欧盟至今以来还没有在数据相关的法规中明确指出“工业数据”的定义。在当下个人数据与非个人数据的界限越发模糊,而工业数据的共享使用意愿越发强烈的情况下,共享工业数据所带来的立法与边界挑战愈发明显。据此,欧洲议会发布《欧盟数据挑战》报告,对当下工业数据的定义,共享工业数据所需克服的障碍,欧盟在B2B数据共享方面的努力,以及未来在工业数据方面的多部门、多行业合作趋势作出展望。
摘译 | 吴宇昂/赛博研究院实习研究员
来源 | European Parliament
工业环境中产生的数据正在以指数级的速度增长,而这些数据又极为重要。这些方面引起了旨在为这类数据的使用创造适当法律框架的决策者的关注。虽然“工业数据”一词没有明确的定义,但这类数据具有一些鲜明的特征:它们隶属于在工业背景下以结构化方式收集的大数据;它们通常是专有的,并包含各种类型的敏感数据。
GDPR对此类数据仍然具有重要意义,因为个人数据很难从混合数据集中过滤出来,而且匿名技术有时会失效。当前与行业数据B2B共享相关的规定和计划中的这类规定显示出许多缺陷。它们在关键问题(如混合数据集)上缺乏清晰度,增加了公司的管理负担,但并不总是提供企业需要的数据保护。它们没有为B2B数据共享提供额外的价值主张,还在某些情况下对前者造成障碍。
虽然这种情况需要政策干预,但政策工具及其内容都应予以认真考虑。软法可以代替法律文书澄清现有规则;也可以开发和促进模型条款和条件,以支持数据标准化和互操作性工作。
未来几年,特别是在开发和部署人工智能需要大量数据的情况下,数据在经济和社会中的作用预计将会增加。欧盟的目标是通过发展单一市场,确保其在以数据为基础的经济中的技术和经济地位保持领跑。在这个市场中,个人和非个人数据以保护个人权利和保障企业合法利益的安全方式自由共享。
数据的指数级增长(包括2010-2020年50倍的增长)
然而,尽管数据是一种非竞争性商品,其主要用途也仅在于提高效率与创新方面,但在企业之间共享和重复利用数据的好处尚未全面实现。特别是,所谓的“工业数据”的潜力似乎仍未得到充分利用。
为了更好地理解工业数据,并加强其在欧盟的共享,本简报将澄清工业数据的概念,包括其与个人数据的关系,隐私保护技术的作用,工业数据共享的主要挑战和限制,以及影响工业数据共享的现有政策及未来政策。
什么是工业数据
随着对工业数据治理的讨论日益激烈,特别是在《数据治理法案》的提案通过,以及《欧洲数据法案》出台之后,工业数据究竟是什么仍然不得而知。工业数据的概念在任何法律文件或立法建议中都没有定义,而对它的使用在近几年愈来愈多。过去,人们使用了一个更明确的术语“机器生成数据”,这可能使此类数据与其他数据的定义和界定更容易。2017年的通讯内容中对“构建欧洲数据经济”定义得更为准确:机器生成的数据是那些“在没有人类直接干预的情况下的计算机处进程、应用或服务,或是由传感器所处理的设备、软件或机器信息。这类数据可以是现实或虚拟的。”因此,机器生成的数据可以跨越所有工业部门,包括运输、能源、医疗保健、制造、通信技术和其他部门,但它们超出了狭义所理解的工业流程相关的数据。
这种对机器生成数据的精确定义表明了其特殊性质,强调了这些数据的价值,并可能为其数据交换提供单独的规定。机器生成的数据量大、速度快,而且它们的数据集既不能定制,也不会独特。然而,与大数据相比,这些数据集至少在每个生产领域或行业领域通常是半结构化的、结构化的,甚至是标准化的。
对较近期政策出版物的分析表明,现在“工业数据”一词被用来指“非个人机器生成的数据”,即指代数据是如何生成的。此外,欧洲数据策略指的是生成数据的语境。它指出,“在工业环境中创建的物联网数据”是“工业(制造业)数据”。然而,这可能是对什么是“工业”的不完全理解。欧盟的官方统计和文件涉及制造业以外的大量行业(如化妆品、化学品、赌博、旅游、食品生产),所有这些行业的数据都是在没有人类直接参与的情况下生成的。
