欧盟委员会发布《数据访问授权法案》

文章信息

Delegated Act on Data Access

来源：EUROPEAN COMMISSION

时间：2025年7月

2022 年 11 月 16 日，欧洲议会和理事会（EU）2022/2065 号条例《数字服务法》生效。该条例提供了一个适用于在欧盟境内提供的所有在线中介服务的统一法律框架，旨在打造一个更安全的数字空间，确保基本权利得到有效保护。

（EU）2022/2065 号条例对大型在线平台和大型在线搜索引擎运营商规定了一系列特殊义务，这些义务与其在欧盟境内的特殊作用和社会影响相匹配。这些义务旨在提高运营商的公共问责性，包括维持广告公开库、每年至少发布一次关于其服务及相关系统的设计、运行或使用所产生的系统性风险的评估结果、已采取的风险缓解措施的报告，以及独立合规审计报告。

（EU）2022/2065 号条例第 40 条要求大型在线平台和大型在线搜索引擎运营商提供其持有的数据，用于监管监督、研究和审查，以助力发现、识别和理解欧盟境内的系统性风险，评估其根据该条例必须采取的风险缓解措施的适当性、有效性和影响。这一规定的影响体现在两个方面：符合规定条件的研究人员将有机会获取此前未披露或披露不足的数据，为研究开辟新途径，增加创造惠及所有人的知识的可能性；同时，这些见解也将为主管部门履行监管和执法职责提供支持，包括评估大型在线平台和大型在线搜索引擎运营商为履行（EU）2022/2065 号条例规定的义务所采取的措施。

根据（EU）2022/2065 号条例第 40 条第 13 款，欧盟委员会应通过授权法规补充该条例，规定大型在线平台或大型在线搜索引擎运营商依据该条例第 40 条第 1 款和第 4 款共享数据的技术条件，以及数据可使用的目的。此外，该条款还规定，这些授权法规应明确与研究人员共享此类数据时需符合（EU）2016/679 号条例的具体条件，以及支持数据共享的相关客观指标、程序，必要时还应包括独立咨询机制，同时需考虑大型在线平台或大型在线搜索引擎运营商以及相关服务用户的权利和利益，包括保护机密信息（特别是商业秘密）和维护其服务安全。

本授权法规明确了依据（EU）2022/2065 号条例第 40 条第 4 款提供数据访问的程序和技术条件。鉴于研究人员在发现、识别和理解欧盟境内的系统性风险，以及评估大型在线平台和大型在线搜索引擎运营商依据该条例必须采取的风险缓解措施的适当性、有效性和影响方面可发挥重要作用，本授权法规旨在确保（EU）2022/2065 号条例中关于经过审核的研究人员数据访问的规定得到有效且统一的适用。

本授权法规所规定的规则以大型在线平台或大型在线搜索引擎运营商现有的自愿数据访问实践为基础。考虑到（EU）2022/2065 号条例第 40 条第 4 款所设定的机制涉及研究人员、数字服务协调员以及大型在线平台或大型在线搜索引擎运营商等不同主体，具有创新性，因此制定了具体程序，以形成可靠、一致和统一的实践，并保护所有相关主体的权利和利益。

特别是，本授权法规规定了数字服务协调员向大型在线平台或大型在线搜索引擎运营商提出合理数据访问请求的程序。在此过程中，本授权法规还明确和统一了数据访问流程的管理程序，并建立了《数字服务法》（DSA）数据访问门户，为该流程的各个环节提供支持。此外，本授权法规规定了设立地数字服务协调员在确定提供数据访问的适当方式时应考虑的法律、组织和技术条件。为此，本授权法规规定了设立地数字服务协调员与大型在线平台或大型在线搜索引擎运营商在处理合理数据访问请求过程中的互动规则。

