欧盟数据法 - 教学教案 - 浙衡商务论坛-大律师公会

欧盟《数据法》的落地，标志着全球数据治理进入“规则竞合”新阶段。这部法案以“破除数据垄断”为名，通过重构数据持有者义务、重塑数据流通规则，正在深刻改变欧洲乃至全球数据市场的权力格局。金晶教授的《数据持有者何以塑造数据市场？》（原标题）一文，以穿透式研究揭示欧盟立法背后的策略逻辑与制度风险，为中国政策制定者和参与全球数据竞争的企业提供了关键性警示。

欧盟《数据法》的激进实验，既暴露了法律强制干预市场的制度局限，也为我国优化数据基础制度提供了鲜活样本。建议企业将本文作为欧洲市场合规的“预警路线图”，政策部门则可从中提炼规则博弈的攻守策略——在数据主权的底线之上，以更具弹性的制度设计参与全球数字秩序重构。

本文是司法部法治建设与法学理论研究部级课题“数据交易的民法规制”（21SFB3017）的阶段性成果，原载于《欧洲研究》2025年第2期。

引言：《数据法》的范式转换：立法路径和规制方法

数据价值化作为数据流通的第一性原理，是数据立法的科学前提，也是数据市场的理论基础。作为国家竞争的新命题，数据流通的经济促进意义巨大。正如2024年德拉吉（Mario Draghi）在《欧洲竞争力的未来》中指出，“欧盟竞争力将愈发依赖于全行业的数字化和在先进技术领域建立优势……物联网、远程传感器、增材制造和预测性维护等先进技术的连接对于促进循环经济潜力巨大。”

数据流通秩序之建立，有赖于数据市场基础制度之确立。中国和欧盟在数据市场的规模结构上虽有不同，但均关注数据经济促进、数据市场发展。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）将数据产权、流通交易作为构建数据基础制度体系的首要任务，数据政策密集制定，学术研究方兴未艾，在中国政策制定的攻坚阶段，以欧盟为代表的域外立法绝非中国构建数据基础制度的单纯立法参照或对比项，在国际格局不断发展变化的大背景下，中国相关的政策立法既要考虑国际贸易背景下数据流通在概念层面的制度对接，又要考虑到中国制度与欧美规则的风险“对冲”问题。因此，研判欧盟数据市场立法的策略与风险，既有制度竞争的战略意义，也是建构中国自主知识体系的内在要求。

2023年欧盟《关于公平访问和使用数据的统一规则及修订（欧盟）2017/2394号条例和（欧盟）2020/1828号指令的（欧盟）条例》（以下简称《数据法》）作为一套新的法律框架，被誉为数据法的范式转换，规制重点从数据保护转向数据共享，这种范式转换主要表现在两个维度：

一是改变立法路径，这是根本性、实质性的变化。《数据法》的立法者扬弃了曾一度纳入考量的排他性使用权的立法方案，转而采取非排他性访问权的反向工具(Anti-Instrument)。在如何确定数据权利归属和利益分配这一数据立法的首要命题上，欧盟采取了对数据生态系统相关方进行全面“合同化”安排的规制方案。作为一种对数据（权益）的事实分配方案，它从根本上改变了数据经济的既有法律框架，对数据生产者（Datanproduzenten）、数据持有者（Dateninhavern）和数据利益方（Dateninteressenten）的三方关系进行重新平衡。这种从排他性使用权到非排他性访问权的结构性转换，意义重大。

二是调整规制方法，以横向规则推进多维度监管，以强制性规则调整商业数据流通方向。首先，《数据法》与《数据治理法》(DGA)均采取横向立法的对称监管思路，《数据法》以数据访问和使用为特定问题域，设定数据流通的跨行业监管框架。在立法策略上，这是一种先确立数据流通跨行业一般规则，再针对具体行业“量体裁衣”确立纵向特殊规则的务实安排。其次，《数据法》在数据流通问题上采取较激进的规制模式，以强制性规则引入数据提供法定义务。但这一方案并非初始立法选择，曾有三种方案被纳入考量：方案一强度最低，在尽量减少法律干预的设想下，设置无拘束力的法律举措，例如仅设置先合同信息义务；方案二强度居中，以有限的立法措施来提高数据使用确定性，例如对商事合同内容的预先设定和审查；方案三强度最高，就数据使用设定特定主体的法定义务，例如确立数据访问和使用的法定权利。尽管欧盟委员会倾向于方案二，其有助于提高数据流通的确定性和数据复用率，赋予消费者和企业更大的数据控制权，鼓励数据持有者生成数据的积极性。但《数据法》更接近于方案三，德国知名数据研究机构魏岑鲍姆研究所认为其是一种“通过促进欧盟立法公平性，来消除合同主体力量结构失衡”的方案。

在数据法范式转换的宏观背景之下，本文以数据市场塑造为线索，围绕数据持有者的概念构造与义务构成，从市场结构、市场主体和市场流通三个维度，研究欧盟《数据法》矫正数据市场结构失衡的规制方法、创设数据持有者概念的政策考量，以及数据持有者法定义务的正当性基础与市场影响。

