2023年6月27日,欧盟议会和欧盟理事会就新的《数据法案》(Data Act)达成了政治协议,该法案目前正在接受正式批准,一旦获得通过,将在官方公报发布后 20 天生效,并在 20 个月后正式实施。
欧盟《数据法案》(图片来源:欧盟官网)
欧盟《数据法案》旨在让欧盟的最终用户对使用联网设备时生成的数据有更多的控制权,包括让用户访问智能产品、机器或设备生成的数据,并在他们选择的情况下与外部各方共享这些数据。欧盟工业负责人蒂埃里•布雷顿(Thierry Breton)称其为欧盟“重塑数字空间的里程碑”,而德国制造商西门子医疗(Siemens Healthineers)却表示,“与其说是机遇,不如说是威胁”。
相比于《数字市场法》和《数字服务法》,欧盟的《数据法案》将影响的行业更加广泛,争议也更为复杂。
欧盟战略性规定工业数据的权属、深挖价值
欧盟《数据法案》是欧盟委员会于2020年2月通过的重要立法提案。与《数据治理法案》不同的是,《数据治理法案》的重点是提供促进非个人数据共享的法律框架、流程和结构,而《数据法案》侧重于明确谁可以从数据中创造价值;而与已经实施5年的《通用数据保护条例》(GDPR)仅仅针对“个人数据”进行保护不同的是,《数据法案》涉及所有数据,包括个人数据与工业数据。
消费者的数据可移植权
购买和使用智能设备产生了更多数据,也由此将购买关系复杂化。谁有权拥有、控制通过连接对象生成的数据,各国对此的法律规定和监管都存在一定的不确定性,也导致了一定程度上的数据利用不足。一般来说,设备的制造商和购买者主要通过合同来解决这种不确定性,而这种做法通常有利于设备的制造商。
但欧盟《数据法案》却意在打破这一传统做法。该法案明确表示,“欧盟消费者”将有权免费实时访问所有这些数据,并可以要求制造商与其他维修或服务提供商共享这些数据,促进售后市场竞争。
“非个人数据”浪潮
但消费者权益并非《数据法案》的要旨,数据留在欧盟才是关键。
美国媒体Politico分析称,Meta 和谷歌等美国公司在过去十年中有效地利用了个人数据,使美国能够赢得与世界其他国家的消费技术之战。由于下一场战斗毫无疑问将是人工智能推动工业和个人工作生产力的提高,欧洲不能让自己忽视下一波浪潮——非个人数据的浪潮。
2020年2月,欧盟委员会发布《欧洲数据战略》(A European Strategy for data)。这份纲领性文件指出,数据是创新和经济增长的重要资源,应确保欧洲获取更多数据,同时保持对生成数据的公司和个人的控制。根据欧盟委员会的估算,到2028年,新的数据规则将创造2700亿欧元的额外GDP。
企业被迫放弃数据
总体来说,《数据法案》目的是让汽车、冰箱和智能手机等联网设备的欧盟用户控制其数据,防止供应商锁定,并在欧洲云服务市场实现更多竞争;此外,由于引入了政府在索取企业数据的规则,欧盟政府能够在紧急情况下访问私营公司控制和生成的数据。
而从另一侧面来说,欧盟《数据法案》规定了谁必须放弃数据——即在自动化和数字化方面投入巨资的重量级企业将被迫放弃数据。
《数据法案》遭遇的反对和实施难题
家用轿车、卡车、工业机器人、联网咖啡机、智能冰箱、智能扬声器或手表……每一个可以连接到互联网的产品都将产生数据和数据共享的问题,这意味着《数据法案》将针对欧洲的每个行业,并试图改变所有企业正在使用的数据商业模式。
这引发了公司的担忧,当他们自己刚刚开始利用收集到的数据时就需要共享这些数据。因此许多行业协会提出反对意见:
BusinessEurope和机械工程工业协会(VDMA)都要求欧盟保留数据共享方面的合同自由,认为企业间的数据共享应保持自愿;
信息技术产业委员会(ITI)与其他 12 个行业协会合作发布了一封联合信,批评该法案的几项条款给公司带来了重大的技术和法律挑战,因此可能会降低企业收集和处理的数据的数量和质量。
欧盟数字规则再次瞄准了美国企业?
