文章分类
2022年2月23日,欧盟委员会发布了《欧盟数据法案》提案,这是一项全面的法规,旨在为数据共享、云交换和非个人数据的国际传输提供一个统一的框架,根据委员会的新闻稿,《数据法案》旨在“成为强大、创新和主权欧洲数字经济的基石”。该提案背后的一个主要思想是,参与数据生成的每个参与者都应该能够自由访问该数据。因此,该提案涉及数据保护和竞争两个方面。
一旦通过,《数据法案》将对欧盟的数据经济产生重大影响。这将主要影响互联产品和相关服务的提供商以及云提供商,但也可能会影响任何因在欧盟提供服务而持有任何个人和非个人数据的公司。欧盟委员会的提案现在将在欧盟议会和理事会进行辩论,预计将于24年年中生效。
1.范围
《数据法》旨在规范所有“数据”,其定义为“行为、事实或信息的任何数字表示以及此类行为、事实和信息的任何汇编,包括以声音、视频或视听记录的形式”。这个广泛的定义包括个人和非个人数据。
就《数据法》将对谁产生影响而言,其范围同样广泛,因为它可能会对许多利益相关者施加义务和/或授予权利,尤其是:
- 欧盟市场上相关产品(如物联网产品)的制造商,欧盟提供的相关服务的提供商,以及此类产品和服务的用户(企业用户和消费者)。“相关服务”包括与物联网产品合并或互连的任何服务,缺少这些服务将阻止该产品执行其功能之一。
- “数据持有人”,即有“权利或义务”或“能力”向欧盟数据接收方以及这些数据接收方提供数据的企业。“数据持有者”定义的确切范围尚不清楚,但其目的是非常广泛。
- 为欧盟客户提供云服务的提供商。
2.主要义务
拟议的《数据法案》为不同类别的利益相关者确立了广泛的义务目录。在此基础上,《数据法案》有望对整个欧盟的数据经济产生重大影响。它可以通过更容易地访问物联网数据,促进新物联网业务模式的诞生。它包含旨在促进云服务之间切换的条款,这可能会增加云提供商之间的竞争,并减少任何潜在的锁定影响。
然而,《数据法案》的义务也将给物联网制造商和服务提供商、云服务和其他数据持有人带来巨大的合规负担,尤其是那些依赖国际数据访问和传输的人。
特别地:
- 产品设计要求:公司需要设计物联网产品和服务,以便用户能够轻松访问通过使用产生的任何数据。在产品销售给欧盟客户之前,必须提供与任何物联网产品相关的数据生成和使用的某些信息。数据持有人在没有一般数据保护法律(见下文)规定的有效法律依据的情况下,不得使用通过物联网产品和服务生成的个人数据,并且在未与用户签订合同协议的情况下不得使用非个人数据。后一项要求尤其需要依赖数据的企业付出更多努力,以确保其活动具有有效的法律依据。
- 数据共享义务:根据要求,通过物联网产品和服务生成的数据必须提供给相应产品或服务的用户,不得无故延迟、免费和实时(如适用)。在同样的条件下,用户还可以要求将“他们的”数据提供给任何第三方,但不能提供给根据《欧盟数字市场法案》(见下文)指定的“守门人”。这将需要物联网制造商和服务提供商努力建立新的(或重新访问现有的)数据共享接口。
- 为了保护数据持有人的权利,数据接收方不得将数据提供给其他第三方,或将其用于开发与原始数据持有人竞争的物联网产品或服务。同时,受商业机密约束的数据只需在特定保密安排下披露(但数据仍必须披露)。尚不清楚需要如何监测这些限制的遵守情况。实际上,数据持有人的手段有限,无法防止进一步不受控制地共享或使用其服务中的数据。
- 数据共享条款:该提案为数据持有人提供数据的条款和条件制定了详细规则,前提是不仅根据《数据法》,而且根据随后通过的任何其他欧盟或成员国立法,数据持有人都需要这样做。这些条款必须公平、合理和非歧视性,数据持有者因其非歧视性而承担举证责任。这同样适用于为交换数据共享而支付给数据持有人的任何补偿。中小型企业(SME)支付的报酬不得超过共享特定数据的成本。此外,该提案建立了一个被认为在数据共享协议中不公平的条款目录,与一般消费者合同法中已有的规则相比较。首先,这将要求物联网制造商和服务提供商修订其标准协议,允许第三方(例如,与物联网设备接口的第三方应用程序的开发者)访问用户数据。这些义务的确切范围将取决于欧盟未来数据共享立法的范围。
- 云切换要求:该提案建立了一套要求,旨在促进不同云服务之间的切换,以及将所有云服务移植到本地解决方案。这些要求将适用于广泛的云服务,从简单的数据存储服务到高度定制的软件即服务解决方案。它们包括合同保障、将切换过程的持续时间限制为30天、逐步消除任何切换费用,以及确保发起和检索云服务之间功能对等的义务。这些要求显然借鉴了欧盟电子通信法下的供应商交换制度,即使考虑到委员会的任务是开发云互操作性的开放标准,也可能需要云服务供应商在接口和流程方面进行大量投资。
