全部课程
法律
合规
医疗

一文了解四法对比:《数据法》、GDPR、《数据治理法》、《数据库指令》异同

2024-03-20 10:01

数据合规
352

详细内容

引言

在信息时代的今天,数据已经成为推动经济增长和社会发展的关键动力。欧盟为了有效管理和利用这一宝贵资源,各项数据相关法规纷纷出台。其中,《数据法》(Data Act)作为最新的一法律,自2024年1月11日起生效,引发了业界的广泛关注与热议。


究竟《数据法》包含哪些内容?与之前的法规相比又有何不同本文将对此进行深入剖析,旨在从点到面,为读者揭示欧盟数据治理领域的最新动向,解析新法对欧盟数字经济的意义与影响。


《数据法》包含哪些内容?

数据主体层面

  • 数据控制权强化:用户有权访问其通过联网产品或相关服务(connected product or related service,例如物联网、工业机械)生成的数据,且向第三方共享这些数据。

企业层面

  • 中小企业保护:禁止在数据共享合同中增加对一方不公平的条款,以鼓励中小企业参与数据市场。

公共部门层面

  • 公共部门数据访问机制:公共部门机构将能够在特殊情况下访问和使用私营部门掌握的数据,如为应对洪水和野火等公共紧急事件,或在执行法律命令时,所需数据通过其他途径无法轻易获得。

配套措施

  • 云转换赋予用户在各种云数据处理服务提供商之间自由切换的能力,以防止供应商锁定,促进市场竞争和选择。企业也因此可以灵活选择不同云提供商的数据服务,并且当企业和管理部门将数据和应用程序转移到不同的云提供商的成本得到有效降低。

  • 数据互操作性标准:数据法引入了一些措施,以促进数据共享和数据处理服务的互操作性标准(interoperability standards)的发展。

  • 数据保障措施:防止第三国当局非法要求转移或访问欧盟持有的非个人数据,确保数据处理环境更加可靠和安全。

推荐阅读:

欧盟重磅法律草案下载 | 为什么欧盟需要《数据法》


《数据法》与欧盟其他数据立法有哪些区别与联系?


《数据法》vs GDPR

1. 相同点有哪些?

  • 共同服务于欧洲数据战略

此外,二者均处于欧盟数据立法的大框架之下,共同服务于欧盟创建一个数据单一市场、确保欧洲的全球竞争力和数据主权的数据战略目标,二者相辅相成、齐头并进。因此,企业根据《数据法》对个人数据所作的任何处理都应遵守GDPR,促进数据的共享与流动不能成为侵犯个人信息的借口,同意仍是企业采集个人信息的原则性规则。


  • 跨境传输规定严格

在数据跨境流动方面,两者都对数据传输提出了严格的要求,确保数据的安全和数据使用的合规性。GDPR规定了个人数据传输到第三国或国际组织的规则;而《数据法》规定了非个人数据向欧盟以外的国家和地区转移的限制。


   2. 不同点有哪些?

  • 立法目的不同

GDPR聚焦于保护个人数据,强调隐私和个人权利。相较之下,《数据法》则更注重促进数据的流通与共享,旨在刺激有竞争力的数据市场。


  • 适用范围不同

GDPR适用于个人数据,而《数据法》同时适用于个人数据(如企业对消费者)和非个人数据(如企业对企业、企业对公共部门)。在这方面,《数据法》为GDPR提供了拓展和补充,使其更全面地应用于数据经济。


  • 数据主体权利的规定不同

在数据主体权利方面,GDPR强调的是个人有哪些基本权利,以及如何保护的问题,但在数据主体行权方面没有做过多描述。如,GDPR规定了访问权和数据可携带权,但什么场景下的数据可以携带、数据怎么携带、如何流动等问题并不明确。


而《数据法》赋予用户更多的数据控制权,并明确了数据允许使用及相关条件的具体规则,为用户提供了更多法律的确定性。例如,车联网汽车的车主将能够要求制造商将使用这些联网产品生成的某些数据与车主选择的维修服务共享。


然而,企业需要注意的是,在处理个人数据共享请求的过程中,数据持有者应注意判断前述数据请求是否涉及个人数据此类请求是否具有法律依据等问题。


此外,虽然《数据法》规定数据持有者(data holder)有义务应用户的要求向用户或用户选择的第三方提供个人数据。但在用户不是数据主体的情况下,《数据法》并不为企业“访问个人数据”或“第三方获取个人数据”提供法律依据,也不应被理解为它赋予数据持有者任何新的权利以使用“通过使用联网产品或相关服务而产生的个人数据”。


《数据法》vs《数据治理法》(Data Governance Act)  

    1. 相同点有哪些?

