据报道,欧盟议会近期正式批准了欧盟《数据法案》,该法律旨在对智能设备的制造商和供应商以及智能设备生成的数据的处理者实施新的法规,此类产品包括智能照明系统、智能吸尘器、智能门铃等。
欧盟数据法要求这些产品的制造商和供应商以及处理从设备接收的数据的各方遵守以下规定:
- 允许用户访问和使用设备生成和存储的有关他们的数据。
- 使用户能够在不同服务之间传输数据。
- 确保能够在各种系统中使用数据。
- 遵守与欧洲数据市场的任何监管有关的规定。
此外,该法律允许欧洲公共部门机构在特殊情况下获取私营部门公司持有的数据。
《数据法案》的影响
该法律预计将于 2025 年 7 月底生效。对于制造、供应和处理智能设备相关数据的公司的全面影响仍不清楚。在该法律生效之前的过渡期间,企业收集和存储互联产品数据的方式将需要进行特殊改变。我们评估,企业将需要制定和实施有关收集和管理来自智能设备的数据以及有关此类数据的用户请求的最新程序。企业还需要审查产品许可和使用协议,以便数据所有权问题符合法律规定。
《数据法案》(Data Act)弥补了《数据治理法案》的偏颇,在欧盟《通用数据保护条例》(简称“GDPR条例”)的基础上,提供了适用于所有数据的更广泛的规则。
由于《 数据法案》的要求涉及非常广泛,所有企业都应评估其任何产品或服务是否会受到《数据法案》的约束。
欧盟的数据法案于2024年1月11日生效。为了实现“解锁”欧盟数据经济的既定目标,《数据法案》对物联网(“IoT”)设备和相关服务的提供商以及云计算提供商施加了一系列广泛的数据共享、产品设计和合同义务。《数据法案》规定的义务适用于所有经济部门和各种规模的企业。由于《数据法》的广泛要求,所有公司都应该评估自己的产品或服务是否会受到《数据法案》的约束。该法案规定的义务将从2025年下半年开始实施,因此很多企业几乎没有足够的时间制定有效的合规战略。
执行概要
《数据法案》基于这样一个普遍假设:互联设备、服务和云软件产生的绝大多数数据都未被使用,或者被少数大公司收集。通过这项新立法,欧盟寻求“解锁”这些数据,促进数据在一个服务和另一个服务之间移动,并使用户能够访问这些数据——如果得到用户的批准,第三方企业也可以访问这些数据。
《数据法案》 的范围将适用于在欧盟市场上销售的互联产品制造商和相关服务提供商;此类互联产品或服务在欧盟的用户;向欧盟接收方提供数据的数据持有人;欧盟的数据接收方;向欧盟客户提供服务的数据处理服务提供商;欧盟机构和公共部门机构根据条例访问数据。因此,
《数据法案》也将适用于在欧盟市场运营的外国公司,而无论其在欧盟的设立地点或子公司。
《数据法案》所涵盖的产品和服务类型被故意定义得非常宽泛。“互联产品”被定义为“获取、生成或收集有关其使用或环境的数据,并能够通过电子通信服务、物理连接或设备上访问传输产品数据的物品,其主要功能不是代表用户以外的任何一方存储、处理或传输数据”。“相关服务”被定义为“电子通信服务以外的数字服务,包括软件,在购买、租赁或租赁时与产品相连,其缺失会阻止连接产品执行一项或多项功能,或者随后由制造商或第三方与产品相连,以增加、更新或调整连接产品的功能”。
《数据法案》将触及欧洲经济几乎所有领域的各种规模的公司,包括智能消费设备、汽车、联网工业机械、智能冰箱和其他家用电器的制造商,以及与联网产品(如流媒体服务或数据分析软件)交互的任何相关服务的制造商。
《数据法案》同样会对云计算提供商产生影响。
《数据法案》将要求通过使用物联网设备(“互联产品”)或连接到这些设备的相关服务生成的数据的可用性和可移植性。它还引入了意义深远的义务,旨在允许用户轻松地在云服务提供商之间切换,以及规范智能合约。
《数据法案》现已在正式公布,并于2024年1月11日生效。《数据法案》的规定将在生效之日起20个月后开始适用,这意味着受影响的企业需要在2025年9月12日之前做好遵守该法案的准备。与互联产品相关的设计要求将适用于2026年9月12日之后在欧盟投放市场的产品。
《数据法案》 还将引入一套管理公司之间有关数据访问和使用的协议的规则,并禁止被认为不公平或滥用的合同条款。凡在2025年9月12日之后签订的合同,这些规定将自动适用。对于2025年9月12日或之前签订的合同,这些规定将从2027年9月12日开始适用。
由于《数据法案》的范围和义务范围广泛,企业必须现在就开始准备,审查他们的产品、做法和政策,以确保合规。 《数据法案》的实施将需要对产品进行重大修改,并修订合同条款。例如,企业应该开始审计他们的数据存储策略,并考虑实施数据法案广泛的数据共享要求所需的更改。管理数据共享和处理实践的合同也需要进行审查,并可能进行修订。
