欧洲数据治理法草案
翻译:北京航空航天大学
法学院 博士生
周子琪
本解释说明与《欧洲数据治理法》草案[1]一起提出。这是2020年宣布的一系列欧洲数据战略[2]措施中的第一个。该草案旨在通过提高对数据中介的信任以及完善整个欧盟的数据共享机制,提升数据的可用性。该草案将应对以下情况:当公共部门的数据受他人权利约束时,使该数据可重复使用[3];拒绝企业之间的任何有偿形式的数据共享;允许在“个人数据共享中介”的帮助下使用个人数据,旨在帮助权利主体行使《一般数据保护条例》(GDPR)的权利;允许出自利他原因的数据使用。当前的草案涵盖处理个人和非个人数据两种不同类型的数据中介,因此与个人数据立法之间的相互作用特别重要。通过《一般数据保护条例》(GDPR)[4]和电子隐私指令,[5]欧盟已经建立了坚实且值得信赖的保护个人数据的法律框架和世界标准。当前草案是对2019年6月20日欧洲议会和理事会关于开放数据和公共部门信息的再利用欧盟2019/1024号指令(开放数据指令)的补充。[6]该草案涉及公共部门机关拥有的数据,这些数据受他人权利的约束,因此不在指令的范围之内。该草案与欧洲数据战略中宣布的其他方案具有逻辑性和连贯性。它旨在促进数据共享,包括通过增强对数据共享中介的信任,使中介在不同的空间被使用。它并非旨在授予、修改或废除有关数据访问和使用的实质性权利。这些措施对潜在的《数据法案》(2021)[7]进行了展望和描绘。本条例机制从为研究数据而开发的数据管理和数据再使用原理中汲取了灵感。FAIR数据原则[8]规定,此类数据原则上应可发现、可访问、可共同使用且可重复使用。
为了解决如汽车行业,[9]支付服务提供商,[10]智能电表信息,[11]电网数据,[12]智能交通系统,[13]环境信息,[14]空间信息[15]和卫生部门[16]等行业已出现的市场失灵,针对具体领域的数据访问立法已经就绪/或正在准备中。该草案支持在不更改规则或创建新的部门义务的现有规则下使用数据。同样,该草案不影响竞争法,它是根据欧盟竞争法第101条和第102条设计的,也不违反欧洲议会关于信息社会服务的主要法律问题,特别是互联网市场上的电子商务[17]方面的2000/31/EC指令和欧洲理事会2000年6月8号指令的规定。《欧盟运作条约》(TFEU)的第114条作为该法规的相关法律依据,根据该条,欧盟必须采取类似于成员国内法律、法规或行政活动的措施,用以建立和运行欧盟内部市场。该草案是2020年欧洲数据战略的一部分,该战略旨在强化数据的单一市场。随着经济和社会数字化的发展,各成员国有可能以一种越来越不协调的方式就与数据有关问题进行立法,这将加剧单一市场的分裂。建立治理结构和机制,将创建一种跨部门和成员国使用数据的协调方法,这有助于数据经济中的利益相关者利用单一市场的规模;通过建立一套统一的规定确保新颖服务的出现和跨界运作,为单一数据市场的建立做出贡献。欧盟与其成员国之间共用数字政策治理权。TFEU的第4条第2款和第3款明确规定,在单一市场和技术发展领域,欧盟可以开展特定的活动,但不会损害成员国在同一领域采取行动的自由。
因为单个成员国中可用的数据样本通常不具有可以进行“大数据”模式检测或机器学习的丰富性和多样性,企业开发整个欧盟范围内的产品和服务,通常需要来自几个成员国的数据。再者,一个成员国中开发的基于数据的产品和服务可能需要被定制,以适应另一成员国中客户的喜好,而这需要成员国级别的本地数据。因此,数据必须能在整个欧盟范围内和跨行业的价值链中轻松流动,为此,高度协调的立法环境必不可少。此外,鉴于数据共享的跨境性质以及此类数据共享的重要性,只有联盟级别的行动才能确保采用可信的数据中介机构(用于B2B数据共享和个人数据空间)实现欧洲数据共享模式。单一数据市场应保障以尽可能有效和负责任的方式访问和使用来自公共部门、企业和公民的数据,同时企业和公民应保持对其生成的数据以及对其收集的投资信息进行安全控制。越来越多对数据的访问,将使公司和研究组织在整个欧盟范围内推动有代表性的科学发展和市场创新,这在欧盟需要采取协调行动时(例如COVID-19危机)十分必要。
该草案与所寻求的目标相称。草案的立法创建了一个授权框架,该框架不会为实现目的超出必需的范围。立法协调了一系列数据共享的做法,同时尊重成员国组织其行政管理并就获取公共部门信息的权限进行立法的特权。在没有不必要地限制某些活动的情况下,数据中介的通知框架以及数据利他主义的机制有助于使其服务获得更高级别的信任,而且有助于开发交换这些数据的内部市场。该草案还为部门特定水平的应用、包括欧洲数据空间的未来发展留出很大的灵活性。该草案立法将产生财务和行政成本,这些成本将主要由国家主管机关承担,同时某些成本还需由数据用户和数据共享供应者支付,以确保本法规定的义务的落实。然而,对不同选项及其预期成本和收益的探索将产生一个平衡机制,这将使国家主管机关有足够的灵活性来决定金融投资的水平,并考虑通过行政收费收回这些成本的可能性,同时可由欧盟组织整体协调。同样,数据用户和共享供应商的成本将由更广泛的数据访问、使用以及新颖服务的市场占有所产生的价值抵销。
选择条例作为该草案立法层次的理由是,该草案要求统一应用的要素占多数,不给成员国留下执行余地,并创建一个完全平等的框架。这些要素包括向数据共享服务提供者的通知,数据利他主义的机制,在整个欧洲建立协调机制,适用于公共部门数据再利用的基本原则:这些公共部门数据不能作为开放数据获得或不受欧盟特定部门立法的约束。本法规的直接适用将避免适用成员国的期限和流程,以根据欧盟复兴计划在不久的将来建立共同的欧洲数据空间。[18]同时,本法规的规定并不过分要求,并为成员国采取不同程度的行动留出余地,特别是负责支持公共部门机构的主管机构的组织,他们的任务与重复使用某些类别的公共部门数据有关,这些行动并不会破坏倡议的目标。2020年2月19日在通过欧洲数据战略[19]的当天,在线公众咨询启动,并于2020年5月31日结束。咨询明确表明启动的目的是为准备当前草案,该咨询针对所有类型的利益相关者,并涉及计划中涵盖的项目相关部分和问题。欧盟委员会总共收到806份投稿,其中219份来自公司,119份来自商业协会,201份来自欧盟公民,98份来自学术/研究机构以及57份来自公共机构。消费者的声音由7位受访者代表,而54位受访者是非政府组织(包括2个环境组织)。在219家公司/商业组织中,中小型企业占43.4%。总体而言,有92.2%的回复来自27个欧盟成员国。只有很少的受访者未表明其是否具有本地,区域,国家或国际范围。提交了230份意见书,这些意见书210份附在问卷答案之后,另有20份作为独立文稿。这些文件对在线调查表涵盖的主题提供了不同的观点,尤其是在公共数据空间的治理方面。他们就这些数据空间的关键原则提出了意见,并对标准和数据利他主义概念的优先次序表达了高度支持。他们还指出,在制定与数据中介机构有关的规定时需要采取保障措施。
为了与相关专家探讨在确定的部门中创建欧洲共同数据空间的框架条件,2019年举办了10个关于欧洲共同数据空间的研讨会,并于2020年5月组织了另一个研讨会。研讨会有300多个主要来自私营和公共部门的利益相关者参加,涵盖了不同部门(农业,卫生,金融/银行,能源,运输,可持续性/环境,公共服务,智能制造)以及交叉领域(数据伦理学,数据市场)。欧盟委员会负责这些领域的部门参加了研讨会。部门研讨会帮助确定了各个部门的共同要素,这些要素需要通过制定横向治理框架来加以解决。
为此草案进行了影响评估,监管审查委员会于2020年9月9日发表了负面意见。欧洲委员会于2020年10月5日发表了积极意见,但有保留。该影响评估评估了四个干预领域的基准情景,政策选择及其影响,即(a)扩大公共部门数据的使用机制,这些数据不能作为开放数据获得;(b)数据中介机构的认证或标签框架,(c)采取措施促进数据利他主义,以及(d)以欧盟级别的结构形式协调和指导治理机制。对于所有干预领域,发现在欧盟一级与软监管措施进行协调的政策选择1都是不充分的,因为与基准情景相比,这不会显著改变情况。因此,主要分析集中于政策选择2和3,分别涉及低强度和高强度监管干预。事实证明,优先的选择是通过以下方式,以低强度和高强度的组合进行监管干预:关于加强某些公共部门数据的使用机制,其使用受制于其他人的权利,低强度和高强度的干预都将引入欧盟范围的规则,以重复使用此类信息(尤其是非排他性的)。低强度的监管干预将要求允许这种类型的重复使用的各个公共部门机构都具备相应的技术装备,以确保充分保护数据的隐私和机密性。它还规定成员国有义务为访问此类数据的请求提供至少一站式服务机制,而无需确定其确切的机构和行政形式。高强度干预将规定每个成员国建立一个单一的数据授权机构。考虑到与后者相关的成本和可行性问题,优先选择较低强度的监管干预。为了对可信数据中介进行认证或标记,设想了较低强度的监管干预措施,其中包括弹性的自愿标记机制,在该机制中,对是否符合获取标记和授予标记的要求进行适应性检查。由成员国指定的主管机关负责(也可以建立一站式机制,以强化公共部门数据的反复使用)。高强度的监管干预措施包括强制性认证计划,该计划由合格的私人评定机构管理。由于强制性计划会产生更高的成本,因此可能会对中小型企业和初创企业产生抑制性影响,而且强制性认证计划的市场还不够成熟;因此,较低强度的监管干预被确定为首选。但是,以强制性计划形式进行的更高强度的监管干预也被认为是可行的选择,因为它将大大提高对数据中介机构运作的信任度,并将为这些中介机构在欧洲数据市场如何行动制定明确的规则。委员会经过进一步讨论,保留了中间方案。该方案由一个通知义务组成,该义务由成员国主管机关事后监督是否符合开展活动的要求。该解决方案具有强制性制度的优点,同时限制了市场参与者的监管负担。在数据利他主义的情况下,低强度的监管干预措施是针对寻求提供给此类服务组织自愿认证框架,而高强度的监管干预措施则设想了强制授权框架。后者将确保在提供数据方面具有更高的信任度,这可能有助于数据主体和公司提供更多数据,并导致更高水平的开发和研究,同时产生类似的成本,因此在影响评估中标记为该干预区域的首选选项。然而,委员会内部的进一步讨论表明,人们对从事数据利他主义的组织的潜在行政成本以及责任与未来关于数据利他主义的部门职责之间的关系感到担忧。因此,保留了一种替代解决方案,使从事数据利他主义的组织可以注册为”欧盟认可的数据利他主义组织”。这种自愿机制将有助于增加信任,同时带来比强制授权框架和自愿认证框架更低的行政负担。最后,对于欧洲横向治理机制,低强度监管干预是创建一个专家组,而高强度监管干预则是建立一个具有法人资格的独立结构(类似于欧洲数据保护委员会)。考虑到围绕实施高强度方案具有较低的政治可行性并产生高昂的成本,因此选择了低强度政策方案。支持影响评估的研究[20]指出,虽然在基准情景下,数据经济和数据共享的经济价值预计将增长到533到510亿欧元(占GDP的3.87%),优先、打包方案下的收益介于540.7亿欧元至544.4亿欧元之间(占GDP的3.92%至3.95%)。这些金额只是片面地考虑下游收益,忽略了更好的产品,更高的生产率以及应对社会挑战(例如气候变化)的新方法,事实上,这些收益可能比直接收益要高得多。同时,这种打包的政策选项将有可能创建用于数据共享的欧洲模型,该模型将通过建立中立数据中介提供一种替代当前集成技术平台业务模型的方法。通过建立数据共享方面的信任和促进欧洲共同数据空间的发展,本法案可以改变数字经济,而在共同数据空间中,自然人和法人可以控制他们生成的数据。
