文章分类
数字经济的范式变化。
欧盟的数据战略旨在建立一个单一的数据市场,使其能够在欧盟内部和跨部门自由流动,造福于企业、研究人员和公共管理部门。数据的自由流动被定义为欧洲市场的“五大自由”。
在此背景下,2022年2月23日,欧盟委员会发布了关于公平获取和使用数据的统一规则的法规提案(“数据法案提案”)。¹
继《数据治理法案》之后,即将出台的《数据法案》是最近作为欧洲数据战略的一部分发布的第二项主要提案,补充了现有的数据框架:《通用数据保护条例》(GDPR),⁴ 非个人数据监管的自由流动⁵ 和开放数据指令⁶. 还有其他即将出台的法规将影响当前的数据规则,如《数字市场法案》⁷ 或《数字服务法案》⁸.
数据法案提案的目的是什么?
与《数据治理法案》一样,重要的是要记住,《数据法案提案》汇编了委员会认为完成数据管理规则所需的“拼凑”问题。其中规定的权利和义务似乎没有关联,但应该记住,该法规的总体目的是释放欧盟数据的全部潜力,解决那些尚未解决的问题。
简言之,《数据法案提案》涵盖以下主要内容:(i)消费者、企业和公共机构对数据(由联网设备生成,由依法负有数据共享义务的设备持有)的强制访问;(ii)涉及中小型企业时的数据共享;以及(iii)数据处理服务(交换、非个人数据的国际传输和互操作性)。因此,该倡议旨在提高数据可用性,促进所有经济部门不同参与者(企业对消费者(B2C)、企业对企业(B2B)和企业对政府(B2G))之间的数据共享,明确谁可以使用和访问哪些数据,并为这些访问和使用建立条件。
出于这些目的,《数据法案提案》是一项横向立法,涵盖了与数据共享相关的不同方面,从访问连接设备(如物联网(IoT))生成的数据、特殊情况下的强制性B2G共享和数据共享合同中的合同不平衡,到云交换、,非个人数据的国际传输或互操作性。
此外,必须指出的是,《数据法案提案》为根据某一部门、共同的欧洲数据空间或公共利益领域的需要进一步制定未来立法敞开了大门。
谁受此法案约束?
新规则将适用于各种行为者:欧盟市场上的相关产品和服务的制造商和供应商;此类产品和服务的用户(个人和法人);数据持有者向欧盟数据接收者提供数据;欧盟的数据接收方,数据可供其使用;公共部门机构和欧盟机构、机构或团体;以及欧盟提供的数据处理服务提供商。微型、中小型公司免除了一些义务。
范围内有哪些数据?
数据法案提案涵盖个人和非个人数据。
然而,考虑到规范中涉及的不同方面和背景,以及当前的文本并不总是直截了当的,因此在适用范围和每种情况下所涵盖的数据方面存在大量混淆。
2022年7月,欧洲联盟理事会主席国捷克提交了第一届主席国妥协案文,⁹ 通过具体说明提案具体章节所涵盖的数据类型,提供了一些澄清,如下所示:
- 有关产品和相关服务的性能、使用和环境的数据:访问连接设备生成的数据的规则(数据法案提案第二章)。
- 受法定数据共享义务约束的任何私营部门数据:数据持有人在法律上有义务在企业对企业关系中提供数据的规则(《数据法案提案》第三章)。
- 根据企业之间的合同协议访问和使用的任何私营部门数据:防止数据共享合同中滥用合同不平衡的规则(《数据法案提案》第四章)。
- 任何以非个人数据为重点的私营部门数据:在特殊需要时强制共享B2G的规则(《数据法案提案》第五章)。
- 数据处理服务处理的任何数据:云交换规则(《数据法案提案》第六章)。
- 数据处理服务提供商在欧盟持有的任何非个人数据:国际数据传输规则(《数据法案提案》第七章)。
与其他欧盟数据规则的相互作用是什么?
