全球首个针对物联网数据法案生效，对我国物联网产业有哪些影响和启示？

2024年1月11日，欧盟《数据法案》正式生效，大部分条款将在生效之日起20个月后适用。作为欧盟2020年2月发起的“数据战略”的核心组成部分，《数据法案》是继欧盟《数据治理法案》之后第二个主要立法倡议。

《数据法案》最大的亮点是针对物联网相关数据形成的立法，也是全球大型经济体首个针对物联网数据的立法，具有划时代意义。该法案的重点是旨在克服欧盟认为的一系列障碍，以更好地共享企业和消费者物联网设备生成的数据，并加速数据要素价值转化，“解锁”欧盟数字经济。作为全球最大的物联网市场，中国每年大量的物联网设备也出口欧盟各国，深入研究欧盟《数据法案》，对于中国物联网企业出海具有重大的现实意义；同时，中国目前尚未建立起针对物联网相关数据流动和使用的规则和立法，欧盟《数据法案》也对中国物联网数据制度建立提供很好的参考。

首个针对物联网数据立法，实现物联网数据商业化破局

过去几年，全球主要经济体为了激发数据要素价值，针对数据出台多项卓有成效的立法，保障数据要素价值化过程中各方利益。然而，这些立法更多聚焦个人数据、互联网产生的数据等领域，针对物联网数据还没有专门法案出台。当前，物联网连接数已远远超过互联网连接数，物联网设备产生的数据增速不断加快，对消费者生活和企业生产经营产生重大影响，针对物联网数据的法规建设迫在眉睫。

然而，物联网业务的特殊性，让物联网相关数据流动和价值化存在很多障碍，主要包括：物联网数据持有者缺乏数据共享的动力、数据权利和义务不明确、实施的成本和复杂性、数据孤岛明显、元数据管理不善、缺乏标准和互操作性，以及数据持有者和潜在用户之间的权力不平衡等。

欧盟数据法案就是着重打破这些障碍，释放数据要素价值。一些值得关注的要点包括：

1、数据法案涵盖对象的范畴主要是物联网产品和服务

《数据法案》将涵盖的产品和服务称为“互联产品（Connected Products）”，并对其范畴给出有明确的定义。“互联产品”被定义为获取、生成或收集有关其使用过程或环境数据的产品，能够通过电子通信服务、物理连接或设备访问来传输产品数据，其主要功能不是代表用户以外的任何一方存储、处理或传输数据。法案中明确提出物联网在这一产品范畴，而典型的电子通信服务包括地面通信网络、有线电视网、卫星通信网和近距离通信网络，基本涵盖了物联网所有通信方式。

相关服务被定义为一个除电子通信服务之外的数字服务，包括在购买、出租或租赁时与产品连接的软件，其连接方式会导致产品无法执行一项或多项功能，或者随后由制造商或第三方连接到产品以添加、更新或调整产品功能。

从以上定义可以看出，该法案影响的产品和服务范围非常广泛，所有和物联网相关的设备和服务都与此相关。例如，在B2B领域，网联汽车制动系统、电梯、工厂中能够收集数据的机器、智能太阳能板等；在B2C领域，智能冰箱、智能音响、扫地机器人等家用电器、健身追踪器、医疗设备等。

相关服务包括了这些物联网产品在时就嵌入其中或与产品相互连接的服务，或者是由制造商或第三方售后连接到产品的服务，它们对于产品执行其主要功能至关重要。比较典型的例子包括语音助手、连接到智能音箱的音乐流媒体服务、连接到健身追踪器的生活方式建议应用程序、工业机器的命令和控制软件以及用于建筑物能源优化的软件等。这些服务也会产生丰富的数据。

然而，在《数据法案》早期版本中，主要设计用于显示或播放内容或记录和传输内容的产品不包含在其中，此前法案中明确提出如个人电脑、服务器、平板电脑和智能手机、相机不在法案的范围内，不过最终版本并未明确将其排除在外。

2、物联网数据相关方和主要职责

在《数据法案》中，互联产品制造商被认定为“数据持有者”，该法案规定了一项法律义务，即数据持有者需向互联产品的用户、第三方（如果用户要求）以及公共部门机构（在特殊需要的情况下）提供互联产品生成的数据。

例如，对物联网数据生成做出贡献的任何个人或公司有权向数据持有者要求访问非个人数据，用户也可要求数据持有者在适用的情况下连续实时向第三方提供数据，数据持有者必须在公平、合理和非歧视的条件下共享数据。为了激励产生有价值的数据，在B2B关系中，数据持有者在有法律义务向数据接收人提供数据时可以要求合理的补偿。

