欧盟理事会于2023年11月27日通过了《数据法案》（Data Act）。这项法案是欧洲2020年提出的数据战略的关键组成部分，旨在与《数据治理法案》（Data Governance Act）和《欧盟通用数据保护条例》（General Data Protection Regulation，简称GDPR）共同创造一个欧盟内部及其各个行业数据自由流动的统一市场。《数据法案》着重于解决非个人数据从欧盟流向欧盟以外国家的问题，这一点与继续规制个人数据的GDPR有所不同。

这一关键立法，即新《数据法案》，将在《欧盟官方公报》（Official Journal of the European Union）公布后的第20天生效，并在20个月后施行。

本文我们将重点介绍新《数据法案》对企业产品和服务的各方面影响，特别是在隐私保护设计方面。

一、《数据法案》的目的是什么？

《数据法案》的主要目标是为提高欧盟行业通过互联产品和服务产生的数据的价值。《数据法案》还概述了欧盟公共机构可以访问某些类型数据的情况。

二、《数据法案》的实施机制是什么？

《数据法案》的实施机制包括以下几点：

《数据法案》规定了从互联产品和服务中获取（非个人）数据的条件。这些产品/服务的设计和生产应便于用户获取数据。

对于公共部门机构，《数据法案》提供了在公共紧急情况下或在履行法定任务时获取私营部门数据的机制。数据持有者必须在用户或代表提出请求时向第三方提供数据。

《数据法案》旨在通过修改合同法规则，确保数据持有者在“公平、合理和无歧视”（fair, reasonable, and non-discriminatory）的条件下提供数据访问。这包括以明确的格式进行预先披露的义务。

此外，《数据法案》促进了数据共享和处理的互操作性标准的发展。

三、《数据法案》的范围和覆盖面是什么？

《数据法案》主要涵盖物联网（IoT）生态系统中的互联产品，不包括原型产品。这些产品能够收集、生成或汇集通过电子通信服务、物理连接或设备访问传输的性能、使用或环境数据。

《数据法案》的大部分规定将适用于被定义为“数据持有者”（data holders）的实体。这些数据持有者包括有权利或义务使用和提供数据的自然人或法人。在合同约定的情况下，这些数据可能包括他们在提供相关服务过程中检索或生成的产品数据或相关服务数据。根据这一定义，互联产品的制造商和相关服务的提供商通常涵盖在该定义的范围内。“数据处理服务提供者”也涵盖在该范围内。

四、《数据法案》是否适用于欧盟以外的国家？

是的，与GDPR类似，无论其设立地址在哪里，只要在欧盟市场上提供互联产品的制造商和数据处理服务提供商都需要遵守《数据法案》的规定。然而，《数据法案》中有关数据共享的条款仅适用于欧盟内的用户。

五、数据是否可以在欧盟境外存储或以其他方式处理？

可以，但向欧盟境外输出数据是有限制的。《数据法案》第32（1）条规定，“数据处理服务提供商应采取一切适当的技术、组织和法律措施（包括合同，以防止国际和第三国政府在会与（欧盟）法律或相关成员国的国内法冲突的情况下访问和转移欧盟保存的非个人数据。”

这一条款比GDPR第五章（向第三国转移数据）的范围更窄，也因此在欧盟以外被批评为“保护主义”。本条款中也预设了一些豁免情形（例如，根据欧盟现有的司法协助协议，应当遵守接收国的具有约束力的法院命令）。

六、使用互联产品生成的所有数据是否都被视为相同的数据？

不，《数据法案》区分了“产品数据“（product data）和“相关服务数据“（related service data），重点关注数据的功能性而非产品本身。根据《数据法案》，“产品数据“指的是使用互联产品生成的数据，这些数据被制造商设计为可由用户、数据持有者或第三方（在适当情况下，包括制造商本身）检索的数据。

“相关服务数据”指的是在提供相关服务期间由服务提供者生成的数据，这些数据数字化了与互联产品相关的用户行为或事件。

七、在提供互联产品之前需要披露哪些信息？

在最终确定购买、租用或出租互联产品的合同之前，负责人（例如制造商）必须以清晰、易懂的方式向用户提供有关互联产品能够生成的产品数据的信息，包括此类数据的类型、格式和预计量。披露可以通过维护网络链接或二维码分发的URL来进行。

八、《数据法案》对用户租用或出租互联产品的影响是什么？

《数据法案》将所有者、出租人或承租人均视为用户，包括那些可以被视为用户的多个实体。访问权不应干扰那些可能与互联产品或相关服务互动的数据主体的权利，这些数据主体关注的是通过连接产品生成或在提供相关服务期间生成的个人数据。

对于通常由多人使用的产品，建议互联产品的制造商或设计者必要时为个人设置必要的机制以允许单独的用户账户，或者允许多人使用同一个用户账户。

九、数据共享是否包括与欧盟或欧洲国家公共机构？

是的，私人数据持有者作为法人有义务在出现特殊需要的情况下，根据正当理由的请求，向欧盟公共机构提供数据。

十、GDPR是否适用？

是的，当个人数据被交换或披露时，GDPR始终适用。数据保护机构（Data Protection Authorities）保留其干预的权力，且数据主体的权利在个人数据方面仍然是可执行的。

十一、谁将监督数据法案下的合规性？

该法规允许成员国在组织实施和执行数据法案方面保持灵活性。在需要此类协调的成员国指定的“数据协调员”（data coordinator）将作为中间联系人。

十二、不合规的处罚是什么？

不合规的处罚将由数据协调员（即欧盟成员国的主管当局）决定。与GDPR不同的是，《数据法案》没有建立基于营收的处罚。

十三、数据法案的其他显著特点

云服务切换。《数据法案》提供了关于云服务和其他数据处理服务提供者的相互操作性标准，以促进切换。不合规将招致欧盟成员国自行设定并执行的处罚。

虚拟助手。数据法案认识到虚拟助手在数字化消费者和专业环境中的作用日益增加，并作为播放内容、获取信息或激活连接到互联网的产品的易用界面。然而，只有用户通过虚拟助手与互联产品或相关服务互动产生的数据才会被《数据法案》所涵盖。而由虚拟助手产生的与使用互联产品或相关服务无关的数据不在监管范围内。

智能合同。同样值得注意的是，智能（数据共享）合同必须具有“中断和终止”（俗称终止开关）的功能，这一要求已经受到区块链社区的批评。

透明度义务。数据处理服务提供商进一步被要求在其网站上公开某些关键信息并保持更新，包括其信息通讯科技（ICT, Infrastructure in Information and Communication Technologies）基础设施用于数据处理的管辖区，以及为防止国际政府访问与欧盟或成员国法律冲突的非个人数据所采取的全面描述。此外，这些网站必须列在提供者提供的所有数据处理服务合同中，确保透明度，并遵守欧盟内的数据保护标准。

十四、下一步是什么

尽管《数据法案》由于包括了《数字市场法案》（Digital markets Act）和《数字服务法案》(Digital Service Act)中某些歧视性元素受到批判，欧盟下一步即将出台的《欧洲云服务网络安全认证计划》European Cybersecurity Certification Scheme for Cloud Services和《人工智能法案》（Artificial Intelligence Act ）将会受到更多的关注和审查。

作者：

• Dr. AXEL SPIES ，特别顾问，华盛顿/法兰克福；+1.202.739.6145，+49.69.714.00.777；axel.spies@morganlewis.com
• IVON GUO，律师，华盛顿；+1.202.739.5163；ivon.guo@morganlewis.com

来源：摩根路易斯律师事务所