近日,欧盟委员会发布《数据法》(The Data Act)相关解释,对立法目标及其实践运作方式等内容进行了全面概括。欧盟《数据法》已于2023年12月22日在欧盟官方公报上公布,并将于2025年9月12日实施。
《数据法》直接适用于欧盟全体成员国,其立法目的在于通过让数据(特别是工业数据)更易于访问和使用,鼓励数据驱动创新和提高数据可用性,以增强欧盟数字经济并促进竞争性数字市场。为实现该目标,《数据法》确保了数字经济参与者之间数据价值分配的公平性,明确了谁可以在什么条件下使用什么数据。
近年来,欧洲市场上联网产品迅速增多,构成物联网(IoT),大大增加欧盟可重复使用的数据量,也表明欧盟的创新和竞争力具备巨大潜力。《数据法》赋予联网产品用户更大的数据控制权,同时保持对数据技术投资人的激励,规定了企业之间共享数据法定义务的一般条件;明确提高欧洲云市场公平竞争的措施,保护公司免受数据共享不公平合同条款的影响;建立相关机制,公共部门通过该机制可在公共紧急等特殊情况下向企业请求数据,并就如何提出此类请求提供明确规则;引入保障措施,避免第三国政府机构违反欧盟或成员国法律访问非个人数据;定义互操作性的基本要求,确保数据无障碍流动等。
《数据法》的主要内容涉及以下章节:
-
第二章 物联网背景下企业对企业(B2B)、企业对消费者(B2C)的数据共享:
物联网用户可以访问、使用和移植其通过使用联网产品共同生成的数据。
-
第三章 企业对企业的数据共享:
明确企业的法律义务,以及企业间的数据共享条件。
-
第四章 不公平合同条款:
保护所有企业,特别是中小企业,免受强加于它们的不公平合同条款的影响。
-
第五章 企业与政府的数据共享:
在某些特殊需要的情况下政府部门能够获取企业数据,以做出更多基于证据的决策。
-
第六章 数据处理服务的切换:
云计算和边缘计算服务提供者必须满足最低要求,促进互操作性并实现服务切换。
-
第七章 第三国政府非法访问数据:
存储在欧盟的非个人数据免受外国政府的非法访问请求。
-
第八章 互操作性:
数据空间参与者必须满足允许数据在数据空间内和数据空间之间流动的标准。
-
第九章 执行:
成员国必须指定一个或多个主管机构来监督和执行《数据法》。如果指定了一个以上的机构,则必须指定一名“数据协调员(Data Coordinator)”作为国家级单一联络点。
第二章 物联网背景下企业对企业、企业对消费者的数据共享
(一)为什么?
《数据法》的关键目标之一就是在数字经济中创造公平和赋予用户权利,使用户能够从他们使用
联网产品
和
相关服务
生成的数据中获取价值。这些数据的可用性将对经济产生重大影响,例如促进
售后市场和辅助服务
,以及创建全新服务使企业和消费者都受益。
|
示例
|
|
联网产品
|
消费类产品(如联网汽车、健康监测设备、智能家居设备)、其他产品(如飞机、机器人、工业机器)。
|
|
相关服务
|
用户购买了一台洗衣机并安装了一个应用程序,该应用程序允许他们根据来自机器内部不同传感器的数据测量洗涤周期对环境的影响,并相应地调整周期。此应用程序将被视为相关服务。
|
|
售后市场和辅助服务
|
维修和保养服务、基于数据的保险。
|
(二)数据类型
《数据法》第二章关于企业对企业、企业对消费者的数据共享,适用于数据持有人易于获取的联网产品或相关服务所产生的
所有原始和预处理数据
,即无需付出不合比例的努力即可轻松访问的数据。这适用于个人数据和非个人数据,包括相关元数据。
此类数据包括从单个传感器或一组连接的传感器收集的数据,例如温度、压力、流速、音频、pH值、液位、位置、加速度或速度。
推断或衍生的数据和内容
(例如高度丰富的数据、视听材料)
不在范围之内
。此外,《数据法》不影响知识产权保护方面的法律。例如,如果用户在其连接的电视上观看电影,则电影本身不在范围内,但屏幕亮度数据在范围内。
(三)实践
《数据法》第二章允许用户(即拥有、出租或租赁联网产品的任何法人或自然人)访问他们通过使用联网产品或相关服务而产生的数据。如果用户希望与第三方共享这些数据,用户可以直接共享,也可以要求数据持有人与他们选择的第三方(不包括《数字市场法》规定的守门人)共享。
数据持有人
