欧洲数据治理条例（数据治理法）（下）

编译：对外经贸大学金融科技实验室欧盟委员会布鲁塞尔，2020年11月25日COM（2020）767最终版2020/0340（COD）提案 欧洲议会和理事会条例 关于欧洲数据治理（数据治理法） （与欧洲经济区相关的文本）

欧洲议会和欧洲联盟理事会，考虑到《欧洲联盟运作条约》，特别是其中第114条，考虑到欧洲委员会的提案，在向各国议会转交立法草案之后，考虑到欧洲经济和社会委员会的意见，考虑到区域委员会的意见，按照一般立法程序：

（1）《欧洲联盟运作条约》（“TFEU”）规定了内部市场的建立和制度的建立，以确保内部市场的竞争不被扭曲。在成员国中建立与制定数据治理框架有关的共同规则和惯例将有助于实现这些目标。

（2）在过去的几年中，数字技术已经改变了经济和社会，影响了所有活动领域和日常生活。数据是这一转变的核心：数据驱动型创新将为公民带来巨大利益，例如，改进个性化医疗、新的出行方式及其对欧洲绿色交易的贡献。委员会在其数据战略中描述了建立欧洲共同数据空间的愿景，即建立一个数据的单一市场，在这个市场中，数据可以按照适用的法律使用，而不论其在欧盟的实际存储地点如何。它还呼吁根据国际义务，在公共安全、公共秩序和欧洲联盟其他合法公共政策目标的例外和限制情况下，与第三国自由和安全地交流数据。为了将这一愿景变为现实，它提议建立特定领域的欧洲共同数据空间，作为数据共享和数据汇集的具体安排。正如该策略所预见的那样，欧洲数据空间可以覆盖健康、交通、制造业、金融服务、能源或农业等领域，也可以覆盖主题领域，例如欧洲绿色交易或公共管理或技能的欧洲数据空间。

（3）有必要通过建立一个统一的数据共享框架，改善内部市场中数据共享的条件。针对具体部门的立法可以根据该部门的具体情况制定、调整和提出新的补充内容，例如，有关欧洲健康数据空间和获取车辆数据的立法。此外，某些经济部门已经受到联盟具体部门法律的管制，其中包括与跨境或联盟范围共享或获取数据有关的规则。因此，本条例不妨碍欧洲议会和理事会的法规（EU）2016/679（EU）号，尤其是本条例的实施不得妨碍根据法规第（EU）2016/679号条例第五章进行跨境数据传输，欧洲议会和理事会的指令（EU）2016/680，欧洲议会和理事会的指令（EU）2016/943，欧洲议会和理事会的（EU）2018/1807条例，欧洲议会和理事会的（EC）No 223/2009条例，指令2000/31 /欧洲议会和理事会的/ EC，欧洲议会和理事会的第2001/29 / EC号指令，欧洲议会和欧盟的第2019/790号指令（EU）理事会，指令2004/48 / EC欧洲议会和理事会，欧洲议会和理事会第（EU）2019/1024号指令以及欧洲议会和理事会第2018/858 / EU理事会条例，欧洲议会和理事会第2010/40 / EU指令和在其基础上通过的授权条例，以及组织获取和再利用数据的任何其他具体部门的联盟立法。在预防、调查、侦查或起诉刑事犯罪或执行刑事处罚的情况下，本条例不应妨碍为国际合作目的而访问和使用的数据。应建立一种水平机制，以二次使用公共部门机构持有的某些类别的受保护数据，在联盟内提供数据共享服务以及基于数据利他主义的服务。在本法规要求的基础上，不同部门的特定特征可能需要设计基于部门数据的系统。如果特定部门的联盟法律法案要求公共部门机构，数据共享服务提供商或提供数据利他服务的注册实体遵守特定的其他技术、行政或组织要求，包括通过授权或认证制度，则该特定部门的联盟法令的这些规定也应适用。

（4）为了消除运行良好的数据驱动型经济的障碍，并建立数据访问和使用的整个联盟范围的治理框架，特别是关于公共部门持有的某些类型数据的再利用，数据共享提供者向企业用户和数据主体提供服务，以及收集和处理自然人和法人为利他目的提供的数据。

（5）长期以来，以牺牲公共预算为代价而产生的数据应该使社会受益的观点一直是欧盟政策的一部分。（EU）2019/1024号指令以及针对具体部门的立法确保公共部门将其产生的更多数据易于使用和再利用。但是，某些类别的数据（商业秘密数据、受统计机密性保护的数据、受第三方知识产权保护的数据，包括根据具体的国家或联盟立法无法获取的商业秘密和个人数据，如第2016/679号条例和第2016/680号指令在公共数据库中往往无法获取，甚至无法用于研究或创新活动。由于此数据的敏感性，在提供某些技术和法律程序要求之前，必须先满足这些要求，以确保尊重他人对此类数据的权利，这通常需要大量时间和知识。这导致了此类数据的利用不足。虽然一些成员国正在建立结构、程序，有时还制定立法，以促进这类再利用，但整个欧盟并非如此。

（6）有一些技术可以对包含个人数据的数据库进行隐私友好的分析，例如匿名化、假名化、差异隐私、泛化或压缩和随机化。应用这些提高隐私的技术和全面的资料保护方法，应确保个人资料和商业秘密商业资料可安全地再用于研究、创新和统计目的。在许多情况下，这意味着这方面的数据使用和再使用只能在公共部门设置和监督的安全处理环境中进行。在欧盟一级拥有这种安全处理环境的经验，将其用于根据欧盟委员会第557/2013号条例对统计微观数据进行研究。通常，就个人数据而言，处理个人数据应以第（EU）2016/679条例第6条规定的一项或多项处理理由为依据。

（7）根据本条例，公共部门机构持有的应予再利用的数据类别不属于第2019/1024号指令(欧盟)的范围，该指令不包括因商业和统计保密而无法获取的数据，以及第三方拥有知识产权的数据。如果出于数据保护、隐私和个人完整性的原因（尤其是根据数据保护规则），访问制度排除或限制了对此类数据的访问，则个人数据不属于第（EU）2019/1024号指令的范围。再利用可能包含商业秘密的数据，应在不影响第（EU）2016/943号指令的情况下进行，该指令为合法获取、使用或披露商业秘密奠定了框架。该条例不妨碍公共部门机构承担更具体的义务，允许重新使用特定部门的联盟或国家法律规定的数据，并对这些义务起到补充作用。

（8）本条例规定的再利用制度应适用于成员国法律或其他具有约束力的规则所定义的数据，这些数据构成相关公共部门机构公共事务的一部分。在没有此类规则的情况下，应根据会员国的共同行政惯例来定义公共事务，但前提是公共事务的范围是透明的且需要审查。既可以一般性地定义公共事务，又可以根据个别公共部门机构的情况来定义公共事务。由于公共事业不在公共部门机构的定义之内，因此其持有的数据不受本法规的约束。文化和教育机构所持有的知识产权不是附带的，但主要载于受这种知识产权保护的作品和其他文件中的数据，不在本条例的范围之内。

（9）公共部门机构在制定其所拥有数据的重用原则时应遵守竞争法，并尽可能避免缔结协议，因为这些协议的目的或效果可能是确立重新使用某些数据的专属权利。这样的协议只有在为了提供具有普遍利益的服务而合理和必要的情况下才有可能。在这种情况下，只有独家使用数据才能最大限度地发挥有关数据的社会效益

（例如，只有一个实体拥有专门提供特定数据集的处理能力），能够提供服务或产品，使公营机构能够提供符合一般利益的先进数码服务。但是，应根据公共采购规则缔结此类安排，并应根据市场分析进行定期审查，以确定这种排他性是否仍有必要。此外，此类安排应酌情遵守相关的国家援助规则，并应在不超过三年的有限期间内达成。为了确保透明度，无论是否可能发布公共采购合同，此类专有协议都应在线发布。

(10)被禁止的数据持有人和数据再使用者之间的排他性协议和其他做法或安排，如果没有明确授予排他性权利，我们可以合理预期，其限制在本条例生效之前已经缔结或已经存在的再使用数据的可用性，在任期届满后不得延长。在无限期或长期协议的情况下，它们应在本条例生效之日起三年内终止。