由于个人数据属于本法案某些内容的范围,因此这些措施的设计应完全符合数据保护法规,并在实践中增加自然人对其生成数据的控制权。关于加强公共部门数据的反复使用,将同时尊重数据保护的基本权利、包括隐私权和财产权(关于某些数据的专有权,例如商业机密或受知识产权保护)。同样,向数据主体提供服务的数据共享服务提供者必须遵守适用的数据保护规则。数据中介的通知框架将涉及开展业务的自由,因为法案将以不同要求的形式施加某些限制,这些要求是实体中介运行的先决条件。由于数据经济的动态性质,监控政策影响的演变是数据经济领域干预措施的关键部分。为了确保所选择的政策措施能够真正达到预期的效果并为将来可能的修订提供信息,有必要对本法规的实施进行监督和评估。通过利益相关者的代表性调查,数据共享支持中心的工作,欧洲数据创新委员会关于国家专门机构报告、支持机制观点的不同干预领域的记录以及评估研究,监测草案的具体目标将得以实现、检测义务得以落实。第一章定义了法规的主题,并列出了整个文书中使用的定义。第二章建立了重复使用某些类别的公共部门受保护的数据的机制,该机制以尊重他人的权利为前提(特别是基于保护个人数据以及知识产权和商业机密的基础)。该机制不影响欧盟特定部门关于获取和重复使用该数据的立法。此类数据的重复使用不在指令欧盟第2019/1024号指令(开放数据指令)的范围内。本章的规定不创造重复使用此类数据的权利,但规定了统一的允许使用这些数据的一系列基本条件(例如,非排他性要求)。允许此类重复使用的公共部门机构必须在技术上进行配备,以确保充分保护数据的隐私和机密性。成员国必须建立一个单一的联络点,以支持研究人员和创新企业确定合适的数据,并要求建立机制以通过技术手段和法律援助支持公共部门。第三章旨在通过为数据共享提供者创建通知机制,以增加对共享个人或非个人数据的信任,并降低与B2B和C2B数据共享相关的交易成本。这些提供者必须遵守许多要求,尤其是在数据交换方面保持中立。他们不能将此类数据用于其他目的。对于为自然人提供服务的数据共享服务提供者,还必须满足对使用自然人数据的个人承担信托义务的其他规则。该方法旨在确保数据共享服务提供者以开放和合作的方式运行并牢固掌控其数据,同时通过为自然人和法人提供更好的服务来增强他们的声誉。成员国指定的主管机关将负责监督对提供此类服务的遵守情况。第四章促进数据利他主义(个人或法人出于共同利益自愿提供的数据)。它为从事数据利他主义的组织提供了注册为“欧盟认可的数据利他主义组织”的可能性,以增加对其运作的信任。此外,将开发通用的欧洲数据利他主义同意书表格,以降低收集同意书的成本,并提升数据的可迁移性(要提供的数据不由个人持有)。第五章规定了主管机关的职能要求,为了监督数据共享服务提供者和从事数据利他主义的实体实施的通知框架。它还载有关于对这些机构的决定提出申诉的权利以及提出司法补救措施的规定。第六章设立了一个正式的专家组“欧洲数据创新委员会”,它将促进成员国当局采取最佳措施,特别是在处理重复使用受他人权利约束的数据方面的最佳措施(根据第二章),确保有关数据共享服务提供者(第三章)和数据利他主义(第四章)的通知框架一致的措施。此外,正式专家组将就跨部门标准化的治理以及跨部门标准化要求的战略准备工作向欧盟委员会提供支持和建议。本章还确定了欧洲数据创新委员会的组成并明确了其职能。第七章允许欧盟委员会通过有关欧洲数据利他主义同意书的实施法案。第八章包括关于数据共享提供者一般授权计划运作的过渡性规定和最终规定。
欧洲议会和欧洲联盟理事会,考虑到《欧洲联盟运作条约》,特别是其第114条;考虑到欧盟委员会的草案,在将法律法案草案转交各国议会之后;考虑到欧洲经济和社会委员会[21]的意见;考虑到区域委员会[22]的意见;遵循普通立法程序制定本法。(1)《欧洲联盟运作条约》(“TFEU”)规定了内部市场的建立和制度的建立,旨在保障内部市场的竞争不被扭曲。在成员国中建立与制定数据治理框架有关的共同规则和惯例,有利于实现这些目标。(2)在过去的几年中,数字技术已经改变了经济和社会,影响着所有部门领域和日常生活。数据是这一改变的核心:数据驱动的创新将给公民带来巨大利益,比如改进个性化医疗、新的出行方式,它将给欧洲绿色协议[23]做出贡献。委员会在其数据战略[24]中描述了欧洲共同数据空间的愿景,即根据所适用的法律,无论其在国际电联中的物理存储位置如何,都可以使用数据的单一市场。它还呼吁与第三国自由安全地交换数据,但要遵守国际义务,并遵守欧盟的公共安全、公共秩序和其他合法公共政策目标的例外与限制。为了将这一愿景变为现实,它建议建立特定领域的通用欧洲数据空间,作为可以进行数据共享和建设数据池的具体安排。正如该策略所预见的,欧洲数据空间可以涵盖健康,交通,制造业,金融服务,能源或农业等领域,也可包括主题领域,例如欧洲绿色交易或公共管理或欧洲数据技能空间。(3)通过统一的数据交换框架来改善内部市场中数据共享的条件十分必要。制定特定部门的立法可以适应和提出新的补充要素,具体取决于该部门的特殊性,例如,有关欧洲卫生数据空间[25]和获取车辆数据的立法。此外,某些经济部门已经受到特定行业联盟法律的管制,其中包括跨境和联盟范围共享或访问数据相关的规则[26]。因此,本条例不损害欧洲议会和理事会[27]的欧盟2016/679号法规,尤其是本条例的实施不得阻止根据法规第V章进行跨境数据传输即将实施的欧盟2016/679号条例,欧洲议会和理事会的指令通过的欧盟2016/680[28]号指令,欧洲议会和理事会的欧盟2016/943[29]号指令,欧洲议会和理事会通过的欧盟2018/1807号条例[30],欧洲议会和理事会的(EC)No 223/2009条例[31],指令2000/31/欧洲议会和理事会的/EC[32],欧洲议会和理事会的第2001/29/EC号指令[33],欧洲议会和欧盟理事会的第2019/790号指令,[34]欧洲议会和理事会2004/48/EC指令。[35]欧洲议会和理事会通过的欧盟第2019/1024[36]号指令以及欧洲议会和理事会通过的的欧盟2018/858[37]号法规,欧洲议会和理事会通过的欧盟2010/40[38]号指令和在其基础上通过的受委派条例,以及任何其他组织访问和重新使用的特定行业联盟法规数据。在预防、调查、侦查或起诉刑事犯罪或执行刑事处罚的情形中,本条例不得妨害出于国际合作目的数据访问和使用。应建立一种可反复使用公共部门机构持有的某些类别的受保护数据、提供数据共享和基于联盟数据利他主义服务的横向机制。在本法规要求的基础上,不同部门可能需要基于特定部门设计特征数据系统。如果特定行业的联盟规范要求公共机构,数据共享服务提供者或提供数据利他服务的注册实体遵守特定的规则或行政和组织要求,包括授权和认证制度,则也应遵守该行业规定的特定联盟规范。(4)为了减少运行良好的数据驱动型经济的阻碍并建立整个联盟范围的数据访问和使用治理框架,特别是在重复使用由欧盟持有的某些类型数据方面,在联盟一级必须建立公共行动部门,由数据共享提供者为商业用户和数据主体提供服务,收集和处理由自然人和法人出于利他目的提供的数据。(5)长期以来,联盟政策的部分观点一直认为牺牲公共预算获得的数据应该使社会公众受益。欧盟第2019/1024号指令以及特定行业的立法保障公共部门将其产生的更多数据轻松地使用和重新使用。但某些类别的数据(商业机密数据,受统计机密性保护的数据,受第三方知识产权保护的数据,包括商业秘密和根据特定国家或联盟法律无法访问的个人数据)通常不提供。公共数据库中的欧盟第2016/679和2016/680号指令通常是不可用的,甚至也不用于研究或创新活动。由于此数据的敏感性,在提供某些技术和法律程序之前,必须先满足一些要求,以确保他人对此类数据的权利被尊重。满足这些要求通常需要大量时间和知识,这导致了此类数据未充分利用。尽管一些成员国正在建立结构,程序,甚至立法以促进这种数据的重复使用,但在整个联盟范围并未如此。(6)有一些技术可以对包含个人数据的数据库进行友好的隐私分析,例如匿名化,假名化,差异隐私,泛化或抑制和随机化。这些隐私增强技术的应用以及全面的数据保护方法应确保出于研究,创新和统计的目的、安全地使用个人数据和商业机密数据。很多时候这意味着在这种情况下,数据的使用和重复使用只能在已设置并由公共部门监督的安全处理环境中进行。基于委员会通过的欧盟2013/557号法规,[39]联盟一级有在这样的安全处理环境下进行微数据统计和研究的经验。通常,就个人数据而言,对个人数据的处理应依赖欧盟第2016/679号条例第6条规定的一种或多种处理理由为前提。(7)公共部门机构持有的应根据本法规重新使用的数据类别不在欧盟第2019/1024指令的范围之内,由于商业和统计机密性以及各方拥有知识产权而无法访问的数据不在该指令的范围。个人数据亦不在欧盟2019/1024号指令的范围,出于数据保护,隐私和个人完整性的原因(尤其是根据数据保护规则),本法案的访问制度排除或限制了对此类数据的访问。