欧盟《数据治理法》说明
《数据治理法》提供了一个框架,以增强对自愿数据共享的信任,造福企业和公民。
数据的经济和社会潜力是巨大的:它可以实现基于新技术的新产品和服务,提高生产效率,并为应对社会挑战提供工具。例如,在健康领域,数据有助于提供更好的医疗保健,改善个性化治疗,并帮助治愈罕见病或慢性病。它也是创新和新就业的强大引擎,也是初创企业和中小企业的重要资源。
然而,这一潜力尚未实现。由于一些障碍(包括对数据共享的信任度低、与公共部门数据的重复使用和为共同利益收集数据有关的问题,以及技术障碍),欧盟的数据共享仍然有限。
为了真正利用这一巨大潜力,必须提供更多的数据,自信地共享,并在技术上易于重复使用。
《数据治理法》是一项跨部门法案,旨在通过监管公共/持有的受保护数据的重复使用,通过监管新型数据中介机构促进数据共享,以及鼓励出于利他主义目的共享数据,提供更多数据。个人和非个人数据都在DGA的范围内,涉及个人数据时适用《通用数据保护条例》(GDPR)。除了GDPR,内置的保障措施将增加对数据共享和重复使用的信任,这是在市场上提供更多数据的先决条件。
重新使用公共部门机构持有的某些类别的数据
关键目标是什么?
《开放数据指令》规定了公共部门持有的公开/可用信息的重复使用。然而,公共部门也持有大量受保护的数据(如个人数据和商业机密数据),这些数据不能作为公开数据重复使用,但可以根据特定的欧盟或国家立法重复使用。在不损害其受保护性质的情况下,可以从此类数据中提取丰富的知识,DGA规定了规则和保障措施,以在其他立法允许的情况下促进此类重复使用。
它在实践中是如何运作的?
- 公共部门的技术要求:成员国需要具备技术能力,以确保在重复使用情况下充分尊重数据的隐私和机密性。这可能包括一系列工具,从技术解决方案,如匿名化、假名化或在公共部门监督的安全处理环境(如数据室)中访问数据,到合同手段,如公共部门机构与用户之间签订的保密协议。
- 公共部门机构的协助:如果公共部门机构不能允许访问某些数据以供重复使用,它应该协助潜在的重复使用者寻求个人同意,以重复使用他们的个人数据)或其权利或利益可能受到重复使用影响的数据持有人的许可。此外,机密信息(如商业机密)只有在获得同意或许可的情况下才能披露或重复使用。
- 为了让更多的公开数据可供重复使用,DGA将对独家数据重复使用协议的依赖限制在公共利益的特定情况下(根据该协议,公共部门机构将此类独家权利授予一家公司)。
- 合理的费用:公共部门机构可以就允许重新使用收取费用,只要这些费用不超过所产生的必要成本。此外,公共部门机构应通过减少甚至排除收费,激励中小企业和初创企业将其重新用于科学研究和其他非商业目的。
- 公共部门机构将有长达2个月的时间就重复使用请求做出决定。
- 成员国可以选择哪些主管机构将支持允许重复使用的公共部门机构,例如为后者提供一个安全的处理环境,并就如何最好地构建和存储数据以使其易于访问提供建议。
- 为了帮助潜在的重新用户找到有关哪些公共当局持有哪些数据的相关信息,会员国将被要求设立一个单一的信息点。委员会将建立一个欧洲单一接入点(拥有一个可搜索的国家单一信息点汇编的信息登记册),以进一步促进数据在内部市场及其他市场的重复使用。
示例
芬兰社会和健康数据许可机构Findata处理请求并允许访问数据以供重复使用。Findata的数据来源包括社会保险机构、养老金登记册和人口登记册。
法国DAMAE Medical公司正在改进其LC-OCT(Line field Confocal Optical Coherence Tomography,线场共聚焦光学相干断层扫描)技术,该技术通过法国健康数据中心提供的新训练数据,可以立即无创地对皮肤内部微结构进行细胞分辨率成像,直至真皮。该项目的目标是提高这项技术的能力,更好地识别皮肤癌症的潜在迹象,更好地划定手术干预区域。
数据中介服务
关键目标是什么?
