《欧洲数据法案解读》译文

为什么制定《数据法案》？

《数据法案》(Data Act, https://eur-lex.europa.eu/eli/reg/2023/2854/oj)是一项旨在增强欧盟数据经济并促进竞争性数据市场的法律，其方式是提高数据（特别是工业数据）的可访问性和可用性，鼓励数据驱动型创新、增加数据的可及性。为实现这一目标，《数据法案》确保了数据经济中各参与者之间的价值分配公平性，明确了“谁可以使用什么数据”以及“在什么条件下使用”的问题。想要了解更多深入信息，请查阅《数据法案》常见问题解答(https://digital-strategy.ec.europa.eu/en/news/commission-publishes-frequently-asked-questions-about-data-act)。

近年来，欧洲市场上连接互联网的产品（“联网产品”）迅速增长。这些产品共同构成了一个被称为物联网（IoT）的网络，显著增加了欧盟可重复使用的数据量。这代表了欧盟创新和竞争力的巨大潜力。

《数据法案》赋予联网产品用户（拥有、租赁或租用此类产品的企业或个人）更大的控制权来管理他们产生的数据，同时保持对投资数据技术的人的激励。此外，它为企业有法律义务与另一企业共享数据的情况制定了一般条件。

《数据法案》还包括促进欧洲云市场公平性和竞争性的措施，并保护企业免受强势参与者强加的与数据共享相关的不公平合同条款。它还建立了一种特别机制：公共部门机构可以在特殊需求的情况下（例如公共紧急情况）向企业请求数据，并为如何提出此类请求提供了明确的规则。此外，它引入了保障措施，以避免第三国政府机构在违反欧盟或国家法律的情况下访问非个人数据。

最后，《数据法案》定义了关于互操作性的基本要求，以确保数据可以在部门和成员国之间无缝流动，这由通用欧洲数据空间 (Common European Data Spaces, https://digital-strategy.ec.europa.eu/en/policies/data-spaces) 保障，以及在数据处理服务提供商之间流动。

《数据法案》于2023年12月22日在欧盟官方公报(https://eur-lex.europa.eu/eli/reg/2023/2854/oj)上公布，将于2025年9月12日开始适用。

《数据法案》是对数据治理法案(Data Governance Act, https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained) 的补充，后者是欧洲数据战略 (European strategy for data, https://europa.eu/!7jbCBV) 的首个成果。数据治理法案于2023年9月开始适用。数据治理法案增加了对数据自愿共享机制 (voluntary data-sharing mechanisms) 的信任，而《数据法案》则为数据的访问和使用提供了法律明确性。

与其他政策措施和资金机会一起，这两项法规将有助于建立欧盟单一数据市场，通过利用日益增长的数据量（尤其是工业数据）的潜力，使欧洲成为数据经济的领导者，造福欧洲经济和社会。

解决的问题

在设定法规范围和定义关键术语的一般条款（第一章）之后，《数据法案》分为六个主要章节^[1]：

第二章——关于物联网背景下的企业对企业和企业对消费者的数据共享：物联网对象的用户可以访问、使用和传输他们通过使用联网产品共同产生的数据。

第三章——关于企业对企业的数据共享：本章澄清了企业在法律要求（包括通过《数据法案》）与另一企业共享数据时的数据共享条件。

第四章——关于不公平合同条款：本章的条款保护所有企业，特别是中小企业，免受强加给它们的不公平合同条款的影响。

第五章——关于企业对政府的数据共享：公共部门机构将能够在某些特殊需求情况下，通过获取私营部门持有的某些数据来做出更多证据支持的决策。

第六章——关于在数据处理服务之间切换：云计算和边缘计算服务的提供商必须满足最低要求，以促进互操作性并实现切换。

第七章——关于第三国政府非法访问数据：存储在欧盟的非个人数据受到保护，禁止非法的外国政府访问请求。

第八章——关于互操作性：数据空间的参与者必须满足标准，以允许数据在数据空间内部和之间流动。欧盟存储库将制定云互操作性的相关标准和规范。

第九章——关于执行：成员国必须指定一个或多个主管机构来监督和执行《数据法案》。如果指定了多个机构，必须指定一个“数据协调员”作为国家层面的单一联络点。

第二章：关于物联网市场背景下的企业对企业和企业对消费者数据共享

为什么？

《数据法案》的一个关键目标是在数据经济中创造公平性，并赋予用户从他们拥有、租赁或租用的联网产品所产生的数据中获取价值的能力。

《数据法案》使联网产品（如联网汽车、医疗和健身设备、工业或农业机械）和相关服务（即任何使联网产品以特定方式运作的事物，如调节灯光亮度的应用程序，或调节冰箱温度的应用程序）的用户能够访问他们通过使用联网产品/相关服务共同产生的数据。