(11)应规定适用于根据国家法律有资格允许再利用的公共部门机构的受保护数据的重用条件，并且应在不损害有关访问此类数据的权利或义务的前提下。这些条件应是非歧视性的、相称的和客观上合理的，同时不限制竞争。特别是，允许再利用的公共部门机构应采用必要的技术手段，以确保保护第三方的权益。数据再利用所附带的条件应限于维护他人在数据中的权利和利益以及公共部门机构的信息技术和通信系统的完整性所必需的条件。公共部门机构应采用最能满足再使用者利益的条件，而不会导致公共部门付出过多的努力。根据当前情况，在传输个人数据之前，应对其进行完全匿名处理，以确保最终无法识别数据主体或包含商业秘密信息的数据，从而不泄露任何机密信息。如果提供匿名或修改后的数据不会响应重新使用者的需求，则可以允许在安全的处理环境中内部或远程重新使用数据。在这样的安全处理环境中进行数据分析应受到公共部门机构的监督，以保护他人的权益。特别是，只有在法律依据允许的情况下，才应将个人数据传输给第三方再使用。公共部门机构可以以保密协议的重用者为条件来使用这种安全的处理环境，该保密协议禁止披露任何危害重用者可能获取的第三方权利和利益的信息尽管有保障措施。公共部门机构在相关时应根据数据主体的同意或法人通过适当技术手段再利用与他们有关的数据的许可，促进数据的再利用。在这方面，公共部门机构应在可行的情况下，通过建立允许转交再使用者同意请求的技术机制，支持潜在的再使用者寻求这种同意。不应提供任何允许重新使用者直接联系数据主体或公司的联系信息。

(12) 第三方的知识产权不受本法规的影响。本法规既不影响公共部门机构的知识产权的存在或所有权，也不以超出本法规规定范围的任何方式限制行使这些权利。本法规的义务仅在与保护知识产权的国际协议相符的范围内适用，尤其是《保护文学和艺术作品伯尔尼公约》（《伯尔尼公约》），《与贸易有关的知识产权协定》（TRIPS协议）和《 WIPO版权条约》（WCT）。但是，公共部门机构应以有利于再利用的方式行使其版权。

(13) 受知识产权和商业秘密保护的数据仅在根据联盟或国家法律或在权利人的同意下传输给第三方是合法的。如果公共部门机构是欧洲议会和理事会第96/9 / EC号指令第7（1）条所规定的权利人，则其不应行使该权利在超出本法规的范围来阻碍或限制数据的再利用。

(14) 公共部门持有的某些类别的受保护数据的再利用应以尊重公司和数据主体权益的方式进行。因此，对于在公共部门以外对数据进行处理的基础上重新使用此类公共部门数据的情况，应采取额外的保障措施。公共部门机构应采取额外措施保护自然人和法人的权益（尤其是个人数据、商业敏感数据和知识产权保护）以防止这样的数据传送到第三国。

(15) 此外，重要的是保护具有非个人性的商业敏感数据，尤其是商业秘密，但是对内容受知识产权保护的非个人数据不被非法访问的保护会导致IP盗窃或工业间谍活动。为了确保数据持有者的基本权利或利益，公共部门机构持有的受联盟法或国家法律保护免受非法或未经授权访问的非个人数据仅传送给提供适当使用数据保护措施的第三方国家或地区。当在第三国采取等效措施以确保非个人数据受益于与欧盟或国家法律相类似的保护水平时，尤其是在商业秘密和知识产权的保护方面，应采取此类适当的保障措施。为此，委员会可以通过实施法案，宣布第三国提供的保护水平基本上与联盟或国家法律所提供的保护水平相同。对第三国提供的保护水平的评估应包括对到有关立法评估，不论是一般法还是部门法，包括公共安全、国防、国家安全和有关获取和保护非个人数据的刑法、第三国公共当局对传送数据的任何访问、第三国中一个或多个负有访问数据的法律制度得到遵守和强制执行的独立监管机构的存在和有效运作、第三国加入的有关数据保护的国际协定或有法律约束力国际条约或国家惯例以及其加入的多边或双边条约赋予的义务。对于将非个人数据传送到的第三国而言，在该第三国中为数据持有人、公共部门机构或数据共享提供者提供有效的法律救济措施尤为重要。此类保障措施应包括可获得的可执行权利和有效的法律补救措施。

(16) 如果委员会没有针对第三国采取宣布其提供某种程度的保护的实施法案，特别是在保护商业敏感数据和保护知识产权方面，该行为实质上等同于根据联盟或国家法律的规定，公共部门机构应仅将受保护的数据传输给重复利用者，如果该重复利用者承担了保护数据的义务。打算将数据传输到上述第三国的再利用者应承担本法规中规定的义务，即使数据已经传送到第三国。为确保上述义务的适当履行，再利用者还应接受再利用可通过司法方式解决争端的成员国公共部门机构的管辖。

(17) 部分第三国通过法律、法规和其他法律行为，旨在在成员国管辖范围内的自然人和法人的控制下直接传送或提供对联盟中非个人数据的访问。基于国际条约，例如第三国与联盟或成员国之间有效的司法协助协定，第三国法院或法庭的裁决或行政当局的决定对非个人数据的传送或访问应可以强制执行。在某些情况下，因第三国法律而产生的传送或提供对非个人数据的访问义务与根据联盟或国家法律来保护此类数据的相对义务相冲突，特别是在保护商业敏感数据和知识产权保护方面，包括根据此类法律的有关保密性的合同承诺。在没有关于此类事项的国际条约的情况下，应仅在某些条件下才允许传送或访问，特别是第三国系统要求阐明裁决的理由和比例，即法院的命令或裁决是具体的，收件人的合理异议应接受第三国主管法院的审查，该法院有权充分考虑此类数据提供者的相关法律利益。

(18) 为了防止非法访问非个人数据，公共部门机构、拥有重新使用数据权利的自然人或法人，数据保护组织中登记的数据共享提供者和实体，应采取所有合理措施防止对存储非个人数据的系统的访问，包括数据加密或公司政策。

(19) 为了建立对再利用机制的信任，对于某些特定类型的被认定为高敏感性非个人数据向第三国的传送要求更严格条件、符合国家协定是必须的，如果该数据的传送可能会危害公共政策。例如，在卫生领域，公共卫生系统，例如医院持有的特定数据集可被认定为高敏感性的健康数据。为了确保整个联盟的做法统一，此类高度敏感的非个人公共数据应由欧盟法律来定义，例如在欧洲健康数据空间或其他部门立法的内容中。将此类数据转移到第三国的附加条件应在授权法案中规定。条件应是相称的，非歧视性的，并且对于保护已确定的合法公共政策目标是必要的，例如保护公共卫生、公共秩序、安全、环境、公共道德、消费者保护、隐私和个人数据保护。这些条件应与此类数据的敏感性相关的已识别风险相称，包括重新识别个人的风险。这些条件可能包括适用于传送或技术协议的条款，例如使用安全处理环境的要求，在第三国或有权将这些数据传送到第三国的人员中对数据再利用的限制以及可访问第三方国家数据的人员限制。在特殊情况下，它们还可能包括为保护公共利益向第三方国家传送数据的限制。

(20) 公共部门机构有权就数据的再利用收取费用，但也有权决定以较低或免费的价格提供数据，例如，针对某些类别的再利用，包括非商业性再利用、中小型企业的再利用为激励这种再利用，从而刺激研究和创新并支持作为重要创新来源且通常自己难以收集相关数据的公司、符合国家援助规则。此类费用应合理，透明，在线公开且无歧视。

(21) 为了鼓励再利用这些类别的数据，会员国应建立一个单一的信息点，作为寻求再利用公共部门机构持有的此类数据的再利用者的主要接口。它应具有跨部门的职权范围，并在必要时应补充部门一级的安排。此外，会员国应指定、建立或促进建立主管机构，以支持公共部门机构的允许再利用某些类别的受保护数据的活动。他们的任务可能包括在联盟部门法或成员国立法的授权下授予访问数据的权限。这些主管机构应使用包括安全数据处理环境在内的最新技术为公共部门机构提供支持，该技术允许以保护信息隐私的方式进行数据分析。这样的支持结构可以支持数据持有人的同意管理，包括在符合公认的科学研究道德标准的前提下同意某些科学研究领域。数据处理应由负责载有数据的登记册的公共部门机构负责，就个人数据而言，该机构依照（EU）2016/679法规仍然是数据控制者。会员国可能设立一个或数个主管机构，这些机构可以在不同部门开展工作。