一、矫正市场结构失衡：破除数据持有者依赖

（一）数据持有者对数据市场的结构性影响

市场设计理论认为，市场制度的设计构成市场设计的重点，数据特性则是数据

市场制度设计的事实起点。

数据具有非竞争性、事实垄断两大特性，这是数据市场塑造的事实基础。

首先，数据的非竞争性是数据利用过程中发挥“乘数效应”的基础。《数据法》鉴于条款第１条第４句开宗明义：“相同数据可用于各种目的，可以无限重复使用，而不会造成质量损耗或数量减损”。非竞争性决定了数据使用不导致数据消耗，其他用户访问的数据也不会随之减少，数据使用效率亦不会有所下降，这是数据区别于传统生产要素的一大特性。其次，数据的事实垄断，导致数据利用过程中存在“绊脚石”。持有数据的主体通常对数据拥有事实上的控制和管理能力，使得数据利用受制于特定主体。数据持有者对数据事实的控制也意味着，其很容易能够阻止甚至排除其他经济主体访问或使用数据。《数据法》鉴于条款第2条将这种数据事实垄断描述为“给数据共享制造障碍，阻碍了为社会利益而需要进行的数据分配优化”。

数据的非竞争性、事实垄断特性给数据市场带来了结构性影响。欧盟委员会指出，“欧盟内部市场的大多数数据未被使用，或者价值集中于相对少数的大公司手中。”主导《数据法》立法的欧盟委员会官员迪尔克?施陶登迈尔（Dirk Staudenmayer）也提出，“当下欧盟数据经济立法的重点在于数据经济产生的依赖性”。欧盟数据市场的结构性失衡表现为大“数”之下，“寸草不生”，数据经济对数据持有者有较强依赖。数据经济对数据持有者的依赖性源于如下市场发展：快速发展的物联网使网联设备能够收集数据，海量数据的出现与汇聚引发生产、销售流程的数字化，催生了纯粹基于数据的商业模式。作为新型生产要素，数据的重要性与日俱增，一旦企业要以其他企业的数据来开发或运营其商业模式，但又无其他数据源可用之时，对数据及其持有者的依赖随之出现，这种市场力量失衡会进一步加剧数据市场机制失灵，这是《数据法》要解决的结构性问题。

数据流通的逻辑前提是市场主体能掌控（访问）数据。数据无法访问或使用，数据就难以有效利用，商业模式也无从创新。《数据法》遵循数据流通基本逻辑，以矫正数字经济产生的依赖性为目标，旨在打破市场主体对数据持有者的依赖。

（二）经济动机：数据持有者对欧盟市场的战略价值

《数据法》是欧盟基于“建立真正数据内部市场”愿景所推出的基础制度，构成2020年《欧洲数据战略》中数据立法议程“四大支柱”的第一支柱。欧盟将《数据法》的远期目标锚定为“使欧洲在全球数据经济中发挥主导作用”，将近期目标定位为“通过改善数据的访问和促进负责任的数据使用，发挥日益增多的可用数据在促进社会和经济福祉方面的潜力……通过制度设计，为数据敏捷型欧洲经济构建适当框架，从而更主动地掌控欧洲市场的海量数据。”上述宏大目标背后的真实意图或在于以法律的方式“掌控”欧洲市场的工业数据。

《数据法》的经济动机至为明显，甚至可称为一项内部市场经济刺激工具，将为欧盟内部市场带来蔚为可观的经济刺激。可资佐证的是，在《?数据法?影响评估报告》中，欧盟委员会将欧盟数据经济的主要问题归结于“内部市场可用数据不足，进而影响到一系列经济行业，导致欧盟层面数据利用不足，给消费者选择、创新和公共服务提供带来负面影响”。欧盟委员会甚至从“经济账”的角度，预测《数据法》的经济促进效果。欧盟委员会预估，在整体市场影响层面，到2028年，《数据法》将使27个成员国国内生产总值增长1.98%，其中2024年至2028年四年间，将使政府收入和投资活动各增加968亿和304亿欧元，并额外创造220万个工作岗位。在市场赋能和行政降本层面，到2028年，一方面，通过提高数据在商业用途和企业创新中的可用性，《数据法》每年产生的收益将达1.96亿欧元，另一方面，通过促进为公共利益目的使用商业数据，《数据法》每年减少的行政负担将达1.55亿元，其中仅数据访问请求一项的年营业额将接近2000亿欧元。

《数据法》立法时间表的一系列关键节点，体现了欧洲对这部法案的急切期待。2022年2月23日，欧盟委员会公布《数据法（草案）》，启动正式立法程序。草案一经公布即引发激烈争论，相关争论聚焦于法案的概念清晰度、立法目标、规制工具、结构性路径（structural roads）等议题。草案一读过程中通过多项修正，2023年3月14日，欧洲议会向理事会提交修订后的《数据法（草案）》。尽管争论激烈，但仅8个月后，即2023年11月27日，草案就获得理事会一致通过，并在同年12月就条例最终版本达成一致，12月22日欧盟官方公报发布正式文本，法案自2024年1月11日，即发布正式文本的20天后正式生效，从2025年9月12日起适用。此时距草案最初公布仅22个月。《数据法》立法进程如此迅速，以至于有学者评价法案通过“未产生重大政治摩擦……这与当时相关行业人员和利益集团忙于实施监督GDPR、《数字服务法》和当时尚未通过的《人工智能法（草案）》有关”。利益相关方无暇顾及固然是原因之一，但《数据法》迅速通过的根源，仍在于欧盟的政治决心以及预期的经济效果。

