2023年11月27日，欧洲议会和欧洲理事会正式批准了《欧盟数据法案》的最终版。该法案随即在欧盟官方期刊和网站上公布，20日后的2023年12月16日，该法案正式生效。同时该法案的大多数条款将在生效后的20个月内开始在欧盟成员国内适用。

笔者研读了国内多份关于《欧盟数据法案》的解读文章，受益匪浅。但笔者同时也认为某些解读并未达到具体可操作的程度，某些原因是该法案并没有中文版，文章作者需要研读原文再翻译，又再用中文解读，过程中难免出现错漏。另外笔者也认为中文网络流传的某些翻译版本也并未达到“信达雅”的程度。笔者也由于才智所限，在此仅就自己关心的几个问题浅析如下：

1. 消除用户在不同平台之间切换和数据可携带性的障碍；

2. 提高数据和数据服务的互用性；

3. 让“互联产品和服务”所产生的数据更易获取。

“数据”在该法案下的定义非常广泛，涵盖“任何数字形式的行为、事实或信息”，即，只要是数字形式的任何行为或产生的信息都会被认为是“数据”。因此法案的规定将被广泛适用，而且重要的是，适用于个人和非个人数据。法案的总体目标是通过允许更广泛地访问数据并消除更改数据服务提供商的障碍来刺激竞争激烈的数据市场。

该法案主要涵盖了六大部分的内容，体现了欧盟对数据问题的六大关切：

I.     在不同数据处理平台间切换

II.    数据互用的义务

III.   企业间（B2B）数据共享协议

IV.  互联产品和相关服务

V.   对公权力机关的请求权及义务

VI.   执行

以下笔者尝试浅析以上《欧盟数据法案》各章的主要内容和笔者关心的要点：

第I部分：在此部分中规定了不同平台间的切换，该法案用到了“数据处理服务data processing”这个表述，如果熟悉GDPR的同学们一定会发现这与GDPR的“数据处理者”、“数据处理”是同一个词，但是在理解《欧盟数据法案》时需注意两者虽表述相同，但定义完全不同，需要区分。

另外，在此章中法案将“数据服务”的定义扩大化解释，似乎是想涵盖市场上所有的云服务、网络服务器、数据存储服务等所有数据基础设施服务。

第II部分：在此部分中，该法案集中体现了欧盟在“互用性“上的关切。在第33条规定了各种数据要素之间的互用性的要求。笔者认为一方面这是欧盟内对各数据服务商互用性的要求，另一方面也是为了在未来建立在数据互用性上的”欧洲标准“做准备。

第III部分：此部分内容是笔者觉得最有意思的，在法案的第13条规定了企业间，也就是我们常说的B2B数据共享的协议。但在相关条款中规定了一个“单方面强加协议无效“的规定。这个规定类似于我们合同法中的格式条款合同。这一规定特别引人注目，因为它似乎显著削弱了欧盟的立法传统，即，企业间意思自治自由安排其合同。而该制度的一些元素，包括对条款公平性的监管，在欧盟B2B领域并不常见，反而在欧盟《消费者保护法》中有所体现。

第IV部分：此部分着重描述了“互联产品”和“相关服务“的规定。由于中英文互译的问题，造成少数中文读者理解的小障碍。尤其是将原文connected products翻译成“互联产品”时容易和互联网产品项混淆。其实法案中的互联产品和服务指的是与使用环境相关的数据，以及物理连接的其他产品所产生的数据。最经典的例子就是物联网中相关设备中所产生的数据，以及可穿戴设备产生的数据与手机的数据互联与传输。

在该部分的章节中详细规定了这些数据的使用、传输、保密等规定。并将各个数据接收和传输方的义务做了详细的规定。同时还兼顾到了在数据传输和披露中保护商业秘密的义务。

第V部分：此部分内容着重对公权力机关的权力和义务做了详细的规定，体现了欧盟对于公权和私权平衡点理念。这些内容主要集中在第14条和17条。

如根据第14条，如果公权力机关出于公共利益的而需要使用某些数据，持有这些数据的数据持有者应当在经过充分理由的请求后提供这些数据。对数据进行使用必须在时间和范围上有所限制，并且附加一些特殊条件，如：公共紧急情况；或者（涉及非个人数据的情况下）相关机构已经尽一切其他手段获取相关数据的可能性，包括以市场价格购买等。

第17(1)(j)款是一个笔者认为特别引人注目的规定，原文是：“（公权力机关）需要尽一切努力确保数据持有者不会因为公权力机关的行为造成其违反了欧盟其他法规。”因为它似乎预示着根据第14条从公共机构强制性请求数据，如果遵守该请求，可能使数据持有者违反其他欧盟法律。

根据第17(2)条，根据第14条提出的所有数据请求必须是具体、成比例的，符合特殊需要的，经过充分理由的，并尊重数据持有者的合法目的，并承诺确保保护相关商业机密。

第VI部分：此部分主要规定了各欧盟成员国国内的执行程序和相关权力机关。该法案规定各成员国必须安排一个国家机关负责该法案的执行，有意思的是，法案规定成员国内负责GDPR执行的机关当然的成为该国负责执行《欧盟数据法案》的机关。另外法案还规定作为欧盟法律，《欧盟数据法案》在成员国内当然适用，但是又同时规定各成员国可以自行制定惩罚和罚款标准。这也为该法案留下了一个悬念。即，各个成员国必然会产生对同一行为制定不同的罚金标准，产生像GDPR在不同国家对同一企业天差地别的罚金标准。

尽管如此，此次《欧盟数据法案》的最终通过，标志着欧盟数据立法走到了一个里程碑。未来法案将如何走向，以及将如何修订，我们会拭目以待。

法案全文链接：https://data.consilium.europa.eu/doc/document/PE-49-2023-INIT/en/pdf