本授权法规旨在为经过审核的研究人员建立一个一致且统一的数据访问流程，在保护相关人员权利和利益的同时，包含充分的保障措施以防止任何形式的滥用。

第一章 一般规定

第 1 条 适用范围

本条例规定了依据（EU）2022/2065 号条例第 40 条第 4 款向经过审核的研究人员提供其持有的数据的程序和技术条件，特别是：

（a）数据访问门户的开发和运行技术条件；

（b）数字服务协调员和数据提供商管理数据访问流程的程序和技术条件；

（c）合理请求的提出和修改请求的评估要求；

（d）数据提供商提供数据访问的技术条件。

第 2 条 定义

就本条例而言，（EU）2016/679 号条例第 4 条和欧洲议会和理事会（EU）2018/1725 号条例第 3 条中的定义适用。以下定义也适用：

（a）“数据访问申请” 是指申请研究人员向设立地数字服务协调员或首席研究员所属研究机构所在成员国的数字服务协调员提交的，为获得（EU）2022/2065 号条例第 40 条第 8 款第 1 项所指的 “经过审核的研究人员” 身份（涉及从数据提供商处获取数据的特定研究项目）的信息和相关文档；

（b）“数据访问流程” 是指可能导致授予（EU）2022/2065 号条例第 40 条第 4 款所指数据访问权限的步骤和程序；“申请研究人员” 是指以个人、团体或实体名义申请获得（EU）2022/2065 号条例第 40 条第 4 款所指数据访问权限的任何自然人；

（c）“首席研究员” 是指以个人身份或代表实体或一群申请研究人员提交数据访问申请的申请研究人员；

（d）“数据提供商” 是指根据（EU）2022/2065 号条例第 33 条第 4 款被指定为大型在线平台或大型在线搜索引擎的提供商，合理请求可能针对该提供商；

（e）“合理请求” 是指依据（EU）2022/2065 号条例第 40 条第 4 款提出的合理数据访问请求；

（f）“修改请求” 是指数据提供商在收到合理请求后，依据（EU）2022/2065 号条例第 40 条第 5 款提出的修改请求；

（g）“安全处理环境” 是指（EU）2022/868 号欧洲议会和理事会条例第 2 条第 20 项所定义的安全处理环境。

第二章 信息和联系义务

第 3 条 DSA 数据访问门户

欧盟委员会应建立并托管 DSA 数据访问门户。

DSA 数据访问门户应具有以下功能：

（a）支持并简化研究人员、数据提供商和数字服务协调员的数据访问流程管理；

（b）作为数据访问流程信息的中央数字点，促进本条例规定的申请研究人员、经过审核的研究人员、数据提供商和数字服务协调员之间的信息交换。

DSA 数据访问门户应与根据（EU）2024/607 号实施条例建立的信息共享系统 AGORA 互通。数字服务协调员应能在 AGORA 中访问通过 DSA 数据访问门户提交的信息。

