欧盟数据法内容与影响
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
《数据法》是一项法律,旨在通过提高数据(尤其是工业数据)的可访问性和可用性、鼓励数据驱动的创新,并促进竞争性数据市场,从而增强欧盟的数据经济。为了实现这一目标,《数据法》确保了数据经济参与者之间的数据价值分配的公平性。它阐明了谁可以在何种条件下使用哪些数据。
近年来,欧洲市场上互联网连接产品(“联网产品”)的供应量迅速增长。这些产品共同构成了一个称为物联网(IoT)的网络,大大增加了欧盟可供重复使用的数据量。这代表了欧盟在创新和竞争力方面的巨大潜力。
《数据法》赋予联网产品的用户(拥有、租赁或租用此类产品的企业或个人)对他们生成的数据有更大的控制权,同时保持对数据技术投资者的激励。此外,它还为企业有法律义务与其他企业共享数据的情况规定了一般条件。
《数据法》规定了一系列义务,包括以下五项:
设计义务:制造商有义务设计其产品,以便产品用户能够免费(最好是直接)获取其产品所生成或捕获的数据。
访问义务:服务提供商有义务允许其用户免费访问、重复使用和共享通过其产品和相关服务收集的数据。
第三方访问权:根据用户请求或法律义务,允许第三方访问数据,包括现有数据和相关元数据。
合同条款规范:规范数据持有者与用户或第三方等各方之间的数据共享合同条款。
标准促进:促进云服务提供商和其他数据处理服务之间的切换,消除商业前、商业、技术和组织方面的障碍。
此外,《数据法》还规定了在公共紧急情况下,公共机构访问私营部门数据的机制。
《数据法》于2023年12月22日在欧盟官方公报上发布,并将于2025年9月12日生效。
《数据法》是对《数据治理法案》的补充,《数据治理法案》是欧洲数据战略下的第一个可交付成果,并于2023年9月生效。虽然《数据治理法》增加了对自愿数据共享机制的信任,但《数据法》在数据的访问和使用方面提供了法律上的明确性。
这两项法规与其他政策措施和融资机会一起,将有助于建立欧盟单一数据市场,通过利用不断增长的数据量,特别是工业数据的潜力,使欧洲成为数据经济的领导者,造福欧洲经济和社会。
根据第一章的一般规定,《数据法》分为六个主要章节:
第二章:物联网背景下的企业对企业和企业对消费者的数据共享
物联网产品的用户可以访问、使用和移植他们通过使用连接产品共同生成的数据。
第三章:关于企业对企业数据共享
阐明了企业根据法律(包括通过《数据法》)有义务与其他企业共享数据的数据共享条件。
第四章:不公平合同条款
这些规定保护所有企业,特别是中小企业,免受强加于他们的不公平合同条款的影响。
第五章:企业与政府之间的数据共享
公共部门机构能够通过采取措施获取私营部门持有的某些数据,以在某些特殊情况下做出更多基于证据的决策。
第六章:数据处理服务之间的切换
云和边缘计算服务提供商必须满足最低要求,以促进互操作性并实现切换。
第七章:第三国政府非法访问数据
存储在欧盟的非个人数据受到保护,免受外国政府的非法访问请求。
第八章:互操作性
数据空间的参与者必须满足允许数据在数据空间内和数据空间之间流动的标准。欧盟存储库将制定云互操作性的相关标准和规范。
第九章:执行
会员国必须指定一个或多个主管机构来监督和执行《数据法》。在指定了多个主管部门的情况下,必须指定一名“数据协调员”作为国家一级的单一联络点。
《数据法》的一个关键目标是在数据经济中创造公平性,并使用户能够从他们使用拥有、租赁或租用的联网产品生成的数据中获取价值。