（三）规制数据持有者的方法：数据访问制度

访问设计(access by design)构成《数据法》对数据市场力量结构性干预的核心制度，旨在打破欧盟内部市场的数据孤岛。这一制度与欧盟《一般数据保护条例》（GDPR）的隐私设计一脉相承，首要目标是更好利用欧盟内部市场产生的工业数据，通过加强商业和非商业数据生态系统中不同主体间的数据共享，为网联产品及关联服务用户提供基于产品或服务生成数据的访问途径。

数据访问制度具有双重功能，既能用数据访问促进创新，也能维持一套有利于数据生产的激励机制。

为使数据访问更易实现，《数据法》第1条第1款引入了相互关联的规制工具，据此确立了四类基础制度：

一是用户的数据访问权；

二是数据持有者的数据提供义务；

三是数据持有者向政府机构提供数据的义务；

四是数据访问、传输和使用的互操作标准。

上述四类制度表现为权利与义务、原则与例外、主要与补充的组合关系。首先，用户的数据访问权与数据持有者的数据提供义务一体两面；其次，将数据提供义务设计为原则与例外关系，数据持有者原则上负有对用户提供数据的法定义务，仅例外情形下才对政府机构负有提供数据的义务；再次，促进数据处理服务的互操作、切换等技术规则的发展，作为数据访问权、数据提供义务等主要制度的辅助与补充。

（四）工具评估：规制数据持有者的“隐藏”目标与“限度”

1、作为规制对象的数据持有者

破除数据持有者依赖、提高数据可用性是《数据法》的规范目标，欧盟委员会在《?数据法?影响评估报告》中，将这一目标描述为“通过立法矫正数据流通的结构失衡，保持对数据生成进行投资的激励机制，最大限度地提高数据在经济和社会中的价值……《数据法》旨在通过确保更广泛的利益相关者获得对其数据的控制权，确保更多的数据可供使用。”

本文认为，《数据法》的目标不止于此，或“隐藏”了更深层的竞争和产业政策意涵：通过规范力量（法律制度），以法定义务形式，让有市场竞争优势、掌握数据的特定主体向潜在竞争对手提供数据。

例如，欧盟委员会《?数据法?影响评估报告》对法案目标的上述描述更接近于产业政策，即通过物联网领域的数据访问规则，重新分配内部市场工业数据，改变特定主体（第三方）获得和使用数据的能力，其事实效果是释放更多数据供欧洲中小型企业使用，数据持有者的市场优势可能受到削弱。具体来说，在欧盟市场运营的数据富集型的数据持有者（跨国科技公司、数字平台、物联网巨头）依法提供（“交出”）数据，由此干预数据商业流向，让处于数据资源劣势的经济主体（欧盟中小型、初创企业）能基于访问权和数据提供义务依法使用/访问（“获得”）数据。这种法律干预的结果是重塑数据流向，其目标或在于形成有利于欧洲的数据市场结构，提高欧洲数据市场乃至欧洲产业的竞争力。

上述“隐藏”目标是以经济数据为支撑的。根据《?数据法?影响评估报告》的预测，对第三方而言，单是旨在解决合同失衡的不公平合同条款的法律规则，就将为（欧洲）中小企业带来每年约52亿欧元的利润；对数据持有者而言，《数据法》的成本将分摊到持有数据的企业，其中大多为制造商，基于数据共享义务，数据持有者不得不向消费者、第三方开放访问数据，与数据访问相关的技术基础设施的一次性成本和经常性成本将分别达到4.1亿和8800万欧元，数据持有者向政府机构提供数据的一次性费用和经常性费用将分别达到5.525亿和7810万欧元，为满足互操作性要求，数据持有者就每项标准的成本将花费100万欧元。而上述经济营收与成本支出，实质上是以牺牲数据持有者的经济利益为代价的。由此可见，数据持有者面对第三方、政府机构的“数据牺牲”代价，表现为第三方的利润增加、数据持有者的成本支出、数据持有者提供数据的法定义务，是一种数据市场的“利他”安排。

2、横向规制数据持有者的限度

横向规则的适用及其限度尚需进一步考量。德国马克斯?普朗克创新与竞争研究所指出，“欧盟在数据市场立法上引入横向规则确有必要，尤其在特定问题上采用横向规则恰逢其时……但横向规则无法取代对具体行业的特殊监管，单凭横向规则无法成为未来行业规则的优良模板。”

本文认同上述立场，横向规则应有一定限度。尽管欧盟委员会主张“未来的行业立法原则上应与《数据法》的横向规则保持一致”，但基于《数据法》的适用范围，法案将影响到所有可能与欧洲市场产生联系的工业行业。然而，横向规则并非数据经济“一劳永逸”的立法方案，各行业数据持有者的特征不同，针对具体部门的特殊规则更具针对性，更能灵活应对技术发展。横向规则虽然符合立法统一性的形式美感追求，但易滞后于行业技术的迭代发展。立法者若盲目追求横向规则，恐与数据市场、数据技术、物联网产业的复杂性相悖。

二、创设数据市场主体：引入数据持有者概念

（一）数据持有者的概念确立

从概念史回溯，数据持有者并非既定法律概念，而是欧盟新创的主体概念。数据持有者也非GDPR所用概念，GDPR确立了个人数据处理者、个人数据控制者概念，但未引入数据持有者概念。