(22) 数据共享服务（数据中介）的提供者作为促进汇总、交换大量相关数据的工具，有望在数据经济中发挥关键作用。数据中介，通过提供将不同参与者联系起来的服务，有可能为有效收集数据以及促进双边数据共享做出贡献。独立于数据持有者和数据使用者的专门数据中介可以为新的数据驱动型生态系统的出现发挥促进作用，这种生态系统独立于任何具有较大市场势力的参与者。本法规应仅覆盖数据共享服务提供者，这一主体的目标是建立企业，一方面，包括数据主体在内的数据持有人与另一方面的潜在用户之间存在法律和潜在的技术关系，并协助双方在两者之间进行数据资产交易。它也应仅覆盖旨在海量的数据所有者和数据用户之间进行中介的服务，但不包括旨在由封闭的数据所有者和用户组使用的数据共享服务。云服务提供商以及从数据持有者那里获取数据，聚合、丰富或转换数据并将结果数据的使用许可给数据用户的服务提供商，都应排除在外，这些服务提供者无需在数据持有者和数据用户之间建立直接关系，例如广告或数据经纪人、数据顾问、由服务提供商为数据增值而产生的数据产品提供商。同时，应允许数据共享服务提供商对交换的数据进行适应性调整，以便在数据使用者期望的范围内改进数据的可使用性，例如，将数据转换为特定的格式。此外，专注于内容中介（尤其是受版权保护的内容）的服务不应包含在本法规之内。一个数据持有者专门使用的数据共享平台，以便能够使用它们持有的数据，以及在连接到物联网的对象和设备的环境中开发的平台，其主要目的是确保功能所连接的物体或设备的连接，并允许增值服务，这些平台不属于本法规的范围。欧洲议会和理事会指令2014/65 / EU第4（1）条第53点的意义上的“合并磁带提供商”，以及欧洲议会和欧洲理事会第 2015/2366 号指令(EU)第 4 条第 19 点意义上的”账户信息服务提供商”就本法规而言，不应视为数据共享服务提供商。那些将活动范围限制在促进基于数据利他主义的方式提供的数据并且以非营利为基础开展活动的实体，不应被本法规第三章覆盖，因为该活动目的在于通过增加可用于此类目的的数据量而服务于一般利益。

(23) 数据中介的具体类型包括数据共享服务提供者，这些提供者向数据主体提供法规（EU）2016/679规定的服务。这样的提供者只专注于个人数据，并寻求增强个人代理以及个人对与他们有关的数据的控制。他们将协助个人行使条例（EU）2016/679赋予的权利，尤其是管理他们对数据处理的同意、访问其自身数据的权利、更正不正确的个人数据的权利、删除权或“被遗忘”权、限制处理权和数据可携带权，这使数据主体可以将其个人数据从一个控制者手中转移到另一个控制者手中。在这种情况下，重要的是，他们的商业模式应确保没有不当的激励措施鼓励个人提供更多的数据以供处理而非关注自身利益。这可以包括向个人提供关于他们可以允许使用其数据的建议，并在允许数据使用者与数据当事人联系之前对数据使用者进行尽职调查，以避免欺诈行为。在某些情况下，需要个人数据存储空间或“个人数据空间”中整理实际数据，以便可以在该空间中进行处理，不会将个人数据传输给第三方，以最大程度地保护个人数据和隐私。

（24）数据合作社力求提高个人在同意使用数据之前作出知情选择的地位，从而影响与数据使用有关的数据使用者组织的条款和条件，或潜在地解决一个群体成员之间在数据涉及该群体内若干数据主题时如何使用数据的争端。在这方面，必须承认，(EU)2016/679 号条例规定的权利只能由个人行使，不能授予或委托给数据合作社。数据合作社还可以为一人公司、微型、中小型企业提供有效方式，因为这些企业在数据共享知识方面往往与个人能力相当。

（25）为了增加对这种数据共享服务的信任，特别是在使用数据和遵守数据持有者规定的条款方面，有必要建立一个联盟级别的监管框架，该框架将规定与可信赖地提供这种数据共享服务有关的高度统一的要求。这将有助于确保数据持有者和数据用户根据联盟法律更好的控制对他们的数据访问和使用。无论是在企业对企业的情况下还是在企业对用户的情况下，数据共享提供者都应通过在数据经济中将数据提供、中介和使用分开，提供一种新颖的“欧洲”数据治理方式。数据共享服务的提供者也可以为数据持有者和数据用户的互联提供特定的技术基础设施。

（26）在数据共享服务中，为数据持有人和数据使用者带来信任和更多控制的一个关键因素是数据共享服务提供者在数据持有人和数据使用者之间交换数据方面保持中立。因此，有必要使数据共享服务提供者只在交易中充当中介，不将交换的数据用于任何其他目的。这也需要在数据共享服务和任何其他服务之间进行结构性分离，以避免利益冲突问题。这意味着数据共享服务应该由一个独立于该数据共享提供者提供的其他服务的法律实体来提供。此外，数据共享提供者充当作为数据持有人的个人和法人之间数据共享的中介时，应对个人承担信托责任，以确保他们的行为符合数据持有人的最佳利益。

（27）为了确保数据共享服务提供者遵守本条例规定的条款，这些提供者应在联盟中设立办事处。或者，如果没有设立办事处的数据共享服务提供者在联盟内部提供服务，其应指定一名代表。鉴于这些数据分享服务提供者需要处理个人资料及商业秘密数据，因此有必要指定一名代表，以密切监督这些服务供应者遵守本规例所列条件的情况。为了确定这种数据共享服务提供者是否正在联盟内部提供服务，应确定数据共享服务提供者是否明显计划向一个或多个会员国的个人提供服务。仅仅在联盟内查阅数据共享服务提供者的网站或电子邮件地址和其他详细联系方式，或使用数据共享服务提供者所在第三国通常使用的语言，都不足以确定这种意图。然而，诸如使用可能以该种语言订购服务的一个或多个会员国通常使用的一种语言或货币，或提及联盟内的用户，可能表明数据共享服务提供者计划在联盟内提供服务。代表应代表数据共享服务提供者行事，主管部门应有与代表联系的可能。数据共享服务提供者应以书面授权指定代表，代表其履行本条例规定的义务。

（28）本条例不应妨碍数据共享服务提供者遵守(EU)2016/679号条例的义务，以及监管部门履行确保该规例被遵守的职责。如果数据共享服务提供者是(EU)2016/679号条例意义上的数据控制者或处理者，则它们受该条例的规则约束。本条例也不应妨碍竞争法的适用。

（29）数据共享服务的提供者也应采取措施确保遵守竞争法。数据共享可能提供各方面效率，但也可能导致限制竞争，特别是当它包括分享竞争敏感性信息的时候。这尤其适用于数据共享使企业能够知道其实际或潜在竞争对手的市场策略的情况。具有竞争敏感性信息通常包括未来价格、生产成本、数量、营业额、销售额或产能等信息。

（30）应确立数据共享服务的通知程序，以确保联盟内基于可信赖的数据共享的数据治理。最能实现可信环境的好处的办法是对提供数据共享服务规定一些要求，但不要求主管部门就提供此类服务作出任何明确的决定或采取行政行动。

（31）为了支持有效跨境提供服务，应要求数据共享提供者仅向其主要机构所在地或其法定代表所在地的会员国指定主管部门发出通知。这种通知应仅包含提供这种服务的意向的声明，而且应仅提供本条例所列的信息。

（32）联盟内数据共享服务提供者的主要机构应是在联盟内设有中央行政机构的成员国。联盟内的数据共享服务提供者的主要机构应根据客观标准确定，并应切实有效地开展管理活动。

（33）应根据其在横向或部门数据共享方面的能力和专门知识来指定监督数据共享服务提供者遵守本条例的主管部门，它们在执行任务时应保持独立、透明和公正。成员国应将指定主管部门的身份通知委员会。

（34）本条例规定的通知框架不应妨碍通过部门特定立法确定的提供数据共享服务的具体附加规则。

（35）数据主体在同意的基础上自愿提供的数据，或在涉及非个人资料的情况下由法人基于普遍利益的目的提供的数据具有很大的潜力。这些目的将包括医疗保健、应对气候变化、改善流动性、帮助建立官方统计数据或改善提供公共服务。支持科学研究，包括如技术开发和论证、基础研究、应用研究和私人资助的研究，也应视为普遍利益目的。该条例旨在促进形成以数据利他主义为基础建立的数据池，这些数据池有足够的规模，以便能够进行数据分析和机器学习，包括在联盟内进行跨境学习。

