欧盟：建设数字单一市场

2019-05-28闫德利

互联网天地 2019年4期

□ 文闫德利

欧盟是欧洲一体化的产物，是欧洲国家的联合。欧盟数字化既有别于单个国家的特征，也有理念上的重大差别。主要体现在两个方面；一是努力破除成员国之间的壁垒，建设数字单一市场；二是把规范摆到更突出的位置，在用户隐私和竞争政策方面进行严格的规制。

欧盟主要的数字政策如表1所示。

一、从信息社会到数字单一市场

欧盟委员会先后于2000年发布《里斯本战略》，2010年发布《欧洲2020战略》，这是指导欧盟发展的两个十年纲领性文件。与之相对应，欧盟推出信息社会战略和数字单一市场战略，分别作为《里斯本战略》和《欧洲2020战略》的重要组成部分，以推动数字欧洲发展。

表1 欧盟主要数字政策

（一）信息社会战略：eEurope、i2010

早在世纪之交，欧盟理事会就提出：“世界经济正从工业社会迈向信息社会……然而欧洲走向数字时代的步伐还不够快。”为加快建设信息社会，欧盟先后出台eEurope和i2010战略。

eEurope战略在1999年启动。2000年6月，欧盟理事会发布《eEurope 2002年行动计划》（eEurope 2002 Action Plan），旨在使信息社会惠及所有欧洲人。2002年6月，欧盟理事会发布《eEurope 2005行动计划》（Action Plan for eEurope 2005），旨在将连接转化为生产力。

2005年，欧盟委员会通过《i2010：欧洲信息社会 2010》（i2010: European Information Society 2010）的五年发展规划。它是新修订的《里斯本战略》的一部分，旨在完善欧盟现有的政策手段，推动数字经济的发展。

（二）数字单一市场战略

eEurope和i2010战略的实施，使欧盟信息社会取得长足进展。随着《欧洲数字议程》的发布，欧盟数字战略进入第二个十年，打造数字单一市场（Digital Single Market，简称DSM）成为欧盟数字战略的首要目标。

《欧洲数字议程》是《欧洲2020战略》的七大旗舰计划之一，于2010年5月由欧盟委员会发布，目的是实现智慧化、可持续和包容性增长。《欧洲数字议程》分析了影响欧盟数字技术发展的七种障碍：数字市场间的堡垒、缺少互操作性、网络犯罪增加与风险、缺少投资、研发与创新不够、社会缺少数字技术知识普及、未能应对社会大的挑战等。针对这些问题，欧盟提出了七个方面的优先行动：

1、建立一个新的数字市场，让数字时代的各种优势及时共享；2、改进信息技术领域的标准与互操作性；3、增强网络信任与安全措施；4、增加欧盟对快速和超速互联网的接入；5、加强信息技术的前沿研发与创新；6、加强全体欧洲人的数字技能与可接入的在线服务；7、释放信息技术服务社会的潜能，应对各种社会挑战。

建设数字单一市场是《欧洲数字议程》的最核心目标，位居欧盟委员会主席让-克洛德·容克十项优先工作中的第二位。

《欧洲数字单一市场战略》由欧盟委员会于2015年5月公布，以破除28个成员国之间的“制度围墙”，实现货物、人员、服务、资金和数据的自由流动，促进欧洲数字经济发展。欧盟委员会认为，数字单一市场每年将为欧盟带来4150亿欧元的收入，并增加大量就业机会。

《欧洲数字单一市场战略》明确了建立单一市场的三大支柱：为消费者和企业提供更好的数字商品和服务；为数字网络和服务的蓬勃发展创造合适的环境；使欧洲数字经济的增长潜力最大化。

根据2017年5月欧盟委员会发布的数字单一市场战略中期评估报告，欧盟已实现了这份战略中提出的35项法律提案和政策倡议。为推进数字单一市场建设，欧盟委员会还发布了《走向繁荣的数据驱动型经济》、《欧洲工业数字化》、《欧洲网络平台与数字单一市场的机遇与挑战》、《建立欧洲数据经济》等政策文件，如表2所示。