同时，《数据法案》要求数据持有者有义务对互联产品进行友好设计及透明度要求，使用户能够简单、安全地访问其使用产生的数据。一是默认提供义务，数据持有者应向用户提供访问权限，确保用户方便、安全、免费地直接访问以全面、结构化、通用和机器可读的格式呈现的产品数据和关联服务数据；应用户要求，数据持有人必须制作数据“随时可用”以及解释和使用该数据所必需的元数据。二是在用户申请的情况下，即当用户不能直接访问相关数据时，可向数据持有者申请获取相关数据，数据持有者应当在没有不当延迟的情况下，以全面、结构化、通用和机器可读的格式，免费向用户提供任何现成可用的数据，以及解释和使用该数据所需的元数据。为保障用户访问数据权限，《数据法案》要求数据持有者不得为用户设置任何行权障碍，包括要求用户提供除身份验证之外的信息、通过页面设计等方式损害用户的自主选择权，另外对商业秘密保护方面也有一些约定。

3、对于数据持有者的保护

《数据法案》征求意见期间激烈辩论的话题之一是如何平衡商业秘密保护和数据共享要求。此前，SAP、西门子、Brainlab、Datev等多家欧洲巨头联名反对《数据法案》中关于数据共享的条款，他们认为迫使公司与第三方共享数据以提供售后市场或其他数据驱动服务的条款可能会危及商业秘密。这些巨头在公开信中明确表示“物联网是欧洲公司的领先领域，企业多年来一直在投资（研发），开发数据驱动的产品和服务。通过强制数据共享，我们正在打破未来数据驱动的欧洲商业模式的支柱，几乎无法保证接下来会发生什么。”

作为一般性规则，商业秘密必须得到保护，只有在数据持有者和用户在披露之前采取一切必要措施保护机密的情况下才能披露。在特殊情况下，即便用户采取了技术和组织措施，如果作为商业秘密持有人的数据持有者能够证明其极有可能因商业秘密的披露而遭受严重经济损失，则该数据持有者可拒绝用户的数据访问要求。

为保护数据持有者利益，《数据法案》提出了数据使用的限制，对用户和第三方施加了某些访问和使用限制，例如禁止用户使用强制手段或滥用设备技术基础设施中的明显漏洞来获取数据，不得使用从互联产品中获取的数据来开发竞争性互联产品，或获取有关物联网制造商或数据持有者的经济状况、资产和生产方法的见解。

4、一些例外情形

例外情形一方面是向小微企业倾斜。为了保护小微企业利益，《数据法案》针对小微企业提出豁免条款，即数据持有者对用户和第三方的共享义务不适用于小微企业，例如员工少于50人且年营业额不超过1000万欧元的企业，以及员工少于10人且年营业额不超过2000万欧元的企业（欧盟发布的文件Recommendation 2003/361/EC中对小微企业有明确的定义）。当然，这一豁免条款有确定的条件，条件是这些小微企业没有和非小微企业联合提供产品或服务，且没有提供相关分包服务。

例外情形的另一方面是对大型科技平台的限制。《数据法案》禁止根据欧盟《数据市场法案》中被指定为“守门人”的公司获取互联产品数据。典型的“守门人”为一些大型科技平台公司，例如谷歌、亚马逊等，以防止大型科技平台企业基于自身强大的经济、技术实力，利用旨在实现数据公平共享的数据流通规则，强化自身垄断势力。总体来说，“守门人”将被禁止通过任何渠道获取根据《数据法案》共享的任何数据，包括通过用户直接获取或通过数据接收方间接获取。

推动物联网数据的规范化，探索物联网数据要素价值化

此前，欧盟在数据领域立法最为知名的是《通用数据保护条例（GDPR）》，当然GDPR更多聚焦于对于数据保护，尤其是对个人数据的保护。而《数据法案》则更多聚焦促进数据的流通和利用，而且在一定程度上给出物联网数据流通实操性方案，体现了对数据作为生产要素的重视。这一法案的生效，对于全球物联网产品开发和运营产生深远影响，同时也对于建立数据要素基础制度意义重大。