《数据法》使联网产品(例如联网汽车、医疗和健身设备、工业或农业机械)和相关服务的用户能够访问他们通过使用这些产品/服务共同创建的数据。这些数据的可用性将对经济产生重大影响。例如,联网产品和相关服务产生的数据可用于提升售后市场和辅助服务,以及创造全新的服务,使企业和消费者都受益。
联网产品的例子包括:消费类产品(如联网汽车、健康监测设备、智能家居设备)和其他产品(如飞机、机器人、工业机器)。相关服务的例子包括:用户购买了一台洗衣机并安装了一个应用程序,该应用程序允许他们根据机器内部不同传感器的数据来测量洗涤周期对环境的影响,并相应地调整周期。
《数据法》第二章适用于因使用联网产品或相关服务而产生的所有原始和预处理数据,这些数据对数据持有者(例如联网产品的制造商或相关服务的提供商)很容易获得。此类数据包括从单个传感器或一组连接的传感器收集的数据,例如温度、压力、流速、音频、pH 值、液位、位置、加速度或速度。推断或派生的数据和内容(例如高度丰富的数据、视听材料)超出范围。此外,《数据法》不影响有关知识产权保护的法律。
《数据法》第二章允许用户(即拥有、出租或租赁联网产品的任何法人或自然人)访问他们通过使用联网产品或相关服务产生的数据。如果用户希望与其他实体或个人(“第三方”)共享这些数据,他们可以直接这样做,也可以要求数据持有者与他们选择的第三方共享这些数据。数据持有者通常是制造联网产品或提供相关服务的公司。
数据持有者必须与用户签订合同(例如销售合同、租赁合同、相关服务合同等),定义有关访问、使用和共享由联网产品或相关服务产生的数据的权利。未经用户同意,数据持有者不得使用产品产生的任何非个人数据。
例如:
一家公司经营推土机:数据持有者通常是推土机制造商,用户是经营推土机的公司。
如果有人购买了一台联网的冰箱并下载了一个应用程序,该应用程序可以帮助他们调节冰箱内容物的最佳温度,则可能会有两个数据持有者,即将冰箱投放市场的实体和提供相关服务的实体(应用程序),并且只有一个用户(冰箱的所有者)。
《数据法》包含几种机制,使用户更容易利用这些规定:数据持有者必须向用户提供有关他们在使用联网产品或相关服务时将生成的数据类型的信息(包括数量、收集频率等);用户应该能够通过简单的过程请求访问数据;数据持有者必须向用户免费提供数据。
为了不阻止企业投资于数据生成产品,获得的数据不能用于开发竞争性的连接产品。《数据法》并未禁止相关服务或售后服务中的竞争。此外,根据《数据法》,数据持有者没有义务与欧盟以外的第三方共享数据。
《数据法》完全符合数据保护规则,尤其是 GDPR。如果用户不是其数据被请求的数据主体,则只有在有有效的法律依据(例如同意)的情况下才能提供个人数据。这是一个重要的考虑因素,因为共同生成的数据通常包含个人数据和非个人数据,这可能很难分开。
《数据法》激励了基于新数据流的互联产品和服务的开发,这对小公司来说尤其有价值。此外,微型和小型公司作为相关服务的制造商或提供者,不承担与大型公司相同的义务。
为了在不破坏《数据法》提供更多数据的目标的情况下保护商业秘密,数据持有人和用户/第三方可以就某些措施达成一致,以保护商业秘密的机密性。如果这些措施不得到遵守,数据持有者可以扣留或暂停数据共享。数据持有者只有在能够证明其极有可能因披露商业秘密而遭受严重经济损失的情况下,才可以拒绝共享数据。
如果存在连接产品的安全要求可能受到破坏的风险,则数据持有人和用户可以同意限制数据共享,从而对人们的健康、安全或保障产生严重的不利影响。这些要求必须在欧盟或国家法律中规定。
如果数据权利人以商业秘密保护或安全需要为由暂停、隐瞒或拒绝共享数据,则必须通知国家主管部门。用户可以在成员国的主管法院或法庭上,通过向主管当局提出投诉来质疑数据持有者的主张。
