競爭法的關鍵一步。而可攜權之義務主體并未區分對象，而是適用于一切數據控制者，包括中小型企業，這就為其設置了過高的門檻。對于消費者而言，企業為滿足數據可攜性要求而付出的巨大成本最終都會轉移到消費者身上，從而也會降低消費者的福祉[5]。

（二）可攜權之反思：回歸競爭法規則并加強事前監管

在大數據時代，數據是被生產出來的，即對特定對象的描述或者關于某對象數字化記錄，由此將數據所描述的對象稱為數據源，而將描述或數字化記錄本身的過程（與描述對象的分離）稱為數據生產[6]。因此，在數據生產過程中，數據主體只是提供了一個可供描述的對象，而數據控制者則投入了大量的人力、物力將該對象數字化記錄，形成可機讀的原始數據。這也是國內外正在呼吁為數據控制者賦權的根本原因所在。在這種情形下，數據主體將獲得的副本直接授予另一位控制者使用，無疑侵害了前一控制者的利益，不利于市場的有序競爭[7]。盡管數據主體應當參與到因處理數據而產生的收益分配中，這也是貫徹了經濟合作與發展組織制定的《隱私保護和個人數據跨境流通指南》所規定的八大原則中的“人人參與原則”，但是數據主體應當在何種情形下或者在多大程度上參與這種分配卻難以界定。至少就GDPR實施的效果來看，不應將數據主體置于數據共享發起者之中心角色，即不應賦予其較大控制力。這是因為，將個人數據商業化利用者為數據控制者，數據主體難以理解變化復雜的商業政策以及隱私政策，僅僅依靠“告知—同意”框架，難以有效保證數據主體知悉數據控制者的使用目的。而數據代表著時間，數據使用是具有排他性的，體現在企業訪問和分析數據的速度上。數據主體面對無數個“告知—同意”選項，有限理性的存在意味著難以通過信息披露的方式激活競爭機制的約束效用，其后果會影響中小型企業的經濟效益或造成“強者恒強”之局面。

競爭法鼓勵動態創新，主要考慮創新對公民長期福利的影響，而非單一的消費者福利。競爭法一般賦予成功的創新者從其資產中排除競爭對手的權利，從而補償其發展風險。而可攜權違背了競爭法的這一基本原則，并傾向在存在市場競爭的地方減少創新。因此，解決之道就在于將本屬于競爭法所規制的對象還原回去，即將可攜權所規制的對象還原給競爭法。而這就需要削弱數據主體的控制力（即削弱可攜權），不能讓數據主體充當數據共享的發起者，應讓數據控制者成為數據共享的發起者。

削弱可攜權的切入點在于厘清可攜權與訪問權之間的關系。兩者之間的關系可歸納為兩點：其一，訪問權是可攜權的前提，只有在訪問的基礎上明確知道自己上傳和被收集的個人數據，方能進行下載和轉移;其二，可攜權是訪問權的延伸，在知道和了解自己個人數據的基礎上，數據主體可以通過下載和轉移的方式，讓自己或第三方控制者深挖自己的個人數據，從而分享大數據流通的增值蛋糕。若用一個公式來表達兩者關系，則為：訪問權（A）+數據轉移之決定權（B）=可攜權（C）。由此觀之，賦予數據主體以數據轉移之決定權（B），恰恰就是阻礙數據經濟的問題根源，即“將本屬于市場的東西給了個人”。因此，按照市場原理，須要去除數據轉移之決定權（B），結果為僅剩下訪問權（A），而這就回到了立法之初。事實上，訪問權與更正權、刪除權等權利并列，共同構筑了數據主體的一系列防御性權利，保護個人免受數據處理行為的侵害，即可達到保護個人權益之目的;若繼續賦予數據主體以轉移決定權，就會使得個人利益與社會利益失衡。

