- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-05-25来源:人帅被人欺浏览数:475次
“数据接收者”是指为与该人的贸易、业务、工艺或专业相关的目的而行事的法人或自然人,但产品或相关服务的用户除外,数据持有者向其提供数据的义务,包括第三方应用户向数据持有者提出请求或根据欧盟法律或实施欧盟法律的国家立法规定的法律义务;
编者按:
2022 年 2 月 23 日,欧盟委员会公布了期待已久的《数据法(Law Act)》提案。该提案引入全面授予私人和公共部门访问数据权,并强调从合同的角度来规范数字经济中的数据交换和共享使用。它致力于实现数据的普遍可及性、互操作性和可移植性,并对数据生命周期中的重复使用进行技术保障和严格限制。近日,帕绍大学法学院Moritz Hennemann Gregor Lienemann针对提案,进行了逐条剖析,并参考和链接了既有法律和未正式出台的立法(如数据治理法案和数字市场法案)。鉴于该研究系统、详实,我们特编译刊发,供各位参考。
——对外经济贸易大学数字经济与法律创新研究中心主任 许可
I. 监管范围和目的(第 1-2 条、第 35 条)
第一章(“总则”;第 1-2 条)在范围和术语方面对提案进行了界定,定义了关键概念以及与适用的数据保护、电子通信和刑事事项立法的互补关系。因此,与第 X 章(“指令 1996/9/EC 下的特殊权利”;第 35 条)进行了鲜明对比,该章限制了在提案范围内以特殊权利的方式给予数据库的保护。
客体(第 1 条第 1 款和第 2 款)
第1条 客体和范围
本条例规定了产品或相关服务的用户提供该产品或服务的数据,数据持有者向数据接收者提供数据统一规则;以及数据持有者向公共部门机构或欧盟机构、机关或团体提供数据的统一规则。在有特殊需要的情况下,由数据持有人向公共部门或联盟机构、机关或团体提供数据,以执行为公共利益而开展的任务。
本条例适用于:
(a) 欧盟市场上的产品制造商和相关服务提供商以及此类产品或服务的用户;
(b) 向欧盟内的数据接收者提供数据的数据持有者;
(c) 欧盟中向其提供数据的欧盟数据接收者;
(d) 公共部门机构和欧盟机构、机关或团体要求数据持有人 在有特殊需要的情况下提供数据,以执行符合公共利益的任务。以及应要求提供这些数据的数据持有者;
(e) 向欧盟客户提供此类服务的数据处理服务的提供商
2. 与现有规则的相互作用(第 1 条第 3 款和第 4 款,第 35 条)
第一条(续)
3. 欧盟关于保护个人数据、通信的隐私和保密性以及终端设备的完整性的法律规定应适用于与下列事项与本条例,根据有关的个人数据处理的权利和义务处理个人数据。本条例不应影响欧盟法律关于保护个人数据的规定,特别是条例 (EU)
2016/679 和指令 2002/58/EC,包括监管机构的权力和权限。就本条例第二章规定的权利而言,用户是个人数据的数据主体的,权利义务受该章的约束, 根据(欧盟)2016/679号条例第20条的规定,本条例的规定应补充《欧盟条例》第20条规定的数据可携性权利。
4. 本条例不应影响联盟和国家的法律行为,包括为了预防、调查、侦查或起诉刑事犯罪或执行刑事处罚而共享、访问和使用数据的规定,包括法规 (EU) 2021/784欧洲议会和理事会的提案以及一旦通过的[电子证据提案 [COM(2018) 225 和 226],以及该领域的国际合作。本条例不影响根据欧洲议会和理事会关于防止将金融系统用于洗钱和恐怖主义目的的指令 (EU) 2015/849,以及收集、共享、访问和使用数据欧洲议会和理事会关于资金转移相关信息的融资和条例 (EU) 2015/847。本条例不影响成员国在公共安全、国防、国家安全、海关和税务管理以及公民健康和安全方面的权限。
