x

【欧盟数字战略】欧盟数据和数字驱动:即将出台的立法综述

cioctocdo
28 October 2023
SEO Title
EU Data and Digital Drive: an Overview of Forthcoming Legislation

本OnPoint总结并汇集了构成欧盟数据、数字和人工智能战略一部分的提案。这是Dechert OnPoints系列文章中的第一篇,这些文章将更详细地介绍这些提案。

欧盟的总体数字战略(现在被称为欧洲数字十年)于2020年首次宣布,由各种举措组成,包括数据、人工智能和网络安全战略下的立法提案,以及数字服务一揽子计划。数字战略认识到,数字技术已经并将继续对人们的生活做出重大改变,并寻求促进数字创新和商业化,同时保障个人的基本权利。

继其开创性的《通用数据保护条例》(“GDPR”)之后,欧盟正寻求在数据和数字经济的其他方面采取领先和果断的立场。GDPR现在是世界上许多其他司法管辖区数据保护法的基础。欧盟委员会表示,“欧洲现在必须加强其数字主权并制定标准,而不是遵循其他国家的标准”。1

这套拟议的立法将使在线上和线下各个行业的企业的监管格局复杂化。例如,计划设立不同的监督机构,在某些领域进行重叠监督。由于每个机构都有单独的权力处以有意义的罚款,一个关键的挑战将是这些机构如何协同运作,以提供可行和连贯的监督。在所有提案中,对大型科技公司的特别关注是显而易见的,许多提案草案都规定了根据市场覆盖范围扩大的义务。

许多立法提案仍有很多不确定性,交错的实施时间表意味着,至少在本十年的后半段,它们的有效性仍将未知。在欧盟拥有大量用户或提供关键服务的在线服务提供商应特别关注该战略中出现的主题,如数据共享、互操作性和更大程度地鼓励竞争。

主要立法摘要

Data

《数字服务法》

  • 现状:等待欧盟理事会正式通过,预计将于2022年9月通过,之后将在《官方公报》上发表。

《数字服务法》(“DSA”)补充了2000年的《电子商务指令》,并针对在线中介机构(如在线市场、云公司和大型搜索引擎)。一些关键条款包括:

  • 禁止向未成年人发布广告和使用特殊类别的数据;
  • 禁止深色图案;
  • 识别和删除非法内容的义务;和
  • 额外的透明度要求。

义务根据活动的规模和风险而增加;非常大的在线平台将有额外的报告和审计要求。

某些DSA条款,如禁止某些广告和暗模式以及额外的透明度要求,意味着受影响的企业可能需要查看《通用数据保护条例》、《电子隐私条例》(一旦通过)和DSA,以了解其义务。

《数字市场法》

  • 目前状况:正式通过并等待在《官方公报》上发表。

虽然DSA关注服务与其用户之间的关系,《数字市场法》旨在管理提供核心平台服务(如在线搜索引擎、社交网络服务和虚拟助理)的“看门人”企业(根据收入和用户数量确定,尽管欧盟委员会可以指定较小的公司)之间的竞争。该法规包含一系列“应做”和“不应做”,旨在防止某些商业行为并保护小型企业,例如:

  • 允许与较小平台的互操作性;
  • 允许企业访问在使用看门人平台时生成的数据;
  • 禁止自私自利;和
  • 限制个人数据的组合和交叉使用,以及未经同意将个人数据用于定向广告。

同样,与《通用数据保护条例》存在重叠,特别是在DMA中的个人数据处理条款方面,要求受影响的人寻求多项立法来确定他们的义务。

《数据治理法》

  • 现状:于2022年6月3日发表在《官方期刊》上,规则从2023年9月起适用。

《数据治理法》旨在鼓励数据的共享和重复使用,同时尊重数据隐私、机密性和知识产权

它涵盖了三个关键领域:

  • 获取公共部门机构持有的数据。
  • 数据中介服务的监管。
  • 鼓励“数据利他主义”——为公共利益捐赠数据(例如用于科学研究)。

虽然该法规将主要适用于公共部门机构,但企业应审查其活动是否属于DGA的数据中介服务范围(如果是,则应熟悉主要旨在确保独立性的必要条件)。DGA的序言特别提到了数据市场和数据池,这可能与广告技术行业特别相关。

数据法案

  • 现状:欧盟委员会提案于2022年2月公布,委员会正在进行阅读。

《数据法》提议规范所有个人和非个人数字数据,并将适用于各方,包括数据持有人、云服务提供商、联网设备(如物联网设备)制造商和相关服务提供商。

为支持DGA,《数据法》还旨在增加数据共享和可用数据的使用。欧盟委员会评论说,虽然DGA“创建了促进公司、个人和公共部门共享数据的流程和结构,但《数据法》明确了谁可以从数据中创造价值,以及在什么条件下”。2一些关键条款包括:

  • “按设计访问”的义务(即设计连接的产品和相关服务以允许用户轻松访问)以及相关的访问权和可移植性;
  • 额外的透明度要求;
  • 对用户的合同保护;和
  • 公共部门访问私营部门数据的手段(在某些方面与DGA相反),但仅用于公共利益目的。

该法规涵盖所有行业,涵盖个人和非个人数据,其庞大的职权范围可能会给那些处理混合数据集的人带来挑战,因为他们希望同时应用GDPR规则和《数据法》的要求。该法规还特别排除了DMA下的“看门人”从数据访问权中受益。

网络安全指令

  • 现状:达成政治协议,预计欧洲议会将于2022年10月正式通过,随后由欧盟理事会通过,并最终在《官方公报》上发表。

欧盟委员会提出了一项关于高碳排放措施的指令

电子隐私条例

  • 现状:正在进行三部分讨论。

《电子隐私条例》最初计划与《通用数据保护条例》一起实施,但由于谈判困难,该条例被大幅推迟。作为2002年《电子隐私指令》的替代品,拟议法规的职权范围仍然是电子通信中的隐私,用cookie和电子营销的具体规则补充了GDPR的要求。《电子隐私条例》旨在扩大规则范围,将电子通信和目录提供商包括在内,包括个人助理数字服务和其他新兴工具。

三方讨论仍在进行中,在数据保留、国家安全和儿童色情制品豁免以及将合法利益作为数据处理的法律依据等问题上存在冲突。

AI法规

  • 现状:欧盟委员会提案于2021年4月公布,委员会正在进行阅读。

我们在之前的OnPoints中更详细地介绍了拟议的人工智能法规。

脚注

  1. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_en
  2. https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113

标签