2022年4月6日，歐洲議會就歐盟《數據治理法案》（Data Governance Act；簡稱“DGA”）進行最終投票表決。最終，《數據治理法案》?以501票贊成、12票反對、40票棄權，獲得議會批準。

增加公民對數據共享的信任，推動重用公共部門的數據，并為戰略部門的數據創建歐洲空間。信任問題是整個數據治理法案的核心，因為在歐洲數據空間中，有必要確保將數據用于基本任務，例如科學研究、醫療保健、應對氣候變化。該法規旨在進一步發展無國界數字內部市場，從而創建一個“以人類為中心、可靠和安全”的數據社會和經濟。

歐盟與數據治理相關的最重要立法為《一般數據保護條例》（GDPR），針對個人數據保護設立了嚴格的標準，而此次《數據法案》則專門針對非個人數據，從而與GDPR共同構成歐盟數據治理的兩大支柱，支撐起既強化數據保護，又推動數據流通釋放價值的數據治理新格局。然而，《數據法案》所蘊含的內外有別、一體雙標的立法思路又與以嚴格著稱的GDPR迥然不同。

歐盟數據法案的主要目標是

促進消費者和企業訪問和使用數據，同時激勵數據價值的產生；

規定公共部門機構和工會機構、機構或團體（公共機構）在有特殊數據需求的情況下使用私營部門持有的數據；

促進云和邊緣服務之間的切換；

防止未經云服務提供商通知的非法數據傳輸；

為數據重用提供互操作性標準的開發。

受影響的人

為實現這些目標，《歐盟數據法》賦予數據生態系統內各方權利和義務，特別是：

針對投放到歐盟市場的組織，比如制造商和相關服務的供應商進行關聯的產品和服務，這些產品和服務分別被描述為有形的可移動物品，獲取、生成和收集與其相關的數據可以通過公共電子通信服務進行通信的使用環境，以及與產品結合或互連并為產品執行所需的數字服務；

這些關聯產品和相關服務的企業和個人用戶；

有權利或義務（根據擬議的歐盟數據法案或其他歐盟法律）或有能力（通過控制連接產品或相關服務的技術設計）向歐盟的數據接收者提供某些數據的數據持有者；

歐盟的數據接收者，數據可供其使用；

歐盟公共機構要求數據持有者在有某些特殊需求時提供數據；

向歐盟客戶提供“數據處理服務”的提供商，定義為包括云服務提供商等。

然而，歐盟數據法旨在區分實體類型，限制中小企業的義務并為中小企業提供保護，同時將大型“看門人”實體（根據《數字市場法》指定）從立法中的其他權利中剔除。

地域范圍

制造商、數據持有者或數據處理服務提供商的領域不相關。例如，歐盟關系源于數據接收者或云服務接收者的領域——在歐盟，或者源于消費者或企業使用的連接產品和相關服務已投放歐盟市場，或在歐盟持有的非個人數據的領域，因此，在歐盟以外設立的實體也應適當關注該立法的發展。

權利和義務

當涉及到義務本身時，諸如透明度、默認納入要求、訪問權、示范條款、技術、法律和組織措施的應用等概念被許多人引用和熟悉。更具體地說，歐盟數據法案的關鍵方面包括，在高層次上：

數據訪問和共享

數據的定義非常廣泛，包括通過使用連接的產品或服務生成的行為、事實或信息（代碼等），且是可訪問的。制造商/服務提供商不應是從此類數據中受益的唯一一方，因此必須確保其連接的產品和服務的設計能夠訪問默認解決的數據。

相關的透明度和信息義務，除其他外，數據的性質和數量、制造商/服務提供商對數據的使用、數據持有者的身份以及用戶對該數據的訪問也適用。

值得注意的是，第 2 章中關于企業對企業和企業對消費者訪問和共享的規定不適用于使用中小企業制造或提供的產品/服務產生的數據。

給用戶的數據

數據持有者必須根據要求向用戶提供生成的數據，不得無故延遲或收費（可能是連續和實時），但須遵守有關披露商業秘密和個人數據的某些限制，并禁止使用這些數據來創建競爭產品。例如，企業想要監控自己機器的效率，或者消費者想要跨不同設備分析智能家居數據。

數據持有者使用數據本身的權利必須通過與用戶的合同確定，但數據持有者不得以某些方式使用數據，以免損害用戶在用戶活躍市場中的商業地位. 當然，GDPR 繼續適用于個人數據的使用。

向第三方提供數據

同樣，數據持有者還必須根據用戶的要求將數據提供給第三方，例如，使用戶能夠尋求第三方來維修連接的產品，從而為售后市場提供支持。接收第三方受到各種限制，例如目的限制、轉發共享限制、數據刪除、非競爭/排他性要求和數據保護合規性。

考慮到最近歐盟其他主要立法發展的目標，如果第三方或其集團成員構成《數字市場法》下的數據保護方（以及相關的禁止激勵用戶的活動），則第三方將沒有資格接收此類信息）。

盡管有合同保護和監管限制，一些數據主體可能會擔心這種方法被濫用的可能性，尤其是在商業秘密和機密信息等信息被披露時。在實踐中，此類數據的失控或商業秘密的泄露并不總是通過合同損害賠償索賠來補救。

合同條款

更一般地說，數據持有者必須確保當有義務向數據接收者提供數據時，它必須以公平、合理和非歧視性的條款并以透明的方式這樣做，考慮不公平的合同期限限制并基于合理的補償（對于中小企業接受者，受成本上限的限制）。

歐盟數據法旨在通過限制使用不公平的合同條款來進一步保護中小企業，此類條款是由交易對手單方面施加的，并且涉及數據的訪問和使用或責任以及違反或終止數據相關義務的補救措施。被認為不公平的條款（在歐盟數據法案中指定為黑名單或灰名單，包括例如，免除對施加條款的一方的重大過失承擔責任，或給予該方單方面解釋合同的權利，或在不合理的短時間內終止合同）將不具有約束力。