  • 适用范围和目的相同

《数据法》与《数据治理法》同属欧洲数据战略的一部分,二者均适用于个人数据和非个人数据,并以促进数据的共享和再利用为理念,以建立欧盟数据单一市场为目标


2. 不同点有哪些?

  • 内容侧重不同

《数据法》对《数据治理法》进行了补充。


《数据治理法》通过公共部门数据汇集(aggregation)、数据中介服务(data intermediation service)等规定搭建了促进公司、个人和公共部门共享数据的流程和框架,通过创造安全且便利的数据共享可信工具(trusted tool)加强个人和企业对自愿共享数据的信任。


在前述基础上,《数据法》侧重谁以及在什么条件下可以从数据中创造价值,为欧洲数据经济中的数据访问和使用提供了更为明确而公平的规则,从而实现数据价值的公平分配


举例而言,《数据治理法》数据中介机构是一个独立的第三方,可以在用户、数据接收者和第三方之间作为链接三方的桥梁,其独立性还能够保障个人数据使用的安全性,但《数据治理法》未展现太多适用场景,而这在《数据法》中可以找到,如《数据法》赋予用户与数据接收者共享非个人数据的权利,赋予联网产品的用户选择与第三方(如售后方)共享数据的权利,这些都可以通过数据中介机构来保障落实。


《数据法》vs 96/9/EC号指令《数据库指令》(Database Directive)

1996年,《数据库指令》通过,其规定,如果数据库因其内容的选择或编排而具有独创性,则应受版权保护;如果在获取、核实和呈现(obtaining, verifying and presenting)数据方面的投资巨大,非原创数据库也可以受到保护。


然而,由于物联网技术的发展和海量数据的产生,数据持有者对联网产品产生的数据可能会被认定为受《数据库指令》保护的数据库,进而对数据享有排他性的权利影响他方访问权和可携带权的行使,尤其是在《数据法》出台后规定了大量共享数据的流通与使用。


因此,《数据法》对《数据库指令》的部分方面进行了审查,明确规定数据持有者享有数据库特殊权利(sui generis database rights)不得妨碍公共机构、欧盟委员会、欧洲中央银行或欧盟机构根据《数据法》获取或共享数据的权利


结语

从微观层面看,《数据法》的出台具化了数据使用的方式与再利用的共享途径,切实实现了数据价值的公平分配,个人对数据的控制权提升,而企业可利用的数据量扩大,数据的效益再这一过程中得以最大化。为了保证前述内容的顺利落实,欧盟也关注了一些细节性问题,比如重新审查了《数据库指令》,并规定数据库权利人行权不得妨碍《数据法》的执行。


从宏观层面看,观察欧盟的立法路径,从GDPR到《数据治理法》再到《数据法》,我们可以发现,欧盟管理的数据范围从个人数据扩张到了非个人数据;欧盟管理的层面从数据保护拓展到了数据流通;欧盟管理数据的目的从个人权利的保障到促进经济的发展。表面杂乱的立法,实际上从不同的维度、领域逐渐填补了曾经数据立法缺失的大窟窿并同步增强了欧盟数据立法的布鲁塞尔效应,这从欧盟每出台一部数字法规,我国各大媒体平台必“被刷屏”即可见一斑。这一规律同样体现在本文未提及的其他诸多欧盟数据立法之中,《数据法案》的出台并非孤立的举措,而是欧盟在整个数据治理领域的战略性举措之一。这不是欧盟踏出的第一步,也不会是最后一步。


对企业而言,面对欧盟层出不穷的数据立法时,应做到持续关注、及时了解并适时对照自查,以降低违规的风险。《数据法》促进数据流通的机制,为企业提供了更多可用的数据以创造更大的数据价值,但同时带来了更多复杂的数据使用场景。企业处理数据时,可能会落入多部法律的管辖范围,在此种情形下,企业可适当拆分复杂场景,如甄别数据类型(如个人数据、非个人数据、敏感数据、儿童数据)、识别数据场景(如是否涉及跨境,属于数据共享、数据保护或兼有,事件的时间节点)等,再分阶段开展合规举措

来源:网络法实务圈

评论列表(0)
暂无提问

发表提问 取消回复

登录

客服热线:
021-621880012 ( 9:00-18:00 )

icp备案号:2022 安拓EVERPRO, 沪ICP备19019733号-2
关于我们| 我们的优势| 我们的客户| 产品与服务| 业务合作| 联系我们

安卓下载

ios下载

小程序

订阅号