-
专利
-
商标
-
版权
-
商业秘密
-
反不正当竞争
-
植物新品种
-
地理标志
-
集成电路布图设计
-
技术合同
-
传统文化
律师动态
更多 >>知产速递
更多 >>审判动态
更多 >>案例聚焦
更多 >>法官视点
更多 >>裁判文书
更多 >>目 录
鉴于
第一章 一般规定
第1条 主题和范围
第2条 定义
第二章 重新使用公共部门持有的某些类别的受保护数据
第3条 数据的类别
第4条 禁止排他性安排
第5条 重用的条件
第6条 费用
第7条 主管机构
第8条 统一信息发布机构
第9条 重用申请程序
第三章 对数据中介服务的要求
第10条 数据中介服务
第11条 数据中介服务提供者的告知
第12条 提供数据中介服务的条件
第13条 数据中介服务主管部门
第14条 合规监管
第15条 例外
第四章 数据利他主义
第16条 数据利他主义的国家安排
第17条 被认可的数据利他主义组织的登记簿
第18条 登记的一般要求
第19条 被认可的数据利他主义组织的登记
第20条 透明度要求
第21条 保障数据主体和数据持有者数据上权益的具体要求
第22条 规则手册
第23条 数据利他主义组织登记的主管机构
第24条 合规监管
第25条 欧洲数据利他主义同意书
第五章 主管机关和程序性规定
第26条 与主管机关相关的要求
第27条 申诉权
第28条 获得有效的司法救济的权利
第六章 欧洲数据创新委员会
第29条 数据创新委员会
第30条 欧洲数据创新委员会的任务
第七章 国际访问和传输
第31条 国际访问和传输
第八章 授权及委员会程序
第32条 授权的行使
第33条 委员会程序
第九章 最终及过渡条款
第34条 处罚
第35条 评估与审查
第36条 (EU)2018/1724号条例
第37条 过渡性安排
第38条 生效与适用
欧洲议会2022年4月6日关于欧洲议会和欧洲理事会
数据治理条例提案(数据治理法)
的立法决议
(普通立法程序:一读)
欧洲议会,
- 考虑到委员会向议会和理事会提出的建议(COM(2020)0767),
- 考虑到《欧盟运作条约》第294(2)条和第114条,根据这两条,委员会向议会提交了提案(C90377/2020),
- 考虑到《欧盟运作条约》第294(3)条,
-考虑到欧洲经济和社会委员会2021年4月27日的意见,
-在咨询地区委员会后,
-考虑到负责委员会根据其议事规则第74(4)条批准的临时协议,以及理事会代表在2021年12月15日的函件中承诺根据《欧盟运作条约》第294(4)条批准议会的立场,
-考虑到其议事规则第59条,
- 考虑到内部市场和消费者保护委员会、法律事务委员会和公民自由、司法和内政事务委员会的意见,
- 考虑到工业、研究和能源委员会(A90248/2021)的报告,
1. 在一读时采取以下立场:
2. 呼吁委员会如果取代、大幅度修改或打算大幅度修改其提案,则将此事再次提交议会;
3.指示其主席向理事会、委员会和各国议会转达其立场。
欧洲议会的立场于2022年4月6日一读通过,目的是通过欧洲议会和欧洲委员会关于欧洲数据治理的第(EU) 2022/…号条例,并修正(EU)第2018/1724号条例(《数据治理法》)
(与EEA相关的文本)
欧洲议会和欧盟理事会,
考虑到《欧盟运作条约》,特别是其中第114条,
考虑到欧洲委员会的提议,
将立法草案提交国家议会后,
考虑到欧洲经济和社会委员会的意见(1),
在咨询了各区域委员会后,
根据普通立法程序,
鉴于:
(1)《欧盟运作条约》(TFEU)规定建立一个内部市场,并建立一个确保内部市场的竞争秩序不被扭曲的制度。在成员国建立与发展数据治理框架有关的通用规则和实践应有助于实现这些目标,同时充分尊重基本权利。它还应保证加强欧盟的开放战略自主权,同时促进数据的跨境自由流动。
(2)在过去十年中,数字技术改变了经济和社会,影响了所有的活动和日常生活。数据是这一转型的核心:数据驱动的创新将为欧盟公民和经济带来巨大的利益,例如,改善医疗并使医疗个性化,提供新的流动性,并为委员会于2019年12月11日关于欧洲绿色交易的通信作出贡献。为了使数据驱动的经济对所有欧盟公民具有包容性,必须特别注意缩小数字鸿沟,促进女性参与数据经济,并在技术领域培养欧洲尖端人才。数据经济的建立必须使企业,特别是委员会第2003/361/EC号建议附件中定义的微型、小型和中型企业(SMEs)以及初创企业能够蓬勃发展,确保数据访问的中立性和数据可携性及互操作性,并避免锁定效应。在2020年2月19日关于“欧洲数据战略”的通信中,委员会描述了一个欧洲共同数据空间的愿景,这意味着打造一个数据内部市场,其中数据可以在合规的情况下被使用,而不论其在欧盟境内的物理存储位置如何,这对于人工智能技术的快速发展尤其关键。委员会还呼吁与第三国进行自由和安全的数据流动,但为了公共安全、公共秩序和欧盟其他合法的公共政策目标,应根据国际义务,包括基本权利,作出例外性规定和限制性规定。为了将这一愿景变为现实,委员会提议建立特定领域的欧洲共同数据空间,用于数据分享和数据汇集。正如欧洲数据战略所建议的,这种共同的欧洲数据空间可以涵盖健康、移动、制造业、金融服务、能源或农业等领域,或这些领域的组合,例如能源和气候,以及欧洲绿色交易或欧洲公共管理或技能的数据空间等专题领域。欧洲共同数据空间应使数据可查找、可访问、可互操作和可重复使用(“FAIR”数据原则),同时确保高水平的网络安全。在数据经济中存在公平竞争的地方,企业的竞争在于服务质量,而不是他们控制的数据量。为了设计、创造和维护数据经济中的公平竞争环境,需要健全的治理,欧洲共同数据空间的相关利益相关者需要参与其中并有代表。
(3)有必要改善内部市场数据分享的条件,为数据交换创建一个统一的框架,并为数据治理制定某些基本要求,特别注意促进成员国之间的合作。本条例应旨在进一步发展无边界的数字内部市场,以及以人为本、值得信赖和安全的数据社会和经济。具体领域的欧盟法律可以根据该领域的具体情况,制定、修改和提出新的补充内容,例如设想的关于欧洲健康数据空间和获取车辆数据的欧盟法律。此外,某些企业(sectors of the economy)已经受到针对具体领域的欧盟法律的监管,其中包括与跨境或跨欧盟分享或获取数据有关的规则,例如欧洲议会和理事会在欧洲健康数据空间方面的第2011/24/EU号指令,以及运输领域的相关立法,例如欧洲议会和理事会在欧洲流动数据空间方面的第2019/1239号和2020/1056号条例以及第2010/40/EU号指令。因此,本条例应不妨碍(EU)第223/2009、2018/858和2018/1807以及第2000/31/EC、2001/29/EC、2004/48/EC、2007/2/EC、2010/40/EU号条例。(EU)第2015/849、2016/943、2017/1132、2019/790和2019/1024号条例以及任何其他规范数据访问和重新使用的特定部门的欧盟法律。本条例不应妨碍欧盟及成员国关于为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚的目的获取和使用数据的法律,以及这方面的国际合作。本条例不应损害成员国在公共安全、国防和国家安全活动方面的权限。本条例不应涵盖因上述原因而受到保护并由公共部门持有的数据的重用,包括(EU)第2009/81/EC号指令范围内的采购程序的数据。应建立一个横向机制,用于重用公共部门持有的某些类别的受保护数据,在欧盟内提供数据中介服务和基于数据利他主义的服务。不同部门的具体特点可能需要设计基于部门数据的系统,同时以本条例的要求为基础。符合本条例要求的数据中介服务提供者应该能够使用“欧盟认可的数据中介服务提供者”标签。寻求通过提供基于大规模数据利他主义的相关数据来支持一般利益目标的法人,如果符合本条例规定的要求,应能够登记并使用“联盟认可的数据利他主义组织”标签。如果特定部门的欧盟或成员国法律要求公共部门、此类数据中介服务提供者或此类法人(被认可的数据利他主义组织)遵守特定的附加技术、行政或组织要求,包括通过授权或认证制度,则特定部门的欧盟或成员国法律的规定也应适用。
(4)本条例不应影响欧洲议会和理事会的(EU)第2016/679和 2018/1725号条例以及欧洲议会和理事会的2002/58/EC和2016/680指令和成员国法律的相应规定,包括数据集中的个人和非个人数据不可分割地联系在一起的情况。特别是,本条例不应被理解为为任何受监管活动的个人数据处理创造了新的法律依据,也不应被理解为修订了(EU)2016/679号条例中规定的信息要求。本条例的实施不应妨碍根据(EU)2016/679号条例第五章进行的数据跨境转移。如果本条例与关于保护个人数据的欧盟法律或根据该欧盟法律通过的成员国法律发生冲突,应以关于保护个人数据的相关欧盟法律或成员国法律为准。应该可以将数据保护机构视为本条例规定的主管机构。如果其他机构根据本条例规定行使主管机构的职能,则应在不影响(EU)2016/679号条例规定的数据保护机构的监督权力和权限的情况下进行。
(5)有必要在欧盟层面采取行动,通过建立适当的机制,让数据主体和数据持有者对与他们有关的数据进行控制,以增加对数据分享的信任,并解决其他阻碍数据驱动的经济良好运作和竞争的障碍。这一行动应不影响欧盟缔结的国际贸易协定中的义务和承诺。整个欧盟的治理框架的目标应该是在个人和企业之间建立与数据访问、控制、分享、使用和重用有关的信任,特别是通过建立适当的机制,让数据主体了解和有意义地行使他们的权利,以及关于公共部门持有的某些类型数据的重用,数据中介服务提供者向数据主体、数据持有者和数据使用者提供的服务,以及自然人和法人为利他目的提供的数据收集和处理方面。特别是,在数据使用目的和企业存储数据的条件方面提高透明度,有助于增加信任。
(6)公共部门或其他实体以公共预算为代价生成或收集的数据应造福社会,这一理念长期以来一直是欧盟政策的一部分。(EU)第2019/1024号指令和特定部门的欧盟法律确保公共部门使其产生的更多数据易于使用和重用。然而,公共数据库中的某些类别的数据,如保密商务数据、受统计保密约束的数据和受第三方知识产权保护的数据(包括商业秘密和个人数据)往往不可用,甚至不用于公共利益的研究或创新活动,尽管根据适用的欧盟法律,特别是(EU)第2016/679号条例和第2002/58/EC号指令以及第2016/680号指令,这种可用性是可能的。由于此类数据的敏感性,在提供此类数据之前,必须满足某些技术和法律程序要求,尤其是为了确保尊重他人对此类数据的权利,或限制对基本权利、不歧视原则和数据保护的负面影响。满足这些要求通常需要大量时间和知识。这导致此类数据没有得到充分利用。虽然一些成员国正在建立结构、流程或立法来促进这种类型的重用,但整个欧盟的情况并非如此。为了促进私营部门和公共部门利用数据进行欧洲研究和创新,需要在整个欧盟范围内明确访问和使用此类数据的条件。
(7)有一些技术能够对包含个人数据的数据库进行分析,如匿名化、差别隐私、概括化、抑制和随机化、使用合成数据或类似方法以及其他最先进的隐私保护方法,这些都有助于对数据进行更加隐私友好的处理。成员国应向公共部门提供支持,以最佳方式利用此类技术,从而使尽可能多的数据可供分享。这类技术的应用,加上全面的数据保护影响评估和其他保障措施,有助于安全地使用和重用个人数据,并应确保为研究、创新和统计目的安全的重用保密商务数据。在许多情况下,这些技术、影响评估和其他保障措施的应用意味着数据只能在公共部门提供或控制的安全处理环境中使用和重用。在欧盟层面上,在欧盟委员会第557/2013号条例的基础上,有这种安全处理环境用于统计微观数据研究的经验。一般来说,就个人数据而言,个人数据的处理应基于(EU)第2016/679号条例第6条和第9条规定的一个或多个数据处理的法律依据(legal bases)。
(8)根据(EU)第2016/679号条例,数据保护原则不应适用于匿名信息,即不涉及已识别或可识别的自然人的信息,或以匿名方式使数据主体无法或不再可识别的个人数据。应禁止从匿名的数据集中重新识别数据主体。这不应妨碍对匿名化技术进行研究的可能性,特别是为了确保信息安全、改进现有的匿名化技术和促进匿名化的整体稳健性,这是按照(EU)第2016/679号条例进行的。
(9)为了促进对个人数据和机密数据的保护,并加快根据本条例提供此类数据以供重用的进程,成员国应鼓励公共部门根据(EU)第2019/1024号指令第5条第2款提到的“设计开放和默认开放”的原则创建和提供数据,并促进以有利于匿名化的格式和结构创建和采购数据。
(10)根据本条例,公共部门持有的可重复使用的数据类别不属于(EU)第2019/1024号指令的范围,该指令排除了因商业和统计保密而无法访问的数据,以及包含在第三方拥有知识产权的作品或其他主题中的数据。保密商务数据包括受商业秘密保护的数据、受保护的专有技术以及任何其他信息,不当披露这些信息会对企业的市场地位或财务健康产生影响。本条例应适用于(EU)第2019/1024号指令范围之外的个人数据,只要访问制度出于数据保护、隐私和个人完整性的原因排除或限制对这些数据的访问,特别是根据数据保护规则。对可能包含商业秘密的数据的重用,应在不影响(EU)第2016/943号指令的情况下进行,该指令规定了合法获取、使用或披露商业秘密的框架。
