背景
欧盟委员会2022年2月23日发布了《关于公平获取和使用数据的统一规则(数据法案)》提案(Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data)。该提案又被称为数据法案(Data Act),是2020年发布的《欧洲数据战略》下在《数据治理法》(Data Governance Act)之后的第二个重要立法提案。
欧洲数据战略致力于建构“单一数据市场”,从维护和平衡数字经济各参与主体权益的角度出发,促进尚未被有效利用数据的充分、自由流动,进而激活以数据为驱动的产品服务创新升级,提升欧盟在全球的竞争力水平。为实现该目标,在《通用数据保护条例》之后,欧盟陆续发布《欧洲数据治理条例》和《非个人数据自由流动条例》,本次提案也延续了欧盟数据治理的思路,细化了数据在各主体之间流通的规则,进一步提升了法律的示范性和约束力。
一、《数据法案》提案的概况
《数据法案》提案于2021年5月开始征求成员国意见,并基于各国的意见反馈对法案可能带来的经济、社会和环境等方面的影响进行了详尽的评估。该提案从同年6月到9月之间向公众征集意见,并于2022年2月23日正式发布提案。在欧洲数据保护规则框架下,提案进一步厘清了企业、公共机构、个人用户等主体在数据流转中的权责关系,细化补充了数据流转的具体规则,将有助于促进欧盟数据的访问和使用,激活数据在提振经济、提升效率和助力政府决策方面的价值。
《数据法案》提案的重点内容主要包括四个方面:一是细化了数据可携权的规定;二是进一步补充了“企业到政府”(B2G)数据流通的规则;三是致力于促进企业间的数据流动,着力保护中小企业参与市场竞争;四是为互操作的实施提供了详尽、可落地的实施指引。
二、提案的主要内容
(一)细化数据可携权的规定
在互联网和智能网联设备为用户带来诸多便捷的同时,用户与企业之间关于数据权属、数据保护和数据利用方式之间的争议和摩擦不断,数据带来的垄断和公平竞争问题也日益得到各国的重视。在此背景下,数据可携权应运而生。《通用数据保护条例》和《数据可携权指南》提出并定义了数据可携权的概念,赋予用户取得自动化方式收集处理的数据副本并将其传输至另一数据持有者的权利。在该基础上,本次提案对数据服务提供商和用户的权利和义务均进行了更为清晰的规制。
对数据服务提供商而言,其需要在书面合同中与用户明确约定数据可携的权利。在用户提出申请后,需要向第三方免费提供因提供产品和服务而产生的数据,不得无故拖延,并保证数据质量应与数据持有者本身可获得的质量相同。在条件允许的情况下,还应连续、实时地提供。在提供数据处理服务时,也需要确保用户不会因商业、技术、合同和组织等方面的障碍而被“锁定”。服务器和网络等服务商则需要确保用户在选择由不同主体提供的数据处理服务时不会因网络基础设施等因素而产生障碍。提案也为数据服务提供商设置了严格的时限,其需要在30日的最长过渡期内协助用户完成迁移,在该期限内确有困难时,则需要在 7日内通知用户,详细告知技术方面不可行的原因,并在不超过6个月的时间内提供替代方案。
对接收数据的第三方而言,为保护数据服务提供商的权益,提案要求不得将获取的数据用于开发竞品或除服务所必需外将收到的数据以原始、汇总或衍生的形式提供给其他方。数据接收方也需要依照与数据服务提供商的协议对所涉及的商业秘密加以保护,支付相应的报酬。为控制可携权可能带来的垄断效应,被认定为“守门员(Gatekeeper)”的核心平台提供者也不得以提供补贴在内的任何方式引诱用户迁移到自己的平台,从而尽可能在用户和数据服务提供商的合法权益间寻求相对的平衡。
(二)明确公共机构获取企业数据的权利
为使公共机构在紧急情况下便捷、公平和透明地获取数据,提案进一步明确了公共部门提出数据获取需求的方式和条件,为B2G数据流通带来更多确定性。
提案首先明确公共机构仅可在自然灾害、传染病防治等公共紧急情况下才可向企业提出数据需求,不得因刑事侦查、行政案件或海关税务管理等原因要求企业提供数据。第二,提案要求仅有当数据无法通过市场购买、无法从现有渠道及时获取、无法及时通过新立法等情况下才可要求企业提供数据。第三,该数据需求必须清晰明确,并提供该数据需求提出的具体原因、计划使用的方式和时间、所依据的法律基础等内容。最后在提出需求时,公共机构也需要充分考虑比例原则、企业保护商业秘密的合法需求、企业需要花费的成本和精力等因素。