术语“工业数据”的使用引发了一个问题,即它与“业务数据”、“运营数据”和其他类型数据的区别。欧洲数据战略指出,“工业数据”不同于“商业数据”。这听起来无比正确,而且“商业数据”似乎是一个更全面的术语,但在实践中,这两者可能很难做出准确的区分。特别是在网络行业(如电信)或服务行业(如旅游和酒店、在线零售、物流),机器生成的“工业数据”可以同时看作运营数据和业务数据。
仔细看看工业数据的内容,这种类型数据的异构性非常突出。工业数据可能包含商业秘密,包含与竞争相关的专有技术或其他敏感的、需要保护的信息。它可能包含有关产品、服务、网络或流程的数据,以及使用这些数据或参与这些数据的人的数据。在大多数情况下,工业数据是专有数据(即私有数据)。然而,至少有一些类别的工业数据——例如,在PSI指令中包含的,由公共事业持有的数据——将受开放数据制度(即公共数据)管辖。
什么是工业数据
常用概念 | 常用识别特征 |
| 工业数据 | 大数据(数量大、增长快、实时产生) |
| 机器生成的非个人数据 | 不均匀性(可能包含商业秘密、专有技术、个人数据等) |
| 生产数据 | 专有(私有)数据 |
| B2B数据 | 按顺序收集 |
| 产生于工业环境 |
与个人数据的关系
虽然目前对工业数据的理解旨在限于非个人的机器生成数据,但在实践过程中,即使在封闭的工业环境中,也很难不收集个人数据。个人数据的定义并不取决于该等数据是在何种情况下创建、处理、提供或打算作何用途。GDPR是根据客观的可识别性标准(即数据是否从属于可识别或已被识别的个人)界定个人数据。GDPR第4(1)条将个人数据广义地定义为“与可识别或已被识别的自然人有关的任何信息”,而“可识别的自然人是指可直接或间接通过姓名、号码、位置数据、在线标识符、身体、生理、遗传、精神、经济、文化或社会身份中的一个或多个因素来进行识别的人”。重要的是,个人数据必须是指自然人,而不是法律实体。个人数据——尤其是其敏感数据的特定子集(第9条与第4条(13)、(14)和(15)GDPR)相结合)——享有高度的保护,只有在数据主体事先同意的合法理由下才能进行处理。
“非个人数据”一词的定义是参差不齐的:非个人数据是电子的“个人数据以外的数据”(数据自由流动条例第1条)。《数据自由流动规例》(目前是规范非个人数据流通的主要法律文书)中的例子明确指出非个人产生数据的广泛工业背景:来自“自动化工业生产过程”的数据,“有助于监测和优化农药和水使用的精准农业数据,或关于工业机器维护需求的数据”。这些数据可以交换和移植,而不受个人数据的限制。
尽管不是所有的人工智能系统都是基于个人数据运行的,但个人数据和非个人数据之间的界限正变得越来越模糊。关键原因是匿名技术缺乏鲁棒性(见下一节),以及在应用数据分析时,即使是对非个人数据(如天气数据)进行第一眼分析,也存在重新识别(去匿名化)的风险。特别是对于人工智能来说,使用“一种用于连接和识别人眼无法立即看到的模式的系统,增加了这种重新识别的风险。”“随着时间的推移,经济价值和隐私之间的平衡很难维持,因为重新识别身份的可能性似乎越来越大。”此外,数据集的有用性和匿名化的可能性之间存在权衡关系:匿名化的数据越多,数据的用处就越小,数据共享政策的有效性就会越低。在这种背景下,可以说,大多数人希望释放大数据的力量,因为它可以给经济和社会带来改善。然而,研究人员得出结论:“任何非常有用的数据都不可能完全匿名,效用上的小收获会导致更大的隐私损失。”
隐私保护技术的作用
在这种背景下,需要考虑隐私保护技术的作用,因为它们有助于将个人数据转化为非个人数据,从而允许在B2B环境中共享有用的数据。GDPR区分了两种隐私保护方法:匿名和假名。假名意味着“在不使用额外信息的情况下,个人数据不能再归为特定数据主体的方式下处理个人数据”(GDPR第4(5)条)。这意味着某些可以将数据与某个人联系起来的标识符被删除。该等额外数据须单独保存,并须受技术及组织措施规管,以确保该等个人数据不是由身份可辨识的人士提供。假名数据仍然是个人数据,GDPR对其完全适用。
