據報道，歐盟議會近期正式批準了歐盟《數據法案》，該法律旨在對智能設備的制造商和供應商以及智能設備生成的數據的處理者實施新的法規，此類產品包括智能照明系統、智能吸塵器、智能門鈴等。

歐盟數據法要求這些產品的制造商和供應商以及處理從設備接收的數據的各方遵守以下規定：

• 允許用戶訪問和使用設備生成和存儲的有關他們的數據。
• 使用戶能夠在不同服務之間傳輸數據。
• 確保能夠在各種系統中使用數據。
• 遵守與歐洲數據市場的任何監管有關的規定。

此外，該法律允許歐洲公共部門機構在特殊情況下獲取私營部門公司持有的數據。

《數據法案》的影響

該法律預計將于 2025 年 7 月底生效。對于制造、供應和處理智能設備相關數據的公司的全面影響仍不清楚。在該法律生效之前的過渡期間，企業收集和存儲互聯產品數據的方式將需要進行特殊改變。我們評估，企業將需要制定和實施有關收集和管理來自智能設備的數據以及有關此類數據的用戶請求的最新程序。企業還需要審查產品許可和使用協議，以便數據所有權問題符合法律規定。

《數據法案》（Data Act）彌補了《數據治理法案》的偏頗，在歐盟《通用數據保護條例》（簡稱“GDPR條例”）的基礎上，提供了適用于所有數據的更廣泛的規則。

由于《 數據法案》的要求涉及非常廣泛，所有企業都應評估其任何產品或服務是否會受到《數據法案》的約束。  

歐盟的數據法案于2024年1月11日生效。為了實現“解鎖”歐盟數據經濟的既定目標，《數據法案》對物聯網(“IoT”)設備和相關服務的提供商以及云計算提供商施加了一系列廣泛的數據共享、產品設計和合同義務。《數據法案》規定的義務適用于所有經濟部門和各種規模的企業。由于《數據法》的廣泛要求，所有公司都應該評估自己的產品或服務是否會受到《數據法案》的約束。該法案規定的義務將從2025年下半年開始實施，因此很多企業幾乎沒有足夠的時間制定有效的合規戰略。

執行概要

《數據法案》基于這樣一個普遍假設：互聯設備、服務和云軟件產生的絕大多數數據都未被使用，或者被少數大公司收集。通過這項新立法，歐盟尋求“解鎖”這些數據，促進數據在一個服務和另一個服務之間移動，并使用戶能夠訪問這些數據——如果得到用戶的批準，第三方企業也可以訪問這些數據。

《數據法案》 的范圍將適用于在歐盟市場上銷售的互聯產品制造商和相關服務提供商；此類互聯產品或服務在歐盟的用戶；向歐盟接收方提供數據的數據持有人；歐盟的數據接收方；向歐盟客戶提供服務的數據處理服務提供商；歐盟機構和公共部門機構根據條例訪問數據。因此， 《數據法案》也將適用于在歐盟市場運營的外國公司，而無論其在歐盟的設立地點或子公司。

《數據法案》所涵蓋的產品和服務類型被故意定義得非常寬泛。“互聯產品”被定義為“獲取、生成或收集有關其使用或環境的數據，并能夠通過電子通信服務、物理連接或設備上訪問傳輸產品數據的物品，其主要功能不是代表用戶以外的任何一方存儲、處理或傳輸數據”。“相關服務”被定義為“電子通信服務以外的數字服務，包括軟件，在購買、租賃或租賃時與產品相連，其缺失會阻止連接產品執行一項或多項功能，或者隨后由制造商或第三方與產品相連，以增加、更新或調整連接產品的功能”。

《數據法案》將觸及歐洲經濟幾乎所有領域的各種規模的公司，包括智能消費設備、汽車、聯網工業機械、智能冰箱和其他家用電器的制造商，以及與聯網產品(如流媒體服務或數據分析軟件)交互的任何相關服務的制造商。

《數據法案》同樣會對云計算提供商產生影響。

《數據法案》將要求通過使用物聯網設備(“互聯產品”)或連接到這些設備的相關服務生成的數據的可用性和可移植性。它還引入了意義深遠的義務，旨在允許用戶輕松地在云服務提供商之間切換，以及規范智能合約。

《數據法案》現已在正式公布，并于2024年1月11日生效。《數據法案》的規定將在生效之日起20個月后開始適用，這意味著受影響的企業需要在2025年9月12日之前做好遵守該法案的準備。與互聯產品相關的設計要求將適用于2026年9月12日之后在歐盟投放市場的產品。

《數據法案》 還將引入一套管理公司之間有關數據訪問和使用的協議的規則，并禁止被認為不公平或濫用的合同條款。凡在2025年9月12日之后簽訂的合同，這些規定將自動適用。對于2025年9月12日或之前簽訂的合同，這些規定將從2027年9月12日開始適用。

由于《數據法案》的范圍和義務范圍廣泛，企業必須現在就開始準備，審查他們的產品、做法和政策，以確保合規。 《數據法案》的實施將需要對產品進行重大修改，并修訂合同條款。例如，企業應該開始審計他們的數據存儲策略，并考慮實施數據法案廣泛的數據共享要求所需的更改。管理數據共享和處理實踐的合同也需要進行審查，并可能進行修訂。

