2024年1月11日，歐盟《數據法案》正式生效，大部分條款將在生效之日起20個月后適用。作為歐盟2020年2月發起的“數據戰略”的核心組成部分，《數據法案》是繼歐盟《數據治理法案》之后第二個主要立法倡議。

《數據法案》最大的亮點是針對物聯網相關數據形成的立法，也是全球大型經濟體首個針對物聯網數據的立法，具有劃時代意義。該法案的重點是旨在克服歐盟認為的一系列障礙，以更好地共享企業和消費者物聯網設備生成的數據，并加速數據要素價值轉化，“解鎖”歐盟數字經濟。作為全球最大的物聯網市場，中國每年大量的物聯網設備也出口歐盟各國，深入研究歐盟《數據法案》，對于中國物聯網企業出海具有重大的現實意義；同時，中國目前尚未建立起針對物聯網相關數據流動和使用的規則和立法，歐盟《數據法案》也對中國物聯網數據制度建立提供很好的參考。

1

物聯網數據立法實現數據商業化破局

過去幾年，全球主要經濟體為了激發數據要素價值，針對數據出臺多項卓有成效的立法，保障數據要素價值化過程中各方利益。然而，這些立法更多聚焦個人數據、互聯網產生的數據等領域，針對物聯網數據還沒有專門法案出臺。當前，物聯網連接數已遠遠超過互聯網連接數，物聯網設備產生的數據增速不斷加快，對消費者生活和企業生產經營產生重大影響，針對物聯網數據的法規建設迫在眉睫。

然而，物聯網業務的特殊性，讓物聯網相關數據流動和價值化存在很多障礙，主要包括：物聯網數據持有者缺乏數據共享的動力、數據權利和義務不明確、實施的成本和復雜性、數據孤島明顯、元數據管理不善、缺乏標準和互操作性，以及數據持有者和潛在用戶之間的權力不平衡等。

歐盟數據法案就是著重打破這些障礙，釋放數據要素價值。一些值得關注的要點包括：

1、數據法案涵蓋對象的范疇主要是物聯網產品和服務

《數據法案》將涵蓋的產品和服務稱為“互聯產品（Connected Products）”，并對其范疇給出有明確的定義。“互聯產品”被定義為獲取、生成或收集有關其使用過程或環境數據的產品，能夠通過電子通信服務、物理連接或設備訪問來傳輸產品數據，其主要功能不是代表用戶以外的任何一方存儲、處理或傳輸數據。法案中明確提出物聯網在這一產品范疇，而典型的電子通信服務包括地面通信網絡、有線電視網、衛星通信網和近距離通信網絡，基本涵蓋了物聯網所有通信方式。

相關服務被定義為一個除電子通信服務之外的數字服務，包括在購買、出租或租賃時與產品連接的軟件，其連接方式會導致產品無法執行一項或多項功能，或者隨后由制造商或第三方連接到產品以添加、更新或調整產品功能。

從以上定義可以看出，該法案影響的產品和服務范圍非常廣泛，所有和物聯網相關的設備和服務都與此相關。例如，在B2B領域，網聯汽車制動系統、電梯、工廠中能夠收集數據的機器、智能太陽能板等；在B2C領域，智能冰箱、智能音響、掃地機器人等家用電器、健身追蹤器、醫療設備等。

相關服務包括了這些物聯網產品在時就嵌入其中或與產品相互連接的服務，或者是由制造商或第三方售后連接到產品的服務，它們對于產品執行其主要功能至關重要。比較典型的例子包括語音助手、連接到智能音箱的音樂流媒體服務、連接到健身追蹤器的生活方式建議應用程序、工業機器的命令和控制軟件以及用于建筑物能源優化的軟件等。這些服務也會產生豐富的數據。

然而，在《數據法案》早期版本中，主要設計用于顯示或播放內容或記錄和傳輸內容的產品不包含在其中，此前法案中明確提出如個人電腦、服務器、平板電腦和智能手機、相機不在法案的范圍內，不過最終版本并未明確將其排除在外。

2、物聯網數據相關方和主要職責

在《數據法案》中，互聯產品制造商被認定為“數據持有者”，該法案規定了一項法律義務，即數據持有者需向互聯產品的用戶、第三方（如果用戶要求）以及公共部門機構（在特殊需要的情況下）提供互聯產品生成的數據。

例如，對物聯網數據生成做出貢獻的任何個人或公司有權向數據持有者要求訪問非個人數據，用戶也可要求數據持有者在適用的情況下連續實時向第三方提供數據，數據持有者必須在公平、合理和非歧視的條件下共享數據。為了激勵產生有價值的數據，在B2B關系中，數據持有者在有法律義務向數據接收人提供數據時可以要求合理的補償。