第三十五条 包含特定数据的数据库
为了不妨碍用户根据本条例第4条行使访问和使用这些数据的权利,或根据本条例第5条行使与第三方分享这些数据的权利,特殊权利指令 96/9/EC 第 7 条的规定不适用于从产品或相关服务中获得或产生的数据的数据库。
3. 定义(第 2 条)
第二条定义
为本条例的目的,以下定义适用:
(1) “数据”是指行为、事实或信息的任何数字表示,以及此类行为、事实或信息的任何汇编,包括声音、视频或视听记录的形式;
(2) “产品”是指有形的、可移动的物品,包括包含在不可移动物品中的物品,它获取、生成或收集有关其使用或环境的数据,并且能够通过公开可用的电子通信服务传输数据,并且其主要功能不是储存和处理数据;
(3) “相关服务 ”是指包含在产品中或与产品相互连接的数字服务,包括软件。如果没有该服务,产品就无法实现其某项功能;
(4) “虚拟助手”是指可以处理需求、任务或问题的软件,包括基于音频、书面输入、手势或动作,并基于这些需求、任务或问题,提供访问他们自己和第三方的服务或控制他们自己和第三方的服务设备的服务;
(5) “用户”是指拥有、出租或租赁产品或接受服务的自然人或法人;
(6) “数据持有人”是指根据本条例、欧盟法律或实施欧盟法律的国家立法,或在非个人数据的情况下,有能力通过控制产品和相关服务提供某些数据的人;
(7) “数据接收者”是指为与该人的贸易、业务、工艺或专业相关的目的而行事的法人或自然人,但产品或相关服务的用户除外,数据持有者向其提供数据的义务,包括第三方应用户向数据持有者提出请求或根据欧盟法律或实施欧盟法律的国家立法规定的法律义务;
(8) “企业”是指与本条例所涵盖的合同和惯例相关的自然人或法人,其行为与该人的贸易、业务、工艺或专业有关;
(9) “公共部门机构”是指成员国的国家、地区或地方当局和受成员国公法管辖的机构,或由一个或多个此类机构的协会;
(10) “公共紧急状态”是指对欧盟、成员国或其部分地区产生负面影响的特殊情况,有可能对生活条件或经济稳定产生严重而持久的影响,或使欧盟或相关成员国的经济资产大幅下降;
(11) “处理”是指无论是否通过自动方式,对数据或电子格式的数据集执行的任何操作或一组操作,例如收集,记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、限制、删除或销毁;
(12) “数据处理服务”指向客户提供的数字服务,但不包括在线内容服务,如《欧盟条例》第2(5)条所定义。2017/1128号条例(欧盟)第2条第5款所定义的数字服务。该服务能够 按需管理和广泛地远程访问一个可扩展和有弹性的可共享的集中式、分布式或高度分布式的计算资源;
(13) “服务类型”是指一组具有相同主要目标的数据处理服务和基本数据处理服务模式;
引用的法律:可移植性法规(欧盟) 2017/1228
II. 访问和共享产品和使用相关服务产生的数据(第 3-7 条)
第二章(“企业对消费者和企业对企业数据共享”,第 3-7 条)旨在提高消费者和企业访问由他们拥有、出租或租赁的产品或相关服务产生的数据的法律确定性。用户享有访问上述数据的权利,并要求与第三方共享,因此享有了事实上的权利。反之,当涉及到数据的(二次使用)时,数据持有者和数据接受者的权限会受到限制。
1. 数据可访问性的前提条件(第 3 条)
第三条 产品或使用相关服务产生的数据可访问的义务
1. 在产品的设计和制造,以及相关服务的提供下,用户使用产生的数据在默认情况下应当是便捷、安全的,并且在特定和适当的情况下,用户可以直接访问。