1、数据持有者的政策表达

数据持有者的概念使用可回溯至2020年《欧洲数据战略》，其中两处提及数据持有者。一是正文中，欧盟委员会在解决数据可用性问题的语境下提出“可以根据谁是数据持有者、谁是数据使用者/用户来进行分类”；二是脚注中，欧盟委员会提出“数据访问权的范围应当考虑数据持有者的合法利益”。由此可见，《欧洲数据战略》虽然从政策角度提出数据持有者概念，但其仅是政策用语，概念语境与数据流通利用密切相关，政策制定者更多的是将数据持有者与数据使用者作为一组概念区分使用，侧重数据持有者与数据使用者的区分，将数据持有者与数据访问权关联使用，但并未明确数据持有者的法律意涵。

2、数据持有者的法律定义

数据持有者的法律概念的界定和采用可回溯至《数据法》和《数据治理法》。例如，《数据法》在第2条的定义条款中单列一项，界定了数据持有者的积极要件和消极要件。

《数据法》第2条第13项将数据持有者正面界定为，“根据《数据法》以及适用的欧盟法律或为转化欧盟法律所通过的成员国立法，有权力有或有义务使用和在提供关联服务过程中访问或生成的数据的自然人或法人”。数据持有者的原型指向事实上、技术上掌握数据的主体，通常是有能力生成数据的网联产品制造商或关联服务提供商。当然，数据持有者并不限于这两类主体。不过，并非持有数据的所有法律主体，都构成《数据法》意义上的数据持有者，网联产品制造商与数据持有者概念不等同，数据持有者的主体范围仅限于产品制造商提供数据访问的情形。

《数据法》在鉴于条款排除了不构成数据持有者的两类情形。一是《数据法》鉴于条款第25条最后一句以及第63条规定，数据持有者概念通常不包括公共部门，但可能涵盖公共企业；二是依据《数据法》鉴于条款第22条，GDOR第4条第8项意义上的处理者（为控制者处理个人数据的自然人、法人等实体）不构成《数据法》意义上的数据持有者。

适格的数据持有者应同时满足（1）存在基础法律关系和（2）对网联产品及关联服务有事实控制两项隐含前提。首先，并非所有持有数据的主体都有义务提供数据访问，必须存在用户与数据持有者之间的基础法律关系，例如产品或关联服务的合同；对数据缺乏实际技术控制权而无法提供数据的制造商，对产品技术设计缺乏控制权的制造商，不落入《数据法》上数据持有者的概念射程。换言之，委托处理个人数据情形下的数据处理者不构成数据持有者，但其可按照GDPR第4条第7项所定义的数据控制者的特别委托来提供数据。

3、数据持有者的概念界分

如前所述，数据持有者并非GDPR的概念，但作为新的主体概念，数据持有者与GDPR的个人数据处理者和控制者之间有概念重叠，这种重叠仅限于个人数据，非个人数据的数据持有者与GDPR无关。

首先，能决定个人数据处理目的和方式的数据持有者构成数据控制者。在处理个人数据情形下，数据持有者也构成数据保护法意义上的数据控制者，但这须以数据持有者单独或与他人共同决定数据处理的目的和方式为前提。但如果数据未存储于数据持有者的技术和事实控制之下，而是其他主体依据其指示存储并处理，例如网联汽车的传感器数据，或是第三方应用程序数据仅存储于汽车制造商控制范围内且第三方按汽车制造商指示处理数据，此时，《数据法》鉴于条款第24条仍适用，只有第三方应（用户之）请求提供给汽车制造商的数据，才属于针对汽车制造商的数据访问请求的范围。

其次，数据持有者和用户可能构成GDPR意义上的共同控制者。基于《数据法》鉴于条款第34条，如果数据持有者和用户构成GDPR第26条意义上的共同控制者，其必须通过合同安排确定各自在GDPR意义上的责任。换言之，一旦数据被提供，如果用户符合《数据法》上数据持有者的标准，并因此负有提供数据的义务，该用户可以反过来成为数据持有者。

（二）数据持有者未被赋予数据持有权

需指出的是，数据持有者概念并未衍生出与中国“数据二十条”中数据持有权类似的权利形式。《数据法》未确立数据持有权，数据持有者亦未因其法律主体地位获得新权利。

数据持有者与数据持有权之间的不相关性，在规范文义和关联解释中均有体现。

从规范文义观察，《数据法》规则正文虽未提及，但其鉴于条款中有两处明确确认：

一是《数据法》鉴于条款第25条首句明确，“本条例不应被理解为赋予数据持有者使用产品数据或关联服务数据的任何新的权利，如果网联产品的制造商是持有者，那么制造商使用数据的法律基础应是制造商与用户之间的合同。”

二是《数据法》鉴于条款第24条最后两句亦佐证，“在订立提供网联产品的合同之前，数据持有者有义务提供相关产品能够生成的产品数据的信息，这与数据持有者和用户订立的是网联产品的买卖合同抑或租赁合同无关。如果相关信息在网联产品的有效期内或关联服务的合同期内发生变化，包括数据使用目的与最初预期目的发生变化，数据持有者也应向用户提供相关信息。”

由此可见，《数据法》中的数据持有者是对数据使用主体的描述，其使用数据的法律基础仍为合同约定。关联解释表明，尽管《数据法》第11条第1款及鉴于条款第57条允许数据持有者采取技术保护措施（如智能合约和加密措施）以防止数据非法披露或访问，但此间接承认并非确认其享有法律上的财产权。立法确立数据持有者概念的真正目的，在于构建以其为中心的制度框架，即明确其法定义务与使用限制，后文将进一步阐述。