欧盟大约有70% 以上的云服务由美国公司提供。欧盟显然不欢迎这一主导市场的力量,其政界人士和监管机构基于数据安全和经济发展的理由,正在试图通过监管规则减少这一比例。
《数据法案》要求云提供商采取措施,保护客户数据不受外国域外政府数据访问法律的影响,因为这些法律可能与欧盟关于隐私或其他欧盟基本权利、知识产权(包括商业秘密)、以及“成员国与国家安全或国防有关的根本利益”相冲突。
欧盟工业负责人蒂埃里•布雷顿曾经表达过这些数字规则“针对美国”的背景,“通过《数据治理法》和《数据法案》调整了我们的监管框架,插入了反《云法案》(CLOUD Act)条款,因为以不合理的方式访问欧洲人的数据是不可接受的。”
TIPS:美国《云法案》
《云法案》(CLOUD Act)是美国颁布的一项法律,取代了更早的《存储通信法案》(SCA),全称《澄清境外数据的合法使用法》,于2018年3月23日签署生效。该法案的目的是为执法机构提供更加明确的权限,表面上是在调查犯罪时访问跨境存储的电子数据,实际上是方便管理和索取,所有美企必须将储存在境内外的数据提交给政府。由于美国社交平台公司、云端服务提供商在全球市场占领大部分份额,这意味美国企业在全球业务扩展到多少国家,美国的数据主权就扩展到哪里。
此外,欧盟通过《数据市场法》《数字服务法》《数据法案》配合使用,打造了“不对称的数据共享规则”框架。
根据《数据市场法》,美国大型科技公司谷歌、Meta、亚马逊、苹果和微软将被定义为“看门人”;而《数据法案》规定,“看门人”将无法使用《数据法案》规定的可移植权将数据传输给其他“看门人”。
这意味着,美国数字平台需要根据竞争对手的要求向其传输大量数据,但却无法接收其他公司生成的数据。这让美国企业感受到强烈的被“歧视”
欧盟《数字市场法》的时间轴(图片来源:欧盟官网)
牛津马丁学院研究人员的最新估计显示,欧盟《通用数据保护条例》(GDPR)导致企业(大部分是美国企业)利润下降 8.1%,销售额下降 2.2%。而美国国际战略研究中心(CSIS)一项分析还显示,《数据市场法》、《数字服务法》和其他新技术法规将会给美国企业带来22 至 500 亿美元之间的额外合规成本,美国全球服务出口可能下降2%。
《数据法案》作为GDPR的“工业助手”,将要求美国企业对某些商业惯例做出重大调整,其销售额和利润率或将进一步下降。
商业秘密保护的问题
不仅美国公司反对《数据法案》,许多欧洲工业巨头也加入了反对的行列中,其中包括西门子医疗、软件公司SAP,以及飞机制造商空客等。
欧洲工业巨头主要担心的是,强制数据共享,尤其是与售后市场的竞争对手共享数据,可能会暴露商业敏感数据,从而刺激创建与欧洲公司竞争的山寨技术。
德国软件制造商 SAP 和西门子在致欧洲官员的信中表示反对,指出《数据法案》“不仅要求与用户共享数据,还要求与第三方共享数据,包括核心技术和设计数据,从而有损害欧洲竞争力的风险。”
该法案的最终谈判重点就是围绕该如何保护这些商业秘密展开的。欧盟国家认为这些秘密的披露将导致“严重损害”,因此希望提供一些豁免规定;然而,欧盟立法者担心,“数据共享豁免”会给法案造成新的漏洞。
目前的法案版本中增加了一些措施,允许公司在可能面临“严重情况”、并因此造成“无法挽回的经济损失”的情况下拒绝数据共享请求。但如何证明这一“严重情况”和“经济损失”是另外一个难题,在实际的操作中,与执法者、其他供应商及消费者沟通“共享豁免”,显然又是一份不小的合规负担。
互操性与网络安全
《数据法案》另一个关键的变化是“赋予客户在各种云数据处理服务提供商之间切换的自由”。这一自由必须建立在互操性统一的前提之上。然而并非所有服务都构建在相同的代码或操作系统上,这使得将一个平台的数据迁移到替代供应商的平台,从技术和成本的角度来说,就比想象中困难得多。
从另一个层面来说,在维护商业秘密和数据安全的同时,构建完全可互操作系统,几乎是不可能的。因为创建一个自动将信息转移到其他地方的系统,本身就会被视为可利用的安全漏洞。
数字欧洲和欧洲工业商业圆桌会议最近发表了一份联合声明,对他们认为的工业数据持有者和创造者的根本利益敲响了警钟:
“在未来几十年,充分利用数据的价值对欧洲的竞争力至关重要。但就目前而言,《数据法案》将迫使那些在制造业、绿色科技和医疗等领域大举投资自动化和数字化的欧洲重量级企业交出他们的数据,导致新一轮去工业化浪潮,并使我们的网络安全面临风险。”
欧盟《数据法案》会为中国企业创造机会吗?
欧盟对中国企业来说,无疑充满了机会。近期阿里巴巴公司总裁迈克尔·埃文斯宣布将把天猫引入欧洲的同时,就表示,对于所有拥有国际业务的企业来说,欧洲是重中之重,他还特别强调了“国际商务业务、云业务和物流业务”。
如前所述,欧盟《数据法案》针对美国公司的“歧视”可能造成这样一种情况的可能性:
美国Amazon的某个公司客户,希望将其在Amazon的数据传输到另一家云服务公司,但数据接收者不可以是另一个“看门人”,比如Microsoft或苹果公司;那么未被指定为“看门人”的中国公司可能会得到这一“获取数据”的机会,因为中国公司通常比欧盟的同行效率更高。
讽刺的是,这个假设的案例,是在CSIS一篇反对《数据法案》、并提醒欧盟实施该法案风险的文章中被提出来的,因为中国公司被该美国智库视为可引发“一系列经济安全问题”、更坏的替代方案。由此,中国企业可能会在欧盟抵御美国数字影响力的博弈中受益,同时也容易成为美国转移欧盟注意力的靶子。
另外,《数据法案》只是欧盟迈向数字主权的一个要素,最终还是为了在竞争劣势的情况下发展欧盟的企业。虽然欧盟市场上可能会出现替代平台和企业,但如果他们仅是凭接收移植数据而非创新才具有一定的市场优势,那么长期下去将导致欧盟数字服务整体的动态减弱。
从这个意义上来说,欧盟市场仍需要中国企业为其提供竞争和创新的动力。
本文来自微信公众号“Internet Law Review”(ID:Internet-law-review),作者:互联网法律评论。
文章评论