AI、物联网、5G等技术快速发展，创造了庞大的数据经济价值。以欧盟为例[1]，相关经济规模至2020年已高达7390亿欧元，占GDP比例已达4%。为能充分释放数据经济潜力，非个人资料自由流通规则（FFD Regulation）[2]应运而生。据估计，引进FFD Regulation所降低之数据服务成本，以及所增加之数据管理、分析弹性与服务选择自由，能再为GDP额外贡献80亿欧元。

FFD Regulation与一般数据保护规则（GDPR）同为欧盟建立数字单一市场（Digital Single Market）的重要支柱。GDPR赋予高标准的个人资料保护，FFD Regulation则致力消弭因各成员国监管不同造成的非个人资料流通障碍，藉此充分运用数据所蕴含的高经济效益。

相较于GDPR长达99条之篇幅，FFD Regulation仅有9条规定，可说是精简许多，但就补充GDPR、移除数据流通障碍而言，却有着不可或缺之重要性。依据构想[3]，欧盟资料因其性质而受不同监管：在个人资料方面，系以保护欧盟公民之隐私权为圭臬，划归GDPR规范；若是非个人资料，则着眼于业务发展机会，透过FFD Regulation打造具竞争力的数据市场。

FFD Regulation之适用范围仅限于欧盟境内的电子非个人资料处理，包括向居住或设立营业处所于欧盟之使用者提供此类处理服务，不问服务供货商是否设立于欧盟；以及居住或设立营业处所于欧盟之自然人或法人基于自身需要而为此类处理（Art.2(1)）。2019年5月29日，欧盟执委会（European Commission）已按FFD Regulation第8(3)条规定，发布有关本规则与GDPR适用关系之指引[4]，特别是在协助企业处理混合个人及非个人资料之数据集（data set）方面。

以非个人资料为规范客体

非个人资料之定义

FFD Regulation所规范之非个人资料系指GDPR第4(1)条定义以外者（Art.3(1)），亦即只要非为涉及已识别或可识别自然人之数据，均应适用FFD Regulation规定。根据指引解释，非个人资料之来源包括两类（Guidance 2.1）：

1. 原本即与已识别或可识别自然人无关之数据，例如风力发电机上传感器所侦得的天气状况。
2. 原本属于个人资料，但嗣后经匿名化（anonymization）。

所谓之匿名化与假名化（pseudonymization）不同，前者即使结合其他数据（通常单独保存且施以组织或技术性保护措施，例如加密），也无法指向特定自然人，故非属于个人资料；相对地，后者一旦结合其他数据，仍可识别出数据主体，因而属于GDPR定义之个人资料。不过，有朝一日如技术与资料分析的发展足以将匿名资料转变为个人资料，即不再符合非个人资料之要件。

值得注意的是，个人资料原则上限于与自然人相关者，但若是法人名称与自然人相同，或是联络信息涉及已识别或可识别之自然人，仍应适用GDPR。

混合数据集之处理原则

数据集若同时包含个人资料与非个人资料，即属于混合数据集（例如公司税务记录），原则上仅有后者适用FFD Regulation，但如两者关系密不可分（inextricably linked），FFD Regulation则不得影响GDPR之适用（Art.2(2)）。然何谓「密不可分」，FFD Regulation或GDPR均未加以定义，执委会认为得解释为两者数据无法分离，或是数据控管者认定分离系不具经济效率或技术上不可行。而实际上，拆分数据集不仅可能大幅降低其经济价值，随着数据性质不断变化，也将越难以明确区分彼此（例如健康数据）。无论如何，FFD Regulation与GDPR均未将拆分数据集、或分别处理个人资料及非个人资料规定为强制性义务（Guidance 2.2）。