（三）概念评估：数据持有者的概念疑点

正如德国马克斯?普朗克创新与竞争研究所在《数据法（草案）》的立场意见中指出：“《数据法》第２条第６款的数据持有者定义条款并未引起任何关注，该概念虽贯穿法案，但本身存在问题”。作为《数据法》规则体系的概念基础，数据持有者概念的正当性及其内涵亟待深入探讨，目前存在若干疑问。

数据持有者的预设主体有待明确。在规范文义上，除了《数据法》第２条的定义条款，第3条第1款设置了数据持有者的实质要求，要求数据持有者“在设计和制造网联产品以及在设计和提供关联服务时，应使数据以全面、结构化、常用和机器可读的格式……并在技术可行的情况下直接提供给用户。”此外，《数据法》鉴于条款第22条从设计能力的角度，要求“网联产品的设计，可以使某些数据直接从设备的数据存储器或远程服务器访问，并将数据传输到远程服务器。”由此可见，数据持有者向用户提供数据的前提，是要满足第３条第１款意义上对网联产品和关联服务设计、制造的控制能力。本文将其定义为数据持有者的“供数能力”法定要求，即确保用户访问数据的能力，这一要求以生产和设计能力为前提。虽然《数据法》第2条第13项将数据持有者界定为包括但不限于生成数据的产品制造商和关联服务提供商，但前述规定强调其需具备实质性“供数能力”，而能满足此要求的主体主要为控制生产制造流程和设计能力的网联产品的制造商，换言之，落入《数据法》第3条第1款文义范畴并承担数据提供义务的主体，主要为制造商。德国马克斯?普朗克创新与竞争研究所亦指出，若以制造商为预设数据持有者，则鉴于条款应明确说明。

《数据法》对数据持有者这一关键概念的表述不够明晰。例如，当多个经济主体共同参与网联产品制造时，难以明确谁是适格的数据持有者。若严格依据《数据法》的数据持有者概念，网联产品价值链中的所有相关方都可能被视为数据持有者，进而承担提供数据的法定义务。这对于全球价值链中的制造商而言似有失合理性。鉴于数据持有者以基础法律关系为前提，应依据用户与制造商或服务提供商的合同判定其构成，这一问题尚待实践检验。

《数据法》虽明确数据持有者不衍生数据持有权，且鉴于条款指出其概念不赋予任何新型权利，但德国学者梅茨格(Axel Metzger)和施瓦策（Heike Schweitzer）指出，《数据法》未创设新的知识产权，也不承认数据持有者对用户或第三方享有强制执行的财产权或排他性权利，然而从经济角度看，《数据法》间接承认主要数据持有者享有事实和技术上的“所有权”，因其在不符合访问权法定要求时，仍可技术上阻止他人访问机器生成的数据。因此，从访问权的实际效果看，《数据法》仅对数据持有者进行概念性界定，未完全阐明其事实上的“所有权”地位，而这仍是数据权利法定分配的关键。

三、建构数据流通路径：数据持有者提供数据的法定义务

数据流通路径是数据市场制度设计的关键一环。在数据持有者与用户的利益分配中，制度设计需平衡两方面：一是突破数据持有者对数据的事实垄断；二是保留并承认数据持有者对已有数据的在先控制，而非简单通过法律强行分配数据给用户。

这一利益平衡围绕数据流通路径的制度设计展开，通过“访问设计”制度，从权利分配、范围划定和成本控制三个维度确立路径：一是用户享有访问数据的决定权；二是对数据持有者的干预限于用户访问的有限范围，而非无限影响其控制地位；三是通过制度设计降低用户访问的交易成本。“访问设计”制度的核心在于数据持有者的法定义务，即《数据法》第３条第１款规定的数据可访问性设计义务，此义务被视为实现规范目标的最有效工具。

（一）数据持有者的义务证成

在法律性质上，《数据法》第３条第１款规定的是数据持有者的义务，具体针对网联产品制造商和关联服务提供商，而非赋予用户固有的数据访问权。这一义务性质既可以从第１款的规范文义和第３条标题中的“义务”一词得出，也可以通过对第４条和第５条用户权利、第４条第１款访问权制度的对比推导反向得出。

该法定义务旨在从制造设计角度对数据持有者提出“供数”要求，以实现用户数据可访问的立法目标，具体而言，是界定网联产品及关联服务进入市场时应具备的质量要求、产品制造商和服务提供商应满足的技术要求，由此确立产品进入流通的标准。由此，用户可不依赖数据持有者干预，直接通过技术手段访问和下载相关数据。

（二）数据持有者的义务构成

数据持有者义务的制度逻辑在于，通过立法设定义务，构建数据从数据持有者流向不同市场主体的流通渠道。基于此，《数据法》将数据持有者义务规定为，数据持有者在特定前提条件下须将数据提供给用户、第三方和欧盟机构三类主体。三种数据流通路径旨在基于不同维度推进数据访问与复用的立法目标。