对于一些公司来说,《数据法案》还将开辟新的商业机会,而且——由于 《数据法案》下的权利不仅限于中小企业——大型企业将被授权从这项立法中受益,并基于《数据法案》 下可访问的第三方数据开发新的商业模式。
接下来,我们继续看看《数据法案》 的主要内容和影响。
物联网设备和服务
《数据法案》规定了将互联产品生成的数据提供给此类互联产品的用户、应用户要求提供给第三方以及在特殊情况下提供给公共部门机构的法律义务。
受影响的产品和服务范围非常广泛。互联产品包括收集有关其使用或环境的数据,然后可以通过电子通信服务、物理连接或设备上访问传输此类数据的所有设备和设备。
例如,B2B连接的产品可能包括汽车制动系统、电梯、能够收集数据的工厂机器或智能太阳能电池板。在B2C领域,例子包括智能冰箱、智能扬声器和清洁机器人、健身追踪器、医疗设备和现代汽车等家用电器。但是,主要用于显示或播放内容或记录和传输内容的产品(例如,个人电脑、服务器、平板电脑和智能手机、相机)不在《数据法案》的范围之内。
与互联产品相关的义务也涵盖相关服务。这些是在购买时包含在产品中或与产品相互连接的数字服务,或随后由制造商或第三方连接到产品中,并且对于产品执行其主要功能至关重要。值得注意的例子包括语音助手,连接到智能扬声器的音乐流媒体服务,连接到健身追踪器的生活方式建议应用程序,工业机器的命令和控制软件,以及用于建筑物能源优化的软件。
在《数据法案》中,互联产品制造商被认定为“数据持有者”。关于
《数据法案》范围内的数据,该法规区分了“产品数据”和“相关服务数据”。“产品数据”是指使用连接产品产生的数据,这些数据是由制造商设计的,可由用户、数据持有人或第三方通过电子通信服务、物理连接或设备访问检索。“相关服务数据”涵盖“代表用户操作或与连接产品相关的事件的数字化数据,这些数据由用户故意记录或作为提供商提供相关服务期间用户操作的副产品而产生”。为了符合
《数据法案》的规定,“相关服务数据”必须与设备的使用有关。
根据《数据法案》,数据持有人将有义务设计互联产品,使用户能够简单、安全地访问其使用所产生的数据。默认情况下应提供访问,如果不能直接访问,则应用户的要求提供访问。根据用户的要求,数据持有者必须使数据“随时可用”,以及解释和使用该数据所需的元数据。
此外,如果用户要求,数据持有者必须与第三方共享数据。数据持有人必须在公平、合理和非歧视的条件下共享数据。为了激励产生有价值的数据,在B2B关系中,当法律上有义务向数据接收方提供数据时,数据持有者可以要求合理的补偿。
在《数据法案》的谈判过程中,如何在保护商业秘密与数据共享要求之间取得平衡是一个备受争议的话题。一般来说,商业秘密必须受到保护,只有在数据持有人和用户在披露前采取一切必要措施以保护机密性的情况下才必须披露。
《数据法案》规定,披露数据的义务应以保留《商业秘密指令》(指令(EU) 2016/943)所提供的保护的方式进行解释。数据持有人应在披露前识别商业秘密,并有可能与用户或用户选择的第三方就保护其机密性的必要措施达成协议,包括使用示范合同条款、保密协议、严格的访问协议、技术标准和适用行为守则。
没有约定必要措施的,或者用户选择的第三方不履行约定措施或者破坏商业秘密保密性的,数据权利人应当有权拒绝或者暂停被认定为商业秘密的数据的共享。在“特殊情况”和“个案处理”下,资料持有人可能会拒绝查阅资料的要求,只要资料持有人可以证明其因披露商业秘密而面临“严重经济损失”的威胁。法案规定,严重经济损失“意味着严重和无法弥补的经济损失”。这一例外可能会被严格适用。此外,该例外的开放性不允许受影响的企业依赖明确的法律标准,欧洲法院将如何解释该例外仍有待观察。
守门人
数字经济平台生态系统对竞争的挑战,引起各国关注,并相继推出或修改法律、提出新的政策以适应数字经济的新格局。继《一般数据保护条例》(GDPR)之后,《数字市场法》可谓是欧盟针对数字市场的规范又一重磅立法。该法案在立法上首次提出了守门人制度作为数字经济反垄断监管和规制的新路径,基于对于数字平台巨头造成竞争威胁的考虑,为保障具有竞争性和公平性的数字市场秩序,规定一系列专门的原则和义务,对于平台的一系列行为模式设立了规制框架。
《数字市场法》第三条和第四条规定了守门人的认定标准,第五条至十三条分别规定了守门人的义务。企业被认定为守门人的原则性条件是:企业对内部市场有重大影响;提供核心平台服务且作为商务用户和终端用户的重要交互手段;在其业务中享有稳固和持久的地位,或者可以预见它将在不久的将来享有这种地位。
