欧盟Data Act中的一个疑难问题探讨

作者：袁立志

众所周知，欧盟数字立法版图中的一块重要拼图Data Act主要义务于去年9月生效了，中国出海企业，尤其是智能终端（如智能网联汽车）企业，又面临新一轮的合规压力，仿佛回到了2018年GDPR生效的时刻。

Data Act的核心规则很简单，即联网产品数据及相关服务数据的持有者，应允许用户（企业或个人）访问、使用这些数据，并在用户请求时，向用户或其指定的第三方共享这些数据。

如此规定的目的，一是破除设备制造商对设备生成数据的垄断，二是提高数据的流通利用效率，这也很好理解。为什么限定为联网产品及相关服务？是因为GDPR已为“人”的数据立规矩，而随着IoT设备的广泛应用，“物”的数据越来越多，也需要立规矩。

中国也面临类似的问题，不过与欧盟从用户权利着手的路径有所不同，中国的解决思路是，成立数据局和数据交易所，提出数据资产三权分置，推动数据确权、登记和交易。到底中欧哪条路走得通，还有待观察。

说回欧盟的Data Act。为了实现打破垄断促进流通的目的，Data Act规定数据共享是原则，不共享是例外。如何理解和适用这些例外，是我们在研究Data Act时遇到的一个难题。我们尝试对例外情形做了如下梳理，供大家讨论。

1.基于产品安全的共享例外

依据：第4条第2款

条件：共享数据可能违反欧盟或成员国法律规定的产品安全要求，对自然人健康、安全或安保造成严重不利影响

持有者权利：限制或拒绝共享

其他要求：与用户达成协议，如拒绝共享应报告主管机关

2.基于商业秘密的共享例外一

依据：第4条第7款，以及第5条第10款

条件：数据包含商业秘密，而数据持有者未与用户或第三方达成保护协议，或者用户或第三方违反保护协议

持有者权利：拒绝或暂停向用户或第三方共享构成商业秘密的数据

其他要求：通知用户或第三方，报告主管机关

3.基于商业秘密的共享例外二

依据：第4条第8款，以及第5条第11款

条件：数据持有者能够证明，即使采取保护措施，共享商业秘密数据仍然极有可能导致严重经济损失

持有者权利：基于个案拒绝共享数据

其他要求：通知用户或第三方，报告主管机关

4.基于个人数据保护的共享例外

依据：第4条第12款，以及第5条第7款

条件：用户不是所请求个人数据的数据主体，共享个人数据缺乏合法性基础

持有者权利：拒绝向用户和第三方共享相关个人数据

5.基于新产品保护的共享例外

依据：第5条第2款

条件：在尚未投放市场的新型联网产品、物质或工艺的测试过程中产生的现成可用数据

持有者权利：拒绝向第三方共享

其他要求：如第三方使用此类数据已获得合同许可，则不受此例外限制（unless their use by a third party is contractually permitted)

值得讨论的点：“第三方使用此类数据已获得合同许可”这个“例外的例外”如何理解？什么情况下会获得合同许可？与谁的合同？数据持有者吗？

6.基于守门人的共享例外

依据：第5条第3款

条件：用户指定的第三方是守门人企业（目前欧盟认定的守门人企业有七家：Alphabet（谷歌母公司），Amazon（亚马逊），Apple（苹果），ByteDance（字节跳动），Meta（元平台），Microsoft（微软），Booking（缤客，在线旅游平台））

持有者权利：拒绝向守门人企业共享数据

参考资料：目前欧盟认定的守门人企业有七家：Alphabet（谷歌母公司），Amazon（亚马逊），Apple（苹果），ByteDance（字节跳动），Meta（元平台），Microsoft（微软），Booking（缤客，在线旅游平台）

7.基于持有者规模的共享例外

依据：第7条第1款

条件：制造商或服务商是微型或小型企业，或者达到中型企业门槛未满一年，或者中型企业的联网产品投放市场未满一年

持有者权利：拒绝向用户或第三方共享数据

条件：微小型企业没有不符合微小型企业标准的关联企业、联营企业或分包商

参考资料：

微型企业：雇用人数少于10人且年营业额和/或年度资产负债表总额不超过200万欧元的企业；

小型企业：雇用人数少于50人且年营业额和/或年度资产负债表总额不超过1000万欧元的企业；

中型企业：雇用人数少于250人且年营业额不超过5000万欧元和/或年度资产负债表总额不超过4300万欧元的企业。

8.基于契约自由的共享例外

依据：序言第25条，以及Model Contractual Terms

条件：用户是企业（不能是个人用户），用户与持有者达成协议，且用户获得合理补偿

持有者权利：可不向用户或第三方共享数据

其他要求：不能限制用户对数据的访问权；不得对用户造成不利影响（仅仅获得补偿本身不足以认定不会对用户造成不利影响），且不得完全剥夺用户在Data Act下的权利；该等对用户权利的限制需有范围或时间上的限定；补偿应当与所施加的限制相称。

值得讨论的点：Data Act的基调是数据共享，这里允许企业用户以获得补偿为对价，放弃数据共享要求，虽则出于双方合意，且限于企业用户（防止数据持有者利用优势地位压迫个人用户），但毕竟此例外不是写在正文条款中，而只是在序言第25条提到，且用语含糊，能否适用，如何适用，需要探讨。

参考资料：

Data Act序言第25条英文原文：……This Regulation does not prevent users,in the case of business-to-business relations, from making data available to third parties or data holders under any lawful contractual term, including by agreeing to limit or restrict further sharing of such data, or from being compensated proportionately, for example in exchange for waiving their right to use or share such data. ……

声明：本文来自减熵实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。