Data Act:欧盟数据访问和使用的新框架
2月23日,欧盟委员会公布了一份备受期待的关于公平访问和使用数据的统一规则的提案,即《数据法》(Data Act)。已公布的草案内容基本沿用了此前的版本,并证实了欧盟委员会推进欧洲数据战略的决心和愿景。数治君已于2月24日发布了该法草案的中译本,可点击(全文首发| 欧盟《数据法》草案中译本 )阅读。
本文编译自The Data Act: A Proposed New Framework For Data Access And Porting Within The EU,作者Clifford Chance。
1. 什么是《数据法》,它的目的是什么?
《数据法》旨在重新定义关于数据访问和使用的规则和实践,以促进数据的使用和再次使用。该法草案称,其目标是确保数据价值在活跃于数据价值链不同层面的行为者之间的公平分配,并最终在云计算和物联网(IoT)时代释放数据经济的潜力。《数据法》的主要目标是:
让物联网设备用户对其产生的数据及其使用拥有更多控制权;
使成员国和欧盟公共部门机构在有“特殊”数据需求的情况下能够使用私人持有的数据;
改善云和边缘服务之间的转换;
限制非欧盟/非欧洲经济区政府访问云和边缘服务提供者在欧盟持有的数据;以及
通过制定数据再利用的互操作标准消除数据共享障碍。
草案中规定的规则将作为最低标准直接适用于所有部门和整个欧盟,尽管未来对部门法规的修订(如卫生、能源、金融和汽车部门)可能超出这些规则。
2. 《数据法》适用于哪些公司、产品和服务?
《数据法》基本适用于物联网产业链中的所有参与者,特别是物联网产品制造商和相关服务的供应商、数据持有者(如果与制造商/供应商不同)以及消费者或商业用户(拥有、租用或租赁产品或接受服务者)。拟议的《数据法》还包含适用于某些数字数据处理服务提供者的条款,以及在与公共机构共享数据方面,更广泛地适用于“数据持有者”的条款。
具体而言,《数据法》适用于以下产品和服务:
物联网产品(在提案中称为“产品”):产生或收集有关其使用或环境的数据,并能通过公共网络传输此等数据的设备。此类产品可能包括车辆、家用设备、消费品、医疗和保健设备以及农业或工业机械。主要功能是存储或处理数据的设备不属于《数据法案》适用的产品范围,这可能导致计算机和智能手机等产品超出适用范围。
相关服务:物联网产品执行其某项功能所必需的、嵌入物联网产品或与之相连的数字服务。
数据处理服务(如云和边缘服务):向消费者提供的、“允许按需管理和广泛远程访问集中式、分布式或高度分布式的可扩展和弹性的共享计算资源库”的数字服务,旨在使用户更容易地服务之间切换。这一广泛的定义包括一个广泛的云和边缘服务。
数据持有者:该建议还包括“数据持有者”在某些情况下与公共部门机构和欧盟机构分享数据的义务,根据目前的草案,这些义务不限于提供上述产品和服务的人(更多信息见下文“企业对政府的数据共享义务”)。
《数据法》将适用于哪些产品?
