欧洲议会(The European Parliament, EP)4月6日以 501 票对 12 票通过了《欧洲数据治理法案》(European Governance Data Act,DGA)(以下简称《数据治理法》)。该法案旨在增加数据的可及性以开发新产品和服务,其内容包括促进对公共部门持有的某些数据的再次使用,推动公共机构、企业之间的数据共享,允许在“个人数据共享中介机构”的帮助下促进个人数据的开发利用。该法案现在等待欧洲理事会(the Council of the European Union)最终批准通过并在官方公报上公布。
一、欧盟数据战略下的第一个数据法规
2020年2月19日,欧盟委员会发布了《欧洲数据战略》(A European strategy for data)和《欧洲人工智能白皮书》(White Paper on Artificial Intelligence: a European approach to excellence and trust)两份报告,目标是确保欧盟成为数字化和人工智能方面的全球领导者。欧盟计划建立统一的数据市场以实现数据在欧盟内的流动,推进产业、学术、政府之间信息的共享和高效利用。
《数据治理法案》提案最初于2020年11月25日提出,是欧洲数据战略下通过的第一个立法倡议,旨在增加对数据共享的信任,并将可信赖的数据用于研究和创新等。经过12 个多月的讨论,2021年11月30日欧盟委员会、欧洲议会和欧洲理事会就《数据治理法案》达成了政治协议。2022年4月6日,欧洲议会通过了《数据治理法案》,该法案须等待欧洲理事会通过后即可成为法律。《数据治理法案》的新要求将在发布之日起15个月内适用。
欧洲议会德国议员Angelika Niebler指出“数据只有在以正确的方式聚合、提炼和使用时才有价值,”她强调《数据治理法案》旨在企业和个人之间建立可信的数据使用规则和环境,《数据治理法案》获欧洲理事会通过后,将成为《欧盟数据战略》发布后批准的第一个数据法规。
“数据时代的欧洲”(A Europe Fit for the Digital Age)项目欧洲执行副总裁Margrethe Vestager表示,“该法规是建立欧洲稳固和公平的数据驱动型经济的第一个基石。根据欧洲价值观和基本权利,我们正在创造一个以造福社会安全和经济发展的数据环境,该法案努力为可靠的数据共享创造合适的条件。”
二、何为《数据治理法案》?
根据2021年11月发布的《数据治理法》提案,该法案的目的是让公司和公民可以访问公共数据,以释放人工智能的潜力,具体目标包括:在数据受他人权利约束的情况下,使公共部门数据可供重复使用;在企业之间以获得报酬的方式共享数据;允许在“个人数据共享中介”的帮助下使用个人数据,并帮助个人根据《通用数据保护条例》(GDPR) 行使他们的权利;允许出于利他的理由使用数据。3 2021年11月发布的《数据治理法》提案共8章35条,规定了再利用某些公共部门数据的机制、数据共享机制、促进数据利他主义、指定主管当局、设立欧洲数据创新委员会等内容,详见下表。
|
欧洲数据治理法
|
|
第一章一般条款
|
第1条主题和范围
|
|
第2条定义
|
|
第二章重复使用公共部门机构持有数据
|
第3条数据分类
|
|
第4条排他条款的禁止
|
|
第5条重复使用的条件
|
|
第6条费用
|
|
第7条主管机构
|
|
第8条单一信息点
|
|
第三章适用于数据共享服务的要求
|
第9条数据共享服务提供商
|
|
第10条数据共享服务提供商的通知义务
|
|
第11条提供数据共享服务的条件
|
|
第12条主管部门
|
|
第13条合规性监督
|
|
第14条例外
|
|
第四章促进数据利他主义
|
第15条公认的数据利他主义组织名册
|
|
第16条注册的一般要求
|
|
第17条注册
|
|
第18条透明性要求
|
|
第19条保障数据主体和法人数据权益的具体要求
|
|
第20条登记主管机关
|
|
第21条合规监督
|
|
第22条欧洲数据利他主义同意形式
|
|
第五章主管当局和程序规定
|
第23条与主管当局有关的要求
|
|
第24条提出投诉的权利
|
|
第25条获得有效司法补救的权利
|
|
第六章欧洲数据创新委员会
|
第26条欧洲数据创新委员会
|
|
第27条委员会的任务
|
|
第七章委员会和代表团
|
第28条代表团的行使
|
|
第29条委员会程序
|
|
第八章最后条款
|
第30条国际访问
|
|
第31条处罚
|
|
第32条评估和审查
|
|
第33条(EU) No 2018/1724 修正案条款
|
|
第34条过渡性安排
|
|
第35条生效与适用
|
此《数据治理法》根植于“数据”概念的广泛定义,其中包括个人和非个人数据。根据体系协调性安排,《数据治理法》将在不影响欧盟《通用数据保护条例》(GDPR) 的情况下适用,这种态度也让外界对其实际作用存在质疑。《数据治理法》在其立法说明中回顾了产品或服务的使用,特别是当用户是自然人时,可能会生成与已识别或可识别的自然人(数据主体)相关的数据。在这种情况下,该数据的处理仍需遵守GDPR规定的规则,包括“数据集中的个人数据和非个人数据存在不可分割的联系”。
该法案建立了公共部门数据再利用的新机制。其运行自然人或法人在公共部门所提供的安全处理环境中访问再利用公共数据。同时,法案对被再利用数据在敏感性方面做出了限制,涉及个人隐私、商业机密的公共数据将会被强制匿名或被删除处理。根据该法案,公共机构可以共享的数据类别包括:以商业机密为由受到保护的数据;统计保密的数据;受到保护的知识产权和某些个人数据(第3条)。法案要求公共机构必须以非歧视、透明、相称和客观合理的方式授予数据再利用的权限,公共部门应建立通过技术手段和法律援助的数据再利用体系。但是,该法规并未规定公共部门机构允许再次利用数据的任何义务。