数据提供商应在 DSA 数据访问门户上拥有账户。

为参与数据访问流程，申请研究人员应在 DSA 数据访问门户上拥有账户。

第 4 条 DSA 数据访问门户中个人数据处理的角色和责任

数字服务协调员在为管理数据访问流程和发布相关信息而进行个人数据处理方面，应作为独立的控制者。

欧盟委员会应作为 DSA 数据访问门户内处理的个人数据的处理者。

欧盟委员会作为 DSA 数据访问门户中开展的数据处理活动的处理者的责任应如附件所述。

第 5 条 DSA 数据访问门户中的个人数据处理

在 DSA 数据访问门户中登记和交换个人数据时，仅应在为数据访问流程目的和发布相关信息所必需且适当的范围内进行处理。

DSA 数据访问门户中的个人数据处理仅适用于以下类别的数据主体：

（a）在 DSA 数据访问门户上拥有账户的自然人；

（b）其个人数据包含在 DSA 数据访问门户中或根据本条例进行的与数据访问流程相关的任何其他交换中的自然人。

DSA 数据访问门户中的个人数据处理仅适用于以下类别的个人数据：

（a）身份数据，如姓名、用户 ID；

（b）联系信息，如地址、电子邮件地址、联系方式；

（c）包含在证明与研究机构隶属关系的文档中的个人数据，以及为参与数据访问流程目的而被视为必要的任何其他个人信息。

第 1 款所指的个人数据处理应使用位于欧洲经济区内的信息技术基础设施进行。

第 6 条 数据访问流程的联系点和公开信息

每个数字服务协调员和每个数据提供商都应设立专门的联系点，负责提供关于数据访问流程的信息和支持。

数字服务协调员和数据提供商应尽快将其联系点的详细信息告知欧盟委员会。欧盟委员会应在 DSA 数据访问门户的公共界面上公布第 1 款所指的联系点的详细信息。

每个数字服务协调员应在其在线界面上提供易于查找的第 1 款所指联系点的详细信息以及指向 DSA 数据访问门户的链接。

数据提供商应在其在线界面上提供易于查找的以下信息：

（a）其依据第 1 款设立的联系点的详细信息；

（b）指向 DSA 数据访问门户的链接；

（c）DSA 数据目录，描述可为（EU）2022/2065 号条例第 40 条第 4 款所述目的访问的数据资产及其数据结构和元数据；

（d）目录（c）中数据的建议访问方式，与不同数据资产的敏感程度相适应。

第 4 款（c）项和（d）项所指的信息应定期更新，特别是为了反映根据（EU）2022/2065 号条例第 34 条进行的风险评估和根据该条例第 37 条进行的审计相关的数据。

第三章 提出和处理合理请求的要求

第 7 条 合理请求的提出

在数据访问申请提交后的 80 个工作日内，设立地数字服务协调员在适当考虑第 8 条规定的前提条件以及（如适用）为此目的进行的任何其他相关评估后，应决定是否可以提出合理请求，并采取以下行动之一：（a）提出合理请求，提交给数据提供商，并通知首席研究员合理请求已提交；（b）告知首席研究员无法提出合理请求的原因。

在有充分理由的情况下，如果设立地数字服务协调员需要额外时间提出合理请求，应尽快通知首席研究员，并说明延迟原因以及采取第 1 款所述行动的新日期。

第 8 条 提出合理请求的前提条件

设立地数字服务协调员在决定是否可以提出合理请求时，应考虑以下因素：

（a）对于每位申请研究人员：

i. 确认其隶属于欧洲议会和理事会（EU）2019/790 号指令第 2 条第 1 项所定义的研究机构；

ii. 关于其独立于与所请求数据相关的特定项目商业利益的声明；

iii. 承诺免费公开其研究成果；

（b）支持所请求数据相关研究项目的资金信息；

（c）对所请求数据的描述，包括格式、范围以及（如可能）特定属性、相关元数据和数据文档，同时考虑根据本条例第 6 条第 4 款提供的信息；

（d）关于数据访问的必要性和比例性的信息，以及所请求数据相关研究的时间框架；

（e）关于与所访问数据相关的保密、数据安全和个人数据保护方面已识别风险的信息，以及为缓解处理所请求数据时的此类风险将采取的技术、法律和组织措施的描述，包括（如可能）建议的访问方式；

（f）对将使用所请求数据开展的研究活动的描述；

（g）数据访问申请的摘要，包含以下要素：

i. 研究主题；

ii. 所请求数据的提供方；

iii. （c）项所指的对所请求数据的描述。

第 9 条 访问方式

设立地数字服务协调员应确定数据提供商向经过审核的研究人员提供数据访问所应采用的方式，包括技术、法律和组织措施。

数字服务协调员应获准咨询根据（EU）2016/679 号条例第 51 条设立的相关监管机构。

在确定访问方式时，设立地数字服务协调员应考虑数据访问申请中提供的信息，特别是第 8 条（e）项所指的信息，同时也考虑数据提供商和相关服务用户的权利和利益，包括机密信息的保护、商业秘密的保护以及维护其服务安全，以及数据提供商根据第 6 条第 4 款（d）项提供的信息。