對于一些公司來說，《數據法案》還將開辟新的商業機會，而且——由于 《數據法案》下的權利不僅限于中小企業——大型企業將被授權從這項立法中受益，并基于《數據法案》 下可訪問的第三方數據開發新的商業模式。

接下來，我們繼續看看《數據法案》 的主要內容和影響。

物聯網設備和服務

《數據法案》規定了將互聯產品生成的數據提供給此類互聯產品的用戶、應用戶要求提供給第三方以及在特殊情況下提供給公共部門機構的法律義務。

受影響的產品和服務范圍非常廣泛。互聯產品包括收集有關其使用或環境的數據，然后可以通過電子通信服務、物理連接或設備上訪問傳輸此類數據的所有設備和設備。

例如，B2B連接的產品可能包括汽車制動系統、電梯、能夠收集數據的工廠機器或智能太陽能電池板。在B2C領域，例子包括智能冰箱、智能揚聲器和清潔機器人、健身追蹤器、醫療設備和現代汽車等家用電器。但是，主要用于顯示或播放內容或記錄和傳輸內容的產品(例如，個人電腦、服務器、平板電腦和智能手機、相機)不在《數據法案》的范圍之內。

與互聯產品相關的義務也涵蓋相關服務。這些是在購買時包含在產品中或與產品相互連接的數字服務，或隨后由制造商或第三方連接到產品中，并且對于產品執行其主要功能至關重要。值得注意的例子包括語音助手，連接到智能揚聲器的音樂流媒體服務，連接到健身追蹤器的生活方式建議應用程序，工業機器的命令和控制軟件，以及用于建筑物能源優化的軟件。

在《數據法案》中，互聯產品制造商被認定為“數據持有者”。關于 《數據法案》范圍內的數據，該法規區分了“產品數據”和“相關服務數據”。“產品數據”是指使用連接產品產生的數據，這些數據是由制造商設計的，可由用戶、數據持有人或第三方通過電子通信服務、物理連接或設備訪問檢索。“相關服務數據”涵蓋“代表用戶操作或與連接產品相關的事件的數字化數據，這些數據由用戶故意記錄或作為提供商提供相關服務期間用戶操作的副產品而產生”。為了符合 《數據法案》的規定，“相關服務數據”必須與設備的使用有關。

根據《數據法案》，數據持有人將有義務設計互聯產品，使用戶能夠簡單、安全地訪問其使用所產生的數據。默認情況下應提供訪問，如果不能直接訪問，則應用戶的要求提供訪問。根據用戶的要求，數據持有者必須使數據“隨時可用”，以及解釋和使用該數據所需的元數據。

此外，如果用戶要求，數據持有者必須與第三方共享數據。數據持有人必須在公平、合理和非歧視的條件下共享數據。為了激勵產生有價值的數據，在B2B關系中，當法律上有義務向數據接收方提供數據時，數據持有者可以要求合理的補償。

在《數據法案》的談判過程中，如何在保護商業秘密與數據共享要求之間取得平衡是一個備受爭議的話題。一般來說，商業秘密必須受到保護，只有在數據持有人和用戶在披露前采取一切必要措施以保護機密性的情況下才必須披露。 

《數據法案》規定，披露數據的義務應以保留《商業秘密指令》(指令(EU) 2016/943)所提供的保護的方式進行解釋。數據持有人應在披露前識別商業秘密，并有可能與用戶或用戶選擇的第三方就保護其機密性的必要措施達成協議，包括使用示范合同條款、保密協議、嚴格的訪問協議、技術標準和適用行為守則。

沒有約定必要措施的，或者用戶選擇的第三方不履行約定措施或者破壞商業秘密保密性的，數據權利人應當有權拒絕或者暫停被認定為商業秘密的數據的共享。在“特殊情況”和“個案處理”下，資料持有人可能會拒絕查閱資料的要求，只要資料持有人可以證明其因披露商業秘密而面臨“嚴重經濟損失”的威脅。法案規定，嚴重經濟損失“意味著嚴重和無法彌補的經濟損失”。這一例外可能會被嚴格適用。此外，該例外的開放性不允許受影響的企業依賴明確的法律標準，歐洲法院將如何解釋該例外仍有待觀察。

守門人

數字經濟平臺生態系統對競爭的挑戰，引起各國關注，并相繼推出或修改法律、提出新的政策以適應數字經濟的新格局。繼《一般數據保護條例》（GDPR）之后，《數字市場法》可謂是歐盟針對數字市場的規范又一重磅立法。該法案在立法上首次提出了守門人制度作為數字經濟反壟斷監管和規制的新路徑，基于對于數字平臺巨頭造成競爭威脅的考慮，為保障具有競爭性和公平性的數字市場秩序，規定一系列專門的原則和義務，對于平臺的一系列行為模式設立了規制框架。