1、物联网产品设计开发面临新的挑战和机遇

《数据法案》的生效，会直接对物联网产品供应商提出新的要求，从多个方面形成新的挑战，尤其是面对欧洲出口的国内物联网厂商需要尽快做好准备。

一是对产品设计进行升级的挑战。《数据法案》要求产品提供者需要设计更改，以确保用户在默认情况下可以轻松、安全和直接地访问物联网设备生成的数据。物联网产品厂商需要重新思考产品设计方法，将用户数据访问权限嵌入产品设计中，这需要企业对《数据法案》的深入理解和产品研发进一步投入。

二是对产品相关数据梳理的挑战。为符合《数据法案》中提出的对用户和第三方访问数据的强制性要求，物联网产品厂商需要提前理解“产品数据”、“相关服务数据”、“元数据”等概念，并梳理出对应的数据，以应对数据访问的要求。实际操作中，与这些概念相对应的数据梳理还存在很大挑战。

三是对数据安全和商业秘密的挑战。《数据法案》下物联网企业需要强制共享的数据大幅扩大，企业需要提前评估实施后对于自身数据加密、商业秘密方面带来的要求，在满足法案要求前提下，提升数据安全技术投入和优化各类保密流程，这对于国内物联网企业也是一个重大挑战。

四是对外合作合规方面的挑战。由于《数据法案》中存在对大型科技平台企业“守门人”的禁止条款，因此需要高度关注的是，如果物联网企业基于用户请求从数据持有者处获取了相关数据，应避免向守门人提供此类数据，特别是很多企业会与大型平台公司合作开发或运维一些物联网产品和服务，这种情况下要避免向平台公司传输从数据持有者处获取的物联网数据。

不过，《数据法案》也同时给国内物联网企业带来一些新的发展机遇，借助该法案推动物联网数据流通，进一步提升相关企业能力。

一是通过获取更多数据输入提升服务能力。由于法案规定了对于物联网产品数据的强制性共享，一些物联网应用服务厂商可以研究哪些数据可以“为我所用”，借助获取的数据提升自身的产品和服务。例如，提供预测性服务的厂商，可以借助共享的物联网设备数据，结合人工智能技术，进一步提升其预测模型的精准度。

二是让用户能做出更好的选择。通过访问更多的物联网数据，企业和行业参与者可以从竞争激烈的数据市场中受益，使他们能够根据客户的特定需求定制服务，这些汇聚的物联网数据也有助于开发全新的数字服务，让用户得到更高质量或更可持续的产品和服务。

2、针对物联网数据要素价值化制度建设需加速

近年来，我国高度重视数据要素流通、价值利用机制的探索。2022年底，中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”），在我国数据要素价值释放过程中具有里程碑意义。

《数据二十条》创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架，推动数据流通和价值化。然而，在实际推进过程中，数据权属问题还需要很长的路要走，欧盟《数据法案》或许对快速推动数据流通提供新的思路，尤其是针对不断增长的物联网设备产生的数据价值化提供参考。

阿里研究院副院长安筱鹏在研究欧盟《数据法案》时撰文指出：“数据权属的确立是不是数据流动、创造价值的必要条件？不确定数据权属，数据是不是不能流动、不能创造价值、不能发挥生产要素的作用？”

安筱鹏认为从欧盟数据的系列法案内容来看，其面临的共同挑战是，数据链条包括多个参与者，每一个参与者都可能在某一环节赋予数据以新的价值，数据价值在不同场景下也会变化，并衍生出新的权利。在这种情况下，在各参与者之间清晰划分和界定责权利，无疑是非常困难的。面对不同利益主体之间数据流动面临的各种问题，从规则标准、组织变革、工具创新、标准规范上打出组合拳，解决数据流动和使用中的各种问题，而不是紧盯数据产权制度设计，在不界定产权的情况下继续往前走。

欧盟《数据法案》选择绕过了短期内难以解决的数据权属问题，对“数据持有者”也没有界定相关权益，但从数据价值分配入手，设定了数据持有者、用户、第三方等各方权利义务，形成数据流通路径。

笔者此前曾撰文将物联网分为大连接阶段、产业智能应用阶段和全面赋能经济社会阶段三个阶段，其中第三个阶段中，“物的数据”价值充分释放，经济社会各领域都可共享应用。然而，这一阶段实现的前提是要畅通数据资源大循环，这不仅仅需要广义的物联网技术，更为重要的是需要建立起完善的数据要素基础制度。

笔者认为，欧盟《数据法案》在物联网数据要素制度建设中提供一个非常好的思路，后续可以探索通过立法明确物联网各方主体在数据流通过程中的权利义务，在支持物联网价值释放方面形成重要支撑，推动物联网全面赋能经济社会阶段快速到来。