欧盟《数据法案》意见草案修改要点概述

2023-10-31

导语：

2022年10月4日，欧盟议会下设内部市场和消费者保护委员会(Committee on the Internal Market and Consumer Protection, IMCP)发布了一份关于欧盟《数据法案》的意见草案(PE736.701v01-00)（以下简称“《意见》”）。执笔人为波兰人Adam Bielan（亚当·比兰）MEP。比兰对《数据法案》通过更改、删除、新增等方式大大小小修改了86个地方（意见草案官方文件中共86个“amendments”），既有重大条款的修改意见也有个别地方的改善建议，其中不乏一些值得立引起立法者关注、深入商榷的观点。

欧盟数据法案草案^[1]于2022年2月份发布，全文分十一章，共46条。欧盟的官方网站称，制定数据法案的主要目的为：将通过一系列措施为公司、公民和公共行政部门提供更多数据，例如采取措施，为生成数据的公司和消费者增加法律确定性，了解谁可以在什么条件下使用这些数据，并激励制造商继续投资于高质量的数据生成。这些措施将使服务提供商之间的数据传输更加容易，并将鼓励更多的参与者参与数据经济，无论其规模如何。防止滥用妨碍公平数据共享的合同不平衡的措施。中小企业将受到保护，免受享有明显更强市场地位的一方强加的不公平合同条款的影响。委员会还将制定示范合同条款，以帮助这些市场参与者起草和谈判公平的数据共享合同。公共部门机构访问和使用私营部门持有的用于特定公共利益目的所必需的数据的手段。例如，开发洞察力以快速安全地响应公共紧急情况，同时最大限度地减少企业的负担。新规则为客户在不同的数据处理服务提供商之间有效切换设定了正确的框架条件，以解锁欧盟云市场。这些也将有助于建立高效数据互操作性的总体框架。^[2]

《意见》开篇先以“short justification”简要介绍了对《数据法案》修改的原因和理由，比兰主要表达了四个方面的看法：第一，比兰以汽车制造商为例：制造商（数据生产商）调整电子元件可以阻止独立维修点或者零部件制造商（第三方）向用户提供服务和产品从而有权限制竞争，说明了确保向第三方提供的数据具备使用性能和分析性能的重要性；第二，实现欧盟“2030年数字目标”的主要障碍之一与企业转向云服务的前期费用增加以及云服务提供商的有限报价权利有关，同时，“功能等同”的规定也可能徒增了数据源提供商不可能遵守的义务；第三，为了让用户获得作出良好业务决策所必需的信息，有必要引入一些云服务提供商的义务，如促进非侵入性客户退出机制的发展；第四，为了维持欧洲企业对最新云服务的访问量并持续创新，应当允许一些定制或者正在开发中的服务在非必要限制下进行运行。比兰整体上围绕着以上四个方面的观点对《数据法案》进行修改，下面笔者将选择其中几个重要的问题进行分析。

一、全文的“数据处理服务”（data processing services）一词统一调整为“云计算服务”（cloud computing services）

作为原文的主要调整对象之一，“数据处理服务”并非特指一种具体化的计算方式，而是泛称对数据进行采集、存储、检索、加工、转化、整合和传输等一类行为，从数据处理空间的分布方式上，分为集中式处理方式和分布式处理方式。云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备，典型的云计算提供商往往提供通用的网络业务应用，可以通过浏览器等软件或者其他Web服务来访问，而软件和数据都存储在服务器上^[3]。狭义上的云计算属于分布式处理方式，通常提供通用的通过浏览器访问的在线商业应用，软件和数据可存储在数据中心。既然“数据处理”与“云计算”性质不同，那么二者存在什么区别呢？替换后的调整范围扩大还是缩小了？笔者认为，笼统地理解，云计算是数据处理方式的一种，除了云计算方式，还存在大型计算机、客户端服务器等计算方式，在范围上后者比前者的字面含义相对更窄，使用“云计算服务”可能导致调整范围缩小，但在调整对象更加明确具体，规制的指向性更强。

二、完善公共机构获取数据的相关制度、程序及配套措施

原文规定在特殊需要的情况下，公共部门、工会、机关或者社会团体等（以下统称“公共机构”）可能有必要使用企业掌握的数据来应对公共紧急情况或者其他特殊情况，即出于公共利益的考量，可以豁免公共机构须征得数据持有人的同意才能获取数据，在私人利益和公共利益保护上优先保护后者，但这并不意味着公共机构可以任意行使此豁免权，更不可打着“保护公共利益”的幌子超出合理范围侵犯私人利益。为了防止公共机构滥用获取数据“豁免权”，比兰认为有必要对此加以更加严格的限制。《意见》对公共机构获取数据规定的修改建议散落在全文中，主要包括三个方面：

1.事先明确和指定哪些公共机构可以被授权获取数据

在第56条关于公共机构获取数据“豁免权”的基础上嵌入新增内容：“为了确保成员国之间的一致做法和私营企业的可预期环境，成员国和欧盟委员会应当确定哪些机构可以要求获得企业持有的数据”，同时《意见》还在全文其他地方的可以获取数据的“公共机构”一词前加入前缀“指定的”（identified），要求《数据法案》将可以获取数据的“公共机构”限缩在法律授权的范围内。

