2023年6月27日,欧盟就《数据法》达成政治协议。该条例旨在制定关于“公平获取和使用数据”的统一规则。很明显,该法案将远远超出对“物联网”(IoT)的监管。该法案的关键要素将是:
- 数据共享:规定所谓的数据持有者有义务与用户或用户指定的第三方(“数据接收方”)共享“连接产品”或“相关服务”收集的数据该法案第二章和第三章规定了这些措施,旨在赋予用户权力,并鼓励更多的参与者,无论其规模大小,参与数据经济。然而深远而详细的义务将意味着“数据持有者“必须做出巨大努力,以符合该法案的方式设计其连接产品和相关服务。该法案要求数据持有者免费访问连接或相关服务的数据,并在适用的情况下持续实时访问。截至目前,许多连接产品和相关服务都不是这样设计的。小型企业(员工少于50人或年收入1000万欧元)和刚刚达到中型企业门槛的公司通常不承担B2C和B2B数据共享义务。
- 不公平的合同条款:关于企业之间数据访问和使用的不公平合同条款的规定(第四章)旨在防止滥用妨碍公平数据共享的合同失衡。其基本原理与竞争法和《数字市场法》非常接近。然而,从技术上讲,该法案只是在B2B合同中引入了一个不公平条款制度。合同条款是不公平的,因为从立场上讲,如果它们限制了对所提供数据质量的责任,并且赋予一方的排他性权利是有问题的。
- 公共部门数据:根据特殊需要向公共部门机构提供数据(第五章),重点关注非个人数据。
- 监管数据处理服务,特别是云服务:新规则旨在让客户更容易在同一类型数据处理服务的不同提供商之间进行有效切换(第六章)。“数据处理服务”的定义包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS)。从本质上讲,这些规则旨在开放欧盟云市场。除其他外,条款规定了技术细节,但也规定了合同条款(例如关于终止权)。
- 国际数据传输和互操作性:旨在防止非个人数据的非法国际政府访问和传输的规定(第七章),以及关于互操作性的规定(第一章)。
最后一分钟对定义的更改
该法案的立法程序于2022年初开始。直到最后一刻,甚至对于“关联产品”和“相关服务”的定义等条款,都发生了实质性的变化,这些条款对于定义谁有资格成为“数据持有人”至关重要,因此,许多义务都涉及这些条款。欧盟委员会的初步草案排除了个人电脑、智能手机和游戏机等设备。在上周达成的政治协议中,他们不再被排除在外。“互联产品”的定义现在是:
“关联产品”是指获取、生成或收集与其使用或环境有关的数据的产品,能够通过电子通信服务、物理连接或设备访问来传递产品数据,其主要功能不是代表用户以外的第三方存储、处理或传输数据;
“相关服务”是指除电子通信服务之外的数字服务,包括软件,在购买时与产品连接,其缺失会阻止产品执行其一项或多项功能,或者随后由制造商或第三方连接到产品以添加到软件,更新或调整产品的功能;
商业秘密
共享数据的义务甚至可以延伸到商业秘密,尽管在最后一刻也发生了一些变化。例如,根据政治协议,如果数据持有者能够证明披露商业秘密造成了严重和无法弥补的伤害,则可以根据具体情况拒绝提供商业秘密——但在这种情况下,数据持有者不仅必须告知用户拒绝的情况,还必须告知国家主管部门。
GDPR怎么办
与GDPR不同,该法案同时适用于非个人数据和个人数据。它不损害GDPR,即它不能降低GDPR对个人数据的保护,也不能作为GDPR下数据处理的法律依据。在实践中,这可能比乍一看更困难,尤其是如果连接产品或相关服务收集个人和非个人数据——在这种情况下,后者可能必须共享,但前者可能不共享(就用户以外的个人而言)。
日程表
该法案的最终文本尚未公开(本文基于截至2023年6月30日我们可获得的信息)。目前已经达成一致的规则不太可能改变,尽管可能要到11月才能正式通过,但接近最终的文本应该很快就会出台。20个月后,它将直接适用于所有欧盟成员国(相关产品和相关服务的设计义务仅适用于12个月后投放市场的此类产品和服务)。然而,对于潜在的“数据持有者”来说,20个月的准备时间并不多,因为连接产品和相关服务的设计方式将发生根本性的变化。
- 登录 发表评论