1、数据持有者对用户的数据提供义务

数据流通的第一种路径是数据持有者向与其存在合同关系的用户提供数据，主要场景为网联产品制造商和关联服务提供商与用户之间的数据流动。

《数据法》根据数据持有者和用户的合同关系，设计了直接访问、间接访问和转访问（数据携带）三种数据流通渠道：

一是数据持有者提供直接访问渠道，《数据法》第３条要求数据持有者在产品设计制造的技术层面，确保用户可直接访问数据，无需数据持有者介入；

二是数据持有者提供间接访问渠道，《数据法》第4条赋予用户数据访问请求权，用户提出访问请求后，数据持有者介入并向用户提供数据；

三是数据持有者提供转访问渠道（数据携带），《数据法》第5条赋予用户数据携带请求权，用户提出携带请求后，数据持有者介入并向与用户存在法律关系的第三方提供数据。

针对数据的直接和间接访问，《数据法》从数据持有者的数据提供义务（第３条第１款）和用户的数据访问请求（第４条第１款）两方面加以规定。

一方面，《数据法》第３条第１款为数据持有者设定了确保数据易用性、安全性的义务，规定：“网联产品和关联服务应以如下方式设计和制造，使产品数据和关联服务数据（包含解释和使用这些数据所需的相关元数据），默认以全面、结构化、常用且机器可读的格式，方便、安全、免费提供给用户访问，并在相关和技术可行时直接提供访问”。此条款确立了网联产品制造商和关联服务提供商的数据可访问性义务。基于第３条第１款第1项后半句，该义务不仅是对数据访问方式的“就地组合”，更是对数据持有者“供数能力”的要求。

另一方面，《数据法》第４条第１款规定，数据持有者须向用户提供使用产品或服务生成的数据（包括个人数据和非个人数据），用户提出访问请求后，无论其身份（个人、法人，或产品所有人、借用人、承租人），数据持有者必须“毫不迟延地免费提供数据，并在适用的情况下持续、实时提供数据”。

立法者还将义务前置至缔约阶段，以先合同信息义务（透明度义务）规定潜在数据持有者在缔约前向用户披露信息，将义务主体扩展至潜在数据持有者。此先合同信息义务是针对数据持有者法定义务之补充，旨在提升产品数据的透明度，便于用户访问（《数据法》鉴于条款第24条）。先合同信息义务的主体限定于潜在数据持有者，不受其是否缔约之影响。《数据法》第３条在第２款和第３款分别规定了两种场景下的义务内容。其中，第３条第２款针对网联产品场景，规定了四项标准，要求数据持有者在缔约前以清晰易懂的方式向用户提供数据的类型、格式、估计数量以及与用户的数据访问权相关的信息至少四类特定信息。第３条第３款针对关联服务场景，规定了九项标准，要求关联服务提供商在缔约前以清晰易懂的方式向用户至少提供该款列明的九类信息。

2、数据持有者对第三方的数据提供义务

数据流通的第二种路径是数据持有者向无直接关联的第三方提供数据，主要场景为网联产品制造商、关联服务提供商与第三方企业间的数据流动。

实践中，用户的技术与经济能力有限，难以有效开发利用因使用产品和服务生成的数据，尤其是消费者用户通常缺乏“用数能力”。若数据仅流向用户即止步，则用户使用产品和服务生成的数据所承载的使用偏好等数据价值无法充分释放，而此类数据最具商业价值。为此，欧盟通过法定赋权，将第三方纳入数据流通环节，确保数据流向第三方企业。这一新增数据流通环节的立法思路，在《数据法》鉴于条款第32条“本条例的目的不仅在于激励售后市场的创新，还在于激励利用相关数据开发全新的服务”的表述中得到了体现。

在规则内容上，《数据法》第５条第１款规定，用户提出请求时，数据持有者须在用户请求下向第三方提供数据。由此，用户享有向第三方提供数据的法定权利，数据持有者承担相应义务。从体系看，第５条的数据提供义务与第４条的数据可携权紧密衔接，并非孤立条款，作为数据访问权（第４条）的平行制度，第５条重心在于保障数据可携权行使中的利益平衡。

在规范构造上，《数据法》第５条遵循“一般规则、例外情形与限制情形”的基本思路，先设定一般规则（第５条第１款）和例外情形（第５条第２款），再从主体（第５条第３款）、数据与行为（第８条第１款、第９条第１款）三方面加以限制。

其一，规定一般规则和例外情形。《数据法》第５条第１款作为一般规则，赋予用户要求数据持有者向第三方提供数据的权利。同时，第５条第２款将未上市网联产品或程序的数据列为例外，免除第１款的数据提供要求。

其二，从主体、客体和行为三方面加以限制：一是限制提供数据主体范围，《数据法》第５条第３款明确可接收数据的第三方范围，将《数字市场法》第３条指定的“守门人”企业排除在流通链条之外；二是限制数据使用范围，《数据法》第５条第４款禁止数据持有者保留用于核实用户请求或第三方身份的数据，第４条第１３款规定，数据持有者只能依据合同使用数据，数据使用不得超出约定范围；三是限制数据提供行为，《数据法》对数据持有者与第三方之间的数据提供关系设定了提供方式和使用限制的行为要求。首先，数据须在技术和相关可行条件下持续、实时提供（《数据法》第５条第１款）。其次，数据持有者向第三方提供数据时，须基于公平、合理、无歧视原则商定合同条款与补偿（《数据法》第８条第１款、《数据法》第９条第１款）。此外，对第三方使用数据设定了义务与禁区。例如，禁止第三方将数据用于自然人画像分析（《数据法》第６条第２款第ｂ项）或开发与数据来源产品竞争的产品（《数据法》第６条第２款第ｅ项）。在数据流向上，禁止向其他第三方提供数据，除非依用户合同允许（《数据法》第６条第２款第ｃ项），并禁止向《数字市场法》指定的“守门人”提供数据（《数据法》第６条第２款第ｄ项）。