(11)本条例不应设定义务,允许重新使用公共部门持有的数据。特别是,每个成员国都应该能够决定是否允许数据被重新使用,以及这种访问的目的和范围。本条例应补充并不影响欧盟或成员国针对具体领域的法律中规定的公共部门允许重新使用数据的具体义务。公众对官方文件的获取可能被认为是符合公共利益的。考虑到公众获取官方文件和透明度在民主社会中的作用,本条例也应不影响欧盟或成员国法律关于允许获取和披露官方文件的规定。特别是,可根据成员国法律批准访官方文件,而不附加具体条件或附加本条例未规定的具体条件。
(12)本条例规定的重用制度应适用于公共部门依成员国法或其他有约束力规则规定的公共任务而供应的数据。如果没有此类规则,公共任务应根据成员国通用的行政惯例来定义,但公共任务的范围必须透明并接受审查。公共任务可以一般性的界定,也可以针对个别公共部门逐一界定。由于公共部门的定义不包括公共事业单位,因此公共事业单位持有的数据不应包括在本条例中。文化机构(如图书馆、档案馆和博物馆,以及管弦乐队、歌剧、芭蕾舞团和剧院)以及教育机构所持有的数据不应包括在本条例中,因为它们所持有的作品和其他文件主要由第三方知识产权所涵盖。执行研究组织和资助研究组织可以是公共部门或受公法管辖的机构。本条例应仅适用于此类混合组织作为执行研究组织的身份。如果研究型组织持有的数据是与私营部门组织或其他公共部门、受公法管辖的机构或混合研究型组织(即作为公共部门或公共事业组织)的特定公私联合的一部分,其主要目的是进行研究,这些数据也不应包括在本条例中。在相关情况下,成员国应能将本条例适用于履行公共部门职责或提供公益服务的公共事业单位或私营企业。欧盟内公共部门之间或欧盟公共部门与第三国或国际组织的公共部门之间纯粹为执行公共任务而进行的数据交换,以及研究人员之间为非商业性的科学研究目的进行的数据交换,不应受本条例中有关公共部门持有的某些受保护类别数据重用规定的约束。
(13)公共部门在制定其持有数据的重用原则时应遵守竞争法,避免缔结可能以创造重用某些数据的专有权为目的或效果的协议。只有在为公共利益提供服务或产品的情况下,才有可能达成这种协议。在这种情况下,数据的排他性使用是发挥数据社会效益最大化的唯一途径,例如,只有一个实体(专门处理特定的数据集)能够提供服务或提供产品,使公共部门能够为公众利益提供服务或提供产品。然而,这种安排应根据适用的欧盟或成员国法律订立,并根据市场分析进行定期审查,以确定这种排他性是否仍有必要。此外,这种安排应酌情遵守相关的国家援助规则,并应在有限的期限内缔结,不应超过12个月。为了确保透明度,此类排他性协议应以符合相关欧盟公共采购法的形式在线公布。如果重用数据的排他性权利不符合本条例的规定,该排他性权利应当无效。
(14)在本条例生效之日前已签订或已实施的有关禁止重用公共部门所持有数据的排他性协议和其他做法或安排,如果没有明确授予排他性权利,但可以合理的预期会限制数据重用,在其期限届满后不应再续签。如果是无限期或更长期的协议,应在本条例生效之日起30个月内终止。
(15)本条例应规定重用受保护数据的条件,这些条件适用于根据成员国法律被指定为有权准许或拒绝访问重用的公共部门,并且不影响有关访问此类数据的权利或义务。这些条件应该是非歧视性的、透明的、相称的和客观合理的,同时不限制竞争,并特别注重促进中小企业和初创企业对这些数据的使用。重用的条件应以促进科学研究的方式来设计,因此,例如,优先考虑科学研究应被认为是非歧视性的。允许重用的公共部门应具备必要的技术手段,以确保对第三方权益的保护,并应有权要求重用者提供必要的信息。数据重用的附加条件应限于为维护第三方对数据的权益以及公共部门的信息技术和通信系统的完整性所需。公共部门应采用最符合重用者利益的条件,且不对公共部门造成过重负担。对数据的重用所附加的条件,应确保在保护个人数据方面的有效保障。在传输之前,个人数据应被匿名化,以便不允许识别数据主体,并且保密商务数据应该以不泄露机密信息的方式进行修改。如果提供匿名或修改后的数据不能满足重用者的需求,则根据(EU)第2016/679号条例第35条和第36条,在满足执行数据保护影响评估和咨询监管机构任何要求的前提下,如果发现对数据主体权益的风险极小,则可以允许在安全的处理环境中对数据进行内部或远程重新使用。这可能是重用假名数据的合适安排。在这种安全处理环境中的数据分析应受到公共部门监督,以保护第三方权益。特别是,只有在数据保护法规定的法律依据允许的情况下,才能将个人数据传输给第三方进行重用。只有在没有理由相信非个人数据集的组合会导致识别数据主体的情况下,才应传输非个人数据。这也应适用于假名数据。在重新识别数据主体的情况下,除了根据(EU)第2016/679号条例向监管机构和数据主体告知此类数据违规的义务之外,还应适用向公共部门告知此类数据违规的义务。在相关情况下,公共部门应通过适当的技术手段,在数据主体同意或数据持有者允许重用与他们有关的数据的基础上,促进数据的重用。在这方面,公共部门应在实际可行的情况下,通过建立技术机制,允许传输来自重用者的同意或许可请求,为潜在的重用者寻求这种同意或许可提供最大的帮助。不应提供允许重用者直接联系数据主体或数据持有者的联系信息。在公共部门传输同意或许可请求时,应确保明确告知数据主体或数据持有者可以拒绝同意或许可。
(16)为了促进和鼓励将公共部门持有的数据用于科学研究目的,鼓励公共部门制定统一的方法和统一的流程,使这些数据易用于符合公众利益的科学研究目的。这可能意味着,除其他外,创建简化的行政程序、标准化的数据格式、关于方法和数据收集选择的信息性元数据以及标准化的数据字段,以便能够在与分析目的相关的情况下,方便地连接来自不同公共部门数据源的数据集。这些做法的目的应根据“尽可能开放,必要时封闭”的原则,促进公共资助和生产的数据用于科学研究。
(17)第三方知识产权不应受到本条例的影响。该条例既不应影响公共部门的知识产权,也不应以任何方式限制这些权利的行使。根据本条例规定的义务只有在符合保护知识产权的国际协议,特别是《伯尔尼保护文学和艺术作品公约》(伯尔尼公约)、《与贸易有关的知识产权协议》(TRIPS协议)和《世界知识产权组织版权条约》(WCT),以及欧盟或成员国知识产权法的情况下才适用。然而,公共部门应当以有利于重用的方式行使其版权。
(18)受知识产权和商业秘密保护的数据只能在根据欧盟或成员国法律或在权利持有人同意的情况下合法传输给第三方。如果公共部门拥有(EU)第96/9/EC号指令第7条第1款中规定的数据库制作者权,则公共部门不应行使该权利来阻止数据的重用,或限制超出本条例规定范围的重用。
(19)企业和数据主体应当能够相信,公共部门持有的某些受保护类别数据的重用将会以尊重其权益的方式进行。因此,对于在公共部门之外处理数据的基础上重新使用此类公共部门数据的情况,应当制定额外的保障措施,例如要求公共部门确保在所有情况下(包括将此类数据转移到第三国的情况下),充分保护自然人和法人的权益,特别是保护个人数据、商业敏感数据和知识产权。公共部门不应允许保险公司或任何其他服务提供者在定价时出于歧视目的重新使用电子保健应用程序中存储的信息,因为这将违背获得健康的基本权利。
(20)此外,为了维护公平竞争和开放的市场经济,最重要的是保护非个人性质的数据,特别是商业秘密,但也包括其内容受知识产权保护的非个人数据,防止可能导致盗窃知识产权或工业间谍活动的非法访问。为了确保数据持有者的权益得到保护,应该可以将根据欧盟或成员国法律应受保护的、由公共部门持有的非个人数据转移到第三国,但必须为数据的使用提供适当的保障措施。这种适当的保障措施应包括要求公共部门只有在重用者作出有利于保护数据的合同承诺时,才将受保护的数据传输给重用者。打算将受保护数据转移到第三国的重用者应遵守本条例规定的义务,即使在数据被转移到第三国之后。为确保这些义务的正确执行,重用者也应接受允许重用的公共部门所在成员国的司法管辖,以解决争端。
(21)如果在作为非个人数据接收国的第三国有相应的措施,确保数据受益于类似欧盟法律的保护水平,特别是在保护商业秘密和知识产权方面,则也应考虑实施适当的保障措施。为此,委员会应该能够通过实施性法案宣布,在欧盟范围内有大量关于在特定第三国重用非个人数据的请求并有正当理由,那么第三国提供的保护水平基本上等同于欧盟法律提供的保护。委员会应在成员国通过欧洲数据创新委员会提供的信息基础上,评估此类实施性法案的必要性。这种实施性法案将向公共部门保证,重新使用公共部门在有关第三国持有的数据不会损害该数据的受保护性质。
对有关第三国提供的保护水平的评估应特别考虑到有关的一般法律和部门法律,包括关于公共安全、国防、国家安全和刑事法律,涉及对非个人数据的访问和保护,以及该第三国的公共部门对所转让数据的任何访问。第三国存在一个或多个独立的监督机构并有效运作,负责确保访问此类数据的法律制度得以遵守,第三国关于数据保护的国际承诺,或因具有法律约束力的公约或文书以及参与多边或区域体系而产生的其他义务。在向第三国转让非个人数据的情况下,有关第三国的数据持有者、公共部门或数据中介服务提供者是否存在有效的法律补救措施尤为重要。因此,这种保障措施应包括提供可执行的权利和有效的法律补救措施。这种实施行为应不影响重用者为保护非个人数据,特别是工业数据而已经承担的任何法律义务或合同安排,也不影响公共部门根据本条例要求重用者遵守重用条件的权利。
(22)一些第三国通过法律、法规和其他法案,旨在直接转移或提供政府对欧盟中受成员国管辖的自然人和法人控制的非个人数据的访问权。第三国法院或法庭的决定和判决,或第三国行政机关的决定要求非个人数据的转移或访问,如果是基于国际协议(如司法互助条约),在提出请求的第三国和欧盟之间或成员国之间生效,则应可执行。在某些情况下,可能会出现这样的情况:第三国法律规定的转让或提供访问非个人数据的义务与欧盟层面或成员国法律规定的保护此类数据的竞争义务相冲突,特别是在保护个人的基本权利或与国家安全或国防有关的成员国基本利益方面,以及在保护商业敏感数据和保护知识产权方面,包括根据此类法律关于保密的合同承诺方面。在没有国际协议规范这些事项的情况下,只有在以下情况下才允许转让或访问非个人数据:特别是已经核实第三国的法律制度要求说明决定或判决的理由和相称性,决定或判决具有特定性质,收件人的合理反对意见须经第三国主管法院或法庭审查,该法院有权适当考虑此类数据提供者的相关法律利益。此外,公共部门、被授予数据重用权的自然人或法人、数据中介服务提供者和被认可的数据利他主义组织,在与其他私人方签署合同协议时,应确保在欧盟内持有的非个人数据只能根据欧盟法律或相关成员国的国家法律在第三国访问或转移。
(23)为了促进对欧盟数据经济的进一步信任,必须执行与欧盟公民、公共部门和企业有关的保障措施,确保对其战略和敏感数据的控制,并在安全、数据保护和消费者保护方面维护欧盟法律、价值观和标准,但不限于此。为了防止非法访问非个人数据,公共部门、被授予数据重用权的自然人或法人、数据中介服务提供者和被认可的数据利他主义组织应采取一切合理措施(包括数据加密或企业政策),防止访问存储非个人数据的系统。为此,应确保公共部门、获得数据重用权的自然人或法人、数据中介服务提供者和被认可的数据利他主义组织遵守欧盟层面的所有相关技术标准、行为准则和认证。
(24)为了建立对重用机制的信任,可能有必要对某些类型的非个人数据附加更严格的条件,这些数据在未来具体的欧盟立法行为中可能被确定为高度敏感的数据,如果这种转移可能危及欧盟的公共政策目标,则应符合国际承诺。例如,在健康领域,公共健康系统的参与者,如公立医院,所持有的某些数据集可被确定为高度敏感的健康数据。其他相关部门包括交通、能源、环境和金融。为了确保整个欧盟范围内的统一做法,这类高度敏感的非个人公共数据应该由欧盟法律来界定,例如在欧洲健康数据空间或其他部门法律的范围内。向第三国转移此类数据的附加条件应在授权法案中加以规定。这些条件应该是相称的、非歧视性的,并且是保护合法的欧盟公共政策目标所必需的,如保护公共健康、安全、环境、公共道德、消费者保护、隐私和个人数据保护。这些条件应与所确定的与这些数据的敏感性有关的风险相对应,包括在重新识别个人身份的风险方面。这些条件可以包括适用于转让或技术安排的条款,如要求使用安全的处理环境,对在第三国重新使用数据的限制,或有权将这些数据转移到第三国或在第三国访问数据的人员类别。在特殊情况下,这些条件还可以包括限制将数据转移到第三国以保护公共利益。
(25)公共部门应该能够对数据的重用收取费用,但也可以减免费用甚至免费,例如对某些类别的重用,如出于科学研究目的的非商业性重用,或中小企业和初创企业、民间社会和教育机构的重用,以便根据国家援助规则,为这种重用提供激励,以刺激研究和创新,支持那些作为创新的重要来源、通常认为自己更难以收集相关数据的企业。在这种特定情况下,科学研究目的应被理解为包括任何类型的研究相关目的,无论有关研究机构的组织或财务结构如何,但企业为开发、增强或优化产品或服务而开展的研究除外。这种收费应该是透明的、非歧视性的,仅限于所发生的必要费用,并且不应该限制竞争。应公布适用折扣费或不收费的重用者类别清单,以及确定该清单所使用的标准。