除第 3 款所指的因素外，设立地数字服务协调员在确定访问方式时还应考虑以下因素：

（a）如果访问涉及个人数据处理：

i. 第 8 条（e）项所述的关于个人数据处理风险的评估，包括（如适用）（EU）2016/679 号条例第 35 条所指的数据保护影响评估；

ii. 根据第 8 条（e）项提交的拟采取的技术和组织措施；

（b）相关网络安全措施、加密、访问控制机制、备份政策、数据完整性机制、事件响应计划；

（c）（如适用）关于预期存储期限和相关数据销毁计划的信息；

（d）任何组织措施，如内部审查流程、访问权限限制和信息共享；

（e）任何拟议的合同条款，如保密协议、数据协议和任何其他类型的书面声明，规定首席研究员与数据提供商之间可能的访问和处理条件；

（f）申请研究人员接受的数据安全和个人数据保护培训情况；

（g）是否需要安全处理环境来处理数据。

如果设立地数字服务协调员认为应通过安全处理环境提供所请求数据的访问权限，该协调员应要求提供证明该环境运营商符合以下条件的文档：

（a）规定安全处理环境的访问条件，以最大限度地降低托管数据被未授权读取、复制、修改或删除的风险；

（b）确保经过审核的研究人员仅能访问合理请求所涵盖的数据，具体通过个人唯一用户身份和保密访问模式实现；

（c）在必要的期限内保存安全处理环境的可识别访问日志，以核实和审计该环境中的所有处理操作；

（d）确保经过审核的研究人员可使用的计算能力适合且足以满足研究项目的目的；

（e）监控（a）至（d）项所列措施的有效性。

第 10 条 合理请求的内容

合理请求应至少包含以下要素：

（a）数据提供商应提供所请求数据访问权限的日期和此类访问权限的终止日期；

（b）根据第 9 条确定的访问方式；

（c）第 8 条（g）项所指的数据访问申请摘要；

设立地数字服务协调员可在合理请求中包含数据访问申请中提及的所有经过审核的研究人员的姓名和联系方式，但前提是根据合理请求中规定的访问方式，这对于授予所请求数据的访问权限是必要的。

如果提供访问涉及向（EU）2016/679 号条例第五章所指的第三国或国际组织传输个人数据，合理请求应包含关于需要建立或提及适当传输机制以确保符合（EU）2016/679 号条例的信息。

第 11 条 在 DSA 数据访问门户上发布合理请求概述

在提出合理请求后，设立地数字服务协调员应在 DSA 数据访问门户的公共界面上发布该合理请求的概述。该概述应包含以下所有内容：

（a）第 8 条（g）项所指的数据访问申请摘要；

（b）根据第 9 条确定的访问方式。

第 1 款所指的概述应更新，以反映在审查修改请求后或根据第 13 条进行调解后对一个或多个要素的任何变更。

第 12 条 审查修改请求的程序

在收到依据（EU）2022/2065 号条例第 40 条第 5 款提出的修改请求后，设立地数字服务协调员应通知相关首席研究员。

在就依据（EU）2022/2065 号条例第 40 条第 5 款（a）项提出的修改请求作出决定时，设立地数字服务协调员应考虑以下因素：

（a）所谓的数据访问权限缺失的理由是否有充分依据；

（b）这种数据访问权限缺失是永久性的还是暂时性的。

在就依据（EU）2022/2065 号条例第 40 条第 5 款（b）项提出的修改请求作出决定时，设立地数字服务协调员应考虑以下所有因素：

（a）所谓的漏洞及其严重性是否有充分依据；

（b）这些所谓的重大漏洞可能导致的损害的可能性和严重程度；

（c）合理请求中规定的访问方式在多大程度上能有效缓解此类损害发生的风险。

在评估修改请求的任何时候，设立地数字服务协调员可要求数据提供商或首席研究员提供其认为完成评估所必需的任何额外信息。

提出此类额外信息请求应尽快进行，以便数据提供商或首席研究员有足够时间作出回应，且在任何情况下均不得影响（EU）2022/2065 号条例第 40 条第 6 款第 2 句规定的期限。如果数据提供商或首席研究员未提供所请求的信息，或未在设立地数字服务协调员规定的期限内提供，或仅提供了部分信息，设立地数字服务协调员应在（EU）2022/2065 号条例第 40 条第 6 款规定的时限内，根据在合理期限内获得的信息作出决定。

第 13 条 调解

如果数据提供商不同意设立地数字服务协调员关于修改请求的决定，可在设立地数字服务协调员根据（EU）2022/2065 号条例第 40 条第 6 款第 2 句进行沟通后五个工作日内，以书面形式请求该协调员参与调解。

