欧盟《数据法案》(EU Data Act)即将于2025年9月12日正式实施。这是继《通用数据保护条例》(GDPR)之后,欧盟推出的又一重要数据立法,旨在重新定义数据的访问、共享与利用规则,将对全球数字经济产生深远影响。
鸿鹄作为率先按行业细分专业领域的领先律所,深度洞察各行业特点与合规需求。基于这一优势,我们特别推出欧盟《数据法案》行业解读专栏,助力企业把握新规机遇、迎接合规挑战。
作为本专栏的第二篇文章,我们将目光投向航空业,深入探讨《数据法案》将如何重塑航空数据生态,并剖析其带来的全新商业机遇与行业挑战。
一、《数据法案》与航空业
航空器运行过程中会产生海量数据,这些数据被广泛用于提供空中导航服务,并支持航空公司内部的分析与业务流程,涵盖飞机维护、运营优化、安全管理以及降低飞行对环境的影响等方面。
欧盟《数据法案》是一项全新的跨领域、横向适用的欧盟法规,旨在推动欧盟数据经济发展,打造更具竞争力的数据市场。该法案致力于提升物联网(IoT)所产生的数据的可访问性和可用性,鼓励数据驱动型创新,并提高工业领域中的数据开放程度。
该法案旨在打破制造商和服务提供商在数据控制方面的主导地位,将数据控制权赋予设备的所有者、承租人和承租方。同时,法案为航空运营商以及维护、维修与运营(MRO)机构提供了更便捷的数据访问权限,从而催生新的商业机遇。例如,它有助于促进航空产业内企业间(B2B)关系的公平竞争。然而,该法案在带来机遇的同时,也引入了一系列新的合规义务。
二、哪些产品与服务需遵守数据共享义务?
“联网产品”是指能够生成、获取或收集与其使用、性能或运行环境相关的数据,并可通过电子通信服务、物理连接或设备本地访问方式传输这些数据的产品(即物联网,IoT产品)。航空器明确被列为受此义务约束的产品之一。
“相关服务”是指与联网产品运行相关、并影响其功能的数字服务。例如:调节灯光亮度或控制温度的软件、飞行运行优化工具、远程配置系统以及固件更新系统等。
三、哪些主体需遵守《数据法案》的信息共享义务?
《数据法案》的适用范围通常包括制造商、数据生成组件供应商、相关服务提供商、产品数据持有方,以及在欧盟市场投放产品的销售商、出租方和出租人,且不因其注册地而受限。这意味着大多数飞机和发动机制造商、飞机租赁公司以及航空航天和航电设备供应商都在适用范围内。与之相对,权益享有方——即用户(飞机的所有者、承租人、租赁人)及经用户指定的第三方接收方(如航空公司、飞机租赁公司、MRO服务商)——则必须在欧盟境内设立,方可行使数据访问和共享权利。
四、数据共享义务的主要影响有哪些?
航空器的设计与制造必须确保相关数据默认可向欧盟用户开放。若用户无法直接获取数据,数据持有者必须在无不当延迟的情况下,迅速提供该数据。用户有权访问其使用物联网产品及相关服务所产生的广泛数据,并可自行决定要求将这些数据提供给所选择的第三方。此项规定甚至可能要求披露被视为商业秘密的数据。
欧盟委员会将发布不具约束力的示范性合同条款。制造商和数据持有者必须确保以公平、合理且非歧视性(FRAND)的条件提供数据访问。在特定条件下,数据持有者亦可向欧盟以外的公共部门机构提供数据。这要求相关方必须与用户及第三方(包括竞争对手)签订数据共享协议。
对于制造商和数据持有者而言,这些新义务带来了重大的技术和商业挑战,需要在技术、合同和运营层面进行相应调整。航空器运营涉及大量相关方(例如飞行运行、维护、地面操作),在紧迫的时间框架内,如何针对数据和运营流程实施有效的安全措施,构成了新的难题。此外,该法案与《欧洲单一天空计划》(SES)等特定行业法规之间的相互影响,目前仍不明确。
然而,《数据法案》也带来了诸多机遇,例如,无论是作为用户还是通过用户,都可以获取第三方产品及相关服务的数据。尽管《数据法案》禁止利用产品及相关服务的数据来开发竞争性产品,但它允许将这些数据用于开发新型(竞争性)服务。例如,这可以包括提供售后市场服务,如辅助性咨询服务、数据分析服务、金融服务,以及常规的维修和保养服务。
五、鸿鹄如何支持您的业务
为确保您有效遵守《数据法案》的要求,我们可以为您提供以下支持:
- 法律全景概览:梳理现有法律框架、即将生效的法规、行业趋势及市场实践
- 使用范围评估:明确《数据法案》是否适用于您的产品及数据处理活动
- 影响分析:识别适用于您组织的具体(新增)规则,并分析其对业务运营、产品策略和商业模式的潜在影响
合规实施支持,包括:
1.就产品设计、制造流程及信息提供要求提出改进建议,以满足数据访问义务,同时防范数据被非法使用或泄露
2.在实施《数据法案》过程中,指导您同步遵守《通用数据保护条例》(GDPR)、《欧洲单一天空计划》(SES)等现有法规
3.协助设计和建立处理用户数据访问请求的内部流程与操作程序,包括:
- 分析应向他人共享的数据范围
- 在满足用户请求的同时,平衡商业秘密、知识产权和个人数据的保护需求
- 应对公共部门在紧急情况下的数据调取请求
4.起草与修订合同及配套文件,例如:
- 数据共享协议
- 云计算服务合同
- 保密协议(NDA)
- 向用户提供透明信息的通知文件
5.制定标准化模板协议,以便在公平、合理、非歧视(FRAND)原则下向第三方企业共享数据
6.制定数据访问的定价策略,明确第三方企业使用相关数据的补偿机制
7.就数据访问与许可协议中的潜在FRAND争议提供法律建议
8.协助识别并利用《数据法案》带来的商业机遇,例如获取第三方数据以开发创新服务
六、哪些事项最为紧迫?
《数据法案》已于2024年1月11日正式生效。大多数权利与义务将于2025年9月12日起适用,而涉及产品设计与制造的相关要求则将从2026年9月12日起适用。对于现有(遗留)合同,法规提供了分阶段合规的过渡安排。
数据法案实施时间表(暂定)
七、执行与处罚
各成员国须指定主管机关,并在其法律中设立有效、适度且具有威慑力的处罚措施。若涉及个人数据的处理,相关罚款可参照《欧盟2016/679号条例》(即GDPR)的标准,最高可达2,000万欧元或企业上一财务年度全球年营业额的4%,以较高者为准。目前,主管机关的具体管辖权划分以及处罚金额的确定细则尚不明确。
(原标题:欧盟《数据法案》行业解读专栏 | 中国企业数据合规实务指南:航空业篇)
来源:鸿鹄律师事务所
作者:
- 史卫,鸿鹄律师事务所合伙人;联系方式:john.shi@twobirds.com
- 王筱,鸿鹄律师事务所顾问律师;联系方式:xiao.wang@twobirds.com
声明:本文中提供的技术、法律或专业事项相关信息仅供参考,不构成法律或专业意见。如有任何具体法律问题或事项,请咨询具有适当资质的律师。鸿鹄对于本文中的信息不负任何责任,并且不承担该等信息引起的任何责任。