《數字市場法》第三條和第四條規定了守門人的認定標準，第五條至十三條分別規定了守門人的義務。企業被認定為守門人的原則性條件是：企業對內部市場有重大影響；提供核心平臺服務且作為商務用戶和終端用戶的重要交互手段；在其業務中享有穩固和持久的地位，或者可以預見它將在不久的將來享有這種地位。

一旦被認定為守門人，平臺企業將承擔下列一系列的義務，并且被禁止實施某些特定的行為。具體而言，這些義務可以從數據層面、平臺中立層面、通路層面進行簡單地區分。

《數據法案》指出，“根據建議2003/361/EC附件第2條，初創企業、小企業、符合中型企業資格的企業，以及來自數字能力欠發達的傳統行業的企業，難以獲得相關數據”。在此基礎上， 《數據法案》的目標是讓這些規模較小的公司成為立法的主要受益者。另一方面， 《數據法案》禁止根據歐盟《數字市場法》被指定為守門人的公司接收數據(其云服務除外)。

云切換

《數據法案》將對公共云和私有云計算服務產生重大影響，因為它要求提供商促進云和邊緣產品之間的切換。

《數據法案》引入了一些合同、商業和技術要求，以促進數據從一個提供商轉移到另一個提供商。受影響的供應商將被要求消除他們自己和競爭對手的云服務之間“有效切換的障礙”，這些障礙可以是商業的、技術的、合同的和組織的。

如果用戶希望從目前的提供商那里刪除數據并切換到新的提供商，他們也將不再被允許收取費用。然而， 《數據法案》規定，云服務提供商不需要開發新技術或服務，披露受知識產權保護的數字資產，也不需要采取損害其服務完整性和安全性的措施。

《數據法案》中的云轉換義務留下了解釋的余地，其應用的確切性質很難預測。此外，考慮到云切換的復雜性，特別是對于某些類型的工作負載，鑒于在制定模糊和廣泛的義務時對技術復雜性的關注顯然有限，監管機構將如何在實踐中實施這一要求仍有待觀察。為了建立防御，對于面臨重大技術障礙的公司來說，遵守 《數據法案》的要求，制定記錄這些障礙和合規努力的策略，可能是很重要的。

智能合約

《數據法案》中更有爭議的要求之一涉及智能合約的設計。智能合約被廣泛定義為“用于自動執行協議或部分協議的計算機程序，使用一系列電子數據記錄并確保其完整性和時間順序的準確性”。數據法案不區分數字合約和使用分布式賬本技術的智能合約，也可能影響公共區塊鏈上現有的智能合約。

使用智能合約的應用程序供應商必須確保智能合約提供“訪問控制機制”和“非常高的魯棒性”。他們還需要確保智能合約包含一個終止開關，這是一種可以破壞合約或暫停其操作以“終止交易的持續執行”的機制。

雖然很難確定受這些要求影響的業務的全部范圍，但任何智能合約應用的提供商都應仔細考慮如何遵守《數據法案》。

與GDPR相互作用

與僅適用于個人數據的法規(EU) 2016/679(“GDPR”)不同， 《數據法案》的范圍更廣，因為它適用于個人和非個人數據。因此，正如 《數據法案》第1(5)條明確規定的那樣，本條例不影響歐盟和各國關于保護個人數據和隱私的法律，特別是GDPR和指令2002/58/EC(“電子隱私指令”)。

這意味著，只要用戶是數據主體， 《數據法案》 授予的所有權利都是對《通用數據保護條例》授予的權利的補充，例如訪問權和數據可移植性權。然而，為了限制《數據法案》 的解釋或實施可能與現有數據保護法律框架不一致的風險，《數據法案》明確規定，如果《數據法案》 與歐盟關于個人數據和隱私保護的法律或根據該歐盟法律采用的國家法律之間存在沖突，則應以該歐盟或國家法律為準。

執行

雖然《數據法案》在整個歐盟范圍內引入了統一的規則，但它將由國家當局執行，并由各個成員國決定他們希望為此指定哪個當局。 《數據法案》 還將適用處罰的決定權交給會員國，但須遵守案文中規定的一些最低要求。處罰必須是“有效的、相稱的和勸阻性的”，成員國必須在生效之日起20個月內，即2025年9月12日之前，將這些處罰的實質內容通知歐盟委員會。

然而，歐盟委員會將通過制定準則和實施立法來支持成員國的執法，例如，對共享數據的合理補償、互操作性規范、示范合同條款或協調的智能合約標準。出于這些原因，企業應該制定一個協調的、集中的歐盟范圍內的合規策略。

企業為何需要重視

《數據法案》是一項廣泛而高度復雜的立法，將對各種規模的行業和企業產生廣泛的影響。鑒于有眾多例外，在某種程度上是開放式的條款和看似不明確的定義，《數據法案》將如何在實踐中執行仍然存在很多不確定性。

然而，有一件事是明確的：受影響的企業應該立即開始準備其合規策略，并審查產品設計和相關的合同框架。這種準備工作還需要更仔細地分析與每個特定業務和產品相關的法律和技術問題，以及可能適用于或限制《數據法案》下數據流的其他相關法律框架的接口，包括GDPR，以及關于守門人的《數字市場法》。