在智能家居环境中充当单一的网关的虚拟助理?适用。虚拟助理可能会记录大量关于用户如何与连接的家用电器互动的数据。
部署机器学习软件的自动机器人?不适用。拟议的《数据法》表明,它将不适用于软件处理(如机器学习)所产生的数据和该软件计算衍生数据。
预装了语音指令的智能电视?适用。语音命令在公共网络上运行,并处理关于用户的数据(例如,语音、所选服务等)。
对于物联网制造商而言,《数据法》出台后,他们应当重新审视在产品开发、用户合同和数据共享方面的现有做法。在产品开发方面,《数据法》要求制造商在默认情况下将其物联网产品所收集的或使用时产生的数据以易读和可下载的格式提供给用户。在用户合同方面,《数据法》要求物联网制造商和数据持有者在用户可以访问哪些数据以及如何访问数据方面保持透明。《数据法》要求数据资产化合同(包括数据许可和数据共享/转让协议)的透明度,详细说明了数据在整个“数据链”(从用户到数据接收者)中的使用方式。在数据共享方面,《数据法》规定,如果制造商存储物联网产品收集或产生的数据,它必须在用户要求下向第三方提供存储的数据。数据持有者必须适用公平和非歧视性的准入条件,并且对数据的要求赔偿必须是合理的。
3. 企业对消费者(B2C)和企业对企业(B2B)的数据共享义务
《数据法》草案拟规定广泛的的数据共享义务。
就B2C数据共享而言,物联网产品和相关服务(包括语音助手)的制造商将需要通过设计确保数据访问:在默认情况下,使用范围内产品和相关服务产生的个人和非个人数据必须易于被用户访问,包括设备处于待机模式或关闭状态时产生的数据。根据该法草案,从物联网产品收集或产生的数据分析中推断或得出的输出数据(例如,机器学习软件产生的数据)不包括在内。数据持有者应要求向用户提供数据访问的义务范围也较为广泛:当用户要求访问他们的数据时,数据持有者有义务向用户免费提供他们使用相关产品或服务所产生的数据,不得无故拖延,并在适用情况下持续和实时地提供此等数据。《数据法》草案并未规定需要持续和实时提供数据的情况。考虑到潜在的影响,数据持有者已开始考虑根据这一义务提供数据访问的实际问题。
就B2B数据共享而言,《数据法》草案还对数据持有者使用由产品或相关产品产生的非个人数据提出了限制:只有在与客户签订合同的基础上才能可以提供服务和使用这些非个人数据。例如,只有在与客户签订合同协议的基础上,才允许联网农业设备的供应商使用有关农业机械性能的信息。这一规则可能会极大地阻碍数据持有者利用数据的能力,且可能需要进行重要调整,以便在使用数据之前获得用户的同意。《数据法》草案规定,用户也可以要求将其使用产品或相关服务产生的数据提供给第三方。这些第三方只能按照与用户商定的目的和条件处理这些数据,并且必须在不再需要用于商定的目的时删除这些数据。《数据法》对此类数据的使用规定了限制,包括尊重商业秘密和不通过胁迫或滥用手段获取数据的义务。此外,第三方不得使用此类数据来开发与数据来源的产品或服务相竞争的产品或服务。该提案禁止数据持有者使用产品使用过程中产生的数据来了解用户或授权第三方的经济状况,或其他可能损害其商业地位的类似商业敏感信息。虽然提案未详细说明这些信息的具体内容,但数据持有者可能需要建立数据仓和/或引入严格的内部数据访问政策,以遵守这项义务。此外,《数据法》对根据该法可以接收数据的第三方进行区分,禁止将这些数据转移至根据拟议的《数字市场法》(“DMA”)指定为“守门人”的任何企业。如果一个企业被指定为DMA下的守门人,《数据法》下的数据共享禁令适用于该企业的所有集团公司。守门人及其集团公司必须确保他们不会根据《数据法》要求(或接受)任何第三方数据持有者对使用产品或相关服务或虚拟助理产生的任何用户数据的访问。禁止守门人激励或招揽用户与他们分享数据,甚至禁止接受用户通过行使上述数据访问权获得的数据。
《数据法》草案还旨在为数据访问和使用的条件制定监管标准。与其将数据视为非竞争性商品的做法相一致,该提案禁止以排他性的方式获取数据,除非用户直接要求。此外,数据持有者必须以公平、合理和非歧视性的(“FRAND”)条款提供访问。值得注意的是,草案规定,任何与数据相关的补偿必须是合理的,并且不得在可比的数据接收者类别之间进行歧视。也禁止利用数据给数据持有者的合作伙伴或关联企业带来的优势。关于什么是FRAND条款的问题很复杂,并在标准必要专利等领域发生了大量诉讼。《数据法》草案设置了专门的国家争端解决机构,以裁定数据持有者和数据接受者之间的争端。欧盟委员会将进一步制定类似于GDPR下的标准合同条款(SCCs)的示范条款,以协助各方遵守《数据法》的规定。尽管的《数据法》草案规定相关各方应就访问数据的条款达成一致意见,但草案文本中的一些条款尝试保护微型、小型或中型企业免受不公平合同条款的影响。《数据法》草案对不公平合同条款进行了总体定义,即“严重偏离数据访问和使用方面的良好商业惯例,违背诚信和公平交易的条款。”《数据法》草案文本中还包含“不公平条款的清单”(例如,单方面排除责任,单方面排除法律补救措施,或与数据有关的合同条款的单方面解释权)和一份“推定为不公平的合同条款清单”(例如,在违反合同的情况下限制法律补救措施,不适当地限制数据的使用,单方面终止合同等。)。
