編者按：

2022 年 2 月 23 日，歐盟委員會公布了期待已久的《數據法（Law Act）》提案。該提案引入全面授予私人和公共部門訪問數據權，并強調從合同的角度來規范數字經濟中的數據交換和共享使用。它致力于實現數據的普遍可及性、互操作性和可移植性，并對數據生命周期中的重復使用進行技術保障和嚴格限制。近日，帕紹大學法學院Moritz Hennemann Gregor Lienemann針對提案，進行了逐條剖析，并參考和鏈接了既有法律和未正式出臺的立法（如數據治理法案和數字市場法案）。鑒于該研究系統、詳實，我們特編譯刊發，供各位參考。

——對外經濟貿易大學數字經濟與法律創新研究中心主任 許可

I.?監管范圍和目的（第?1-2?條、第?35?條）

第一章（“總則”；第 1-2 條）在范圍和術語方面對提案進行了界定，定義了關鍵概念以及與適用的數據保護、電子通信和刑事事項立法的互補關系。因此，與第 X 章（“指令 1996/9/EC 下的特殊權利”；第 35 條）進行了鮮明對比，該章限制了在提案范圍內以特殊權利的方式給予數據庫的保護。

客體（第?1?條第?1 款和第?2?款）

第1條?客體和范圍

本條例規定了產品或相關服務的用戶提供該產品或服務的數據，數據持有者向數據接收者提供數據統一規則；以及數據持有者向公共部門機構或歐盟機構、機關或團體提供數據的統一規則。在有特殊需要的情況下，由數據持有人向公共部門或聯盟機構、機關或團體提供數據，以執行為公共利益而開展的任務。

本條例適用于：

(a)?歐盟市場上的產品制造商和相關服務提供商以及此類產品或服務的用戶；

(b)?向歐盟內的數據接收者提供數據的數據持有者；

(c)?歐盟中向其提供數據的歐盟數據接收者；

(d)?公共部門機構和歐盟機構、機關或團體要求數據持有人?在有特殊需要的情況下提供數據，以執行符合公共利益的任務。以及應要求提供這些數據的數據持有者；

(e)?向歐盟客戶提供此類服務的數據處理服務的提供商

2.?與現有規則的相互作用（第?1?條第?3 款和第?4?款，第?35?條）

第一條（續）

3. 歐盟關于保護個人數據、通信的隱私和保密性以及終端設備的完整性的法律規定應適用于與下列事項與本條例，根據有關的個人數據處理的權利和義務處理個人數據。本條例不應影響歐盟法律關于保護個人數據的規定，特別是條例?(EU)

2016/679 和指令 2002/58/EC，包括監管機構的權力和權限。就本條例第二章規定的權利而言，用戶是個人數據的數據主體的，權利義務受該章的約束，?根據（歐盟）2016/679號條例第20條的規定，本條例的規定應補充《歐盟條例》第20條規定的數據可攜性權利。

4. 本條例不應影響聯盟和國家的法律行為，包括為了預防、調查、偵查或起訴刑事犯罪或執行刑事處罰而共享、訪問和使用數據的規定，包括法規?(EU) 2021/784歐洲議會和理事會的提案以及一旦通過的[電子證據提案?[COM(2018) 225 和 226]，以及該領域的國際合作。本條例不影響根據歐洲議會和理事會關于防止將金融系統用于洗錢和恐怖主義目的的指令?(EU) 2015/849，以及收集、共享、訪問和使用數據歐洲議會和理事會關于資金轉移相關信息的融資和條例?(EU) 2015/847。本條例不影響成員國在公共安全、國防、國家安全、海關和稅務管理以及公民健康和安全方面的權限。

第三十五條?包含特定數據的數據庫

為了不妨礙用戶根據本條例第4條行使訪問和使用這些數據的權利，或根據本條例第5條行使與第三方分享這些數據的權利，特殊權利指令 96/9/EC 第 7 條的規定不適用于從產品或相關服務中獲得或產生的數據的數據庫。

