查看原文
其他

《数据法》指南发布,提出欧洲共同数据空间的标准与互操作要求,促进数据市场竞争

数据信任与治理 数据信任与治理
2024-09-16



4月22日,欧盟委员会发布了一份关于《数据法》的指南文件,全面概述了《数据法》的主要内容,并逐章解释了其目标和实际运作方式。本文摘录和整理了其中部分内容,主要包括为联网产品用户赋予更大数据控制权、促进B to B 和 B to C 数据共享、确保数据处理服务的互操作性和无缝切换、防止第三国政府非法获取欧盟境内非个人数据、以及对欧洲共同数据空间的标准和互操作性要求。
欧盟《数据法》(DATA ACT)于2023年12月22日公布,并将于2025年9月12日生效。

(本文未涉及的《数据法》内容包括:第三章“企业和企业间强制数据共享”、第四章“不公平合同条款”、第五章“企业对政府的数据共享”、第九章“执行”)


《数据法》的目标是加强欧盟数据经济和促进数据市场竞争,使数据(尤其是工业数据)的获取和使用更加容易,鼓励数据驱动的创新,并提高数据的可用性。为实现该目标,《数据法》明确规定了“谁”可以使用“哪些”数据,以及在“什么”条件下使用,确保在数据经济参与者之间公平的分配数据价值。

近年来,欧洲市场与互联网连接的产品(联网产品)迅速增加。这些产品共同组成了一个被称为“物联网(IoT)”的网络,大大增加了可重复使用的数据量,为欧盟的创新和竞争力带来了巨大的潜力。

《数据法》赋予联网产品的用户(拥有、租赁或租用此类产品的企业或个人)对其所产生数据的更大控制权,同时保持对数据技术投资方的激励。此外,该法还规定了企业有法律义务与其他企业共享数据的一般条件。

《数据法》还包括提高欧洲云计算市场公平性和竞争性的措施,以及保护企业免受强势企业强加的与数据共享相关的不公平合同条款的措施。该法还建立了一个机制,公共部门机构可通过该机制向有特殊需要的企业索取数据,例如在公共紧急情况下,并对如何提出此类请求做出了明确规定。此外,该法还引入了保障措施,以避免第三国的政府机构在违反欧盟或国内法律的情况下获取非个人数据。最后,《数据法》确定了有关互操作性的基本要求,以确保数据能够在欧洲共同数据空间的帮助下,在各部门、成员国以及数据处理服务提供商之间无缝流动。

1. 物联网背景下,B to B 和B to C数据共享

《数据法》的一个主要目标是在数据经济中创造公平性,让用户有能力从他们使用自己拥有、租用或租赁的联网产品所产生的数据中获取价值:联网产品和相关服务的用户能够访问他们通过使用联网产品/相关服务共同创建的数据。

“联网产品”的示例包括:(1)消费产品,如网联汽车、健康监测设备、智能家居设备;(2)其他产品,如飞机、机器人、工业机器。

“相关服务”是指能使联网产品以特定方式运行的任何东西,如调节灯光亮度或调节冰箱温度的应用程序,洗衣机中安装的可以根据洗衣机内不同传感器的数据测量洗衣周期对环境的影响并相应调整洗衣周期的应用程序。

“数据持有者”通常是制造联网产品或提供相关服务的公司。例如,如果有人购买了一台联网冰箱并下载了一个应用程序来帮助他调节冰箱内的最佳温度,那么可能会有两个数据持有者,即(1)在市场上投放冰箱(联网产品)的实体,(2)提供相关服务(应用程序)的实体,而只有一个用户,即冰箱的所有者。

数据持有者必须与用户签订合同(如销售合同、租赁合同、相关服务合同等),规定访问、使用和共享联网产品或相关服务所产生数据的权利。这里数据的范围包括使用联网产品或相关服务时产生的所有原始数据和预处理数据,这些数据包括从单个传感器或连接的一组传感器收集的数据,如温度、压力、流速、音频、PH 值、液位、位置、加速度或速度。推断或衍生的数据和内容(如高度浓缩的数据、视听材料)不在适用范围内。例如,如果用户在其连接的电视上观看电影,电影本身并不在范围内,但屏幕亮度的数据却在范围内。

B to B数据共享数据持有者可随时获取这些数据,这既适用于个人数据,也适用于非个人数据,包括相关元数据。值得注意的是,未经用户同意,数据持有者不得使用产品生成的任何非个人数据。

B to C 数据共享用户(即拥有、租用或租赁互联产品的任何法人或自然人)可以访问他们通过使用联网产品或相关服务产生的数据。如果用户希望与其他实体或个人("第一方")共享这些数据,他们可以直接共享,也可以要求数据持有者与他们选择的第三方共享(不包括《数字市场法》规定的守门人)。

《数据法》提供了若干机制,使用户能够更容易地使用这些规定:(1)数据持有者必须向用户提供信息,说明他们在使用连接产品或相关服务时将产生的数据类型(包括数量、收集频率等);(2)用户应能够通过简单的程序请求获取数据;(3)数据持有者必须免费向用户提供数据。