4. 企业对政府(B2G)的数据共享义务
根据《数据法》草案,在有特殊需要的情况下,企业与政府间的数据共享是强制性的。《数据法》草案的一些条款为公共部门机构(包括成员国的国家、地区或地方当局以及欧盟机构和机关,合称“公共机构”)访问私人数据持有者,如公司(不包括小型和微型企业)持有的数据建立了一个框架。
根据目前草案文本,企业对政府的数据共享要求适用于比企业对企业的数据共享义务更广泛的数据:可能收到公共机构的数据请求的“数据持有者”包括根据欧盟法律(和实施成员国法律)有权利或义务提供某些数据的任何法人或自然人,还有通过控制物联网产品和相关服务的设计有能力提供数据的人。在这一框架下,公共机构将能够在有特殊需要的情况下要求访问这些数据。在欧盟委员会公布的建议中,“特殊需要”的清单比《数据法》草案中规定的更长。目前的建议中,应对、预防或协助恢复公共紧急情况(如自然灾害、大流行病、恐怖主义或网络攻击)的需要符合特殊需要。另一特殊需要是指公共机构不可能完成一项符合公共利益的具体任务。随着提案进入立法程序,关注“特殊需要”的概念如何发展很有意义。《数据法》草案文本已经指出,公共紧急情况的存在将根据成员国各自的程序来确定,并暗示“特殊需要”的概念可能涵盖其他情况,如在特定条件下需要及时编制官方统计数据。
除了要求公共机构证明根据这些规定提出的请求合理外,这种请求必须在其范围和粒度方面是相称的,必须对揭示商业秘密的数据进行保密,而且公共机构必须只将获得的数据用于规定的目的,一旦不再需要就立即删除(除非与数据持有者另有约定)。尽管有这些程序上的限制,公共机构可以在某些条件下与其他实体(包括国家统计局和欧盟统计局)分享所获得的数据,包括在必要时进行与数据访问请求的目的相符的科学研究或分析活动,而公共机构本身不能执行这些活动。公共机构还可以与其他公共机构交换所获得的数据,以满足请求数据的特殊需求。
对于公共机构请求访问的数据为混合数据集的情形(即包含个人和非个人数据),《数据法》草案也进行了具体规定。如果可能的话,相关数据持有者必须优先分享匿名数据。如果没有,则数据持有者在提供数据之前必须对数据进行假名化或汇总,以满足假名化/汇总数据的请求。因此,除非数据是完全匿名的,否则GDPR规则也可能适用于提供数据的过程,包括要求具备处理数据的有效法律依据。
《数据法》草案还列出了数据持有者可以拒绝公共机构的数据访问请求的理由,即要求修改或取消查阅请求的可能依据。主要包括所请求的数据不可用或请求不符合基于特殊需要请求查阅数据所规定的条件。如果数据持有者能够证明在公共紧急情况下的数据访问请求与另一个公共机构之前为同一目的提交的请求相似或相同,数据持有者有可能拒绝提供数据访问。此外,根据草案文本除了在公共紧急情况下基于特殊需要的数据访问请求(包括为了预防公共紧急情况或从公共紧急情况中恢复),数据持有者有权从授予数据访问权的相关公共机构获得(有限的)补偿。
《数据法》草案规定,其所规定的新的企业对政府的数据共享规则不影响自愿的公共-私营部门数据共享安排、规定私人实体和公共机构之间强制性数据共享的其他法律框架(例如,根据报告和单一市场义务)、公共机构为合规核查目的而进行的数据访问。
5. 针对数据处理服务的额外要求
《数据法》草案提出,数据处理服务提供商(如云和边缘服务提供商)有义务便利用户在数据处理服务之间的转换。该法草案旨在消除数据处理服务转换的合同、经济和技术障碍,特别是为合同终止提供便利,使用户更容易与新的服务提供商签订合同,并移植客户使用服务所产生的数据(包括元数据)。草案要求数据处理服务提供商向客户提供帮助,使他们在转换到新的信息技术环境时能够实现功能等同,并在《数据法》生效三年后完全取消与数据处理服务提供商之间转换有关的费用(在此之前逐步减少)。
数据处理服务提供商还将负有促进互操作性的义务。《数据法》草案要求遵守现有的开放标准和接口,并包含一些条款,并授权委员会委员会在其认为现有的协调标准不足以满足某些互操作性要求时采用共同的标准。
《数据法》草案还希望可以限制非欧盟/欧洲经济区政府对欧洲非个人数据的访问。该法草案要求数据处理服务提供商在国际转移或政府访问转移或政府访问会与欧盟法律产生冲突的情况下负有防止对方访问的义务。
6. 《数据法》将如何实施?