《数据法》为企业(“数据持有者”)根据欧盟或国家法律负有法律义务向其他企业(“数据接收者”)提供数据的情况引入了规则,包括在物联网数据的背景下。值得注意的是,数据共享条款和条件必须是公平、合理和非歧视性的。作为对数据共享的激励,有义务共享数据的数据持有者可以向数据接收者请求“合理补偿”。
《数据法》第三章适用于企业持有的所有数据(包括个人和非个人),包括《数据法》第二章所涵盖的情况。
数据持有者可以要求数据接收者支付合理补偿。这可能包括提供数据而产生的费用以及与传播和储存有关的技术费用。但是,向微型公司、中小企业和非营利性研究组织收取的费用不能超过提供数据所产生的费用。
为了保护数据持有者,《数据法》包括一份非详尽的措施清单,以补救第三方或用户非法访问或使用数据的情况。例如,数据持有者可以要求侵权方停止生产相关产品或销毁其非法获得的数据,或者可以要求赔偿。
在《数据法》之前的任何数据共享义务不受影响。未来(部门)立法中的义务应与《数据法》第三章的规定保持一致。
合同自由是企业对企业关系的核心。然而,《数据法》旨在保护所有寻求获取数据的欧洲企业,特别是中小企业,免受不公平合同条款的影响。其措施包括干预以下情况:例如,其中一个企业处于更有利的讨价还价地位(例如,由于其市场规模),并对另一个企业施加与数据访问和使用相关的不可协商的条款(“接受或放弃”)。
这些规则涵盖了私人实体持有的所有数据,包括个人和非个人数据,这些数据是根据企业之间的合同访问和使用的。
单方面强加的“要么接受,要么放弃”的条款,如果涉及提供数据,可能会受到不公平性检验。
《数据法》列出了一份非详尽的清单,列出了始终被视为不公平的条款(例如,将排除或限制单方面施加该条款的一方因故意行为或重大过失而承担的责任)和被推定为不公平的条款(例如,在不履行合同义务的情况下会不适当地限制补救措施,或在违反这些义务的情况下会受到不适当的惩罚,或延长单方面规定期限的企业的赔偿责任)。如果一个条款被认为是不公平的,它就不再有效——在可能的情况下,它只是从合同中删除。如果认为该条款不公平,则实施该条款的实体可以尝试证明该条款并非不公平。
私营实体持有的数据对于公共部门机构执行公共利益的任务可能至关重要。《数据法》第五章允许公共部门机构在特殊情况下根据某些条款和条件访问此类数据。这些情况指的是不可预见且时间有限的情形,私营实体持有的数据对于执行公共利益任务是必要的,特别是为了改善基于证据的决策。特殊情况包括公共紧急情况(例如重大自然或人为灾害、流行病和网络安全事件)和非紧急情况(例如,来自驾驶员 GPS 系统的汇总和匿名数据可用于帮助优化交通流量)。
《数据法》将确保公共机构能够及时可靠地访问此类数据,而不会给企业带来不必要的行政负担。
在第五章中,所有数据都在范围内,重点是非个人数据。
《数据法》第五章关于企业对政府数据共享的规定区分了两种情况:
为了应对公共紧急状态,公共部门机构应要求提供非个人数据。但是,如果这不足以应对这种情况,则可能会要求提供个人数据。在可能的情况下,数据持有者应对这些数据进行匿名化处理。
在非紧急情况下,公共部门机构只能要求提供非个人数据。
有权请求数据的实体包括成员国的公共部门机构以及某些欧盟机构、团体和机构。在某些条件下,这些实体还可能与进行研究的组织和资助组织共享数据。在企业对政府请求的背景下,数据持有者通常是私人实体,但也可能包括公共企业。
在某些条件下,公共部门机构可以要求数据持有者提供某些数据,不得无故拖延,以应对公共紧急情况。《数据法》定义了公共紧急状态,但其存在是根据国家或欧盟程序或法律确定的。