欧盟2016/943[40]号指令为合法获取、使用或披露商业秘密奠定了框架,包含商业秘密的数据的重新使用应在不违反该指令的情况下进行。本法规没有任何偏见,允许重复使用特定部门的联盟法或国内法中规定的数据,并且补充了公共部门机构的特定义务。(8)适用于本法规中规定的重复使用制度的数据,应属于成员国法律、法规部门规章或其他具有约束力的规范所定义的、构成相关公共部门机构部分公共事业的数据。当此类规则缺乏时,应根据成员国的共同行政惯例来定义公共事业,但前提是公共任务的范围是透明且需要审查的。可以一般性地定义公共事业,也可以根据个别公共部门机构的情况来定义。由于公共部门机构的定义不包括公共事业单位,公共事业单位持有的数据不受本法规约束。由文化和教育机构持有的,知识产权并非附属权利而是明显受知识产权保护的作品和其他文件的数据,不在本法规的保护范围之内。(9)公共部门机构在确定重复使用自己所有的数据的原则时应遵守竞争法,并尽可能避免达成协议,协议可能创造具有以重复使用某些数据作为其目标或效果的独占权利。只有在正当且必要为公众利益提供服务时,才有可能达成这种协议。这可能是达成协议的一种情形:当数据的独占使用是所讨论数据的社会效益最大化的唯一方法时,比如只有一个实体(专门处理特定数据集)能够提供服务或产品,公共部门机构能够提供公众利益的高级数字服务。但是,应根据公共采购规则缔结此类协议,并应根据市场分析进行定期审查,以确定是否仍需要这种独占性。此外,此类安排应酌情参考相关的国家援助规则,并应在不超过三年的有效期内完成。为了确保透明度,此类专有协议应在线发布,而不考虑发布公共采购合同。(10)数据持有者与数据再使用者之间被禁止的排他性协议和其他惯例,虽未明确授予排他性权利,但在本法案生效前已经获得或已经存在的可供重复使用的数据,可以合理地预期,在它们的期限届满后权利不再生效。如果是不确定的或长期的协议,则应在本条例生效之日起三年内终止。(11)应在不损害有关访问此类数据的权利或义务的前提下,根据国家法律规定,明确有资格重复使用受保护的公共部门数据的机构以及重复使用数据的条件。这些条件应不限制竞争且是非歧视性的,合比例的和客观上合理的。尤其是应允许重复使用的公共部门机构采用必要的技术手段,以确保第三方的权益安全。重复使用数据所附带的条件应限于维护他人在数据中的权利和利益以及维持公共部门机构的信息技术和通信系统的完整性所必需的条件。公共部门机构应采用最能满足重复使用者利益的环境,避免导致公共部门付出过多的努力。根据目前的情况,在个人数据传输之前,应对数据信息进行完全匿名处理,以确保无法识别数据主体或数据中包含的商业秘密,避免泄露任何敏感信息。如果提供匿名或修改后的数据不会响应重新使用者的需求,则可以允许在安全的处理环境中对数据进行内部或远程的重新使用。在这样的安全处理环境中进行的数据分析应受到公共部门机构的监督,以保护数据相关人的权益。特别是只有在法律允许的情况下,才应将个人数据传输给第三方再使用。公共部门机构可以令重复使用者签订保密协议为这种安全处理环境的条件,尽管有保障措施,该保密协议仍禁止披露任何重复使用者可能获取的、危害第三方权利和利益的信息。公共部门机构在相关情况下,应经过数据主体的同意或法人允许,通过适当技术手段促进数据的重复使用。在这方面,允许的情况下,公共部门机构应通过建立许可转交来自重用者的同意请求的技术机制,支持潜在的重用者寻求这种同意。不应提供任何允许重新使用者直接联系数据主体或法人的信息。(12)第三方的知识产权不应受到本法规的影响。本法规既不影响公共部门机构的知识产权或所有权的存在,也不应以超出本法规规定范围的任何方式限制这些权利的行使。根据本法规施加的义务应仅在与保护知识产权的国际协议相符的范围内适用,尤其是《保护文学和艺术作品伯尔尼公约》,知识产权的相关方面(TRIPS协议)和《WIPO版权条约》。但是,公共部门机构应以促进重复使用的方式行使其版权。(13)受知识产权和商业机密保护的数据仅应根据联盟或国家法律或在权利人的同意下合法传输给第三方。如果公共部门机构是欧洲议会和理事会第96/9/EC号指令[41]第7(1)条所规定的权利人,则不应行使该权利以防止数据重复使用或限制重用超出本法规规定的范围。(14)公司和数据主体应该能够相信,公共部门持有的某些类别的受保护数据的重用将以尊重其权益的方式进行。因此,在对数据进行处理的基础上公共部门以外的主体重用此类公共部门数据,应采取额外的保障措施。要求公共部门机构应充分考虑自然人和法人的权益(特别是保护个人数据,商业敏感数据和知识产权保护的要求,采取附加保障措施防止这样的数据被转移到第三国。(15)而且,保护具有非个人性的商业敏感数据,特别是商业秘密,以及以非个人数据为代表的受知识产权保护的内容免遭IP盗窃或工业间谍活动的非法访问十分重要。为了确保对数据持有人的基本权利或利益的保护,应将公共部门机构持有的根据联盟法或国家法律保护免受非法访问或未经授权的非个人数据仅转移给合理使用数据并提供保护措施的第三方国家/地区。当第三国采取等效措施对非个人数据的权益保护达到与欧盟或成员国法律相类似的水平时,特别是商业秘密和知识产权方面的保护,应考虑采取此类适当的保障措施。为此,委员会可以通过实施法案,宣布在第三国提供的保护水平基本上与欧盟或成员国法律所提供的保护水平相同。对这种第三国提供的保护水平的评估应特别考虑到一般性和部门性的有关立法,包括有关公共安全,国防,国家安全和关于获取和保护非国家的刑事立法,该第三国公共机关对所传输数据的任何访问。该第三国中存在和有效运作的一个或多个独立监管机构,负责确保访问该数据的法律制度安全、强制遵守对第三国已签署的数据保护国际承诺或因具有法律约束力的公约或文书以及多边或区域体系约定的义务。对于将非个人数据转移到该第三国,第三国的公共部门机构或数据共享提供者为数据持有人提供有效的法律补救措施特别重要。因此,此类保障措施应包括的有效的执行权利和有效的法律补救办法。(16)如果欧盟委员会没有宣布要求第三国提供某种保护程度的实施法案,特别是对于商业敏感数据和知识产权的保护,这实质上意味着应根据联盟或国家法律的规定进行保护,如果再使用者承担了保护数据的义务,公共部门机构仅应将受保护的数据传输给该再使用者。计划将数据传输到该第三国或已将数据传输到该第三国的再使用者应承诺遵守本法规中的义务规定。为了确保适当履行该义务,再使用者还应接受允许该使用的公共部门机构所在成员国的解决司法争端的管辖权。(17)一些第三国采取旨在在成员国管辖范围内的自然人和法人的控制下直接转移或提供对联盟中非个人数据的访问的法律,法规和其他法律行为。当作为请求方与被请求方的第三国、联盟或成员国之间存在有效的国际协议(例如司法互助条约)时,第三国法院的判决或行政机关要求进行此类转移或访问非个人数据的决定具有强制执行力。在某些情形下,可能会发生以下情况,即因第三国法律而产生的数据转移或对非个人数据的访问义务与根据联盟或国家法律来保护此类数据的义务包括根据此类法律的有关保密性的合同承诺相冲突,特别是保护商业敏感数据和知识产权方面。在缺乏关于此类情形的国际协议的情况下,仅应在特定条件下才允许数据转让和获取:重要的是第三国系统要求阐明判决或决定的理由和比例,详细来说法院的判决或命令是具体的,被请求方的合理异议应接受第三国主管法院的审查,该法院应充分考虑此类数据提供者的相关法律利益。(18)为了防止非个人数据的非法获得,公共部门机构、具有重复使用权的自然人或法人、数据共享提供者以及授予认可的数据利他主义组织名册中的实体,应采取所有合理措施,包括数据加密或公司策略,防止对存储非个人数据的系统的访问。(19)为了建立对重复使用机制的信任,对于某些特定类型的高敏感度的非个人数据,对于转移到第三国的数据,如果可能危害公共政策,可能需要附加更严格的目标条件并符合国际承诺。例如,在卫生领域,可以将公共卫生系统中参与者(例如公立医院)持有的某些数据集识别为高度敏感的健康数据。为了保证整个联盟统一做法,此类高度敏感的非个人公共数据应由欧盟法律定义,例如规定在欧洲健康数据空间或其他部门的立法内容中。此类数据向第三方国家转移的附加条件应规定在在授权法案中,这些条件应是合理的,非歧视性的,而且对保护已确定的合法公共政策目标是必要的,例如保护公共卫生,公共秩序,安全,环境,公共道德,消费者保护,隐私和个人数据保护。这些条件应与此类数据的敏感性相关的识别风险(比如重新识别个人的风险)成比例。这些条件可能包括适用于转移或技术安排的内容,例如使用安全处理环境的要求,限制第三国对数据的重复使用或有权将这些数据转移到第三国的人员类别或谁可以访问第三国的数据。在特殊情况下,还可能包括限制将数据传输到第三国以保护公共利益。(20)公共部门机构既有权决定为数据的重复使用收取费用,也有权决定以较低或免费的价格提供数据,例如,针对某些类别的重复使用如非商业性重复使用、中小型企业的重复使用,应激励旨在鼓励研究和创新的重复使用,支持有重要创新资源同时收集相关数据较为困难公司,对其提供支持符合国家规则的援助。这样的收费应合理,透明,无歧视且在线发布。(21)成员国应建立一个单一的信息点,充当寻找重用公共部门机构持有的某类数据的重复使用者的主要接口以鼓励对这些数据的重复使用。建立的信息点应具有跨部门的职权范围,并在必要时能补充部门一级的安排。此外,成员国建立并完善指定的主管机关,支持允许重复使用某些受保护数据的公共部门机构的活动。主管机关的任务可能包括在联盟或成员国立法的授权要求下,授予访问数据的权限。这些主管机关应使用最新技术为公共部门机构提供支持,包括安全数据处理环境在内,该技术允许以保护隐私的方式进行数据处理。这样的支持体系可以使数据持有人对同意书进行管理,包括在符合公认的科学研究道德标准的前提下,对某些科学研究领域的数据同意使用的管理。数据处理应在负责本地数据的存储的公共部门机构的监控下进行,就个人数据而言,公共机构按欧盟第2016/679号条例仍然是数据控制者。成员国可能设立了一个或几个主管机关,可以扮演不同得角色。(22)数据共享服务的提供者,作为帮助汇总和交换大量相关数据的中介,将在数据经济中发挥关键作用。提供将不同参与者联系起来的服务的数据中介机构有可能为有效收集数据以及促进双边数据共享做出贡献。