欧盟《数据法案》规范使用者权利和义务
2022年04月11日 08:40 来源:《中国社会科学报》2022年4月11日第2384期 作者:杨垠红

  数据是一种非竞争商品,可以被一遍又一遍地消费,却不存在质量降低或供应枯竭的风险。为推动2030年欧洲数字化转型,建立一个单一的数据市场,欧盟委员会继《数据治理法案》之后,于2022年2月23日公布了《数据法案》(Data Act)草案(以下简称《数据法案》),旨在解决导致数据使用不足的法律、经济、技术问题,确保更广泛的利益相关者控制其数据,最大限度地提高数据在市场经济中的价值。该法案弥补了《数据治理法案》的偏颇,在欧盟《通用数据保护条例》(以下简称“GDPR条例”)的基础上,提供了适用于所有数据的更广泛的规则。

  明确界定公共部门的权利和约束

  多年来,欧盟的公共部门拥有大量未被公开的数据,未能被私有主体有效利用。同时,欧盟认为公共部门也需要使用私有主体所掌握的数据,以提高其管理水平和效率。新的《数据法案》明确规定,就公共部门使用数据主体的权利而言,出现特殊或突发公共事件的情况,如公共卫生事件、环境退化和重大自然灾害导致的突发事件,以及人为引起的重大灾害,如重大网络安全事件,此时应公共部门的要求,数据持有人有义务向公共部门提供其要求的数据。

  就公共部门使用数据主体的约束而言,主要包括四方面:一是公共部门不得为了预防、调查、侦查或起诉刑事和行政犯罪、执行刑事或行政处罚以及税收或海关等目的,要求数据持有人依据《数据法案》提供数据。二是公共部门应确保最大限度地减少数据持有者提供数据的行政负担,请求提供数据应以一次为原则。公共部门的请求必须以明确的、适当的言语表达,尊重数据持有人的合法利益,兼顾商业秘密保护,并尽可能避免使用个人数据。此外,在数据使用目的、公共部门继续共享数据、个人数据处理和商业秘密披露等方面也增加了限制。三是根据特殊需要向公共部门提供的数据只能用于所请求的目的,除非数据持有人明确同意将数据用于其他目的。除非另有约定,一旦不需要这些数据时即应销毁,并通知数据持有人。四是数据持有人频繁应对公共紧急情况以外特殊需要的,有权获得合理补偿,补偿不应超过为满足请求而产生的技术和组织成本,以及向公共部门提供数据所获得的合理补偿。

  明确数据持有者和接收者的权利与义务

  针对数据持有者和接收者需要履行的权利和义务,《数据法案》也做出了明确规范,主要包含以下两个方面。

  其一,就数据持有者对用户的权利与义务而言,《数据法案》规定了产品或服务的用户有权访问、使用和向第三方分享其因使用产品或服务所产生的数据,保障了用户对其数据所享有的权益。首先,数据持有者必须根据要求向用户提供生成的数据,不得无故延迟或收费,条件允许时还应连续、实时地提供,并保证数据质量与数据持有者本身可获得的质量相同。其次,数据持有者使用数据时,必须与其用户签订合同,数据持有者不得以可能损害用户在市场上商业地位的方式来使用数据。该法案也为数据服务提供商设置了严格的时限,即需要在30日的最长过渡期内协助用户完成迁移,确有困难的,则需要在7日内通知用户,详细告知技术方面不可行的原因,并在不超过6个月的时间内提供替代方案。最后,数据持有者还必须根据用户(可能是竞争企业)的要求向第三方提供数据。例如,通过数据共享让用户有权寻求第三方来修复链接的产品,从而支持售后市场。接收的第三方须受到多种限制,如目的限制、继续共享限制、数据删除、竞业禁止/排他性要求和数据保护合规。鉴于欧盟近期其他主要立法发展目标的考虑,如果第三方或其集团成员构成欧盟《数字市场法案》的守门人,则该第三方没有资格接收此类信息。