3.?定義（第?2?條）

第二條定義

為本條例的目的，以下定義適用：

(1)?“數據”是指行為、事實或信息的任何數字表示，以及此類行為、事實或信息的任何匯編，包括聲音、視頻或視聽記錄的形式；

(2)?“產品”是指有形的、可移動的物品，包括包含在不可移動物品中的物品，它獲取、生成或收集有關其使用或環境的數據，并且能夠通過公開可用的電子通信服務傳輸數據，并且其主要功能不是儲存和處理數據；

(3)?“相關服務 ”是指包含在產品中或與產品相互連接的數字服務，包括軟件。如果沒有該服務，產品就無法實現其某項功能；

(4)?“虛擬助手”是指可以處理需求、任務或問題的軟件，包括基于音頻、書面輸入、手勢或動作，并基于這些需求、任務或問題，提供訪問他們自己和第三方的服務或控制他們自己和第三方的服務設備的服務;

(5)?“用戶”是指擁有、出租或租賃產品或接受服務的自然人或法人；

(6)?“數據持有人”是指根據本條例、歐盟法律或實施歐盟法律的國家立法，或在非個人數據的情況下，有能力通過控制產品和相關服務提供某些數據的人；

(7)?“數據接收者”是指為與該人的貿易、業務、工藝或專業相關的目的而行事的法人或自然人，但產品或相關服務的用戶除外，數據持有者向其提供數據的義務，包括第三方應用戶向數據持有者提出請求或根據歐盟法律或實施歐盟法律的國家立法規定的法律義務；

(8)?“企業”是指與本條例所涵蓋的合同和慣例相關的自然人或法人，其行為與該人的貿易、業務、工藝或專業有關；

(9)?“公共部門機構”是指成員國的國家、地區或地方當局和受成員國公法管轄的機構，或由一個或多個此類機構的協會；

(10)?“公共緊急狀態”是指對歐盟、成員國或其部分地區產生負面影響的特殊情況，有可能對生活條件或經濟穩定產生嚴重而持久的影響，或使歐盟或相關成員國的經濟資產大幅下降；

(11)?“處理”是指無論是否通過自動方式，對數據或電子格式的數據集執行的任何操作或一組操作，例如收集，記錄、組織、結構化、存儲、改編或更改、檢索、咨詢、使用、通過傳輸、傳播或以其他方式提供的披露、對齊或組合、限制、刪除或銷毀；

(12)?“數據處理服務”指向客戶提供的數字服務，但不包括在線內容服務，如《歐盟條例》第2(5)條所定義。2017/1128號條例（歐盟）第2條第5款所定義的數字服務。該服務能夠?按需管理和廣泛地遠程訪問一個可擴展和有彈性的可共享的集中式、分布式或高度分布式的計算資源；

(13)?“服務類型”是指一組具有相同主要目標的數據處理服務和基本數據處理服務模式；

引用的法律：可移植性法規(歐盟) 2017/1228

II.?訪問和共享產品和使用相關服務產生的數據（第?3-7?條）

第二章（“企業對消費者和企業對企業數據共享”，第 3-7 條）旨在提高消費者和企業訪問由他們擁有、出租或租賃的產品或相關服務產生的數據的法律確定性。用戶享有訪問上述數據的權利，并要求與第三方共享，因此享有了事實上的權利。反之，當涉及到數據的（二次使用）時，數據持有者和數據接受者的權限會受到限制。

