2023年11月27日,欧盟理事会正式通过了《关于公平访问和使用数据的统一规则的条例》(以下简称《数据法案》),该法案已于2024年1月11日正式生效。该法案无论是对数据要素市场法治建设研究,还是对数据市场主体的合规准备都具有重要意义。
立法目的
在全球数字经济加速发展、大国数字博弈不断的背景下,欧盟旨在通过《数据法案》实现数字发展的“弯道超车”。
早在2020年2月19日,欧盟委员会便通过了欧盟数据战略,强调数据是创新和经济增长的重要资源。欧盟数据战略旨在建立一个可以自由流动的欧洲单一数据市场,增强欧洲的数据主权和数据竞争力,确保欧洲能够获得更多的数据,使欧洲成为数字经济的全球领导者。《数据法案》既是欧盟数据战略的一个关键支柱,也是欧盟数据战略中继《数据治理法案》后宣布的第二项重大举措。
《数据法案》的主要目的是为了促进生成数据的重复利用,提高欧盟行业通过联网产品和关联服务产生的数据的价值,为数据驱动的创新提供更加开放、竞争的市场环境。通过让数据持有人在事实上或法律上有效控制联网产品和关联服务产生的数据,防止供应商锁定数据致使用户只能从供应商处购买特定产品或服务,并赋予公共机构在特定紧急情形下访问由企业控制或产生的数据的权利,从而创造共同的欧洲数据空间,使欧洲的云服务市场在全球获得更高的竞争地位。
主要内容
《数据法案》明确了数据访问、共享和使用的规则,规定了获取数据的主体和条件,在《通用数据保护条例》的基础上,提供了适用于所有数据的更广泛的规则。
数据定义。《数据法案》第2条将数据定义为“对行为、事实或者信息的数字表现形式以及对此类行为、事实或者信息的任何汇编,包括以声音、视觉或音像记录的形式”。相比较欧盟数字领域的其他法规,《数据法案》更侧重于非个人数据或不包含任何可识别个人身份信息的数据。但《数据法案》并不减损《通用数据保护条例》等有关保护个人数据的法律的效力,如果联网产品或关联服务生成个人数据,必须同时满足《数据法案》和《通用数据保护条例》等规定。
数据访问。在数据持有者向用户提供数据方面,《数据法案》设计了默认提供和基于申请提供两种向用户提供数据的互补路径,并对数据持有者如何向用户提供联网产品及关联服务数据提出了较为具体的要求。
基于默认提供数据时,联网产品的设计和制造,以及关联服务的设计和提供,在技术可行的情况下,应确保用户能够基于默认,方便、安全、免费地直接访问产品数据和关联服务数据,包括解释和使用数据所需的相关元数据。
基于用户申请提供数据时,数据持有者应当在没有不当延迟的情况下,免费向用户提供任何现成可用的数据,以及解释和使用该数据所需的相关元数据。为防止用户申请提供数据权利行使受阻和权利滥用,《数据法案》还设置了相应的数据流通保障机制。
数据共享。《数据法案》允许使用联网产品及关联服务的用户向第三方共享数据。当用户或其代理人要求将联网产品及关联服务数据共享至第三方时,数据持有者应当在没有不当延迟的情况下,按照与数据持有者获取该数据的同等质量,免费向该第三方提供任何现成可用的数据,以及解释和使用该数据所需的相关元数据。在技术可行的情况下,此类数据应当连续实时地提供。
针对企业与企业之间的数据共享,为防止企业利用该规则不当获取或使用其他企业的数据,维护数据持有者的合法权益,《数据法案》对该场景下的数据共享在适用范围、数据获取手段、商业秘密、再提供、数据使用、数据分析、产品安全等方面作出了限制。
公共机构访问。公共机构(包括欧盟委员会和欧洲中央银行)在应对恐怖袭击、公共卫生、自然灾害等紧急情况或履行法律义务时,有权访问和使用数据持有企业(小微企业除外)所持有的相关必要数据。应公共机构的要求,数据持有者应及时、免费提供相关必要数据(个人数据需进行匿名化处理),但也可以以无数据或不符合情况拒绝;而针对其他非紧急情况,数据持有者则可以要求与实际费用相等的补偿。此外,公共机构不得重复使用获得的数据,但可以用于科学研究。
