复杂、脱节、技术性、难以应用......这些是当我们谈论欧盟即将正式通过的《数据法案》(《欧洲数据法规》)时出现的这些词。不太为公众和专家所知,被人工智能监管和二人组DMA/DSA尽管如此,它的最初雄心是巨大的。即使在今天,随着文本的通过过程即将结束,人们的期望仍然非常高:它将在明年 11 月的全体会议上进行投票。
理论上,《数据法案》应该允许用户 — — 以及欧洲消费者 — — 对其自己的数据拥有更多权利数据。它必须打开,甚至创造一个新的市场,其中将出现新的欧洲参与者、数据中介机构。 “通过结束数据锁定,《数据法案》为造福所有人的数据经济铺平了道路»,负责数字化转型和电信的部长级代表 Jean-Noël Barrot 在一次演讲中热情地说道公报从7月15日开始。经济部长布鲁诺·勒梅尔毫不犹豫地提到“欧洲数字主权”。欧盟委员会在制定该法规时甚至宣称,到 2028 年,新市场的创建将带来 2700 亿欧元的额外国内生产总值。这些预测会实现吗?这就是整个问题。
数据和对象的领域非常(太)有限?
首先,《数据法案》是关于什么的?顾名思义,该法规涉及数据,但是非常具体的数据。这些是数据通过使用连接的对象生成,例如汽车、扬声器、吸尘器,甚至连接的散热器。目前收集的数十亿数据正沉睡在数据库或服务器中,或者完全掌握在单个操作员手中,而它们可以被商业利用——包括被其他公司利用。而这正是安全的» 欧盟委员会希望开放这一机制——就像 2016 年针对个人数据所做的那样。
«本来是一个应该是横向的文本,针对的是所有的数据产生于所有经济部门。但最终,我们意识到事实并非如此。它只涉及来自连接对象的数据“ - 这数据计算机、智能手机、服务器、社交网络和搜索引擎等在线平台的使用均被排除在《数据法》之外。并且只有数据专业或工业——非个人意义上的——成为目标。因为这是很重要的一点,个人数据也不包含在本文中,它们继续受到欧洲个人数据法规 GDPR 的监管。结果,排除所有这些因素,“这c数据法的适用范围变得非常有限 », Pierre-Emmanuel Frogé 注释,他是 BCLP Paris 的律师,负责 IP IT 数据部门。
«《数据法案》的目标是使数据更加流动,但我们意识到事实上是的,但它是在一个非常小的部门、非常少量的数据和非常具体的条件下进行的。“,他继续说道。
数据法案的三个关键参与者
该条例的主要规定有哪些?一方面,用户– 因此欧洲消费者 – 将有权要求(并获得)他们的数据通过使用其连接的对象产生的工业。他将能够将它们转移到其他公司 -谁不能是加法姆– 称为数据中介,其想法是让他们更容易从一个提供商转移到另一个提供商。该法规旨在鼓励小公司和新服务的出现。它还涉及云计算,并将允许欧洲云计算参与者与当前巨头并存。从 2026 年开始,用户也将能够更轻松地更换基础设施提供商,而无需支付费用。
另一方面,持有者这些数据的(初始)——连接对象或其软件的制造商——将有义务与用户和……其他公司共享这些数据——包括他们是竞争对手的情况。最后,行政部门在发生公共紧急情况(例如健康危机)时,他们将能够免费访问数据,但需要支付一定的费用,以支付提供数据的成本。 “与我有时在媒体上读到的内容相反,这并不意味着公共当局可以在警方调查或审判时获取这些数据。»,指定 Arnaud Latil,索邦大学私法讲师和索邦人工智能中心 (SCAI) 成员。
因此,欧盟 (EU) 的目标是简化数据市场并允许新中介机构的出现。但当我们读完124页的规定后,我们意识到困难才刚刚开始。
隐私悖论:我想控制我的个人数据,但我把它给任何人
首先,数据法的整个结构取决于用户:只有后者才能请求数据。普通用户会理解这一点吗?他们会利用它吗? “要做到这一点需要大量的教学。»,估计 Suzanne Vergnolle,法学博士兼国家工艺美术学院 (Cnam) 讲师。 “我们希望从经济角度简化技术运营商之间的数据,但我们将掌控权交给了不一定最愿意传输数据的用户»,皮埃尔·伊曼纽尔·弗罗格补充道。特别是因为后者往往是“隐私悖论»,律师继续说道。