独立于数据持有者和数据用户的专门数据中介可以在新的数据驱动型生态系统中发挥促进作用,而新的数据驱动型生态系统独立于任何具有较大市场势力的参与者。本法规所指数据共享服务提供者应仅涵盖这样的企业:它们以建立在数据持有人之间存在法律和潜在的技术关系,数据持有人既包括数据主体,又包括潜在用户,并协助彼此在两者之间进行数据资产交易作为主要目标。它应仅涵盖为无限数量不特定的数据持有人和数据用户之间提供中介服务,但不包括由一组封闭的数据持有人和用户之间得数据共享服务。云服务提供商应被排除在外,同样排除在外的包括从数据持有人那里获取数据得服务提供者,聚合、丰富或转换数据并将结果数据的使用许可给数据用户的服务提供商,以及未在数据持有者和数据用户之间建立直接联系得情况下授权数据使用者使用结果数据的数据提供商,例如广告或数据经纪人、数据顾问,该数据产品源自服务提供商在数据上增加的价值。同时,数据共享服务提供者应被允许对交换的数据进行适应性调整,旨在提高数据用户期望的数据可用性,比如,将数据转换为特定的格式。此外,专注于内容中介,特别是受版权保护内容的服务排除本法规之外。一个数据持有人独占使用的数据交换平台,不属于本法规的范围,该平台使将它们持有的数据连接到物联网的对象和设备的开发平台,其主要目的是确保物体或设备连接功能并允许增值服务。欧洲议会和理事会通过的欧盟2014/65[42]号指令第4(1)条第53点所称“合并磁带提供商”,以及第4条意义的“帐户信息服务提供商”欧洲议会和理事会欧盟第2015/2366号指令中的19[43]就本法规而言,不应视为数据共享服务提供者。以非营利为基础开展活动并将其活动限制为利用基于数据利他性的方式提供数据的实体,不应被本法规第三章涵盖,因为该实体将通过增加可用于此类目的的数据量,服务于公共利益的目标。(23)数据中介的特定类别包括数据共享服务的提供者,这些提供者依法规欧盟第2016/679号条例的规定向数据主体提供服务。这样的提供者只专注于个人数据,并寻求增强个人代理和个人对与其有关的数据的控制。他们将协助个人行使欧盟第2016/679号条例规定的权利,特别是是管理其对数据处理的同意,访问其自身数据的权利,更正不正确的个人数据的权利,删除权或“被遗忘”权,限制处理权和数据可移植权,这些权利使数据主体可以将其个人数据从一个控制器转移到另一个控制器。在这种情况下,重要的是,他们的业务模型应确保没有不当的激励措施,这些激励措施可以鼓励个人提供比个人自身利益更多的数据以供处理。这包括向个人建议其所允许的数据用途(数据使用范围),以及在允许数据使用者接触数据主体前,对数据使用者进行尽职调查,以防止欺诈行为。在某些情况下,可能希望在个人数据存储空间或“个人数据空间”中整理实际数据,以便可以在该空间中进行处理而不会将个人数据传输给第三方,以最大程度地保护个人数据和隐私。(24)数据合作社试图加强个人在同意使用数据之前做出明智选择的地位,从而影响依附于数据使用的数据用户组织的条款和条件,或潜在地解决小组成员之间在该组中涉及几个数据主题时,关于数据应如何使用的问题有关的争议。在这种情况下,重要的是要承认欧盟第2016/679号条例的权利只能由个人行使,不能授予或委托给数据合作社。数据合作社还可以为一人公司,微型、中小型企业提供有用的帮助,这些公司在数据知识共享方面通常可以与个人媲美。(25)为了增强对此类数据共享服务的信任,特别是对于数据使用和对遵守所施加条件的数据持有人的信任,有必要创建一个联盟级别的监管框架,该框架将制定与之相关的高度协调的要求,可靠地提供此类数据共享服务。这将有助于确保数据持有人和数据用户根据联盟法律更好地控制对其数据的访问和使用。当数据共享发生在企业对企业的环境以及在企业对消费者的环境中时,数据共享提供者都应通过在数据经济方面进行数据设备、中介和使用之间的分离来提供新颖的“欧洲”数据治理方式。数据共享服务的提供者还可以提供特定的技术基础结构,以实现数据持有者和数据用户之间的互连。(26)在数据共享服务中为数据持有人和数据用户带来信任和更多控制权的关键因素是数据共享服务提供者在数据持有人和数据用户之间保持交换数据方面的中立性。因此,有必要使数据共享服务提供者仅充当事务中的中介,并且不要将交换的数据用于其他任何目的。这还需要在数据共享服务和提供的任何其他服务之间进行结构分离,以避免产生利益冲突。这意味着应该通过与该数据共享提供者的其他活动分开的法律实体来提供数据共享服务。此外,在作为私主体的数据持有人和法人之间进行数据交换的数据共享提供者应承担对个人的信托责任,以确保他们为数据持有人的最大利益而行事。(27)为了确保数据共享服务的提供者符合本法规中规定的条件,此类提供者应在联盟中设有场所。或者,如果联盟中未设立场所,数据共享服务的提供商在联盟内提供服务,则应指定一名代表。鉴于此类数据共享服务提供者需要处理个人数据以及商业机密数据,必须指定一名代表对此类服务提供者遵守本法规中规定的情况进行严格监控。为了确定这种数据共享服务提供者是否正在联盟内部提供服务,应确定数据共享服务提供者是否显然计划向一个或多个成员国的人员提供服务。若仅在网站联盟中访问数据共享服务提供者的电子邮件地址或其他联系方式,或使用在数据共享服务提供者所在的第三国通常使用的语言,被认为不足以确定存在为联盟提供服务意图。但是,如果使用一种或多种成员国通常使用的一种语言或货币,并可以另一种语言订购服务,或者提及联盟中的用户,这可能明显表明数据共享服务提供者正在计划在联盟内部提供服务。该代表应代表数据共享服务提供者,主管机关有可能与该代表联系。代表应由数据共享服务提供者的书面授权指定,以代表后者依本法规规定的义务行事。(28)本法规不应妨碍数据共享服务提供者遵守欧盟第2016/679号条例的义务以及监管机构为确保遵守该法规的责任。如果数据共享服务提供者是法规欧盟第2016/679号条例所指的数据控制者或处理者,则应受该法规的约束。本法规还应不影响竞争法的适用。(29)数据共享服务的提供者还应采取措施确保对竞争法的遵守。数据共享可能提高各种类型的效率,但也可能导致竞争的限制,尤其是在其中包括共享敏感性竞争信息的情况下。这尤其适用于以下情况:数据共享使企业能够了解其实际或潜在竞争对手的市场策略。竞争敏感信息通常包括有关未来价格,生产成本,数量,营业额,销售或产量的信息。(30)应建立数据共享服务的通知程序,以确保在联盟内部进行可信赖的数据交换的数据治理。可以通过对数据共享服务提供者提出一些要求来更好地实现可信赖环境的益处,但不需要主管机关对提供此类服务做出任何明确的决定或行政行为。(31)为了支持提供有效的跨境服务,应要求数据共享提供者仅从其主要机构所在的成员国或其法定代表所在的成员国向指定的主管部门发送通知。此类通知不应仅仅声明提供此类服务的意图,并且仅应通过本法规中规定的信息来完成。(32)联盟中数据共享服务提供者的主要机构应该是联盟中其中央管理机构所在地的成员国。应根据客观标准确定联盟中数据共享服务提供者的主要机构,并应包含有效和实际地开展管理活动。(33)主管机关的选择应根据其在横向或部门数据共享方面的能力和专门知识,用以负责监督数据共享服务是否符合本法规要求,该机关的任务是在行使职责时应保持独立,透明和公正。成员国应将指定主管机关的身份通知欧盟委员会。(34)本法规中规定的通知框架,不应损害通过特定部门立法适用的,提供数据共享服务的具体附加规则。(35)在使用数据主体基于其同意自愿提供的数据方面,或在涉及非个人数据的情况下,由法人出于一般利益的目的提供数据具有很大的潜力。这些目的将包括医疗保健、应对气候变化、提高流动性、促进官方统计数据的建立或改善公共服务的提供。对科学研究的支持,例如技术开发和示范、基础研究、应用研究和私人资助的研究,也应考虑作为一般利益的目的。这项法规旨在促进基于数据利他主义的数据池的出现,这些数据池具有足够的规模,以便能够进行数据分析和机器学习,包括在欧盟的跨境学习。(36)通过大规模提供基于数据利他主义的相关数据且满足特定的要求,这类寻求支持一般利益目的的法律实体,应能够注册为“欧盟认可的数据利他主义组织”。这可能会导致数据储存库的建立。因为在一个成员国的注册,于整个欧盟范围内都是有效的,这将有助于欧盟内部跨国数据的使用和覆盖多个成员国的数据池的出现。为此,数据主体会同意数据处理的特定目的,也会同意在某些研究领域或部分研究项目中进行数据处理,因为在收集数据时,通常不可能完全确定个人数据处理的目的为进行科学研究。法人可以准许处理其在给予许可时未界定目的的非个人数据。此类注册实体自愿遵守一套要求,应使人相信,出于利他主义目的而提供的数据符合公共利益目的。这种信任特别是源自于在欧盟内部的有一个设立地,也源自于登记实体具有非营利性质要求、透明度的要求以及为保护数据主体和公司的权益而制定的具体保障措施。进一步的保障措施应包括:在注册实体运营的安全处理环境中处理相关数据;监督机制,如伦理委员会,以确保数据控制者保持高标准的科学道德;随时撤回或修改同意的有效技术手段;基于欧盟第2016/679号条例下数据处理者的信息义务;以及数据主体随时了解其可用数据使用情况的方法。(37)本法规不影响根据国内法律寻求从事数据利他主义实体的建立、组织和运作。其建立在国内法要求的基础上,作为一个非营利组织在成员国合法运作。符合本法规要求的实体应能够使用“欧盟认可的数据利他主义组织”的名称。(38)欧盟认可的数据利他主义组织应能够直接从自然人和法人中收集相关数据,或处理其他人收集的数据。通常情况下,数据利他主义依赖于第6(1)(a)条和第9(2)(a)条意义上的数据主体的同意,并符合欧盟第2016/679号条例第7条的合法同意要求。根据欧盟第2016/679号条例,在符合公认的科学研究伦理标准的情况下,科学研究目的可通过同意某些科学研究领域或仅支持某些研究领域或部分研究项目来。欧盟第2016/679号条例第5(1)(b)条指出,根据欧盟第2016/679号条例第89(1)条的规定,出于科学或历史研究或统计目的的进一步处理数据不应被视为与初始目的不符。(39)为了给同意的授予和撤销带来更多的法律确定性,特别是在科学研究和统计使用基于利他主义提供的数据的情况下,应制定一份欧洲数据利他主义同意书,并将其用于利他主义数据共享。