2. 在签订购买、租用或租赁产品或相关服务的合同之前,至少应以明确和可理解的格式向用户提供以下信息:
(a) 使用产品或相关服务可能产生的数据的性质和数量;
(b) 数据是否可能连续实时生成;
(c) 用户如何访问这些数据;
(d) 提供产品的制造商或提供相关服务的服务提供商是否打算自行使用数据或允许第三方使用数据,如果是,这些数据的使用目的是什么;
(e) 卖方、承租人或出租人是否是数据持有人,如果不是,数据持有人的身份,例如其商业名称和成立的地理地址;
(f) 使用户能够快速联系数据持有人并与数据持有人有效沟通的通信方式;
(g) 用户如何要求与第三方共享数据;
(h) 用户有权向第三十一条所述的主管机关投诉违反本章规定的行为。
2. 用户的访问权;数据持有者许可使用(第 4 条)
第四条 因使用产品或相关服务而产生的数据,用户有权访问和使用
1. 如果用户不能直接从产品中获取数据,数据持有人应免费向用户提供其使用产品或相关服务所产生的数据,不得无故拖延。并在适用情况下持续和实时地向用户提供。这应该是在技术上可行的情况下,用户通过电子手段提出简单的请求。
2. 数据持有人不得要求用户提供超出第1款规定的核实用户质量所需的任何信息。数据持有人不应保留关于用户访问所请求的数据的任何信息,除非是为了合理地执行用户的访问请求以及为了安全和维护数据基础设施所必需的。
3. 只有在采取了所有具体的必要措施的情况下,才可以披露商业秘密以维护商业秘密的机密性,特别是对第三方。数据持有者和用户可以商定措施来保护共享数据的机密性,特别是在与第三方有关的方面。
4. 用户不得将根据第 1 款所述请求获得的数据用于开发与数据来源产品竞争的产品。
5. 根据(欧盟)2016/679号条例第6(1)条现行有效的法律规定,并在相关情况下,符合(欧盟)2016/679号条例第9条的条件 ,在用户不是数据主体的情况下,因使用产品或相关服务而产生的任何个人数据,只有在《条例》第 6 条第 1 款规定的有效法律依据的情况下,数据持有者才能提供给用户。
6. 数据持有者仅应根据与用户的合同协议,使用因使用产品或相关服务而产生的任何非个人数据。数据持有者不得将因使用产品或相关服务而产生的此类数据用于获取有关用户的经济状况、资产和生产方法或用户使用情况,从而可能损害用户的商业地位,破坏用户在其活跃的市场中的商业地位。
3. 与第三方共享数据以供有限使用的权利(第 5-6 条)
第五条 与第三方共享数据的权利
1. 根据用户或代表用户的一方的要求,数据持有者应将使用产品或相关服务产生的数据免费提供给第三方,不得无故拖延,且数据与数据持有人所获得的质量相同,并且在适用的情况下,连续和实时地提供。
2. 任何提供核心平台服务的企业,如果有一项或多项此类服务,根据[关于数字领域可竞争和公平的市场的XXX条例]第[...]条的规定,被指定为守门人的任何企业 ,提供核心平台服务的企业不应成为本条规定的合格第三方,本条规定的第三方,因此不应:
(a) 以任何方式(包括通过提供金钱或任何其他补偿)招揽或以商业方式激励用户向其服务,以向用户根据第 4(1) 条的要求获得的一项服务提供数据;
(b) 根据本条第1款的规定,诱使或以商业方式激励用户要求数据持有人提供数据,将数据提供作为服务之一;
(c) 接收用户根据第 4 条第 1 款的请求获得的数据。
3. 用户或第三方不需要提供任何必要的信息,以证实其作为用户或第三方的质量符合第1款的规定。为了合理地执行第三方的访问请求,以及为了安全和维护数据基础设施,数据持有人不应保留任何有关第三方访问请求的信息。
4. 第三方不得采用强制手段或滥用数据持有者的技术基础设施中的明显漏洞来保护数据以获取数据访问权。