以促进数据自由流通为宗旨

禁设资料在地化要求

FFD Regulation明文禁止数据在地化要求（data localization requirements），除非是基于公共安全需要且符合比例原则（Art.4(1)）。数据在地化要求之范围包括成员国的各种法律、法规、行政规定乃至于具一致性之一般行政惯例等规范，同时涵盖直接及间接措施两者：前者例如要求于特定地理区域储存数据或遵循特定技术需求（如采用特定格式）之义务，后者则如要求使用经特定成员国验证或核准之技术设施，或是导致在特定成员国境外处理数据受阻之规定。然而，指令2014/24/EU针对公共采购事务要求或禁止在特定区域处理数据，并不受FFD Regulation限制（Guidance 3.1）。

除排除数据流通之法律阻碍外，FFD Regulation亦规定各国主管机关如需执行监管任务，得请求或取用在其他成员国储存或处理的非个人资料（Art.5(1)）。

应留意的是，FFD Regulation并未规定企业义务，非个人资料处理之可行性只与个别企业如何选择有关；再者，FFD Regulation亦未限缩企业的契约自由，其仍得自由选择处理数据的地点[5]。

公共安全之定义

依据FFD Regulation序文19说明，公共安全（public security）系包含成员国内外部安全以及公共安危（public safety）问题，特别是协助刑事犯罪调查、侦查与诉追之情形。其前提条件为，实际存在对任何社会基本利益造成真实且充分危害的严重威胁，例如对机构与社会基础服务之运作、人口生存或军事利益构成威胁，或是严重扰乱外交关系或各国和平共处情势。各成员国如基于公共安全需要而预计制定新的在地化要求或修改既有规定，必须立即通知执委会（Art.4(2)）。

个人资料亦有自由流通必要

实际上，不单是FFD Regulation，数据自由流通也是GDPR的规范宗旨之一：GDPR第1(3)条即规定，在处理个人资料方面，不得以保护自然人之相关理由限制或禁止该数据自由流通。纵使成员国非以保护自然人之理由制订在地化要求（例如基于税务监管需要），也必须依据欧盟运作条约（TFEU）所定之基本自由与允许缩减之正当理由以及服务指令（Services Directive）、电子商务指令（E-commerce Directive）等欧盟规范加以评估（Guidance 3.2）。

鼓励发展资料转移之行为准则

为使非个人资料发挥最大经济效益，如何打破供货商锁定（lock-in）惯例、维护数据可移植性（data portability）便至关重要。FFD Regulation第6条即建议制定欧盟层级的自律行为准则（self-regulatory codes of conduct），除应遵循透明化及互操作性（interoperability）原则外，同时必须考虑以下几项重点（Guidance 4.1）：

1. 以结构化且常用之机器可读格式，协助供货商转换与数据转移的最佳实务作法。
2. 最低信息要求，藉此确保专业使用者在签订契约前，即能获得充分详尽且明确的相关信息，包括当用户希望转换成其他供货商或将数据转移至自有IT系统时，所适用之流程、技术需求、时程表与费用。
3. 提高云端服务可比较性的验证方案（certification scheme）方法。
4. 提升行为准则意识的沟通蓝图。

前述自律行为准则系由云端转换暨数据转移工作小组（The Cloud Switching and Porting Data Working Group, SWIPO）负责制定，预计涵盖基础架构即服务（IaaS）、平台即服务（PaaS）以及软件即服务（SaaS）等三类云端服务，2020年业已完成IaaS与SaaS行为准则[6]。

结语

依据FFD Regulation第8(1)条，执委会应于近期向欧洲议会（European Parliament）、理事会（the Council）与欧洲经济暨社会委员会（European Economic and Social Committee）提交报告，藉以评估其实践成果。相较于GDPR广受热议，尽管FFD Regulation从制定之初便相对不受注目，但不难由此窥见欧盟逐步补完数字经济未来各块发展版图的远大抱负。

备注：

好消息～北美智权报有微信公众号了！ 《北美智权报》内容涵盖世界各国的知识产权新闻、重要的侵权诉讼案例分析、法规解析，以及产业与技术新知等等。 立即关注北美智权微信公众号→ NAIP_IPServices ～欢迎读者分享与转发～

【本文只反映专家作者意见，不代表本报立场。】