（36）基于数据利他主义、为支持普遍利益目的、大规模提供相关数据并满足某些要求的法律实体，应能够注册为”联盟承认的数据利他组织”。这可能建立数据存储库。由于在一个成员国进行的注册在整个联盟都是有效的，这将有助于在联盟内部跨境使用数据，并有助于建立覆盖若干成员国的数据池。在这方面，数据主体可以同意数据处理的具体目的，但也可以同意在某些研究领域或研究项目的某些部分进行数据处理，因为在为科学研究目的进行个人数据处理时，往往不可能在收集数据时就完全确定处理目的。法人可以允许处理他们的非个人数据，用于在给予许可时未明确的一系列目的。这些注册实体自愿遵守一系列要求可以使人们相信其出于利他目的提供的数据符合普遍利益目的。这种信任尤其应来自于在联盟内设立办事处、注册实体必须具有非营利性质、满足透明度要求，以及为保护数据主体和公司的权利和利益而制定的具体保障措施。进一步的保障措施应包括: 使注册实体有可能在安全处理环境中处理相关数据; 设立监督机制如道德操守理事会或委员会，以确保数据控制人维持高标准的科学道德操守;基于数据处理人员根据(EU)2016/679 号条例承担的信息义务，提供产生的随时撤回或修改同意的有效技术手段; 以及提供数据主体随时了解其所提供数据的使用情况的手段。

（37）本条例不妨碍根据国家法律从事数据利他活动的实体的设立、组织和运作。这些实体按照成员国的国家法律建立并作为非营利组织依法运作。符合本条例要求的实体应能够使用“联盟承认的数据利他组织”名称。

（38）联盟承认的数据利他组织应能够直接从自然人和法人那里收集相关数据，或者处理他人收集的数据。一般而言，数据利他主义将依赖数据主体在第6(1)(a)条和第9(2)(a)条中的同意，并应遵守（EU)2016/679号条例第7条关于合法同意的规定。根据（EU）2016/679 号条例，科学研究目的可以通过获得对科学研究的某些领域的同意得到支持，这些领域要符合公认的科学研究伦理标准，或者仅限于某些研究领域或部分研究项目的。（EU)2016/679号条例第5(1)(b)条表明，依照该条例第89(1)条为科学或历史研究目的或统计目的而进行的进一步处理，不得视为不符合最初的目的。

（39）为了在给予和撤回同意方面提供更多的法律确定性，特别是在科学研究和利他数据的统计使用方面，应当制定一份欧洲数据利他同意表，并在利他数据共享方面加以使用。这种表格应有助于提高数据当事人的透明度，使他们的数据能够在征得其同意并充分遵守数据保护规则的情况下被查阅和使用。它也可以被用来简化公司执行的数据利他行为，并提供允许这些公司撤回他们使用数据许可的机制。为了将个别部门的具体情况纳入考虑范围，包括从数据保护的角度考虑，应有对欧洲数据利他同意表进行部门调整的可能。

（40）为了成功实施数据治理框架，应该以专家组的形式建立欧洲数据创新理事会。理事会应由成员国、委员会的代表以及有关数据空间和具体部门(如卫生、农业、运输和统计)的代表组成。应邀请欧洲数据保护委员会委任欧洲数据创新委员会的代表。

（41）在本条例所涵盖的主题下，理事会应支持委员会协调国家做法和政策、支持跨部门数据的使用、遵守欧洲互操作性框架(EIF)原则、利用标准和规格(如核心词汇表和CEF构件) ，但不妨碍在特定部门或领域开展的标准化工作。技术标准化的工作可包括确定标准改进的优先事项，并建立和维持一套技术和法律标准，以便在无需求助于中间人的两个数据空间处理环境之间传输数据。理事会应该与部门机构，网络或专家组，或其他跨部门组织合作，处理数据的再利用。针对数据利他主义，理事会应该协助委员会与欧洲数据保护委员会协商，制定数据利他同意表。

（42）为了确保本条例在统一条件下实施，制定欧洲数据利他同意表的执行权力应授予委员会。这些权力应按照欧洲议会和理事会(EU) No 182/2011条例行使。

（43）为了将某些类别数据的具体性质纳入考虑，应将根据TFEU第290条采取行动的权力下放给委员会，由其制定适用于向第三国转让非个人数据类别的某些特殊条件，这些个人数据类别在立法程序通过的特定联盟法案中被视为高度敏感。特别重要的是，委员会在筹备工作期间进行适当磋商，包括在专家层面进行磋商，这些磋商应按照 2016年 4 月 13日关于更好地制定法律的机构间协定规定的原则进行。特别是为了确保平等参与拟订授权法案的准备工作，欧洲议会和理事会与成员国专家需同时收到所有文件，且他们的专家要系统地参加委员会专家组关于拟订授权法案的会议。

委员会规定适用于通过立法程序通过的特定联盟法案中高度敏感的某些非个人数据类别向第三国转移的特殊条件。特别重要的是，委员会在筹备工作中应进行适当的磋商，包括在专家层面进行磋商，并应根据2016年4月13日《机构间协定》中关于制定更好法律的原则来进行磋商。尤其是，为了确保平等地参与委派法案的准备工作，欧洲议会和理事会将以成员国专家的身份同时收到所有文件，而且它们的专家将系统性地参加负责拟定授权文件的委员会专家组会议以处理委派法案的准备工作。

（44）该条例不应影响竞争规则的适用，特别是《欧洲联盟运作条约》第101和102条。本法规中规定的措施不得以与《欧洲联盟运作条约》相反的方式限制竞争。这尤其涉及通过数据共享服务在实际或潜在竞争对手之间交换竞争敏感性信息的规则。

（45）理事会（EU）2018/1725（EU）法规（EU）2018/1725（42）的第42条，与欧洲数据保护主管和欧洲数据保护委员会进行了磋商，并就[…]发表了意见。

（46）该法规尊重基本权利，并遵守《宪章》特别认可的原则，包括隐私权、个人数据保护、营业自由、财产权和残疾人融入社会的权利。

本法规已通过：

第一章总则 第1条 主题事项和范围

(1) 本条例规定：

(a) 在欧盟内部再利用公共部门机构持有的某些特定类别数据的条件；

(b) 提供数据共享服务的通知和监管框架；

(c) 自愿注册实体的框架，该实体收集和处理为利他目的提供的数据。

(2) 本条例不影响欧盟其他法律法规中有关访问或再利用某些类别数据或与处理个人或非个人数据有关的要求的具体规定。如果特定行业的联盟法律法案要求公共部门机构，数据共享服务提供商或提供数据利他服务的注册实体遵守特定的其他技术、行政或组织要求，包括通过授权或证明制度，该特定部门的欧盟法律法案的那些规定也应适用。

第2条

定义

就本条例而言，以下定义适用：

(1) “数据”是指行为、事实或信息的任何数字表达以及此类行为、事实或信息的任何汇编，包括声音、视觉或视听记录的形式；

(2) “再利用”是指自然人或法人出于商业或非商业目的，将公共部门机构持有的数据用于生产数据的公共事务中的最初目的以外的商业或非商业目的，但纯粹为履行公共事务而在公共部门机构之间交换数据的除外；

(3) “非个人数据”是指除欧盟第2016/679条例第4条第（1）款中定义的个人数据以外的其他数据；

(4) “元数据”是指为提供数据共享服务而收集的自然人或法人活动的数据，包括日期、时间和地理位置数据，活动持续时间，与使用该服务的人与其他自然人或法人建立的联系；