5. 数据持有者不得使用因使用产品或相关服务而产生的任何非个人数据来获取有关第三方的经济状况、资产和生产方法或由第三方使用这些数据,从而可能损害第三方在其活跃的市场上的商业地位。除非第三方已同意此类使用并且具有随时撤回该同意的技术可能性。
6. 根据欧盟2016/679号条例第9条,在用户不是数据主体的情况下,因使用产品或相关服务而产生的任何个人数据 只有在有有效的法律依据的情况下,才可以提供产品或相关服务,并且在相关情况下,满足欧盟2016/679号条例第9条的条件。
7. 数据持有者和第三方未能就传输数据的安排达成一致时不应妨碍、阻止或干扰数据主体根据欧盟法规 (EU) 2016/679 行使的权利,尤其是,根据该条例第 20 条享有数据可移植性的权利。
8. 商业秘密仅在为实现用户与第三方约定的目的所绝对必要的范围内向第三方披露,并且数据持有者与第三方约定的所有具体必要措施均由第三方采取保守商业秘密的机密性。在这种情况下,数据作为商业秘密的性质和保密措施应在数据持有人与第三方的协议中明确。
9. 第 1 款所述权利不得对他人的数据保护权利产生不利影响。
第六条 应用户要求接收数据的第三方的义务
1. 第三方应仅在与用户约定的目的和条件下处理根据第 5 条提供给其的数据,并在涉及个人数据的情况下遵守数据主体的权利,并应在以下情况下删除数据对于商定的目的,它们不再是必需的。
2. 第三方不得:
(a) 通过颠覆或损害用户的自主权、决策或选择,包括通过与用户的数字界面,以任何方式胁迫、欺骗或操纵用户;
(b) 将其收到的数据用于对 (EU) 2016/679 条例第 4(4) 条含义内的自然人进行分析,除非有必要提供用户要求的服务;
(c) 将其收到的数据以原始、汇总或派生形式提供给其他第三方,除非这是提供用户请求的服务所必需的;
(d) 将其收到的数据提供给提供核心平台服务的企业,其中一项或多项此类服务已根据[数字领域可竞争和公平市场法规(数字市场法)第 […] 条被指定为看门人];
(e) 使用它接收到的数据来开发与获取访问数据的产品竞争的产品,或为此目的与另一个第三方共享数据;
(f) 阻止用户(包括通过合同承诺)将其收到的数据提供给其他方。
4. 中小企业豁免;虚拟助手(第 7 条)
第七条 企业对消费者和企业对企业数据共享义务的范围
1. 本章的义务不适用于使用符合 2003/361/EC 建议书附件第 2 条定义的微型或小型企业的企业制造的产品或提供的相关服务所产生的数据,条件是这些企业没有符合 2003/361/EC 建议书附件第 3 条定义的不符合微型或小型企业资格的合作企业或关联企业。
本条例涉及产品或相关服务的,也应理解为包括虚拟助手,只要它们用于访问或控制产品或相关服务。
III. 数据持有者提供访问的 FRAND 义务(第 8-12 条)
第三章(“依法应提供数据的数据持有人的义务”,第 8-12 条)规定了在履行提供数据的义务时的一般规则,其包括但不限于第二章对数据持有人的授权的提案。将以公平、合理和非歧视 (FRAND) 条款以及透明的方式提供数据。除其他事项外,必须商定合理的补偿。
第八条 数据持有者向数据接收者提供数据的情形
1. 如果数据持有人有义务根据第 5 条或其他欧盟法律或实施欧盟法律的国家立法向数据接收者提供数据,则应根据公平、合理和非歧视性条款,按照本章和第四章的规定,以透明的方式提供数据。。
2. 数据持有者应与数据接收者就提供数据的条款达成一致。如果提供数据的情形满足第 13 条的条件,或者提供该数据将会排除适用、减损或改变用户在第二章下的权利,关于访问和使用数据,违反或终止数据相关义务的责任和补救措施的合同条款则不具有约束力。
