文|杜安琪 中国信通院互联网法律研究中心助理研究员
背景:2022年2月23日,欧盟委员会公布了《数据法案》,以促进欧洲数据价值释放为目标,明确了多项数据流通共享举措,同时也明确了数据处理服务提供商的相关义务。此后,欧盟理事会分别就公共机构访问企业的数据的条件、云计算互操作性规范等问题公布妥协方案。
2023年1月24日,欧盟理事会主席国瑞典发布了一份关于《数据法案》的新妥协方案(以下简称“妥协方案”),该方案涉及法案的范围、商业秘密、公共机构访问企业的数据(B2G)、跨境数据流动和补偿等问题。瑞典要求其他成员国对仍未解决的核心问题提出书面和口头意见,并提供了一个选项清单。[1]《数据法案》规定了如下原则:用户应当有权访问他们使用产品或相关服务所产生的数据以及解释和使用这些数据所需的元数据,并与他们选择的第三方分享上述数据。然而,关于《数据法案》应该涵盖哪种类型的数据一直存在争议。此前,马克斯·普朗克创新与竞争研究所提出,“应当通过目的标准(purpose-based)而非行为标准来界定用户能够访问和使用的数据,对‘使用产品或相关服务所产生的数据’的概念进行相应的澄清”。[2]此前的妥协文本中曾提出,所有不是因使用产品本身而产生的数据,而是为了解产品而进行的处理所产生的数据,如对初始形式进行重大修改的嵌入式应用程序和诊断程序,都不在范围之内。妥协方案中提出,“为了更好地界定《数据法案》的适用范围,决定将重点放在数据的功能而不是产品上”。具体而言,妥协方案重点关注嵌入在车辆、家庭和生活设备等联网产品中的传感器自动产生的预处理数据,而不是产品本身。此外,妥协方案对“产品或相关服务产生的数据”的定义进行了修正,以排除为显示内容而产生的数据和使用与产品无严格相关的应用程序记录的数据。另一个要点是确保共享数据不侵犯提供数据的组织的商业秘密。《数据法案》规定,“商业秘密仅在为实现用户与第三方约定的目的所绝对必要的范围内向第三方披露,并且数据持有者与第三方约定的所有具体必要措施均由第三方采取保守商业秘密的机密性。在这种情况下,数据作为商业秘密的性质和保密措施应在数据持有人与第三方的协议中明确。”此前的妥协文本中曾讨论采用“只有在接收实体采取与初始交易中商定的相同措施来保护商业秘密的机密性时,才能进行这种数据传输”,来对必要措施进行明确。妥协方案加强了有关保护措施的条款,如果相关方没有实施保护措施,则组织有权要求赔偿。欧盟理事会另一个讨论的问题是,如何使《数据法案》规定的义务与中小型企业(SMEs)的规模之间具有相称性,这涉及到立法允许公共机构在特定情况下要求访问数据持有者的数据。《数据法案》规定,“公共机构”是指成员国的国家、地区或地方当局和受成员国公法管辖的机构,或由一个或多个此类机构的协会。《数据法案》第五章规定了B2G的相关事项,即公共机构可以在特定情况下请求获取某些数据,特别是面临突发公共卫生事件或重大自然灾害或人为灾害等突发公共事件的情况。在此前版本的《数据法案》中,微型和小型企业被排除在B2G义务之外,即第五章不适用于欧盟2003/361/EC建议书附件第2条中定义的小微企业。此前,马克斯·普朗克创新与竞争研究所提出,“将小微企业的排除在本章适用范围之外是不合理的,在对数据有特殊需要的情况下,必须以公众利益为优先,如考虑到小微企业事实上的运营困境,则应考虑通过提供适当补偿来减轻这些商业实体的负担,而不是豁免其提供数据的义务。”[3]妥协方案规定,微型和小型企业在面对类似大流行病等公共紧急情况时,需遵守B2G义务。但与大型企业不同是,微型和小型企业可以要求补偿。《数据法案》中规定,限制云服务商将非个人数据转移到第三国,以及限制来自外国司法机构的相关访问。妥协方案增加了一个有关国际访问与转移的合同透明度义务的新条款,要求云服务商在其网站上公布其数字基础设施的物理位置,以及为防止外国政府访问欧盟非个人数据所采取的措施。妥协方案说明,只要有司法命令要求访问可能影响欧盟或其成员国的国家安全或国防利益的数据,国家当局就应当参与其中。为澄清《数据法案》与GDPR之间的关系,妥协方案指出,承认GDPR的数据处理的合法性基础。此外,《数据法案》的数据共享义务所涉及的组织被扩大到公共部门机构。当公共机构要求提供包括个人数据的数据集时,瑞典主席国建议,立即通知主管数据保护机构。数据持有者必须与数据接收方就合理的补偿达成协议。《数据法案》中规定,数据持有者应向数据接收者提供足够详细的信息,说明计算补偿的基础。欧盟委员会最近公布了一项关于什么可能被视为“合理”补偿的研究。合理的补偿中包括了一些要素,如提供数据所需要的成本、投资以及保证金。此外,主席国希望欧盟委员会发布关于补偿计算的指南。《数据法案》引入了对云,边缘和其他数据处理服务提供商施加的合同,商业和技术性质的最低监管要求,以实现此类服务之间的切换。[4]妥协方案强调,这一转换的障碍可能包括商业、技术、合同或组织等方面。妥协方案中阐述了转换过程的技术步骤以及各方的权利和义务。为解决企业之间数据共享合同中的不公平条款的问题,此前的法案中包括对中小企业和大公司之间与数据共享义务有关的合同进行“公平性检查”。如果发现不公平,则此类条款对中小企业方不具有约束力。目前,这一措施已被扩大到所有的合同安排,无论其规模大小。注释:
[1]https://www.euractiv.com/section/data-privacy/news/swedish-presidency-tries-to-close-in-on-the-data-act/
[2]https://mp.weixin.qq.com/s/NBd2e2FYTQbgNCU3dkN7cA
[3]同[2]。
[4]https://mp.weixin.qq.com/s/XCaNI5oPQBdsLRpRFnTdiA