一旦被认定为守门人,平台企业将承担下列一系列的义务,并且被禁止实施某些特定的行为。具体而言,这些义务可以从数据层面、平台中立层面、通路层面进行简单地区分。
《数据法案》指出,“根据建议2003/361/EC附件第2条,初创企业、小企业、符合中型企业资格的企业,以及来自数字能力欠发达的传统行业的企业,难以获得相关数据”。在此基础上, 《数据法案》的目标是让这些规模较小的公司成为立法的主要受益者。另一方面, 《数据法案》禁止根据欧盟《数字市场法》被指定为守门人的公司接收数据(其云服务除外)。
云切换
《数据法案》将对公共云和私有云计算服务产生重大影响,因为它要求提供商促进云和边缘产品之间的切换。
《数据法案》引入了一些合同、商业和技术要求,以促进数据从一个提供商转移到另一个提供商。受影响的供应商将被要求消除他们自己和竞争对手的云服务之间“有效切换的障碍”,这些障碍可以是商业的、技术的、合同的和组织的。
如果用户希望从目前的提供商那里删除数据并切换到新的提供商,他们也将不再被允许收取费用。然而,
《数据法案》规定,云服务提供商不需要开发新技术或服务,披露受知识产权保护的数字资产,也不需要采取损害其服务完整性和安全性的措施。
《数据法案》中的云转换义务留下了解释的余地,其应用的确切性质很难预测。此外,考虑到云切换的复杂性,特别是对于某些类型的工作负载,鉴于在制定模糊和广泛的义务时对技术复杂性的关注显然有限,监管机构将如何在实践中实施这一要求仍有待观察。为了建立防御,对于面临重大技术障碍的公司来说,遵守
《数据法案》的要求,制定记录这些障碍和合规努力的策略,可能是很重要的。
智能合约
《数据法案》中更有争议的要求之一涉及智能合约的设计。智能合约被广泛定义为“用于自动执行协议或部分协议的计算机程序,使用一系列电子数据记录并确保其完整性和时间顺序的准确性”。数据法案不区分数字合约和使用分布式账本技术的智能合约,也可能影响公共区块链上现有的智能合约。
使用智能合约的应用程序供应商必须确保智能合约提供“访问控制机制”和“非常高的鲁棒性”。他们还需要确保智能合约包含一个终止开关,这是一种可以破坏合约或暂停其操作以“终止交易的持续执行”的机制。
虽然很难确定受这些要求影响的业务的全部范围,但任何智能合约应用的提供商都应仔细考虑如何遵守《数据法案》。
与GDPR相互作用
与仅适用于个人数据的法规(EU) 2016/679(“GDPR”)不同, 《数据法案》的范围更广,因为它适用于个人和非个人数据。因此,正如 《数据法案》第1(5)条明确规定的那样,本条例不影响欧盟和各国关于保护个人数据和隐私的法律,特别是GDPR和指令2002/58/EC(“电子隐私指令”)。
这意味着,只要用户是数据主体, 《数据法案》 授予的所有权利都是对《通用数据保护条例》授予的权利的补充,例如访问权和数据可移植性权。然而,为了限制《数据法案》 的解释或实施可能与现有数据保护法律框架不一致的风险,《数据法案》明确规定,如果《数据法案》 与欧盟关于个人数据和隐私保护的法律或根据该欧盟法律采用的国家法律之间存在冲突,则应以该欧盟或国家法律为准。
执行
虽然《数据法案》在整个欧盟范围内引入了统一的规则,但它将由国家当局执行,并由各个成员国决定他们希望为此指定哪个当局。
《数据法案》 还将适用处罚的决定权交给会员国,但须遵守案文中规定的一些最低要求。处罚必须是“有效的、相称的和劝阻性的”,成员国必须在生效之日起20个月内,即2025年9月12日之前,将这些处罚的实质内容通知欧盟委员会。
然而,欧盟委员会将通过制定准则和实施立法来支持成员国的执法,例如,对共享数据的合理补偿、互操作性规范、示范合同条款或协调的智能合约标准。出于这些原因,企业应该制定一个协调的、集中的欧盟范围内的合规策略。
企业为何需要重视
《数据法案》是一项广泛而高度复杂的立法,将对各种规模的行业和企业产生广泛的影响。鉴于有众多例外,在某种程度上是开放式的条款和看似不明确的定义,《数据法案》将如何在实践中执行仍然存在很多不确定性。
然而,有一件事是明确的:受影响的企业应该立即开始准备其合规策略,并审查产品设计和相关的合同框架。这种准备工作还需要更仔细地分析与每个特定业务和产品相关的法律和技术问题,以及可能适用于或限制《数据法案》下数据流的其他相关法律框架的接口,包括GDPR,以及关于守门人的《数字市场法》。