但是，由于競爭法規則通常是事后的，并且案件時間耗時長，這與數據戰略相悖。因此，事前監管規則不可或缺，且域外已經著眼于事前監管規則。意大利通信管理局（AGCOM）是監管機構之一，根據意大利的《電子通信法規》（8月1日第259號立法法令），AGCOM必須確保作為大數據支柱的通信服務的市場準入;這種獲取必須符合客觀、透明、非歧視和相稱性的標準。此外，為了克服執行基本設施原則所帶來的困難，其他國家監管機構（例如法國）也制定了新規則，要求私營企業在符合公共利益的情況下開放其數據[8]。由此觀之，事前監管在非個人數據訪問權配置規則中扮演重要角色。

二、非個人數據共享規則之設計——基于市場原理

在物聯網設備所生產的非個人機器數據之情景下，情況將變得更加復雜，因為目前尚無明文規定在數據控制者一方與數據訪問需求者一方之間建立明確的法律聯系。并且聚合范圍經濟是數據經濟的命脈，即只有在匯集多個獨立且互補的數據集的情況下，才能從其中獲得更高的價值。而事實上排他性控制數據的持有者不一定是從數據中獲得最大利益的一方。因此，如何分配數據訪問權以促進數據共享4[9]是開展數據經濟的關鍵所在。而該問題的解決，需要吸取可攜權之教訓，即應按照市場原理去分配訪問權，從而促進非個人數據共享。

（一）一級數據收集市場與二級數據利用市場之間的協調困境

從一家私營公司（企業1）的角度出發，假設該公司收集相對稀缺的數據集（D1），且沒有相對緊密的替代品。因此，該公司受益于壟斷市場地位。我們假設企業1使用D1生產服務S1，因此，D1和S1的生產是垂直整合的。D1可以獨立于S1收集，也可以是生產S1的副產品。例如，在提供電子商務或社交媒體服務時收集的消費者數據5。假設D1可以被企業1或另一個企業2重用以產生另一個服務S2，或者需要將D1與企業2擁有的另一個數據集D2聚合（聚合范圍經濟）以產生服務S3。為了使社會從D1可能產生的潛在范圍經濟中獲得社會福利收益，S2必須由企業1或企業2生產，而S3的生產需要企業1和企業2之間的協調。可能阻礙實現范圍經濟的障礙有以下三點：

1. S1和S2之間的替代效應對D1再利用的影響

如果S2是S1的競爭替代品，則企業1將試圖阻止S2的生產，因為它破壞了其自身服務S1的市場。例如，汽車制造商將不愿意與獨立的維修服務提供商共享汽車維修數據，這些服務提供商將與自己的官方經銷商競爭;如果S2是S1的補充，企業1有動力促進S2的生產，因為它將增加S1的銷售。例如，汽車保險和導航服務是汽車銷售的補充。汽車制造商有動機使用數據來降低成本和提高這些售后服務的質量，因為這會增加汽車銷售量;或者，相對于S1，S2可以是中性的，既不是互補物，也不是替代物。例如，移動電話服務運營商生成的移動性數據可用于增強城市交通管理，該服務既不具競爭性，也不補充原始用途。出售用于交通管理的移動性數據，將為移動電話運營商帶來純粹的額外收入。

總之，如果S1和S2是緊密替代品，則可能無法實現數據重用。這可能給社會造成福利損失，尤其是在當替代品會增加下游服務市場的競爭時。這樣的例子包括汽車維修、支付服務和能源分銷市場中數據驅動的競爭。

2. 企業1和企業2之間的數據交易或垂直整合，以生產S2

企業1的第二個問題是內部生產S2還是將對D1的訪問權出售給企業2以生產S2。這是一個垂直整合的問題，答案取決于哪種選擇對企業1來說是最有利可圖的。由于重復使用D1生產S2的邊際成本接近于零，盈利能力將由企業1提供給企業2關于D1的訪問權而獲得的壟斷價格決定。其一，如果企業2可以獲得替代數據集D2來生產S2，則D1的定價必須考慮替代數據集D2的成本。D2可能是一個不完美的替代品，它產生的服務質量較低，而S2的市場價格較低。例如，汽車保險和導航服務的生產商可以轉向汽車導航數據的替代供應商，如移動電話運營商，以生產競爭性服務。不過，汽車制造商可能會決定，他自己的服務S1可以與S2競爭，而且這種選擇比銷售D1更有利可圖。數據收集市場和二級利用市場的市場狀況將影響企業1出售D1的定價策略。其二，如果沒有替代數據集D2，企業1壟斷了生產S2的“基本設施”，并可能以壟斷方式對D1定價。這就導致了市場扭曲。