(5) “数据持有人”是指根据可适用的欧盟或国家法律有权授予访问权限或共享由其控制的某些个人或非个人数据的法人或数据主体；

(6) “数据用户”是指可以合法访问某些个人或非个人数据，并有权基于商业或非商业目的使用该数据的自然人或法人；

(7) “数据共享”是指数据持有人根据自愿协议，直接或通过中介间接地向数据用户提供数据，以供共同或单独使用共享数据；

(8) “访问”是指数据用户根据特定的技术、法律或组织要求，对数据持有人提供的数据进行处理，但这并必然意味着传输或下载此类数据；

(9) 法人实体的“主营业地”是指其主要管理机构在欧盟的地址；

(10) “数据利他主义”是指出于普遍利益的目的（例如科研目的或改善公共服务），数据主体同意处理与其相关的个人数据，或无偿允许其他数据持有人使用其非个人数据；

(11) “公共部门机构”是指国家、地区或地方当局，机构或由受公法管辖的一个或多个此类当局或机构组成的协会；

(12) “受公法管辖的机构”是指具有以下特征的机构：

(a) 建立它们的目的是为了满足普遍利益的需求，它们没有工业或商业性质；

(b) 它们具有法人资格；

(c) 它们大部分由国家、地区或地方当局或受公法管辖的其他机构资助；或接受有关当局或机构的管理监督；或拥有行政，管理或监督委员会，其成员的一半以上由州，地区、地方当局或受公法管辖的其他机构任命；

(13) “公共企业”是指公共部门机构可以凭借其所有权，其财政参与或管理其的规则直接或间接地行使主导影响力的任何企业；就此定义而言，在以下任一情况下，公共部门机构直接或间接地该企业具有主要影响：

(a) 持有企业的大部分认缴资本；

(b) 控制该企业发行的份额所附的大多数投票;

(c) 可以任命企业一半以上的行政，管理或监督机构；

(14) “安全处理环境”是指物理或虚拟环境以及组织方式，以允许安全处理环境的操作者确定和监督所有数据处理动作（包括显示，存储，下载，导出数据以及通过计算机算法计算衍生数据）的方式提供数据再利用的机会。

(15) “代表”是指在欧盟中明确指定代表数据共享服务提供商或实体收集的数据的任何自然人或法人，其目的是为了由自然人或法人根据数据利他性提供的具有普遍利益的目的而收集数据未在欧盟中建立，将由国家主管当局（而非数据共享服务或实体）针对本法规规定的数据共享服务或实体的义务而处理。

第二章再利用公共部门机构保存的某些类别的受保护数据 第3条数据类别

(1) 本章适用于公共部门机构持有的数据，这些数据由于以下原因而受到保护：

(a) 商业秘密;

(b) 统计保密性；

(c) 保护第三方的知识产权；

(d) 保护个人数据。

(2) 本章不适用于：

(a) 公共企业持有的数据；

(b) 公共服务广播公司及其子公司以及其他机构或其子公司为完成公共服务广播汇款所持有的数据；

(c) 文化机构和教育机构持有的数据；

(d) 出于国家安全、国防或公共安全原因而受保护的数据；

(e) 数据提供的活动超出了法律或相关会员国的其他有约束力的规则所定义的相关公共部门机构的公共事务范围，或者在没有此类规则的情况下根据所定义的活动该成员国具有共同的行政惯例，但前提是公共事务的范围是透明的，并且需要接受审核。

(3) 本章的规定并未对公共部门机构造成任何允许数据再利用的义务，也未解除公共部门机构的保密义务。本章不影响欧盟和成员国在第1款中所提供的数据类别的保护所依据的联盟法律和本国法律或国际协定。本章不影响有关获取文件和信息的欧盟和本国法律。公共部门机构根据欧盟和国家法律，允许数据再利用。

第4条

禁止排他性安排

(1) 凡是与公共部门机构所持有的含有第3(1)条所述数据类别的数据的再利用有关的协议或其他惯例，如授予专有权，或其目的或效果是授予专有权，或限制这种协议或其他惯例的当事人以外的实体提供数据供再利用，均应予以禁止。

(2) 通过减损第1款的方式，在为提供符合一般利益的服务或产品所必需的范围内可授予该款所述的数据再利用的专有权。

(3) 此类专有权应在遵守相关联盟和国家公共采购与特许授予规则的相关服务或特许合同的范围内授予，或者，如果合同的价值既不属于联盟，也不属于国家公共采购，也不属于特许授予规则，则应使用透明度原则，平等待遇原则和基于国籍的非歧视原则。

(4) 在第3款未涵盖的所有情况下，并且如果不给予专有权就无法实现一般利益目的，则应适用透明度，平等待遇原则和基于国籍的非歧视原则。

(5) 数据再利用的专有权期限不得超过三年。在订立合同的情况下，授予合同的期限应与专有权的期限一致。

(6) 根据第（2）至第（5）款授予专有权，以及必须授予该权利的理由，无论是否可能发布公共采购和特许权合同的裁决，都应是透明的，且可以在网上公开获取。

(7) 属于第1款禁止范围内，不符合第2款规定且在本规例生效之日之前达成的协议或其他惯例，应在合同结束后，或是，最晚于本法规生效之日起三年内终止。

第5条

数据再利用的条件

(1) 根据国家法律有权授予或拒绝访问以再利用第3条第（1）款所指的一类或多类数据的公共部门机构，应向公众提供再利用这种数据的条件。在这项任务中，他们可以得到第7条第1款所述主管机构的协助。

(2) 就数据类别、数据再利用的目的以及允许再利用的数据的性质而言，数据再利用的条件应是非歧视性的、相称的、客观合理的。这些条件不得用于限制竞争。

(3) 公共部门机构可规定再利用仅预处理数据的义务，而这种预处理旨在匿名或假名化个人数据或删除包括商业秘密在内的商业秘密信息。

(4) 公共部门机构可规定以下义务：

(a) 在公共部门提供和控制的安全处理环境中访问和数据再利用；

(b) 如果不能在不损害第三方权益的情况下进行远程访问，则可在安全处理环境所在的物理场所内访问和重新使用数据。

(5) 公共部门机构应施加条件，以保持所使用的安全处理环境的技术系统功能的完整性。公共部门机构应能够核实再利用者进行数据处理的任何结果，并保留禁止使用包含危害第三方权益的信息的结果的权利。

(6) 如果无法按照第3至5款规定的义务允许数据再利用，并且没有其他法律依据根据（欧盟）2016/679号条例来传输数据，公共部门机构应在不给自己带来不相称成本的情况下，支持数据再利用者寻求数据主体的同意和/或权利和利益可能受到此类再利用影响的法律实体的许可。在这项任务中，他们可以得到第7条第1款所指的主管机构的协助。

(7) 只有在符合知识产权的前提下，允许数据再利用。公共部门机构不得行使第96/9/EC号指令第7（1）条所规定的数据库创建者的权利，以防止数据的再利用或限制超出本法规定的数据再利用。

(8) 被要求的数据，根据有关商业秘密的欧盟或国家法律，被视为机密时，公共部门机构应确保不会因再利用而泄露机密信息。

(9) 委员会可以通过实施法案，宣布对第三国的法律监督和执行安排：

(a) 确保保护知识产权和商业秘密的方式基本上等同于联盟法所确保的保护；

(b) 正在有效地应用和执行；

(c) 提供有效的司法补救。

这些实施行为应按照第二十九条第二款所述的咨询程序通过。

(10) 公共部门机构应仅将机密数据或受知识产权保护的数据传输给打算将数据传输到除依照第9款指定的国家以外的第三国的再利用者，前提是该重复利用者承诺：

(a) 即使数据转移到第三国，也要遵守第7至8款规定的义务；

(b) 接受公共部门机构成员国法院关于与履行（a）点中义务有关的任何争议的管辖权。

(11) 如果根据立法程序通过的特定联盟法案规定，就本条而言，应将公共部门机构持有的某些非个人数据类别视为高度敏感，则委员会有权根据本法规的补充条款的第28条，通过规定适用于向第三国转让的特殊条件采取授权行为。向第三国转移的条件应基于《欧盟法案》中确定的数据类别的性质，以及将其视为高度敏感，非歧视性的理由，并仅限于实现《欧盟法案》确定的公共政策目标（如安全和公共卫生）所需的条件，以及根据欧盟的国际义务为数据主体重新识别匿名数据的风险。它们可能包括适用于这方面的转移或技术安排的条款，对在第三国数据再利用的限制或有权将此类数据转移到第三国的各类人，或在特殊情况下，对向第三国转移的限制。