(26)为了激励公共部门持有的特定类别数据的重用,成员国应建立一个统一信息发布机构,作为寻求重用该数据的重用者的接口。它应该有一个跨领域的职权范围,必要时应该补充部门层面的安排。统一信息发布机构在传递查询或重用请求时,应能依靠自动化手段。在传输过程中,应确保有足够的人力监督。为此,可以使用现有的实际安排,如开放数据门户网站。统一信息发布机构应有一份资产清单,其中载有所有可用数据资源的概览,包括在相关情况下部门、区域或地方信息点可用的数据资源,以及描述可用数据的相关信息。此外,成员国应指定、建立或促进建立主管机构,以支持公共部门的活动,允许重新使用某些类别的受保护数据。他们的任务可能包括在部门联盟或成员国法律规定的情况下,允许访问数据。这些主管机构应向公共部门提供最先进的技术援助,包括如何以最佳方式构建和存储数据,使数据易于获取,特别是通过应用程序接口,以及使数据具有互操作性、可转移性和可搜索性,同时考虑到数据处理的最佳实践,以及任何现有的监管和技术标准和安全的数据处理环境,允许以保护信息隐私的方式进行数据分析。主管机构应按照从公共部门收到的指示行事。这种协助结构可以帮助数据主体和数据持有者关于重用的同意或许可,包括在符合被认可的科学研究道德标准的情况下对某些科学研究领域的同意和许可。主管机构不应具有监督职能,根据(EU)第2016/679号条例,监督机构才具有监督职能。在不影响数据保护机构监督权力的情况下,数据处理应在负责载有数据的登记簿的公共部门的负责下开展,就个人数据而言,该机构仍然是(EU)第2016/679号条例所定义的数据控制者。成员国应该能够有一个或多个主管机构,它们可以在不同的部门采取行动。公共部门的内部服务也可以作为主管机构。主管机构可以是协助其他公共部门在相关情况下允许重新使用数据的公共部门,也可以是允许重新使用的公共部门本身。协助其他公共部门应根据要求向他们介绍如何满足本条例要求的最佳做法,如提供安全处理环境的技术手段,或在提供本条例范围内的数据重用时确保隐私和保密的技术手段。
(27)数据中介服务有望在数据经济中发挥关键作用,特别是在支持和促进企业之间的自愿数据分享实践,或在欧盟层面或成员国法律规定的义务背景下促进数据分享。数据中介可以成为促进大量相关数据交流的工具。数据中介服务提供者(可能包括公共部门)提供连接不同参与者的服务,有可能为有效汇集数据和促进双边数据共享作出贡献。独立于数据主体、数据持有者和数据使用者的专业化数据中介服务,可以对新数据驱动生态系统的出现发挥促进作用,独立于任何具有相当程度的市场力量的参与者,同时允许各种规模的企业,特别是财务、法律或行政手段有限的中小企业和初创企业无歧视地进入数据经济。这在建立欧洲公共数据空间的背景下尤为重要,即针对特定目的或部门或跨部门的共同标准和做法的互操作框架,以分享或联合处理数据,特别是开发新产品和服务、科学研究或民间社会倡议。数据中介服务可包括双边或多边的数据分享,或创建平台或数据库,使数据得以分享或联合使用,以及建立具体的基础设施,将数据主体和数据持有者与数据使用者联系起来。
(28)本条例应涵盖旨在通过技术、法律或其他手段在数量不确定的数据主体和数据持有者与数据使用者之间建立数据分享的商业关系的服务,包括数据主体行使与个人数据有关的权利。在企业或其他实体提供多种数据相关服务的情况下,只有直接涉及提供数据中介服务的活动才应被本条例所涵盖。提供云存储、分析、数据共享软件、网络浏览器、浏览器插件或电子邮件服务不应视为本条例所指的数据中介服务,条件是这些服务只为数据主体或数据持有者提供技术工具,以便与他人分享数据,但提供这些工具的目的既不是在数据持有者和数据使用者之间建立商业关系,也不是允许数据中介服务提供者为数据分享的目的获取建立商业关系的信息。数据中介服务的例子包括数据市场(企业可以在上面向他人提供数据);向所有相关方开放的数据分享生态系统的协调者(例如欧洲公共数据空间);以及由几个法人或自然人联合建立的数据池,目的是向所有相关方许可使用这些数据池,所有为数据池作出贡献的参与者将获得奖励。这将排除以下服务:从数据持有者那里获取数据,为了给数据增加实质性价值而汇总、丰富或转换数据,并向数据使用者发放使用所得数据的许可,而不在数据持有者和数据使用者之间建立商业关系。这也将排除专门由一个数据持有者使用的服务,以便能够使用该数据持有者持有的数据,或由多个法人在一个封闭的团体中使用的服务,包括供应商或客户关系或通过合同建立的合作,特别是那些以确保连接到物联网的物体和设备的功能为主要目标的服务。
(29)专注于受版权保护的内容中介的服务,如(EU)第2019/790号指令第2条第6项中定义的在线内容共享服务提供者,不应包含在本条例中。欧洲议会和理事会(EU)第600/2014号条例第2条第1项和第35项定义的综合磁带提供者和欧洲议会和理事会(EU)第2015/2366号指令第4条第19项定义的账户信息服务提供者不应视为本条例的数据中介服务提供者。本条例不适用于公共部门为促进公共部门根据本条例持有的受保护数据的重用或任何其他数据的使用而提供的服务,前提是这些服务不以建立商业关系为目的。受本条例监管的数据利他主义组织不应被视为提供数据中介服务,前提是这些服务不会在潜在数据使用者与出于利他目的提供数据的数据主体和数据持有者之间建立商业关系。其他不以建立商业关系为目的的服务,如旨在根据开放访问原则实现科学研究数据重用的存储库,不应被视为本法规意义上的数据中介服务。
(30)数据中介服务的一个具体类别包括向数据主体提供服务的服务提供者。此类数据中介服务提供者寻求增强数据主体的代理,尤其是个人对与其相关的数据的控制。此类提供者将协助个人行使其在(EU)第2016/679号条例下的权利,特别同意(权)和同意撤销权、访问权、更正权、删除权或被遗忘权、限制处理权以及可携权。在这种情况下,重要的是,此类提供者的商业模式应确保不存在不正当的动机,鼓励个人使用此类服务,使更多与他们相关的数据可供处理,而这超出了个人的利益。这可能包括就个人数据的可能用途向个人提出建议,并在数据使用者接触数据主体之前,允许数据主体对数据使用者进行尽职调查,以避免欺诈行为。在某些情况下,为了最大限度地保护个人数据和隐私,可能需要在个人数据空间内核对实际数据,以便在该空间内进行处理,而不会将个人数据传输给第三方。这种个人数据空间可以包含静态个人数据,如姓名、地址或出生日期,以及个人通过例如使用在线服务或连接到物联网的对象生成的动态数据。它们还可用于存储经过验证的身份信息,如护照号码或社会保障信息,以及驾驶执照、文凭或银行账户信息等凭证
(31)数据合作寻求实现一些目标,特别是加强个人在同意使用数据之前做出知情选择的地位,影响数据使用者对数据使用的条款和条件,以便为群体中的个人成员提供更好的选择,或者在数据涉及该群体中的几个数据主体时,可能找到解决群体中个人成员在如何使用数据上的冲突立场的办法。在这种情况下,必须承认(EU)第2016/679号指令规定的权利是数据主体的个人权利,数据主体不能放弃此类权利。数据合作可以为一人公司和中小企业提供有用的手段,因为它们在数据分享知识方面往往与个人不相上下。
(32)为了提高对这种数据中介服务的信任,特别是与数据使用和遵守数据主体和数据持有者提出的条件有关的信任,有必要建立欧盟一级的监管框架,确立可信提供这种数据中介服务有关的高度统一的要求,并由主管机构执行。该框架将有助于确保数据主体和数据持有者以及数据使用者根据欧盟法律对其数据的访问和使用有更好地控制。委员会还可以鼓励和促进在欧盟层面制定行为准则,让相关的利益相关者参与进来,特别是在互操作性方面。无论是在企业与企业之间的数据分享,还是在企业与消费者之间的数据分享,数据中介服务提供者都应该提供一种新颖的、“欧洲式”的数据治理方式,在数据经济中将数据提供、数据中介和数据使用分离开来。数据中介服务提供者也可以为数据主体和数据持有者与数据使用者的互联提供具体的技术基础设施。在这方面,特别重要的是要塑造这种基础设施,使中小企业和初创企业在参与数据经济时不会遇到技术或其他障碍。应允许数据中介服务提供者为数据持有者或数据主体提供额外的特定工具和服务,以促进数据交换的具体目的,如临时存储、整理、转换、匿名化和假名化。这些工具和服务只应在数据持有者或数据主体的明确要求或批准下使用,在这种情况下提供的第三方工具不应将数据用于其他目的。同时,应允许数据中介服务提供者调整所交换的数据,以便在数据使用者希望的情况下提高数据的可用性,或通过将数据转换为特定格式等方式提高互操作性。
(33)必须为数据分享创造竞争环境。提高数据持有者、数据主体和数据使用者对数据中介服务的信任和控制的一个关键因素是,数据中介服务提供者对数据持有者或数据主体和数据使用者之间交换的数据保持中立态度。因此,数据中介服务提供者有必要在交易中只作为中介,而不将交换的数据用于任何其他目的。提供数据中介服务的商业条款,包括定价,不应取决于潜在的数据持有者或数据使用者是否正在使用由同一数据中介服务提供者或相关实体提供的其他服务,包括存储、分析、人工智能或其他基于数据的应用程序,如果是这样,数据持有者或数据使用者使用这些其他服务的程度如何。这也将要求在数据中介服务和所提供的任何其他服务之间进行结构性分离,以避免利益冲突。这意味着,数据中介服务应通过一个法人提供,与该数据中介服务提供者的其他活动分开。然而,数据中介服务提供者应该能够使用数据持有者提供的数据,以改善其数据中介服务。数据中介服务提供者应能向数据持有者、数据主体或数据使用者提供他们自己的或第三方的工具,以促进数据交换,例如,只有在数据主体或数据持有者明确要求或批准的情况下,才能提供转换或整理数据的工具。在这种情况下提供的第三方工具不应该将数据用于与数据中介服务无关的目的。在作为数据主体的个人和作为数据使用者的法人之间进行数据交换的数据中介服务提供者,还应承担对个人的信托责任,以确保他们以数据主体的最佳利益行事。对于数据中介服务提供者的任何行为所造成的所有物质和非物质损害和损失的责任问题,可以在各成员国制定的责任制度的基础上,在相关合同中加以解决。
(34) 数据中介服务提供者应采取合理措施,确保一个部门内和不同部门之间的互操作性,以确保内部市场的正常运作。合理的措施可以包括遵循数据中介服务提供者所处行业的现有通用标准。欧洲数据创新委员会应在必要时促进其他行业标准的出现。数据中介服务提供者应适时实施欧洲数据创新委员会采用的数据中介服务之间的互操作性措施。
(35)本条例应不妨碍数据中介服务提供者遵守(EU)第2016/679号条例的义务以及监管机构确保遵守该条例的责任。如果数据中介服务提供者处理个人数据,本条例不应影响对个人数据的保护。如果数据中介服务提供者是(EU)第2016/679号条例所定义的数据控制者或处理者,他们将受到该条例规则的约束。
(36) 数据中介服务提供者应制定程序和措施,对通过其中介服务寻求访问的各方的欺诈或滥用行为施加处罚,包括排除违反服务条款或违反现行法律的数据使用者等措施。
(37) 数据中介服务提供者也应采取措施确保遵从竞争法,并为此制定相应的程序。特别是适用于数据分享使企业了解其实际或潜在竞争对手的市场战略的情况。竞争性敏感信息通常包括客户数据、未来价格、生产成本、数量、营业额、销售或产能等信息。
(38) 应建立数据中介服务的告知程序,以确保欧盟内的数据治理建立在值得信任的数据交换基础之上。要实现可信环境的好处,最好是对提供数据中介服务提出一些要求,但不要求数据中介服务的主管机构为提供这种服务作出任何明确的决定或行政措施。告知程序不应该给中小企业、初创企业和民间组织带来不必要的障碍,并应遵守不歧视原则。
(39)为了支持跨境服务的有效性,应要求数据中介服务提供者只向其主要机构所在地或其法定代表人所在地的成员国的数据中介服务主管部门发出告知。这种告知不应仅仅声明其提供这种服务的意向,且(在形式上)仅能通过提供本法案中规定的信息来填写。在发出相关告知后,数据中介服务提供者应能在任何成员国开始运营,而无需承担进一步的告知义务。
(40)本条例规定的告知程序应不影响(其他)具体领域法对数据中介服务附加的具体规定。
(41) 数据中介服务提供者在欧盟(境内)的主要机构应位于欧盟的中央行政机构所在地。数据中介服务提供者在欧盟的主要机构应根据客观标准确定,并且应真实、有效地实施管理活动。数据中介服务提供者的活动应符合其主要机构所在的成员国的法律。
(42) 为了确保数据中介服务提供者遵守本条例,其主要机构应在欧盟境内。若数据中介服务提供者并非在欧盟(境内)设立(但)在欧盟内提供服务,则(该数据中介服务提供者)须指定一个法律代表。在这种情况下,指定一个法律代表是必要的,因为这些数据中介服务提供者处理个人数据以及保密商务数据,而(这些处理行为)需要密切监测数据中介服务提供者遵守本条例的实施情况。为了确定此类数据中介服务提供者是否正在欧盟境内提供服务,应确定该数据中介服务提供者是否明显计划向一个或多个成员国提供服务。仅仅是在欧盟内可以访问数据中介服务提供者的网站或电子邮件地址和其他联系方式,或使用数据中介服务提供者所在的第三国普遍使用的语言,应被视为不足以确定这种意图。然而,使用一个或多个成员国普遍使用的一种语种或货币,并可以订购该语种的服务,或者提及欧盟内的使用者,这些因素可能会表明数据中介服务提供者计划在欧盟内提供服务。指定的法律代表应代表数据中介服务提供者行事,数据中介服务主管部门应能在数据中介服务提供者之外或代替其与法律代表联系,包括在发生侵权行为的情况下,对未在欧盟设立的违规数据中介服务提供者启动执法程序。法律代表应由数据中介服务提供者(通过)书面(形式)授权指定,代表数据中介服务提供者履行本条例规定的义务。
(43) 为了帮助数据主体和数据持有者易于识别,从而增加他们对欧盟认可的数据中介服务提供者的信任,除了“欧盟认可的数据中介服务提供者”这一标签外,还应建立一个整个欧盟都能识别的通用标志。
