9 月 6 日,欧盟发布《<数据法案>常见问题解答》(以下简称《问答》),厘清了《数据法案》(Data Act)与《通用数据保护条例》(GDPR)及欧盟其他法规的关系,并就物联网(IoT)相关的数据访问和使用、企业间数据共享等问题进行了说明。
《数据法案》是欧盟数字治理领域又一部重要法规。与强调数据主体权利、规范数据处理行为的 GDPR 不同,《数据法案》主要关注数据的访问和共享,为包括企业和个人在内的各方主体设定了访问、获取和共享数据的具体规则,以促进数据的合理流通、激活数据市场活力、提升数据作为资源在欧盟经济社会中的使用效率。
本文将结合《问答》,全面梳理《数据法案》的核心内容,并分析出海企业应当如何应对。
《数据法案》的效力与适用
一、《数据法案》的时间效力
《数据法案》于 2023 年 12 月22 日在《欧盟官方公报》上公布,2024 年 1 月 11 日生效,并将于 2025 年 9 月 12 日起实施。
二、《数据法案》的适用范围
根据法案第 1 条第 3 款,《数据法案》适用于:
- 在欧盟市场上销售联网产品的制造商和提供相关服务的提供商,无论其是否在欧盟境内设有经营场所;
- 欧盟境内使用前项所述产品或服务的用户;
- 向欧盟境内的数据接收方提供数据的数据持有者,无论其是否在欧盟境内设有经营场所;
- 欧盟境内的数据接收方;
- 为公共利益执行特定任务因特殊需求而要求数据持有者提供数据的公共部门、欧盟委员会、欧洲央行以及欧盟机构;
- 向欧盟客户提供数据处理服务的提供商,无论其是否在欧盟境内设有经营场所;
- 数据空间的参与者,使用智能合约的应用程序供应商,以及业务涉及在执行协议的情况下为他人部署智能合约的个体。
其中,所谓“联网产品”(connected product),即通常所称之“物联网”(Internet of Things, IoT),是指一种产品,其获取、生成或收集有关其使用或所处环境的数据,并能够通过电子通信服务、物理连接或设备内访问的方式进行数据通信,且其主要功能不是为用户外的其他方存储、处理或传输数据。与之关联的“产品数据”则是指,使用联网产品而产生的数据,这些数据经制造商设计,可以被用户、数据持有者或第三方通过电子通信服务、物理连接或设备内访问的方式提取。
所谓“相关服务”是指一种数字服务(包括软件,但不包括电子通信服务),该服务在购买或租赁时与产品互联,若无该服务则会妨碍产品功能;或者该服务由制造商或第三方随后连接到产品上,以增加、更新或调整产品的功能。与之关联的“相关服务数据”则是指,用户行为数据或联网产品相关事件的数据,这些数据由用户有意记录,或者是在提供相关服务的过程中由用户行为附带产生。
所谓“数据持有者”是指,根据《数据法案》等欧盟及其成员国法律,有权利或义务使用和提供某些数据(包括在合同约定的情况下提取或生成的产品数据或相关服务数据)的自然人或法人。值得注意的是,联网产品的制造商并不总是数据持有者,《数据法案》允许制造商将数据持有者的角色部分或全部地“外包”给另一实体,只需确保用户知情。
三、《数据法案》与 GDPR
虽然《数据法案》与 GDPR 均旨在规范与数据相关的行为,但二者所关注的数据类型并不相同。GDPR 主要关注个人数据,而《数据法案》的立法目的并非是为数据主体提供保护,因此其涵盖的数据范围既包括个人数据,也包括非个人数据。
由于《数据法案》本身并不针对个人数据提供保护,则当《数据法案》与 GDPR 存在冲突时,GDPR 中有关个人数据保护的规定优先适用。不过,《数据法案》也对 GDPR 进行了补充,例如物联网(IoT)场景下有关用户权利的细化规定。
物联网场景下的数据共享
《数据法案》第二章规定了用户访问其使用联网产品或接受相关服务所产生的数据、并要求数据持有者将这些数据与第三方共享的权利,以及相应情形下各方的权利义务。不过,本章规定并不适用于小微企业制造或设计的联网产品或者提供的相关服务所产生的数据(前提是其没有不符合小微企业标准的关联企业,且其未被分包制造或设计联网产品或者提供相关服务),被认定为中型企业不到一年的企业制造的联网产品或者提供的相关服务所产生的数据,以及中型企业制造的联网产品在投放市场后一年内产生的数据。