对于与公共紧急状态无关的特殊需求,如果公共部门机构能够证明其无法通过其他方式访问数据,则公共部门机构可以要求提供非个人数据,以完成符合公共利益且法律规定的特定任务。
在这两种情况下(紧急和非紧急),请求都必须遵守一些严格的原则和条件。例如,请求必须具体、透明和相称,商业秘密必须得到保护,一旦不再需要数据,就必须删除数据。
下表总结了在这种情况下,企业在向公共部门机构提供数据时可能提出的要求。
为了尽量减少对企业的负担,一个以上的公共部门机构不能多次请求相同的数据(“只一次原则”)。因此,数据协调员必须公开提供所有请求(除非存在安全问题)。
为了确保欧盟市场的竞争性,数据处理服务(包括云和边缘服务)的客户应该能够从一个提供商无缝切换到另一个提供商。然而,客户目前面临着许多障碍,包括与数据导出相关的高额费用、冗长的过程以及提供商之间缺乏互操作性,这可能导致数据和应用程序的丢失。
《数据法》将使切换变得自由、快速和流畅。这将使客户受益,他们可以自由选择最能满足他们需求的服务,以及供应商,他们将从更大的客户群中受益。
《数据法》第六章适用于数据处理服务(即实现无处不在和按需网络访问的数字服务,如网络、服务器或其他虚拟或物理基础设施和软件)的提供商。作为切换的关键数据包括客户使用服务产生的输入和输出数据,包括元数据,不包括受知识产权保护的数据或构成服务提供商商业秘密的数据。
为了克服云市场中提供商和客户之间的权力不平衡,《数据法》对云合同的内容设定了最低要求。特别是,来自私营和公共部门的客户将受益于更大的合同透明度。
《数据法》包括确保客户可以快速、顺利地从一个数据处理服务提供商(“源提供商”)切换到另一个(“目标”)提供商的措施,而不会丢失任何数据或应用程序的功能。例如,平台和软件即服务的提供商必须提供开放接口,并且至少以常用和机器可读的格式导出数据。基础设施即服务的提供商必须采取措施促进这一点,当客户切换到相同类型的服务时,客户在响应两种服务共享的功能的相同输入时会获得实质上可比的结果(“功能等效”)。作为此类措施的一个例子,源提供商可能必须使用工具将计算工作负载从一种虚拟化技术转移到另一种虚拟化技术。
所有提供商都必须消除其客户在想要切换到另一个提供商或同时使用多项服务时可能面临的障碍。
《数据法》还将从 2027 年 1 月 12 日起完全取消切换费用,包括数据导出费用(即数据传输费用)。这意味着提供商将无法向其客户收取促进切换或数据导出所需的操作费用。但是,作为《数据法》生效后的前 3 年(2024 年 1 月 11 日至 2027 年 1 月 12 日)的过渡措施,提供商仍可向客户收取与切换和数据导出相关的费用。
有时,欧盟以外的国家(“第三国”)发布的决定或判决旨在允许政府访问和传输在欧盟境内处理和存储的非个人数据。然而,在某些情况下,允许访问或传输此类数据实际上可能是非法的,特别是当请求与欧盟法律和保护个人基本权利、国家安全利益或商业敏感数据的保障相冲突时。
《数据法》遵循《数据治理法》的条款,旨在防止非法第三国政府访问和传输在欧盟持有的非个人数据。这些规定对企业间的常规数据共享没有影响。它们提高了非欧盟政府机构可以访问非个人数据或将非个人数据传输给非欧盟政府机构的过程和条件的透明度和法律确定性。
数据处理服务提供商在欧盟持有的任何非个人数据。
《数据法》并未禁止跨境数据流动,但确保为欧盟境内的数据提供的保护与在欧盟以外传输的任何数据传输保持一致。
在此背景下,《数据法》为外国公共部门机构对欧盟持有的非个人数据的访问请求制定了规则和保障措施。与执法有关的合法国际合作不受这些规定的影响。