(44) 被指定监督数据中介服务提供者遵守本条例要求的数据中介服务主管部门,应根据其在横向或部门数据分享方面的能力和专业知识来选择。数据中介服务主管部门应独立于任何数据中介服务提供者,并在执行任务时保持透明和公正。成员国应将这些数据中介服务主管部门的身份告知委员会。数据中介服务的主管机构的权力和权限应不影响数据保护机构的权力。特别是,对于任何需要评估是否符合(EU)2016/679号条例的问题,数据中介服务主管部门应在相关情况下寻求根据该条例设立的主管监督机构的意见或决定。
(45) 利用数据主体在知情同意的基础上自愿提供的数据,或在涉及非个人数据的情况下,由数据持有者提供的数据,具有实现普遍利益目标的巨大潜力。这些目标包括医疗保健、应对气候变化、改善流动性、促进官方统计数据的开发、生产和传播、改善公共服务的提供或公共决策。对科学研究的支持也应被视为具有普遍意义的目标。本法案应旨在促进在数据利他主义基础上出现足够规模的数据池,以实现数据分析和机器学习,包括在整个欧盟范围内。为了实现这一目标,成员国应该能够在组织上或技术上作出安排,或同时作出安排,以促进数据利他主义。这些安排可以包括为数据主体或数据持有者提供易于使用的工具,以便对其数据的利他使用给予同意或许可,组织宣传活动,或在主管机构之间进行结构化交流,说明公共政策,如改善交通、公共卫生和应对气候变化,如何从数据利他中受益。为此,成员国应该能够制定数据利他主义的国家政策。数据主体应该能够获得仅与他们在为普遍关心的目标提供其数据时所产生的费用有关的补偿。
(46) 对被认可的数据利他主义组织进行登记,并使用“欧盟认可的数据利他主义组织”的标签,预期将导致数据存储库的建立。在一个成员国登记将在整个欧盟境内有效,预期将促进欧盟境内的数据跨境使用,并出现覆盖几个成员国的数据池。数据持有者可以允许在给予许可时为一系列未确定的目的处理其非个人数据。这些被认可的数据利他主义组织遵守本条例规定的一系列要求,应该带来信任,即为利他目的提供的数据是为了实现普遍利益的目标。这种信任应特别来自于在欧盟境内设有机构或法定代表人,以及被认可的数据利他主义组织是非营利性组织的要求,来自于透明度要求和保护数据主体和企业权益的具体保障措施的落实。进一步的保障措施应包括:在被认可的数据利他主义组织运营的安全处理环境中处理相关数据;监督机制,如伦理委员会或理事会,包括来自民间社会的代表,以确保数据控制者保持科学伦理和保护基本权利的高标准;根据(EU)2016/679号条例规定的数据处理者的告知义务,在任何时候撤回或修改同意的有效和明确沟通的技术手段;以及数据主体随时了解他们提供的数据使用情况的手段。登记为被认可的数据利他主义组织不应成为行使数据利他主义活动的前提条件。委员会应通过授权行为,与数据利他主义组织和相关利益攸关方密切合作,编制一份规则手册。遵守该规则手册应是登记成为被认可的数据利他主义组织的要求。
(47) 为了帮助数据主体和数据持有者轻松识别,从而增加他们对被认可的数据利他主义组织的信任,应建立一个在整个联盟中可识别的通用标志。通用标志应附有一个二维码,可链接到被认可的数据利他主义组织的联盟登记簿。
(48) 本条例应不妨碍根据成员国法律寻求从事数据利他主义的实体的建立、组织和运作,并以成员国法律的规定为基础,作为非营利组织在成员国合法运作。
(49) 本条例不应妨碍公共部门以外的实体的建立、组织和运作,这些实体在开放许可的基础上从事数据和内容的分享,从而为创造人人可用的共同资源作出贡献。这应包括开放性的合作知识共享平台、开放性的科学和学术资料库、开放性的源代码软件开发平台和开放性的内容融合平台。
(50) 被认可的数据利他主义组织应能直接从自然人和法人那里收集相关数据,或处理他人收集的数据。数据利他主义组织可以为他们自己确定的目的处理所收集的数据,或者在相关情况下,他们可以允许第三方为这些目的进行处理。如果被认可的数据利他主义组织是(EU)2016/679号条例中定义的数据控制者或处理者,他们应遵守该条例。通常,数据利他主义将依赖于(EU)2016/679号条例第6条第1款第a项和第9条第2款第a项意义上的数据主体的同意,应符合该条例第7和8条的合法同意的要求。根据(EU)2016/679号条例,在符合被认可的科学研究伦理标准的情况下,科学研究目的可以通过同意某些领域的科学研究来支持,或者只同意某些领域的研究或研究项目的一部分。(EU)2016/679号条例第5条第1款第b项规定,根据(EU)2016/679号条例第89条第1款,为科学或历史研究目的或统计目的的进一步处理不应视为与初始目的不一致。对于非个人数据,其使用限制应在数据持有者的许可中找到。
(51) 被指定监督被认可的数据利他主义组织遵守本条例要求的数据利他主义组织登记主管部门应根据其能力和专业知识进行选择。他们应独立于任何数据利他主义组织,并在行使其任务时保持透明和公正。成员国应将负责登记数据利他主义组织的主管机构的身份告知委员会。负责登记数据利他主义组织的主管机构的权力和权限应不影响数据保护机构的权力。特别是,对于任何需要评估是否符合(EU)2016/679号条例的问题,数据利他主义组织登记的主管机构应在相关情况下寻求根据该条例设立的主管监督机构的意见或决定。
(52) 为了促进信任,并为授予和撤销同意的过程带来更多的法律确定性和使用者友好性,特别是在科学研究和统计使用在利他基础上提供的数据的情况下,应制定一个欧洲数据利他主义同意表,并在利他主义数据分享的情况下使用。这种表格应有助于提高数据主体的透明度,即他们的数据将根据他们的同意被访问和使用,并完全遵守数据保护规则。它还应促进同意的授予和撤回,用于简化企业开展的数据利他主义,并提供一个机制,允许这些企业撤回其使用数据的许可。为了考虑到各个部门的特殊性,包括从数据保护的角度来看,欧洲数据利他主义同意应采用模块化的方法,允许为特定部门以及不同目的进行定制。
(53) 为了成功实施数据治理框架,应以专家组的形式建立欧洲数据创新委员会。欧洲数据创新委员会应包括所有成员国的数据中介服务主管部门和数据利他主义组织登记主管部门的代表、欧洲数据保护委员会、欧洲数据保护监督员、欧盟网络安全局(ENISA)、委员会、欧盟中小企业特使或由中小企业特使网络任命的代表,以及特定部门相关机构的其他代表以及具有特定专长的机构。欧洲数据创新委员会应包括一些分组,其中包括一个利益相关者参与的分组,由行业的相关代表组成,如卫生、环境、农业、运输、能源、工业制造、媒体、文化和创意部门、统计,以及研究、学术界、民间社会、标准化组织、相关的欧洲公共数据空间和其他相关利益相关者和第三方,特别是具有特定专业知识的机构,如国家统计局。
(54) 欧洲数据创新委员会应协助欧盟委员会协调有关本条例所涵盖主题的国家实践和政策,并通过遵守欧洲互操作性框架原则和使用欧洲、国际的标准和规范,包括通过欧盟信息和通信技术标准化多方利益相关者平台、欧盟核心词汇和CEF(“连接欧洲基金计划”)构建模块,支持跨部门的数据使用,并应考虑到在特定部门或领域进行的标准化工作。技术标准化的工作可以包括确定标准制定的优先次序,建立和维护一套在两个处理环境之间传输数据的技术和法律标准,使数据空间得以组织化,特别是阐明和区分哪些标准和做法是跨部门的,哪些是部门的。欧洲数据创新委员会应与部门机构、网络或专家组或其他跨部门组织合作处理数据的重用问题。关于数据利他主义,欧洲数据创新委员会应在咨询欧洲数据保护委员会后,协助委员会制定数据利他主义同意。通过提出关于欧洲公共数据空间的指导方针,欧洲数据创新委员会应支持在这些数据空间的基础上发展一个有效的欧洲数据经济,正如欧洲数据战略中所规定的那样。
(55) 成员国应制定适用于违反本条例的处罚规则,并应采取一切必要措施,确保这些规则得以实施。所规定的处罚应该是有效的、相称的和劝阻性的。惩罚规则之间的巨大差异可能导致数字单一市场的竞争扭曲。在这方面,这些规则的统一可能会有好处。
(56) 为了有效执行本条例,并确保数据中介服务提供者和希望登记为被认可的数据利他主义组织的实体能够以跨境方式完全在线访问并完成告知和登记程序,这些程序应通过根据欧洲议会和理事会(EU)2018/1724号条例建立的单一数字网关提供。这些程序应被添加到(EU)2018/1724号条例附件二的程序清单之中。
(57) 因此,(EU)2018/1724号条例应作相应修改。
(58) 为了确保本条例的有效性,应将根据TFEU第290条通过法案的权力下放给委员会,以补充本条例,规定适用于向第三国转移特定欧盟立法法案中认为高度敏感的某些非个人数据类别的特殊条件,并为被认可的数据利他主义组织制定规则手册,这些组织必须遵守,其中规定了信息、技术和安全要求,以及通信路线图和互操作标准。特别重要的是,委员会在其准备工作中进行适当的磋商,包括专家层面的磋商,并且这些磋商应按照2016年4月13日《关于更好地立法的机构间协议》中规定的原则进行。特别是,为确保平等参与授权法案的准备工作,欧洲议会和理事会与成员国的专家同时收到所有文件,其专家可以系统地参加委员会处理授权法案准备工作的专家组会议。
(59) 为了确保本法案的实施条件统一,应赋予委员会实施权力,通过制定非个人数据的重用者向第三国转移的示范合同条款,协助公共部门和重用者遵守本法案规定的重用条件。宣布第三国的法律、监督和执行安排与欧盟法律规定的保护相当,为数据中介服务提供者设计通用标志,为被认可的数据利他主义组织设计通用标志,并建立和发展欧洲数据利他主义同意。这些权力应根据欧洲议会和理事会的第182/2011号条例(EU)行使。
(60) 本条例不应影响竞争规则的适用,特别是TFEU第101和102条。本条例规定的措施不应该被用来限制竞争,以违反TFEU的方式。这尤其涉及关于实际或潜在竞争者之间通过数据中介服务交换竞争性敏感信息的规则。
(61) 根据(EU)2018/1725号条例第42条第1款,咨询了欧洲数据保护监督员和欧洲数据保护委员会,并在2021年3月10日发表了他们的意见。
(62) 本条例以尊重特别是《欧盟基本权利宪章》所承认的基本权利和原则为指导原则,包括隐私权、个人数据保护、经营自由、财产权和残疾人的融入的权利。就后者而言,本法案下的公共服务机构和服务应在相关情况下遵守欧洲议会和理事会的(EU)2016/210232和(EU)2019/88233号指令。此外,应考虑到信息和通信技术背景下的“全民设计”,即有意识地、系统地在计算机相关技术(包括基于互联网的技术)中主动应用原则、方法和工具来促进通用设计,从而避免事后适应或专门设计的需要。
(63) 由于本条例的目标,即在欧盟内重新使用公共部门持有的某些类别的数据,以及建立一个提供数据中介服务的告知和监督框架,一个为利他目的提供数据的实体的自愿登记框架和一个建立欧洲数据创新委员会的框架。在这种情况下,如果成员国不能充分实现,而由于其规模和效果,在欧盟层面可以更好地实现,欧盟可以根据《欧盟条约》第5条规定的辅助原则采取措施。根据该条规定的相称性原则,本条例不超出为实现这些目标所需的范围。
已通过本条例:
第一章 一般规定
第1条 主题和范围
1.本条例规定了:
(a) 在欧盟范围内重新使用公共部门持有的某些类别数据的条件;
(b) 提供数据中介服务的告知和监督框架;
(c) 收集和处理为利他目的提供数据实体的自愿登记框架;以及
(d) 建立一个欧洲数据创新委员会的框架。
2.本条例未规定公共部门有义务允许重新使用数据,也没有豁免公共部门在欧盟或成员国法律下的保密义务。
本条例不影响以下内容:
(a) 欧盟或成员国法律中关于访问或重新使用某些类别数据的具体规定,特别是关于允许获取和披露官方文件的规定;以及
(b) 欧盟或成员国法律规定的公共部门允许重新使用数据的义务或与处理非个人数据有关的要求。
如果具体领域的欧盟或成员国法律要求公共部门、数据中介服务提供者或被认可的数据利他主义组织遵守具体的额外技术、行政或组织要求,包括通过授权或认证制度,该具体领域的欧盟或成员国法律的这些规定也应适用。任何此类具体的额外要求应是非歧视性的、相称的和客观上合理的。
3.关于保护个人数据的欧盟和成员国法律应适用于与本法案有关的任何个人数据处理。特别是,本条例不影响(EU)2016/679号条例和(EU)2018/1725以及指令2002/58/EC和(EU)2016/680,包括有关监督机构的权力和权限。如果本条例与关于保护个人数据的欧盟法律或根据该欧盟法律通过的成员国法律发生冲突,应以关于保护个人数据的相关欧盟或成员国法律为准。本条例不为处理个人数据创造法律依据,也不影响(EU)2016/679号条例或(EU)2018/1725或指令2002/58/EC或(EU)2016/680中规定的任何权利和义务。
4. 本条例不影响竞争法的适用。
5. 本条例不影响成员国在公共安全、国防和国家安全方面的活动的权限。
第2条 定义
为了本条例的目的,适用以下定义:
(1) ‘数据’是指行为、事实或信息的任何数字表示,以及这些行为、事实或信息的任何汇编,包括声音、视觉或音像记录的形式。
(2) ‘重用’是指自然人或法人将公共部门持有的数据用于商业或非商业目的,而不是产生这些数据的公共任务中的最初目的,但公共部门之间纯粹为完成其公共任务而进行的数据交换除外。
(3) ‘个人数据’是指(EU)2016/679号条例第4条第1项中定义的个人数据。
(4)‘非个人数据’是指个人数据以外的数据。
(5)‘同意’是指(EU)2016/679号条例第4条第11项所定义的同意。
(6) ‘许可’是指给予数据使用者处理非个人数据的权利。
