辛小天、史蕾、周杨：追寻数据流动公平之渠——欧盟《数据法案》提案简介

数据共享中存在的技术性质障碍、不正当竞争、商业势力的不均衡等不公平问题，特别是物联网环境下制造商和设计商对数据的控制权滥用，阻碍了数据实现真正自由互通，也进而影响了市场参与者利用数据的创新开展。顺应欧盟针对数据立法提出的“保持高隐私、安全、安保和道德标准的同时，平衡数据的流动和使用”原则，欧盟委员会2月23日发布《关于公平获取和使用数据的同意法则》（《数据法案》）（提案）应对物联网产品激增的衍生数据，以可持续欧盟数字经济价值增长为目标，确保高质量的数据可以被不同领域利用。《数据法案》定性数据为非竞争性商品，通过聚焦解决数据的可互操性规则和公平、合理和非歧视性的数据共享商业合同条款原则，探索对数据访问权和使用权的最优分配。

欧盟作为数据立法的领先地区，《数据法案》以数字时代重要技术--- 物联网和云服务产生的数据资产作为切入口，重点探讨产品数据（包括个人数据和非个人数据）流通共享规则。特别是为工业数据战略（云计算和人工智能系统）、绿色交易数据空间、智能交通、电力、金融科技的数据共享互通和重复使用的迫切需求提供了更为先进和落地的指导路径，这些也是我国政策和行业目前数字经济搭建和数据利用中的焦点问题。

规制范围

规制的主体对象上，《数据法案》主要针对因物联网产品或相关服务的设计或制造而获取数据的持有人（数据持有人）。数据持有人因为商业角色和地位而事实上或法律上享有和控制更多的产品或服务的数据。但中小微企业由于其规模和能力的差距，不宜过多增加数据共享负担，因此排除在《数据法案》规制的数据持有者的法案下义务范围之外。

规制的客体对象上，《数据法案》中沿用了数据的宽泛概念，基于使用场景主要是针对物联网产品下的生成数据。《数据法案》规定的产品具有数据“主动”创作作用，即通过其组件获取、生成或收集关于其性能、用户或环境的数据，并能够通过公开提供的电子信息服务（通常称为物联网）传递这些数据的有形产品[1]。这些数据代表了用户行为和事件的数字化。对用户具有潜在价值，并能通过数据的重复利用支持保护环境、健康和循环经济和其他服务的创新和发展，包括促进相关产品的维护和修理的开展和创新。

场景上，《数据法案》列举了针对数据持有人对用户、企业和政府的三种数据共享场景，同时针对云服务和边缘服务提供商（数据处理服务提供商）数据可转换义务进行了规定。 

共享路径上，《数据法案》针对数据互操作性在各场景的实现进行了延伸。同时针对数据共享条款实现公平、合理、非歧视性的条款设置进行了要求。

主要规制场景

《数据法案》列举了针对数据持有人对用户、企业和政府的三种数据共享场景，适用规范的考量上无不体现着立法者对数据持有者商业自由以及相关方公平性的平衡性考量。

1.保障和补充用户对产品数据的访问和可移植权

《数据法案》强调购买、出租或租赁产品的企业或个人消费者（用户）应享有访问和控制其产品的数据的权利，这也与产品风险和受益权在产品购买后转移至购买人的物权法理相通。

《数据法案》针对GDPR项下个人数据主体享有的访问权和可移植权进行了拓展和补充，赋予用户访问和向第三方提供使用产品或相关服务产生的数据的权利，但此处所称的数据范围已经全面覆盖全部产品数据，包括个人数据和非个人数据，主动提供或被动观察得出的数据，也无论基于何种法律依据处理的数据。

特别是针对消费者可以享有更广泛的维修和保养等售后服务角度出发，《数据法案》增加了基于用户请求下第三方对产品数据的访问权。按照该项规定，数据持有者在收到用户请求后，应当向用户授权指定的第三方提供其设计或制造的产品产生的相关数据，而不得通过不平等合同的条款限制用户的该项权利主张。这些规定，可以解决例如车辆的售后和事故认定中用户以及第三方维修方对于车辆数据获取的合法基础和便捷性产生的现有困惑和纠纷。