3、数据持有者对欧盟机构的数据提供义务

数据流通的第三种路径，是数据持有者向欧盟机构提供数据，场景是网联产品的制造商、服务提供商与欧盟机构之间的数据流通。

数据持有者向欧盟机构提供数据的核心要求是满足“特殊需要”（exceptional need)。

具体来说，《数据法》第14条规定，公共部门、欧盟委员会、欧洲中央银行或欧盟机构若证明存在第15条“特殊需要”并需使用特定数据（含解释和使用所需元数据）以履行其符合公共利益的法定职责时，数据持有者（公共部门机构除外）必须提供此类数据。此规定构成政府征调商业数据的法律依据。《数据法》第15条第１款规定，在满足“特殊需要”时，即数据为应对公共紧急事件所必需，且公共部门或欧盟机构无法在同等条件下通过其他方式及时有效获取此类数据，数据持有者必须提供数据，不得无故拖延。这表明“特殊需要”是欧盟机构征调商业数据的限制条件。《数据法》鉴于条款第63条将“特殊需要”视为“原则上不可预见且时间有限的情况”。《数据法》第15条第１款进一步将“特殊需要”限定为公共紧急情况和特定任务两类情形，并列举清单：一是数据是“应对公共紧急情况所必需”（第15条第１款第ａ项）；二是“缺乏此类数据将使该实体无法完成法律规定的为公共利益而执行的特定任务”（第15条第１款第ｂ项第ⅰ点），且“该实体已尽力获取但仍无法通过其他途径获得数据”（第15条第１款第ｂ项第ⅱ点）。为限制政府征调数据，《数据法》第18条第２款赋予数据持有者拒绝权，允许其拒绝或要求修改政府提出的数据提供请求，并列明三类适用情形。

（三）制度评估：数据持有者义务过重的风险

1、义务正当性存疑

数据持有者数据提供义务的实质，是在商事领域强制设立数据访问权。强制性规则应作为交易规则的例外而非原型，当数据提供义务成为数据流通的基本制度时，其正当性论证尤为重要。

这种数据提供义务应满足特定前提。例如，德国魏岑鲍姆研究所认为，只有在数据持有者明确拒绝以公平合理条件提供访问，且无其他方式获取数据，且该数据对需求方商业模式至关重要时，才应考虑立法设立数据提供义务。从市场力量角度看，数据提供义务原则上应仅限于相关市场上占支配地位的公司，且仅适用于其滥用市场支配力、拒绝访问或以剥削性条件提供访问的情形。数据提供义务不应成为普遍义务，若设为普遍义务，须以精确界定数据持有者的市场力量为前提，而《数据法》对此缺乏详细论证。若立法者仅凭“破除数据持有者依赖”的宏观判断设立普遍义务，其正当性存在明显缺陷，且盲目干预恐进一步损害数据市场结构。

2、全产业性后果与重点产业的数据竞争

若不对数据持有者情况加以区分而统一适用数据提供义务，这一义务可能影响在欧洲市场运营的所有经济部门，而非仅限于物联网产业。

全产业性后果的根源在于，《数据法》采用跨行业适用的横向规则，使数据持有者法定义务覆盖所有行业，且《数据法》基于市场地原则，将管辖范围扩张至任何接触欧洲市场的产业。例如，在欧洲提供云计算数据处理服务的科技公司，制造销往欧洲并生成数据的网联产品制造企业（如汽车），为网联产品运行而在欧洲提供关联服务的企业（如智能家居、健康穿戴设备）皆构成数据持有者。若这些数据持有者因数据提供义务向潜在竞争第三方传输数据，那么数据持有者的竞争力会因此受到影响。

汽车、医药、航空和金融行业恐将成为数据持有者义务引发数据竞争的重点行业。例如，美国商会严厉批评数据提供义务，认为其将显著影响汽车、航空和制药行业，削弱航空业制造商保护其商业秘密及其他知识产权的能力，导致制造商减少数据收集，进而阻碍创新并增加成本，而制药和医疗设备等极受信息公开披露影响的行业可能面临信息泄漏风险。

事实上，上述行业恰是欧盟的立法目标。例如，《数据法（草案）》也明确提及交通行业、汽车、医疗设备，《数据法》鉴于条款第14条明确提及交通、健康设备、船只、航空器和智能家居等联网产品领域。若物联网是《数据法》关注的特定领域，则上述重点行业可能是其主要针对目标。换言之，调整重点产业数据流向或为欧盟立法者的产业调整目标。

3、欧盟机构征调商业数据的滥用风险

政府征调商业数据应为数据流通的特殊例外。这一数据流通理念源于跨国数字平台和科技企业的快速发展，使企业和政府的数据获取能力显著变化，企业成为主要数据收集和处理者，掌握公共机构难以获取的数据，若公共机构能利用私营企业数据服务于特定公共目的，必然会极大受益。《数据法》鉴于条款第63条认为，此类数据流通旨在帮助公共机构利用私人数据，更有效地应对公共突发事件或其他特殊情况。

然而，为保持规则弹性，立法者引入了不确定法律概念。例如，《数据法》第15条规定，欧盟机构须在“为满足‘特殊需要’实现政府要求数据的目的严格必要”前提下要求数据持有者提供数据。尽管第15条第1款“特殊需要”清单将限制情形限定为公共紧急情况和特定任务，但这些一般法律概念的解释和适用仍存在较大裁量空间。美国商会对此尖锐批评，称“清单所列‘特殊需要’门槛过低”，可能导致“公司商业秘密定期被转让给提出要求的欧盟机构”的极端情况。