(12) 有权再利用非个人数据的自然人或法人只能将数据转移到满足第9至11段款要求的第三国。

(13) 如果再利用者打算向第三国转移非个人数据，公共部门机构应将向该第三国转移数据的情况通知数据持有人。

第6条费用

(1) 允许再利用第3条第（1）款所述数据类别的公共部门机构，可能会因允许再利用这些数据而收取费用。

(2) 任何费用均应是非歧视性的、相称的和客观合理的，并且不得限制竞争。

(3) 公共部门机构应确保可以通过广泛使用的跨境支付服务在线支付任何费用，而不因基于支付服务提供商的设立地点，支付工具的发行地点或欧盟支付帐户的位置而受到歧视。

(4) 公共部门机构收取费用时，应采取措施，鼓励第3条第（1）款所述的数据类别用于非商业目的，并鼓励中小企业按照国家援助规则再利用。

(5) 费用应从与处理第3条第（1）款中提到的数据类别的请求有关的费用中扣除。费用计算方法应事先公布。

(6) 公共部门机构应发布主要费用类别的说明以及用于费用分配的规则。

第7条主管机构

(1) 成员国应指定一个或多个主管机构，以支持公共部门机构，这些机构在执行该任务时应允许再利用第3条第（1）款所述的数据类别。

(2) 第1款规定的支持，应包括：

(a) 通过提供安全的处理环境来提供技术支持，以提供对数据再利用的访问；

(b) 为测试技术的应用提供技术支持，确保以允许保留可再利用的数据中所包含信息的私密性的方式进行数据处理，包括对个人数据进行假名化，匿名化，泛化，隐匿和个人数据随机化；

(c) 根据数据持有人的具体决定，协助公共部门机构（在相关情况下）获得重复利用者的同意或许可，以用于利他和其他目的重复利用，包括拟进行数据处理的一个或多个司法管辖区;

(d) 根据第5条第（10）款，为公共部门机构提供有关重复利用者所做承诺是否充分的帮助。

(3) 依照提供此类访问权限的联盟或国家法律，也可以委托主管机构授予访问权限，以再利用第3条第（1）款所述的数据类别。第4、5、6和8（3）条在履行其授予或拒绝再利用的职能时，应适用于此类主管机构。

(4) 主管部门应具有足够的法律和技术能力以及专门知识，以能够遵守有关第3条第（1）款所述数据类别的访问制度的有关欧盟或国家法律。

(5) 成员国应在[本条例的适用日期]之前，将根据第1款指定的主管部门的身份通知委员会。他们还应将对这些机构身份的任何后续修改告知委员会。

第8条单一信息点

(1) 成员国应确保可以通过一个信息点获得与适用第5条和第6条有关的所有相关信息。

(2) 单个信息点应该接收重新使用第3条第（1）款所述数据类别的请求，并将这些请求转发给主管公共部门或第7条第（1）款所述的相关主管部门。单个信息点应该通过电子方式提供可用数据资源的寄存器，其中包含描述可用数据性质的相关信息。

(3) 主管公共部门或第7条第（1）款所述的主管部门应在合理的时间内批准或拒绝第3条第（1）款所述数据类别的重新使用请求，在任何情况下请求之日起两个月之内应该做出决定。

(4) 受公共部门机构或主管部门（视情况而定）的决定影响的任何自然人或法人，均有权在有关机构所在的成员国的法院针对该决定获得有效的司法救济。

第三章

适用于数据共享服务的要求

第9条

数据共享服务提供商

(1) 提供以下数据共享服务应遵循通知程序：

(a) 法人数据持有人与潜在数据用户之间的中介服务，包括提供启用此类服务的技术或其他手段；这些服务可能包括双边或多边交换数据，或创建能够交换或联合利用数据的平台或数据库，以及建立使数据持有人和数据用户互连的特定基础设施；

(b) 寻求提供其个人数据的数据主体与潜在数据用户之间的中介服务，包括在行使第（EU）2016/679号条例规定的权利时，提供使该服务可用的技术或其他手段；

(c) 数据合作社的服务，即为数据主体或一人公司或中小型企业提供支持的服务，包括合作社成员或授权合作社在他们同意之前就数据处理条款和条件进行谈判的权力的主体，在同意数据处理之前做出知情的选择，并允许机制就最佳的数据处理目的和最能代表数据主体或法人的利益的条件交换意见。

(2) 本章不得影响其他联邦和国家法律对数据共享服务提供商的适用，包括监督当局确保遵守适用法律的权力，尤其是在保护个人数据和竞争法方面的权力。

第10条

数据共享服务提供商的通知

(1) 拟提供第9条第（1）款所述服务的任何数据共享服务提供商，均应向第12条提到的主管机关提交通知。

(2) 就本法规而言，在多个成员国内设有机构的数据共享服务提供商应被视为由其主要机构所在的成员国管辖。

(3) 在欧盟内未设立机构但在欧盟内提供第9条第（1）款所指服务的数据共享服务提供商，应在提供这些服务的成员国之一中指定一名法律代表。提供者应被视为由设立的法律代表所在的成员国管辖。

(4) 收到通知后，数据共享服务的提供者可以根据本章规定的条件开始活动。

(5) 该通知将使提供者有权在所有成员国中提供数据共享服务。

(6) 该通知应包括以下信息：

(a) 数据共享服务提供商的名称；

(b) 提供者的法律状态、形式和注册号，在提供者在贸易或其他类似的公共注册簿中进行了注册的情形下；

(c) 提供者在欧盟中的主要机构的地址（如果有），以及在另一成员国设立的分支机构或根据第3款指定的法律代表的地址（如果适用）；

(d) 可以找到有关提供者和活动的信息的网站（如果适用）；

(e) 提供者的联系人和联系方式；

(f) 提供者打算提供的服务的描述；

(g) 预计开始活动的日期；

(h) 提供者打算提供服务的成员国。

(7) 应提供者的要求，主管当局应在一周之内发布标准化声明，确认提供者已经提交了第4款所规定的通知。

(8) 主管部门应立即以电子方式将每项通知转发给成员国的国家主管部门。

(9) 主管部门应通知委员会每项新通知。委员会应保存数据共享服务提供者的登记册。

(10) 主管部门可以收取费用。此类费用应成比例和客观，并应根据与主管部门在数据共享服务通知方面的合规性监管和其他市场控制活动有关的行政管理费用确定。

(11) 数据共享服务提供商停止活动时，应在15天内通知根据第1、2和3款确定的相关主管部门。主管部门应立即将这些通知以电子方式转发给会员国的国家主管部门和委员会。

第11条提供数据共享服务的条件

第9条第1款所述的数据共享服务的提供应符合以下条件：

(1) 提供者不得将其提供服务的数据用于其他目的，而应将数据交给用户使用，并且数据共享服务应置于单独的法律实体中；

(2) 从提供数据共享服务中收集的源数据只能用于·该服务的开发；

(3) 提供商应确保对数据持有者和数据用户的服务获取程序是公平、透明和非歧视的（包括价格方面）；

(4) 供应商应以从数据持有人那里接收数据的格式促进数据共享，并应将数据转换成特定格式，仅是为了增强部门内部和部门之间的互操作性，或者是在数据用户要求下或在欧盟法规定的情况下或确保与国际或欧洲数据标准保持一致；

(5) 提供者应制定程序，以防止与寻求通过其服务进行访问的各方访问数据有关的欺诈或滥用行为；

(6) 提供者应确保其提供服务的合理连续性，对于数据存储的服务，提供者应有足够的保证，以保证数据持有人和数据使用者在破产时能够访问其数据；

(7) 提供者应采取适当的技术、法律和组织措施，以防止传输或访问根据欧盟法是非法的非个人数据；

(8) 提供者应采取措施确保非个人数据的存储和传输的高度安全性；

(9) 提供商应制定程序以确保符合欧盟和国家竞争法规；

(10) 为数据主体提供服务的提供者在促进其权利行使时，应出于对数据主体最大利益的考虑而采取行动，特别是就潜在的数据用途以及这些用途附带的标准条款和条件向数据主体提供建议；

(11) 提供者提供获得数据主体同意权限的工具或处理法人提供数据的工具时，应指明打算使用数据的一个或多个司法管辖区。

第12条主管机关

(1) 每个成员国应在其领土上指定一个或多个主管部门来执行与通知框架有关的任务，并应在[本条例的适用日期]之前向委员会通报这些被指定部门的身份，还应将任何后续修改通知委员会。