1.?數據可訪問性的前提條件（第?3?條）

第三條?產品或使用相關服務產生的數據可訪問的義務

1. 在產品的設計和制造，以及相關服務的提供下，用戶使用產生的數據在默認情況下應當是便捷、安全的，并且在特定和適當的情況下，用戶可以直接訪問。

2. 在簽訂購買、租用或租賃產品或相關服務的合同之前，至少應以明確和可理解的格式向用戶提供以下信息：

(a)?使用產品或相關服務可能產生的數據的性質和數量；

(b)?數據是否可能連續實時生成；

(c)?用戶如何訪問這些數據；

(d)?提供產品的制造商或提供相關服務的服務提供商是否打算自行使用數據或允許第三方使用數據，如果是，這些數據的使用目的是什么；

(e)?賣方、承租人或出租人是否是數據持有人，如果不是，數據持有人的身份，例如其商業名稱和成立的地理地址；

(f)?使用戶能夠快速聯系數據持有人并與數據持有人有效溝通的通信方式；

(g)?用戶如何要求與第三方共享數據；

(h)?用戶有權向第三十一條所述的主管機關投訴違反本章規定的行為。

2. 用戶的訪問權；數據持有者許可使用（第 4 條）

第四條?因使用產品或相關服務而產生的數據，用戶有權訪問和使用

1. 如果用戶不能直接從產品中獲取數據，數據持有人應免費向用戶提供其使用產品或相關服務所產生的數據，不得無故拖延。并在適用情況下持續和實時地向用戶提供。這應該是在技術上可行的情況下，用戶通過電子手段提出簡單的請求。

2. 數據持有人不得要求用戶提供超出第1款規定的核實用戶質量所需的任何信息。數據持有人不應保留關于用戶訪問所請求的數據的任何信息，除非是為了合理地執行用戶的訪問請求以及為了安全和維護數據基礎設施所必需的。

3. 只有在采取了所有具體的必要措施的情況下，才可以披露商業秘密以維護商業秘密的機密性，特別是對第三方。數據持有者和用戶可以商定措施來保護共享數據的機密性，特別是在與第三方有關的方面。

4. 用戶不得將根據第 1 款所述請求獲得的數據用于開發與數據來源產品競爭的產品。

5. 根據(歐盟)2016/679號條例第6(1)條現行有效的法律規定，并在相關情況下，符合(歐盟)2016/679號條例第9條的條件?，在用戶不是數據主體的情況下，因使用產品或相關服務而產生的任何個人數據，只有在《條例》第 6 條第 1 款規定的有效法律依據的情況下，數據持有者才能提供給用戶。

6. 數據持有者僅應根據與用戶的合同協議，使用因使用產品或相關服務而產生的任何非個人數據。數據持有者不得將因使用產品或相關服務而產生的此類數據用于獲取有關用戶的經濟狀況、資產和生產方法或用戶使用情況，從而可能損害用戶的商業地位，破壞用戶在其活躍的市場中的商業地位。

3.?與第三方共享數據以供有限使用的權利（第?5-6?條）

第五條 與第三方共享數據的權利

1. 根據用戶或代表用戶的一方的要求，數據持有者應將使用產品或相關服務產生的數據免費提供給第三方，不得無故拖延，且數據與數據持有人所獲得的質量相同，并且在適用的情況下，連續和實時地提供。

2. 任何提供核心平臺服務的企業，如果有一項或多項此類服務，根據[關于數字領域可競爭和公平的市場的XXX條例]第[...]條的規定，被指定為守門人的任何企業?，提供核心平臺服務的企業不應成為本條規定的合格第三方，本條規定的第三方，因此不應：

(a)?以任何方式（包括通過提供金錢或任何其他補償）招攬或以商業方式激勵用戶向其服務，以向用戶根據第 4(1)?條的要求獲得的一項服務提供數據；

(b)?根據本條第1款的規定，誘使或以商業方式激勵用戶要求數據持有人提供數據，將數據提供作為服務之一；

(c)?接收用戶根據第 4 條第 1 款的請求獲得的數據。

3. 用戶或第三方不需要提供任何必要的信息，以證實其作為用戶或第三方的質量符合第1款的規定。為了合理地執行第三方的訪問請求，以及為了安全和維護數據基礎設施，數據持有人不應保留任何有關第三方訪問請求的信息。

4. 第三方不得采用強制手段或濫用數據持有者的技術基礎設施中的明顯漏洞來保護數據以獲取數據訪問權。

5. 數據持有者不得使用因使用產品或相關服務而產生的任何非個人數據來獲取有關第三方的經濟狀況、資產和生產方法或由第三方使用這些數據，從而可能損害第三方在其活躍的市場上的商業地位。除非第三方已同意此類使用并且具有隨時撤回該同意的技術可能性。