如果没有国际协议规范第三国政府访问位于欧盟境内的非个人数据,则数据只能在特定条件下传输或访问。这些条件包括第三国法律制度需要满足的某些欧洲权利保障要求,包括说明理由并评估决定的相称性。此类决定所针对的数据处理服务提供商可以联系相关国家机构,以帮助评估是否满足《数据法》中规定的条件。为了帮助评估这些条件是否得到满足,欧盟委员会将与欧洲数据创新委员会(根据《数据治理法》成立的专家组,旨在促进最佳实践的共享并优先考虑跨部门互操作性标准)一起制定指南。
数据处理服务提供商应采取一切合理措施(例如加密、审计、遵守认证计划)以防止访问他们存储非个人数据的系统。这些措施应当在其网站上公布。此外,在可能的情况下,他们应在允许访问其数据之前通知客户。
标准和互操作性是确保来自不同来源的数据可以在欧洲共同数据空间内部和之间使用的关键,以促进研究和开发新产品或服务。为此,《数据法》确立了一些数据空间参与者必须遵守的基本要求,欧盟委员会可以通过授权法案进一步规定这些要求。
它还旨在确保数据处理服务之间的互操作性。如果客户要从更简单的转换中受益,这一点至关重要。
本章针对数据空间的参与者,这些参与者向其他参与者提供数据或基于数据的服务,并在数据空间内促进或参与数据共享。它还涉及智能合约的供应商以及数据处理服务提供商。
数据空间参与者应遵守几个基本要求,以允许数据在数据空间内和数据空间之间流动。例如,对数据结构、数据格式和词汇的描述(如果有的话)应是公开的。此外,应确保智能合约等数据共享协议的互操作性手段。
《数据法》还为通过统一的标准和开放的互操作性规范提高数据处理服务的互操作性奠定了基础。
此外,它还规定了智能合约供应商自动执行数据共享协议的要求,例如,确保他们正确执行数据共享协议的规定并防止第三方的操纵。
欧盟委员会将评估互操作性的障碍,并优先考虑标准化需求。在此基础上,欧盟委员会可能会要求欧洲标准化组织起草符合上述要求的协调标准。
如果该请求没有导致统一的标准,或者如果该标准不足以确保符合《数据法》,委员会可以采用通用规范作为后备解决方案。这些建议应以开放和包容的方式制定,并考虑欧洲数据创新委员会的反馈。
成员国将指定一个或多个(新的或现有的)主管当局,以确保《数据法》的有效实施。如果有多个主管机构,成员国必须指定其中一个主管机构为“数据协调员”。数据协调员将作为“一站式服务”,处理与在国家层面实施《数据法》有关的所有问题,为企业和公共机构的应用提供便利。例如,如果企业因侵犯其根据《数据法》享有的权利而寻求补救,数据协调员应(应要求)提供所有必要的信息,以帮助他们向适当的主管当局提出投诉。数据协调员还将促进跨境情况下的合作,例如,当特定成员国的主管当局不知道它应该与数据协调员所在成员国的哪个主管部门联系时。
委员会将维持主管当局和数据协调员的公共登记册。
欧洲数据创新委员会(European Data Innovation Board)将促进主管当局之间的讨论,例如,协调并通过关于对违反《数据法》的行为设定处罚的建议。处罚由主管当局设定,根据《数据法》,应有有效、相称和劝阻性的处罚。
如果成员国愿意,它们可以设立经认证的争端解决机构,以协助无法就公平、合理和非歧视性条件提供数据的当事方。当事方可以自由地向任何争端解决机构提出申诉——无论是在其成立的成员国还是在另一个成员国。
经过认证的争议解决机制和专门的主管当局将使公司,尤其是小型企业,更容易根据《数据法》行使其权利,因为它们为相关各方提供了简单、快速和低成本的解决方案。
下一步是什么?