通常是制造联网产品或提供相关服务的公司。数据持有人必须与用户签订合同(例如销售、租赁和相关服务合同等),定义有关访问、使用和共享联网产品或相关服务生成的数据的权利。需注意的是,未经用户同意,数据持有人不得使用产品生成的任何非个人数据。
|
示例
|
|
操作推土机的公司:数据持有人通常是推土机制造商,用户是操作推土机的公司。
|
|
如果有人购买了一台联网冰箱并下载了一个应用程序来帮助他们调节冰箱内的最佳温度,则可能会有两个数据持有人,即将冰箱投放市场的实体和提供相关服务(应用程序)的实体,并且只有一个用户(冰箱的所有者)。
|
为使用户更容易适用这些规定,《数据法》规定了以下机制:一是数据持有人必须向用户提供在使用联网产品或相关服务时将生成的
数据类型信息
(包括数量、收集频率等);二是用户通过
简单流程
即可请求访问数据;三是数据持有人必须
免费
向用户提供数据。
(四)数据使用限制
为不阻碍企业投资数据生成产品,获得的数据不能用于开发联网产品的竞品,但《数据法》并不禁止相关或售后服务的竞争。此外,根据《数据法》数据持有人没有义务与欧盟以外的第三方共享数据。
《数据法》完全符合数据保护规则,尤其是GDPR。如果用户不是被请求数据的数据主体,只有存在有效法律依据(例如同意)才能提供个人数据。这是重要的考虑因素,因为共同生成数据通常包含个人数据和非个人数据,可能难以分离。
该法鼓励基于新的数据流开发联网产品和服务,这对小企业特别有价值。此外,小微企业作为相关服务的制造商或提供者,不承担与大企业相同的义务。
为了在不损害《数据法》提供更多数据目标的情况下保护商业秘密,数据持有人和用户/第三方可以就某些措施达成一致,以维护商业秘密的机密性。如果这些措施没有得到遵守,数据持有人可以拒绝或暂停数据共享。数据持有人只有在能够证明其极有可能因商业秘密泄露而遭受严重经济损失的情况下,才可以拒绝共享数据。
如果联网产品的安全要求可能遭到破坏,对人们的健康、安全或保障造成严重不利影响,数据持有人和用户可以约定限制数据共享。但此类要求必须有欧盟或成员国法律的规定。
如果数据持有人以保护商业秘密或安全要求为由暂停、隐瞒或拒绝共享数据,则必须
通知
国家主管部门。用户可以通过向主管当局提出申诉的方式,向成员国的主管法院或法庭提出质疑,或基于与数据持有人达成的协议,在争端解决机构面前提出质疑。
(一)为什么?
针对企业(数据持有人)依法负有向另一家企业(数据接收方)提供数据(包括物联网数据的情况)的法定义务的情况,《数据法》规定了相关规则。数据共享条款和条件必须是公平、合理和非歧视性的。
作为对数据共享的激励,有义务共享数据的数据持有人可以要求数据接收者提供“合理补偿”。
(二)数据类型
《数据法》第三章适用于企业持有的所有数据(个人和非个人数据),包括《数据法》第二章所涵盖的情况。
(三)实践
数据持有人可就向数据接收者提供数据要求
合理补偿
。这可能包括提供数据所产生的费用,以及与传播和储存有关的技术费用。但是,向小微企业和非营利研究机构收取的费用不能超过提供数据所产生的费用。
为了保护数据持有人,《数据法》包括一份非详尽的措施清单,以补救第三方或用户非法访问或使用数据的情况。例如,数据持有人可以要求侵权方停止生产相关产品或销毁其非法获得的数据,或者可以要求赔偿。
《数据法》之前的任何数据共享义务均不受影响。
未来(部门)立法
中的义务应与《数据法》第三章的规定保持一致。
(一)为什么?
合同自由是企业对企业关系的核心。但《数据法》旨在通过干预措施,保护所有寻求获取数据的欧洲企业免受不公平合同条款的影响,特别是保护中小企业。例如,一家企业由于市场规模等原因处于更强的谈判地位,对另一家企业施加了不可谈判的数据访问和使用条款。
(二)数据类型
第四章适用于私人实体持有的所有个人和非个人数据,这些数据是根据企业之间的合同访问和使用的。
(
三)实
践
单方面强加的“接受或放弃”条款,如果涉及提供数据,可能会受到不公平性测试。
《数据法》建立了一个非详尽的术语清单,列出了
始终被认为是不公平
的条款和
被推定为不公平
的条款。如果一个条款被认为是不公平的,将不再有效;如果被推定为不公平,则实施该条款的实体可以尝试证明该条款并非不公平。
(一)为什么?