(2) 指定的主管部门应遵守第二十三条。

(3) 指定的主管机构、数据保护机构、国家竞争管理机构、网络安全主管机构和其他相关部门机构应交换与数据共享提供者有关的执行其任务所必需的信息。

第13条

遵守情况的监测

(1) 主管当局应监测和监督对本章的遵守情况。

(2) 主管当局应有权向数据共享服务提供商要求提供所有必要的信息，以核实是否符合第10条和第11条的要求。任何信息请求均应与任务的执行相称，并应给出理由。

(3) 主管当局发现数据共享服务的提供者不符合第10条或第11条规定的一项或多项要求的，应将这些发现通知该提供者，并使其有机会在合理的时限内陈述其观点。

(4) 主管当局有权立即或在合理的期限内要求停止违反第3款的行为，并应采取适当和相称的措施以确保遵守。在这方面，主管当局在适用的时候应能够：

(a) 施加劝阻性的经济处罚，其中可能包括具有追溯效力的定期处罚；

(b) 要求停止或推迟提供数据共享服务。

(5) 主管当局应毫不延误地将根据第4款施加的措施及其依据的理由告知有关实体，并应规定一个合理的期限，以使该实体遵守这些措施。

(6) 如果数据共享服务提供商的主要机构或法定代表人在某个成员国内，但在其他成员国内提供服务，则该主要机构所在成员国或法定代表人所在地的主管当局以及这些其他成员国的主管当局应合作并互相协助。这种协助与合作可能涉及有关主管当局之间的信息交流，以及要求采取本条所述措施的请求。

第14条例外

本章不适用于非营利性实体，其活动仅在于为自然人或法人基于数据利他主义提供为普遍利益的目的而收集的数据。

第四章数据利他主义

第15条

公认的数据利他主义组织的注册簿

(1) 根据第20条指定的每个主管当局应保存公认的数据利他主义组织的注册簿。

(2) 委员会应维护公认的数据利他主义组织的欧盟注册簿。

(3) 根据第16条在注册簿中注册的实体在其书面和口头交流中可以将自己称为“欧盟认可的数据利他主义组织”。

第16条

注册的一般要求

为了获取注册资格，数据利他主义组织应：

(a) 成为为实现普遍利益目标而成立的法人实体；

(b) 以非营利为基础运营，并且独立于以营利为基础运营的任何实体；

(c) 与数据利他主义相关的活动是通过法律上独立的结构进行的，与其他活动无关。

第17条

注册

(1) 符合第16条要求的任何实体都可以要求被登记于第15条第1款提及的公认的数据利他主义组织的注册簿。

(2) 就本法规而言，从事基于数据利他主义活动的实体，在一个以上的成员国中有办事机构的，应在其主要机构所在的成员国中注册。

(3) 在欧盟中未设立机构但符合第16条要求的实体，应在打算基于数据利他主义收集数据的成员国之一中指定一名法定代表人。为了遵守本法规，该实体应被视为由法定代表人所在的成员国管辖。

(4) 注册申请应包含以下信息：

(a) 实体名称；

(b) 在公共注册簿中登记的该实体的法律状态，形式和注册号；

(c) 实体的章程（如适当）；

(d) 实体的主要收入来源；

(e) 该实体在欧盟中的主要机构的地址（如果有），以及（如果适用）在另一成员国的二级机构的地址或根据第（3）款指定的法定代表人的地址；

(f) 一个可以找到有关实体和活动的信息的网站；

(g) 实体的联系人和联系方式；

(h) 打算在收集数据时推动的具有普遍利益的目的；

(i) 任何其他证明满足第16条要求的文件。

(5) 如果实体已根据第4款提交了所有必要的信息，并且主管当局认为该实体符合第16条的要求，则应在申请之日起十二周内在公认的数据利他主义组织的注册簿中注册该实体。该注册在所有会员国均有效。任何注册都应通知委员会，以将公认的数据利他主义组织纳入联盟注册簿。

(6) 第4段（a），（b），（f），（g）和（h）中提及的信息应在公认的数据利他主义组织的国家注册簿中公布。

(7) 进入公认的数据利他主义组织注册簿的任何实体，应在发生变更之日起14个自然日内，将根据第4款提供的信息的任何变更提交主管当局。

第18条透明度要求

(1) 进入公认的数据利他主义组织的国家注册簿的任何实体，均应保留与以下内容有关的完整准确的记录：

(a) 所有有可能处理该实体持有的数据的自然人或法人；

(b) 此类处理的日期或持续时间；

(c) 自然人或法人所声明的可以进行处理的处理目的；

(d) 处理数据的自然人或法人所支付的费用（如果有）。

(2) 进入公认的数据利他主义组织注册簿的任何实体均应草拟年度活动报告，并将其转交国家主管当局，该报告至少应包括以下内容：

(a) 有关该实体的活动信息；

(b) 描述在给定的财政年度中如何改进为普遍利益目的收集数据的方式；

(c) 允许使用其持有的数据的所有自然人和法人的列表，包括对此类数据使用所追求的普遍利益目的的简要描述以及对其使用的技术手段的描述，包括对用于维护隐私和数据保护技术的描述；

(d) 实体允许的数据使用结果的摘要（如适用）；

(e) 有关实体收入来源的信息，尤其是所有允许访问数据的收入以及支出的信息。

第19条保障数据主体和法人在其数据方面的权益的特殊要求

(1) 进入公认的数据利他主义组织注册簿的任何实体均应告知数据持有人：

(a) 关于允许数据用户处理其数据的具有普遍利益的目的，以易于理解的方式；

(b) 关于在欧盟之外的任何处理。

(2) 实体还应确保该数据不会用于其允许处理的具有普遍利益的目的以外的其他目的。

(3) 被登记进入公认的数据利他主义组织注册簿的实体为获得数据主体同意或法人许可处理其数据而提供工具时，应指明打算在哪一个或多个司法管辖区使用数据。

第20条注册主管当局

(1) 每个会员国应指定一个或多个主管当局，负责公认的数据利他主义组织的注册簿，并监督对本章要求的遵守情况。指定的主管部门应符合第二十三条的要求。

(2) 每个成员国应将指定当局的身份告知委员会。

(3) 主管当局应与数据保护当局合作处理其任务，这些任务与处理个人数据有关，并应与同一成员国的有关部门机构合作。对于任何需要评估是否符合法规（EU）2016/679的问题，主管当局应首先征求根据该法规建立的主管监督机构的意见或决定，并且遵守该意见或决定。

第21条

遵守情况的监测

(1) 主管当局应监测和监督已登记在受承认的数据利他组织名录的实体是否遵守本章规定的条件。

(2) 主管当局应有权向已登记在受承认的数据利他组织名录上的实体索取必要的信息，以核实是否符合本章的规定。任何要求提供信息的请求均应与任务的执行相适应，并应说明理由。

(3) 主管当局发现某实体不符合本章的一项或多项要求的，应将这些发现通知该实体，并给予其机会在合理的期限内作出说明。

(4) 主管当局有权要求立即或在合理的期限内停止第3款所述的违法行为，并应采取适当和相称的措施以确保遵守。

(5) 如果已被主管当局按照第3款通知，实体仍未遵守本章的一项或多项要求，则该实体将：

(a) 在任何书面和口头通讯文件中，都失去称自己为“联盟所承认的数据利他组织”的权利；

(b) 被从公认的数据利他组织的名录中删除。

(6) 如果列入公认数据利他组织名录的实体的主要机构或法定代表人在某成员国内，但在其他成员国活跃，则该主要机构所在成员国或法定代表人所在地的主管当局以及其他成员国的主管当局应在必要时相互合作和协助。这种协助与合作可能涉及有关主管当局之间的信息交流，以及要求采取本条所指监督措施的请求。

第22条

欧洲数据利他同意表

(1) 为了促进基于数据利他的数据收集，委员会可通过实施法案的方式制定欧洲数据利他主义同意表。该表格应允许在全体成员国之间以统一格式收集同意。这些实施行为应按照第29条第2款所述的咨询程序通过。

(2) 欧洲数据利他主义同意书应使用模块化方法，允许针对特定部门和不同目的进行自定义。

(3) 在提供个人数据的情况下，欧洲数据利他同意表应确保数据主体能够在符合法规（欧盟）2016/679要求下，给予特定数据处理操作同意或从中撤销同意。

(4) 该表格应以可以在纸上打印并可由人阅读的方式以及电子的、机器可读形式提供。

第五章主管当局和程序规定 第23条有关主管当局的要求

(1) 根据第12条和第20条指定的主管当局在应与受承认的的数据利他组织登记名录中所包括的任何数据共享服务提供商或实体在法律上有所区别，并在功能上独立。

(2) 主管当局应公正，透明，一致，可靠和及时地执行其任务。

(3) 高层管理人员和负责执行本规章规定的主管当局相关任务的人员，不得是他们所评估的服务的设计者，制造商，供应商，安装者，购买者，所有者，用户或维护者，也不得是任何一方的授权代表或代表他们。这并不排除为了主管当局运行或出于个人目的对所评估服务必需的使用。