具体而言,《数据法案》第二章规定了以下内容:
一、向用户披露信息
根据法案第 3 条第 2 款,在签订联网产品买卖或租赁合同前,卖方或出租方应以清晰易懂的方式告知用户:(1)联网产品能够生成的数据类型、格式和预计体量;(2)联网产品能否连续生成实时数据;(3)联网产品能否在设备或远程服务器上存储数据,以及预计的保留期限;(4)用户访问、提取或删除数据的方式,所需的技术手段及相应的使用条款和服务质量。
根据法案第 3 条第 3 款,在签订相关服务合同前,服务提供商应以清晰易懂的方式告知用户:(1)预期数据持有者将获取的产品数据的性质、预计体量、收集频率、存储方式和保留期限,以及用户访问和提取这些数据的方式;(2)将生成的相关服务数据的性质、预计体量、存储方式和保留期限,以及用户访问和提取这些数据的方式;(3)预期数据持有者是否计划自行使用这些数据及其使用目的,以及是否计划允许第三方为与用户商定的目的使用这些数据;(4)预期数据持有者的身份信息,能够与其快速联系、高效沟通的通讯方式,以及(如有)其他数据处理方的身份信息;(5)用户请求将数据与第三方共享以及终止共享的方式;(6)用户有权向法案第 37 条指定的主管机关投诉;(7)预期数据持有者是否持有可从联网产品或相关服务中生成的数据中获取的商业秘密(如其并非商业秘密持有者,则需提供商业秘密持有者的身份信息);(8)用户与预期数据持有者之间合同的期限,以及终止该合同的方式。
二、用户访问权
直接访问:联网产品的制造商和相关服务的提供商需确保,如果技术上可行,则在默认情况下,用户能够以便捷、安全、免费的方式获取产品数据和相关服务数据(包括解读和使用这些数据所需的元数据),并且这些数据应采用全面、结构化、机器可读且常用的格式。
间接访问:如果用户无法直接从联网产品或相关服务中访问数据,则数据持有者应确保用户能够通过电子的、简易的方式请求访问数据。数据持有者在接到请求后,应立即以便捷、安全、免费的方式向用户提供所有其合法获得以及能够轻易合法获取的产品数据和相关服务数据(包括解读和使用这些数据所需的元数据),提供的数据质量应与数据持有者持有的数据相同,且采用全面、结构化、机器可读且常用的格式。如果技术上可行,数据持有者还应持续提供实时数据。
法案并未强制要求数据持有者向用户提供直接访问,而是留有一定的灵活性,数据持有者可以根据自身情况,考虑技术难度、实施成本、保护商业秘密和知识产权的需要等因素,选择向用户提供数据的方式(可以是直接访问、间接访问、或者二者结合)。
三、用户要求与第三方共享
用户或者代表用户的一方有权要求数据持有者将数据共享给其指定的第三方。数据持有者在接到请求后,应立即以便捷、安全、免费的方式向该第三方提供所有其合法获得以及能够轻易合法获取的产品数据和相关服务数据(包括解读和使用这些数据所需的元数据),提供的数据质量应与数据持有者持有的数据相同,且采用全面、结构化、机器可读且常用的格式。如果技术上可行,数据持有者还应持续提供实时数据。此外,数据持有者与第三方的数据共享还需满足法案第 8 条、第 9 条有关企业间数据共享的规定(下文将作详细介绍)。
接收共享数据的第三方,则必须基于其与用户商定的目的和条件处理这些共享数据、尊重数据主体权利。此外,法案禁止该第三方将这些数据提供给“守门人”,或是利用这些数据开发竞争产品。
需注意的是,并非所有主体都可以作为此类共享机制的第三方:
- 法案规定,根据欧盟《数据市场法案》(Digital Markets Act, DMA)认定的“守门人”(gatekeepers,即提供核心平台服务的企业)不得作为此类共享机制的第三方,原因在于“守门人”在数字经济中占据显著的优势地位,强制其他数据持有者与这些企业进行数据共享并不公平。不过,法案并不禁止数据持有者自愿向“守门人”共享数据。
- 《问答》还明确指出,如用户要求将数据共享给设立在欧盟境外的实体,则数据持有者可以拒绝该请求。
四、用户有权访问和共享的数据范围
关于用户有权访问和要求共享的数据范围,《问答》就某些具体情况作出了进一步的阐释:
- 商业秘密:
- 在接到用户请求后,数据持有者(或商业秘密持有者)应识别需共享的商业秘密,并与用户 / 第三方商定必要的技术和组织措施,以保护商业秘密。