2.赋予数据持有人事后异议权以及权利救济

原文第17条第4款第2项规定公共机构在获取数据后只通知数据持有人即可，关于获取数据是否具有正当性、紧迫性、合理性，数据持有人的私人利益如何保护等，原文并未涉及。比兰修改该条时认为，数据持有人应有权迅速提出异议，以保护其完整性、安全性或保密性。所以《意见》中在该条后面补充了数据持有人在通知发出后的5个工作日内，有权向获取数据的公共机构提出异议，在公共机构拒绝说明的情况下，还可以向第31条提及的主管机关提出异议。笔者认为，5个工作日的计算起点修改为“自数据持有人收悉通知之日起”为宜，因为通知发出后并不代表数据持有人即接收到消息，可能存在数据持有人在通知发出5日后才收悉但异议权期限经过的情况。

3.明确公共机构对获取的数据的安全性负责

《意见》在第19条第2款新增了公共机构维护获取数据安全的义务和责任，体现了公法领域公权力机关权责统一的原则。

三、删除“功能等同”（functional equivalence）条款，不强制规定目标数据服务提供商提供与原始提供商同等的服务

原文在序言第72项指出，《数据法案》的立法目的是促进数据处理服务之间的切换，其中包括用户终止数据处理服务的合同、与不同的数据处理服务提供商签订一份或者多份新合同、将用户所有的数字资产移植到其他服务提供商，以及在新环境中继续使用他们并受益于功能等同所需的条件和行为。“功能等同是指在切换后维持最低的服务功能，只要原始和目标数据处理服务上覆盖（部分或者全部）相同的服务类型，由用户使用服务产生的元数据在技术上就是可行的”，但比兰删除了前述该部分内容(也在正文第2条第1款第14点删除了功能等同的定义)，并引入“数据互操作性”的相关内容替换。

《意见》中比兰认为强制规定功能等同可能存在一定的缺陷，为了评估原始与目标两个数据处理服务是否等同，语法数据互操作性应被理解为一种参与系统可以理解交换信息的格式的形式上互操作性，语义数据互操作性应被理解为参与系统可以理解旧数据模型上下文含义的形式上互操作性。《意见》新增72a一款，对此解释道：等同云计算服务之间的互操作性涉及到基础设施和软件的多个接口和源层，极少局限于可实现和不可实现的二者之间，相反，这种互操作性的构建还受到成本效益分析的影响。因此，两种服务可能看起来相同或相似，但由于应用了不同的技术，包括技术的先进性和复杂性，他们的底层或操作会有很大不同，并非如原文所指“目标服务商覆盖部分或者全部相同的服务类型即可实现元数据的移植”那样简单。

四、建议云计算服务提供商建立与合同服务相关的用户退出机制

《数据法案》在序号第74项中笼统规定了服务提供商需要提供使数据处理转换过程有效所需的所有协助和支持，但具体如何提供以及提供哪些所必需的信息，没有具体叙述。比兰在此条中修改建议建立与合同服务相关的用户退出机制，具体列明了提供的信息包括启动从云计算服务切换的程序、用户数据可导出到的机器可读数据格式、工具（包括至少一个开放标准数据可移植性接口，可用于导出数据）等。用户退出机制主要是关于用户终止与数据处理服务商之间的服务协议后，如何处理妥善被服务商持有的用户数据的问题，在互联网APP使用中，用户账号注销问题是用户退出的重要方面之一。

关于用户注销后数据处理问题，法律依据最早可以追溯到工信部2013年颁布的《电信和互联网用户个人信息保护规定》中，其第9条规定“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务”，但只规定停止信息的收集和使用，并未规定如何处理此前收集的个人信息如何处理。而直到2020年出台的《信息安全技术个人信息安全规范（GB/T 35273-2020）》^[4]则首次明确规定个人信息主体注销账号后，企业应当及时删除个人信息或者匿名化处理；因法律法规规定需要留存个人信息的，不能再次将其用于日常业务活动中。2021年颁布的《个人信息保护法》在第47条中再次明确规定个人信息处理者应当主动删除个人信息的情形包括“个人信息处理者停止提供产品或者服务,或者保存期限已届满”，而第二款则规定法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。前述所指法律法规规定保存期限的如《电子商务法》第31条规定“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定。”^[5]

五、扩大了“数据持有者”的范围

数据持有者的定义是指“拥有或控制数据的自然人或法人”^[6]，这个概念在《数据法案》提案中有很重要的作用，因为它决定了谁有权利和义务在特定情况下分享数据。

但是，在实际情况中，数据持有者的身份可能不是那么清晰，因为数据的产生、收集、处理和使用涉及多方参与者，例如制造商、服务提供者、云服务提供者、用户等。这些参与者可能对同一份数据拥有不同程度的权利或利益，例如知识产权、商业秘密、合同权利等。因此，在确定谁是数据持有者时，可能需要考虑以下因素：