除了數據交易，企業1與企業2還可以合并以產生聯合服務S2。De Cornière和Taylor研究了企業合并對一級市場（投資收集D1的動機）以及對二級市場競爭的影響[10]。在二級市場中，D1被重新用于生產S2。他們發現，如果數據交易不可能，合并會增加消費者福利，因為它會增加數據驅動的S2的市場競爭。如果數據交易是可能的，合并會降低收集更多數據的動機，從而減少S2市場的競爭，因為與沒有數據交易的情況相比，S2中可用數據的質量和/或數量會降低。

在將數據出售給企業2以及企業合并之間可能還存在中間解決方案，即第三方平臺的引入。例如，大型在線消費者平臺可能向聲稱可以使用D1產生S2的潛在創新者企業2授予臨時和有限的數據訪問權。企業2可以在企業1的服務器系統中進行數據分割，以避免數據泄漏風險;并在有限的時間內試用S2市場中的數據[11]。如果創新成功，兩家企業可能會采用事先約定的協議來分割收益。如果不成功，則僅關閉數據訪問。該平臺還可以允許將數據臨時傳輸到企業2，以在開發新服務時嘗試對數據進行創新使用。在沒有先前協議的情況下，數據持有者可能會切斷創新者的數據訪問權限，免費搭創新者的便車，而不會產生給予補償。但是，正如Facebook和Cambridge Analytica案所示，數據泄漏和濫用的風險可能很高。

3. D1和D2聚合產生的外部性內部化，或企業1和企業2之間協調產生的利益

第三個問題在于，S2的生產需要企業1自身所沒有的補充性投入。如果這些補充投入的市場具有競爭力，它可以購買這些投入，以確保S2的內部生產。即便如此，這些投入也可能存在固定成本和規模經濟，導致市場不完善，因為獲得投入對企業1來說成本過高。在這種情況下，企業1最好把D1賣給已經有這些互補投入的企業2。因此，固定成本可能是雙向的。數據收集中的固定成本可能會使企業1在生產S2方面具有優勢。但互補資源的固定成本可能會將這些優勢轉移到其他企業。這將影響企業1內部生產S2，以及與另一家企業交易數據D1以生產S2之間的切換。

如果補充投入品的市場是壟斷的，則企業1與數據壟斷者和將必須達成協議，共享各自的生產要素，以生產S2。在經濟學上，這被稱為“反公地悲劇”問題，而這通常會導致戰略行為，即每一方生產要素的所有者試圖將自己的利益內化并向他人施加外部性成本。這導致了帕累托次優的解決方案，因為所有（事實）排他權利的持有者都旨在最大程度地提高自身利潤并設定壟斷價格。結果就導致數據資源利用不足，S2將不會被生產，或者只生產出次等的質量和數量的S2。 除非有基于市場的解決方案來克服這種協調失敗，否則可能需要采取政策干預措施。當新服務S3的生產需要D1和企業2擁有的另一個壟斷數據集D2的補充輸入時，就會發生特定情況。這是數據聚合范圍經濟的典型情況。企業1和企業2需要達成協議，作為生產聯合服務S3的先決條件。

上述三個問題揭示了數據持有人的市場力量如何阻止在數據的重復使用和聚合中實現范圍經濟。數據市場失敗的根源，如外部性、市場力量不均衡、生產力缺失、交易成本以及信息不對稱，它們往往相互重疊，干擾數據市場之運行。除此之外，不完備合同也是一個巨大的障礙物。

在傳統合同法中，意外的成本和收益被分配給交易貨物或服務的所有者。由于現行法律中并未明確數據權屬，因此很難應用該解決方案。此外，雙邊合同不能針對第三方執行。如果數據泄漏給第三方，原始數據生產者將再次面臨非排他性風險，這可能會削弱數據共享的動力。