«我们倾向于说:“我的个人数据非常重要”。但在实际操作中,我们并没有重视。我们向任何人提供信息。当我们收到隐私政策时,我们点击并接受它们,我们甚至不知道我们在做什么。或者相反,个人没有使用与其数据相关的权利,例如出于可移植性目的访问其数据的权利(GDPR 已对此做出规定,编者注)。这就是为什么让用户控制,并责令其负责落实本办法规定的措施数据法案有点反直觉的»,皮埃尔·伊曼纽尔·弗洛格强调道。
该条例第一页就出现了另一个主要问题:数据法“不影响 GDPR 规则的适用”。请理解:如果这两个文本之间的规则相互矛盾,则以 GDPR(仅处理个人数据,即与已识别或可识别自然人相关的数据)为准。 “说完之后,我们就没有多说什么。然而,公司必须知道如何在实践中实施这些原则。答案并不全部在文中。离它还很远»,Suzanne Vergnolle 解释道。
个人数据和非个人数据的混合:入口阻塞
因为很多时候,个人数据和非个人数据是相互交织在一起的。当它们混合在一起时该怎么办? “那里已经出现了真正的入口堵塞。一方面,《数据法案》规定:好吧,让一切变得更加流畅。这个原理值得称赞”。但另一方面,“我们意识到,在所有这些数据中,存在个人数据和非个人数据»,皮埃尔·伊曼纽尔·弗洛格强调道。
例如,Linky 计量表不仅具有识别人员的元素,例如客户帐户,还具有个人资料(例如,主要在晚上和周末消费的人)以及非常精确的消费数据,我们可以从中推断出。很多事情。理论上,某些元素将受到《数据法》的约束,其他元素将受到《GDPR》的约束。实际上,这种区别将非常复杂。 “具体来说,在保持符合 GDPR 的情况下简化数据将会很复杂»,皮埃尔·伊曼纽尔·弗洛格 (Pierre-Emmanuel Frogé) 总结道。
是否会不惜一切代价援引商业秘密?
公司感到震惊的另一个因素是:商业秘密。最初,文本规定公司不能援引商业秘密以避免共享他们收集的数据,并且如果用户请求,他们必须将这些数据传达给其他公司。为什么有这个规则? “公司经常将商业秘密当作一张小丑牌来避免传达某些信息,立法者当然希望避免这种情况。»,Suzanne Vergnolle 强调道。
但在最后的三场对话(欧盟委员会、理事会和欧洲议会的代表会议)中,报告称语境,终于出现了例外。在以下情况下,数据持有者可以拒绝共享请求:商业秘密,如果他们证明他们会遭受严重的经济损失– 他们必须特别携带“客观要素,特别是第三国商业秘密保护的可执行性、所请求数据的保密性质和级别或产品的独特性和新性质”。如何将这些要素付诸实践还有待观察。
一篇过于理论化而没有实际解决方案的文本?
此外,将其付诸实践的问题是本文的主要挑战;我们采访的所有专家在这一点上都是一致的。 “该规定对经济经营者规定了义务,但在实践中,没有给出尊重它们的技术解决方案»,Pierre-Emmanuel Forgé 指定。 “但这将是机会为欧盟委员会,我们希望,进行制定数据互操作性的真正标准,数据匿名化或假名化方法的真正标准,将允许,在实践中,它们在运营商之间的流通和交流»,他补充道。
新规定将在生效 20 个月后生效——如果明年 11 月全体会议通过的话,最多在 2025 年 5 月生效。但需要更多时间才能了解“确切地说,本文将如何应用”,Suzanne Vergolle 警告说,唤起人们的视野“几年。不幸的是,目前我们仍然坚持主要原则»,添加了数字法律专家。阿诺·拉蒂尔 (Arnaud Latil) 也有同样的故事,对他来说“他的监管还具有监管未来十年数字行业的功能。它很重,但不应该立即发生。它由缓慢的输注组成,如果我们可以使用这个表达”。欧洲当局方面,面前还有一项艰巨的教育和解释工作。因为有必要以清晰和高效的方式成功取代“复杂、脱节、技术性、难以应用”……这是一项不可能完成的任务吗?