企业持有的数据对于政府执行具
有公共利益的任务
可能是必不可少的。《数据法》第五章允许政府在
有特殊需要
的情况下,基于某些条款和条件访问此类数据。“特殊需要的情况”是指一种不可预见且时间有限的情况,即企业持有的数据对于政府执行具有公共利益的任务,特别是改进以证据为基础的决策很有必要。具体包括
公共紧急情况
(如重大自然或人为灾害、流行病和网络安全事件),和
非紧急情况
(如来自驾驶员GPS系统的汇总和匿名数据可用于帮助优化交通流量)。
《数据法》将确保政府能够及时可靠地访问此类数据,且不会给企业带来不必要的行政负担。
(二)数据类型
所有数据都在第五章规定的范围内,重点是非个人数据。
《数据法》第五章关于企业对政府的数据共享,区分了两种情况:
(三)主要利益攸关方
有权索取数据的实体包括欧盟成员国的公共部门机构以及某些欧盟机构。在某些条件下,这些实体还可以与研究机构等共享数据。
在企业与政府数据共享的背景下,数据持有人常是私人实体,但也可能包括公共企业。
(四)实践
在某些条件下,政府可以要求数据持有人提供某些数据,不得无故拖延,以应对公共紧急情况。《数据法》定义了公共紧急状态,但其存在是根据国家或欧盟程序或法律确定的。
对于与公共紧急情况无关的特殊需求,如果政府机构能够证明其无法通过其他方式访问数据,则政府机构可以要求提供非个人数据,以完成符合公共利益且法律规定的特定任务。
在这两种情况下(紧急和非紧急),请求都必须遵守
严格的原则和条件
。例如请求必须具体、透明和合比例,商业秘密必须受到保护,一旦不再需要数据就必须删除数据。
根据《数据法》第五章提供数据的补偿:
|
小微企业以外的企业可以要求:
|
小微企业可以要求:
|
|
公共紧急状态
|
企业可以要求接收数据的政府机构承认和公开认可其数据贡献
|
不超过所发生的技术和组织成本的合理报酬+公开认可
|
|
非公共紧急状态
|
不超过所发生的技术和组织成本的合理报酬(编制官方统计数据除外)
|
不适用(免除提供数据的义务)
|
为了尽量减少企业的负担,同一数据不能由多个政府机构多次请求(“仅一次原则”)。因此,所有请求必须由数据协调员公开提供(除非存在安全问题)。
(一)为什么?
为确保欧盟的市场竞争,数据处理服务(包括云和边缘服务)的用户应该能够在不同提供商之间无缝切换服务。但这目前面临许多障碍,包括高额的数据出口费用、冗长的程序以及提供商之间缺乏互操作性等。
《数据法》将使服务切换变得自由、快速和流畅,使用户可以自由选择最能满足其需求的服务,提供商也将从更大的客户群中受益。
(二)范围
《数据法》第六章适用于数据处理服务提供商。数据处理服务是指能够实现普遍存在和按需网络接入的数字服务,例如网络、服务器或其他虚拟或物理基础设施和软件。数据包括用户在使用服务所产生的输入和输出数据(包括元数据),不包括受知识产权保护或构成服务提供商商业秘密的数据。
(三)实践
为了克服云市场中提供商和用户之间权力的不平衡,《数据法》对
云合同的内容设定了最低要求
,其中私营和公共部门的客户将受益于更高的合同透明度要求。
《数据法》规定了一些措施,确保用户能够快速、顺利地从一个数据处理服务提供商(“源提供商”)切换到另一个(“目标”)提供商,而不会丢失任何数据或应用程序功能。例如,平台即服务(PaaS)和软件即服务(SaaS)的提供商必须提供开放接口,并且至少以常用的机器可读格式导出数据。基础设施即服务的提供商(IaaS)必须采取措施,确保用户切换到同类服务时,获得实质上的“功能等效性(Functional Equivalence)”,例如源提供商可能必须使用工具将计算工作负载从一种虚拟化技术转移到另一种。
所有提供商都必须消除用户在想要切换服务时可能面临的障碍。
从2027年1月12日起,《数据法》
将完全取消切换费用
,包括数据出口费用(即数据传输费用)。这意味着提供商将无法向用户收取促进切换或数据出口所需的操作费用。作为过渡措施,《数据法》生效后的前3年(2024年1月11日至2027年1月12日),提供商仍可向其用户收取切换和数据出口相关费用。
(一)为什么?