表2 欧盟数字单一市场相关配套政策文件

二、呼吁出台数字贸易战略

近年，欧盟和美国积极争夺数字贸易的主动权。欧洲议会议员、欧洲数字议程小组创始人玛丽珍·沙克（Marietje Schaake）指出：“自特朗普总统彻底改变了美国的政策方向以来，欧盟正在取代美国成为国际贸易规则的重要推动力量。我们已经做了很多工作，但在数字贸易规则方面仍然落后。”

2017年12月，沙克议员起草的《迈向数字贸易战略报告》获得欧洲议会高票通过。该报告呼吁尽快出台数字贸易战略，打击新形式的数字贸易保护主义，促进数字贸易的价值发挥。

报告就电子商务、网络中立、保护在线消费者等议题向欧委会提出了建议。报告称，欧盟应对数据贸易的国际规则和协定设立标准，确保第三国开放数字产品和服务，应让贸易规则为消费者创造有形的利益，促进数字贸易尊重消费者基本权利。报告认为，欧盟应增加给予贸易伙伴“充分性认证”的数量，呼吁欧盟加快在贸易协定中设立数据流动章节，禁止强制性要求数据本地化。

三、数字经济公平税收新规则

数字经济是一种新的经济形态，深刻改变了企业的价值创造方式，用户在价值创造中开始发挥重要作用。用户访问互联网，留下数据。企业利用算法作大数据分析，据此可投放广告、进行精准推送，从而获取利润。传统的税收规则是由企业实体所在地的税务部门向其征税，其他地区的用户尽管在此过程中创造了价值，但这些地区因没有该企业的“物理存在”而无法向其征税。这意味着，传统的税收规则在征税时不考虑用户对利润的贡献，不考虑用户的价值创造。

为了改变这种“利润不在用户所在地征税，而在算法的开发地征税”的规则，确保对数字经营活动以“公平和利于增长”的方式征税，欧盟委员会于2018年3月公布数字经济公平税收（Fair taxation of the digital economy）的新规则，提出两项数字税建议。

建议一：统一改革数字活动的税收规则

目前欧盟数字公司的实际税率只有9.5%，而传统企业的税率达到23.2%。该提议将使成员国对在其领土内创造的利润征税，即使公司在该成员国并无“物理存在”，确保在线企业像传统的实体公司一样缴纳相同水平的税收。

如果满足下列三个标准之一，数字平台将被认定为在成员国境内拥有应税的“数字存在”或“虚拟常设机构”：（1）在该欧盟成员国的年收入超过700万欧元；（2）一个纳税年度内在该成员国的用户超过10万个；（3）一个纳税年度内公司与用户签署的数字服务合同超过3000项。

建议二：对数字活动的某些收入征收临时税

征收临时税将确保那些还未有效征税的活动能给成员国带来即时收入。这有助于避免成员国对数字活动采取单边措施征税，避免损害欧盟的单一市场。

该临时税适用于用户在价值创造中发挥主要作用的活动所产生的收入，这些收入通过当前的税收规则难以获得，例如：

通过销售在线广告空间获得；从数字中介活动中获得，这些活动允许用户之间进行互动，促进用户之间的商品和服务的销售；通过销售由用户信息而产生的数据而获得。

临时税将由用户所在地的成员国征收，仅适用于全球年收入达到7.5亿欧元且在欧盟的收入达到5000万欧元的公司。因此，初创企业和小微企业将不受此税收的影响。如果税率按照3%计算，每年可为成员国创造50亿欧元的收入。

该税收规则出台后，Google、Amazon、Facebook、Apple等大型科技公司首当其冲，受到的影响最大。于是，人们取四家公司的首字母，把该数字税称为“GAFA税”。这四家数字巨头均是美国企业，美国强烈反对此方案。

