立法背景
随着数字化浪潮席卷全球,数据已经成为信息时代的“货币”,深入人们生活的方方面面。数据驱动型技术对所有经济部门都产生了变革性影响,互联产品的激增引发了数据规模的增长和数据潜在价值的扩张。
然而,当前的数据共享市场仍存在很多阻碍,例如,数据持有者缺乏通过数据共享协议自愿进行数据共享的动力、数据相关的权利和义务尚不明确、元数据管理不善、存在妨碍数据访问的瓶颈等,这些问题的存在阻碍了数据的最佳分配和合理流动。即使当前数据规模已经呈指数级增长,大部分数据却都未得到有效利用,或者仅仅被少数大公司获取,难以发挥其经济价值和创新潜力。
2023 年 11 月 27 日,欧盟理事会正式通过《关于公平访问和使用数据的统一规则条例》(Regulation on Harmonised Rules on Fair Access to and Use of Data,即 Data Act,以下简称为《数据法案》),数据法案于 2024 年 1 月 11 日正式生效。作为欧盟数据战略的关键支柱,《数据法案》为欧盟推动数字化转型的目标做出了重大贡献,为数据的流动和使用提供了规范依据。
立法价值
《数据法案》是对 2023 年 9 月生效的《数据治理法案》(Data Governance Act)的补充,此前《数据治理法案》规定了促进资源数据共享的流程和体系,《数据法案》则进一步明确了何种主体可以在何种条件下获取数据创造价值。该法案明确了企业和个人访问、获取、共享数据的具体规则,为欧盟境内各方主体提供了公平访问和使用数据的统一方式。同时,《数据法案》还致力于使数据处理服务中的用户获得与服务提供者平等的地位。《数据法案》和《数据治理法案》将共同促进欧盟地区安全可靠的数据获取,促进数据在关键经济部门和公共利益领域的使用,使欧盟经济与社会从中受益。
值得注意的是,互联产品,尤其是物联网 (IoT) 生态系统中的互联产品是《数据法案》关注的重点。当我们购买传统产品时,我们会收到产品的所有组件和配件,然而,对于互联产品,尤其是物互联产品,产品的组成部分不止包括实体的组件配件,在产品使用过程中所产生的新的数据,同样会被用于该产品的运行,成为产品的重要组成部分之一。这是互联产品与传统产品的最大区别。互联产品已经成为人们日常生活中不可或缺的一部分,《数据法案》将触及整个互联产品生产链条上各种领域、各种规模的企业,包括智能消费设备、汽车、物联网工业机械、智能冰箱和其他家用电器的制造商,以及与互联产品交互的任何相关服务的制造商。
适用范围
适用主体
根据《数据法案》第 1 章第 3 条,本法案适用于以下主体:
1.在欧盟市场上销售产品的制造商和提供相关服务的供应商,以及使用这些产品或服务的用户;
2.向欧盟内的数据接收方提供数据的数据持有者;
3.位于欧盟的数据接收方;
4.在为公共利益执行任务需要获取数据时,请求数据持有者提供数据的公共部门机构和欧盟机构、机构或机构,以及响应该数据提供请求的数据持有人;
5.向欧盟客户提供数据处理服务的服务提供商。
从商业角度看来,《数据法案》中很多规定的适用主体为数据持有者。数据持有者是指有权利使用或有义务提供数据的自然人或法人。此处的数据包括根据合同约定在提供服务期间取得或生成的产品数据和相关服务数据,即数据持有者也包含数据处理服务的提供商。
适用客体
《数据法案》的适用客体与 GDPR 不同,GDPR 所保护的数据类型为个人数据,《数据法案》涵盖的数据范围既包括个人数据,也包括非个人数据。数据法案出台的目的并非是为用户个人数据提供保护,而是促进互联产品蓬勃发展背景下产品和相关服务数据的价值最大化。因此,《数据法案》对于数据的分类是从互联产品角度出发的,它区分了“产品数据”和“相关服务数据”。
《数据法案》中对互联产品的定义为:能够通过其组件或操作系统获取、生成或收集与其性能、使用或环境有关的数据,且能够进行数据通信的产品。互联产品在大数据时代的应用范围非常广泛,包括机动车、医疗设备、工业设备和智能包装等。“产品数据”是指在用户、数据持有者、第三方(如相关制造商)能够从产品中获取的数据,该数据是在互联产品使用过程中所产生的。而“相关服务数据”则是指供应商在提供相关服务期间生成的,与互联产品相关的用户操作或活动的数据。
适用地区
《数据法案》的适用范围根据数据主体的具体业务确定,不限于欧盟境内。即使企业设立在欧盟以外的地区,只要该企业属于欧盟市场上的互联产品制造商、相关服务提供商或向欧盟数据接收者提供数据的数据持有者,就应当遵守《数据法案》相关规定。次规定的例外是《数据法案》中关于数据共享的规定仅适用于位于欧盟的用户。
主要内容
通过消除数据访问障碍激活数据市场
《数据法案》颁布前,互联产品所产生的数据往往只有产品制造商能够获取,这是制造商所独有的竞争优势,也因此导致消费者在产品的售后服务方面几乎没有选择余地,只能选择掌握重要数据的产品制造商。《数据法案》规定企业有义务向消费者和第三方提供产品数据和相关服务数据,通过消除个人数据访问的障碍,保障各方平等获取和使用数据的权利,从而促进数据在产品制造商、用户、其他相关服务提供商之间流动,激励更多主体参与数据经济,激活数据市场的竞争活力。