3. 数据持有者在提供数据时不得歧视具有竞争性的不同类别的数据接收者,包括数据持有者的第 2003/361/EC 号建议书附件第 3 条所定义的合作企业或关联企业。如果数据接收者认为向其提供数据的条件具有歧视性,则应由数据持有者证明不存在歧视。
4. 除非用户根据第 II 章提出要求,否则数据持有者不得将数据独家提供给数据接收者。
5. 数据持有者和数据接收者无需提供任何超过必要范围的信息,以验证是否符合为提供数据而商定的合同条款或其在本法规或其他适用的欧盟法律或实施欧盟法律的国家立法下的义务。
6. 除非欧盟法律(包括本法规第 6 条)或实施欧盟法律的国家立法另有规定,向数据接收者提供数据的义务不应强制要求披露(EU)2016/ 指令所指的商业秘密943。
第九条 提供数据的补偿措施
1. 数据持有者和数据接收者之间为使数据可用而商定的任何补偿应是合理的。
2. 如果数据接收方是 2003/361/EC 建议书附件第 2 条所定义的微型、小型或中型企业,则商定的任何补偿不得超过与向数据接收方提供数据的相关的直接成本,并且归因于请求,第 8 条第 3 款应相应适用。
3. 本条不应妨碍其他欧盟法律或实施欧盟法律的国家立法排除提供数据或提供较低补偿的适用。
数据持有者应向数据接收者提供足够详细的信息,说明计算补偿的基础,以便数据接收者能够验证第 1 段的适用以及适用第 2 段的要求是否得到满足。
第十条 争议解决
1. 数据持有者和数据接收者应有权请求由本条第 2 款认证的争议解决机构,根据第8条和第9条,以解决有关确定公平、合理和非歧视性条款以及以透明方式提供数据的争议。
2. 设立争端解决机构的成员国应根据该机构的要求,在该机构证明其符合以下所有条件的情况下对该机构进行认证:
(a) 公正、独立,按照明确、公正的议事规则作出决定;
(b) 它在确定公平、合理和非歧视性条款以及提供数据的透明方式方面拥有必要的专业知识,从而使该机构能够有效地确定这些条款;
(c) 可通过电子通信技术轻松访问;
(d) 它能够以迅速、高效和具有成本效益的方式并以至少一种欧盟官方语言发布其决定。
如果一个成员国在[法规实施日期]之前没有认证任何争端解决机构,则该成员国应建立并认证一个符合本款 (a) 至 (d) 点规定的条件的争端解决机构.
3. 成员国应将根据第 2 款认证的争端解决机构通知委员会。委员会应在专门网站上公布这些机构的名单并保持更新。
4. 争议解决机构应在当事人请求作出决定之前,将费用或用于确定费用的机制告知当事人。
5. 争端解决机构应拒绝处理已提交另一争端解决机构或成员国法院或法庭的争端解决请求。
6. 争议解决机构应允许各方在合理期限内就其向这些机构提出的事项表达他们的观点。在这种情况下,争端解决机构应向这些当事方提供另一方的意见和专家的任何陈述。这些机构应允许当事方对这些意见和声明发表评论。
7. 争议解决机构应在请求作出决定后 90 日内就提交给其的事项作出决定并予以公布。这些决定应以书面形式或在持久媒体上进行,并应附有支持该决定的理由陈述。
8. 争议解决机构的决定只有在当事人在争议解决程序开始前明确同意其约束性的情况下才对当事人具有约束力。
9. 本条不影响当事人向成员国法院或法庭寻求有效补救的权利。
第十一条 未经授权使用或披露数据的技术保护措施和规定
1. 数据持有者可以采取适当的技术保护措施,包括智能合约,以防止未经授权访问数据,并确保遵守第 5、6、9 和 10 条以及商定的提供数据的合同条款。此类技术保护措施不得阻碍用户根据第 5 条有效向第三方提供数据的权利或第 8 条所述的欧盟法律或实施欧盟法律的国家立法规定的第三方的任何权利的手段( 1)。