如上所述,《数据法案提案》与该领域的主要立法——《GDPR》和《数据治理法案》——之间的相互关系试图得到澄清和澄清。
- 首先,关于GDPR,虽然它只涉及个人数据,但《数据法案提案》涵盖了个人和非个人数据,因此在适用的情况下(例如,在混合数据集的情况下),必须将这两种规范结合在一起。
- 《数据法案提案》补充了GDPR,但不影响GDPR,补充了不受影响的现有权利和义务。例如,草案文本中明确指出,在处理个人数据的范围内,数据持有人应是GDPR规定的控制者,因此,他们将承担其中的义务。另一方面,《数据法案提案》对连接设备生成的数据规定的透明度义务不影响GDPR规定的控制者的信息义务。关于连接设备,《数据法案提案》增强了数据可移植性的权利,用户可以访问和传输这些对象生成的个人和非个人数据。同样,对非个人数据的国际流动规定了一些保障措施,但不影响向欧盟以外第三方转移个人数据的规则。
- 关于《数据治理法》,《数据法》也对其进行了补充。如欧盟委员会所述,虽然《数据治理法》制定了促进公司、个人和公共部门共享数据的流程和结构(重点是公共部门数据的再利用、数据中介规则或数据利他主义),但《数据法》规管数据的获取和使用,明确了谁可以从数据中创造价值以及在何种条件下创造价值。
基于上述内容,尽管《数据法》还处于提案阶段,但了解新规则对组织的影响很重要,因此下文概述了其要点。
强制访问数据
访问连接设备生成的数据
根据《数据法案提案》,用户(自然人和法人)有权访问和使用使用产品或相关服务产生的数据,¹⁰ 并且还可以请求数据持有者将数据提供给第三方。
考虑到连接设备产生的大量数据(其中许多是未使用的非个人数据),这旨在增强用户对这些对象和相关服务的数据的控制权,增强数据可移植性,并促进提供售后服务和其他基于数据的服务。
规定了向用户提供某些合同前信息的义务,以确保所生成数据的透明度并方便用户访问。
在用户无法直接访问数据或必须向第三方提供数据的情况下,必须毫不拖延地免费向用户授予访问权限,并在适用的情况下持续实时地授予访问权限。
根据《数字市场法》,被指定为看门人¹¹[11]的核心平台服务提供商不符合这些目的的第三方资格。因此,他们不能请求或被授权访问用户使用产品或相关服务产生的数据。
值得注意的是,《数据法案提案》还规定了“通过设计实现数据可访问性”的义务,根据该义务,设备和服务必须设计和制造,以使用户在默认情况下能够以方便、安全和(在适当情况下)直接的方式访问数据。
在任何情况下,为了保护数据持有人的利益,对共享数据的使用施加了若干义务和限制。例如,禁止用户和第三方使用收到的数据开发与数据来源产品竞争的产品。此外,只有在采取了具体保密措施的情况下,以及在向第三方提供数据的情况下为实现与用户商定的目的而严格必要时,才能披露商业秘密。
电信运营商的特殊注意事项
必须注意,“产品”和“相关服务”的定义相当宽泛和模糊(见注释9)。尽管《数据法案提案》序言部分提供了某些指导和示例,但在许多情况下,很难确定特定产品或服务是否属于法规范围,因此也很难确定组织是否遵守上述有关访问连接设备生成的数据的义务。
这一点已被电信运营商所关注,在其对《数据法案提案》的联合立场中,¹³代表电信行业的协会——欧洲电信网络运营商协会(ETNO)和全球移动通信系统协会(GSMA)——强调需要更精确的定义,以增加法律确定性。
特别是,他们声称应澄清和微调“产品”和“相关服务”的定义,涵盖与产品提供和产品本身功能直接相关的服务,不包括电子通信服务。
据称,连接允许智能设备运行并与其他设备和服务通信,并且是数据传输的媒介。然而,电子通信服务通常不与特定功能或产品相关,但它们仅用于底层连接的管理和操作。因此,必须将电子通信服务及其产生的数据排除在定义之外,从而排除在数据共享义务的范围之外。
法律规定数据持有人有义务提供数据
《数据法案提案》包括数据持有人有法律义务向第三方(数据接收方)提供数据的情况下的通用访问和共享规则,其中应强调以下内容:
- 数据必须在公平、合理和非歧视的条件下以透明的方式提供。
- 除非产品或服务的用户要求,否则不允许独家安排。
- 数据持有者和数据接收者之间达成的补偿必须合理,对于微型、中小型企业,补偿不得超过提供数据所产生的直接成本。
- 可能产生的任何争端都可以由成员国认证的争端解决机构解决,但不影响当事方向国家法院或法庭寻求补救的权利。
- 数据持有人可以采取技术保护措施,但这些措施不能用来阻碍用户向第三方提供数据的权利或其他第三方权利。
数据共享
公平和平衡的B2B数据共享协议
为了避免因数据共享合同各方的谈判能力不平等而滥用合同不平衡,《数据法》规定,单方面强加给微型、小型和中型企业的关于数据获取和使用的不公平合同条款无效。它还包括一系列条款,这些条款将被认为是不公平的。