此外，第15条第1款允许欧盟机构以其他公共利益为由要求提供数据。作为一般概念，公共利益的解释空间较广、概念弹性较大。以公共利益为名滥用数据征调的制度风险在于，若欧盟以贸易或外交为由要求目标企业提供数据，将违背这一数据流通的初衷，甚至可能成为国际政治博弈的工具。尽管欧盟机构为公共利益访问私营数据具有正当性，但须明确数据提供范围、政府补偿标准及范围。从制度定位看，这仅为非常规且临时的流通渠道，应推动通过常规手段获取数据。欧盟机构征调商业数据应作为特殊例外，而非常态。

4、“守门人”禁令的贸易后果

在数据流通的第二种路径——数据持有者与第三方之间的数据流动中，《数据法》第５条第３款的“守门人”禁令禁止数据持有者向《数字市场法》认定的“守门人”企业传输数据，同时，《数据法》第６条第２款第ｄ项禁止第三方向“守门人”提供数据，从而将“守门人”完全排除在流通渠道外。《数据法》将“守门人”排除出流通渠道的理由似为，“守门人”本身可能已是市场最大的数据持有者，拥有充分的数据获取渠道，若允许其作为第三方获取更多数据，或将强化其垄断地位。然而，拥有数据资源优势的“守门人”也可能成为数据持有者。若其生产《数据法》管辖的网联产品，用户提出访问请求时，作为数据持有者的“守门人”须向第三方（包括竞争对手）传输数据。作为数据持有者的“守门人”需要投入成本调整网联产品和关联服务的生产设计，却无法参与数据流通获取数据。这可能削弱其产品竞争力，抑制其开发数据携带工具的动力，对此类企业公平性存疑。

“守门人”禁令还可能违反国际贸易法规。原则上，世界贸易组织框架下的国民待遇义务原则上禁止对进口产品有基于国籍的歧视。鉴于《数字市场法》指定的六家“守门人”企业多为非欧盟公司，且其“守门人”标准涵盖美国大型平台而排除多数类似欧洲平台，针对“守门人”的数据流通禁令可能改变欧盟市场竞争条件，不利于外国“守门人”。因此，针对“守门人”的禁令可能违反欧盟在《服务贸易总协定》及《关税与贸易总协定》第３条第４款下的国民待遇义务。

结语：以法律强制塑造数据市场的方法论风险

“制定即落后”是数据立法的“魔咒”。数据立法范式转换的根本原因可能在于数据的独特要素特征及其无与伦比的经济竞争价值。

欧盟数据立法的范式转换体现为数据监管在功能性和灵活性上的务实调整。《数据法》采取主动的市场干预逻辑，以解决“创新和转型的系统失灵”，通过重塑数据访问权，采用“基础设施式”或“市场塑造式”监管路径。

与中国数据产权结构性分置（数据持有权、使用权和经营权）方案不同，欧盟未直接处理数据产权，而是通过流通环节设定权利义务作行为规制。不同于数据产权，欧盟未在数据上设立排他性、绝对性的专有权，而是围绕数据使用权，通过法定赋权（数据访问权）规定物联网等场景中谁可使用数据，无需个别授权，其价值理念在于降低许可成本，促进数据流通。欧盟认为，这种“基础设施式”或“市场塑造式”的数据制度旨在实现“确保数据经济参与者之间经济价值分配的公平性”目标。欧洲学者评价此范式转换称，“《数据法》使欧盟再次成为监管理念市场的先行者”。欧盟委员会宣称，“《数据法》新规则将促进数据使用，确保数据共享、存储和处理符合欧洲规则。”美国商界则严厉批评，“《数据法》是一项误导性政策……强制数据共享和限制数据流动将损害经济并破坏合作”。美欧对立的观点凸显了“数据持有者—用户—第三方—政府”这一复杂法律关系背后的核心问题：如何平衡数据流通中的利益冲突。

数据流通基础制度需实现微妙的利益平衡，既要厘清数据生态系统中各方冲突并合理限制数据访问，又要符合现行数据保护规则，确保个人信息和知识产权保护，还要促进数据共享。欧盟看似用通过数据持有者的数据提供义务和用户的数据访问权重塑数据市场，但其制度设计明显带有产业和竞争政策导向，其潜在目标可能是支持欧洲企业，通过重塑市场参与者的数据价值分配，调整欧盟数据经济中各主体的市场力量，为中小企业提供更多数据资源并增强其竞争力，尤其是以欧盟中小企业为主要受益者，从而推动欧洲数据产业发展。或许欧洲数据市场将按立法初衷发展，工业数据价值依目标实现“全面释放”。然而，这种以法律强制人为调整数据市场结构的产业和竞争政策，囿于欧盟规则及其“公平市场”价值观，可能损害包括数据持有者在内的全行业及市场竞争的公平秩序。

市场规则越严格，其对市场的影响越深远。欧盟通过法律强制有选择性地赋予权利和设定义务，旨在扩大商事流通数据共享范围，释放更多数据价值。但若缺乏充分的正当性依据，强行改变数据流通路径本质上偏离了市场失灵的干预逻辑。试图通过数据持有者重塑市场结构，强迫其提供数据以改变数据流向，意味着《数据法》蕴含方法论风险，其他国家政策制定者需保持警惕。基于法律强制的数据流通制度，未必是数据市场的最佳方案。

主题：欧盟数据法