相比之下,GDPR不适用于匿名数据(GDPR第26条背景描述)。个人数据可以匿名方式提供,以使数据当事人无法或不再可识别身份(即个人数据成为非个人数据)。匿名技术主要有两种:随机化和泛化。随机化技术改变了数据的准确性。噪声的添加使得属性的准确性降低,同时保留了它们的总体分布。置换方式会交换不同主题之间的属性(即打破数据和数据主题之间的联系),但会保留准确的那一个。泛化是指通过改变规模或数量级(例如从城市到国家)来泛化数据主体的属性。聚合、K-anonymity、L-diversity、T-closeness、差分隐私都是不同的泛化技术。
人工智能法案的提议预见了所讨论的匿名方法的重要作用。此外,欧洲议会已呼吁EDPB制定指导方针,将数据保护要求的实施部署到实践中。这应该包括合法和非法用例的明确分类,以及实现匿名的明确标准列表。
虽然所有的隐私保护技术都能增强数据和隐私保护,但它们的有效性一直受到质疑。随着人工智能的发展和进一步的数据分析,未来它们可能会变得不再高效。尤其是在大数据环境下,因为“人的痕迹是独特的”,因此没有一种匿名技术能保证对匿名的彻底保护。专家建议使用多种技术使个人数据真正匿名化。然而,正如许多实验所证明的那样,去匿名化(重新识别)是可能的。由于可能的去匿名化,任何数据都可能成为个人数据,这将使GDPR的应用范围过于宽泛和包罗一切。与此同时,重新鉴定是非法的(至少在技术发展的这个阶段),而且这一技术需要广泛的专家知识,也可能需要额外的信息和巨大的努力。非法性并不必然排除在GDPR的适用性之外,更重要的则是考虑是否存在重新鉴定的可能性。
由于不完善的匿名技术,GDPR规定,除非数据主体明确同意,否则一般禁止处理特殊类别的敏感数据,如与健康、种族或性取向有关的数据。任何使用人工智能来处理此类数据的行为都需要依赖GDPR第九条规定的特定豁免权。儿童个人数据的处理也应根据GDPR予以特别关注。
虽然分享个人数据的挑战主要来自此类数据的性质及其监管,但分享机器生成的非个人数据的挑战可能不那么明显,但同样存在系统性结构和约束作用。
从技术角度来看,B2B数据共享安全的一个关键障碍是缺乏工业范围的数据生态系统。这围绕着两个问题。首先,在许多工业行业中,缺乏行业标准和行业参与者在整个价值链中使用的数据本体。数据只有在所有生态系统成员明确理解和整合的情况下才能共享。不同的度量标准和对定义的理解使交流复杂化。同时,协商共同的标准和本体论是困难的,因为各方需要就本体论达成一致,行动者会犹豫是否用竞争对手的标准取代自己的内部标准。最后,工业环境通常是新旧IT解决方案的混合,这使得在公共标准上达成一致更加困难。
其次,各行业需要对技术解决方案进行大规模投资,并拥有熟练的员工队伍,以开发数据共享基础设施,促进所有行业参与者之间的互操作性和可移植性。公司已经投入了大量的时间和资源来开发针对内部流程的新旧内部软件解决方案网络。建立一个功能良好、可互操作的公司IT基础设施系统需要相当大的人力物力。对内部和生态系统基础设施之间不完整的数据可移植性或互操作性的担忧,将导致数据访问的损失,使业务用户锁定在他们的传统软件上。
公司面临的不仅仅是技术能力的缺乏。功能强大且值得信赖的数据共享生态系统吸纳数据有限的一个关键原因是“缺乏健全的法律和道德框架,缺少保证数据质量、可靠性及其公平使用的治理模型和可信的中介机构”。工作人员通常不具备开发和实现采用设计伦理的合法数据共享生态系统的能力。
在B2B数据共享的语境中,可能最常见的问题是允许第三方(包括竞争对手)访问其业务信息的意愿有限。有几个原因可以解释这一点。当这些人离开公司时,他们会感觉到对数据缺乏控制,如果一家公司难以评估其发布的数据的潜在价值和保密性,这一点就尤为紧迫。此外,公司希望在数据共享方面具有确切的互惠性,例如在共享自身数据的价值损失与所接收数据的潜在价值之间进行平衡。最后,考虑到潜在的数据政策“违规”,还存在规避法律约束的持续风险。