(7) ‘数据主体’指(EU)2016/679号条例第4条(1)所指的数据主体。
(8) ‘数据持有者’是指法人,包括公共部门和国际组织,或就有关具体数据而言不是数据主体的自然人,根据适用的欧盟或成员国法律,有权准许访问或分享某些个人数据或非个人数据。
(9)‘数据使用者’是指合法获取某些个人或非个人数据,并有权,包括根据(EU)2016/679号条例就个人数据而言,为商业或非商业目的使用该数据的自然人或法人。
(10) ‘数据分享’是指数据主体或数据持有者为联合或单独使用这些数据的目的,基于自愿协议或欧盟或成员国法律,直接或通过中介机构提供数据,例如,根据数据开放或者附条件的商业许可(免费或收费)。
(11) ‘数据中介服务’是指旨在通过技术、法律或其他手段,为在数量不确定的数据主体和数据持有者与数据使用者之间分享数据而建立商业关系的服务,包括为了行使数据主体在个人数据方面的权利,至少不包括以下内容。
(a) 从数据持有者那里获得数据,并为增加数据的实质性价值而对其进行汇总、充实或转换,并将所产生的数据的使用许可给数据使用者,而不在数据持有者和数据使用者之间建立商业关系的服务。
(b) 专注于受版权保护内容的中介的服务。
(c) 专门由一个数据持有者使用的服务,以便能够使用该数据持有者持有的数据,或由多个法人在一个封闭的团体中使用的服务,包括通过合同建立的供应商或客户关系或合作,特别是那些以确保连接到物联网的对象和设备的功能为主要目标的服务。
(d) 公共部门提供的、不以建立商业关系为目的的数据分享服务。
(12)‘处理’是指(EU)2016/679号条例第4条第2项所定义的关于个人数据的处理或(EU)2018/1807号条例第3条第2项所定义的关于非个人数据的处理。
(13)‘访问’是指根据具体的技术、法律或组织要求使用数据,但不一定意味着传输或下载数据。
(14) 法人的‘主要机构’是指其在欧盟的中央行政机构所在地。
(15) ‘数据合作服务’是指由数据主体、一人公司或中小企业组成的组织结构提供的数据中介服务,其主要目标是支持其成员行使与某些数据有关的权利,包括在同意数据处理之前做出知情选择。就最能代表其成员在其数据方面利益的数据处理目的和条件交换意见,并在允许处理非个人数据或同意处理个人数据之前代表其成员谈判数据处理的条款和条件。
(16) ‘数据利他主义’是指在数据主体同意处理与其有关的个人数据的基础上,自愿分享数据,或允许数据持有者使用其非个人数据,而不寻求或接受超出与他们所产生的费用有关的补偿,如果他们将其数据用于国家法律规定的普遍利益目标。在适用的情况下,如医疗保健、应对气候变化、改善流动性、促进官方统计数据的开发、生产和传播、改善公共服务的提供、公共政策的制定或科学研究的普遍利益。
(17)‘公共部门’指国家、地区或地方当局、受公法管辖的机构或由一个或多个此类机构组成的协会,或一个或多个受公法管辖的机构。
(18) ‘受公法管辖的机构’指具有以下特点的机构。
(a) 它们是为满足普遍利益的需要这一特定目的而建立的,不具有工业或商业性质。
(b) 它们具有法人资格。
(c) 它们大部分由国家、地区或地方当局或其他受公法管辖的机构提供资金,受这些当局或机构的管理监督,或有一个行政、管理或监督委员会,其一半以上的成员由国家、地区或地方当局或其他受公法管辖的机构任命。
(19) ‘公共事业’是指公共部门因其对该事业的所有权、财务参与或管理该事业的规则而可直接或间接施加支配性影响的任何事业;为本定义的目的,应推定公共部门在以下任何情况下直接或间接施加支配性影响:
(a) 持有该企业的大部分认购资本。
(b) 控制该企业发行的股份所附的多数票。
(b) 可以任命企业的行政、管理或监督机构的半数以上人员。
(20) ‘安全处理环境’是指物理或虚拟环境和组织手段,以确保遵守欧盟法律,如(EU)2016/679号条例,特别是关于数据主体权利、知识产权、商业和统计保密性、完整性和可访问性,以及适用的国家法律,并允许提供安全处理环境的实体决定和监督所有数据处理行动,包括显示、存储、下载和导出数据以及通过计算算法计算衍生数据。
(21)‘法定代表人’是指在欧盟设立的自然人或法人,明确指定代表数据中介服务提供者或实体收集由不在欧盟设立的自然人或法人基于数据利他主义提供的普遍利益目标的数据。数据中介服务主管部门和数据利他主义组织登记主管部门可在数据中介服务提供者或实体之外或代替其履行本条例规定的义务,包括对不遵守规定的数据中介服务提供者或不在欧盟设立的实体启动执法程序。
第二章 重新使用公共部门持有的某些类别的受保护数据
第3条 数据的类别
1. 本章适用于公共部门持有的、基于以下理由受到保护的数据:
(a) 保密商务信息,包括商业、专业和公司机密;
(b) 统计上的保密性;
(c) 保护第三方的知识产权;或
(d) 保护个人数据,只要这些数据不属于(EU)2019/1024号指令的范围。
2. 本章不适用于:
(a) 公共事业单位持有的数据;
(b) 公共服务广播公司及其子公司,以及其他机构或其子公司为履行公共服务广播职责而持有的数据;
(c) 文化机构和教育机构持有的数据;
(d) 公共部门持有的、因公共安全、国防或国家安全而受到保护的数据;或
(e) 提供的数据属于有关公共部门的公共任务范围之外的活动,这些活动是由有关成员国的法律或其他有约束力的规则所规定的,或者在没有这些规则的情况下,根据该成员国的共同行政惯例所规定的,但公共任务的范围必须是透明的,并可接受审查。
3. 本章不影响以下内容:
(a) 欧盟和成员国法律以及欧盟或成员国加入的关于保护第1款中提及的各类数据的国际协定;以及
(b) 关于获取文件的欧盟和成员国法律。
第4条 禁止排他性安排
1. 应禁止与公共部门持有的包含第3条第1款所述数据类别的数据的重用有关的协议或其他做法,这些协议或做法授予排他性权利,或其目的或效果是授予这种排他性权利或限制这种协议或其他做法的缔约方以外的实体获得数据的重用。
2. 作为对第1款的减损,该款中提到的数据重用的排他性权利可在提供服务或供应产品所需的范围内授予,否则不予提供。
3. 第2款所述的排他性权利应根据适用的欧盟或成员国法律,并遵循透明、平等待遇和非歧视原则,通过行政措施或合同安排授予。
4. 重用数据的专有权的期限不应超过12个月。如果签订了合同,合同的期限应与专有权的期限相同。
5. 根据第2、3和4款授予排他性权利,包括有必要授予这种权利的原因,应是透明的,并以符合欧盟有关公共采购法律的形式在网上公开。
6. 属于第1款所述禁止范围的协议或其他做法,如果不符合第2和第3款规定的条件,并且是在[本法案生效日期]之前签订的,应在适用合同结束时终止,无论如何应在[本法案生效日期后30个月]之前终止。
第5条 重用的条件
1. 根据国家法律有权准许或拒绝获取重用第3条第1款提及的一种或多种数据类别的公共部门应通过第8条提及的统一信息发布机构公开提供允许这种重用的条件和要求重用的程序。当他们准许或拒绝重用时,他们可以得到第7条第1款中提到的主管机构的协助。
成员国应确保公共部门拥有必要的资源来遵守本条规定。
2. 重用的条件应是非歧视性的、透明的、相称的和客观合理的,要考虑到数据的类别和重用的目的以及允许重用的数据的性质。这些条件不应被用来限制竞争。
3. 公共部门应根据欧盟和成员国法律,确保数据的受保护性质得到维护。他们可以规定以下要求。
(a) 只有在公共部门或主管机构在提出重新利用的要求后,确保数据已经过以下处理的情况下,才允许对数据的重新利用进行访问。
(i) 对个人数据进行匿名处理;以及
(ii) 如果是保密商务信息,包括商业秘密或受知识产权保护的内容,则经过修改、汇总或以任何其他披露控制的方法处理。
(b) 在公共部门提供或控制的安全处理环境中,远程访问和重新利用这些数据。
(c) 在安全处理环境所在的物理场所内,按照高安全标准访问和重新利用数据,前提是不允许远程访问而不损害第三方的权益。
4. 在根据第3款第b、c项允许重用的情况下,公共部门应规定条件,以维护所使用的安全处理环境的技术系统的功能完整性。公共部门应保留核查重用者对数据进行处理的过程、手段和任何结果的权利,以维护数据保护的完整性,并保留禁止使用含有危害第三方权益的信息的结果的权利 禁止使用这些结果的决定对重用者来说应是可理解的和透明的。
5. 除非成员国法律对与第3条第1款所述数据的重用有关的适用保密义务规定了具体的保障措施,否则公共部门在重用根据本条第3款提供的数据时,应以重用者遵守保密义务为条件,禁止披露重用者在采取保障措施后仍可能获得的任何危害第三方权益的信息。重用者应禁止重新识别与数据有关的任何数据主体,并应采取技术和操作措施,防止重新识别,并向公共部门通报任何导致重新识别有关数据主体的数据泄露事件。如果发生未经授权重新利用非个人数据的情况,重新利用者应毫不迟疑地,在公共部门的协助下,告知其权益可能受到影响的法人。
6. 如果不能按照本条第3款和第4款规定的义务允许重新使用数据,并且没有根据(EU)2016/679号条例传输数据的法律依据,公共部门应根据欧盟和成员国法律尽最大努力向潜在的重用者提供协助,以寻求数据主体的同意或向其权益可能受到这种重用影响的数据持有者提供许可,只要这样做是可行的,不会给公共部门带来过重的负担。在提供这种协助时,公共部门可以得到第7条第1款中提到的主管机构的协助。
7. 只有在遵守知识产权的情况下,才允许重用数据。公共部门不得行使第96/9/EC号指令第7条第1款规定的数据库制作者的权利,以阻止数据的重用或限制超出本条例规定的重用。
8. 根据欧盟或成员国关于商务或统计保密的法律,如果要求的数据被认为是保密的,公共部门应确保保密数据不因允许重用而被披露,除非根据第6款允许这种重用。
9. 如果重用者打算将受第3(1)条所述理由保护的非个人数据转移到第三国,则应在要求重新使用这些数据时,告知公共部门其转移这些数据的意图以及转移的目的。在根据本条第6款进行重用的情况下,重用者应在公共部门的协助下,酌情将该意图、目的和适当的保障措施告知其权益可能受到影响的法人。除非该法人允许转让,否则公共部门不得允许重用。
10. 公共部门应将非个人机密数据或受知识产权保护的数据传输给打算将这些数据转移到第三国而非按照第12款指定的国家的重用者,但该重用者必须在合同中承诺:
(a) 遵守按照第7和第8段规定的义务,即使在该数据被转移到第三国之后;并且
(b) 在与遵守第7、8款有关的任何争议方面,接受传输公共部门所在成员国的法院或法庭的管辖。
11. 公共部门应在相关情况下,在其能力范围内,为重用者遵守本条第10款所述的义务提供指导和帮助。
为了帮助公共部门和重用者,委员会可以通过实施细则,为遵守本条第10款所述的义务制定示范合同条款。这些实施细则应按照第33条第3款所述的审查程序通过。
12. 如果因为整个欧盟有大量关于在特定第三国重新使用非个人数据的请求而有正当理由,委员会可以通过实施性法案,宣布第三国的法律、监督和执行安排。
(a) 确保对知识产权和商业秘密的保护,其方式基本上等同于欧盟法律的保护力度。
(b) 正在有效地实施和执行;以及
(c) 提供有效的司法救济。
这些实施细则应按照第33条第3款所述的审查程序通过。
13. 具体的欧盟立法法案可将公共部门持有的某些非个人数据类别视为本条所指的高度敏感数据,因为将其转移到第三国可能会危及欧盟的公共政策目标,如安全和公共卫生,或可能导致非个人的、匿名的数据被重新识别的风险。如果这样的法案被通过,委员会应根据第32条通过授权法案,对本法案进行补充,规定适用于向第三国转移此类数据的特殊条件。
这些特殊条件应基于具体的欧盟立法法案中确定的非个人数据类别的性质,以及将这些类别视为高度敏感的理由,同时考虑到重新识别非个人的匿名数据的风险。它们应是非歧视性的,并限于为实现该法案中确定的欧盟公共政策目标所必需的,符合欧盟的国际义务。
如果第1分段中提到的具体的欧盟立法法案要求,这种特殊条件可以包括适用于转让的条款或这方面的技术安排,关于在第三国重新利用数据的限制,或有权向第三国转让这些数据的人员类别,或在特殊情况下,对向第三国转让的限制。
14. 被授予重新利用非个人数据权利的自然人或法人只能将数据转移到符合第10、12和13款要求的第三国。
第6条 费用
1. 公共部门允许重用第3条第1款所述类别数据的,可以收取相应费用。
2.根据第1款收取的任何费用应透明、非歧视、合比例且客观合理,且不得限制竞争。
3. 公共部门应确保任何费用也可以通过广泛可用的跨境支付服务在线支付,不得歧视欧盟范围内不同的支付服务提供者设立地、支付工具发行地或支付账户所在地。
4. 收费情况下,公共部门应采取措施,鼓励将第3条第1款所述类别数据用于科学研究等非商业目的,并按国家援助规则鼓励中小企业和初创企业利用前述数据。在这方面,公共部门也可以减免费用甚至免费提供数据,特别是提供给中小企业和初创企业、民间社会和教育机构。为此,公共部门可以建立重用者类别列表,并面向列表中重用者提供费用减免免费向其提供数据。应当将该列表及建立该列表的标准公之于众。
5. 任何费用应因落实第3条第1款所述类别数据 重用要求而发生,并限于下列项目的必要费用范围内:
(a) 数据的复制、提供和传输;
(b) 审查许可权;
(c) 根据第5条第3款对个人数据和保密商务数据进行的匿名化或其他准备工作;
(d) 安全处理环境之维护;
(e) 公共部门以外的第三方根据本章获得允许重用的权利;和
(f) 在重用有关数据将侵犯相应权益情况下,协助重用者取得数据主体的同意、数据持有者(data holders)的许可。