同時，《數據法案》要求數據持有者有義務對互聯產品進行友好設計及透明度要求，使用戶能夠簡單、安全地訪問其使用產生的數據。一是默認提供義務，數據持有者應向用戶提供訪問權限，確保用戶方便、安全、免費地直接訪問以全面、結構化、通用和機器可讀的格式呈現的產品數據和關聯服務數據；應用戶要求，數據持有人必須制作數據“隨時可用”以及解釋和使用該數據所必需的元數據。二是在用戶申請的情況下，即當用戶不能直接訪問相關數據時，可向數據持有者申請獲取相關數據，數據持有者應當在沒有不當延遲的情況下，以全面、結構化、通用和機器可讀的格式，免費向用戶提供任何現成可用的數據，以及解釋和使用該數據所需的元數據。為保障用戶訪問數據權限，《數據法案》要求數據持有者不得為用戶設置任何行權障礙，包括要求用戶提供除身份驗證之外的信息、通過頁面設計等方式損害用戶的自主選擇權，另外對商業秘密保護方面也有一些約定。

3、對于數據持有者的保護

《數據法案》征求意見期間激烈辯論的話題之一是如何平衡商業秘密保護和數據共享要求。此前，SAP、西門子、Brainlab、Datev等多家歐洲巨頭聯名反對《數據法案》中關于數據共享的條款，他們認為迫使公司與第三方共享數據以提供售后市場或其他數據驅動服務的條款可能會危及商業秘密。這些巨頭在公開信中明確表示“物聯網是歐洲公司的領先領域，企業多年來一直在投資（研發），開發數據驅動的產品和服務。通過強制數據共享，我們正在打破未來數據驅動的歐洲商業模式的支柱，幾乎無法保證接下來會發生什么。”

作為一般性規則，商業秘密必須得到保護，只有在數據持有者和用戶在披露之前采取一切必要措施保護機密的情況下才能披露。在特殊情況下，即便用戶采取了技術和組織措施，如果作為商業秘密持有人的數據持有者能夠證明其極有可能因商業秘密的披露而遭受嚴重經濟損失，則該數據持有者可拒絕用戶的數據訪問要求。

為保護數據持有者利益，《數據法案》提出了數據使用的限制，對用戶和第三方施加了某些訪問和使用限制，例如禁止用戶使用強制手段或濫用設備技術基礎設施中的明顯漏洞來獲取數據，不得使用從互聯產品中獲取的數據來開發競爭性互聯產品，或獲取有關物聯網制造商或數據持有者的經濟狀況、資產和生產方法的見解。

4、一些例外情形

例外情形一方面是向小微企業傾斜。為了保護小微企業利益，《數據法案》針對小微企業提出豁免條款，即數據持有者對用戶和第三方的共享義務不適用于小微企業，例如員工少于50人且年營業額不超過1000萬歐元的企業，以及員工少于10人且年營業額不超過2000萬歐元的企業（歐盟發布的文件Recommendation 2003/361/EC中對小微企業有明確的定義）。當然，這一豁免條款有確定的條件，條件是這些小微企業沒有和非小微企業聯合提供產品或服務，且沒有提供相關分包服務。

例外情形的另一方面是對大型科技平臺的限制。《數據法案》禁止根據歐盟《數據市場法案》中被指定為“守門人”的公司獲取互聯產品數據。典型的“守門人”為一些大型科技平臺公司，例如谷歌、亞馬遜等，以防止大型科技平臺企業基于自身強大的經濟、技術實力，利用旨在實現數據公平共享的數據流通規則，強化自身壟斷勢力。總體來說，“守門人”將被禁止通過任何渠道獲取根據《數據法案》共享的任何數據，包括通過用戶直接獲取或通過數據接收方間接獲取。

2

推動數據的規范化，探索數據要素價值化

此前，歐盟在數據領域立法最為知名的是《通用數據保護條例（GDPR）》，當然GDPR更多聚焦于對于數據保護，尤其是對個人數據的保護。而《數據法案》則更多聚焦促進數據的流通和利用，而且在一定程度上給出物聯網數據流通實操性方案，體現了對數據作為生產要素的重視。這一法案的生效，對于全球物聯網產品開發和運營產生深遠影響，同時也對于建立數據要素基礎制度意義重大。

1、物聯網產品設計開發面臨新的挑戰和機遇

《數據法案》的生效，會直接對物聯網產品供應商提出新的要求，從多個方面形成新的挑戰，尤其是面對歐洲出口的國內物聯網廠商需要盡快做好準備。

一是對產品設計進行升級的挑戰。《數據法案》要求產品提供者需要設計更改，以確保用戶在默認情況下可以輕松、安全和直接地訪問物聯網設備生成的數據。物聯網產品廠商需要重新思考產品設計方法，將用戶數據訪問權限嵌入產品設計中，這需要企業對《數據法案》的深入理解和產品研發進一步投入。