另一方面，根据用户授权获取到数据的第三方也应承担一系列注意义务，包括应严格遵守用户授权、坚守最小化原则，不得损害用户的自主权、决策权或选择权，不得用暗箱模式设计欺骗或诱导用户，避免使用数据进行用户画像，目的失效后及时删除数据以及不得向数字市场法案的守门人（数据治理法规定的核心平台服务商）提供收到的数据等。

2.对中小微企业获取数据共享能力的支持

相比大型公司，中小微企业天然缺乏对数据的收集、分析和使用的能力和技能。特别是在与大型企业数据共享商业谈判上，由于实力的悬殊，完全遵守双方意思自治达成的合同条款上充斥着许多“或接受或放弃”不公平条款压榨。

《数据法案》强调避免大公司对合同自由权利的过渡滥用，规定合同最终的条款应体现双方的公平性和商业的合理性，以此提出“不公平测试”，以弥补中小微企业在合同商业谈判和专业知识方面的差距。除合同法法理上通常的不公平认定外，特别针对数据属性，《数据法案》规定如果合同条款是一方单方面施加的，则如果出现以下目的和效果，则会被认定为不公平合同条款：

 (a)允许单方面施加条款的一方在以严重损害另一缔约方合法利益的方式获取和使用另一缔约方的数据；

 (b)阻止被单方面施加条款的一方在合同期间使用该方提供或生成的数据，或限制该数据的使用，使该方无权使用、获取、访问或控制该数据或以适当的方式利用该数据的价值；

（c）阻止被单方面强加条款的一方在合同期间或合同终止后的一段合理时间内获得该方提供或生成的数据的副本；或

（d）使单方面强加条款的一方能够在不合理的短时间内通知终止合同。

合同条款是否为单方面施加的是不公平测试时的重要认定因素，《数据法案》规定如果合同条款时一方提供的，即便给予另一方协商机会，但是仍未影响内容，依然认定为条款是单方面施加的。按照不公平测试原则，合同应该明确双方权责，确保双方获取、处理、共享和存储数据的能力和权益，限制数据持有者的滥用行为，举证责任附加于更具有便利性的数据持有人身上。

3.限定企业对政府提供数据的法定义务范围

究竟哪些情况下企业必须向政府和公共机构提交数据（目的范围）是《数据法案》的探讨重点。企业向政府提供数据有着促进公共经济的基本所需，但在实施中也面临法律的不确定性、商业抑制因素和基础设施缺乏等多项阻碍性问题。明确合理的范围界定和鼓励措施的结合是《数据法案》倡导的方向。

《数据法案》规定企业向政府提供数据的法定必要性应围绕“公共紧急情况”所需，包括突发公共卫生事件、环境退化和重大自然灾害、人为引发的重大灾害（如重大网络安全事件），或者在预防公共紧急情况或协助恢复时，公共部门机构特别需要使用某些数据，但无法通过颁布新的立法或通过现有报告义务在市场上及时获得此类数据。针对其他情形（例如向政府日常报备义务和内部市场义务，或根据政府授权提供合规性验证服务），政府和公共部门收集企业数据仍应遵守商业协商的自愿准则。

目的必要性和相称性是企业向政府提供数据的第一法则，由此产生政府和公共部门应遵守透明度原则明示数据收集目的，严格按照目的使用， 对外传输提供数据时应通知数据持有者，原则上不得重复使用数据以及遵守目的消失或不再必需后，应该立即销毁数据等义务性要求。

4.增设云服务、边缘服务等数据处理服务商的数字资产转换义务

为确保用户对数据处理服务商的可转换性权利（a right to switchability），降低现有市场主导服务商对云和边缘市场的锁定效应，《数据法案》规定了云服务、边缘服务等数据处理服务商的数字资产转换义务。即企业可以要求将原服务商处的数字资产移植到其他的提供商，以及在新环境中继续使用它们。

首先需要注意的是，针对可转换性权利的规制标的，《数据法案》扩充到的更广泛的数字资产范围。数字资产超越数据本身，指客户有权使用的数字格式的元素，包括数据、应用程序、虚拟机和虚拟化技术的其他表现形式。

在可转换权的实现判定上，《数据法案》提出功能等效的原则，即原服务提供商需要提供使转换过程有效所需的所有协助和支持，满足转换后数字资产的最低水平的功能， 除非原服务提供商举证技术不可行，包括允许对可共享和分布式计算资源的可扩展和弹性池进行按需和广泛远程访问的服务。