6. 费用计算的标准和方法应由成员国制定并公布。公共部门应公布主要成本类别以及成本分配规则。
第7条 主管机构
1. 为了履行本条所述职责,各成员国应指定一个或多个主管机构,这些主管机构可能主管特定部门,以协助公共部门准许或拒绝对第3条第1款所述类别数据的重用。成员国可以建立一个或多个新主管机构,或者依靠符合本条例要求的既有公共部门或公共部门内部服务。
2. 主管机构有权根据欧盟法或成员国法所赋予的权限范围内授予重用第3条第1款所述类别数据的权利。主管机构准许或拒绝重用的,参照适用第4条、第5条、第6条和第9条。
3. 主管机构应具备充分的法律、金融、技术和人力资源以履行其职责,也应具备根据相关欧盟法或成员国法准许重用第3条第1款所述类别数据的必要技能。
4. 第1款规定的协助应包括,在必要时:
(a) 提供技术支持,确保安全的处理环境,为数据的重用提供访问权限;
(b) 提供指导和技术支持,以最佳方式结构化和存储数据,以使数据易于访问;
(c)为假名提供技术支持,并确保在被允许重用数据过程中,以有效保护数据所蕴含信息的隐私、机密性、完整性和可访问性的方式处理数据,包括对个人数据的匿名化、泛化、覆盖、随机化等技术或其他最先进的隐私保护方法,以及对保密商务信息(commercially confidential information)(包括商业秘密或受知识产权保护的内容)的删除;
(d) 在相关情况下,就重用者的具体决定(包括将要进行数据处理的司法管辖地),协助公共部门配合重用者获取数据主体同意或者数据持有者许可,在实际可行的情况下,协助公共部门建立技术机制,以传输重用者获取同意或许可的请求;
(e) 协助公共部门评估重用者根据第5条第10款在合同中作出之承诺的充分性。
5. 各成员国应在[本条例生效后15个月]之前将根据第1款指定的主管机构告知委员会。各成员国主管机构的后续变动,亦应告知委员会。
第8条 统一信息发布机构
1. 成员国应确保有关第5条和第6条适用的所有相关信息都可通过统一信息发布机构方便地获取。成员国应建立一新机构或指定一既有机构作为统一信息发布机构。统一信息发布机构可以链接到各部门信息发布机构或各地方信息发布机构。如果公共部门能确保提供充分支持,统一信息发布机构可以自动化运行。
2. 统一信息发布机构应有能力接收关于重用第3条第1款所述类别数据的请求(enquiries or requests),并应在通过自动方式是可能且妥当的情况下,将该请求传输至相关公共部门或第7条第1款中的主管机构。统一信息发布机构应通过电子方式提供可检索资产的清单,其中包含所有可用数据资源(包括相关情况下可在各部门、各地方信息发布机构获得的数据资源)的概述,以及描述可用数据的相关信息(至少包括数据格式、大小以及重用条件)。
3. 统一信息发布机构可以为中小企业和初创企业建立一条独立、简单、信息完整(well-documented)的信息渠道,解决其重用第3条第1款所述类别数据的需求与相应能力不匹配的问题。
4. 委员会应建立一个欧洲统一访问机构,提供国家统一信息发布机构中可检索的可用数据电子登记簿,并提供有关如何通过这些国家统一信息发布机构获取数据的更多信息。
第9条 重用申请程序
1. 公共部门或第7条第1款提及的主管机构应自收到重用第3条第1款所述类别数据的请求之日起两个月内作出决定,成员国法律规定了更短时限的除外。
如果重用请求异常广泛和复杂,则该两个月的期限最多可延长30天。在这种情况下,相关公共部门或第7条第1款提及的主管机构应尽快将期限延展之情事及原因告知申请人。
2. 受第1款所述决定直接影响的自然人或法人,在相关机构所在国均享有补救权。成员国法律应规定此种补救权,并应规定由具有适格专业能力的公正机构(例如国家竞争管理机构、文件获取管理机构、根据与(EU)2016/679号法规设立的监管机构或国家司法机构)进行审查之程序,该公正机构之决定对相关公共部门或主管机构具有约束力。
第三章 对数据中介服务的要求
第10条 数据中介服务
提供下列数据中介服务,应当符合第12条的规定,并应当履行告知程序:
(a) 在数据持有者和潜在数据使用者之间的中介服务,包括利用技术或其他手段来实现此类服务;此类服务包括双边或多边数据交换,创建能够实现数据交换或数据共同使用的平台或数据库,以及为数据持有者与数据使用者之间的互联建立其他特定基础设施;
(b) 在寻求提供其个人数据的数据主体,寻求提供非个人数据的自然人,以及潜在数据使用者之间的中介服务,包括利用技术或其他手段实现此类服务,尤其包括能够实现(EU)2016/679号法规中规定的数据主体权利的服务;
(c) 数据合作服务。
第11条 数据中介服务提供者的告知
1. 数据中介服务提供者拟提供第10条列举的数据中介服务,应告知数据中介服务主管部门。
2. 就本条例而言,在多个成员国设有机构的数据中介服务提供者应被视为受其主要机构所在国管辖,但不影响欧盟跨境损害赔偿和相关程序法案之适用。
3.不在联盟内设立机构但在联盟内提供第10条所述数据中介服务的数据中介服务提供者,应在服务覆盖的成员国之一设置一名法定代表人(legal representative)。
为确保遵守本条例,该法定代表人应获得数据中介服务提供者的授权,就全部与所提供的数据中介服务有关的问题,向数据中介服务主管部门、数据主体和数据持有者,提供补充或者替代性服务。该法定代表人应配合数据中介服务主管部门,并根据要求向数据中介服务主管部门全面展示数据中介服务提供者为确保遵守本条例而采取的行动和制定的规章。
数据中介服务提供者应被视为受其法定代表人所在成员国的管辖。数据中介服务提供者指定法定代表人不应影响对数据中介服务提供者可能提起的任何诉讼。
4. 根据第1款告知后,数据中介服务提供者可以满足在本章规定条件后提供服务。
5. 第1款所述告知应有授权数据中介服务提供者在所有成员国提供数据中介服务之效果。
6. 第1款所述告知应包括以下信息:
(a) 数据中介服务提供者的名称;
(b)数据中介服务提供者的法律地位、形式、所有权结构以及相关子公司,如果数据中介服务提供者已在行业或其他类似国家登记簿中登记,则亦包括登记号;
(c)数据中介服务提供者在欧盟主要机构的地址(如果有),以及(在适用的情况下)在另一个成员国的二级分支机构地址或法定代表人的地址;
(d) 一个可以找到有关数据中介服务提供者和其活动的完整、最新信息(至少包括本款第a、b、c、f项所列信息)的公开网站;
(e)数据中介服务提供者的联系人和联系方式;
(f) 数据中介服务提供者拟提供的数据中介服务的描述,以及该数据中介服务属于第10条所列类别的说明;
(g) 预计开始活动的日期(如果与告知日期不同)。
7. 数据中介服务主管部门应确保告知程序是非歧视性的,不会破坏竞争秩序。
8. 应数据中介服务提供者请求,数据中介服务主管部门应在收到准时、完整地告知书后一周内出具标准化回函,确认数据中介服务提供者已按第1款要求告知并包含第6款中提及的信息。
9. 应数据中介服务提供者请求,数据中介服务主管部门应当确认数据中介服务提供者符合本条和第12条的规定。收到确认后,数据中介服务提供者可以使用在其书面和口头交流标注“联盟认可(recognised)的数据中介服务提供者”,或者将该字样作为通用标志。
为确保欧盟认可的数据中介服务提供者在欧盟范围内易于识别,委员会应通过实施性法案(implementing acts),创设一个通用标志。欧盟认可的数据中介服务提供者应在与其数据中介活动相关的所有线上和线下出版物上清楚展示该通用标志。
这些实施性法案应根据第33条第2款所述的咨询程序产生。
10.告知事项有更新的,数据中介服务主管部门应立即以电子方式告知委员会。委员会应保存并定期更新登记在欧盟提供服务的所有数据中介服务提供者信息的登记簿。第6款第a、b、c、d、f和g项所述信息应在登记簿上公布。
11. 数据中介服务主管部门可依成员国法规定收取告知费用。此类费用应是合比例的、客观的,并基于数据中介服务主管部门之(与数据中介服务提供者告知事项相关的)合规监测和其他市场规制活动产生的行政成本。中小企业及初创企业,数据中介服务主管部门可减免费用。
12. 数据中介服务提供者依第6款提供之信息如有变更,应自变更之日起14日内告知数据中介服务主管部门。
13. 数据中介服务提供者停止服务的,应于15日内告知第1、2、3款所定之相关数据中介服务主管部门。
14.数据中介服务主管部门应立即通过电子方式将第12、13款所述的每项告知信息告知委员会。委员会应相应更新欧盟数据中介服务提供者登记簿。
第12条 提供数据中介服务的条件
提供第10条列举的数据中介服务,应符合下列条件:
(a) 数据中介服务提供者不得将其提供数据中介服务的数据用于供数据使用者支配的其他用途,并应以独立法人形式提供数据中介服务;
(b) 向数据持有者或数据使用者提供数据中介服务的商业条款(包括定价),不应取决于数据持有者或数据使用者是否使用由同一数据中介服务提供者或由相关实体提供的其他服务,以及在确实使用其他服务的情况下的使用程度;
(c)为提供数据中介服务而收集的与自然人或法人的任何活动有关的数据,包括日期、时间和地理位置数据、活动持续时间以及与由使用数据中介服务的人与其他自然人或法人建立的联系,仅应用于开发该数据中介服务(包括需要使用数据来检测欺诈或网络安全),并应要求提供给数据持有者;
(d) 数据中介服务提供者应促进以从数据主体或数据持有者处收集的数据之原格式交换数据,仅应在下列情况下将数据转换为特定格式,包括为增强主体内部和跨主体的互操作性,或应数据使用者要求,或欧盟法律有授权,或确保与国际或欧洲数据标准协调一致,并应就此种转换向数据主体或数据持有者提供选择退出之途径,但该转换系基于欧盟法律规定者除外;
(e) 数据中介服务可以包括向数据持有者或数据主体提供额外的特定工具和服务,以促进数据交换这一特定目的的实现,例如临时存储、管理、转换、匿名化和假名化,此类工具仅能在数据持有者或数据主体明确请求或批准情况下使用,以及在该场景中提供的第三方工具不得用于其他目的;
(f) 数据中介服务提供者应确保访问其服务的程序、价格和服务条款等,对数据主体、数据持有者以及数据使用者而言是公平、透明和非歧视性的;
(g)数据中介服务提供者应制定程序以防止与通过其数据中介服务寻求访问的各方有关的欺诈或滥用行为;
(h)数据中介服务提供者应在其破产时确保其数据中介服务提供的合理连续性,并且在此类数据中介服务有数据存储的情况下,应有适当的机制允许数据持有者和数据使用者获取、转移、检索他们的数据以及(在数据主体和数据使用者之间提供此类数据中介服务的情况下)允许数据主体行使其权利;
(i) 数据中介服务提供者应采取适当措施,尤其是通过采用数据中介服务行业常用开放标准的方式,确保与其他数据中介服务的互操作性;
(j)数据中介服务提供者应采取充分的技术、法律和组织措施,以防止违反欧盟法或成员国传输或访问非个人数据的行为;
(k) 数据中介服务提供者在其分享的非个人数据发生未经授权的传输、访问或使用时应立即告知数据持有者;
(l)数据中介服务提供者应采取必要措施确保非个人数据的存储、处理和传输达到适格的安全级别,并且数据中介服务提供者应进一步确保存储和传输竞争敏感信息达到最高安全级别;
(m) 向数据主体提供服务的数据中介服务提供者应在促进其权利行使的情况下以数据主体的最佳利益行事,特别是在数据主体同意之前,通过以简明、透明、易懂、易获得的方式告知数据主体关于数据使用者的预期数据使用方式、此类使用所附的标准条款以及适用条件,并(在适当情况下)向其提供建议;
(n) 如果数据中介服务提供者提供获取数据主体同意或数据持有者提供的数据处理许可的工具,则应(在相关时)指定数据使用地所在的第三国管辖,并为数据主体提供授予和撤回同意的工具,为数据持有者提供授予和撤回处理数据权限的工具;
(o) 数据中介服务提供者应保存数据中介活动的日志记录。
第13条 数据中介服务主管部门
1. 各成员国应指定一个或多个主管机构履行与数据中介服务告知程序相关的职责,并应在[本条例生效15个月]之前将主管机构告知委员会。主管机构后续有变化的,各成员国亦应告知委员会。
2. 数据中介服务主管部门应符合第26条之规定。
3.数据中介服务主管部门的权力不影响数据保护部门、国家竞争主管机构、网络安全主管机构和其他相关部门的权力。根据欧盟和成员国法规定的各自权限,这些部门应建立强有力的合作并交换必要的信息,以履行其各自与数据中介服务提供者有关的职责,并应努力实现根据本条例作出决定的一致性。
第14条 合规监管
1. 数据中介服务主管部门应当对数据中介服务提供者遵守本章规定的情况进行监督(monitor and supervise)。数据中介服务主管部门还可以应自然人或者法人的请求,对数据中介服务提供者的合规情况进行监督。
2.数据中介服务主管部门有权要求数据中介服务提供者或其法定代表人提供所有必要的信息,以验证是否符合本章要求。任何信息请求都应是与履行职责情况合比例的、合理的。
3. 数据中介服务主管部门发现数据中介服务提供者不符合本章一项或多项要求时,应告知该数据中介服务提供者,并在收到告知书之日起30日内给予其陈述机会。
4.数据中介服务主管部门有权责令在合理期限内停止第三款所述的侵权行为,若系严重侵权则有权责令立即停止侵权行为,并应采取适当和合比例的措施以确保合规。在这方面,相应数据中介服务主管部门有权力,在适当情况下:
(a)通过行政程序施加劝诫性的经济处罚(dissuasive financial penalties),其中可能包括定期处罚和具有追溯效力的处罚,或强制执行罚款的法律程序,或两者兼而有之;
(b) 责令推迟或暂停提供数据中介服务,直至数据中介服务主管部门要求的条件发生任何变化;或者
(c) 虽然根据第3款事先告知,但严重或屡次侵权仍未得到补救,则责令停止提供数据中介服务。
数据中介服务主管部门根据第c项第1分段责令停止提供数据中介服务后,应提请委员会将该数据中介服务提供者从登记簿中删除。
数据中介服务提供者纠正侵权行为并予以补救的,该数据中介服务提供者应当重新告知数据中介服务主管部门。数据中介服务主管部门应将每项新告知委员会。
5. 未在欧盟设立机构的数据中介服务提供者未指定法定代表人或法定代表人未根据数据中介服务主管部门的要求提供必要信息全面证明合规情况,数据中介服务主管部门有权推迟数据中介服务的开始提供时间或暂停数据中介服务,直至指定法定代表人或提供必要信息为止。
6. 数据中介服务主管部门应立即将第4款和第5款规定的措施、其所依据的理由以及为纠正相关缺陷应采取的必要措施告知有关的数据中介服务提供者,并应规定数据中介服务提供者采取相应措施的(不超过30天的)合理期限。
7. 数据中介服务提供者的主要机构或其法定代表人为所在成员国之外的其他成员国提供服务的,主要机构或法定代表人所在成员国的数据中介服务主管部门与该其他成员国的数据中介服务主管部门应相互协助。此类协助包括相关数据中介服务主管部门之间的信息交流,以履行本条例规定的职责,以及采取本条所规定之合理措施。
如果一个成员国的数据中介服务主管部门向另一成员国的数据中介服务主管部门请求协助,则应提交合理的请求。数据中介服务主管部门应根据请求,在与请求紧急程度相称的时间范围内,及时作出答复。
在根据本款请求和提供援助的范围内交换的任何信息应仅用于所请求的事项。
第15条 例外
本章不适用于被认可的(recognised)数据利他主义组织或其他非营利实体,只要它们的活动包括为普遍利益(general interest)目的收集数据,由自然人或法人基于数据利他主义提供,除非这些组织和实体一方面旨在于数量不确定的数据主体和数据持有者之间建立商业关系,另一方面在数据使用者之间建立商业关系。
第四章 数据利他主义
第16条 数据利他主义的国家安排
成员国可以在组织或技术方面有所安排,或两者兼而有之,以促进数据利他主义。为此,成员国可以制定数据利他主义的国家政策。这些国家政策尤其可以帮助数据主体自愿提供公共部门持有的与其相关的个人数据,以实现数据利他主义,并规定需要向数据主体提供的有关数据为普遍利益而重用的必要信息。
如果成员国制定了此类国家政策,则应将其告知委员会。
第17条 被认可的数据利他主义组织的登记簿
1. 各数据利他主义组织登记主管部门应保存并定期更新被认可的数据利他主义组织国家登记簿。
2. 委员会应维护被认可的数据利他主义组织的联盟登记簿,以备查阅。如果一个实体根据第18条在国家登记簿中登记为被认可的数据利他主义组织,则可以在其书面和口头交流中使用“联盟认可的数据利他主义组织”作为标签以及通用标志。
为了确保被认可的数据利他主义组织在整个联盟中易于识别,委员会应通过实施性法案建立通用标志。经认可的数据利他主义组织应当在与其数据利他主义活动相关的每一个线上和线下出版物上清晰地展示该通用标志。通用标志应附有一个二维码,链接到被认可的数据利他主义组织的联盟登记簿。
这些实施性法案应按照第33条第2款所述的咨询程序制定。
第18条 登记的一般要求
为了有资格在被认可的数据利他主义组织的国家登记簿中登记,实体应:
(a) 开展数据利他主义活动;
(b) 是根据成员国法律成立的法人,以实现国家法律规定的普遍利益目标(如适用);
(c) 运营非以营利为目的,并在法律上独立于以营利为目的的任何实体;
(d) 通过在功能上与其他活动分开的方式开展其数据利他主义活动;
(e) 遵守第22条第1款提及的规则手册,最迟在该款中提及的授权法案生效18个月后开始执行。
第19条 被认可的数据利他主义组织的登记
1. 符合第18条要求的实体,可向其所在成员国的被认可的数据利他主义组织的国家登记簿提交登记申请。
2. 符合第18条要求并在多个成员国设有机构的实体,可以向其主要机构所在成员国的被认可的数据利他主义组织的国家登记簿提交登记申请。
3.符合第18条要求但未在欧盟设立机构的实体应在其提供数据利他主体服务的成员国之一指定法定代表人。
为确保遵守本条例,实体应授权该法定代表人,使得数据利他主义组织登记主管部门就关于该实体的数据利他主义组织登记、数据主体、数据持有者等问题,可同时或直接向该法定代表人送达相关文书。该法定代表人应配合数据利他主义组织登记主管部门,并根据要求向数据利他主义组织登记主管部门全面展示数据利他主义组织为确保遵守本条例而采取的行动和制定的规章。
该实体应被视为受其法定代表人所在成员国管辖。此类实体可以向该成员国被认可的数据利他主义组织的国家登记簿提交登记申请。实体指定法定代表人不得影响可能对该实体提起的任何诉讼(legal actions)。
4. 第1、2、3款所述的登记申请应包含以下信息:
(a) 实体的名称;
(b) 实体的法律地位、形式以及(在国家登记簿中登记实体的)登记号;
(c) 实体的章程(如适用);
(d) 实体的收入来源;
(e) 实体在欧盟的主要机构的地址(如果有),以及另一个成员国的任何二级分支机构或法定代表的地址(如适用);
(f) 一个可以找到有关数据中介服务提供者和其活动的完整、最新信息(至少包括本款第a、b、d、e、h项所列信息)的公开网站一个公共网站;
(g) 实体的联系人和联系方式;
(h)其收集数据时的促进普遍利益目标;
(i) 实体拟控制或处理的数据的性质,如果是个人数据,则说明个人数据的类别;
(j) 任何其他证明符合第18条要求的文件。
5. 该实体已依第4款规定提交所有必要信息,并经数据利他主义组织登记主管部门审核登记申请后被认为符合第18条规定之条件的,数据利他主义组织登记主管部门应在收到登记申请后的12周内,在被认可的数据利他主义组织的国家登记簿中予以登记。登记应在所有成员国有效。
数据利他主义组织登记主管部门应将登记事项告知委员会。委员会应将该登记纳入被认可的数据利他主义组织的联盟登记簿。
6. 第4款第a、b、f、g、h项提及的信息应在被认可的数据利他主义组织的相关国家登记簿中公布。
7. 被认可的数据利他主义组织应当自登记事项变更之日起14日内,将依据第4款提供的信息变更情况告知数据利他主义组织登记相关主管机构。
数据利他主义组织登记主管部门应立即以电子方式将每项告知事项告知委员会。基于此类告知,委员会应立即更新被认可的数据利他主义组织的联盟登记簿。
第20条 透明度要求
1. 被认可的数据利他主义组织应保留有关以下内容的完整、准确记录:
(a) 有可能处理该被认可的数据利他主义组织持有数据的所有自然人或法人,及其联系方式;
(b) 处理个人数据或使用非个人数据的日期或持续时间;
(c) 被赋予处理机会的自然人或法人所声明的处理目的;
(d) 处理数据的自然人或法人支付的费用(如有)。
2. 经认可的数据利他主义组织应编制年度活动报告,并报送数据利他主义组织登记主管部门,其中至少应载明下列内容:
(a) 被认可的数据利他主义组织的活动信息;
(b) 说明在特定财政年度内促进收集数据所依据的普遍利益目标的方式;
(c) 允许处理其持有的数据的所有自然人和法人的名单,包括对此类数据处理所追求的普遍利益目标的简要描述以及对用于处理的技术手段的描述,包括对用于保护隐私和数据保护的技术的描述;
(d)被认可的数据利他主义组织允许的数据处理结果概览(如适用);
(e) 有关被认可的数据利他主义组织的收入来源的信息,特别是允许访问数据的所有收入,以及有关支出的信息。
第21条 保障数据主体和数据持有者数据上权益的具体要求
1. 被认可的数据利他主义组织应在对数据主体或数据持有者数据进行任何处理之前,以清晰易懂的方式告知数据主体或数据持有者:
(a)普遍利益的目标,以及(如适用)处理个人数据的指定、明确和合理(legitimate)的目的,以及允许数据使用者处理其数据的目的;
(b) 该处理由该被认可的数据利他主义组织在第三国进行的,处理的地点和相应的普遍利益目标。
2. 被认可的数据利他主义组织不得将数据用于数据主体或数据持有者允许处理的普遍利益之外的其他目的。被认可的数据利他主义组织不得使用误导性营销做法请求提供数据。
3. 被认可的数据利他主义组织应提供工具,以获取数据主体的同意或处理数据持有者关于处理数据的许可。被认可的数据利他主义组织还应提供工具,以便轻松撤回此类同意或许可。
4. 被认可的数据利他主义组织应采取措施,确保其基于数据利他主义收集的非个人数据的存储和处理具有适当的安全级别。
5. 如果被认可的数据利他主义组织分享的非个人数据遭到未经授权的传输、访问或使用,其应立即告知数据持有者。
6. 如果被认可的数据利他主义组织为第三方的数据处理提供便利,包括通过提供工具来获得数据主体的同意或处理数据持有者关于处理数据的许可,则应(在相关时)指明数据使用的第三国司法管辖区。
第22条 规则手册
1.欧盟委员会应根据第32条通过授权制定规则手册,作为本条例的补充:
(a)提出适当的信息要求,以确保在作出数据利他主义同意或许可之前,向数据主体和数据持有者提供有关数据使用、做出和撤销同意或许可的工具以及为避免滥用与数据利他主义组织分享的数据而采取的措施得足够详细、清晰和透明的信息;
(b)提出适当的技术和安全要求,以确保数据的存储、处理以及做出、撤回同意或许可的工具具有合适的安全水平;
(c)沟通路线图采用多学科方法,以提高人们对数据利他主义、被认定为“欧盟认可的数据利他主义组织”以及利益相关方(特别是可能分享数据的数据持有者和数据主体)之间的规则手册的认识;
(d)有关互操作性标准的建议。
2.编制第1款所述的规则手册,应与数据利他主义组织和利益相关者密切合作。
第23条 数据利他主义组织登记的主管机构
1.各成员国应指定一个或多个主管机关,负责其认可的数据利他主义组织的国家公共登记。
数据利他主义组织的登记主管机关应遵守第26条中规定的要求。
2.,各成员国应将其数据利他组织登记主管机关告知欧盟委员会,具体日期为【本条例生效之日起15个月之日】。各成员国还应将其后有关主管机关的任何变更告知欧盟委员会。
3.如果此类任务与处理个人数据有关的话,成员国数据利他主义组织的登记主管机关应与相关的数据保护主管机关合作完成其任务并且与该成员国的相关机构主管机构合作。
第24条 合规监管
1.数据利他主义组织的登记主管机关应监控其认可的数据利他主义组织遵守本条规定的要求。根据自然人或法人的请求,数据利他主义组织的登记主管机关也可以监控和监督此类被认可的数据利他主义组织的合规性。
2.数据利他主义组织的登记主管机关有权要求其认可的数据利他主义组织提供必要的信息,以验证是否符合本条的要求。任何信息请求应与任务的执行相称并合理。
3.如果数据利他主义组织登记主管部门发现其认可的数据利他主义组织不符合本条的一项或多项要求,应将这些发现告知这些数据利他主义组织,并在其收到告知后30天内给予其陈述意见的机会。
4.数据利他主义组织登记主管部门有权要求其立即或在合理期限内停止第3款所述的违法行为,并应采取适当且相称的措施,以确保其遵守。
5.如果被认可的数据利他主义组织在被数据利他主义组织登记主管部门按照第3款的要求告知后,仍不遵守本章的一项或多项要求,该被认可的数据利他主义组织应:
(a)失去在任何书面和口头交流中使用“欧盟认可的数据利他主义组织”标签的权利;
(b)从相关的被认可的数据利他主义组织的成员国公共登记和被认可的数据利他主义组织的欧盟公共登记中删除。
任何撤销第一分段第a项规定的“欧盟认可的数据利他主义组织”标签使用权的决定,应由数据利他主义组织登记主管部门予以公开。
6.如果一个被认可的数据利他主义组织的主要机构或法定代表人位于一个成员国,但却在其他成员国开展活动,主要机构或法定代表人所在地成员国的数据利他主义组织登记主管部门和其他成员国的数据利他主义组织登记主管部门应相互合作和协助。此类协助与合作可能涉及相关数据利他主义组织登记主管部门之间的信息交流,以完成其在本条例规下的任务以及采取本条所述措施的合理请求。
如果一个成员国的数据利他主义组织登记主管部门请求另一个成员国的数据利他主义组织登记主管部门提供协助,则应提交合理的请求。数据利他主义组织的登记主管机关应在收到请求后,应立即在与请求的紧迫性相称的时间范围内作出回应。
在根据本条款请求和提供协助范围内交换的任何信息,只能用于请求协助的事项。
第25条 欧洲数据利他主义同意书
1.为了促进基于数据利他主义的数据收集并让相关利益相关者适当参与,欧盟委员会应在咨询欧洲数据保护委员会后,考虑欧洲数据创新委员会的建议,通过实施性法案,制定并发展欧洲数据利他主义同意书。该同意书应允许以统一格式收集成员国之间的同意或许可。这些实施性法案应按照第33条第2款所述的咨询程序通过。
2.欧洲数据利他主义同意书应采用模块化方法,允许针对特定部门和不同目的进行定制。
3.在提供个人数据的情况下,欧洲数据利他主义同意书应确保数据主体能够按照(EU) 2016/679号法规.的要求,对特定数据处理操作作出同意和撤回同意。
4.该同意书应以一种可以打印在纸上、易于理解的方式提供,以及以一种电子的、可机读的形式提供。