- 如果未能就保护措施达成一致,或者用户 / 第三方未能执行这些措施或破坏了商业秘密的保密性,数据持有者可以在有充分证据证明的情况下拒绝或暂停共享商业秘密数据,立即书面通知用户 / 第三方,并通知主管机构(由各成员国根据法案第 37 条指定)。
- 如果作为商业秘密持有者的数据持有者能够基于客观证据证明,即使采取了保护措施,向用户 / 第三方共享商业秘密仍有极大可能导致其遭受严重而不可挽回的经济损失,该数据持有者可以根据具体情况拒绝共享特定数据,立即书面通知用户 / 第三方,并通知主管机构(由各成员国根据法案第 37 条指定)。
- 涉及重大安全风险:如果将导致联网产品不再满足欧盟及其成员国法律设定的安全标准,并对自然人的健康和安全造成严重不利影响,则数据持有者可以和用户约定限制或禁止数据的访问、使用和进一步共享。此情形需通知主管机构(由各成员国根据法案第 37 条指定)。
- 多用户场景:如果某一联网产品同时有多个用户(例如租车公司购买联网汽车用以出租,租车公司与承租人均是该联网汽车的用户),则数据持有者应确保存在相应机制使每个用户都能够访问其有权获得的数据。
- 历史数据:历史数据(包括前用户数据)原则上应属于数据用户有权访问和共享的范围,原因在于用户可能对这些数据存在合法利益。但同时必须尊重前用户的权利以及其他适用的法律,例如用户的删除请求,对个人数据和商业秘密的保护等。
五、数据持有者使用数据的限制
除了个人数据的处理需遵守 GDPR 的规定外,《数据法案》还要求数据持有者在处理非个人数据时:
(1)必须基于合同约定的使用目的处理其从用户处合法获取的非个人数据,不得以任何方式利用这些数据获取用户的经济状况、资产或生产方式等信息;
(2)不得将其从用户处合法获取的非个人数据提供给第三方,除非是为履行与用户之间的合同。
企业间的数据共享
《数据法案》第三章和第四章对企业间的数据共享作出了规定。
一、自愿的数据共享
在不违反 GDPR 等其他欧盟及其成员国法律的情况下,企业间可以自愿进行数据共享、并通过协议对相关事项作出安排。
法案并未对自愿的数据共享进行过多干预,仅需注意不得施加不公平的合同条款即可。何为“不公平的合同条款”将于后文作进一步阐述。
二、基于法定义务的数据共享
企业可能因欧盟及其成员国法律规定而负有向其他企业共享数据的义务(例如前文所述,物联网场景下用户请求与第三方共享数据的情况),则其作为数据持有者,应与数据接收者商定数据共享的具体安排,以公平、合理、非歧视的条件(fair, reasonable, and non-discriminatory conditions,FRAND 条件)透明地提供数据,不得施加不公平的合同条款。
为平衡双方利益,法案规定企业在基于法定义务向数据接收者共享数据时,可以要求对方支付合理补偿。在计算合理补偿时,应特别考虑向数据接收者共享数据的成本、以及收集和处理这些数据所投入的成本,并可以包含一定利润。但是,如果数据接收者为中小企业(SME)或非营利性研究机构,且其没有不符合 SME 标准的关联企业,则合理补偿的金额不得超过向其共享数据的成本。合理补偿的计算标准和计算依据必须向数据接收者提供。
三、不公平的合同条款
有关数据的访问与使用、或者数据相关义务违约或终止的责任和补救措施的合同条款,如果是一方强加、且是不公平的,则该条款对另一方不具约束力。
所谓“一方强加”,是指合同条款由一方提供,而另一方在尝试协商后仍无法影响其内容。
所谓“不公平”,是指合同条款严重偏离数据访问与使用方面的良好商业惯例,违背诚实信用和公平交易的原则。法案列举了一个非详尽的清单:
(1)存在下列情形之一的,合同条款将被认为是不公平的:
- 排除或限制强加条款一方故意或重大过失行为的责任;
- 排除强加条款一方在不履行合同义务时另一方可以采取的救济措施,或者排除强加条款一方违反合同义务时的违约责任;
- 赋予强加条款一方判定所提供的数据是否符合约定、或者解释所有合同条款的专属性权利。
(2)存在下列情形之一的,合同条款将被推定为是不公平的,除非被证明公平:
- 不合理地限制不履行合同义务时的救济措施或违反合同义务时的违约责任,或者扩大被强加条款一方的责任;