许多公司目前担心,共享数据将意味着失去竞争优势,并存在被滥用的风险。DGA为数据中介服务提供商(所谓的数据中介,如数据市场)定义了一套规则,以确保他们在共同的欧洲数据空间内作为值得信赖的数据共享或汇集组织者发挥作用。为了增加对数据共享的信任,这种新方法提出了一种基于数据中介机构中立性和透明度的模型,同时让个人和公司控制其数据。
它在实践中是如何运作的?
该框架为大型科技平台的数据处理实践提供了一种替代模式,因为它们控制着大量数据,所以具有高度的市场影响力。
在实践中,数据中介机构将作为中立的第三方,将个人和公司与数据用户联系起来。虽然他们可能会为促进双方之间的数据共享而收费,但他们不能直接使用他们中间的数据来获取财务利润(例如,将其出售给另一家公司或使用这些数据开发自己的产品)。数据中介机构必须遵守严格的要求,以确保这种中立性并避免利益冲突。在实践中,这意味着数据中介服务和所提供的任何其他服务之间必须有结构性的分离(即,它们必须在法律上分离)。此外,提供中介服务的商业条款(包括定价)不应取决于潜在的数据持有人或数据用户是否在使用其他服务。所获取的任何数据和元数据只能用于改进数据中介服务。
仅提供数据中介服务的独立组织和除其他服务外还提供数据中介的公司都可以充当可信的中介机构。在后一种情况下,数据中介活动必须在法律和经济上与其他数据服务严格分开。
根据DGA,数据中介机构将被要求将其提供此类服务的意图通知主管当局。主管当局将确保通知程序是非歧视性的,不会扭曲竞争,并将确认数据中介服务提供商已提交包含所有必要信息的通知。
在收到此类确认后,数据中介机构可以合法开始运营,并在其书面和口头通信中使用“欧盟认可的数据中介服务提供商”标签以及通用标志。这些机构还将监督数据中介要求的遵守情况,委员会将保留一个公认数据中介的中央登记册。
示例
凭借其数据智能中心,德国电信提供了一个数据市场,公司可以在其中安全地管理、提供高质量信息并将其货币化,例如生产数据,以优化流程或整个价值链。Telekom扮演中立受托人的角色,通过去中心化的数据管理来保证数据主权。目前,来自100多家不同公司的1000多名用户活跃在该平台上。
DAWEX是一家法国公司,自称为“全球数据市场”。Dawex不购买或出售数据,但将有兴趣将数据货币化和重复使用的公司聚集在一起,并通过确保数据供应商和用户直接在其平台上沟通和进行交易来提高数据供应商和使用者之间的透明度。Dawex开发了一系列工具,帮助数据供应商和用户了解、评估和沟通数据。可视化工具(如热图、树图)为数据用户提供了关于完整数据集的不同信息,这些信息可以在交易完成前安全共享。采样工具根据算法自动生成具有代表性的数据样本,以避免任何偏差。数据用户和数据供应商使用嵌入在平台中的消息传递工具进行通信。此外,Dawex支持通过可自动生成的示范条款对合同协议进行谈判。
API-AGRO是一个使用Dawex技术的农业数据共享中心。这项技术促进了一个农业生态系统,涉及众多参与者和一个中立的中介机构(Api Agro平台),其中中介作用和与数据使用相关的其他活动之间存在明显的分离。Api Agro不将数据货币化,而是作为连接数据持有者和数据用户的中立第三方。
数据利他主义
关键目标是什么?
数据利他主义是指个人和公司同意或允许将他们自愿生成的数据用于公共利益,而无需奖励。这些数据在推进研究和开发更好的产品和服务方面具有巨大潜力,包括在卫生、环境和流动性领域。
研究表明,虽然原则上有参与数据利他主义的意愿,但在实践中,由于缺乏数据共享工具,这一意愿受到了阻碍。因此,《数据治理法》的目标是创建可信的工具,使数据能够以简单的方式共享,造福社会。它将创造适当的条件,向个人和公司保证,当他们共享数据时,将由基于欧盟价值观和原则的可信组织处理。这将允许创建足够大的数据池,以允许数据分析和机器学习,包括跨境。
它在实践中是如何运作的?
