欧盟数据法(EU Data Act)——数据处理企业的行动需求
2025年9月12日起,《欧盟数据法》(EU Data Act,条例 (EU) 2023/2854)在经过二十个月的过渡期后,将在所有欧盟成员国直接适用。该条例已于2024年1月11日正式生效,并成为欧洲数据战略的核心支柱之一。其目标是在欧盟范围内使数据的使用更加公平、安全和便捷——不仅体现在企业之间(B2B),还涉及消费者(B2C)以及公共机构(B2G)。
《数据法》尤其规范了对联网产品及相关服务的使用数据的访问与共享,例如物联网设备、智能家居技术或工业设备。因此,众多生成、存储或处理数据的企业都会受到影响——无论其是制造商、服务提供商还是平台运营商。
企业的核心义务与要求:
- 使用数据的访问权: 用户——包括个人和企业——将获得对其自身产生数据的全面访问权。这些数据必须以结构化、通用且可机器读取的格式提供。
- 使用权: 企业应制定合同条款,以确保在产品使用过程中生成的数据仍可继续使用,同时保护商业机密。
- 数据共享义务: 企业可能被要求在接到请求时向第三方或公共机构提供特定数据——前提是要保障商业机密并采取合理的保护机制。
- 合同设计: 《数据法》对企业间数据共享的合同设计设有公平性要求,滥用性的合同条款将被视为无效。
- 云端可移植性: 云服务提供商必须让客户更容易在不同服务之间迁移数据(数据可移植性),以避免长期的“锁定效应”。
企业现在应采取的措施:
《数据法》涉及范围广泛——从工业、医疗健康到电子商务。企业应及早审查自己是否以及在多大程度上受到新规影响,尤其是在以下情况下:
- 提供联网产品或数字服务,
- 存储客户或设备数据,
- 提供或使用云计算或边缘计算服务,
- 在B2B合作中交换或分析数据。
我们建议企业立即检查现有的数据使用流程、合同文件和技术接口是否符合《数据法》要求。调整工作可能十分繁琐,尤其涉及IT系统、接口以及用户权利的设计。
自2026年9月12日起,根据《欧盟数据法》,新上市的联网产品必须从一开始就以技术上可行的方式确保用户能够访问其生成的数据(“设计即访问”,Access by Design)。该规定适用于所有自该日期起投放市场的新产品。
结论:
《欧盟数据法》标志着欧洲数据法律的范式转变。企业应当尽早应对新要求,以便在2025年9月12日这一关键日期到来时能够合规运作。
如您在《数据法》的实施,或在数据保护与IT法律框架下的数据战略制定方面有任何问题,我们随时乐意为您提供支持。