此类数据的可用性将对经济产生重大影响。例如，联网产品和相关服务产生的数据可用于促进售后和辅助服务，以及创造全新的服务，这将使企业和消费者受益。

联网产品示例：消费品（如联网汽车、健康监测设备、智能家居设备），其他产品（如飞机、机器人、工业机械）。

相关服务示例：用户购买洗衣机并安装一个应用程序，该程序允许他们根据机器内不同传感器的数据测量洗涤周期的环境影响，并相应地调整洗涤周期。这个应用程序将被视为相关服务。

售后和辅助服务示例：维修和保养服务、基于数据的保险。

范围内的数据类型

《数据法案》第二章关于企业对企业和企业对消费者数据共享适用于所有由联网产品或相关服务使用所产生的、数据持有者（如联网产品制造商/相关服务提供商）可获得的原始和预处理数据，换言之，这些数据可以在不付出超出简单操作的范畴的努力 (without disproportionate effort, going beyond a simple operation) 的情况下轻松访问。这适用于个人和非个人数据，包括相关元数据。

此类数据包括从单个传感器或连接的传感器组收集的数据，如温度、压力、流量、音频、pH值、液位、位置、加速度或速度。

推断或衍生的数据和内容 (Inferred or derived data and content) （如高度富集的数据、视听材料）不在范围内。此外，《数据法案》不影响知识产权保护法律。

例如，如果用户在联网电视上观看电影，电影本身不在范围内，但屏幕亮度的数据在范围内。

实践

《数据法案》第二章允许用户（即拥有、租赁或租用联网产品的任何法人或自然人）访问他们通过使用联网产品或相关服务产生的数据。如果用户希望与另一实体或个人（“第三方”）共享此数据，他们可以直接这样做，或者可以要求数据持有者与他们选择的第三方共享（不包括《数字市场法》 (Digital Markets Act) 下的看门人 (gatekeepers)）。数据持有者通常是制造联网产品或提供相关服务的公司。数据持有者必须与用户签订合同（如销售合同、租赁合同、相关服务合同等），定义关于联网产品或相关服务生成的数据的访问、使用和共享权利。需要注意的是，数据持有者未经用户同意不能使用产品产生的任何非个人数据。

举例说明，并牢记相关合同决定确切角色：

• 一家公司操作推土机：数据持有者通常是推土机制造商，用户是操作推土机的公司。

• 如果有人购买联网冰箱并下载一个帮助调节冰箱内最佳温度的应用程序，可能会有两个数据持有者，即将冰箱投放市场的实体和提供相关服务（应用程序）的实体，和一个用户（冰箱的所有者）。

《数据法案》包括几种机制，使用户更容易利用这些规定：数据持有者必须向用户提供有关使用联网产品或相关服务时将生成的数据类型的信息（包括数据量、收集频率等）；用户应能够通过简单的流程请求访问数据；数据持有者必须免费向用户提供数据。

数据使用的限制

为了不阻碍企业投资数据生成产品 (data-generating product)，获得的数据不能用于开发竞争性联网产品。《数据法案》不禁止在相关或售后服务方面的竞争。此外，《数据法案》并不要求数据持有者与欧盟境外的第三方共享数据。

《数据法案》完全符合数据保护规则 (data protection rules)，特别是《通用数据保护条例》(GDPR)。当用户不是被请求数据的数据主体时，只有在存在有效法律依据（如同意 (consent)）的情况下才能提供个人数据。这是一个重要考虑因素，因为共同产生的数据通常包含个人和非个人数据，可能难以分离。

它激励基于新数据流开发联网产品和服务，这对小型公司特别有价值。此外，小微企业 (micro and small companies) 作为相关服务的制造商或提供商，不受与大公司相同的义务约束。

为了保护商业秘密 (trade secrets) 而不损害《数据法案》并让更多数据可用，数据持有者和用户/第三方可以就某些措施达成一致，以保护商业秘密的机密性。如果这些措施未得到遵守，数据持有者可以扣留或暂停 (withhold or suspend) 数据共享。只有在数据持有者能够证明披露商业秘密极有可能造成严重经济损失的情况下，才可以拒绝共享数据。

如果存在联网产品的安全要求可能被破坏的风险，从而对人员的健康、安全或安保产生严重不利影响，数据持有者和用户可以同意限制数据共享。此类要求必须在欧盟或国家法律中规定。