基于数据利他主义提供相关数据的实体将能够注册为“欧盟认可的数据利他论组织”。这些实体必须具有非营利性质,符合透明度要求,并提供具体的保障措施,以保护共享其数据的公民和公司的权益。此外,他们必须遵守规则手册(最迟在其生效后18个月),该手册将规定信息要求、技术和安全要求、通信路线图以及互操作性标准的建议。该规则手册将由委员会与数据利他主义组织和其他相关利益相关者密切合作制定。
这些实体将能够使用为此目的设计的通用标志,并可以选择纳入数据利他主义组织的公共登记册。欧盟委员会将建立一个欧盟层面的公认数据利他主义组织登记册,以供参考。
欧洲数据利他主义的通用同意书将允许以统一的格式收集各成员国的数据,确保共享数据的国家可以轻松地给予和撤回同意。它还将为希望使用基于利他主义的数据的研究人员和公司提供法律确定性。这将是一种模块化的形式,可以根据特定部门和目的的需要进行定制。
示例
MyData Global旨在“通过提高个人对个人数据的自决权,赋予个人权力。”虽然总体目标超越了数据利他主义,但该组织为成员提供了一个可信的界面,让他们同意将个人数据用于特定目的。
智能公民平台允许公民共享通过传感器收集的家中噪音水平和污染数据。这为绘制噪音和空气质量图以及研究人员和政府制定有针对性的解决方案提供了重要信息。
德国Corona Datenspende应用程序旨在收集健身手环和智能手表的数据(如心率、体温、血压、睡眠模式)。通过监测这些数据,研究人员可以在早期识别新冠肺炎可能的热点。
欧洲数据创新委员会
关键目标是什么?
根据DGA的规定,委员会将成立欧洲数据创新委员会(EDIB),以促进最佳实践的共享,特别是在数据中介、数据利他主义和无法作为开放数据提供的公共数据的使用方面,以及跨部门互操作性标准的优先顺序方面。
它在实践中是如何运作的?
EDIB将由以下实体的代表组成:
- 成员国数据中介主管机构
- 成员国数据利他主义主管当局
- 欧洲数据保护委员会
- 欧洲数据保护监督机构
- 欧盟网络安全局
- 欧盟委员会
- 欧盟中小企业特使/中小企业特使网络任命的代表
- 相关机构的其他代表(委员会将为此召集专家)
它将通过至少三个小组运作:
- 由成员国主管当局代表组成的小组,
- 关于标准化、可移植性和互操作性的技术讨论小组,
- 利益相关者参与的小组。
示例
EDIB将有权为欧洲通用数据空间提出指导方针,例如对欧盟以外的数据传输提供充分保护。
国际数据流动
关键目标是什么?
2020年2月的欧洲数据战略承认了对国际数据流动采取开放但果断的方法的重要性。
国际数据传输可以释放欧盟内部产生的大量数据的巨大社会经济潜力,从而提高欧盟在全球舞台上的国际竞争力,同时促进经济增长,这一点至关重要,尤其是在后新冠疫情复苏时代。
尽管DGA在加强欧盟的开放战略自主性方面发挥着关键作用,但它也有助于建立对国际数据流的信任和信心。
它在实践中是如何运作的?
尽管《通用数据保护条例》在个人数据方面制定了所有必要的保障措施,但正是由于DGA,在非个人数据方面,第三国的访问请求也有类似的保障措施。
这些保障措施涉及DGA制定的所有场景和规定,即公共部门数据、数据中介服务和数据利他主义星座。第三国的重新用户需要确保对相关数据的保护级别与欧盟法律中确保的保护级别相同,并接受各自的欧盟管辖权。
如果认为有必要,委员会可以在涉及第三国非个人数据的访问请求时,通过额外的充分性决定,将受公共保护的数据转移以供重复使用。这些充分性决定将类似于GDPR下与个人数据传输相关的充分性决定。
此外,DGA授权委员会为公共部门机构和公共部门数据涉及与第三国的数据传输的情况下的再用户提供示范合同条款。