5
0欧盟数据法案(自2025年9月12日生效)标志着欧洲数据经济的重大战略转型,旨在提升数据访问、可移植性和互操作性。该法案通过赋予用户对连接产品生成数据的访问权,并规范数字服务提供商之间的切换,深刻重塑了企业在欧盟内外收集、管理和共享信息的方式。本文深入探讨了该法案在实施初期引发的十个关键问题。
### 欧盟数据法案核心要义与“连接产品”定义
* 法案于2025年9月12日生效,旨在增强数据访问、可移植性和互操作性。
* “连接产品”定义宽泛,指在使用中收集或生成数据并能向外部传输(如通过Wi-Fi、蓝牙)的产品,涵盖智能家居、可穿戴设备、连接汽车和工业机械等。
* 即使产品仅偶尔连接,只要具备共享数据的能力,即属法案范围;不具备外部传输能力的设备则不在范围之内。
### 数据共享义务、技术可行性与敏感数据处理
* 组织仅需共享产品或相关服务在使用过程中直接生成的“易于获取”的原始数据(如传感器读数),不包括通过分析、聚合产生的“派生”或“推演”数据。
* 数据持有者(通常为制造商或服务提供商)需在“相关且技术上可行”的范围内提供数据,通常利用现有技术能力实现,无需从头重新设计或构建新系统。
* 涉及个人信息或商业秘密时,需尊重《通用数据保护条例》(GDPR)和商业秘密法律,并采取加密、匿名化、聚合或遮蔽等技术和组织保护措施。
### 合同条款调整与数据处理服务(DPS)的界定
* 组织需审查并修改现有合同中可能不合理限制用户数据访问权的条款,以确保符合《数据法案》要求。
* 欧洲委员会已发布非约束性的示范合同条款(MCTs),作为支持公平透明数据共享的参考,可用于商业对商业和商业对消费者关系。
* “数据处理服务”(DPS)定义基于NIST云计算模型,指提供普遍、按需网络访问可配置、可扩展计算资源的服务,涵盖IaaS、PaaS,以及部分满足特定条件的SaaS服务。
### 云服务切换机制、收费规定与互操作性要求
* 《数据法案》第25条引入了切换机制,客户可提前最多两个月通知,决定迁移至其他提供商、本地基础设施或请求删除数据,完成后合同自动终止。
* 过渡期内(2024年1月11日至2027年1月12日)允许收取与切换操作直接相关的降低费用,此后所有切换费用将全部取消;但标准服务费和合理的提前终止罚金仍允许收取。
* 提供者需满足广泛的技术和互操作性义务,包括IaaS提供商需确保目标环境的功能等效性,PaaS和SaaS提供商则需提供免费开放接口、符合标准化规范,并确保数据能以结构化、机器可读格式传输。
