2022年4月6日,欧洲议会就欧盟《数据治理法案》(Data Governance Act;简称“DGA”)进行最终投票表决。最终,《数据治理法案》 以501票赞成、12票反对、40票弃权,获得议会批准。
立法背景
增加公民对数据共享的信任,推动重用公共部门的数据,并为战略部门的数据创建欧洲空间。信任问题是整个数据治理法案的核心,因为在欧洲数据空间中,有必要确保将数据用于基本任务,例如科学研究、医疗保健、应对气候变化。该法规旨在进一步发展无国界数字内部市场,从而创建一个“以人类为中心、可靠和安全”的数据社会和经济。
欧盟与数据治理相关的最重要立法为《一般数据保护条例》(GDPR),针对个人数据保护设立了严格的标准,而此次《数据法案》则专门针对非个人数据,从而与GDPR共同构成欧盟数据治理的两大支柱,支撑起既强化数据保护,又推动数据流通释放价值的数据治理新格局。然而,《数据法案》所蕴含的内外有别、一体双标的立法思路又与以严格著称的GDPR迥然不同。
欧盟数据法案的主要目标是
促进消费者和企业访问和使用数据,同时激励数据价值的产生;
规定公共部门机构和工会机构、机构或团体(公共机构)在有特殊数据需求的情况下使用私营部门持有的数据;
促进云和边缘服务之间的切换;
防止未经云服务提供商通知的非法数据传输;
为数据重用提供互操作性标准的开发。
受影响的人
为实现这些目标,《欧盟数据法》赋予数据生态系统内各方权利和义务,特别是:
针对投放到欧盟市场的组织,比如制造商和相关服务的供应商进行关联的产品和服务,这些产品和服务分别被描述为有形的可移动物品,获取、生成和收集与其相关的数据可以通过公共电子通信服务进行通信的使用环境,以及与产品结合或互连并为产品执行所需的数字服务;
这些关联产品和相关服务的企业和个人用户;
有权利或义务(根据拟议的欧盟数据法案或其他欧盟法律)或有能力(通过控制连接产品或相关服务的技术设计)向欧盟的数据接收者提供某些数据的数据持有者;
欧盟的数据接收者,数据可供其使用;
欧盟公共机构要求数据持有者在有某些特殊需求时提供数据;
向欧盟客户提供“数据处理服务”的提供商,定义为包括云服务提供商等。
然而,欧盟数据法旨在区分实体类型,限制中小企业的义务并为中小企业提供保护,同时将大型“看门人”实体(根据《数字市场法》指定)从立法中的其他权利中剔除。
地域范围
制造商、数据持有者或数据处理服务提供商的领域不相关。例如,欧盟关系源于数据接收者或云服务接收者的领域——在欧盟,或者源于消费者或企业使用的连接产品和相关服务已投放欧盟市场,或在欧盟持有的非个人数据的领域,因此,在欧盟以外设立的实体也应适当关注该立法的发展。
权利和义务
当涉及到义务本身时,诸如透明度、默认纳入要求、访问权、示范条款、技术、法律和组织措施的应用等概念被许多人引用和熟悉。更具体地说,欧盟数据法案的关键方面包括,在高层次上:
数据访问和共享
数据的定义非常广泛,包括通过使用连接的产品或服务生成的行为、事实或信息(代码等),且是可访问的。制造商/服务提供商不应是从此类数据中受益的唯一一方,因此必须确保其连接的产品和服务的设计能够访问默认解决的数据。
相关的透明度和信息义务,除其他外,数据的性质和数量、制造商/服务提供商对数据的使用、数据持有者的身份以及用户对该数据的访问也适用。
值得注意的是,第 2 章中关于企业对企业和企业对消费者访问和共享的规定不适用于使用中小企业制造或提供的产品/服务产生的数据。
给用户的数据
数据持有者必须根据要求向用户提供生成的数据,不得无故延迟或收费(可能是连续和实时),但须遵守有关披露商业秘密和个人数据的某些限制,并禁止使用这些数据来创建竞争产品。例如,企业想要监控自己机器的效率,或者消费者想要跨不同设备分析智能家居数据。
数据持有者使用数据本身的权利必须通过与用户的合同确定,但数据持有者不得以某些方式使用数据,以免损害用户在用户活跃市场中的商业地位. 当然,GDPR 继续适用于个人数据的使用。
向第三方提供数据
同样,数据持有者还必须根据用户的要求将数据提供给第三方,例如,使用户能够寻求第三方来维修连接的产品,从而为售后市场提供支持。接收第三方受到各种限制,例如目的限制、转发共享限制、数据删除、非竞争/排他性要求和数据保护合规性。
考虑到最近欧盟其他主要立法发展的目标,如果第三方或其集团成员构成《数字市场法》下的数据保护方(以及相关的禁止激励用户的活动),则第三方将没有资格接收此类信息)。
尽管有合同保护和监管限制,一些数据主体可能会担心这种方法被滥用的可能性,尤其是在商业秘密和机密信息等信息被披露时。在实践中,此类数据的失控或商业秘密的泄露并不总是通过合同损害赔偿索赔来补救。
合同条款
更一般地说,数据持有者必须确保当有义务向数据接收者提供数据时,它必须以公平、合理和非歧视性的条款并以透明的方式这样做,考虑不公平的合同期限限制并基于合理的补偿(对于中小企业接受者,受成本上限的限制)。