《数据治理法》中还有一个有趣的规定,即公共部门机构可以收取允许再次利用数据的费用。收费应该是透明的和非歧视性的,但该法案没有对公共机构可能收取的费用金额设定任何限制。唯一的建议是用于非商业目的,例如科学研究,以及中小型企业或初创公司免费或以折扣价提供数据(第6条)。
三、构建值得信任的数据共享环境
《数据治理法》旨在建立对数据共享的信任,其路径之一是为数据中介服务定义一种新的商业模式,该模式将作为组织或个人共享数据的可信环境。该数据中介服务将有助于支持企业之间的自愿数据共享、促进履行法律规定的数据共享义务、组织共享数据而不必担心数据被滥用或失去竞争优势、个人根据 GDPR 行使自己的权利、使个人能够控制他们的数据并允许他们与受信任的企业共享数据等。
《数据治理法》第11条规定了“提供数据共享服务的条件”,包括提供者不得将其提供服务的数据用于其他目的;从提供数据共享服务中收集的元数据只能用于该服务的开发、提供者应确保获取其服务的程序对数据持有者和数据用户而言是公平、透明和非歧视性的;提供者应促进以从数据持有者那里收到的数据格式交换数据,并将数据转换为特定格式,仅用于增强部门内部和跨部门的互操作性,或在数据用户要求或授权的情况下根据欧盟法律或确保与国际或欧洲数据标准保持一致;向数据主体提供服务的提供者在促进其权利的行使时应以数据主体的最佳利益为出发点,特别是就潜在的数据用途以及此类用途所附的标准条款和条件向数据主体提供建议等。
《数据治理法》第三章还规定了通过为数据共享提供商创建通知机制,来增加对共享个人和非个人数据的信任,对提供商提出诸多要求,要求是在数据共享中保持中立。“数据中介服务的中立性是关键,”欧洲议会德国议员Angelika Niebler指出,“我们从中小企业的民意调查中得知,许多企业不愿共享数据,因为他们担心这些数据最终会落入坏人之手。同样,作为公民,如果我要共享敏感的健康数据,我想确保它是由一个必须遵守某些规则的受信任的组织。通过《数据治理法》,特别是通过认证计划等制度,我们可以建立企业和公民可以信任的数据市场。”
数据利他主义组织是《数据治理法》的又一亮点,该法第四章为从事数据理他主义的组织提供了注册为“欧盟认可的数据利他主义组织”的可能性, 增强对其运营的信任。该法案第16条明确注册成为数据利他组织的的条件,包括为实现公共利益目标而成立的法人实体;以非营利为基础运营,并独立于以营利为基础运营的任何实体;通过法律独立的结构开展与数据利他主义相关的活动,应与其开展的其他活动分开。《数据治理法》同时对数据利他主义组织提出了保障数据主体和法人数据权益的具体要求(第19条)。比如对任何进入公认数据利他组织名册的公司应告知数据持有人:关于允许资料使用者以易于理解的方式处理其资料的一般利益目的;关于欧盟以外的任何处理。公司还应确保数据不用于除其允许处理的一般利益之外的其他目的。《数据治理法》也计划开发通用的欧洲数据利他主义同意告知书模板,以降低收集同意书的成本,促进数据的可移植性。
作为欧洲数据战略的关键支柱,该法案旨在促进建立跨部门的数据访问治理,目的是让公司和公民可以访问公共数据,以释放人工智能的潜力。欧盟委员会愿意促进不同参与者之间对数据的访问和使用,特别是通过保护中小企业(small and medium-sized enterprises,SMEs)。Niebler强调,“我们正处于人工智能时代的开端,欧洲将需要越来越多的数据。这项立法会使得利用遍布在欧盟的丰富数据变得更加容易和安全。如果欧洲数字公司想在世界顶级数字创新者中占有一席之地,我们现在就需要采取行动。”
当前,该法案还需欧洲理事会(the Council of the European Union)最终批准通过并在官方公报上公布。
注释:
[1] European Parliament,Data governance: why is the EU
data sharing law important? https://www.europarl.europa.eu/news/en/headlines/priorities/artificial-intelligence-in-the-eu/20220331STO26411/data-governance-why-is-the-eu-data-sharing-law-important。
[2] EU Data Governance Act Approved by European Parliament,https://www.onetrust.com/blog/agreement-reached-on-eu-data-governance-act/。
[3] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0767。
[4] 同注释1。
[5] MEPs pass new EU data sharing rules in push to break Big Tech dominance and boost AI,https://www.euronews.com/next/2022/04/07/meps-pass-new-eu-data-sharing-rules-in-push-to-break-big-tech-dominance-and-boost-ai。
(部分内容来源网络,如有侵权请联系删除)