如果数据持有者因商业秘密保护或安全要求而暂停、扣留或拒绝共享数据，必须通知国家主管机构。用户可以向成员国的主管法院或法庭、通过向主管当局投诉或在与数据持有者达成一致的情况下向争端解决机构提出质疑。

第三章：关于强制性企业对企业数据共享规则

为什么？

《数据法案》为企业（“数据持有者”）根据欧盟或国家法律，有法律义务向另一企业（“数据接收者”）提供数据的情况制定了规则，包括在物联网数据的背景下。值得注意的是，数据共享条款和条件必须公平、合理且非歧视性。

作为数据共享的激励，有数据共享义务的数据持有者可以向数据接收者要求“合理补偿” (reasonable compensation)。

范围内的数据类型

《数据法案》第三章适用于企业持有的所有数据（个人和非个人数据），包括《数据法案》第二章涵盖的情况。

实践

数据持有者可以要求合理补偿，以弥补向数据接收者提供数据的成本。这可能包括提供数据所产生的成本以及与传播和存储相关的技术成本。然而，微型企业、中小企业和非营利研究机构收取的费用不得超过提供数据所产生的成本。

为了保护数据持有者，《数据法案》包括一个非详尽的措施清单，以纠正第三方或用户非法访问或使用数据的情况。例如，数据持有者可以要求侵权方停止生产相关产品或销毁非法获得的数据，或者寻求赔偿。

任何先于《数据法案》的数据共享义务不受影响。未来（行业）立法中的义务应与《数据法案》第三章的规定保持一致。

第四章：不公平合同条款

为什么？

合同自由是企业对企业关系的核心。然而，《数据法案》旨在通过其措施保护所有寻求获取数据的欧洲企业，特别是中小企业，防止不公平的合同条款。这些措施适用于例如一方企业处于较强的谈判地位（如由于其市场规模）并对另一方强加与数据访问和使用相关的不可协商条款（“要么接受，要么放弃”, ‘take-it-or-leave-it’）的情况。

范围内的数据类型

这些规则涵盖私人实体持有的所有数据，无论是个人还是非个人数据，这些数据是基于企业之间的合同访问和使用的。

实践

单方面强加的“要么接受，要么放弃” (‘take-it-or-leave-it’) 条款，如果涉及数据可用性，可能会受到不公平测试的约束。

《数据法案》建立了一个非详尽的条款清单，其中包括始终被视为不公平的条款（例如，排除或限制单方面强加条款的一方对故意行为或重大过失的责任 (that would exclude or limit the liability of the party that unilaterally imposed the term for intentional acts or gross negligence)）和被推定为不公平的条款（例如，不适当地限制合同义务不履行或违反相关义务情况下的补救措施或责任，或扩大单方面被强加条款的企业的责任）。如果一个条款被认为是不公平的，它将不再有效——在可能的情况下，它将直接从合同中删除。如果它被推定为不公平，强加该条款的实体可以尝试证明该条款不是不公平的。

第五章：企业对政府数据共享

为什么？

私人实体持有的数据可能对公共部门机构执行公共利益任务至关重要。《数据法案》第五章允许公共部门机构在特殊需求的情况下，根据某些条款和条件访问此类数据。特殊需求指的是不可预见且时间有限的情况，其中私人实体持有的数据对于执行公共利益任务是必要的，特别是为了改善证据支持的决策。特殊需求情况包括公共紧急情况（如重大自然或人为灾害、大流行病和网络安全事件）和非紧急情况（例如，来自驾驶员GPS系统的聚合和匿名数据可用于帮助优化交通流量）。

《数据法案》将确保公共机构能够及时可靠地访问此类数据，而不会给企业带来不当的行政负担。

范围内的数据类型

根据第五章，所有数据都在范围内，重点是非个人数据。

《数据法案》第五章关于企业对政府数据共享分为两种情况：

• 为了应对公共紧急情况，公共部门机构应请求非个人数据。然而，如果这不足以应对情况，可以请求个人数据。在可能的情况下，数据持有者应对这些数据进行匿名化处理。

• 在非紧急情况下，公共部门机构只能请求非个人数据。

主要利益相关者

有权请求数据的实体包括成员国的公共部门机构以及某些欧盟机构、机关和机构。这些实体在某些条件下也可以与从事研究和资助研究的组织共享数据。

在企业对政府请求的背景下，数据持有者通常是私人实体，但也可能包括公共企业。

实践

公共部门机构可以在某些条件下，要求数据持有者立即提供某些数据以应对公共紧急情况。《数据法案》定义了公共紧急情况 (public emergency)；但其存在是根据国家或欧盟程序或法律确定的。