B2B数据共享意愿不高的重要细微差别来自于一项研究。研究表明参与者之间的关系对公司共享数据的动机至关重要。在同水平竞争的情况下,与类似产品的生产商分享数据相当于帮助竞争对手,企业通常不愿意这样做。传统工业公司往往将数据视为其自身流程的关键投入,而不是第三方创新的来源,因为这些传统工业公司也可受益于数据。然而,在价值链伙伴之间的垂直关系中(“垂直数据共享”),由于收益分布在整个价值链生态系统中,利益的互补性导致了共享数据的强烈动机。由于垂直数据共享的动机很明确,拒绝这样做可以被视为一种对优势地位的反竞争表现,这可能会对竞争和创新产生不利影响。
从所涉及的举措、投资和其他支出来看,数据的收集和产生对公司来说可能是资源密集型的。虽然一些现有的业务流程可能主动或被动地生成相关数据作为副产品,但也有的数据类型可能需要仔细考虑后以巨额花费换来。前一类数据依赖于产品的生产或服务本身的提供,可以以微不足道的成本分享。尽管如此,在特定的B2B环境中,“数据收集过程可能需要在复杂的系统(如技术、传感器、信息通信技术或行政系统)上进行投资”,共享可能会降低公司投资数据收集系统的积极性。在后一类数据中,公司通过高级算法(派生数据)或昂贵的数据收集活动生成数据,例如调查、客户跟踪或实验(生成数据)。这两类数据都需要专门的支出和举措,如果这些导致大量成本,共享义务可能会扭曲竞争,阻碍创新。特别是对于派生数据而言,逆向工程的风险进一步限制了各方在实现数据共享时进行投资和创新的动机。因此,平衡竞争收益和逆向工程的成本是很重要的。
B2B环境中的数据共享阻碍
| 技术 | 监管 | 公司层面 |
| 缺乏行业标准 | 法律框架不清晰 | 缺乏技术人员(如数据科学家、数据合规官员) |
| 缺乏通用的数据本体 | 缺乏治理模型 | 缺乏有针对性的金融投资 |
| 缺乏互操作性和可移植性 | 缺乏收集和分享数据的动机 | 缺乏实际措施 |
欧盟已将数据共享——更广泛地说,是数据治理——纳入近期立法措施的重点之一。有效的数据交换法律框架可以刺激竞争和创新。随着GDPR和《数据自由流动条例》的出台,一些立法提案直接针对B2B数据共享。
当前的法律框架
GDPR为与个人数据相关的所有操作提供了主要框架。它有双重目标(GDPR第1条) ,即保护数据保护的基本权利,并在明确界定的条件下促进个人数据的自由流动。为了达到这些目标,GDPR赋予数据当事人控制个人数据的权利,并对数据控制人施加要求和责任。共享不仅必须事先得到数据主体的明确同意(GDPR第4、6-8条),还必须受到目的限制原则和数据最小化原则的进一步限制(GDPR第5(1)条)。与此同时,数据可移植性(GDPR第20条)允许共享和重新利用个人数据:数据主体可以以结构化、常用和机器可读的格式从数据控制者方请求和接收数据,并将这些数据不受阻碍地传输给另一个控制者。数据主体也可以代表他们的数据作出决定,直接从一个控制者传输到另一个控制者。
工业环境中的机器生成数据为GDPR数据共享规则带来了几个问题。其中一个主要问题是,企业,尤其是中小企业,认为GDPR规则复杂、混乱、难以遵守。因此,复杂的数据需求增加了企业进入数据市场的障碍,企业可能会避免收集、共享或交换数据。这种复杂规则的一个例子是数据可移植权,它适用于数据主体“提供给控制者”的数据。这可能表明,在GDPR条件下,物联网设备和传感器观测到的数据是不可携带的(尽管WP29宽泛地解释了这一权利,仅排除推测或派生数据)。
对于某些中小企业,如人工智能初创企业和上升期的人工智能企业,遵守GDPR可能会带来负担。对他们来说,关于处理活动的记录保留(GDPR第30条)的豁免不适用,因为至少他们的数据处理不是偶然的。2020年对人工智能初创企业的一项调查报告称,由于GDPR,很大比例的企业不得不删除数据(超过75%)或重新分配资源(超过60%)。考虑到人工智能活动的数据价值非常高,这样的行动可能会严重影响基于人工智能的创新和欧盟的人工智能生态系统。
《2018年数据自由流动条例》是管理企业之间非个人数据交换的主要法律文书。该条例通过禁止成员国的数据本地化要求(第4条),规定了数据在内部市场内的自由移动,而这一要求过去是跨境数据共享的严重阻碍。对于数据移植(第6条),该条例没有引入任何硬性义务,但规定欧盟委员会应鼓励制定自愿的行为准则和最佳实践(例如,云服务行业的SWIPO)。