談判、編寫和監視數據共享合同的執行成本很高。編寫一個可以預見所有可能情況的合同將帶來巨大的成本，導致事前交易成本和事后執行風險可能很高。在市場上簽訂合同的成本越高，越有更多的企業想要規避市場并保持內部交易[12]。這樣的后果為，（大型）企業內部積累的數據過多，反過來又重新帶來市場失靈的新根源，形成惡性循環。

（二）第三方中介機構可以克服市場協調困境

有許多例子表明，私營企業和市場通常能夠克服協調問題，即在第三方中介的幫助下實現數據聚合的范圍經濟。第三方可以充當中間人，采用新的技術和方式組織市場，以減少和彌補以前的市場失靈，促成以前不可行的交易。例如，汽車制造商只能訪問來自其自己品牌的汽車的導航數據，而不能訪問其他品牌的汽車的導航數據，這使得難以生成準確的交通擁堵圖。幾家制造商可以通過第三方聯合導航服務中共享汽車導航數據，從而提高導航服務的質量[13]。

從經濟學視角看，第三方中介機構的出現其實是規模經濟原理運用之結果。新制度經濟學家巴澤爾以合同視角描述了規模經濟之構造。一項資產往往有多重屬性，以一臺大型設備的產權為例，通常一臺大型設備需要多個掌握不同屬性的技工一起操作，才能最大程度利用以及維護該設備。若不對個人行為約束，結果就是削弱對機器進行認真操作和維護的行為進行激勵。而解決之道就是將這些技工變為雇員，通過特定合同來劃分相應的職責。這就是巴澤爾產權理論下企業的形成，即規模經濟原理運用之結果。轉換視角來看規模經濟原理，其實該原理就是旨在解決可信的問題。無論是設立企業，還是第三方中介，均旨在通過這樣一個可信的平臺，得以約束特定組群體，進而實現資源最大化利用。

數據信托和工業數據平臺符合這一特點。為了保證執行數據共享合同，中介機構應該保持中立，對數據或分析結果沒有利害關系。這避免了以犧牲數據使用者利益為代價的戰略行為。中介機構只應獲得一個固定的報酬，以產生預期的結果，這使其能夠作為一個可信的服務提供商。并且，中介機構可以強制執行合同，因為他完全控制了數據和對服務器的訪問，這降低了合同簽訂后的風險和合同監控成本。通過這種方式，中立的第三方中介機構可以克服數據市場失靈。

但是，由于對適當數據和合作伙伴的搜索成本以及雙方之間談判合同成本之存在，因此可能會產生過高的前合同交易成本。要克服該問題，就需要一個更加活躍的中介機構，該中介機構在達成數據提供商與（再）使用方之間的B2B數據交易方面具有利益，但在數據傳輸的內容方面則無利害關系，從而避免了中介機構的戰略行為。

第三方B2B數據共享平臺在相互知悉的封閉用戶組中可能比在開放性用戶組中更為成功。例如，哥本哈根的Hitachi B2B數據平臺并不成功，因為數據供應商不愿將數據重用的控制權移交給中立的中介平臺。重用可能會對數據提供者產生負面的外部影響，或者他們可能會錯失通過數據共享交易獲得更多收益的機會。

盡管存在降低交易成本的障礙，但第三方中介機構可以為促進B2B數據共享交易做出積極貢獻。活躍的中介機構可以通過在數據共享合同中提出標準化條款來降低前合同交易成本，以促進談判。這似乎是歐盟委員會在其工作人員工作文件（2018b）中的意圖，該文件為數據持有人與下游用戶之間的B2B數據共享合同提出了非約束性指導原則。其中包括：（1）有關可以訪問數據的實體的透明度，詳細信息的類型和級別以及使用數據的目的;（2）尊重彼此的商業利益和對數據的價值貢獻[14]。這些原則純粹是針對數據交易者的規范性準則，且沒有法律約束力，但可能會被數據共享合同所包含。標準條款減少了談判合同的成本和難度。

中間平臺還可以通過制定互操作性標準，從而降低交易成本。標準的制定可能自下而上，由市場力量驅動;也可能由監管機構自上而下實施;或可能通過中介機構，從單一企業到公認的國際標準制定組織（International Standard Setting Organisations，簡稱SSO），以半官方的方式促進標準的出現。SSO有助于克服市場協調失敗[15]。