对于与公共紧急情况无关的特殊需求，如果公共部门机构能够证明无法通过其他方式获取数据，它可以请求非个人数据以履行法律规定的公共利益特定任务。

在两种情况下（紧急和非紧急），请求必须遵守一些严格的原则和条件。例如，请求必须具体、透明和适度 (specific, transparent and proportionate)，商业秘密必须受到保护，数据在不再需要时必须删除。

下表总结了企业在这种情况下向公共部门机构提供数据时可以提出的要求。

根据《数据法案》第五章提供数据的补偿

为了最大限度地减少对企业的负担，同一数据不能被多个公共部门机构请求超过一次（“一次性原则”, ‘once-only principle’）。因此，所有请求都必须由数据协调员(data coordinator)公开（除非存在安全考虑）。

第六章：关于在数据处理服务之间切换

为什么？

为了确保欧盟市场的竞争性，数据处理服务（包括云服务和边缘服务 (cloud and edge services)）的客户应能够无缝地从一个供应商切换到另一个供应商。然而，客户目前面临一些障碍，包括与数据出口相关的高额费用、冗长的程序以及供应商之间缺乏互操作性，这可能导致数据和应用程序的丢失。

《数据法案》将使切换变得免费、快速和流畅。这将使客户受益，他们可以自由选择最符合其需求的服务，供应商也将从更大的客户群中受益。

范围

《数据法案》第六章适用于数据处理服务提供商（即支持全面的和按需网络访问的数字服务，如网络、服务器或其他虚拟或物理基础设施和软件）。包括对切换至关重要的数据如客户使用服务产生的输入和输出数据，也包括元数据，但不包括受知识产权保护或构成服务提供商商业秘密的数据。

实践

为了克服云市场中供应商和客户之间的权力不平衡，《数据法案》为云合同 (cloud contracts) 的内容设定了最低要求。特别是，来自私营和公共部门的客户将从更大的合同透明度中受益。

《数据法案》包括确保客户能够快速、顺利地从一个数据处理服务提供商（"源供应商"）切换到另一个（“目标”）供应商的措施，而不会丢失任何数据或应用程序的功能。例如，平台和软件即服务的提供商必须提供开放接口，并至少以常用的机器可读格式导出数据。基础设施即服务的提供商必须采取措施，以便在客户切换到同类型的服务时，客户能够在两种服务共享的功能上获得实质上可比的结果（“功能等效”）。作为这种措施的一个例子，源供应商可能需要使用工具将计算工作负载从一种虚拟化技术 (virtualization technology) 转移到另一种。

所有供应商都必须消除客户在想要切换到另一个供应商或同时使用多项服务时可能面临的障碍。

从2027年1月12日起，《数据法案》还将完全取消切换费用，包括数据出口费用（即数据传输费用）。这意味着供应商将无法向客户收取促进切换或数据出口所需操作的费用。然而，作为《数据法案》生效后为期三年的过渡措施（从2024年1月11日至2027年1月12日），供应商仍可能向客户收取与切换供应商和数据输出相关的费用。

第七章：关于第三国政府非法访问数据

为什么？

有时，欧盟以外国家（“第三国”）发布的决定或判决旨在允许政府访问和传输在欧盟境内处理和存储的非个人数据。然而，在某些情况下，授予此类数据的访问或传输可能实际上是非法的，特别是当该请求与欧盟法律和对个人基本权利保护的保障、国家安全利益或商业敏感数据相冲突时。

《数据法案》遵循《数据治理法案》关于防止非法第三国政府访问和传输欧盟持有的非个人数据的规定。这些规定不影响常规的企业对企业数据共享。它们增加了非欧盟政府机构访问或传输非个人数据的过程和条件的透明度和法律确定性。

适用数据类型

欧盟境内数据处理服务提供商持有的任何非个人数据。

实践

《数据法案》并不禁止跨境数据流动，但确保欧盟对数据的保护随数据传输到欧盟境外 (protection afforded to data in the EU travels with any data transferred outside the EU)。

在此背景下，《数据法案》为外国公共部门机构请求访问欧盟境内持有的非个人数据制定了规则和保障措施。这些规定不影响与执法相关的合法国际合作。

如果没有规范第三国政府访问欧盟境内非个人数据的国际协议，数据只能在特定条件下传输或访问。这些条件涉及第三国法律体系需满足的某些保障欧洲权利的保证，包括要求在决定中阐明理由并评估相称性 (assess the proportionality)。此类决定针对的数据处理服务提供商可以联系相关国家机构，以协助评估是否满足《《数据法案》》规定的条件。为帮助评估是否满足这些条件，欧盟委员会将与欧洲数据创新委员会（根据《数据治理法案》成立的专家组，旨在促进最佳实践的共享和优先考虑跨部门互操作性标准）共同制定指南。

