歐盟議會上個月正式批準了《歐盟數據法案》。該法律旨在對智能設備的制造商和供應商以及智能設備生成的數據的處理者實施新的法規。

該法律涉及“互聯產品”的制造商、供應商和數據服務提供商。這些被定義為獲取、生成或收集有關其使用或環境的數據的項目，并且可以將這些數據傳達給其他人，其主要功能不是數據處理或存儲。換句話說，該法律針對的是“智能”（物聯網）產品，這些產品允許用戶控制各種在線行為，并收集有關用戶及其活動的數據。此類產品包括智能照明系統、智能吸塵器、智能門鈴等。

法律的各個方面

歐盟數據法要求這些產品的制造商和供應商以及處理從設備接收的數據的各方遵守以下規定：

• 允許用戶訪問和使用設備生成和存儲的有關他們的數據。
• 使用戶能夠在不同服務之間傳輸數據。
• 確保能夠在各種系統中使用數據。
• 遵守與歐洲數據市場的任何監管有關的規定。

此外，該法律允許歐洲公共部門機構在特殊情況下獲取私營部門公司持有的數據。

該法律的影響

該法律預計將于 2025 年 7 月底生效。對于制造、供應和處理智能設備相關數據的公司的全面影響仍不清楚。在該法律生效之前的過渡期間，企業收集和存儲互聯產品數據的方式將需要進行特殊改變。我們評估，企業將需要制定和實施有關收集和管理來自智能設備的數據以及有關此類數據的用戶請求的最新程序。企業還需要審查產品許可和使用協議，以便數據所有權問題符合法律規定。

《數據法案》（Data Act）彌補了《數據治理法案》的偏頗，在歐盟《通用數據保護條例》（簡稱“GDPR條例”）的基礎上，提供了適用于所有數據的更廣泛的規則。

《數據法案》明確規定，就公共部門使用數據主體的權利而言，出現特殊或突發公共事件的情況，如公共衛生事件、環境退化和重大自然災害導致的突發事件，以及人為引起的重大災害，如重大網絡安全事件，此時應公共部門的要求，數據持有人有義務向公共部門提供其要求的數據。

針對數據持有者和接收者需要履行的權利和義務，《數據法案》也做出了明確規范，主要包含以下兩個方面。首先，數據持有者必須根據要求向用戶提供生成的數據，不得無故延遲或收費，條件允許時還應連續、實時地提供，并保證數據質量與數據持有者本身可獲得的質量相同。其次，數據持有者使用數據時，必須與其用戶簽訂合同，數據持有者不得以可能損害用戶在市場上商業地位的方式來使用數據。