对企业而言,提案一方面赋予其根据匿名化等技术成本、管理成本而获得经济补偿的权利,另一方面为企业拒绝或协商更改数据需求提供了详细、可落地的程序规范和争端解决机制。另外值得注意的是,提案明确免除小微企业不负有该项义务,进一步为小微企业提供了额外的保护。
(三)促进企业间数据的流通
欧盟委员会认识到企业间数据流通的一大障碍在于具有更强谈判能力的数据持有者可能会单方面施加不公平的交易条件,因而可能导致数据流通的磋商困难、成本畸高,也可能使具有竞争优势的企业利用数据壁垒阻止新参与者进入市场。为使初创企业和中小企业等更多参与方受益于数据带来的价值,鼓励数据驱动的产品和服务创新,降低整个欧盟的数据处理成本,提案对企业间数据交易合同条款是否公平进行了定义。当合同条款包含排除或限制故意或有重大过失一方的责任、排除合同相对方寻求救济的权利、赋予单方解释合同条款权利的内容时,该合同条款即违背了提案关于交易公平的要求。
此外,针对实践中普遍存在的“全盘接受或放弃(take it or leave it)”问题,当作为合同相对方的小微企业无法通过磋商对合同的内容施加影响时,提案也要求起草该合同的企业对该合同的公平性承担举证责任。
(四)促进数据服务的互操作
为应对云服务等市场中的“锁定效应”,更好地保障个人用户和企业选择数据处理服务的权利,提案要求数据服务提供商确保其服务的互操作性。具体而言,其义务包括详细描述数据集内容、数据结构、数据格式、分类方案、代码列表等内容,以便于接收者能够查找、访问和使用数据;通过API等方式提供访问数据的技术手段,实现跨主体间机读数据的自动访问和持续实时传输;通过具有访问控制、安全控制交易、可审计、可存档的智能合约提供互操作的具体方案等等。
为进一步落地互操作的要求,提案也明确欧盟委员会可要求一个或多个标准化组织起草智能合约和其他互操作涉及的架构模型和技术标准。同时,提案也明确提出欧盟委员会可通过起草和发布不具有强制力的示范合同来帮助交易各方起草和协商合同权利义务。
三、简评
欧盟在数据立法的总体逻辑下不断为不同主体、不同数据类型、不同交易场景细化规范的思路值得借鉴。提案进一步构建了欧盟的数据权利体系,为各类市场参与主体赋予合理适度的权利,并为可能出现的权利冲突设计了相应的监管机制和争端解决规则。本次立法提案也及时关注到云产业发展的关键问题和智能合约等技术所带来的机遇和挑战,鼓励可移植、互操作的技术发展,为产业和技术的发展框定了合规发展的基本规则。此外,在法规涵摄的原则之下,欧盟委员会也着力通过标准化组织和示范合同等方式为业界厘清不同场景、不同行业的合规风险点和需要关注的核心问题,从而为业界的发展提供更具针对性、可落地的指引。
本次立法提案所涉及的B2G数据流通仅适用于紧急情况下公共机构如何获取企业数据的问题,对公共机构而言,有助于为其提出数据需求提供合法依据、程序规范和具体规则指引;对企业而言,也可以在一定程度上减弱企业的顾虑,并可为付出的相应成本寻求部分补偿,总体上较好地平衡了紧急情况下公私主体的权责,但实践中政企数据融合应用的迫切需求仍需要相关原则和规则的进一步完善。
提案进一步衔接了数据可携权的规定,再次细化数据可携权的应用路径和利益平衡考量。可携权在主体方面涉及用户、数据服务提供方和数据接收方三个主体,立法需要在用户自由选择的权利;数据服务提供方对数据处理所付出的劳动、所应享有的财产权益、商业秘密保护和合理竞争优势保障;以及数据接收方自由竞争的正当需求之间寻求平衡。在总体利益考量方面,欧盟优先保护了个人的选择权,并较好地在个人和两方企业的权责分配方面找到了合理的平衡。现阶段而言,欧盟关于数据可携权的主要出发点仍是保障个人权益,并不适用于数据大规模的商用流通,关于可携权是否能在与我国授权同意机制适配的基础上,创新出符合市场交易需求、安全保障和成本考量等需求的数据流通新机制仍有待研究和讨论。
作者简介
仵姣姣,中国信息通信研究院云计算与大数据研究所工程师,主要研究方向数据合规、数据流通、数据安全。联系方式wujiaojiao@caict.ac.cn
声明:本文来自隐私计算联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。