欧洲数据战略为欧盟成为数据经济的领导者铺平了道路。为此,将通过建立一个欧洲单一数据市场来实现,在这个市场中,数据可以以安全和可信的方式在各部门和成员国之间流动,从而造福经济和社会。通过确保利益相关者之间公平分配数据价值,《数据法》是实现这一愿景的关键因素。
《数据法》将于2025年9月12日生效。
为了帮助企业了解这些新规则,委员会将推荐一套示范合同条款,以帮助企业签订公平、合理和非歧视性的数据共享合同(《数据法》第二章和第三章)。这些条款还将为合理赔偿和商业秘密保护提供指导。委员会还将为云服务用户和提供商之间的云计算合同推荐一套不具约束力的标准合同条款。已经成立了一个专家组来帮助委员会起草这些条款,并计划在2025年秋季之前提出建议。
在《数据法》生效后的3年内,委员会将对《数据法》的影响进行评估。在此基础上,如有必要,委员会可提出对该法的修正案。
该法律的范围涵盖了所有可以连接到互联网的物体,从汽车和卡车到风力涡轮机、工业机器人、洗碗机、咖啡机、智能音箱和手表。这种全面的覆盖意味着欧洲的每个行业都将受到影响。
这项法规为许多利益相关者带来了预期的变化。值得注意的是,代表各种出行和物流公司(包括卡车、公共汽车和出租车公司)的国际道路运输联盟 (IRU) 是主要支持者。对他们来说,从车辆使用中产生的数据具有重要的商业意义。油耗、磨损和驾驶员行为等信息对于驾驶员培训和安全措施至关重要。
该法规为运输运营商提供了访问数据的机会,而无需与汽车制造商进行持续谈判。这种简化带来了几个好处,包括无需安装单独的设备来收集数据。此外,风力涡轮机等行业会产生大量非个人工业数据(如风速和风向),它们可以利用这项法规提供补充服务,如叶片定位的远程管理。
80%的数据公开必然会带来风险,其中有些风险更为明显。其中最明显的风险之一就是担心共享数据可能会暴露商业敏感数据,从而刺激模仿者出现,直接与欧洲大公司竞争。
一个典型例子是西门子医疗部门,该部门以制造CT扫描仪和MRI机器而闻名。为了生成图像,这些扫描仪必须获取原始数据,例如CT扫描的X射线数据和MRI扫描的脉冲数据。如果这些数据落入不法之徒手中,共享这些数据可能会助长关键创新的逆向工程。鉴于目前的地缘政治紧张局势,被利用的风险更加明显。
该法规似乎通过“商业秘密条款”解决了这个问题。根据第4条和第5条,使用产品或服务产生数据的控制者可以援引商业秘密保护来抵御过于广泛的数据访问请求。然而,这只是《数据法》规定数据提供的规则的一个例外。从本质上讲,该法规似乎是为了确保商业秘密的保护。事实上,如果不是这样,它将损害该法规的根本目的,即赋予欧洲公司竞争优势。
然而,不太明显的风险是重新识别数据所属或与数据有某种关联的主体。即使没有与工业机密相关的问题,重新识别的威胁仍然存在。回到医疗领域的例子,与X射线或心率相关的原始数据一旦与其他已有数据结合,就可以识别个人。这不仅仅是一种猜测,而已经成为现实。
在我们的文章“隐私保护技术对数据保护的影响”中,我们看到了梅奥诊所进行的一项实验,该实验使用成像和面部识别技术将研究对象与他们的磁共振联系起来,面部识别程序正确地将70名(共84名)受试者与匿名图像联系起来。
事实上,尽管可以通过删除个人敏感数据来实现扫描匿名化,但神经网络可以重建已删除面部的面部特征并对图像进行去匿名化。真正的数据匿名化很难实现,因为数据可以与其他公共数据集结合并去匿名化。一个众所周知的例子是,两名学生能够从一个大型匿名Netflix数据库中重新识别一些用户。我们还看到牛津大学的一些研究人员已经证明,年龄和性别也可以从结构性大脑图像中推断出来,或者直接从心率中识别出来。
这正是《数据法》带来的隐患。即使看似非个人化或匿名化的80%机器数据被泄露,也可能导致重新识别,而在这种情况下,甚至无法想象一个数据会泄露另一个数据。因此,监管产生的数据流不可避免地会成倍增加这种重新识别的风险。因此,如果没有适当的技术措施,更多的可用数据并不会自动转化为更大的利益。