總而言之，從經濟角度來看，第三方可以通過多種方式促進企業間的B2B數據共享，包括：（1）降低事前交易成本和事后合同風險;（2）克服協調問題;（3）充當合同執行工具并促進私人主體之間的自我監管;（4）制定互操作性標準。在推廣第三方中介機構的同時，法律也必須為其設定中立性運營的義務。

（三）事前監管措施之設立

正如可攜權只定義了最低的互操作性要求，但并不是為實時訪問和流程互操作而設計的。在時間是關鍵因素的情況下，很難應用于B2B數據共享場景。強制實施必要的基礎架構和互操作性要求的事前監管措施對于實現實時訪問將是必要的。

1.數據訪問權配置給數據使用者或再用者

盡管第三方中介機構可以克服市場協調問題，但仍不足以解決所有的數據市場失靈，因而更積極的事前干預是必要的。這首先可以通過競爭政策來實現，競爭主管部門進行事后干預，以根據具體情況糾正市場失靈。然而，有些市場失靈可能在更大范圍以及經常性發生，競爭法規則可能還不夠。在這種情況下，立法者可能有必要事先制定強制性規則，減少數據持有者對數據事實上的排他性控制。立法者可以對數據持有人施加義務，并將訪問權分配給數據市場中的利益相關者。

歐盟委員會于2020年打算澄清物聯網機器所生成非個人數據中的數據使用權6[2]。在數字世界中，信息不對稱幾乎是自然狀態，扭曲了有效的決策。重新分配數據訪問權限可能會影響市場結果。當數據生產者沒有強有力的激勵措施時，監管機構可以直接向數據使用者或重用者授予特定的數據訪問權。對于機器生成的非個人數據，并不總是有一個“自然方”可以天然地主張數據訪問權。機器制造商在設計機器時享有特權，他對數據擁有排他性控制權。在這種情況下，最好將訪問權限從機器所有者、操作員處轉移出去，并將其直接分配給特定的數據使用者或重用者[16]。

例如，在汽車行業，立法者要求汽車制造商與維護服務提供商共享維護數據，以促進授權經銷商和獨立服務提供商之間的競爭。制造商沒有這樣做的動機，因為這削弱了其特許經銷商的市場地位。維修服務競爭帶來的消費者福利收益證明了這一決定的合理性7[17]。

農業數據的例子也說明了這一點。農民可以是機器的主人或操作員。他可以在自己的土地上或租賃的土地上使用機器。機器的操作可由農民、機器所有者、機器制造商或土地所有者簽約的第三方服務提供商產生的數據分析驅動。每一方都可以要求訪問數據。技術保護措施和雙邊合同將決定誰有權訪問數據。數據訪問和交易取決于締約各方的談判和市場力量。因此，作為數據發起者一方的農民，就會減少對數據驅動的需求。這解釋了為什么歐盟農業產業組織提出了一個自發的《數據行為準則》，試圖模仿GDPR式的同意權、訪問權和可移植權，并將其分配給農民[17]。但與GDPR不同的是，該準則并非將權利定性為基本人權。因此，它在將這些權利賦予作為數據發起者的農民的同時，允許將訪問權賦予機器所有者和操作員，并且規定權利可以交易，并受制于雙邊談判的合同條款和市場力量。

總而言之，當作為數據發起者的一方沒有私人動機將數據移植給另一個服務提供商時，最好將數據訪問權轉移出去，直接分配給數據使用（重用）者。這需要第三方的強制訪問權限。這是因為，數據發起者在數據共享中不起作用。數據共享可以由數據使用者直接啟動。這種訪問權分配方式所帶來的社會福利收益證明了該解決方案是可行的。在這種情況下，當凈社會福利收益超過私人成本時，立法者或監管者可能會強制實行數據共享，盡管這將需要從數據提供者向接收者進行福利再分配。