云切换与互操作性。《数据法案》强调用户的服务切换自由和数据处理服务的互操作性,用户能够有效地在不同的云数据处理服务提供商之间切换,实现数据自主转移。一方面,数据处理服务提供商应当消除用户在不同服务间切换的商业、技术、合同或组织障碍,并逐步取消切换费用;另一方面,云服务提供商及数据处理服务提供商应满足互操作性要求。特别是对于云服务提供商而言,其不仅需要建立便于用户在不同云服务提供商之间切换的技术框架,还负有较为严格的信息披露义务。此外,欧盟还将制定云服务互操作性技术标准和数据处理的开放式互操作性规范和统一标准,确保数据的可携带性和数据处理服务之间的互操作性。
预期影响
《数据法案》是欧盟向数据主权迈进的一项重要措施,标志着欧盟数据立法走到了一个新的里程碑,将对科技企业在欧洲及全球市场的发展产生极大影响。
中小微企业受到倾斜保护。《数据法案》豁免了中小微企业的部分数据提供义务。对于小微企业而言,企业与用户、企业与企业间的数据提供义务,不适用于其制造或设计的联网产品或关联服务所产生的数据;对于中型企业而言,《数据法案》将该豁免的时间范围限制在联网产品使用或投入市场后1年内(以较近者为准)。
《数据法案》通过建立灰色名单和禁止合同惯例清单确保不公平合同不会强加给中小微企业,增强了中小微企业在数据共享谈判中的议价能力。欧盟委员会后续还将制定示范合同条款,协助中小微企业确保数据共享协议的公平性,并将引入一项针对合同的不公平性测试,防止大型企业借助自身优势地位,滥用数据共享机制,损害中小微企业的利益。
“守门人”被限制获取数据。为了维护数字市场竞争秩序,欧盟于2022年便通过了《数字市场法案》,对大型数字平台企业(又称“守门人”)提出了特殊的监管要求。《数据法案》延续了《数字市场法案》对“守门人”的分类、认定标准和义务的规定,对“守门人”获取用户数据进行了严格限制。被认定为“守门人”的企业不属于合格第三方,该企业将被禁止通过任何渠道获取根据《数据法案》共享的任何数据,包括通过用户直接获取或通过数据接收方间接获取。以此防止“守门人”基于自身强大的经济、技术实力,利用旨在实现数据公平共享的数据流通规则,强化自身垄断势力。
增加企业合规成本。《数据法案》不仅要求数据持有者与用户共享数据,还要求其与第三方共享数据,共享数据包括核心技术和设计数据。虽然法案允许企业在能够证明“尽管采取了技术和组织措施,但极有可能因披露商业秘密而遭受严重经济损失”的情况下拒绝数据共享请求,但在实际的操作中,与执法者、其他供应商及消费者沟通证明“共享豁免”,会给企业增加不少的合规成本。
《数据法案》还将增加有跨境数据传输需求企业的成本,云服务提供商在部署设备、配备人员时,需要考虑不同国家和地区的数据本地化法律规定,提前采取措施防止跨境数据传输行为违反欧盟法律。《数据法案》生效后,有跨境数据传输需求的企业需要在本地化的计算机设备与人员配置上持续增加投入,从而导致企业的数据使用、管理与合规成本不断增加。
影响企业投资积极性。《数据法案》要求数据持有者必须在特殊情况下向公共机构提供数据,此时,《数据法案》可能允许公共机构出于公共卫生和人道主义等原因要求共享联网设备的移动和位置信息。此条数据共享授权规定虽然为公共机构访问和使用私营企业持有的数据提供了合法性来源,助力公共机构基于数据快速、安全采取有效措施,但也有可能降低科技企业的创新意愿,科技企业会对欧盟当局可能将企业的专有信息分享给竞争对手和政府机构产生担忧,进而影响科技企业在欧洲进行投资研发或者开展其他活动的积极性。
法案产生外溢效应。欧盟在数据保护与监管方面的法律规则通常都会在全球范围内产生外溢效应,实践中,《通用数据保护条例》的立法模式已经被多国所借鉴。因此,《数据法案》不仅为欧盟提供了一套较为完善可行的数据流通利用方案,也影响着全球企业的数据保护以及数据利用方式,可能会被他国官方吸收借鉴,最终转化为相似的法律法规。
(作者单位:江苏省淮安市中级人民法院)