6. 根據歐盟2016/679號條例第9條，在用戶不是數據主體的情況下，因使用產品或相關服務而產生的任何個人數據?只有在有有效的法律依據的情況下，才可以提供產品或相關服務，并且在相關情況下，滿足歐盟2016/679號條例第9條的條件。

7. 數據持有者和第三方未能就傳輸數據的安排達成一致時不應妨礙、阻止或干擾數據主體根據歐盟法規?(EU) 2016/679 行使的權利，尤其是，根據該條例第 20?條享有數據可移植性的權利。

8. 商業秘密僅在為實現用戶與第三方約定的目的所絕對必要的范圍內向第三方披露，并且數據持有者與第三方約定的所有具體必要措施均由第三方采取保守商業秘密的機密性。在這種情況下，數據作為商業秘密的性質和保密措施應在數據持有人與第三方的協議中明確。

9. 第 1 款所述權利不得對他人的數據保護權利產生不利影響。

第六條?應用戶要求接收數據的第三方的義務

1. 第三方應僅在與用戶約定的目的和條件下處理根據第 5 條提供給其的數據，并在涉及個人數據的情況下遵守數據主體的權利，并應在以下情況下刪除數據對于商定的目的，它們不再是必需的。

2. 第三方不得：

(a)?通過顛覆或損害用戶的自主權、決策或選擇，包括通過與用戶的數字界面，以任何方式脅迫、欺騙或操縱用戶；

(b)?將其收到的數據用于對?(EU) 2016/679 條例第 4(4)?條含義內的自然人進行分析，除非有必要提供用戶要求的服務；

(c)?將其收到的數據以原始、匯總或派生形式提供給其他第三方，除非這是提供用戶請求的服務所必需的；

(d)?將其收到的數據提供給提供核心平臺服務的企業，其中一項或多項此類服務已根據[數字領域可競爭和公平市場法規（數字市場法）第?[…]?條被指定為看門人];

(e)?使用它接收到的數據來開發與獲取訪問數據的產品競爭的產品，或為此目的與另一個第三方共享數據；

(f)?阻止用戶（包括通過合同承諾）將其收到的數據提供給其他方。

4. 中小企業豁免；虛擬助手（第 7 條）

第七條?企業對消費者和企業對企業數據共享義務的范圍

1. 本章的義務不適用于使用符合 2003/361/EC 建議書附件第 2 條定義的微型或小型企業的企業制造的產品或提供的相關服務所產生的數據，條件是這些企業沒有符合 2003/361/EC 建議書附件第 3 條定義的不符合微型或小型企業資格的合作企業或關聯企業。

本條例涉及產品或相關服務的，也應理解為包括虛擬助手，只要它們用于訪問或控制產品或相關服務。

III.?數據持有者提供訪問的?FRAND?義務（第?8-12?條）

第三章（“依法應提供數據的數據持有人的義務”，第 8-12 條）規定了在履行提供數據的義務時的一般規則，其包括但不限于第二章對數據持有人的授權的提案。將以公平、合理和非歧視?(FRAND)?條款以及透明的方式提供數據。除其他事項外，必須商定合理的補償。

第八條?數據持有者向數據接收者提供數據的情形

1. 如果數據持有人有義務根據第 5 條或其他歐盟法律或實施歐盟法律的國家立法向數據接收者提供數據，則應根據公平、合理和非歧視性條款，按照本章和第四章的規定，以透明的方式提供數據。。

2. 數據持有者應與數據接收者就提供數據的條款達成一致。如果提供數據的情形滿足第 13 條的條件，或者提供該數據將會排除適用、減損或改變用戶在第二章下的權利，關于訪問和使用數據，違反或終止數據相關義務的責任和補救措施的合同條款則不具有約束力。

3. 數據持有者在提供數據時不得歧視具有競爭性的不同類別的數據接收者，包括數據持有者的第 2003/361/EC 號建議書附件第 3 條所定義的合作企業或關聯企業。如果數據接收者認為向其提供數據的條件具有歧視性，則應由數據持有者證明不存在歧視。