首先,《数据法案》设定了具体措施来保障用户访问数据的权利。数据持有者应当保障用户访问其互联产品所生成数据、获取解释相关数据所需的元数据的权利。一方面,应当在产品设计制造时为用户提供默认访问渠道,使用户能够轻松安全地免费访问数据。另一方面,应当保障用户依申请访问数据的渠道,当用户不可直接访问相关数据时,可向数据持有者申请获取相关数据,数据持有者不得为用户设置任何权利行使障碍。
其次,《数据法案》规定数据持有者应基于用户请求将数据提供给第三方。用户可以自由地将数据用于任何合法目的,包括将数据共享给第三方以获取其他服务。当用户要求将互联产品及关联服务数据共享至第三方时,数据持有者应当在公平、合理及非歧视的条件下,向第三方提供指定范围内的数据。
最后,《数据法案》规定了数据持有者的透明度义务,即数据持有者应当以全面、结构化、通用和机器可读的格式提供数据,使用户及第三方能够免费、安全、轻松地访问数据。根据《数据法案》的要求,数据持有人应当以中立的态度向用户及第三方提供数据访问,不得通过用户界面的结构、设计、功能或操作方式来破坏或损害用户的自主权、决策权或选择权,不得给用户行使数据访问权利增加困难和障碍。
保护商业机密,防止非法数据传输
《数据法案》在聚焦数据共享效率的同时,同样关注商业机密和知识产权的保护,并设置了相关保障措施,防范数据持有者滥用数据共享的行为。《数据法案》指出,数据持有人向用户或第三方提供数据,应当符合欧盟相关法规中关于商业秘密保护的规定。
数据持有人在提供数据前,应当对涉及商业秘密的数据进行识别,并且与用户或用户指定的第三方就该数据的商业秘密保护必要措施达成一致,如指定保密协议、严格的访问协议、技术标准与行为守则等。如果未能就必要措施达成一致,或者出现用户及第三方未能遵守该必要措施要求的情形,数据持有者有权利拒绝或暂停共享涉及商业秘密的数据。此时,数据持有者应立即以书面形式通知用户或第三方相关情况。
但应注意,数据持有者用于保护商业秘密的必要措施,不得歧视数据接收者,也不得妨碍用户或第三方访问和使用相关数据。
关注中小企业对数据市场的参与
数据法案致力于解决数字经济中存在的不平等和不公平现象。在数据市场中,中小型企业及数字化能力较弱的传统行业企业在数据获取和使用方面存在诸多困难,因此,《数据法案》希望尽可能简化中小企业获取数据的途径,防范中小企业承担的数据共享义务过度扩张,减少中小企业获取数据的压力和阻碍。
根据《数据法案》第 8 条,数据持有者与数据接收方应当协商确定数据共享的具体安排,获取数据的条件应符合公平、合理和非歧视原则。《数字法案》通过制止不公平的合同条款,保障中小企业公平访问和获取数据。如果相关合同或条款的规定属于一方单方面强加给另一方的不公平合同条款,则将被视为无效,对另一方无约束力。
限制守门人从数据共享中获利
在当前的数据市场中,少数规模巨大的企业通过积累聚合大量数据和领先的技术基础,在数字经济中取得了显著的优势地位,成为整个数据行业中的核心平台服务提供商。他们控制整个数据共享生态,其他市场参与者甚至难以与其竞争。因此,欧盟的《数据市场法案》(Digital Markets Act,简称为“DMA”)*设定了“守门人”角色,将此类大型企业指定为“守门人”,限制其数据活动并为其施加多项义务,从而纠正数据市场竞争的不平衡。
《数据法案》沿袭了这一限制思路,被指定为“守门人”的核心平台服务提供企业,不得接收用户从其他数据持有者处请求获取的数据。同时,数据接收方(第三方)也不得将基于用户请求所取得的数据提供提供给“守门人”企业,例如数据接收方不得将相关服务转包给守门人从而使其取得数据。
总而言之,守门人将被禁止通过任何渠道获取根据《数据法案》共享的任何数据,不论该数据是通过用户直接获取还是通过数据接收方间接获取。
结语
在大数据时代,数据是一项能为持有者创造巨大经济价值和竞争优势的资源。欧盟《数据法案》构建了完善的数据共享体系与规则,明确了各方主体在数据共享中的权利与义务,促进数据在市场流动中释放价值。《数据法案》的发布与生效,为企业的数据治理提供了新的方向指引。企业在市场中既可能作为掌握大量数据资源的数据持有者,也可能作为需要从外部获取数据来提供产品和服务的数据接收者。企业在参与欧盟市场的数据共享时,应当遵守《数据法案》及《数据治理法案》等其他相关法规的要求,构建完备的数据共享合规框架。企业应针对产品特点和用户群体,合理设计产品的数据处理规则,完善向用户和第三方提供数据的路径和方式,确保数据主体可以依据《数据法案》和其他法规行使相关权利。
- 注:详情可参见我们往期内容:合规风向标:如何应对 Google 对广告主提出的 Consent Mode 适配要求?
Kaamel 隐私致力于为您提供最新的隐私保护信息和动态,我们将为您提供更多与隐私保护相关的信息,敬请期待!