这样的同意书应该有助于提高数据主体的透明度,使他们的数据能够在完全符合数据保护规则的情况下被访问和使用。它还可以用来简化公司的数据利他主义行为,并提供一种机制,允许这些公司撤销其使用数据的许可。为了考虑到各个行业的特殊性,包括从数据保护的角度来看,对欧洲数据利他主义同意书进行行业性的调整是有可能的。(40)为了成功实施数据治理框架,应以专家组的形式设立欧洲数据创新委员会。欧洲数据创新委员会应由成员国代表,欧盟委员会的代表以及有关数据空间和特定行业(例如卫生,农业,运输和统计)的代表组成。应邀请欧洲数据保护委员会任命一名代表参加欧洲数据创新委员会。(41)欧洲数据创新委员会应支持欧盟委员会,在本法规所涵盖的主题范围内协调国家实践和政策,并在支持跨部门数据使用时,遵循欧洲互操作性框架(EIF)原则,通过使用标准和规范(如核心词汇表[44]和CEF构建块[45]),而不影响特定行业或领域的标准化工作。技术标准化的工作可能包括确定开发标准的优先级,以及建立和维护一套技术和法律标准,以在两个处理环境之间传输数据,从而允许在不依靠中介的情况下组织数据空间。欧洲数据创新委员会应与行业主体、网络或专家组或处理数据重复使用的其他跨部门组织合作。关于数据利他主义,欧洲数据创新委员会应与欧洲数据保护委员会协商,协助后者制定数据利他主义同意书。(42)为确保实施本法规的统一条件,应授予欧盟委员会制定欧洲数据利他主义同意书的实施权。这些权力应根据欧洲议会和理事会通过的欧盟第182/2011号法规行使。[46](43)考虑到某些类别数据的特定性质,应将根据TFEU第290条采取行动的权力授予委员会,制定可以通过立法程序将在特定欧盟法案中被认为是高度敏感的某些非个人数据类别转移到第三国的特殊条件。特别重要的是,委员会在筹备工作中应进行适当的磋商,包括在专家层面进行磋商,并应根据2016年4月13日《机构间协定》中关于制定更好法律的原则进行磋商。特别是,为了确保平等参与制定授权法案,欧洲议会和理事会与成员国专家同时接收所有文件,而且,他们的专家有系统地参加委员会专家组会议,讨论授权法案的编写。(44)本法规不应影响竞争规则的适用,特别是《欧洲联盟运作条约》第101条和第102条。本法规规定的措施不得以违反《欧洲联盟运作条约》的方式限制竞争。尤其是关于实际或潜在竞争对手之间通过数据共享服务交换竞争敏感信息的规则。(45)根据欧洲议会和理事会[47]通过的欧盟第2018/1725号条例第42条,咨询了欧洲数据保护监管机构和欧洲数据保护委员会,并就[…]发表了意见。(46)本法规尊重基本权利,遵守《宪章》特别承认的原则,包括隐私权、个人信息保护、经营自由、财产权和残疾人融入社会的权利。(a) 在欧盟范围内重复使用公共部门机构持有的某些类别数据的条件;(c) 提供为利他目的而收集和处理数据的自愿登记实体的框架。(2) 本法规不影响欧盟其他法律中有关访问或重复使用某些类别数据或与处理个人或非个人数据有关要求的特别规定。如果特定行业的欧盟法律法案要求公共部门机构、数据共享服务提供者或提供数据利他服务的登记实体,遵守特定的其他技术、行政或组织要求,包括通过授权或认证制度,该特定行业欧盟法律的相关规定也应适用。(1) “数据”是指行为、事实或信息的任何数字表示,以及此类行为、事实或信息的任何汇编,包括声音、视频或视听记录的形式;(2) “重复使用”是指自然人或法人将公共部门机构持有的数据用于商业或非商业目的,而非用于数据产生于公共事业的初始目的,公共部门机构之间纯粹为了执行其公共任务而交换数据的情况除外;(3) “非个人数据”是指除欧盟第2016/679号条例第4条第(1)款中定义的个人数据以外的其他数据;(4) “元数据”是指为提供数据共享服务而收集的自然人或法人的任何活动的数据,包括日期、时间和地理位置数据、活动持续时间、使用该服务的人与其他自然人或法人建立的联系;(5) “数据持有人”是指根据适用的联盟法或国内法,有权允许访问或共享其控制下的某些个人或非个人数据的法人或数据主体;(6) “数据用户”是指能够合法访问某些个人或非个人数据并被授权将该数据用于商业或非商业目的的自然人或法人;(7) “数据共享”是指数据持有人根据自愿协议,直接或通过中间人向数据用户提供数据,以共同或单独使用共享数据;(8) “访问”是指数据用户根据特定的技术、法律或组织要求对数据持有人提供的数据进行处理,而不一定意味着传输或下载此类数据;(9) 法人实体的“主要机构”是指其在本联盟的中央行政机构所在地;(10) “数据利他主义”是指数据主体同意处理与其相关的个人数据,或允许其他数据持有人出于公共利益(如科学研究或改善公共服务)而使用其非个人数据而无需寻求报酬;(11) “公共部门机构”是指国家、地区或地方当局、受公法管辖的机构或由一个或多个此类机构或一个或多个受公法管辖的机构组成的协会;(12) “受公法管辖的机构”是指具有以下特征的机构:(a)它们是为满足公共利益的需要而设立的,不具有工业或商业性质;(c)它们的资金大部分来自国家、地区或地方当局,或受公法管辖的其他机构;或受这些机构或机构的管理监督;或设有行政、管理或监督委员会,其半数以上的成员由国家、地区或地方当局任命,或受公法管辖的其他机构任命;(13)“公共事业单位”是指公共部门机构可以通过其所有权、财务参与或管理公共事业的规则直接或间接对其施加主导影响的任何企业;就本定义而言,在下列任何一种情况下,公共部门机构直接或间接具有支配性影响,应推定这些部门机构:(c)可以委派企业半数以上的行政、管理或者监察机构;(14)“安全处理环境”是指以允许安全处理环境的操作员确定和监督所有数据处理操作(包括显示、存储、下载)的方式提供重复使用数据的机会的物理或虚拟环境和组织方式,通过计算算法和估算导出数据。(15)“代表”是指在联盟内设立的一个自然人或法人,明确指定其代表数据共享服务提供者行事,或一个代表自然人或法人建立的数据利他主义为普遍利益目标收集数据的不在联盟之内建立的实体,它可由国家主管机关登记而非依本法规所设对于数据共享服务提供者或实体的义务进行处理。(1) 本章适用于公共部门机构持有的数据,这些数据受到保护的理由是:(b)公共广播机构及其附属机构,以及其他机构或附属机构为履行公共广播服务的职责而持有的数据;(d)因国家安全、防卫或公共安全理由而受保护的数据;(e)提供的数据不属于相关成员国法律或其他具有约束力的规则所界定的公共部门机构公共任务范围内的活动;或在没有相关规则的情况下,按照该成员国的一般行政惯例定义可进行数据提供,前提是公共任务的范围是透明的,并接受审查。(3)本章的规定不要求公共部门机构承担任何允许重复使用数据的义务,也不免除公共部门机构的保密义务。本章不影响联盟法和国内法,或,欧盟或成员国为缔约方的关于保护第1款所述各类数据的国际协定。本章不影响关于获取文件的联盟法和国内法,以及公共部门机构根据欧盟法和国内法允许重复使用数据的义务。(1) 公共部门就载有第3条第(1)款所述类别的数据的重复使用所达成的协议或其他做法应被禁止。这些协议或其他做法包括:授予专有权或以其为目的授予这种专有权效果;限制供此类协议各方以外的实体重复使用数据;其他有关行为。(2) 对第1款的削弱,该段所述的重复使用数据的专有权可在为公众利益提供服务或产品的必要范围内授予。(3) 在以下背景下可授予此类专有权,符合适用的欧盟和国家公共采购和特许权授予规则的相关服务或特许权合同,或者如果合同价值不适用于欧盟或国家公共采购和特许权授予规则,则应遵守透明、平等待遇和不因国籍而歧视的原则。(4) 在第(3)款未涵盖的所有情况下,如果不给予排他性独占权利就无法实现一般利益目的,则应适用透明、平等待遇和不因国籍而歧视的原则。(5) 数据的独占使用权不得超过三年。订立合同的,授予合同的期限应当与排他性期限一致。(6) 根据第(2)款至第(5)款授予的专有权,包括有必要授予这种权利的理由,应是透明的,并应在网上公开,不论是否可能公布公共采购和特许权合同的授予。(7) 属于第(1)款禁止范围的不符合第(2)款所列条件的协定或其他做法,在本法规生效之日前订立的合同应在合同结束时终止,且在任何情况下,最迟应在本法规生效之日后三年内终止。(1)根据国内法有权重复使用或有权拒绝处理第3条(1)款所指的一种或多种数据的公共部门机构应公开此类允许重复使用的条件。在这项任务中,它们可以得到第7条(1)款所述主管机构的协助。(2)重复使用的条件应是非歧视性的、相称的和客观合理的,与数据的类别、重复使用的目的以及允许重复使用的数据的性质有关。这些条件不得用于限制竞争。(3)公共部门机构可规定仅重复使用预处理数据的义务,前提是此类预处理旨在匿名或假名化个人数据或删除商业机密信息,包括商业秘密。(a)在公共部门提供和控制的安全处理环境中访问和重复使用数据;(b)如果在不损害第三方权益的情况下无法允许远程访问,则在安全处理环境所在的物理场所内访问和重新使用数据。(5)公共部门机构应规定保持所使用的安全处理环境的技术系统功能的完整性的条件。公共部门机构应能够核实再使用者处理数据的任何结果,并保留禁止使用含有危害第三方权益信息的结果的权利。(6)如果无法根据第(3)至(5)款规定的义务批准数据的重复使用,并且根据第欧盟第2016/679号条例传输数据缺乏其他法律依据,公共部门机构应支持重复使用者征求数据主体的同意和/或征求权利和利益可能受此类重复使用影响的法律实体的许可,前提是这种做法可行且不会给公共部门带来不相称的成本。在这项任务中,他们可以得到第7条(1)款所指主管机关的协助。(7)只有在符合知识产权的情况下,才允许重复使用数据。第96/9/EC号指令第7条(1)款规定的数据库建立者的权利不得由公共部门机构行使,以防止或限制数据的重复使用或超出本法规规定的范围。(8)根据欧盟或国家商业机密法,所要求的数据被视为机密时,公共部门机构应确保机密信息不会因重复使用而泄露。(9)欧盟委员会可通过对第三国的法律、监督和执行安排的实施法案:(a)确保对知识产权和商业秘密的保护根本上等同于欧盟法律所规定的保护; 这些实施法案应按照第29条第(2)款所述的咨询程序通过。