欧盟委员会将制定和建议非约束性合同条款范本,以促进公平和平衡合同的谈判和签订。
B2G数据共享
《数据法案提案》规定,在特殊需要的情况下(例如,在需要应对、预防或协助从公共紧急情况中恢复时),有义务根据要求向公共机构和欧盟机构、机构或团体提供私营部门数据。
为此目的,接收方机构和私人数据持有者(微型和小型公司除外)承担了具体义务。
提供了某些保障措施,以在共享数据时保护私人实体,包括有义务证明请求数据的特殊需要,表明请求的目的和数据的预期用途,尊重数据持有人的合法利益(例如,保护商业秘密),或相称性,请求的透明度和公开可用性。数据请求也可能受到质疑。
此外,接收方必须:(i)不得以与提出请求的目的不符的方式使用数据;(ii)如果必须处理个人数据,则实施技术和组织措施以保护数据主体的权利和自由;以及(iii)在数据不再需要时销毁数据,并将销毁情况告知数据持有人。
除为应对公共紧急情况而提供的数据外,数据持有人可就提供数据要求赔偿,赔偿金额不得超过遵守要求的技术和组织成本加上合理的保证金。
接收数据的国家或欧盟机构可与非营利或在公共利益任务范围内的第三方分享数据,用于科学研究或分析,或用于编制官方统计数据。
数据处理服务
促进云和其他数据服务交换的新措施
引入了许多合同、商业和技术要求,以便于在云、边缘和其他涵盖相同类型服务的数据处理服务提供商之间进行切换。
因此,供应商必须消除转换障碍,例如:(i)通过书面合同,其中包含强制性的最低内容,涵盖客户的权利和供应商在转换方面的义务;(ii)通过逐渐去除用于切换过程的电荷;以及(iii)通过保持服务的功能等效性(即,在切换到另一提供商之后服务的最低功能级别);或(iv)通过确保与开放互操作性技术规范或欧洲标准的兼容性。
非个人数据国际传输的保障措施
《数据法案提案》旨在防止第三国非法转移或获取非个人数据,补充《GDPR》和《数据治理法案》中规定的国际数据流动框架。
随着人们对工业间谍、知识产权(IP)盗窃和外国当局非法获取信息的担忧日益加剧,新规则将重点放在保护商业敏感数据作为商业机密,以及根据欧洲法律受知识产权或保密义务约束的数据。因此,引入了某些措施,以确保在非个人数据转移到欧盟境外时,遵守欧洲监管框架提供的保护水平。
出于这些目的,数据处理服务提供商必须采取一切合理的技术、法律和组织措施,避免国际转移或政府获取欧盟持有的非个人数据,这些数据可能会与欧盟或国家法律(例如,商业敏感信息、可能影响安全或国防利益的数据)产生冲突。
此外,来自第三国的法院判决和行政决定要求转移或访问在欧盟持有的非个人数据,只有在国际协议的基础上才能得到承认或执行。否则,为了进行传输或访问,此类决定必须满足某些严格的条件,并且只能提供允许的最小数据量。
在这方面,《数据法案提案》吸收了欧盟法院(CJEU)在Schrems II案中的陈述¹⁴ 关于个人数据传输,需要事先评估第三国的法律和司法制度和惯例,以确定传输是否符合欧洲立法的要求和保证。
其他规定
《数据法案提案》包括数据空间运营商、数据处理服务和数据共享智能合约的互操作性方面的几个基本要求。
另一方面,拟议文本通过排除数据库指令¹下的特殊权利的应用,解决了物联网环境中数据库的特殊保护所带来的挑战⁵ 该数据库包含通过使用连接的设备和相关服务而获得或生成的数据。
计时
《数据法案提案》正在按照普通立法程序进行处理,必须获得欧洲议会和欧盟理事会的批准。
一旦通过,《数据法案》将直接适用于所有欧盟成员国,根据该提案,该法案将在《欧盟官方期刊》发表一年后适用,以便受影响的参与者能够适应新的要求。
执行和制裁
在执法方面,成员国必须指定适用和执法的国家主管当局,并建立对违反本法规的处罚框架。因此,尽管《数据法》将是一项直接适用的法规,但这种转换空间可能会导致制裁领域缺乏统一性,因为各国的处罚可能不同。另一方面,那些认为自己在《数据法》下的权利受到侵犯的人可以向主管当局提出投诉。
最后,但非常重要的是,这些规则具有治外法权效力,很可能在欧盟之外被采纳为全球标准——就像GDPR一样,即将出台的《人工智能法案》、《数字服务法案》和《数字市场法案》也可能会这样——从而扩大欧盟在全球的影响力(所谓的“布鲁塞尔效应”)。¹⁶
总结
继《数据治理法案》之后,即将出台的《数据法案》是最近作为欧洲数据战略的一部分发布的第二项主要提案,补充了现有的数据框架:《通用数据保护条例》(GDPR)、《非个人数据自由流动条例》和《开放数据指令》。还有其他即将出台的法规将影响当前的数据规则,如《数字市场法案》或《数字服务法案》。
- 登录 发表评论