2.強制性共享義務的設立

關于解決數據市場失靈問題的競爭干預措施，最相關的兩種情況是：針對具有市場力量的企業濫用支配地位拒絕提供數據的干預措施;針對歧視性價格或支配地位企業獲取數據的其他不公平條件的干預措施。

針對第一種情況，我國學者也在嘗試界定數據市場中的“濫用市場支配地位”[18]。只要界定出“濫用市場支配地位”，競爭法干預就是可行的，本文不涉及此問題。

而第二種情況則與占支配地位的企業允許訪問數據的價格有關。在這方面，Drexl指出，華為的判決可以作為數據訪問權案例的啟示。在該判決中，歐盟法院建立了一個基于公平合理和非歧視條款的標準基本專利許可談判框架[19]。如Tombal所解釋的那樣，這也可以適用于數據的談判框架：一旦數據訪問權需求者表示愿意為數據支付公平的報酬，數據持有人必須提交具體的書面報價，說明價格以及計算價格的方式;接下來，對于尋求訪問權限的人來說，要真誠地對這個提議做出及時的回應，而不要采取拖延戰術[20]。如果訪問權需求者不接受向其提出的要約，則必須立即以書面形式向數據持有人提交關于公平報酬的反要約;如果就報酬的細節還未達成協議，雙方應通過共同協議要求由獨立的第三方確定價格。例如，為了確定價格，該第三方可以依靠“棒球仲裁”機制（該機制最初在美國用于棒球工資談判）。根據這一機制，每一方向第三方提出一個價格，第三方的任務是選擇似乎最“合理”的價格。這迫使各方克制自己，不要提出不合理的價格，因為他們知道，如果他們提出一個過高的價格，而另一方提出一個更“合理”的價格，第三方將會選擇另一方所報的價格。

Tombal指出，這個獨立的第三方可能是2019年創建的數據共享支持中心。該中心可以很好地評估數據共享協議條件（尤指價格）的合理性，因為它的任務是收集最佳實踐和現有的示范合同條款。因此，它應該有一個比較的基礎來評估雙方提出的價格8。

畢竟競爭法干預為事后干預，缺乏事前干預措施——強制獲取數據。因此，歐盟委員會正在考慮一種新的競爭工具，允許競爭主管部門對違反競爭法的行為進行事前干預，包括強制獲取數據。該設想主要是考慮到競爭干預只能在事后逐案進行，可能需要很長時間才能在法庭上達成最終結果。在“贏家通吃”的數據市場中尤其如此，一旦市場向特定企業傾斜，其他企業就很難與之競爭。為了避免這種情況，監管機構可以事先干預。這超越了競爭法本身的目標，這種數據共享框架要求數據市場參與者根據其市場份額共享一定數量的數據9[21]。正如歐盟數據共享支持中心所解釋的那樣，歐盟法律框架已經包含了若干鼓勵個人和非個人數據的可移植性和訪問的規則，后者為適用于B2C關系的數字內容指令（DCD）10和適用于B2B關系的數據自由流動法規（FFDR）11。其他規則是根據特定行業或特定部門，強制要求訪問數據，如金融部門，第二支付服務指令（PSD2）強制要求訪問支付賬戶數據，這已在英國通過開放銀行計劃完成12;在汽車行業，新的《機動車法規》強制要求獲取一些車輛數據13;能源部門通過新的《電力指令》強制要求訪問一些客戶數據14。

上述許多情形均是建立在數據提供者與數據使用者存在數據共享之經濟激勵的基礎上，第三方中介機構才能將數據聚合在能夠產生范圍經濟的數據池中。而如果缺失經濟激勵時，第三方中介機構就會不起作用。這時，立法者或監管者可以強制創建數據池。