有时,欧盟以外国家(第三国)发布的决定或判决,试图允许第三国政府访问和传输在欧盟境内处理和存储的非个人数据。但在某些情况下,允许访问或传输此类数据可能实际违法,特别是与欧盟保护个人基本权利、国家安全利益或商业敏感数据的法律和保障相冲突时。
《数据法》遵循《数据治理法》的规定,旨在防止第三国政府非法访问和传输在欧盟持有的非个人数据。这些规定不影响常规的企业对企业数据共享,但提高了非欧盟政府机构访问或传输非个人数据过程和条件的透明度和法律确定性。
(二)数据类型
数据处理服务提供商在欧盟持有的任何非个人数据。
(三)实践
《数据法》并不禁止跨境数据流动,但确保对欧盟境内的数据和传输到欧盟境外的数据提供同等保护。
在此背景下,《数据法》为第三国政府访问欧盟境内非个人数据制定了规则和保障措施。与执法有关的正当国际合作不受这些规定的影响。
如果没有国际协议规范第三国政府访问欧盟境内非个人数据,则只能在特定条件下传输或访问数据。这些条件是指第三国法律制度需要满足的、用以保障欧盟权利的某些保障。数据处理服务提供商可以联系相关的国家机构,以帮助评估是否满足《数据法》中规定的条件。为了帮助评估是否满足条件,欧盟委员会将与欧洲数据创新委员会(EDIP)一起制定指导方针。
数据处理服务提供商应采取一切合理措施(如加密、审计、认证),防止其存储非个人数据的系统被非法访问,并在其网站上公布这些措施。此外,在可能的情况下服务提供商应在授权访问其数据之前通知用户。
(一)为什么?
标准和互操作性是确保不同来源数据可在
欧洲共同数据空间
内部和数据空间之间使用的关键,以促进研究和开发新产品或服务。为此,《数据法》确立了数据空间参与者必须遵守的基本要求,欧盟委员会可以通过
授权法案
做具体规定,以确保数据处理服务之间的互操作性。
(二)主要利益攸关方
本章针对
数据空间参与者
,数据空间参与者向其他参与者提供数据或基于数据的服务,并促进或参与数据空间内的数据共享。
本章还涉及
智能合约供应商
,以及
数据处理服务提供商
。
(三)实践
数据空间参与者应遵守
允许数据在数据空间内和数据空间之间流动的基本要求
。例如,应可公开访问对数据结构、数据格式和词汇的描述,确保数据共享协议(如智能合约)的互操作性。
《数据法》规定了
统一标准和开放的互操作性规范
,为提高数据处理服务的互操作性奠定了基础。还明确了对自动签署数据共享协议的智能合同供应商的要求。
欧盟委员会将评估互操作性的障碍,并优先考虑标准化需求,在此基础上,欧盟委员会可能会请求欧洲标准化组织起草符合上述要求的协调标准。
如果欧盟委员会的请求未能达成统一标准,或者如果这一标准不足以确保符合《数据法》要求,委员会可以采用通用规范作为后备解决方案。并且应以开放和包容的方式制定,并考虑欧洲数据创新委员会的意见。
欧盟成员国将指定一个或多个(新的或现有的)
主管当局
,以确保《数据法》的有效实施。当有多个主管当局时,成员国必须指定其中一个作为“
数据协调员
”。数据协调员在国家层面充当“一站式商店”实施《数据法》相关规定,促进企业和公共当局遵守该法规定。例如,当企业依据《数据法》享有的权利被侵犯而寻求救济,数据协调员应根据要求提供所有必要信息,以帮助企业向适当的主管当局提出投诉。此外,数据协调员还将促进跨境协作。
欧盟将保留主管当局和数据协调员的公共登记册。
欧洲数据创新委员会将促进主管当局之间的沟通,例如协调和通过关于制定违反《数据法》行为的处罚建议。处罚由主管当局设定,根据《数据法》,处罚应具有有效、相称和劝阻性。
成员国可设立
经认证的争端解决机构
,协助无法就提供数据的公平、合理和非歧视性条款达成协议的缔约方。当事方可自由地向任一争端解决机构提出申诉。
经认证的争端解决机构和专门的主管当局将使企业(特别是小企业),更容易根据《数据法》行使其权利,因为相关机构为有关各方提供了简单、快速和低成本的解决方案。
《数据法》将于2025年9月12日实施。
为帮助企业了解新规则,欧盟委员会将推荐一套示范合同条款,以帮助企业签订公平、合理和非歧视的数据共享合同(《数据法》第二章和第三章)。这些条款还将为合理补偿和商业秘密保护提供指引。欧盟委员会还将为云服务用户和提供商之间的云计算合同推荐一套不具约束力的标准合同条款。已成立一个专家组来帮助委员会起草这些条款,并计划在2025年秋季之前提出建议。
在实施后的3年内,欧盟委员会将评估《数据法》的影响。在此基础上,如有必要,委员会可提出对该法的修正案。