小结

“持公平如静静湖水，主正义如滔滔江河”。在自由和公平之间的平衡和探索正是法律的意义。可以感受到《数据法案》全文力求探讨数据持有者对数据“控制与释放”的平衡，对商业自由的必要性牺牲换取数据尤其是非个人数据流动的公平性价值。通过对于产品或服务制造商和设计者的合同限定，加强对消费者权利的保护；通过不公平合同条款测试，实现对中小微企业商业利益保护；严格限定向政府提供数据的情形，平衡公共与商业利益；增设可转换权，打破平衡云和边缘巨头服务商对数据市场的技术壁垒。

另一方面，《数据法案》现有规定和界定上也存在一些值得探讨的地方。比如，《数据法案》弱化数据权属讨论，始终强调并未建立法定意义上的数据权益，并无意突破GDPR等现有个人数据的法定权责，而是关注在数据分配（体现在访问权、控制权）的实用性的重建规则上。虽然该等“软性”规定可助于缓解新法落地的接受度阻力，权属界定不突破清晰，始终未最终解决数据流通的另一重要环节—数据交易的现有障碍。另外，《数据法案》规制的产品设定为“主动”创设数据的产品，并排除了实现存储和数据处理功能的其他产品包括智能手机。但现实中智能手机本身的移动端的数据分析能力已经渐强，但是无论内置智能手机的虚拟助手，还是作为物联网设备的搭建要素都有可能存在于《数据法案》规制数据的很多交汇之处。

注释：

[1]包括车辆、家用设备和消费品、医疗和保健设备或农业和工业机械。也包括虚拟助手（可以处理需求、任务或问题的软件，包括基于音频、书面输入、手势或动作，并基于这些需求、任务或问题提供对自己和第三方服务的访问或控制自己和第三方设备）产品的与产品使用相关的数据。但不包括主要设计用于显示或播放内容，或记录或传输内容的产品，例如个人电脑、服务器、平板电脑和智能手机、照相机、网络摄像头、录音系统和文本扫描仪，需要人工输入产品的各种形式的内容，例如文本文档、声音文档、视频文件、游戏、数字地图。

或许您还想看

辛小天、周杨：算法须“讲理”——简评《互联网信息服务算法推荐管理规定》

辛小天、毕静静：元宇宙的法律问题初探

辛小天、郑茂锋：碳交易文章系列之五 | 碳中和债券发行标准探析

辛小天、周杨、史蕾：实务视野 ｜《个人信息保护法》正式稿之重点条款导览

周杨、辛小天、史蕾：《数据安全法》正式稿的概览和粗议—— 全球数据保护政策下的中国处方

辛小天、史蕾、郑茂锋：速递 | 《数据出境安全评估办法（征求意见稿）》对比版

周杨、史蕾：赴港上市无需审查？《网络安全审查办法》尚无定论

周杨：全局视野，面面俱到 ——《网络安全标准实践指南——网络数据分类分级指引》正式发布

周杨、郑茂锋：解读与脑图分解 | 《数据出境安全评估办法》（征求意见稿）

作者简介

辛小天

北京德和衡（深圳）律师事务所合伙人

数字经济与人工智能业务中心总监，网络空间安全战略与法律委员会委员，清华大学创业引导年度荣誉导师。

曾就职于MayerBrown JSM 律师事务所，美国美富律师事务所，通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。

手机：13911159437

邮箱：xinxiaotian@deheheng.com

史  蕾

北京德和衡（深圳）律师事务所合伙人

数字经济与人工智能业务中心秘书长。曾就职于环球资源（NASQ：GSOL）和奇虎360公司法务部，拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控；专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域；新三板挂牌及公司治理。

手机：15810040811

邮箱：shilei@deheheng.com

周  杨

北京德和衡律师事务所高级联席合伙人

数字经济与人工智能业务中心副总监。北京市律师协会科技与大数据法律事务专业委员会委员，互联网仲裁院副秘书长，网络空间安全战略与法律委员会委员，曾任职奇虎360法律顾问，负责多个产品线合规工作，《360隐私保护白皮书》首版撰稿人之一，多年来专注从事网络安全及相关互联网产品合规工作，极少数数据保护与法律专业的跨界律师。目前专注于金融领域、互联网高新技术领域及前沿领域研究，擅长领域主要包含数据安全保护、信息安全、GDPR、电子商务、科技金融和网络文化。

手机：18610123230

邮箱：zhouyang@deheheng.com