4. 除非用戶根據第 II 章提出要求，否則數據持有者不得將數據獨家提供給數據接收者。

5. 數據持有者和數據接收者無需提供任何超過必要范圍的信息，以驗證是否符合為提供數據而商定的合同條款或其在本法規或其他適用的歐盟法律或實施歐盟法律的國家立法下的義務。

6. 除非歐盟法律（包括本法規第 6 條）或實施歐盟法律的國家立法另有規定，向數據接收者提供數據的義務不應強制要求披露（EU）2016/?指令所指的商業秘密943。

第九條?提供數據的補償措施

1. 數據持有者和數據接收者之間為使數據可用而商定的任何補償應是合理的。

2. 如果數據接收方是 2003/361/EC 建議書附件第 2 條所定義的微型、小型或中型企業，則商定的任何補償不得超過與向數據接收方提供數據的相關的直接成本，并且歸因于請求，第 8 條第 3 款應相應適用。

3. 本條不應妨礙其他歐盟法律或實施歐盟法律的國家立法排除提供數據或提供較低補償的適用。

數據持有者應向數據接收者提供足夠詳細的信息，說明計算補償的基礎，以便數據接收者能夠驗證第 1 段的適用以及適用第 2 段的要求是否得到滿足。

第十條?爭議解決

1. 數據持有者和數據接收者應有權請求由本條第 2 款認證的爭議解決機構，根據第8條和第9條，以解決有關確定公平、合理和非歧視性條款以及以透明方式提供數據的爭議。

2. 設立爭端解決機構的成員國應根據該機構的要求，在該機構證明其符合以下所有條件的情況下對該機構進行認證：

(a)?公正、獨立，按照明確、公正的議事規則作出決定；

(b)?它在確定公平、合理和非歧視性條款以及提供數據的透明方式方面擁有必要的專業知識，從而使該機構能夠有效地確定這些條款；

(c)?可通過電子通信技術輕松訪問；

(d)?它能夠以迅速、高效和具有成本效益的方式并以至少一種歐盟官方語言發布其決定。

如果一個成員國在[法規實施日期]之前沒有認證任何爭端解決機構，則該成員國應建立并認證一個符合本款?(a)?至?(d)?點規定的條件的爭端解決機構.

3. 成員國應將根據第 2 款認證的爭端解決機構通知委員會。委員會應在專門網站上公布這些機構的名單并保持更新。

4. 爭議解決機構應在當事人請求作出決定之前，將費用或用于確定費用的機制告知當事人。

5. 爭端解決機構應拒絕處理已提交另一爭端解決機構或成員國法院或法庭的爭端解決請求。

6. 爭議解決機構應允許各方在合理期限內就其向這些機構提出的事項表達他們的觀點。在這種情況下，爭端解決機構應向這些當事方提供另一方的意見和專家的任何陳述。這些機構應允許當事方對這些意見和聲明發表評論。

7. 爭議解決機構應在請求作出決定后 90?日內就提交給其的事項作出決定并予以公布。這些決定應以書面形式或在持久媒體上進行，并應附有支持該決定的理由陳述。

8. 爭議解決機構的決定只有在當事人在爭議解決程序開始前明確同意其約束性的情況下才對當事人具有約束力。

9. 本條不影響當事人向成員國法院或法庭尋求有效補救的權利。

第十一條?未經授權使用或披露數據的技術保護措施和規定

1. 數據持有者可以采取適當的技術保護措施，包括智能合約，以防止未經授權訪問數據，并確保遵守第 5、6、9 和 10?條以及商定的提供數據的合同條款。此類技術保護措施不得阻礙用戶根據第 5 條有效向第三方提供數據的權利或第 8 條所述的歐盟法律或實施歐盟法律的國家立法規定的第三方的任何權利的手段（ 1）。