有关资料自由流动的规则的适用范围是一个问题,因为它被定义为残差,旨在补充有关个人数据的GDPR制度。GDPR对个人数据定义的广泛性,加之其结合欧盟法院判例法最终使得如果可以从第三方寻求额外信息来识别数据主体,非个人数据最终可能被重新认定为个人数据。这不仅带来了关于哪些数据可能完全属于《数据自由流动条例》的不确定性,而且也引发了对GDPR成为“万物之法”的合理担忧,使其实际上无法在实践中使用。
这方面的一个特别挑战是混合数据集的处理——由个人数据和非个人数据组成的数据集(第2(2)条)。有关数据自由流动的规例只适用于混合数据集中的非个人数据。在实践中,区分或分离数据集的各个部分通常难以实现。2019年欧盟委员会指南建议,在两类数据“不可分割地联系在一起”的情况下,GDPR数据保护制度应完全适用于整个混合数据集,即使个人数据只占其中一小部分。考虑到许多数据集很可能是混合数据集,个人数据和非个人数据“不可分割地联系在一起”,公司可能“坐拥”大量数据,但无法或不愿分享它们。一些公司(尤其是规模较小的公司)可能宁愿谨慎行事,也不愿分享机器收集的数据,因为他们怀疑这些数据的匿名性不够,或者存在他们无法过滤掉的个人数据。其他公司可能会利用数据集中可能存在的个人数据作为拒绝与竞争对手共享数据的借口。
在工业环境中收集的机器生成的数据可能受到知识产权法的保护。到目前为止,欧盟在这方面的法律框架是有限的,但这可能会随着对欧盟数据法发展背景下的文书审查工作而改变。知识产权法对机器生成数据的保护范围,对于数据共享至关重要。任何数据访问或交换的权利和义务都将与知识产权法给予的保护相抵触和限制。
由机器生成的数据、来自物联网设备和人工智能的数据、大数据等组成的数据集尚未受益于数据库指令下的数据库保护。上述数据集通常不满足享有版权保护所必需的原创性要求。他们也没有资格获得特殊的保护,这需要“大量的人力、技术和财政资源的投资”(数据库指令第7条引述部分)。根据目前的解释,这种特殊权利不适用于作为公司主要活动副产品的数据库,而只适用于包含从外部来源获得的数据所形成的数据库。与此同时,2018年对数据库指令的评估指出了在数据库内容——特别是在机器生成和传感器数据的收集、验证和维护方面——高投入的例子,并强调,当“数据收集对象(如工业机器人)”进行“数据系统分类”时,“越来越难以区分数据创建和数据获取”。
尽管相关的《商业秘密指令》被批评没有考虑大数据和其他数据经济现实,机器生成的数据仍然可能受益于商业秘密保护。技术诀窍和商业秘密享有保护,条件是:(1)该信息是秘密的,其意义是“该信息作为一个主体或其组件的精确配置和装配,一般不为通常处理这类信息的圈子内的人士所知,或不容易为他们所知”;(2)信息因其保密性而具有商业价值;(3)该信息已按照合理的步骤保密(第2(1)条商业秘密指令)。有人指出,这三项要求中没有一项可以轻易应用于所有机器生成的数据。例如,在封闭的环境(如工厂)中生成的数据可以被确认为机密数据,而在自动化汽车中则不可能。在多个实体参与价值链数据收集的情况下,很难确定负责保密的人员。数据的保密性和商业价值之间的联系也很难证明,因为这种价值通常通过应用数据分析(例如数据推测、数据关联)变得明显。
立法建议
2020年欧洲数据战略为共享机器生成数据的未来立法和其他措施提供了政策框架。欧盟想要重新获取数据,成为一个国际数据中心,应当建立一个单一的数据市场,并在整个欧盟范围内提供一个横向和纵向数据共享的全球标准(即B2B、G2B或B2G)。作为《欧洲数据法案》的一部分,应通过解决“与共同生成的工业数据(在工业环境中创建的物联网数据)的使用权相关的问题”,创建一个共同的欧洲工业(制造业)数据空间。目前还不清楚这个公共空间的创建是否将超越法律行为,或者它可能包含哪些其他倡议。除工业数据空间外,预计还将出现农业数据空间、能源数据空间和其他行业数据空间。由此可见,即使物联网和传感器在这些行业仅收集一小部分数据,这些数据也可能不属于工业数据。目前还不清楚这些数据将如何定义,以及如何与工业数据区分开来。
2017年共享数据的公司比例与2022年的预期比例(按公司规模计算)