《数据法》草案文本中设置了国家主管机构,规定每个成员国必须指定至少一个主管机构负责适用和执行《数据法》,该机构可以是现有的,也可以是为了执行该法而特别设立的。草案考虑到该法与个人数据保护的法律的重叠问题,以及出现具体的部门数据交换问题,提出必须尊重相关的数据保护或部门当局(分别)的权限。
就处罚措施而言,每个成员国必须为违反《数据法》的行为制定“有效、相称和劝阻性”的处罚规则。《数据法》草案表明,这些处罚主要以行政罚款的形式进行。由于这是成员国而非欧盟范围内的处罚制度,对于同样的违法行为,各国的罚款可能不同。对于涉及与现有数据保护法重叠的违法行为,相应的监督机构可以根据现有数据保护法法律进行处罚。
7. 《数据法》与其他法律的关系
与数据保护法律:《数据法》将补充GDPR等数据保护法律下的现有权利和义务,并应与这些法律平行适用。该法的提案陈述明确指出,《数据法》的适用和解释不应削弱GDPR规定的数据保护。《数据法》旨在促进某些在实践中被证明难以行使的权利的行使,如GDPR第20条规定的数据可携带权(数据主体有权以结构化的、常用的和机器可读的格式接收有关他们的个人数据,并将该数据移植给其他控制者)。根据《数据法》,数据可携带权的范围扩大至包括使用产品或相关服务所产生的任何数据,而不论数据的性质或来源(无论是个人和非个人的,被动或主动提供的),或者就个人数据而言,根据GDPR获取数据的法律依据。促进数据处理服务之间的可转换性的规定似乎也或多或少受到GDPR的可携带权的启发。该法草案对数据处理服务提供商在国际上转移非个人数据的限制在一定程度上呼应了GDPR下的数据国际传输限制,但并不包括GDPR下限制的例外情形。
与知识产权保护法律:《数据法》与知识产权和商业秘密法律保护领域的现有规则有交叉。根据《数据法》,用户可以要求获取属于(欧盟)2016/943号指令(《商业秘密指令》)范围的信息,从而涵盖被视为商业秘密的数据信息。《数据法》草案规定,只有在采取了所有具体的必要措施来维护商业秘密的机密性的情况下,才能披露商业秘密。尽管该提案指出,数据持有者和用户可以就维护共享数据的机密性的措施达成一致,特别是与第三方有关的措施,并且商业秘密只能在为实现用户和第三方之间商定的目的所严格需要的范围内向第三方披露,但目前尚不清楚任何商业秘密在实践中会得到怎样的有效保护。1996年出台的《数据库指令》为数据库建立了特殊的知识产权保护。《数据法》草案则规定,《数据库指令》中确立的特殊权利不适用于包含来自物联网产品或相关服务的数据或由其产生的数据的数据库。
8. 《数据法》的下一步进展
《数据法》草案现已按照普通立法程序提交给欧洲议会和理事会,以等待通过。虽然很难预测议会和理事会达成共识所需的时间,但这可能需要一年多到两到三年的时间。估计《数据法》可能在2023年底至2024年初的某个时候正式通过。鉴于欧盟委员会已提出《数据法》属于一项欧盟条例(而非指令),故《数据法》一旦通过将直接适用,无需依赖个别成员国颁布国家条款。因此,对于受影响的数据持有者来说,关键是提前做好准备,遵守《数据法》最终版本中规定的数据访问和数据共享义务。
往期文章:
1. 欧盟数据治理模式
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文欧盟的公共数据治理方案(下)欧盟的公共数据治理方案(上)
欧盟的人工智能数据治理方案
Gaia-X:下一代数据治理基础设施
2. 数据权属与数据治理之争
应该在欧盟引入数据生产者权利吗?(上)应该在欧盟引入数据生产者权利吗?(下)3. 全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
4. 数据跨境流动治理