设立地数字服务协调员无义务参与调解过程。

第 1 款所指的书面请求应简要描述设立地数字服务协调员根据（EU）2022/2065 号条例第 40 条第 6 款第 2 句所传达的决定中数据提供商反对的具体内容。

设立地数字服务协调员和数据提供商应在根据第 3 款提交调解请求后的 20 个工作日内，就调解员的任命达成一致并启动调解。

在同意任命调解员之前，设立地数字服务协调员应核实该调解员公正独立，并具备与第 1 款所指书面请求中描述的主题相关的专业知识。

调解的所有费用应由数据提供商承担。

设立地数字服务协调员应毫不拖延地将第 1 款所指的调解请求通知首席研究员，并可决定邀请首席研究员作为一方参与调解。如果数据访问申请已提交给研究机构的数字服务协调员，设立地数字服务协调员可邀请该研究机构的数字服务协调员参与调解过程。设立地数字服务协调员邀请参与调解的任何一方均无义务参与调解过程。

参与调解不应影响各方在调解之前、期间或之后随时提起司法程序的权利。

设立地数字服务协调员应为调解设定时限，该时限自根据第 4 款启动调解之日起不得超过 40 个工作日。

调解员可在以下情况之一时提前终止调解：

（a）一方明确请求终止调解；

（b）显然由于各方在调解过程中的行为（包括未能秉持善意参与），达成协议的可能性极小。

如果调解导致各方达成协议，设立地数字服务协调员应考虑该协议，并在适当情况下修改合理请求，同时通知首席研究员。

如果各方未能达成协议，设立地数字服务协调员应通知数据提供商，其根据（EU）2022/2065 号条例第 40 条第 6 款第 2 句最新传达的关于修改请求的决定仍然有效，并应作为流程后续步骤的相关依据，同时通知首席研究员。

设立地数字服务协调员应在 AGORA 中登记由调解员编写并经所有各方签署的调解摘要记录。该记录应包括以下信息：

（a）数据提供商提交书面调解请求的日期；

（b）各方的身份和联系详情；

（c）调解的起止日期；

（d）调解结果，包括达成的任何协议或调解终止的原因。

第 14 条 独立专家咨询

在提出合理请求或就修改请求作出决定之前，数字服务协调员可决定咨询专家。

专家应保持独立公正，具备相关专业知识和公认的技能，并有能力和资源在不造成不当延迟的情况下完成指定任务。

为证明公正性，专家应签署声明，确认：

（a）与数据提供商或申请研究人员无财务或个人关联；

（b）与数据访问流程的结果无任何利益关系；

（c）不存在任何利益冲突。

数字服务协调员应毫不拖延地在 AGORA 中记录根据第 1 款进行的任何咨询以及收到的专家意见。

第四章

向经过审核的研究人员提供所请求数据的条件

第 15 条 数据共享和数据文档

数据提供商应在以下情况发生后三个工作日内通知设立地数字服务协调员：（a）已根据合理请求向经过审核的研究人员提供所请求数据的访问权限；（b）已终止经过审核的研究人员的访问权限。

数据提供商应向经过审核的研究人员提供访问和理解所请求数据所需的任何额外信息，如编码手册、变更日志和架构文档。如果提供此类信息可能导致数据提供商服务存在重大漏洞，数据提供商应将该风险通知设立地数字服务协调员，并在可能的情况下提出替代信息。

在提供数据访问时，数据提供商不得向经过审核的研究人员施加可能阻碍相关研究开展的数据管理要求（如存档、存储、更新和删除要求）或对标准分析工具使用的限制，除非此类要求或限制在合理请求中明确提及。

在处理个人数据的情况下，数据提供商不得向经过审核的研究人员施加除合理请求中规定的条件之外的与共享个人数据处理相关的任何条件。

Delegated Act on Data Access.pdf

来源：EUROPEAN COMMISSION

时间：2025

https://digital-strategy.ec.europa.eu/en/news/commission-adopts-delegated-act-data-access-under-digital-services-act

声明：本文来自图灵财经，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。