(10)公共部门机构将机密数据或受知识产权保护的数据传输给打算将数据转移到第(9)款指定国家以外的第三国的重复使用用户的前提条件是该重复使用用户承诺:(a)始终履行第(7)、第(8)款规定的义务,即使在数据已经转移到第三国之后;以及(b)接受公共部门机构成员国法院对与遵守第(a)点所述义务有关的任何争议的司法管辖权。(11)如果根据立法程序通过的具体欧盟法案规定,对本条而言,公共部门机构持有的某些非个人数据应被视为高度敏感的类别,则委员会有权根据本法规补充条款第28条的规定,适用向第三国转移的特殊条件,采取授权行为。向第三国转移的条件应基于《欧盟法》中确定的数据类别的性质,以及该数据被认为高度敏感、非歧视性的理由,且仅限于实现《欧盟法》确定的公共政策目的(如安全和公共卫生)所需的条件,以及根据欧盟的国际义务,数据主体重新识别匿名数据的风险。这些条件可包括适用于该数据的转移或技术安排的条款、对在第三国重复使用数据的限制或有权将此类数据转移给第三国的各类人,或在例外情况下,限制对向第三国的转移。(12)被授予重复使用非个人数据权利的自然人或法人只能将数据转移给符合第(9)款至第(11)款要求的第三国。(13)如果重复使用者打算向第三国转移非个人数据,公共部门机构应将向该第三国转移数据的情况通知数据持有人。(1)允许重复使用第3条(1)款所述各类数据的公共部门机构可收取许可重复使用此类数据的费用。(2)任何费用应是非歧视性的、相称的和客观合理的,不应限制竞争。(3)公共服务机构应确保任何费用可以通过广泛使用的跨境支付服务在线支付,不因支付服务提供商的设立地、支付工具的签发地或支付账户在欧盟内的位置而受到歧视。(4)公共部门机构在收取费用时,应采取措施,鼓励中小企业按照国家援助规则,出于非商业目的重复使用第3条第(1)款所述类别的数据。(5)费用应来用来支付处理第3条第(1)款所述各类数据的重复使用请求有关的成本。收费办法应当事先公布。(6)公共部门机构应公布主要费用类别和费用分配规则的说明。(1)成员国应指定一个或多个主管机构,这些机关可以是部门性的,以支持公共部门机构在执行这项任务时允许重复使用第3条第(1)款中的各类数据。(a)通过设立安全的处理环境为数据的重复使用的访问提供技术支持;(b)为测试以确保可再利用的数据中所包含私密信息可以被保留的方式进行的数据处理技术的应用提供技术支持,包括个人数据的假名化、匿名化、泛化、抑制和随机化技术;(c)在相关情况下,协助公共部门机构获得重复使用者出于利他和其他目的重用的同意或许可以符合数据持有人的具体决定,包括确定将要发生数据处理的一个或多个司法管辖区;(d)根据第5条第(10)款,向公共部门机构提供关于重复利用者所作承诺是否充分的援助。(3)根据规定提供此类访问权限的欧盟法或国内法,主管机构也可被授权委托对第3条第(1)款所述类别数据进行重复使用。此时,主管机构履行其职能以准许或拒绝重复使用时,第4、5、6条和8条第(3)款的规定应适用于这些被委托的主管机构。(4)主管机构应具有足够的法律、技术能力和专门知识,能够执行与第3(1)条所述各类数据使用制度的相关欧盟法或国内法。(5)成员国应在[本法规适用日期]之前将根据第(1)款指定的主管机构的身份告知欧盟委员会。成员国随后对这些机关的身份所作的任何修改也应通知委员会。(1)各成员国应确保有关第5条和第6条适用情况的所有相关信息可通过单一信息点获得。(2)单一信息点应接收重复使用第3条第(1)款所述各类数据的请求,并将其发送给公共部门主管机构或第7条第(1)款的主管机构。单一信息点应通过电子方式提供一份可用数据资源登记册,其中包含描述可用数据性质的相关信息。(3)公共部门机构或第7条第(1)款的主管机构应在合理时间内,且最长期限须在自请求之日起两个月内,批准或拒绝第3(1)条所述各类数据的使用请求。(4)与公共部门机构或主管机构(视情况而定)决定有利害关系的任何自然人或法人有权在相关机构所在的成员国法院就该决定寻求有效的司法救济。(a)法人数据持有人与潜在数据用户之间的中介服务,包括通过技术或其他手段启用此类服务;这些服务可能包括双边或多边数据交换,或创建能够交换或联合利用数据的平台或数据库,以及建立使数据持有人和数据用户互连的特定基础设施;(b)寻求其个人数据可使用的数据主体与潜在数据用户之间的中介服务,包括在行使欧盟第2016/679号条例规定的权利时,提供技术或其他手段使该服务具有可用性;(c)数据合作社的服务,是指为数据主体或一人公司或中小型企业提供支持的服务合作社成员或授权合作社,在主体或法人同意之前就数据处理条款和条件进行谈判,在同意数据处理之前做出知情的选择,并允许机制代表数据主体或法人的利益就最佳的数据处理目的和条件交换意见的服务。(2)本章不得影响其他联盟和国内法律对数据共享服务提供者的适用,包括监督机构确保法律适用的权力,尤其是在保护个人数据和竞争法方面。(1)任何数据共享服务提供者如将提供第9条第(1)款的服务,应向第12条所述主管机关提交通知。(2)就本法而言,数据共享服务提供者在一个以上的成员国设有办事机构,其主要机构所在成员国应被视为具有管辖权。(3)未在联盟内设立但在联盟内提供第9条第(1)款所述服务的数据共享服务提供者,应在提供这些服务的成员国之中指定一名法律代表。数据服务提供者所指定法律代表所在的成员国应被视为具有管辖权。(4)在接到通知后,数据共享服务提供者可以在本章规定的条件下开始活动。(5)该通知应使提供者有权在所有成员国中提供数据共享服务。(b)提供者的法律地位、形式和注册号,其中提供者在贸易或其他类似的公共登记册中注册;(c)如果有的话,提供者在欧盟的主要机构的地址,以及在适用的情况下,在另一个成员国的任何二级分支机构或根据第3款指定的法律代表的地址;(d)在适用的情况下,可以找到关于提供者及其活动信息的一个适当的网站;(7)应提供者的要求,主管机关应在一周内发出标准化声明,确认提供者已提交第(4)款所述通知。(8)主管机关应毫不拖延地以电子方式将每一份通知送交成员国的国家相关部门。(9)主管机关应将每次新的通知告知委员会。委员会应保存数据共享服务提供者登记册。(10)主管机关可以收取费用。此种费用应是相称和客观的,并以主管机关在数据共享服务通知方面监测遵守情况和其他市场控制活动的行政费用为确定依据。(11)数据共享服务提供者停止活动的,应当在15日内通知根据第(1)(2)和(3)款确定的相关主管机关。主管机关应毫不拖延地将每一份通知送交成员国的国家主管机关,并以电子方式送交委员会。第9条第(1)款所述数据共享服务的提供应符合以下条件:(1)提供者不得将其提供服务的数据用于其他目的,而应将数据交给用户使用,数据共享服务应放在一个单独的法律实体中;(2)从提供数据共享服务中收集的元数据只能用于开发该服务;(3)提供者应确保获取其服务的程序对数据持有人和数据用户都是公平、透明和非歧视性的,包括在价格方面;(4)提供者应以促进来自数据持有人的具有一定格式的数据进行交换,并应将这些数据转换为特定格式,仅用于加强部门内部和部门之间的互用性、或应数据用户的要求、或在联盟法律授权的情况下、或为确保与国际或欧洲数据标准相一致;(5)提供者应制定程序,防止在通过服务寻求获取当事人数据方面的欺诈或滥用行为;(6)提供者应确保其提供的服务具有合理的连续性,应对数据存储的服务提供足够保证,以允许数据持有人和数据用户在其破产情况下对其数据进行访问;(7)提供者应采用适当的技术、法律和组织措施,以防止根据联盟法律非法转移或获取非个人数据;(8)提供者应当采取措施,确保非个人数据的存储和传输具有高度的安全性;(9)提供者应制定程序,以确保遵守联盟和成员国内的竞争法;(10)向数据主体提供服务的提供者在促进数据主体行使其权利时,应以数据主题利益最大化行事,特别是就潜在的数据用途和与这些用途相关的标准条款和条件向数据主体提供咨询;(11)如果提供者提供了从数据主体获得同意或处理法人提供的数据的权限的工具时,则提供者应具体说明其管辖权或将要发生数据使用的所在地的管辖权。(1)每个成员国应在其境内指定一个或多个主管机关,负责执行与通知框架有关的任务,并应在[适用本条例的日期]之前将这些指定机关的身份通知委员会,还应将其后的任何修改通知委员会。(3)指定的主管机关、数据保护机构、国家竞争管理机构、负责网络安全的主管机关和其他相关部门应交流数据共享提供者的执行任务有关的必要信息。(2)主管机关有权要求数据共享服务提供者提供所有的必要信息,以核实是否符合第10条和第11条规定的要求。任何索取信息的要求应与执行任务相称,并应说明理由。(3)主管机关发现数据共享服务提供者不符合第10条或第11条规定的一项或多项要求时,应将调查结果通知该提供者,并给予其在合理时限内陈述意见的机会。(4)主管机关有权要求立即或在合理时限内停止第3款所指的违约行为,并应采取适当和相称的措施,以确保其遵守。在这方面,主管机关应酌情:(a)施加劝阻性经济处罚,包括具有追溯效力的定期处罚;(5)主管机关应毫不拖延地向有关实体通报根据第4款采取的措施及其理由,并应规定该实体执行这些措施的合理期限。(6)如果数据共享服务提供者在一个成员国有其主要机构或法律代表,但在其他成员国提供服务,则主要机构的成员国主管机关或法律代表所在地的成员国主管机关和其他成员国主管机关应相互合作和协助。这种协助和合作可包括有关主管机关之间的信息交流以及采取本条所述措施的请求。本章不适用于活动仅限于寻求由自然人或法人根据数据利他主义提供、为公共利益目标收集的数据的非营利实体。(1)根据第20条指定的每一主管机关应保存联盟认可的数据利他主义组织登记册。(2)欧盟委员会应保留联盟认可的数据利他组织在联盟内的登记。(3)根据第16条在登记册上登记的实体可在书面和口头交流中自称为“联盟认可的数据利他组织”。(b)在非营利基础上运作,并独立于任何以营利为基础运作的实体;(c)执行与数据利他主义有关的活动是通过一个法律上独立的结构进行的,与它所开展的其他活动分开。(1)任何符合第16条规定的实体均可要求将其列入第15条第(1)款所指公认数据利他主义组织登记册。(2)为本条例的目的,与一个以上成员国的机构开展基于数据利他主义活动的实体,应在其主要机构所在的成员国进行登记。(3)未在欧盟设立但符合第16条要求的实体,应在其将要根据数据利他主义收集数据的成员国之中,任命一名法律代表。为了遵守本条例,该实体应被视为在法律代表所在地成员国的管辖之下。