歐盟委員會承諾制定關于數據訪問和使用的不具約束力的示范合同條款，以支持這種方法。

與公共機構共享數據

數據持有者（中小企業除外）在受限于有限的質疑權的情況下，必須在有特殊需要使用所請求數據的情況下，毫不拖延地向歐盟公共機構提供數據。例如，響應、預防或從公共緊急情況（如健康緊急情況或自然災害）中恢復或公共機構無法及時獲取（并且無法立法提供）數據為公共利益的特定任務所必需的。

這些條款規定了公共機構應提供的信息的性質，以證明特殊需要。尊重數據持有人的合法目的，考慮到商業秘密保護并盡可能避免使用個人數據（數據持有人需要盡合理努力在可能的情況下對個人數據進行假名）。數據使用目的、公共機構繼續共享數據（允許與某些科學研究和分析組織共享）、個人數據處理和商業秘密披露也施加了限制，支付（成本加合理保證金）是由于在公共緊急情況以外的情況下提供數據的數據持有者。

公共機構將如何行使這些權利，如何明確定義請求的情況以及數據持有者是否繼續表達對強制性數據共享以及與自己客戶數據的交互或相互沖突的法律義務的擔憂還有待觀察。

云轉換和互操作性

包括云服務提供商在內的數據處理服務提供商勢必使客戶能夠更輕松地切換到另一家服務提供商，從而解決據稱 SWIPO行為準則等方面的不足之處。必須消除商業、技術、合同和組織障礙，以允許30天的終止、新供應商的參與、數據、應用程序和其他資產的移植以及功能的維護。

合同還必須解決某些條款以支持相同的內容，包括關于過渡期，過渡期上限為30天，除非技術上不可行（當指定了最長6個月的過渡期時）。因此，可能需要更改操作和流程，以確保能夠滿足監管和相關的合同義務。

盡管可能需要增加對轉換安排的投資，但至少在最初，在3年的時間里，轉換過程的收費權將被逐步取消，從按成本收費變為免費。

國際訪問和轉移

數據處理服務提供商還有義務保護在歐盟持有的非個人數據，并防止國際轉移或非歐盟政府訪問該非個人數據。必須采取所有合理的技術、法律和組織措施，以防止此類轉移或訪問與歐盟法律或相關成員國的法律發生沖突（例如，關于安全和有效補救的權利，或國家/地區的權利）商業敏感數據的安全或保護）。

如果第三國法院或法庭的裁決或判決需要此類數據，則必須僅根據國際協議或滿足某些條件（包括第三國系統要求裁決的理由和相稱性，并且收件人的合理反對應經過司法審查，考慮到數據提供者的合法利益）。無論如何，數據最小化和透明度要求都適用。

對于數據處理服務提供商而言，這是一個潛在的復雜領域，尤其是在考慮與GDPR國際傳輸限制的交互時。歐洲數據創新委員會（將根據《數據治理法》建立）對指導方針的承諾似乎至關重要。

智能合約

為了進一步支持有效的數據共享，擬議的歐盟數據法案著眼于智能合約的標準化。條款解決了在數據共享背景下使用的智能合約的特定基本要求，并有可能制定一套已發布的標準。

爭議與執法

撇開遵守新義務的潛在重大實際和商業影響不談，那些未能滿足要求的人將面臨監管執法風險。成員國將確定主管當局，除其他外，處理投訴并承擔執法行動的責任。由于處罰是由每個成員國設定的，只要它們是有效的、相稱的和具有勸阻性的，整個歐盟的執法風險存在明顯的變化和不確定性。鑒于涉及個人數據的程度增加了復雜性，數據保護機構能夠監控對《歐盟數據法》的遵守情況，并根據 GDPR要求處以罰款。

歐盟數據法案還考慮到數據持有者和數據接收者之間的爭議可以通過經過認證的爭議解決機構系統來解決。

與其他立法的相互作用

歐盟數據法案是一項橫向、部門中立的法規，避免妨礙特定部門立法的實施。例如，歐盟委員會已宣布計劃就一項法規進行公眾咨詢，該法規將為“訪問和使用”車輛生成的數據設定條件，例如交通和道路狀況、發動機性能、駕駛員行為和速度。和車輛的位置。歐盟委員會表示，它正在制定規則，以“為基于汽車數據訪問的服務制定明確且有利于競爭的歐盟規則”。這些服務包括“維修和保養、汽車共享、移動即服務和保險”。

歐盟數據法案的解釋性說明闡明，無意跨越現有的行業相關數據共享要求。

其他與數據相關的立法

解釋性說明還涉及GDPR和其他相關立法的應用（例如關于非個人數據自由流動的法規、數據治理法、數字市場法）。

特別是，歐盟數據法的陳述表明它與GDPR一致并補充了 GDPR，并且在任何情況下都應繼續根據數據保護義務處理個人數據。然而，特別是由于混合的個人和非個人數據集在實踐中將不可避免地成為主題的一部分，組織可能會擔心隨著這兩種制度的應用，要求的復雜性和重疊程度會增加。例如，在解決GDPR第20條規定的數據可移植性和擬議的歐盟數據法案規定的連接產品數據共享義務時。可能會引起擔憂，尤其是在涉及國際數據傳輸和實施必要的保護時——從個人數據的角度來看，這個領域已經充滿了挑戰。

《歐盟數據法》還與即將出臺的《歐盟數字市場法》并列，該法預計將于今年生效，并對所謂的“看門人”公司施加類似的數據訪問和可移植性義務。

來源：European Parliament