欢迎点击上方 TMT法律论坛 关注我们
导读
News
★
NEWS
★
2024年9月24日,在《数据治理法》(Data Governance Act,以下简称“DGA”)实施一周年之际,欧盟委员会发布Implementing the Data Governance Act – guidance document,即有关DGA的实施指引文件(以下简称“指引文件”)。
DGA是欧洲数据战略(European strategy for data)的关键组成部分,旨在增加数据共享的可信度、建立提升数据可用性的机制以及破除技术障碍,促进数据的再利用。为此,DGA主要规定了如下措施:
规范公共部门持有的受保护数据(包括个人数据或商业秘密数据等)的再利用;
对数据中介服务提供者(data intermediation services providers)进行监管以促进数据共享;
鼓励基于利他主义目的的数据共享;
建立欧洲数据创新委员会(European Data Innovation Board)以共享最佳实践。
欧委会表示,自DGA实施以来,已有11个组织被认定为数据中介服务提供者,1个数据利他主义组织(data altruism organisation)已获注册,欧洲数据创新委员会也已就DGA的最佳施行实践展开过数次交流。
本次指引文件的出台旨在帮助利益相关方更好地理解DGA的内容,其本身并不具备法律约束力。整体而言,指引文件按照DGA的顺序依次对各项条文进行了提炼和解读,其中有如下要点值得关注:
1. 与GDPR等数据保护法律的关系
指引文件声明,DGA并未减损GDPR及电子隐私指令的规定,如DGA的规定与GDPR或电子隐私指令发生冲突时,GDPR和电子隐私指令的规定应当优先。同时,DGA未在GDPR意义上创造一种数据再利用的权利,也没有为数据再利用创造新的法律基础。
2. 数据再利用的条件及各方义务
DGA详细规定了数据再利用的条件,以及公共部门和数据使用方的义务。其中,数据使用方的义务要点包括:1)禁止重新识别数据主体:指引文件明确,该项义务属于一项积极义务,这意味着使用方不仅必须避免重新识别,还应积极采取技术和管理措施进行避免;2)通知义务:如发生重新识别自然人的情形,使用方应通知授权的公共部门,此外,还可能触发GDPR有关数据泄露的报告义务(具体取决于事件中的各方角色);如发生未经授权使用非个人数据的情形,使用方应通知相关的法人,例如持有受影响商业秘密的公司。
此外,DGA严格限制使用独占排他的数据再利用协议,要求仅基于特定公共利益使用,且此等协议期限不得超过1年,且公共部门必须向公众公开所作出的独占授权及其原因。
3. 数据的访问方式
DGA强烈建议在数据访问的过程中充分利用现有技术实现数据再利用价值开发和隐私保护之间的平衡,例如利用匿名化技术(也可以适用于商业秘密信息),或者创造一个由公共部门所控制的安全处理环境,允许公共部门决定数据使用方可以看到的数据类型、数据元素,并决定使用方可以利用数据进行何种计算从而使他们无法重建原始数据等。
4. 数据再利用过程中的跨境传输
根据指引文件,个人数据的跨境传输仍应满足GDPR的规定。默认情况下,DGA允许基于数据再利用的目的进行非个人数据的跨境传输,前提是使用方满足特定条件,包括:1)提前告知授权的公共部门进行数据跨境传输的意图和目的;并且 2)通过合同进行承诺,确保数据在传输后仍然得到保护,并且在发生与该承诺相关的任何争议时,接受公共部门所在成员国的管辖。
指引文件表示,欧委会将提出适用于该等跨境传输的示范性合同条款(model contractual clauses),并将利用充分性认定(equivalency decisions)等机制,指定能够提供同等的商业秘密或知识产权保护水平的第三国。此外,欧委会也将对高度敏感的非个人数据(例如特定的公共卫生数据-如匿名和汇总的与医疗保健有关的行政数据)的跨境传输设置额外条件。
此外,指引文件还就DGA中有关数据中介服务提供者的义务和监管机制、鼓励数据利他主义的措施以及欧洲数据创新委员会的运行等内容进行了解读。
了解更多,请点击“阅读原文”。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 陈瑞庭