欧盟委员会希望成员国在当年（2018年）年底前能够同意第二个建议。税制改革需要28个成员国的一致同意，各成员国尚未达成一致意见。法国是该提案的强有力支持者，那些税率较低的小国则损失较大，爱尔兰、马耳他、卢森堡、瑞典、丹麦和芬兰等国家都公开反对该提案。而处于脱欧进程中的英国走在了前列，它计划从2020年4月开始实施“数字服务税”，征收对象为全球营收超过5亿英镑且盈利的搜索引擎、社交平台、在线市场等，按在英国收入的2%征收。

四、通用数据保护条例

2018年5月25日，欧盟《通用数据保护条例》（简称GDPR）正式生效。GDPR最初于2012年提出，2016年4月获得欧洲议会的批准，将用来取代1995年的《数据保护指令》。GDPR对个人信息的保护达到了前所未有的高度，被称为“史上最严格的数据保护法”，必将对全球数字经济产生深远影响。而更为严格的隐私法律——《电子隐私条例》，已于2017年秋天获得欧洲议会的批准，正由欧盟理事会进行审议。

GDPR的内容主要有以下几个方面的特点。

（一）利用长臂管辖进行域外适用

法律是国家主权的体现，一般只在一国领土范围内发生效力，即属地原则。数字经济时代，跨境贸易蓬勃发展，数据的跨境流动十分频繁。传统的属地原则或许无法有效保护本国公民的权益和国家利益。GDPR将属地原则和属人原则结合起来，扩大法律适用的域外效力，不仅覆盖在欧盟有经营实体的企业，也适用于在欧盟境外从事与欧盟公民信息相关的企业。

属地原则。在欧盟境内设立数据控制或处理机构，不管其对个人数据处理的行为是否发生在欧盟境内，都受GDPR的约束。

属人原则。在欧盟境内没有数据控制或处理机构，但向欧盟内的数据主体提供商品或服务（不管是否收费），或对数据主体发生在欧盟内的行为进行监控，也受GDPR的约束。

（二）赋予数据主体一系列强大的权利

GDPR赋予了数据主体同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利；并增设了企业的自动化决策限制和制度规范要求，相关主体权利极大地增加了企业合规成本。其中，与我国《网络安全法》区别最大的有三项权利，分别是“可遗忘权”“数据的可携带性”和“针对算法的自动决策”。

首先，关于个人信息的可遗忘权，要求企业在系统或组织内，根据欧洲公民的需求，把个人信息通过技术手段来实现“忘掉”。这个“忘掉”不一定是物理上删除，也可以通过去标识化、去匿名化等手段，保证用户在行使权力的时候，感受到自己隐私的痕迹不会被使用和暴露。

其次，数据的可携带性要求企业必须把其平台上和用户个人信息相关的所有数据打包，按照可读的方式提供给用户，通过这种方式告诉用户企业在平台上搜集和存储了用户的哪些个人信息。

最后，利用算法来进行自动决策，实际上是赋予了欧洲公民可以拒绝企业利用搜集到的个人信息来进行自动判断和决策的权利。这种拒绝权利可能会导致企业不能利用个性化的个人信息和行为来进行客户画像和自动推荐等。

（三）惩罚力度空前提高

根据企业的违法程度，GDPR设定两个等级的处罚标准。

第一等级：最高罚款1000万欧元，或上一财年全球营业额的2%，择金额较高者罚之。第二等级：最高罚款2000万欧元，或上一财年全球营业额的4%，择金额较高者罚之。

（四）要求加强组织建设

欧盟层面须设立数据保护委员会，用于处理涉及跨成员国的企业违规案件；欧盟成员国将分别成立数据保护局，对企业的商业行为进行监管；企业必须任命数据保护官确保企业行为合规。

五、欧盟数字战略面临诸多挑战

近两年欧盟经济持续向好，2017年欧盟28国、欧元区的GDP增速均为2.5%，创下国际金融危机以来的最高增速。2018年预计仍将保持2%左右的增速，这为数字单一市场的建设提供了有利条件。欧盟发展也面临诸多经济社会问题：难民危机持续冲击，恐怖袭击此起彼伏，债务危机阴霾未散，民粹主义思潮泛滥，英国脱欧重创一体化。各成员国忙于应对各种事关存亡的“疑难急症”，落实雄心勃勃的数字经济规划面临挑战。