近日,欧盟委员会在其官方网站发布了《数据法》(The Data Act)指南,该指南进一步明确了《数据法》实施过程中的各种细节。
在第一章开篇规定了法规的范围并定义了关键术语之后,指南可以分为八个主要章节:
一、B to B和B to C的数据共享
指南涉及了物联网背景下企业对企业(B to B)和企业对消费者(B to C)的数据共享:物联网对象的用户可以访问、使用和移植他们通过使用联网产品共同生成的数据。《数据法》使互联产品(如互联汽车、医疗和健身设备、工业或农业机械)和相关服务(如调节灯光亮度或调节冰箱温度的应用程序)的用户能够访问他们通过使用互联产品或相关服务共同创造的数据。这些数据的可用性将对经济产生重大影响。例如,互联产品和相关服务产生的数据可用于促进售后市场和辅助服务,以及创造全新的服务,使企业和消费者都能从中受益。
《数据法》鼓励开发基于新数据流的互联产品和服务,这对小公司尤其有价值。微型和小型公司作为制造商或相关服务的提供者,并不承担与大型公司相同的义务。为了保护商业秘密,同时又不损害《数据法》提供更多数据的目标,数据持有者和用户或第三方可以商定某些措施来保护商业秘密的机密性。
二、企业间数据共享
指南明确了企业依《数据法》有义务与其他企业共享数据的情况下的数据共享条件。《数据法》针对企业(“数据持有者”)根据欧盟或国内法律有法律义务向另一家企业(“数据接收者”)提供数据的情况引入了相关规则,包括物联网数据。作为数据共享的激励措施,有义务共享数据的数据持有者可要求数据接收者提供 “合理补偿”,这可能包括提供数据的成本以及与传播和存储有关的技术成本。不过,对微型公司、中小型企业和非营利性研究组织的收费不能超过提供数据所产生的成本。
三、不公平合同条款
合同自由是企业间关系的核心。然而,《数据法》旨在保护所有寻求获取数据的欧洲企业;尤其是中小企业,使其免受不公平合同条款的影响。例如,其中一家企业处于更有利的谈判地位(如由于其市场规模),并向另一家企业强加与数据访问和使用相关的不可谈判条款(“要么接受,要么放弃”),那么这种条款就会被认为是“不公平条款”。
四、企业对政府的数据共享
在某些特殊需要的情况下,公共部门机构将能够通过获取私营部门持有的某些数据的措施,做出更多基于证据的决策。《数据法》允许公共部门机构在有特殊需要的情况下,根据某些条款和条件获取此类数据。特殊需要的情况包括公共紧急事件(如重大自然或人为灾害、流行病和网络安全事件)和非紧急事件(如来自司机 GPS 系统的汇总和匿名数据可用于帮助优化交通流量)。数据法将确保公共机构能够及时、可靠地获取此类数据,同时不会给企业带来不必要的行政负担。
所有数据都在适用范围内,但重点是非个人数据。《数据法》关于企业与政府共享数据区分了两种情况:应对公共紧急事件的情况下,公共部门机构应要求提供非个人数据。但是,如果非个人数据不足以应对紧急情况,则可要求提供个人数据。在可能的情况下,数据持有者应将这些数据匿名化。在非紧急情况下,公共部门机构只能索取非个人数据。
五、数据处理服务之间的切换
云计算和边缘计算服务提供商必须满足最低要求,以促进互操作性并实现切换。为了确保欧盟市场的竞争性,数据处理服务(包括云服务和边缘服务)的客户应该能够从一个提供商无缝切换到另一个提供商。然而,客户目前在这方面面临许多障碍,包括与数据出口等相关的高昂费用、冗长的程序以及供应商之间缺乏互操作性(可能导致数据和应用程序丢失)。《数据法》将使数据处理服务的转换变得自由、快捷和流畅。这对客户和提供商都有利,客户可以自由选择最符合其需求的服务,而提供商则可以从更多的客户中获益。
六、关于第三国政府非法访问数据
有时,欧盟以外的国家发布的决定或判决试图允许政府访问和传输在欧盟内处理和存储的非个人数据。然而,在某些情况下,允许访问或传输此类数据实际上可能是非法的,特别是当该请求与欧盟关于保护个人基本权利、国家安全利益或商业敏感数据的法律和保障相冲突时。
《数据法》沿用了《数据管理法》(Data Governance Act)中旨在防止第三国政府非法访问和转移欧盟持有的非个人数据的规定。这些规定对正常的企业间数据共享没有影响。它们提高了非欧盟政府机构访问或向非欧盟政府机构传输非个人数据的过程和条件的透明度和法律确定性。
《数据法》规定了外国公共部门机构对欧盟持有的非个人数据提出访问请求的规则和保障措施。与执法有关的合法国际合作不受这些规定的影响。但没有国际协议规范第三国政府对欧盟境内非个人数据的访问,只能在特定条件下传输或访问这些数据。
七、关于可互操作性
数据空间的参与者必须满足允许数据在数据空间内部和之间流动的标准。标准和互操作性是确保不同来源的数据可在欧洲共同数据空间内部和之间使用,以促进研究和开发新产品或服务的关键。为此,《数据法》规定了数据空间参与者必须遵守的一些基本要求,欧盟委员会可通过授权法案对这些要求做出进一步规定。
八、关于《数据法》的执行
欧盟成员国将指定一个或多个(新的或现有的)主管高效执行《数据法》。在有多个主管机构的情况下,会员国必须指定其中一个作为 “数据协调员”。数据协调员将作为“一站式服务机构”,负责处理与在国家层面实施《数据法》有关的所有问题,为企业和公共机构应用《数据法》提供便利。