二是對產品相關數據梳理的挑戰。為符合《數據法案》中提出的對用戶和第三方訪問數據的強制性要求，物聯網產品廠商需要提前理解“產品數據”、“相關服務數據”、“元數據”等概念，并梳理出對應的數據，以應對數據訪問的要求。實際操作中，與這些概念相對應的數據梳理還存在很大挑戰。

三是對數據安全和商業秘密的挑戰。《數據法案》下物聯網企業需要強制共享的數據大幅擴大，企業需要提前評估實施后對于自身數據加密、商業秘密方面帶來的要求，在滿足法案要求前提下，提升數據安全技術投入和優化各類保密流程，這對于國內物聯網企業也是一個重大挑戰。

四是對外合作合規方面的挑戰。由于《數據法案》中存在對大型科技平臺企業“守門人”的禁止條款，因此需要高度關注的是，如果物聯網企業基于用戶請求從數據持有者處獲取了相關數據，應避免向守門人提供此類數據，特別是很多企業會與大型平臺公司合作開發或運維一些物聯網產品和服務，這種情況下要避免向平臺公司傳輸從數據持有者處獲取的物聯網數據。

不過，《數據法案》也同時給國內物聯網企業帶來一些新的發展機遇，借助該法案推動物聯網數據流通，進一步提升相關企業能力。

一是通過獲取更多數據輸入提升服務能力。由于法案規定了對于物聯網產品數據的強制性共享，一些物聯網應用服務廠商可以研究哪些數據可以“為我所用”，借助獲取的數據提升自身的產品和服務。例如，提供預測性服務的廠商，可以借助共享的物聯網設備數據，結合人工智能技術，進一步提升其預測模型的精準度。

二是讓用戶能做出更好的選擇。通過訪問更多的物聯網數據，企業和行業參與者可以從競爭激烈的數據市場中受益，使他們能夠根據客戶的特定需求定制服務，這些匯聚的物聯網數據也有助于開發全新的數字服務，讓用戶得到更高質量或更可持續的產品和服務。

2、針對物聯網數據要素價值化制度建設需加速

近年來，我國高度重視數據要素流通、價值利用機制的探索。2022年底，中共中央、國務院發布了《關于構建數據基礎制度更好發揮數據要素作用的意見》（“數據二十條”），在我國數據要素價值釋放過程中具有里程碑意義。

《數據二十條》創造性提出建立數據資源持有權、數據加工使用權和數據產品經營權“三權分置”的數據產權制度框架，推動數據流通和價值化。然而，在實際推進過程中，數據權屬問題還需要很長的路要走，歐盟《數據法案》或許對快速推動數據流通提供新的思路，尤其是針對不斷增長的物聯網設備產生的數據價值化提供參考。

阿里研究院副院長安筱鵬在研究歐盟《數據法案》時撰文指出：“數據權屬的確立是不是數據流動、創造價值的必要條件？不確定數據權屬，數據是不是不能流動、不能創造價值、不能發揮生產要素的作用？”

安筱鵬認為從歐盟數據的系列法案內容來看，其面臨的共同挑戰是，數據鏈條包括多個參與者，每一個參與者都可能在某一環節賦予數據以新的價值，數據價值在不同場景下也會變化，并衍生出新的權利。在這種情況下，在各參與者之間清晰劃分和界定責權利，無疑是非常困難的。面對不同利益主體之間數據流動面臨的各種問題，從規則標準、組織變革、工具創新、標準規范上打出組合拳，解決數據流動和使用中的各種問題，而不是緊盯數據產權制度設計，在不界定產權的情況下繼續往前走。

歐盟《數據法案》選擇繞過了短期內難以解決的數據權屬問題，對“數據持有者”也沒有界定相關權益，但從數據價值分配入手，設定了數據持有者、用戶、第三方等各方權利義務，形成數據流通路徑。

筆者此前曾撰文將物聯網分為大連接階段、產業智能應用階段和全面賦能經濟社會階段三個階段，其中第三個階段中，“物的數據”價值充分釋放，經濟社會各領域都可共享應用。然而，這一階段實現的前提是要暢通數據資源大循環，這不僅僅需要廣義的物聯網技術，更為重要的是需要建立起完善的數據要素基礎制度。

筆者認為，歐盟《數據法案》在物聯網數據要素制度建設中提供一個非常好的思路，后續可以探索通過立法明確物聯網各方主體在數據流通過程中的權利義務，在支持物聯網價值釋放方面形成重要支撐，推動物聯網全面賦能經濟社會階段快速到來。

本文來源：物聯網智庫

本文作者：趙小飛