2. 為獲取數據的目的，向數據持有者提供不準確或虛假信息、使用欺騙或強制手段或濫用數據持有者旨在保護數據的技術基礎設施中的明顯漏洞，數據接收者為了未經允許的目的使用了數據或在未經數據持有人授權的情況下將這些數據披露給另一方，不得無故拖延，除非數據持有人或用戶另有指示：

(a)?銷毀數據持有人提供的數據及其任何副本；

(b)?停止生產、提供、投放市場或使用基于通過此類數據獲得的知識而產生的商品、衍生數據或服務，或為此目的進口、出口或儲存侵權商品，并銷毀任何侵權商品。

3. 第 2 款?(b)?項不適用于下列任何一種情況：

(a)?數據的使用并未對數據持有者造成重大損害；

(b)?鑒于數據持有者的利益，這種懲罰將是不相稱的。

第十二條?依法有義務提供數據的數據持有人的義務范圍

1. 本章適用于根據第 5 條或根據歐盟法律或實施歐盟法律的國家立法，數據持有人有義務向數據接收者提供數據的情況。

2. 數據共享協議中的任何合同條款，如果對一方不利，或者若適用該條款，對用戶不利，排除本章的適用、減損或改變其效果，均不對受不利影響一方當事人生效。

3. 本章僅適用于根據歐盟法律或實施歐盟法律的國家立法提供數據的義務，這些義務在[法規適用日期]之后生效。

IV.?企業之間數據訪問和使用的不公平條款（第?13?條）

第四章（“與企業之間的數據訪問和使用相關的不公平條款”，第 13 條）解決了企業之間數據共享合同中的不公平條款的問題，其中利用不平等的議價能力單方面將合同條款強加給微型、小型或中型企業?(SME)。4如果發現不公平，則此類條款對合同的 SME 方不具有約束力。

第十三條?單方面強加給中小微企業的不公平合同條款

1. 企業單方面將關于訪問和使用數據或違反或終止與數據相關義務的責任和補救措施的合同條款不公平的適用于第 2 條定義的微型、小型或中型企業，建議 2003/361/EC 的附件對后者不具有約束力。

2. 如果合同條款的使用嚴重偏離數據訪問和使用方面的積極商業慣例，違反誠信和公平交易，則該合同條款是不公平的。

3. 就本條而言，如果合同條款的目的或效果具有以下目的，則該條款是不公平的：

(a)?排除或限制單方面施加故意行為或重大過失期限的單方的責任；

(b)?排除在不履行合同義務的情況被強行適用該該條款的一方可獲得的補救措施或單方面規定條款的一方在違反這些義務的情況下的責任；

(c)?賦予單方面施加該條款的一方以確定所提供的數據是否符合合同或解釋合同的任何條款的專有權利。

4. 就本條而言，如果合同條款的目的或效果是有以下情形，則被推定為不公平條款：

(a)?不當限制不履行合同義務時的補救措施或違反這些義務時的責任；

(b)?允許單方面施加該條款的一方以嚴重損害另一方合法利益的方式訪問和使用另一方的數據；

(c)?阻止被單方面施加條款的一方在合同期間使用該方提供或生成的數據，或將此類數據的使用限制在該方無權使用、獲取、訪問或控制此類數據或以適當的方式利用此類數據的價值的范圍內；

(d)?防止被單方面施加該條款的一方在合同期間或合同終止后的合理期間內獲得該方提供或生成的數據的副本；

(e)?允許單方面施加該條款的一方在不合理的短時間內終止合同是防止另一方有合理的轉向替代的可能性和可比的服務以及這種終止造成的財務損失，除非有這樣做的正當理由。

5. 如果合同條款是由一個締約方提供的，而另一締約方盡管試圖對其內容進行協商，但仍無法影響其內容，則該合同條款應被視為本條所指的單方面施加。提供合同條款的締約方承擔證明該條款不是單方面施加的責任。

6. 如果不公平的合同條款可與合同的其余條款分開，則其余條款仍具有約束力。

7. 本條不適用于確定合同主要標的的合同條款或確定支付價格的合同條款。

第一項所涉合同的當事人不得排除適用本條、減損或者改變本條的效力。