例如，B2B健康數據池會改善并提高健康服務的生產率，并使消費者受益。而市場本身不太可能形成數據池，因為私營健康服務提供商沒有動力為之做出貢獻，除非這為他們帶來收益。健康服務提供者可能會因聚合數據池之成本（數據格式化以確保互操作性、傳輸成本）而缺失數據共享之動因，并且消費者也可能擔心其隱私受到侵犯。為了克服數據來源和持有者之間缺乏激勵的問題，芬蘭政府強制要求公共衛生服務提供商和某些私營衛生服務提供商共享衛生數據，跳過了征得數據主體同意以及衛生服務提供商商業秘密保護之問題。而預期的公共福利收益證明了這一決定的合理性。同時，芬蘭政府創建了一個數據池運營商和一個監督委員會，可以授權公共和私人研究人員訪問數據。在某些情況下，這些研究人員的研究成果能夠為健康服務提供商帶來好處，這反過來又為提供商創造了激勵機制，以進一步為數據池做出貢獻，英國健康服務提供商與谷歌健康服務提供商共享數據就是例證。

強制共享數據更多發生于特定行業或特定部門關于數據訪問規定之中，以刺激服務業的競爭，如前述提及的支付服務、汽車和能源部門。

結? 語

促進非個人數據共享分為三步：第一步，第三方中介機構可以基于市場原理，組織數據控制者進行數據共享;第二步，數據共享中如果涉及壟斷性條款和條件，需要國家進行干預來補救，這首先就需要通過競爭法的手段來實現，由競爭主管機構事后干預，逐案糾正市場失靈;第三步，由于這些市場失靈可能在更大范圍內定期發生，競爭法可能還不夠，在這種情況下，監管機構和立法者可以通過規定強制性共享數據的義務或授予數據使用者或再用者以訪問權來進行干預。

然而，數據共享義務可能引發權益保護問題。GDPR賦予了數據主體的基本權利，從而對數據處理進行限制，以保護數據主體權益。類似的推理可以應用于非個人數據，其中假定商業秘密保護可以增強私人和社會福利。但是，在某些情況下，私人和社會福利會有所不同。減少私人權利可以增加社會福利，盡管不一定嚴格地增加帕累托福利。因此，這對我們提出了一個關于政策衡量標準的問題：究竟應以消費者福利（競爭法中常用的基準），還是社會福利（公共政策經濟學家常用的基準）為標準來衡量社會福利？

例如，汽車導航服務提供商能否將汽車導向特定的街道，以了解通道是否堵塞？雖然這些信息對其他司機來說非常有用，但收集這些信息會給被引導到這些街道上的司機帶來成本，并因道路堵塞而浪費時間。導航應用程序能否將司機重定向到次要街道，以減少主要道路的交通堵塞，但同時是否會給次要街道沿線的居民帶來額外的污染成本？這是公平和社會福利再分配的問題，意味著對社會不同群體福利之間的權衡判斷。

參考文獻：

[1] Regulation on a framework for the free flow of non?personal data in the European Union[EB/OL].（2018?11?14）[2021?03?03]. https：//eur?lex.europa.eu/eli/reg/2018/1807/oj.

[2] THE COMMISSION TO THE EUROPEAN PARLIAMENT， THE COUNCIL， THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS. A European strategy for data[EB/OL].（2017?02?07）[2021?03?03].https：//ec.europa.eu/home?affairs/sites/default/files/e?library/documents/policies/organized?crime?and?human?trafficking/cybercrime/docs/join_2013_1_en.pdf.

[3] 尚海濤.論我國數據可攜權的和緩化路徑[J].科技與法律，2020（1）：86?94.

[4] Peter Swire，Yianni Lagos.Why the Right to Data Portability Likely Reduces Consumer Welfare：Antitrust and Privacy Critique[J].Maryland Law Review，2013，72（2）：335?380.

[5] 刁勝先，李絁芩.歐盟數據可攜權的困境與本土化思考[J].重慶郵電大學學報（社會科學版），2020，32（2）：68?77.

[6] 高富平.數據生產理論——數據資源權利配置的基礎理6論[J].交大法學，2019（4）：5?19.

[7] 高富平，余超.歐盟數據可攜權評析[J].大數據，2016（2）：103?107.

[8] Data Driven Economy： Market Trends and Policy Perpectives[EB/OL].（2017?01）[2021?03?03]. http：//www.itmedia consulting.com/documenti/economiadeidati.pdf.

[9] 高富平.數據流通理論——數據資源權利配置的基礎[J].中外法學，2019（6）：1405?1424.

