欧盟《数据法案》是一项全新的跨行业横向法规,已于9月12日正式实施。该法案的制定目的在于通过提高物联网(IoT)生成数据的可获取性与可用性,增强欧盟数据经济活力、培育具有竞争力的数据市场,同时推动数据驱动型创新并提升数据可利用度。其中,汽车行业作为数据密集型领域,成为该法规实施中尤为关键的应用领域。
联网车辆在运行过程中会产生海量数据,广泛应用于多种场景,例如导航与联网出行服务、车辆维修保养、运营优化、驾驶行为分析、交通安全管理、充电基础设施规划,以及减少车辆排放等相关流程。
《数据法案》通过让车辆所有人、承租人及出租人掌握相关数据的控制权,打破了制造商与服务提供商在车辆数据领域的主导地位。此外,法案还为驾驶员、第三方维修保养服务商及出行服务提供商获取数据提供制度保障,进而催生新的商业机遇——例如,促进汽车行业企业间(B2B)合作关系的竞争活力。
同时,《数据法案》明确包含推动数据与竞争性售后市场服务共享的相关条款,但也为相关主体设定了新的义务。
一、哪些产品与服务需遵守数据共享义务?
“联网产品”是指能够生成、获取或收集与其自身使用情况、运行状态或所处环境相关的数据,并可通过电子通信服务、物理连接或设备本地访问(即IoT产品常见的访问方式)传输该数据的物品。其中,车辆被明确纳入适用范围。
“相关服务”是指与联网产品的运行相关联,且会影响该联网产品功能的数字服务。例如,基于实时交通数据推荐最优路线的智能导航系统,或能根据路况、天气及周边交通状况自动调节车灯亮度与角度的软件,均属于此类服务。
二、哪些主体需遵守数据共享义务?
三、数据共享义务的主要影响有哪些?
车辆的设计与制造必须确保相关数据默认对欧盟用户开放。若数据无法直接获取,数据持有方必须在无不当延迟的情况下提供该数据。用户享有访问其使用物联网产品和相关服务所产生的各类数据的权利,甚至可以要求将这些数据提供给其指定的第三方。在某些情况下,这还可能涉及披露被认定为商业秘密的数据。
欧盟委员会将发布非约束性示范性合同条款。制造商和数据持有者必须确保以公平、合理且非歧视性(FRAND)的条件提供数据访问。只有在特定条件下,数据持有者才可向欧盟以外的公共部门机构提供数据。这要求相关方必须与用户及第三方(包括竞争对手)达成数据共享协议。
对于制造商与数据持有者而言,这些新义务带来了重大的技术与商业挑战,需在技术、合同及运营等各个层面进行相应调整。由于车辆运营涉及众多利益相关方,这在有限的时间内为数据安全措施和运营流程的完善带来了新的挑战。此外,《数据法案》与特定行业法规(如车辆型式认证法规)之间的协调机制目前仍不明确。尽管欧盟委员会已宣布将制定针对车内生成数据访问与使用的补充性纵向立法,但该法规的出台时间表目前尚未确定。在此之前,作为横向法规的《数据法案》将适用于包括汽车行业在内的各个领域。
不过,《数据法案》同样为行业带来了新的机遇,如企业可以作为用户或通过用户获取第三方产品及相关服务的数据。尽管《数据法案》禁止利用产品及相关服务的数据来开发竞争性产品,但允许使用这些数据开发新的(竞争性)服务。这类服务可能涵盖多种售后服务形式,包括辅助咨询、数据分析、金融服务,以及传统的维修保养服务等。
四、哪些事项最为紧迫?
《数据法案》已于2024年1月11日正式生效,大多数权利与义务也已于2025年9月12日起开始适用,而涉及产品设计与制造的相关要求则将从2026年9月12日起适用。对于现有(遗留)合同,法规提供了分阶段合规的过渡安排。
五、执行与处罚
各成员国须指定主管机关,并在其法律中设立有效、适度且具有威慑力的处罚措施。若涉及个人数据的处理,相关罚款可参照《欧盟2016/679号条例》(即GDPR)的标准,最高可达2,000万欧元或企业上一财务年度全球年营业额的4%,以较高者为准。目前,主管机关的具体管辖权划分以及处罚金额的确定细则尚不明确。
(原标题:欧盟《数据法案》行业解读专栏 | 中国企业欧盟数据合规实务指南:汽车业篇)(来源:鸿鹄律师事务所)
特别声明:本文中提供的技术、法律或专业事项相关信息仅供参考,不构成法律或专业意见。如有任何具体法律问题或事项,请咨询具有适当资质的律师。鸿鹄对于本文中的信息不负任何责任,并且不承担该等信息引起的任何责任。