数据是由谁产生或获取的？数据是由谁控制或管理的？数据是由谁存储或托管的？数据是由谁加工或分析的？数据是由谁使用或利用的？这些问题并没有简单的答案，而且可能会因为不同的情境而变化。例如，在互联网物联网（IoT）领域，一个连接产品（如智能手表）可能由制造商设计和生产，但由用户购买和使用。这个产品在运行过程中会产生大量的数据，这些数据可能被存储在产品本身、用户的手机、制造商的服务器或云服务提供商的平台上。这些数据可能被制造商用于改进产品质量或提供新功能，也可能被用户用于监测健康状况或分享给第三方应用。那么，在这种情况下，谁是数据持有者呢？是制造商还是用户？还是云服务提供商？还是第三方应用？这取决于具体的数据类型、来源、目的和合同条款等。

为了避免对数据持有者的定义产生混淆，《数据法案》提案中对一些特定情况进行了明确规定。例如：对于使用连接产品或相关服务而产生的数据，如果用户对该产品拥有所有权或使用权，则用户被视为该数据的持有者；对于云计算服务提供者存储或处理的客户数据，如果客户对该数据拥有所有权或使用权，则客户被视为该数据的持有者；对于数据库中包含的由物联网设备生成或获取的数据，如果数据库拥有者对该数据库拥有所有权或使用权，则数据库拥有者被视为该数据的持有者。

六、明确访问数据的机构

《数据法案》提案中关于公共部门机构或欧盟机构、机关或机构在特殊需要情况下使用企业持有的数据的规定是为了应对公共紧急情况或其他特殊情况，例如防止或协助恢复自然灾害、公共卫生危机、网络攻击等。这些情况可能需要公共部门机构或欧盟机构、机关或机构快速、安全地获取和利用企业持有的数据，以制定有效的应对措施和政策。

但是，这种数据访问请求可能会给企业带来负担，尤其是中小企业，因为它们可能需要投入额外的资源和时间来提供数据，并且可能面临数据泄露或竞争损害的风险。

这个修改意见是为了进一步确保各成员国之间的一致做法和私营实体的可预测环境，要求各成员国和欧盟委员会明确哪些机构可以请求访问企业拥有的数据。这样可以避免出现不同标准或滥用权力的情况，也可以让企业更清楚地知道他们需要遵守哪些规则和条件。

七、规定了目标云计算服务提供者应当遵守的义务

为了进一步促进云计算服务切换，规定了目标云计算服务提供者应当遵守的义务，要求与源云计算服务提供者诚信合作，以便及时转移数据或应用等必要项目。《数据法案》提案中关于云计算服务切换的规定是为了促进用户在不同的云计算服务提供者之间自由选择，增加市场竞争和创新，降低迁移的难度和成本。

同时，《数据法案》提案也增加了一些豁免条款，防止滥用云计算服务的切换主要包括：为满足特定客户需求而定制的云计算服务；试运行或仅提供业务产品测试和评估服务的云计算服务。

这些云计算服务可以免除适用于云计算服务切换的义务。这个修改意见的目的是为了考虑到一些特殊或临时性的云计算服务的特点，避免给云计算服务提供者和用户带来不必要的负担或风险。例如：定制的云计算服务可能涉及专有的技术或协议，不适合使用通用的格式或接口进行迁移；试运行或测试的云计算服务可能不涉及正式的合同或费用，也不需要保证数据或应用的完整性或质量。

同时，还详细规定了向客户提供有关切换和迁移云计算服务的可用程序的信息，包括可用的迁移方法、格式以及已知的限制和技术障碍；与源云计算服务提供者诚信合作，通过通用的、机器可读的格式和开放标准的数据可携带接口，及时转移数据或软件等必要项目，除非双方另有约定。这个修改意见的目的是增强客户的地位，强调切换过程涉及并需要目标云服务提供者的良好合作。

参考文献：

[1]https://www.esensoft.com/industry-news/dx-6450.html或 https://www.modb.pro/db/335413

[2]https://digital-strategy.ec.europa.eu/en/policies/data-act

[3]杨静.云计算技术在计算机数据处理中的应用[J].无线互联科技,2021,18(14):70-71.

[4]8.5 个人信息主体注销账户对个人信息控制者的要求包括：

a) 通过注册账户提供产品或服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且方法简便易操作；

b) 受理注销账户请求后，需要人工处理的，应在承诺时限内（不超过15个工作日）完成核查和处理；

c) 注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型；

d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务，如注销单个账户视同注销多个产品或服务，要求个人信息主体填写精确的历史操作

[5]再如《征信业管理条例》第十六条规定：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除”；《网络安全法》第21条规定：“（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；”

[6]高富平.论数据持有者权构建数据流通利用秩序的新范式[J].中外法学,2023,35(02):307-327.

本文作者：

声明：

本文由德 恒 律 所律师原创，仅代表作者本人观点，不得视为德 恒 律 所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。