欧盟数据法旨在通过限制使用不公平的合同条款来进一步保护中小企业,此类条款是由交易对手单方面施加的,并且涉及数据的访问和使用或责任以及违反或终止数据相关义务的补救措施。被认为不公平的条款(在欧盟数据法案中指定为黑名单或灰名单,包括例如,免除对施加条款的一方的重大过失承担责任,或给予该方单方面解释合同的权利,或在不合理的短时间内终止合同)将不具有约束力。
欧盟委员会承诺制定关于数据访问和使用的不具约束力的示范合同条款,以支持这种方法。
与公共机构共享数据
数据持有者(中小企业除外)在受限于有限的质疑权的情况下,必须在有特殊需要使用所请求数据的情况下,毫不拖延地向欧盟公共机构提供数据。例如,响应、预防或从公共紧急情况(如健康紧急情况或自然灾害)中恢复或公共机构无法及时获取(并且无法立法提供)数据为公共利益的特定任务所必需的。
这些条款规定了公共机构应提供的信息的性质,以证明特殊需要。尊重数据持有人的合法目的,考虑到商业秘密保护并尽可能避免使用个人数据(数据持有人需要尽合理努力在可能的情况下对个人数据进行假名)。数据使用目的、公共机构继续共享数据(允许与某些科学研究和分析组织共享)、个人数据处理和商业秘密披露也施加了限制,支付(成本加合理保证金)是由于在公共紧急情况以外的情况下提供数据的数据持有者。
公共机构将如何行使这些权利,如何明确定义请求的情况以及数据持有者是否继续表达对强制性数据共享以及与自己客户数据的交互或相互冲突的法律义务的担忧还有待观察。
云转换和互操作性
包括云服务提供商在内的数据处理服务提供商势必使客户能够更轻松地切换到另一家服务提供商,从而解决据称 SWIPO行为准则等方面的不足之处。必须消除商业、技术、合同和组织障碍,以允许30天的终止、新供应商的参与、数据、应用程序和其他资产的移植以及功能的维护。
合同还必须解决某些条款以支持相同的内容,包括关于过渡期,过渡期上限为30天,除非技术上不可行(当指定了最长6个月的过渡期时)。因此,可能需要更改操作和流程,以确保能够满足监管和相关的合同义务。
尽管可能需要增加对转换安排的投资,但至少在最初,在3年的时间里,转换过程的收费权将被逐步取消,从按成本收费变为免费。
国际访问和转移
数据处理服务提供商还有义务保护在欧盟持有的非个人数据,并防止国际转移或非欧盟政府访问该非个人数据。必须采取所有合理的技术、法律和组织措施,以防止此类转移或访问与欧盟法律或相关成员国的法律发生冲突(例如,关于安全和有效补救的权利,或国家/地区的权利)商业敏感数据的安全或保护)。
如果第三国法院或法庭的裁决或判决需要此类数据,则必须仅根据国际协议或满足某些条件(包括第三国系统要求裁决的理由和相称性,并且收件人的合理反对应经过司法审查,考虑到数据提供者的合法利益)。无论如何,数据最小化和透明度要求都适用。
对于数据处理服务提供商而言,这是一个潜在的复杂领域,尤其是在考虑与GDPR国际传输限制的交互时。欧洲数据创新委员会(将根据《数据治理法》建立)对指导方针的承诺似乎至关重要。
智能合约
为了进一步支持有效的数据共享,拟议的欧盟数据法案着眼于智能合约的标准化。条款解决了在数据共享背景下使用的智能合约的特定基本要求,并有可能制定一套已发布的标准。
争议与执法
撇开遵守新义务的潜在重大实际和商业影响不谈,那些未能满足要求的人将面临监管执法风险。成员国将确定主管当局,除其他外,处理投诉并承担执法行动的责任。由于处罚是由每个成员国设定的,只要它们是有效的、相称的和具有劝阻性的,整个欧盟的执法风险存在明显的变化和不确定性。鉴于涉及个人数据的程度增加了复杂性,数据保护机构能够监控对《欧盟数据法》的遵守情况,并根据 GDPR要求处以罚款。
欧盟数据法案还考虑到数据持有者和数据接收者之间的争议可以通过经过认证的争议解决机构系统来解决。
与其他立法的相互作用
欧盟数据法案是一项横向、部门中立的法规,避免妨碍特定部门立法的实施。例如,欧盟委员会已宣布计划就一项法规进行公众咨询,该法规将为“访问和使用”车辆生成的数据设定条件,例如交通和道路状况、发动机性能、驾驶员行为和速度。和车辆的位置。欧盟委员会表示,它正在制定规则,以“为基于汽车数据访问的服务制定明确且有利于竞争的欧盟规则”。这些服务包括“维修和保养、汽车共享、移动即服务和保险”。
欧盟数据法案的解释性说明阐明,无意跨越现有的行业相关数据共享要求。
其他与数据相关的立法
解释性说明还涉及GDPR和其他相关立法的应用(例如关于非个人数据自由流动的法规、数据治理法、数字市场法)。
特别是,欧盟数据法的陈述表明它与GDPR一致并补充了 GDPR,并且在任何情况下都应继续根据数据保护义务处理个人数据。然而,特别是由于混合的个人和非个人数据集在实践中将不可避免地成为主题的一部分,组织可能会担心随着这两种制度的应用,要求的复杂性和重叠程度会增加。例如,在解决GDPR第20条规定的数据可移植性和拟议的欧盟数据法案规定的连接产品数据共享义务时。可能会引起担忧,尤其是在涉及国际数据传输和实施必要的保护时——从个人数据的角度来看,这个领域已经充满了挑战。
《欧盟数据法》还与即将出台的《欧盟数字市场法》并列,该法预计将于今年生效,并对所谓的“看门人”公司施加类似的数据访问和可移植性义务。