- 对国际数据传输的限制:最后,该提案包括严格限制云服务的国际数据共享。云提供商必须采取一切必要措施,防止违反欧盟或成员国法律(例如,根据保护个人基本权利、成员国国家安全利益或知识产权的规则)的任何欧盟非个人数据的国际访问或传输。只有基于国际协议或第三国法律制度提供类似于《数据法案》的保护时,才允许第三国数据访问请求。这些限制可能会影响欧盟与第三国之间现有的云数据流,并影响欧盟从美国或英国等第三国开展新的基于云的业务的机会。特别是,这些规则似乎比欧洲数据保护委员会(EDPB)在欧洲法院做出Schrems II裁决后概述的个人数据传输要求更严格。虽然EDPB已经发布了关于个人数据传输影响评估的指南,但《数据法案》似乎没有为此类评估或数据出口商制定的保护数据安全的相应补充措施留出空间。
该提案涉及的其他领域包括欧盟公共部门机构的数据访问请求、数据共享背景下的“智能合同”以及采用统一的数据共享互操作性标准。中小企业免除上述某些义务。
3.执行
委员会草案被设计为欧盟条例,即《数据法案》将直接适用,而无需成员国将其转化为国家法律。新规定将由各个欧盟成员国执行,每个成员国将被要求指定一个或多个负责机构。例如,这种方法类似于欧盟一般数据保护条例(GDPR),但不同于《数字市场法》,其中委员会是唯一的执法机构。
侵权行为将受到“有效、适度和劝阻性罚款”的制裁,但不会提出任何GDPR式的基于收入的罚款。《数据法案》还预见了新的争端解决机构,以解决关于数据共享和访问的分歧。此外,《数据法案》引入的许多权利和义务将在民事法庭上由私人强制执行,并且可能会发生诉讼,例如,客户试图追求《数据法》的新数据访问或云交换权利。
4.与其他法律领域的互动
根据目前的义务和要求目录,《数据法》草案将特别涉及数据保护和竞争法:
- 数据保护:尽管《数据法案》广泛涉及数据的访问和使用,但它并不是隐私立法。它保留了适用于个人数据的GDPR下的权利和义务,因此,《数据法》应与GDPR并行阅读。这意味着,理解《数据法》项下的所有权利和义务时,不得损害GDPR项下个人的现有访问权和可携带权,任何个人数据只能在GDPR第6(1)条项下有有效法律依据的情况下,如个人同意、合法权益或合同必要性的情况下才能根据《数据法案》提供。
然而,委员会的提案显然在《数据法案》的许多关键概念方面广泛借鉴了GDPR的建议:例如,需要有一份合同协议来证明使用非个人数据的合理性,这类似于GDPR要求任何个人数据处理都要有有效的法律依据的概念。关于切换云提供商的规定与GDPR关于数据可移植性的规定非常相似。同样,该提案对非个人数据国际传输的限制显然是仿照GDPR下适用于个人数据传输的限制。这种或多或少直接将现有数据保护规则转移到非个人数据领域的做法是否合理,这一点值得高度怀疑。
- 竞争:《数据法》将适用于现有和/或即将出台的竞争法(如《欧盟数字市场法》)规定的任何数据相关义务,该协议预计将于2022年生效,并将对提供核心平台服务(如社交网络、在线市场或搜索引擎)并被欧盟委员会指定为“守门人”的大型公司施加一定的数据访问和便携义务。对于《数据法案》,委员会建议,此类网关管理员永远不能是合格的数据接收者,因此不得接收根据《数据法》共享的任何数据。
数据访问和可移植性义务也可强加给被指定为“对跨市场竞争具有重要意义的企业”(UPSCAM)的公司,这些义务适用于主导公司或根据修订后的德国竞争法具有相对市场力量的公司。与这些特定于竞争的义务不同,无论数据持有人和接收方之间的竞争关系如何,《数据法》规定的义务都适用。
除此之外,拟议的《数据法》似乎并不干涉有关知识产权或商业机密范围内数据的其他法律立场。
5.后续步骤
委员会草案的许多方面仍然不清楚,例如其具体范围和有关实质性义务的细节。这些问题现在将在其他欧盟机构,即欧洲议会和欧盟理事会即将举行的立法讨论中讨论,讨论将于今天开始。预计这两个机构将在2022年底或2023年初提出对委员会草案的拟议修正案。然后,三个欧盟机构将进行“三部曲”讨论,以寻求政治妥协,并最终在23年年中通过《数据法案》。根据委员会目前建议的实施期,然后,它将在12个月内对所有范围内的公司具有约束力。
与此同时,委员会的草案可能会暂停成员国的国家“数据法案”倡议,或至少大幅限制其范围。例如,新的德国政府计划出台自己的法规,以加强参与数据生成的任何人对其数据的访问。这些计划将发生什么仍有待观察。
本文:https://cioctocdo.com/eu-data-act-stimulant-or-roadblock-data-economy
标签
- 登录 发表评论