第五章 主管机关和程序性规定
第26条 与主管机关相关的要求
1.数据中介服务主管部门和数据利他主义组织登记主管部门应在法律上区别于任何数据中介服务提供者或被认可的数据利他主义组织,且在功能上独立于任何数据中介服务提供者或被认可的数据利他主义组织。数据中介服务主管部门和数据利他主义组织登记主管部门的职能可由同一机构履行。成员国可为此目的设立一个或多个新的机构或依赖现有机构。
2.数据中介服务主管部门和数据利他主义组织登记主管部门应以公正、透明、一致、可靠和及时的方式执行其任务。执行任务的,应当保障公平竞争和非歧视。
3.负责执行数据中介服务主管部门和数据利他主义组织登记主管部门相关任务的高级管理层及工作人员不得是其评估服务的设计者、制造商、供应商、安装者、购买者、所有者、使用者或维护者,也不得是其中任何一方的授权代表。但这不应妨碍使用数据中介服务主管部门和数据利他主义组织登记主管部门运营所需的评估服务或出于个人目的使用此类服务。
4.数据中介服务主管部门和数据利他主义组织登记主管部门的高级管理层人员和工作人员不得从事任何可能与其评估活动判断独立和诚信相冲突的活动。
5.数据中介服务主管部门和数据利他主义组织登记主管部门应拥有足够的财力和人力资源,以执行分配给他们的任务,包括必要的技术和资源。
6.一个成员国的数据中介服务主管部门和数据利他主义组织登记主管部门应在合理要求下向欧盟委员会和其他成员国的数据中介服务主管部门以及数据利他主义组织登记主管部门提供信息,不迟延地提供执行本条例规定的任务所需的信息。如果数据中介服务主管部门或数据利他主义组织登记主管部门认为是根据欧盟法律和成员国法律将商业和专门保密法要求保密的信息,欧盟委员会和任何其他数据中介服务主管部门或有关数据利他主义组织的登记主管机关应确保此类信息的保密性。
第27条 申诉权
1.自然人和法人有权就属于本条例范围内的任何事项单独或在相关情况下集体提出申诉,向数据中介服务提供者的有关主管机关,或向数据利他主义组织登记的有关主管机关。
2.被申诉的数据中介服务主管部门或数据利他组织登记主管机关应将下述情况告知申诉人:
(a)诉讼程序的进展和所作出的决定;
(b)第28条中规定的司法救济措施。
第28条 获得有效的司法救济的权利
1. 尽管存在行政或其他非司法救济途径,任何受影响的自然人和法人均有权就主管机关在管理中对数据中介服务作出的本条例第14条所述具有法律约束力的决定,控制和执行数据中介服务提供者的告知制度,以及主管机关在监控被认可的数据利他主义组织时,为数据利他主义组织的登记所作出的本条例第19条和第24条所述的具有法律约束力的决定,寻求有效的司法救济。
2. 根据本条提出的诉讼应提交数据中介服务主管部门或单独寻求司法救济的数据利他主义组织的登记主管机关成员国的法院或法庭,或者在相关情况下,由一个或多个自然人、法人的代表集体提出。
3.如果数据中介服务主管部门或数据利他组织登记主管机关未对投诉采取行动,任何受影响的自然人和法人应依照国家法律,有权获得有效的司法救济,或有权获得具有适当专门知识的公正机构的审查。
第六章 欧洲数据创新委员会
第29条 数据创新委员会
1.欧洲委员会应以专家组的形式设立欧洲数据创新委员会,由数据中介服务主管部门和所有成员国数据利他组织登记主管机关的代表、欧洲数据保护委员会、欧洲数据保护主管、ENISA(网络与信息安全局)、欧盟委员会、欧盟中小企业代表或中小企业网络任命的代表,以及特定行业相关机构的其他代表以及具有特定专业知识的机构。欧洲委员会在任命每个专家时,应力求在专家组成员中实现性别和地域平衡。
2.欧洲数据创新委员会至少由以下三个子小组组成:
(a)按照第30条第a、c、j和k项执行任务,由数据中介服务主管部门和数据利他组织登记主管机关组成的小组;
(b)根据第30条第f和g项,就标准化、可携性和互操作性进行技术讨论的小组;
(c)由来自行业、研究、学术界、民间社会、标准化组织、欧洲公共数据空间的相关代表和其他利益相关方和第三方组成,根据第30条第d、e、f、g和h项规定的任务向欧洲数据创新委员会提供咨询的利益相关方参与的子小组。
3.欧盟委员会将主持欧洲数据创新委员会的会议。
4.欧洲数据创新委员会应由欧盟委员会提供的秘书处协助。
第30条 欧洲数据创新委员会的任务
欧洲数据创新委员会应承担以下任务:
(a)就第7条第1款所述公共部门和主管机构在处理第3条第1款所述类别数据重用请求时制定一致的做法并向欧盟委员会提供建议和协助;
(b)就在整个欧盟范围内制定一致的数据利他主义实践向欧盟委员会提供建议和协助;
(c)就数据中介服务主管部门和数据利他主义组织登记主管部门在适用于数据中介服务提供者和被认可的数据利他主义组织的要求方面制定一致的做法,向欧盟委员会提供建议和协助;
(d)就如何在本条例的背景下最好地保护商业敏感非个人数据,尤其是商业秘密,以及代表受知识产权保护的内容的非个人数据,防止其被非法访问(可能导致知识产权盗用或工业间谍活动)向欧盟委员会提供咨询和协助;
(e)就数据交换和存储的网络安全要求制定一致的指导方针,向欧盟委员会提供建议和协助;
(f)考虑到标准化组织的投入以及新兴欧洲公共数据空间之间的跨部门数据分享,以确定用于数据使用和开发的跨部门标准的优先级,就安全和访问程序的部门要求进行跨部门比较和交流最佳实践,考虑特定行业的标准化活动,向欧盟委员会提供建议,尤其是澄清和区分哪些标准和实践是跨部门的,哪些是部门性的;
(g)考虑到标准化组织的投入,协助欧盟委员会在现有的欧洲、国际或国家标准基础上,通过加强跨境、跨部门的数据互操作性以及不同部门和领域之间的数据分享服务,解决内部市场的碎片化和内部市场的数据经济问题,尤其是鼓励创建欧洲公共数据空间的标准;
(h)为欧洲公共数据空间提出指导方针,即目的特定或部门特定或跨部门可互操作的共同标准和做法框架,以分享或共同处理数据,特别是用于开发新产品和服务、科学研究或民间社会活动,这些共同标准和做法考虑到现有标准,遵守竞争规则,并确保所有参与者不受歧视的访问数据,目的是促进欧盟内的数据分享,挖掘现有和未来数据空间的潜力,以解决以下问题:
(i)考虑到特定部门的标准化活动,为数据使用和跨部门数据分享、跨部门比较和交换有关安全和访问程序部门要求的最佳实践而使用和制定的跨部门标准,特别是澄清和区分哪些标准和做法是跨部门的,哪些是部门性的;
(ii)为确保公平竞争和互操作性,应对市场进入壁垒和避免锁定效应的要求;
(iii)充分保护向第三国的合法数据传输,包括防止任何欧盟法律禁止的传输;
(iv)让利益相关方在欧洲公共数据空间的治理中享有充分的和非歧视性的代表权;
(v)遵守欧盟法律的网络安全要求;
(i)促进成员国之间在设定协调条件方面的合作,以允许在整个内部市场重用第3条(1)款所述公共部门持有的各类数据;
(j)通过能力建设和信息交流,促进数据中介服务主管部门和数据利他主义组织登记主管部门之间的合作,特别是通过建立有效的交换与数据中介服务提供者的告知程序以及登记和监督数据利他主义组织的有关信息的方法,包括就设置费用或处罚进行协调,以及促进数据中介服务主管部门和数据利他主义组织登记主管部门在数据国际访问和传输方面的合作;
(k)就是否通过第5条第11款和12款中提到的实施行为向欧盟委员会提供咨询和协助;
(l)就根据第25条第1款制定欧洲数据利他同意表向欧盟委员会提供咨询和协助;
(m)就改善非个人数据的国际监管环境(包括标准化)向欧盟委员会提供意见。
第七章 国际访问和传输
第31条 国际访问和传输
1.公共部门、根据第二章授予数据重用权的自然人或法人、数据中介服务提供者或被认可的数据利他主义组织应采取所有合理的技术、法律和组织措施,包括合同安排,当此类传输或访问将与欧盟法或相关成员国的国内法产生冲突时,以防止国际传输或政府访问欧盟持有的非个人数据,符合本条第2款或第3款的情况除外。
2.第三国法院或法庭作出的任何决定或判决,以及第三国行政机关作出的任何决定,要求公共部门、根据第二章授予数据重用权的自然人或法人、数据中介服务提供者或被认可的数据利他主义组织在欧盟持有的本条例范围内传输或允许访问非个人数据,只有国际协议(如司法协助条约)在提出请求的第三国和欧盟之间生效,或在提出请求的第三国和成员国之间生效的情况下,才应以任何方式得到承认或执行。
3.在没有本条第2款所述国际协议的情况下,如果公共部门、自然人或法人根据第二章获得了数据重用权,数据中介服务提供者或被认可的数据利他主义组织是第三国法院或法庭的决定或判决的接收者,或第三国行政当局的决定的接收者,该决定或判决旨在传输或允许访问欧盟持有的本条例范围内的非个人数据,遵守该决定可能会使接收者陷入困境并与欧盟法律或相关成员国的国内法相冲突。只有在以下情况,该第三国机构才能将该等数据进行传输或访问:
(a)第三国制度要求阐明这一决定或判决的理由和相称性,并要求这一决定或判决具有特定的性质,例如与某些嫌疑人或违法行为建立充分的联系;
(b)接收者的合理异议可由有管辖权的第三国法院或法庭进行审查;
(c)根据第三国法律,发布行政机关决定、判决或审查其决定的第三国主管法院或法庭有权适当考虑受欧盟法或相关成员国国内法保护的数据提供者的相关法律利益。
4.如果满足第2款或第3款规定的条件,公共部门、根据第二章授予数据重用权的自然人或法人、数据中介服务提供者或被认可的数据利他主义组织应:根据对请求的合理解释,提供响应请求所允许的最小量数据。
5.公共部门、根据第二章授予数据重用权的自然人或法人、数据中介服务提供者和被认可的数据利他主义组织应在遵守该请求之前,将第三国行政机关访问其数据的请求告知数据持有者,除非该请求是为了执法目的并且是为了保证执法活动的有效性所必需的。
第八章 授权及委员会程序
第32条 授权的行使
1.根据本条规定的条件,欧盟委员会被授予开展授权行为的权力。
2.开展第5条第13款和第22条第1款所述的授权行为的权力,应自…[本条例生效日期]起不定期限内授予欧盟委员会。
3.第5条第13款和第22条第1款所述的权力授予可由欧洲议会或理事会随时撤销。撤销决定应当终止该决定所规定的权力的授予。该决定应在欧盟官方公报公布该决定的次日或其中规定的较晚日期生效。撤销不影响任何已经生效的授权行为的效力。
4.在授权行为之前,欧盟委员会应根据2016年4月13日《关于加强立法的机构间协定》规定的原则,咨询各成员国指定的专家。
5.一旦通过授权行为,欧盟委员会应同时告知欧洲议会和欧洲理事会。
6.根据第5条第13款或第22条第1款通过的授权行为只有在欧洲议会和理事会收到告知该行为的三个月内未表示反对或者在该期限到期之前,欧洲议会和欧盟理事会都已告知欧盟委员会他们不会反对时,才会生效。经欧洲议会或欧洲理事会提议,该期限可延长三个月。
第33条 委员会程序
1.欧盟委员会应由一个委员会协助。该委员会应是(EU)182/2011号条例所规定的委员会。
2.凡涉及本款的,应当适用(EU)182/2011号条例的第4条。
3.在涉及本款时,应适用(EU)182/2011号条例第5条。
第九章 最终及过渡条款
第34条 处罚
1.成员国应制定适用于违反第5条第14款和第31条规定的向第三国转让非个人数据义务、第11条规定的数据中介服务提供者告知义务的处罚规则,根据第12条提供数据中介服务的条件,以及根据第18、20、21和22条登记为被认可的数据利他主义组织的条件,并应采取一切必要措施确保其得到实施。规定的处罚应有效、适度且具有劝阻性。在其处罚规则中,成员国应考虑欧洲数据创新委员会的建议。成员国应在……[本条例生效之日后15个月]之前,将这些规则和措施告知欧盟委员会并立即将其后产生任何影响的修订告知欧盟委员会。
2.在对违反本条例的数据中介服务提供者和被认可的数据利他主义组织进行处罚时,成员国应酌情考虑以下非穷尽的指示性标准:
(a)违法行为的性质、严重程度、规模和持续时间;
(b)数据中介服务提供者或被认可的数据利他主义组织为减轻或弥补违法所造成的损害而采取的任何行动;
(c)数据中介服务提供者或被认可的数据利他主义组织之前的任何违法行为;
(d)数据中介服务提供者或被认可的数据利他主义组织因违法而获得的经济利益或避免的损失,只要该利益或损失能够被确定;
(e)适用于本案情况的任何其他加重或减轻情形的因素。
第35条 评估与审查
【本条例生效之日起39个月后】,欧盟委员会应对本条例进行评估,并就其主要结论向欧洲议会、欧洲理事会以及欧洲经济社会委员会提交一份报告。必要时,报告应附有立法建议。
报告应特别评价:
(a)成员国根据第34条制定的处罚规则的适用和效果;
(b)数据中介服务提供者和未在欧盟建立的被认可的数据利他主义组织遵守本条例的程度,以及对这些提供者和组织施加处罚的可执行程度;
(c)根据第四章登记的数据利他组织的类别,以及为分享数据而订立的普遍利益目标的概览,以确立这方面的明确准则。
成员国应向欧盟委员会提供编写该报告所需的资料。
第36条 (EU)2018/1724号条例
在(EU)2018/1724号条例附件二的表格中,“开始、运营和关闭一家业务”一项被替换为
第37条 过渡性安排
【自本法规生效之日起39个月】起,第10条所述数据中介服务的实体应遵守在第三章中规定的义务。
第38条 生效与适用
本条例自其在《欧盟官方公报》上发表后第20天起生效。
本条例将【自本条例生效之日起15个月】起适用。
本条例整体上具有约束力,并直接适用于所有成员国。
完成于
欧洲议会 欧洲理事会
主席 主席
评论