[10] De Cornie?re A.and G.Taylor.Data and Competition： A General Framework with Applications to Mergers， Market Structure， and Privacy Policy[EB/OL].（2017?05?27）[2021?03?03].http：//www.econ.ntu.edu.tw/uploads/asset/data/5ef059 4348b8a10278001848/HKBU_1090630.pdf.

[11] Geoffrey Parker，Marshall Van Alstyne.Innovation，Openness，and Platform Control[J]. Management Science，2017，64（7）：3015?3032.

[12] Coase Ronald.The nature of the firm[J].Economica，1937，4（16）：386?405.

[13] Martens B.and F.Müller?Langer.Access to digital car data and competition in aftersales maintenance markets[J].Journal of Competition Law and Economics，2020，16（1）：116?141.

[14] European Commission Commission Staff Working Document.Guidance on sharing private sector data in the European data economy.[EB/OL].（2018?04?25）[2021?03?03]. https：//digital?strategy.ec.europa.eu/en/news/staff?working?document?guidance?sharing?private?sector?data?european?data?economy.

[15] Justus Baron，Jorge Contreras，Martin Husovec，Pierre Larouche.Making the Rules： The Governance of Standard Development Organizations and their Policies on Intellectual Property Rights[EB/OL].（2019?10）[2021?03?03].https：//cn.bing.com/search？q=%20Governance%20of%20standard%20development%20organisations%2C%20the%20case%20of%20intellectual%20property%20rights&qs=n&form=QBRE&sp=?1&pq=governance%20of%20standard%20development%20organisations%2C%20the%20case%20of%20intellectual%20property%20rights&sc=0?90&sk=&cvid=A05894ECC49E4C8DAA30932EEAD 46855.

[16] Bertin Martens，Alexandre de Streel，Inge Graef，Thomas Tombal，Néstor Duch?Brown.Business?to?Business data sharing： An economic and legal analysis[EB/OL].（2020?08?31）[2021?03?03]. https：//papers.ssrn.com/sol3/papers.cfm？abstract_id=3658100.

[17] EU Code of conduct on agricultural data sharing by contractual agreement[EB/OL].（2018?04）[2021?03?03].https：//copa?cogeca.eu/Archive/Download？id=3770357.

[18] 詹馥靜.大數據領域濫用市場支配地位的反壟斷規制——基于路徑檢視的邏輯展開[J].上海財經大學學報，2020，22（4）：139?152.

[19] Josef Drexl.Designing Competitive Markets for Industrial Data?Between Propertisation and Access[EB/OL].（2016?10?31）[2021?03?03].https：//papers.ssrn.com/sol3/papers.cfm？abstract_id=2862975.

[20] Thomas Tombal.Economic dependence and data access[J].International Review of Intellectual Property and Competition，2020，51（1）：70?98.

[21] Jens Prüfer.Competition Policy and Data Sharing on Data?driven Markets： Steps Towards Legal Implementation[EB/OL].（2020?03）[2021?03?03].http：//library.fes.de/pdf?files/fes/15999.pdf.

Non?personal Data Sharing in B2B Scenarios

—From the Perspective of Ex?ante Regulatory Measures and Ex?post Competition Rules

Ma Bin

（Law School， East China University of Political Science and Law， Shanghai 200042， China）

Abstract： In the B2B scenario where time is the key factor， the aggregation of non?personal data into a data pool can bring benefits to various stakeholders， but the right to portability does not work in this regard. Drawing lessons from the right to portability， data sharing rules need to be designed in accordance with market principles. First， when there is a motivation for data sharing among the parties involved in data sharing， a neutral third?party intermediary can reorganize the market to overcome market failures and attract all parties to converge into a data pool. Second， when there is an anti?competitive situation， the rules of competition law can be applied. Finally， because the application of competition law is ex?post and time?consuming， ex?ante regulatory measures can make up for this shortcoming. Pre?regulatory measures are mainly embodied in mandatory data sharing， which mostly occur in scenarios where there is no economic motivation for data sharing， and are aimed at promoting public interest and data?based government and social governance.

Key words： non?personal data; data sharing; competition law; advance supervision; access rights