(b)在公共登记册中注册实体的法律地位、形式和注册号;(e)如果有的话,该实体在欧盟的主要机构所在地,以及在适用的情况下,在另一个成员国的任何二级分支机构或根据第(3)款指定的法律代表的地址;(5)如该实体已根据第4款提交了所有必要资料,且主管机关认为该实体符合第16条的要求,则该实体应在申请之日起十二周内在数据利他组织登记册上登记。登记在所有成员国有效。任何登记都应通知委员会,以便将数据利他组织列入联盟登记册。(6)第4款(a)、(b)、(f)、(g)和(h)项所述信息应在数据利他组织的国家登记册中公布。(7)在数据利他组织登记册中登记的任何实体,应在更改发生之日起14个自然日内,向主管机关提交关于第(4)款提供的信息的任何更改。(1)任何进入联盟认可的数据利他组织登记册的实体应保存有关下列事项的完整和准确的记录:(a)有可能处理该实体持有数据的所有自然人或法人;(c)具有数据处理可能性的自然人或法人所宣称的处理目的;(d)处理数据的自然人或法人所支付的费用(如果有)。(2)任何实体,只要进入联盟认可的数据利他组织登记册,均应草拟年度活动报告,并转交国家主管机关。该报告至少应包括以下内容:(b)在给定的财政年度中,对于提高数据收集的普遍利益目的的方式的描述;(c)允许对其持有的数据进行使用的所有自然人和法人的列表,包括对此类数据使用所追求的普遍利益目的的简要描述以及对其使用的技术手段的描述,包括对用于维护隐私和数据保护目的的技术的描述;(e)有关实体收入来源的信息,尤其是所有允许数据访问的收入以及支出的信息。(1)进入数据利他组织登记册的任何实体均应告知数据持有人:(a)关于公共利益的目标,即为了允许数据用户以易于理解的方式处理数据的目标;(2)实体还应确保该数据不会用于其允许处理的公共利益的目的以外的其他目的。(3)当进入联盟认可的数据利他主义组织的登记册的实体提供了数据主体同意或获得许可处理法人提供的数据的工具时,应指定一个或多个数据使用发生地作为司法管辖区。(1)每个成员国应指定一个或多个主管机关,负责进入联盟认可的数据利他组织的登记,并监督对本章要求的遵守情况。指定的主管部门应符合第23条的要求。(3)登记机关应与数据保护当局合作处理其任务,这些任务与处理个人数据有关,并应与同一成员国的有关部门合作。对于任何需要评估是否符合欧盟2016/679号条例的问题,登记机关应首先征求根据该法规建立的主管监督机关的意见或决定,并遵守该意见或决定。(1)登记机关应监督进入联盟认可的数据利他组织登记册的实体遵守本章规定的要求的情况。(2)登记机关应有权向联盟认可的数据利他主义登记册中包含的实体索要必要信息,以核实是否符合本章的规定。任何要求提供信息的请求均应合理并与任务的执行成比例。(3)登记机关发现某实体不符合本章的一项或多项要求的,应将这些发现通知该实体,并使其有机会在合理的期限内陈述其观点。(4)登记机关有权立即或在合理的期限内要求实体停止违反第3章的行为,并应采取适当和相称的措施以确保其遵守。(5)如果一个实体已收到登记机关按照本章第(3)款通知,仍未遵守本章的一项或多项要求,则该实体应:(a)在任何书面和口头交流中,都失去了称自己为“联盟认可的数据利他主义组织”的权利;(b)从联盟认可的数据利他主义组织的登记册中删除。(6)如果列入联盟认可的数据利他主义组织登记册的实体的主要机构或法定代表人在某成员国内,但在其他成员国活跃,则该主要机构所在成员国的主管机关或该法定代表人所处的位置以及其他成员国的主管机关应在必要的时相互合作和协助。这种合作和协助可能社会及各国有关主管机关之间的信息交流,以及采取本条所指监督措施的请求。(1)为了促进基于数据利他主义的数据收集,委员会可采取实施行为制定欧洲数据利他主义同意书。该同意书应在全体成员国之间以统一格式收集。这些实施行为应按照第29条第2款所述的咨询程序通过。(2)欧洲数据利他主义同意书应使用模块化方法,允许针对特定部门和不同目的进行自定义。(3)在提供个人数据的情况下,欧洲数据利他主义同意书应确保数据主体能够同意或撤销符合欧盟第2016/679号条例的特定数据处理操作。(4)同意书应打印在纸上由人类可读的方式以及电子机器可读形式提供。
第五章
主管机关和程序规定
(1)根据第12条和第20条指定的有关主管机关在法律上应与联盟认可的数据利他组织登记册中所包括的任何数据共享服务提供者或实体有所区别,并在功能上相互独立。(2)主管机关应公正,透明,一致,可靠和及时地执行其任务。(3)最高管理者和负责执行本规章规定的主管机关相关任务的人员,不得是他们评估的服务的设计者,制造商,供应商,安装者,购买者,所有者,用户或维护者,也不得是他们的授权代表或是他们的被代表人。这并不排除主管机关为运营的必要或出于个人使用的目的使用该评估服务。(4)高层管理者和人员不得从事可能与其受委托进行评估时独立性或诚信度相抵触的任何活动。(5)主管机关应拥有足够的财政和人力能力来执行分配给他们的任务,包括必要的技术手段和资源。(6)成员国的主管机关应基于合理请求向委员会和其他成员国的主管机关提供执行本条例所规定任务所需的信息。如果主管机关根据联盟和与商业和专业机密性的国内法,认为要求提供的信息是机密的,则委员会和其他有关主管机关应确保此类信息的机密性。(1)自然人和法人有权向相关国家主管机关投诉数据共享服务的提供者或进入联盟认可的数据利他组织登记册的实体。(2)收到申诉的机关应将程序的进展和作出的决定通知申诉人,并应将第25条规定的可获得有效司法补救的权利告知申诉人。(1)任何受影响的自然人和法人虽然采取了行政或其他非司法补救措施,仍有权就以下方面获得有效的司法救济:(a)对第12条和第20条指定的主管机关提出申诉,主管机关采取行动失败;(b)主管机关就第13条,第17条和第21条中规定的用于管理、控制和执行数据共享服务提供者的通知制度作出的决定,以及监测联盟认可的数据利他组织登记册包含的实体作出的决定。(2)依照本条进行的诉讼应提交,对提起司法救济的有关机关所在地的成员国法院。
第六章
欧洲数据创新委员会
(1)应以专家组的形式成立欧洲数据创新委员会(简称“创新委员会”),该管理委员会由所有成员国主管机关的代表,欧洲数据保护委员会,欧盟委员会,相关数据空间及其他主管机关特定部门的代表。(2)可以邀请利益相关者和相关第三人参加创新委员会会议并参与其工作。(a)为处理第3条第(1)款所述的重复使用数据类别的请求提供咨询并协助欧盟委员会制定第7条第(1)款所述的公共部门机构和主管机关的统一行动章程;(b)在回应数据共享提供者的要求方面,提供咨询并协助欧盟委员会达成主管机关的统一做法;(c)在考虑部门特定的标准化活动时,就制定跨部门标准的优先次序,数据使用和跨部门数据共享,跨部门比较以及符合部门要求的安全性的最佳交换使用的方法和访问程序,向欧盟委员会提供建议;(d)在现有欧洲,国际或成员国标准的基础上,协助欧盟委员会增强数据的操作性、提高不同部门和领域之间的数据共享服务;(e)通过能力建设和信息交流,特别是通过建立数据共享服务提供者的、与通知程序相关的、有效信息交换的方法以及建立公认利他主义组织注册和监测的方法,促进根据本法规各国主管机关之间的合作。(1)在符合本条规定的前提下,欧盟委员会有权进行委托授权。
(2)第5条第(11)款所指的采取授权行为的权力应授予欧盟委员会自[…]起,可在不特定的时间内行使。(3)欧洲议会或理事会可随时撤销第5条第(11)款所指的权力授予。撤销决定应终止该决定中所指定的权力授予。该决定应在《欧洲联盟官方公报》上发表后的第二天或其中指定的较晚日期生效,撤销行为不影响任何已生效的授权行为的有效性。(4)在通过授权法案之前,欧盟委员会应根据2016年4月13日《机构间协定》关于制定更好法律的原则咨询每个成员国指定的专家。(5)欧盟委员会通过一个授权法案,应立即通知欧洲议会和理事会。(6)根据第5条第11款实施的授权行为,在欧洲议会或理事会接到通知后的三个月内未表示反对;或者在三个月期限届满之前,欧洲议会和理事会均已通知欧盟委员会,他们将不反对,该行为才生效。欧洲议会或理事可要求该期限延长三个月。(1)欧盟委员会应由欧盟第182/2011号条例所指的组织委员会协助。(2)凡提及本段,应适用欧盟第182/2011号条例第4条的规定。(3)如果要通过书面程序获得组织委员会的意见,该程序在提供意见的期限内而无结果,在这种情况下,应委员会主席决定或委员的要求,应在合理时间内召开委员会会议。(1)根据第2章获得数据重复使用权限的公共部门机构、自然人或法人,数据共享提供者或已进入联盟认可的数据利他组织登记册的实体(视情况而定)应采取所有合理的技术、法律和组织纪律,防止联盟中持有的非个人数据在与联盟法或相关成员国的法律产生冲突的情形下被转移或访问,除非转移或访问符合第(2)或第(3)款的规定。(2)法院或仲裁委的任何判决和第三国行政当局要求公共部门机构的任何决定,依第2章被授予数据重复使用权的自然人或法人、数据共享提供者或进入联盟认可的数据利他主义组织登记册的实体,试图从联盟中转移或访问受本法规约束的非个人数据,只有在根据国际协议(例如司法互助条约)的情况下,才可以一定方式得到承认或执行;在[本法规生效]之前,在请求的第三国与欧盟之间或者在请求的第三国与成员国之间缔结的任何此类有效协议终止。(3)根据第2章获得重复使用数据授权的自然人或法人、公共部门机构、数据共享提供商和数据利他组织中的实体,接收到第三国法院和行政主管机关关于转移或获取联盟所持有的非个人数据的决定的,若执行该决定与联盟法律或相关成员国的法律相抵触,则该第三国当局仅可在以下情形中转移或访问此类数据:(a)第三国相关系统需要陈述决定的理由和比例,并且要求法院命令或判决(视情况而定)具有特定的特征,例如对确定的可疑人员或侵权行为掌握了充足的信息;(b)收件人的合理反对应接受第三国主管法院的审查;和(c)在这种情况下,根据该国的法律,主管法院可以下达命令或审查行政机关的决定,以适当考虑受联盟法或适用成员国保护的数据提供者的相关合法利益。决定的收件人应根据本条例征求有关主管机关或当局的意见,以确定这些条件是否满足。(4)如果满足第(2)款或(3)款的条件,则根据第二章获得了数据重复使用权的公共部门,自然人或法人,数据共享提供者或进入联盟认可的数据利他组织的登记簿中的实体(视情况而定)应基于对请求的合理解释,提供回应请求所允许的最小数据量。(5)根据第2章被授予数据重复使用权的公共部门机构,自然人或法人,数据共享提供者和提供数据利他主义的实体,应将存在第三国的行政机关请求访问其数据的情况告知数据持有人,除非该请求用于执法目的且在保持执法活动有效性的必要时间内使用。成员国应制定适用于违反本条例的处罚规则,并应采取一切必要措施以确保执行该规则。规定的处罚应是有效的、合理的和必要的。成员国应在[本条例的适用之日]之前将这些规则和措施通知欧盟委员会,并将影响它们的任何修正案立即通知委员会。截至到[依本法规适用数据后的第四年],委员会应对该法规进行评估,并就其主要调查结果向欧洲议会,理事会以及欧洲经济与社会理事会提交报告。成员国应向欧洲委员会提供编写该报告所需的信息。在欧盟第2018/1724号法规的附件II中,在“开始,运营和关闭业务”下添加了以下内容:在本法规生效之日起符合第9条第(1)款规定的数据共享服务的实体应最晚在[该法规实施之日起2年后]履行第3章中规定的义务。该法规在其在《欧盟官方杂志》上发布后的第二十天生效。本法规应具有全部约束力,并直接适用于所有成员国。完成于布鲁塞尔。