上述数据共享的限制包括1)竞争:为了不影响企业对数据生成产品的投资,所获得的数据不能被用于开发一个竞争性联网产品,但《数据法》并不禁止相关服务或售后服务的竞争。(2)数据保护:数据共享应完全符合数据保护规则(尤其是GDPR)。如果用户不是其数据被请求的数据主体,则只有在有有效合法性基础(如同意)的情况下才能提供个人数据。(3)商业秘密保护,数据持有者和用户/第三方可以商定某些措施来维护商业秘密的机密性。如果这些措施未得到遵守,数据持有者可扣留或暂停数据共享。但只有在数据持有者能够证明其极有可能因商业秘密的披露而遭受严重经济损失的情况下,数据持有者才可以拒绝共享数据。(4)如果联网产品的安全要求有可能受到破坏,从而对人们的健康、安全或保障造成严重不利影响,则数据持有者和用户可同意限制数据共享。此类要求必须由欧盟或国内法律规定。

2. 实现数据处理服务之间的互操作性和无缝切换

为了确保欧盟市场的竞争性,数据处理服务的客户应该能够从一个提供商无缝切换到另一个提供商。然而,客户目前在这方面面临许多障碍,包括与数据传输等相关的高昂费用、冗长的程序以及供应商之间缺乏互操作性(可能导致数据和应用程序丢失)。《数据法》将使数据处理服务的转换变得自由、快捷和灵活。这对客户和供应商都有好处:客户可以自由选择最符合其需求的服务,而供应商则可以从更大的客户群中获益。

据处理服务是指“实现无处不在和按需网络访问的数字服务”,如网络、服务器或其他虚拟或物理基础设施和软件。《数据法》第五章提出了一系列措施,旨在确保客户可以快速、顺利地从一个数据处理服务提供商(“源提供商”)切换到另一个提供商(“目的提供商”),并且不会丢失任何数据或应用程序的功能。这些措施包括:(1)平台和软件即服务提供商必须提供开放式接口,并至少以常用的机器可读格式输出数据。(2)基础设施即服务提供商必须采取措施,当客户转而使用同类服务时,客户在对两种服务共享功能("功能等同")的相同输入做出响应时,可获得实质上可比的结果。所有供应商都必须消除客户在转用其他供应商或同时使用几种服务时可能遇到的障碍。

为切换服务的关键数据包括输入和输出数据,包括客户使用服务时产生的元数据,但不包括受知识产权保护或构成服务提供商商业秘密的数据。

《数据法》还将从 2027年1月12日起完全取消交换费,包括数据输出费(即数据传输费)。这意味着供应商将不能向其客户收取促进转换或数据输出所需的操作费用。不过,作为《数据法》生效后前3年(2024年1月11日至2027年1月12日)的过渡措施,供应商仍可向客户收取与转换和数据输出相关的费用。

3. 避免第三国政府非法访问非个人数据

在特定情况下,欧盟以外的国家(“第三国”)发布的决定或判决寻求允许政府访问和传输在欧盟内处理和存储的非个人数据。然而,在某些情况下,允许访问或传输此类数据实际上可能是非法的,特别是当请求与欧盟关于保护个人基本权利、国家安全利益或商业敏感数据的法律和保障相抵触时。《数据法》规定了外国公共部门机构对欧盟持有的非个人数据提出访问请求的规则和保障措施,正常的企业间数据共享和与执法有关的合法国际合作不受这些规定的影响。这些规定提高了非欧盟政府机构获取或向非欧盟政府机构转移非个人数据的程序和条件的透明度和法律确定性。

《数据法》并不禁止跨境数据流动。如果没有国际协议规范第三国政府对欧盟境内非个人数据的访问,则只能在特定条件下转移或访问这些数据。这些条件是指第三国的法律制度必须满足的某些保障欧洲权利的措施,包括要求说明理由和评估决定的相称性。此类决定所涉及的数据处理服务提供商可联系相关国家机构,以帮助评估是否满足《数据法案》中规定的条件。为帮助评估这些条件是否得到满足,欧盟委员会将与欧洲数据创新委员会(根据《数据治理法》成立的专家组)共同制定指导原则,以促进分享最佳做法并优先考虑跨部门互操作性标准。

数据处理服务提供商应采取一切合理措施以防止访问其存储非个人数据的系统,如加密、审计、遵守认证规定等这些措施应在其网站上公布,并在可能的情况下,它们应在允许访问客户数据前通知客户。

4. 欧洲共同数据空间的标准和互操作性

标准和互操作性是确保不同来源的数据在欧洲共同数据空间内和之间使用,促进研究和开发新产品或服务的关键。

《数据法》规定,数据空间参与者应遵守若干基本要求,以允许数据在数据空间内和数据空间之间流动。例如,数据结构、数据格式和词汇表的描述(如有)应向公众开放。此外,还应确保数据共享协议(如智能合约)的互操作性。《数据法》还为通过统一标准和开放的互操作性规范提高数据处理服务的互操作性奠定了基础。此外,该法还对自动执行数据共享协议的智能合约供应商提出了要求,例如确保供应商正确执行数据共享协议的规定。

欧盟委员会将评估实现互操作性的障碍,并确定标准化需求的优先次序,在此基础上,欧盟委员会可能会要求欧洲标准化组织起草符上述要求的统一标准。如果该要求未能产生统一标准,或者该标准不足以确保与《数据法》保持一致,委员会可采用通用规格作为后备解决方案。这些规范应以开放和包容的方式制定,并考虑欧洲数据创新委员会的反馈意见。

(完)

延申阅读:
欧盟《数字市场法》3月6日生效,数字平台“看门人”如何应对?
全文首发| 欧盟《数据法》草案中译本
欧洲数据治理方式的转变:《数据治理法》

产品服务

01


前瞻研究

02




中心动态

03

数据信任与治理

“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。

TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.

继续滑动看下一个
数据信任与治理
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存