数据处理服务提供商应采取一切合理措施（如加密、审计、遵守认证计划）防止对其存储非个人数据的系统的访问。这些措施应在其网站上公布。此外，在可能的情况下，他们应在允许访问其数据之前通知客户。

第八章：关于互操作性

为什么？

标准和互操作性是确保不同来源的数据能在共同欧洲数据空间内外使用，以促进研究和开发新产品或服务的关键。为此，《数据法案》制定了数据空间参与者必须遵守的一些基本要求，欧盟委员会可通过授权法案进一步具体规定这些要求。

它还旨在确保数据处理服务之间的互操作性；这将使客户受益于更便捷的供应商切换。

主要利益相关者

本章针对向其他参与者提供数据或基于数据的服务，并促进或参与数据空间内数据共享的数据空间参与者。

它还涉及智能合约供应商 (vendors of smart contracts) 以及数据处理服务提供商。

实践

数据空间参与者应遵守若干基本要求，以允许数据在数据空间内部和之间流动。例如，数据结构、数据格式和词汇的描述（如有）应公开可访问。此外，还应确保数据共享协议（如智能合约）的互操作性。

《数据法案》还为通过统一标准和开放的互操作性规范提高数据处理服务的互操作性奠定了基础。

此外，它还对自动执行数据共享协议的智能合约供应商制定了要求，例如确保他们正确执行数据共享协议的规定，并能抵御第三方的操纵。

欧盟委员会将评估互操作性障碍并确定标准化需求的优先顺序，据此可要求欧洲标准化组织起草符合上述要求的统一标准。

如果该请求未能产生统一标准，或标准不足以确保与《数据法案》的一致性，委员会可采用通用规范作为后备解决方案。应欧洲数据创新委员会的反馈意见，以开放和包容的方式制定这些规范。

第九章：关于执行和总体规定

成员国将指定一个或多个（新的或现有的）主管机构，以确保《数据法案》的有效实施。如有多个主管机构，成员国必须指定其中一个为“数据协调员” (data coordinator)。数据协调员将作为 “一站式服务机构” (one-stop shop)，处理与在国家层面实施《数据法案》有关的所有问题，为企业和公共机构应用《数据法案》提供便利。例如，如果企业寻求对《数据法案》下其权利受侵犯的补救，数据协调员应（根据要求）提供所有必要信息，帮助其向合适的主管机构提出投诉。数据协调员还将促进跨境情况下的合作，例如当某个成员国的主管机构不知道应该与数据协调员所在成员国的哪个机构联系时。

欧盟委员会将保存一份主管机构和数据协调员的公共登记册。

欧洲数据创新委员会将促进主管机构之间的讨论，例如协调并通过关于对违反《数据法案》行为设置处罚的建议。处罚由主管机构设定，根据《数据法案》，处罚应当有效、相称且具有威慑力 (effective, proportionate and dissuasive)。

成员国可以自行决定是否设立经认证的争端解决机构，以协助无法就公平、合理和非歧视性的数据可用条款达成一致的各方。各方可自由选择任何争端解决机构 —— 无论是在其所在成员国还是其他成员国。

经认证的争端解决机构和专门的主管机构将使公司，特别是小企业，更容易行使其在《数据法案》下的权利。它们为相关方提供了简单、快速且低成本的解决方案。

  下一步  

欧洲数据战略为欧盟成为数据经济领导者制定了路径。这将通过创建一个欧洲数据单一市场来实现，在这个市场中，数据可以在部门和成员国之间以安全和可信的方式流动，从而造福经济和社会。通过确保利益相关者之间数据价值分配的公平性，《数据法案》是实现这一愿景的关键要素。

《数据法案》将于2025年9月12日开始适用。

为帮助企业适应这些新规则，欧盟委员会将推荐一套示范合同条款，以帮助企业签订公平、合理和非歧视性的数据共享合同（《数据法案》第二章和第三章）。这些条款还将就合理补偿和商业秘密保护提供指导。欧盟委员会还将推荐一套非约束性的云计算合同标准条款，适用于云服务用户和提供商之间。目前已成立专家组协助欧盟委员会起草此类条款，计划在2025年秋季前提出建议。

在《数据法案》实施三年后，欧盟委员会将对其影响进行评估。在此基础上，如有必要，欧盟委员会可能会提议修订该法案。