- 允许强加条款一方以严重损害另一方合法利益的方式访问和使用数据,尤其是涉及商业敏感信息、商业秘密或知识产权的情况;
- 禁止被强加条款一方在合同期内使用其提供或生成的数据,或者限制其使用这些数据,以至其无法充分使用、获取、访问或控制这些数据或者利用其价值;
- 禁止被强加条款一方在合理期间内终止合同;
- 禁止被强加条款一方在合同期内或者合同终止后的合理期间内获取其提供或生成的数据副本;
- 允许强加条款一方在不合理的短时间内通知并解除合同(除非有重大理由,还需考虑另一方进行替代交易的可能性以及因合同解除造成的经济损失);
- 允许强加条款一方在无正当理由的情况下实质性地变更合同约定的价格或者变更数据共享的性质、格式、质量和数量等实质性条件,同时另一方不享有此情形下的合同解除权。
数据处理服务的切换
《数据法案》允许数据处理服务的用户在不同服务提供商之间切换,这将使用户得以自由选择最符合其需求的服务,也将使服务提供商获得更广泛的客户群体。
所谓“数据处理服务”,是指向用户提供的一种数字服务,其允许用户随时随地通过网络按需访问一个共享的、可配置、可扩展且弹性的计算资源池,包括云服务(cloud service)和边缘服务(edge service)等。这一概念涵盖了基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种主流的交付模型,并保有一定开放性。
法案要求,数据处理服务的提供商必须遵守如下法定义务,以消除用户切换服务面临的障碍:
(1)在合同中明确用户切换服务的权利,以及此种情况下服务提供商的义务;
(2)向用户披露数据处理服务切换和迁移的信息(包括切换和迁移的方法、格式,以及技术等方面的限制),并提供由服务提供商维护的最新在线登记册,其中应包含数据结构与格式的详细信息、以及相关标准和开放互操作性规范;
(3)诚实信用义务,即与其他各方真诚合作,使用户能够有效切换服务;
(4)逐步减少切换服务的费用(该费用不得超过服务提供商因用户切换服务而产生的成本),并于 2027 年 1 月 12 日后不再收取费用;
(5)基础设施即服务(IaaS)的提供商必须采取措施以确保用户在切换到同类服务后能够实现功能上的等效性;其他数据处理服务提供商则必须提供开放接口,并在欧盟相关标准或规范发布后 12 个月内确保与之兼容。
防止第三国政府非法访问数据
《数据法案》规定,数据处理服务提供者应采取一切合理措施,防止第三国(即欧盟以外国家)政府非法访问和传输存储在欧盟境内的非个人数据。
第三国发布决定或判决要求数据持有者提供或传输《数据法案》规定的非个人数据,只有在该第三国与欧盟或欧盟成员国之间存在有效的国际协议时才能被承认和执行。如无有效的国际协议,则该第三国只能在特定条件下访问和传输数据,欧盟委员会与欧洲数据创新委员会(EDIP)将发布相关指南。
合规建议
《数据法案》明确了数据共享的规则,规定了用户、数据持有者、数据接收者等各方的权利和义务,从而对数据的价值进行了相对公平合理的分配。但是,该法案的开创性与前瞻性也使得出海企业在数据合规领域面临着不小的挑战。在此,我们提醒出海企业特别注意以下几点:
- 尊重数据主体权利、保护个人数据:个人数据保护永远是监管者关注的重点。相较于《数据法案》,GDPR 中有关个人数据保护的规定在适用上具有优先性,因此企业在处理、传输个人数据等活动中仍需严格遵守 GDPR,尤其需关注数据最小化、透明度和数据主体权利等。
- 及时响应用户请求:《数据法案》对用户请求访问数据、与第三方共享数据、以及切换数据处理服务等权利作出了进一步规定,企业应确保存在相应机制以供用户提出请求、并对请求作出响应。
- 公平、合理、善意地进行数据共享:《数据法案》尤其关注数字经济环境下的公平性,企业应公平、合理、善意地进行数据共享。例如,数据持有者不得对同类数据接收者差别对待,向其他企业共享数据的条件和对价应当合理,以便捷、安全的方式和全面、结构化、机器可读且常用的格式提供数据,以及向其他各方提供必要的协助等。
- 确保数据共享活动安全、合规:企业在进行数据共享时,需部署适当的技术和组织措施,以确保数据传输过程的安全性与合法性,防止数据泄露和未经授权的访问。