基于欧洲数据战略,欧盟于2020年提出的第一个立法倡议即当时的《数据治理法案》草案。旨在通过数据共享刺激社会数字经济发展,促进数据的可用性,增加对数据共享的信任并为研究和创新新服务和产品建立可信的数据使用环境。
根据欧盟理事会的最新消息,《数据治理法案》作为欧洲数据战略的重要组成部分,将建立强有力的机制,促进某些类别的受保护公共部门数据的再利用,增加对数据中介服务的信任,并促进整个欧盟的数据利他主义。新规则将在《数据治理法案》生效15个月后适用。
立法过程
2020年11月25日,欧盟委员会发布欧盟《数据治理法案》的拟议草案。
2021年12月,欧盟成员国就《数据治理法案》达成一致。
2022年4月6日,《数据治理法案》以501票赞成VS12票反对、40票弃权,获得欧洲议会批准。
2022年5月16日,《数据治理法案》经欧盟理事会批准成为法律。
经欧洲议会议长和欧盟理事会主席签署后,《数据治理法案》将在欧盟官方公报上公布,并在公布20天后生效。
公共数据再利用
《数据治理法案》将建立公共部门数据再利用机制。使某些类别的公共部门数据能够安全重用,包括商业秘密、个人数据和受知识产权保护的数据。从技术角度来看,允许数据再利用的公共部门机构需要配备适当的设备,以确保隐私和机密性得到充分保护。在这方面,《数据治理法案》将补充2019年开放数据指令(the Open Data Directive),该指令不涵盖此类数据。
如果有正当理由和必要,可以对公共部门数据的再利用进行排他性安排,从而以提供具有普遍意义的服务。其中,现有合同的最长期限为30个月,新合同的最长期限为12个月。
此外,欧洲委员会将建立一个欧洲单一接入点,其中有一个可搜索的公共部门数据电子登记册。该登记册将通过各成员国设立的国家单一信息点提供。
新商业模式:数据中介
《数据治理法案》创建了一个框架,以促进新的商业模式--数据中介机构的发展。数据中介机构本质上是数据共享服务提供商,且在交换数据方面保持中立的要求——不能将此类数据用于其他目的。通过提供一个安全的环境,让公司或个人可以在其中共享数据。
对于公司而言,数据中介机构可以采取数字平台的形式,支持公司之间的自愿数据共享,并促进履行《数据治理法案》及欧洲或国家层面的其他立法所提出的数据共享义务。通过数据中介机构,公司将能够共享他们的数据,而不必担心数据被滥用或失去竞争优势。
对于个人数据,数据中介机构将帮助个人行使其在一般数据保护条例(GDPR)下的权利。帮助人们完全控制他们的数据,并允许与信任的公司分享数据。这可以通过个人信息管理工具来实现,如个人数据空间或数据钱包,这些是在数据持有者同意的基础上与他人共享此类数据的应用程序。
值得注意的是,数据中介机构需要在指定的主管当局进行备案,而由于其不得将共享数据用于其他目的,因此他们无法直接从数据中受益(如出售数据),不过可能会对他们进行的交易收费。
为了共同利益的数据利他主义
《数据治理法案》使个人或公司出于公共利益(例如医学研究项目)自愿提供数据。
出于公共利益目标收集数据的实体则可以要求被列入数据利他主义组织的国家登记册中。注册组织将在整个欧盟范围内得到认可。这将为数据利他主义组织创造必要的信任,鼓励个人和公司向这些组织捐赠数据,以便将它们用于更广泛的社会利益。
如果一个组织想要被DGA认定为数据利他主义组织,则必须遵守特定的规则手册。
新组织:欧洲数据创新委员会
根据《数据治理法案》,欧盟将成立欧洲数据创新委员会(European Data Innovation Board),为欧洲委员会提供咨询和协助,加强数据中介服务的互操作性,并发布关于如何促进数据空间发展的准则等任务。
非个人数据的国际访问和传输
《数据治理法案》还为公共部门数据、数据中介和数据利他主义组织提供保障,防止非法国际传输或政府访问非个人数据。至于个人数据,欧盟在GDPR中已经有类似的保障措施。
此外,委员会可以通过充分性决定,宣布特定的非欧盟国家为使用从欧盟转移的非个人数据需要提供适当保障。这些决定类似于GDPR的有关个人数据的充分性决定——当有关国家采取了同等措施以确保与欧盟或成员国法律提供的保护水平相当时,即被认为存在安全保障。
委员会还可以通过示范合同条款,在《数据治理法案》涵盖的非个人数据转移到第三国的情况下,为公共部门机构和数据再利用者提供参考。