(4) 高层管理人员和全体工作人员不得从事任何可能与其判断独立性或受托进行的评估活动一致性相冲突的活动。

(5) 主管当局应拥有足够的财政和人力资源来执行分配给他们的任务，包括必要的技术知识和资源。

(6) 成员国的主管当局应应合理要求向欧洲委员会和其他成员国的主管当局提供执行本条例所规定任务所需的信息。如果国家主管当局根据联盟和有关商业和专业机密性的国家规定认为要求提供的信息是机密的，委员会和其他有关主管当局应确保信息机密性。

第24条提出投诉的权利

(1) 自然人和法人有权向相关国家主管当局投诉数据共享服务的提供者或公共数据利他组织名录的实体。

(2) 向其提出申诉的当局应将程序的进展和作出的决定通知申诉人，并应将第25条规定的获得有效司法救济的权利告知申诉人。

第25条获得有效司法救济的权利

(1) 除了任何行政或其他非司法救济措施，任何受影响的自然人和法人均有权就以下情形获得有效的司法救济：

(a) 没有对向第12条和第20条所述的主管当局提出的申诉采取行动；

(b) 第13条，第17条和第21条所指的主管当局作出的在管理，控制和执行数据共享服务提供商的通知制度以及对公共数据利他组织登记名录的实体进行监测时所做出的决定

(2) 依照本条进行的诉讼应提交寻求司法补救的机关所在的成员国法院进行。

第六章欧洲数据创新委员会 第26条欧洲数据创新委员会

(1) 欧洲委员会应以专家组的形式成立欧洲数据创新委员会（“委员会”），该委员会包含所有成员国主管当局的代表，欧洲数据保护委员会，欧洲委员会，相关数据空间及特定部门其他主管当局的代表。

(2) 利益相关者和相关第三方可被邀请参加委员会会议并参与其工作。

(3) 欧洲委员会应主持委员会会议。

(4) 委员会应由欧洲委员会提供的秘书处协助。

第27条委员会的任务

委员会应执行以下任务：

(a) 提供建议并协助欧洲委员会制定第7条第1款所述的公共部门机构和主管机构的一致做法，以处理再利用第3条第1款所述的数据类别的请求；

(b) 提供建议并协助欧洲委员会制定适用于数据共享提供商的应用要求方面的一致做法；

(c) 在将部门特定的标准活动纳入考量范围之下，就数据使用和跨部门数据共享，跨部门比较的优先性，及部门对于安全性，访问程序的要求的最佳实践的交换向欧洲委员会提供建议；

(d) 在现有欧洲，国际或国家标准的基础上，协助欧洲委员会增强数据的互操作性以及不同部门和领域之间的数据共享服务；

(e) 通过能力建设和信息交流，特别是通过发展数据共享服务商的通知程序和受承认的数据利他组织的登记和监测相关信息的有效交换的方法，促进国内有关当局在本条例下的合作。

第七章委员会与委托 第28条授权的行使

(1) 在符合本条规定的条件的前提下，欧洲委员会有权采取授权行为。

(2) 第5条第(11)款所述的采取授权行为的权力应授予欧洲委员会，期限不确定，自[…]起。

(3) 欧洲议会或理事会可随时撤销第5条第11款所指的权力授予。撤销决定应终止该决定中所指明的权力授予。该决定应自其在《欧洲联盟官方公报》上发表后的第二天或其中指定的较晚日期生效。它不应影响任何已生效的授权行为的有效性。

(4) 根据2016年4月13日关于更好制定法律《机构间协定》中规定的原则，在通过授权法案之前，委员会应咨询每个成员国指定的专家。

(5) 欧洲委员会通过授权法案后，应立即将其同时通知欧洲议会和理事会。

(6) 根据第5条第11款通过的授权法案仅在欧洲议会或理事会在接到通知之日起的三个月内未表示反对，或者如果在该期限届满之前，欧洲议会和理事会均已通知欧洲委员会，他们将不反对的情况下生效。在欧洲议会或理事会的提议下，该期限应延长三个月。

第29条委员会程序

(1) 欧洲委员会应由第182/2011号条例（欧盟）界定的委员会协助。

(2) 凡涉及本段，应适用第182/2011号法规（欧盟）第4条。

(3) 如果要通过书面程序获得委员会的意见，且在表达意见期间内没有结果或者委员会主席决定或者委员会成员请求，应当终结该程序。在这种情况下，委员会主席应在合理时间内召集委员会会议。

第八章最终条款 第30条国际获取

(1) 根据第2章被授予数据再利用权的公共部门机构、自然人或法人，数据共享提供者或在公共数据利他组织登记名录的实体（视情况而定）应当采取一切合理的技术、法律和组织措施，以防止转移或获取联盟中持有的非个人数据，否则这种转移或获取会与联盟法或相关成员国的法律相冲突，除非转移或获取符合第2或3款规定。

(2) 法院或仲裁裁决以及第三方国家的行政机关要求依据第2章被授予数据再利用权的公共部门机构、自然人或法人，数据共享提供者或在公共数据利他组织登记名录的实体在联盟内转移或者获取受本条例管理的非个人数据，只有在请求的第三方国家和联盟之间或者请求的第三方国家和成员国之间在[本条例生效]之前缔结过司法互助条约等国际协议的情况下，才能够得到承认和执行。

(3) 如果根据第2章被授予数据再利用权的公共部门机构、自然人或法人，数据共享提供者或在公共数据利他组织登记名录的实体是第三国法院或者行政机构决定转移或者获取联盟所持有的非个人数据的收件人，且遵守该决定可能会使收件人与联盟法律或相关成员国的法律相抵触，该第三国当局仅在下列情形下可转移或获取此类数据：

(a) 第三国制度要求决定应陈述理由并成比例，并且要求法院命令或决定（视情况而定）是特定的，例如通过建立充分的联系指向特定的可疑人员或违法行为；

(b) 收件人的合理反对应接受第三国主管法院的审查；和

(c) 在这种情况下，发出命令或者审查行政机关决定的主管法院，依据该国法律授权，有权适当考虑受联盟法律或者适用的成员国法律保护的数据提供者的有关合法利益。

决定的收件人应根据本法规征求有关主管机构或当局的意见，以确定是否满足这些条件。

(4) 如果满足第2或3款的条件，则根据第2章被授予数据再利用权的公共部门机构、自然人或法人，数据共享提供者或在公共数据利他组织登记名录的实体（视情况而定）应基于对请求的合理解释，提供请求要求的所允许的最小数据量。

(5) 根据第2章被授予数据再利用权的公共部门机构、自然人或法人，数据共享提供者或在公共数据利他组织登记名录的实体，应将第三国行政当局请求获取数据的情况告知数据持有人，但是该请求用于执法目的且在保持执法活动有效性的必要时间内使用的除外。

第31条处罚

成员国应制定适用于违反本条例的处罚规则，并应采取一切必要措施以确保其得到执行。规定的处罚应是有效的，相称的和劝阻性的。成员国应在[本条例的适用日期]之前将这些规则和措施通知欧洲委员会，并应立即将之后的所有修改通知欧洲委员会。

第32条

评价与审查

在[适用本条例规定的数据四年后]，欧洲委员会应对该条例进行评估，并就其主要调查结果向欧洲议会，理事会以及欧洲经济与社会理事会提交报告。会员国应向委员会提供编写该报告所需的信息。

第33条

第2018/1724号法规（欧盟）的修正案

在（欧盟）第2018/1724号法规的附件II中，在“开始、运营和关闭业务”下添加了以下内容：

开始、运营和关闭业务	作为数据共享服务提供者的通知	确认收到通知
	注册为欧洲数据利他组织	确认该注册

第34条过渡安排

在本条例生效之日提供第9条第（1）款规定的的数据共享服务的实体至少应在[本条例实施之日起2年后]遵守第三章中规定的义务。

第35条

生效与适用

该法规应在其在《欧盟官方刊物》上发布后满二十天后生效。

从[生效之日起12个月后]开始适用。

本条例应具有完全约束力，并直接适用于所有成员国。

在布鲁塞尔制定。