  其二,就数据持有者对数据接收者的权利与义务而言,根据2017年针对欧洲数据交易市场的研究调查报告,欧盟委员会意识到企业间数据流通的一大障碍在于具有更强谈判能力的数据持有者可能会单方面施加不公平的交易条件,因而可能导致数据流通的磋商困难、成本畸高,也可能使具有竞争优势的企业利用数据壁垒阻止新参与者进入市场。故《数据法案》规定数据持有者必须在公平、合理、非歧视的条件下,以透明的方式完成数据的分享。数据持有者可以采取适当的技术保护措施,包括智能合约,以防止未经授权访问数据,并确保遵守《数据法案》第5、6、9 和10条规定以及商定的提供数据的合同条款。数据接收者提供不准确或虚假信息,使用欺骗或胁迫手段或滥用数据持有者技术基础设施中的明显漏洞,或将数据用于未经授权的目的或未经授权将数据披露给另一方,则必须销毁数据持有人所提供的资料及所有副本。该法案遏制了不公平条款的使用,进一步保护中小企业。不公平合同条款,涉及规范数据访问和使用、违反或终止数据相关义务的责任和补救措施的,当单方面强加给微型、小型或中型企业时,对它们不产生约束力。该法案还规定了认定和推定不公平条款的不同情形。例如,如果合同条款的目的或效果涉及以下几种情形,则会被认为是不公平的条款:1.排除或限制单方强加条款的缔约方的故意行为或重大过失的责任;2.排除在不履行合同义务的情况下被强加条款方可获得的补救措施或单方强加条款的缔约方违反义务的责任;3.赋予单方加强条款的缔约方专有权利,以确定所提供的数据是否符合合同或合同解释。

  严格限制数据处理服务商的国际数据共享行为

  此前仅有GDPR条例对个人数据跨境流动行为作出规制,欧盟数据跨境制度存在较大空白。《数据法案》在GDPR条例基础上用专章规定了非个人数据的跨境流动,对云服务国际数据共享进行了严格限制,即云服务提供商必须采取必要措施防止任何违反欧盟或成员国法律的国际访问或欧盟持有的非个人数据的传输。

  一是非个人数据传输到境外后,不得违反欧盟及相关成员国的法律规定。例如,根据保护个人基本权利、成员国国家安全利益或知识产权的规则。二是向第三国传输存储于欧盟境内的非个人数据,须以第三国与欧盟之间生效的国际协议为前提。只有在基于国际协议或第三国的法律体系提供类似于《数据法案》的保护时,才允许第三国的数据访问请求。三是若缺少生效的国际协议,只有符合《数据法案》规定的3个特定条件方可向第三国转移或允许其访问存储于欧盟的非个人数据。四是在允许传输的情况下,数据处理服务提供商应满足他方请求内所允许的最低数量数据。五是在响应第三国数据传输请求前,数据处理服务提供商应及时将他国查阅其数据的请求告知数据持有者。

  部分内容合理性存疑

  《数据法案》作为欧盟数据战略的第二步,旨在确保数据环境的公平性,促进数据有效流通,为数据驱动创新提供机会。但《数据法案》在数据管理以及社会治理方面是一把双刃剑。一方面,《数据法案》是在前期相关政策法规基础上的深化,进一步构建了欧盟数据权利体系,对不同主体、不同数据类型、不同交易场景做出了较细化的规范,并为可能出现的权利冲突设计了相应的监管模式和争端解决机制,将给各主体共享数据带来更多的激励和信心,打破数据孤岛和垄断,有助于释放符合欧盟数据治理规则和价值观的数字经济潜力。

  另一方面,《数据法案》也存在着一定的问题。一是《数据法案》多项内容仍不明确,如一些条款具体适用范围及其实质性义务的具体内容。二是《数据法案》预示了欧盟委员会“权力清单”和授权标准,但目前仍无法解决缺乏共享标准的问题。该法案的目标是使每种数据类型达到最佳共享水平,因此欧盟试图深化对各种数据交易的监管控制,并实施只有付出巨大努力才能监控和执行的规则,以期扭转现有的市场动态,但令人担心的是,这样可能会造成不必要的监管“紧身衣”。三是在《数据法案》相关技术实现过程中,企业不得不承担更多的数据使用、管理与合规成本,故该法案能否真正遏制寡头垄断,促进数据流通,仍有待考量。四是针对国际数据的限制行为可能会影响欧盟与第三国之间现有的云数据流,并影响欧盟在美国或英国等第三国新建云服务的机会。

  (本文系福建省社科规划省法学会专项课题“新技术背景下网络平台的侵权责任研究”(FJ2020TWFX004)阶段性成果)

  (作者单位:福建师范大学法学院)

责任编辑:常畅
二维码图标2.jpg
重点推荐
最新文章
图  片
视  频

友情链接: 中国社会科学院官方网站 | 中国社会科学网

网站备案号:京公网安备11010502030146号 工信部:京ICP备11013869号

中国社会科学杂志社版权所有 未经允许不得转载使用

总编辑邮箱:zzszbj@126.com 本网联系方式:010-85886809 地址:北京市朝阳区光华路15号院1号楼11-12层 邮编:100026