注释
[1]本草案主要涉及在欧盟范围内重复使用公共部门机构持有的数据的种类和条件、提供数据共享服务的通知和监管框架以及实体出于利他主义目的收集和处理数据的登记框架。立法的最终形式将由文书的内容决定。
[2]COM /2020/66最终版。
[3]“其使用取决于他人权利的数据”或“受他人权利约束的数据”涵盖可能受数据保护法规,知识产权或包含商业秘密或其他商业敏感信息的数据。
[4]《欧盟官方公报》2016年5月4日发布的119号法规,第1-88页。
[5]《欧盟官方公报》2002年1月3日发布的201号法规,第37-47页。
[6]《欧盟官方公报》2019年6月26日发布的172号法规,第56-83页。
[7]COM/2020/66最终版。
[8]https://www.force11.org/group/fairgroup/fairprinciples
[9]《欧盟官方公报》2009年7月18日发布的188号法规第1页,后经欧盟官方公报2018年4月1日发布151号法规,第1页修订。
[10]《欧盟官方公报》2015年12月23日发布的337号法规,第35-127页。
[11]《欧盟官方公报》2019年6月14日发布的158号法规,第125-199页; 欧盟官方公报2009年4月1日发布的211号法规,第94-136页。
[12]《欧盟官方公报》2017年8月25日发布的220号法规,第1-120页;欧盟官方公报2015年5月1日发布的113号法规 ,第13-26页。
[13]《欧盟官方公报》2010年6月8日发布的207号法规,第1-13页。
[14]《欧盟官方公报》2003年2月14日发布的41号法规,第26-32页。
[15]《欧盟官方公报》2007年2月25日发布的108号法规,第1-14页。
[16]计划在2021年第四季度制定有关欧洲健康数据空间的立法提案。https://eur-lex.europa.eu/resource.html?uri=cellar%3A91ce5c0f-12b6-11eb-9a54-01aa75ed71a1.0001.02 / DOC_2&format = PDF
[17]《欧盟官方公报》2000年7月17日发布的178号法规,第1-16页。
[18] 法案COM(2020)456最终版:欧洲时刻为下一代的修复与准备。
[19] 法案COM(2020)66最终版:欧洲数据战略。
[20]欧盟委员会(2020年即将出版)。德勤编写的对此影响评估的支持研究SMART 2019/0024。
[21]《欧盟官方公报》C,,P..
[22]《欧盟官方公报》C,,P..
[23]委员会与欧洲议会,欧洲理事会,理事会,欧洲经济和社会委员会以及欧洲绿色协议地区委员会的来文。2019年12月11日完成于布鲁塞尔(法案COM(2019)640最终版)。
[24]法案COM(2020)66最终版:欧洲数据战略。
[25]参见:欧盟委员会欧洲议会,理事会,欧洲经济和社会委员会以及地区委员会关于2021年委员会工作计划的来文的附件(法案COM(2020)690最终版)。
[26]例如,在欧洲健康数据空间范围内的指令2011/24/EU,以及相关的运输法规,例如指令2010/40/EU,法规2019/1239和法规2020/1056,欧洲移动性数据空间的内容。
[27]欧洲议会和理事会2016年4月27日2016/679号条例,关于在处理个人数据和此类数据的自由流通方面保护自然人,并废除指令95/46/EC(通用数据保护法规),(《欧盟官方公报》2016年5月4日发布的119号法规,第35-127页)。
[28]欧洲议会和理事会于2016年4月27日发布的(EU)2016/680号指令,关于为预防,调查,侦查或刑事诉讼目的,在主管机关处理自然人犯罪或执行刑事处罚方面,保护个人数据,以及此类数据的自由流通,并废除了理事会第2008/977/JHA号框架决定。(《欧盟官方公报》2016年5月4日发布的119号法规,第89页)。
[29]欧洲议会和理事会于2016年6月8日发布的指令(EU)2016/943,保护未公开的专有技术和商业信息(商业秘密),以防止其被非法获取,使用和披露。(《欧盟官方公报》2016年6月15日发布的157号法规,第1页)。
[30]欧洲议会和理事会2018年11月14日第(EU)2018/1807号条例,关于在欧盟自由流通非个人数据的框架。(《欧盟官方公报》2018年11月28日发布的303号法规,第59页)。
[31]欧洲议会和理事会于2009年3月11日发布的关于欧洲统计和废止的(EC)223/2009号条例,欧洲议会和理事会的关于传输数据的第1101/2008号条例欧洲共同体统计局的统计机密性,关于社区统计的理事会条例(EC)322/97号和理事会第89/382/EEC号决定,欧洲原子能机构建立了欧洲共同体统计计划委员会。(《欧盟官方公报》2009年3月31日发布的87号法规,第164页)。
[32]欧洲议会和理事会于2000年6月8日发布的第2000/31/EC号指令,该指令关于内部市场中信息社会服务(尤其是电子商务)的某些法律(电子商务指令)。(《欧盟官方公报》2000年7月17日发布的178号法规,第1页)。
[33]欧洲议会和理事会于2001年5月22日发布的关于协调信息社会中版权和相邻权某些方面的指令,第2001/29 /EC号。(《欧盟官方公报》2001年6月22日发布的167号法规,第10页)。
[34]欧洲议会和理事会于2019年4月17日发布的关于数字单一市场中的版权和相邻权的指令,(EU)2019/790,以及对指令96/9/EC和2001/29/EC的修订。(《欧盟官方公报》2019年5月17日发布的130号法规,第92页)。
[35] 欧洲议会和理事会于2004年4月29日发布的关于知识产权执法的指令2004/48/EC。(OJ L 157,30.4.2004)
[36]欧洲议会和理事会于2019年6月20日发布的关于公开数据和公共部门信息再利用的指令(EU)2019/1024。(《欧盟官方公报》2019年6月26日发布的172号法规,第56页)。
[37]欧洲议会和理事会于2018年5月30日颁布的(EU)2018/858实施细则,涉及对机动车及其挂车以及用于此类车辆的系统,组件和单独技术单元的批准和市场监督)715/2007号和(EC)595/2009号,并废除指令2007/46/EC(《欧盟官方公报》2018年6月14日发布的151号法规)。
[38]欧洲议会和理事会于2010年7月7日发布的指令2010/40/EU,该指令关于在道路运输领域中部署智能运输系统的框架以及与其他运输方式的接口。(《欧盟官方公报》2010年8月6日发布的207号法规,第1页)。
[39]2013年6月17日第(EU)557/2013号委员会实施细则,实施欧洲议会和欧洲统计委员会第223/2009号实施细则(EC)关于出于科学目的访问机密数据并废除第831号委员会实施细则/2002(《欧盟官方公报》2013年6月18日发布的164号法规,第16页)。
[40]《欧盟官方公报》2016年1月5日发布的157号法规,第1–18页。
[41]欧洲议会和理事会于1996年3月11日发布的关于数据库法律保护的96/9/EC指令(《欧盟官方公报》1996年3月27日发布的77号法规,第20页)。
[42]欧洲议会和理事会2014年5月15日关于金融工具市场的2014/65/EU指令,以及对2002/92/EC和2011/61/EU指令,由《欧盟官方公报》173号法规修订,第349页。
[43]欧洲议会和理事会2015年11月25日关于内部市场支付服务的指令(EU)2015/2366,修改了指令2002/65/EC,2009/110/EC和2013/36/EU和欧盟法规第1093/2010号,并废除第2007/64/EC号指令。
[44]https://joinup.ec.europa.eu/collection/semantic-interoperability-community-semic/core-vocabularies
[45]https://joinup.ec.europa.eu/collection/connecting-europe-facility-cef
[46]2011年2月16日欧洲议会和理事会(EU)182/2011号法规,规定了成员国对委员会行使控制机制的规则和一般原则(《欧盟官方公报》2011年2月28日发布的55号法规,第13页)。
[47] 2018年10月23日,欧洲议会和理事会法规(EU)2018/1725,关于在欧盟机构处理个人数据方面保护自然人、机构、办事处和机构,以及这些数据的自由流动,并废止(EC)第45/2001号法规和第1247/2002/ EC号决定(《欧盟官方公报》2018年11月21日发布的295号法规,第39页)。