2. 为获取数据的目的,向数据持有者提供不准确或虚假信息、使用欺骗或强制手段或滥用数据持有者旨在保护数据的技术基础设施中的明显漏洞,数据接收者为了未经允许的目的使用了数据或在未经数据持有人授权的情况下将这些数据披露给另一方,不得无故拖延,除非数据持有人或用户另有指示:
(a) 销毁数据持有人提供的数据及其任何副本;
(b) 停止生产、提供、投放市场或使用基于通过此类数据获得的知识而产生的商品、衍生数据或服务,或为此目的进口、出口或储存侵权商品,并销毁任何侵权商品。
3. 第 2 款 (b) 项不适用于下列任何一种情况:
(a) 数据的使用并未对数据持有者造成重大损害;
(b) 鉴于数据持有者的利益,这种惩罚将是不相称的。
第十二条 依法有义务提供数据的数据持有人的义务范围
1. 本章适用于根据第 5 条或根据欧盟法律或实施欧盟法律的国家立法,数据持有人有义务向数据接收者提供数据的情况。
2. 数据共享协议中的任何合同条款,如果对一方不利,或者若适用该条款,对用户不利,排除本章的适用、减损或改变其效果,均不对受不利影响一方当事人生效。
3. 本章仅适用于根据欧盟法律或实施欧盟法律的国家立法提供数据的义务,这些义务在[法规适用日期]之后生效。
IV. 企业之间数据访问和使用的不公平条款(第 13 条)
第四章(“与企业之间的数据访问和使用相关的不公平条款”,第 13 条)解决了企业之间数据共享合同中的不公平条款的问题,其中利用不平等的议价能力单方面将合同条款强加给微型、小型或中型企业 (SME)。4如果发现不公平,则此类条款对合同的 SME 方不具有约束力。
第十三条 单方面强加给中小微企业的不公平合同条款
1. 企业单方面将关于访问和使用数据或违反或终止与数据相关义务的责任和补救措施的合同条款不公平的适用于第 2 条定义的微型、小型或中型企业,建议 2003/361/EC 的附件对后者不具有约束力。
2. 如果合同条款的使用严重偏离数据访问和使用方面的积极商业惯例,违反诚信和公平交易,则该合同条款是不公平的。
3. 就本条而言,如果合同条款的目的或效果具有以下目的,则该条款是不公平的:
(a) 排除或限制单方面施加故意行为或重大过失期限的单方的责任;
(b) 排除在不履行合同义务的情况被强行适用该该条款的一方可获得的补救措施或单方面规定条款的一方在违反这些义务的情况下的责任;
(c) 赋予单方面施加该条款的一方以确定所提供的数据是否符合合同或解释合同的任何条款的专有权利。
4. 就本条而言,如果合同条款的目的或效果是有以下情形,则被推定为不公平条款:
(a) 不当限制不履行合同义务时的补救措施或违反这些义务时的责任;
(b) 允许单方面施加该条款的一方以严重损害另一方合法利益的方式访问和使用另一方的数据;
(c) 阻止被单方面施加条款的一方在合同期间使用该方提供或生成的数据,或将此类数据的使用限制在该方无权使用、获取、访问或控制此类数据或以适当的方式利用此类数据的价值的范围内;
(d) 防止被单方面施加该条款的一方在合同期间或合同终止后的合理期间内获得该方提供或生成的数据的副本;
(e) 允许单方面施加该条款的一方在不合理的短时间内终止合同是防止另一方有合理的转向替代的可能性和可比的服务以及这种终止造成的财务损失,除非有这样做的正当理由。
5. 如果合同条款是由一个缔约方提供的,而另一缔约方尽管试图对其内容进行协商,但仍无法影响其内容,则该合同条款应被视为本条所指的单方面施加。提供合同条款的缔约方承担证明该条款不是单方面施加的责任。
6. 如果不公平的合同条款可与合同的其余条款分开,则其余条款仍具有约束力。
7. 本条不适用于确定合同主要标的的合同条款或确定支付价格的合同条款。
第一项所涉合同的当事人不得排除适用本条、减损或者改变本条的效力。