数据治理法案的提议旨在为B2B环境中的数据共享创造一个信任环境,并降低其成本。为此,我们引入了数据中介人这一类别,通过建立数据交换、平台或数据库等方式,为数据持有者和数据用户提供“中间人”数据共享服务。中介机构必须对交换的数据保持中立(例如,不为自己的目的处理委托数据),并确保数据访问的程序公平性、透明性和非歧视性,这也包括价格。中介机构必须向国家主管当局通报其活动,国家主管当局也将监督其活动。
数据中介的提议是否能够带来足够的附加值,以鼓励企业之间更多的数据共享,这是一个很大的疑问。有人批评该提议过于模糊,给潜在的数据共享服务带来了更多法律上的不确定性,同时也带来了新的监管风险和负担。在数据集和个人数据监管混合的背景下,数据中介不享有任何特权或豁免,这将给通过中介共享数据的数据持有者带来更大的监管风险。由于中立性要求,它们无法提供灵活的定价,这使得它们不如直接B2B数据共享那么有吸引力。这也从竞争角度提出了担忧,包括潜在的反竞争信息共享、数据交换的私人监管风险,以及数据中介和提供数据共享服务的科技公司之间不公平的竞争环境。这些问题促使现有的数据代理不注册为数据中介,或不能促使当前基于直接契约的数据共享转换为使用中介。
由于没有太多证据表明数据共享在整个经济中是一个重大的、持久的问题,因此有必要对不同部门数据共享的实际情况进行进一步的实证研究。需要研究的问题包括哪些数据现在是共享的,哪些数据是需要共享的,当前数据共享的做法是什么,以及欧盟层面的干预可以解决哪些具体问题。
如果要对工业数据采取法律行动,就应仔细考虑是否有必要引入这样一个新的数据类别,并对在此之前的机器生成数据的研究和定义做重新考量。如果立法通过涉及工业数据的法案,则应明确定义数据范围,不能与其他数据类别混淆。定义应该足够明确和狭窄,以增加适用性,确定性,并建立数据共享的激励机制。
由于不同部门对具体情况和有关数据分享的做法各异,因此可能需要采取部门性办法。在一些行业,数据共享已经开始,企业也愿意参与其中。在这种情况下,启用措施(例如支持数据交换平台、改进标准和互操作性)可能就足够了。在数据共享意愿较低的部门,第一步应确定为什么会出现这种情况,增加数据共享的法律文书和干预类型的选择将取决于此。如果该行业拥有大量的个人数据或与商业秘密和专有技术相关的数据,则可能需要额外的数据传输安全保障措施(例如标准和认证)。
为了设计有效的措施,鼓励B2B数据在整个经济中共享,对整个行业的价值主张是一个决定性因素。这些措施不一定需要具有法律性质,但可以是不同类型的软法。例如,欧盟委员会可以在指南或建议中澄清GDPR中复杂或模糊的部分(例如混合数据集的处理)。互操作性应该通过支持数据收集、交换和处理的本体论和标准格式的开发和使用来确保——因为即使在一个行业部门中,这些也并不总是一致的。这将节省成本,特别是中小企业的成本,并促进不同行业部门和国家之间的数据交换。为此目的,第一步可以是制定自愿标准和分享最佳做法。在数据共享的可信和安全环境存在问题的地方,可以制定企业间数据传输的自愿网络安全标准。此外,可以促进安全可靠的欧洲数据处理基础设施(例如遵循GAIA-X的示例)。可以考虑不同行业部门(如非数字开发者或非人工智能开发者)的需求,制定法律指南、示范合同或数据共享合同的模型条款和条件,类似于国际商会的国际销售合同或国际贸易中心为从事国际贸易的小公司订立的示范合同。这种示范合同或法律指南对欧洲企业与第三国企业交换数据尤其有帮助。
一些行业已经在努力实现数据共享,政策制定者可以研究和支持他们的努力,并将其复制到其他行业。例如,当工业(如制造业)开发数据共享的模式协议和条款和条件时,可以在专门的平台上收集包括中小企业和初创企业的协议、条款和条件,以增加它们的可见性和可用性,突出这方面的最佳实践,以作为一个推荐系统。
*报告原文:
https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/662939/IPOL_BRI(2021)662939_EN.pdf
