欧盟《数据法案透明度声明》（Data Act）解读以及涉及的产品和应对策略

三、欧盟《数据法案》法案影响的场景

（一）、预合同阶段：数据持有者披露信息义务

1、数据生成特征：产品/服务将生成的数据类型（如传感器的温度、湿度数据，用户行为数据）、格式（如JSON、CSV等结构化格式）、估计 volume（数据量大小）；

2、数据存储方式：数据是on-device存储（本地存储）还是remote server存储（云端存储），以及存储时长（如“数据保留12个月”）；

3、数据访问方式：用户如何访问数据（如“通过设备APP直接下载”“通过API接口获取”），是否需要用户主动请求；

4、数据处理目的：数据将用于哪些用途（如“改进产品性能”“提供个性化服务”），是否符合GDPR的“合法目的”原则；

5、第三方共享风险：是否存在向第三方共享数据的可能，以及共享的条件（如“仅用于履行合同义务”）。

（二）、合同履行阶段：数据访问与共享的透明度

2、第三方共享的“透明性”：若用户授权第三方（如维修服务商、保险公司）访问数据，数据持有者需向用户披露：

第三方的身份信息（如公司名称、联系方式）；

第三方访问数据的目的（如“维修设备”“评估保险风险”）；数据共享的范围（如“仅共享设备故障代码”）；

数据共享的安全措施（如“加密传输”“访问日志记录”）。

（三）、特殊场景：公共部门请求数据的透明度

公共部门需以书面形式向数据持有者说明：

请求数据的目的（如“应对网络安全事件”）；

需要的数据类型（如“设备日志”“用户访问记录”）；

数据使用的范围（如“仅用于调查事件”）；

数据删除的时间（如“事件结束后30天内删除”）；

数据持有者需向公共部门披露：

数据的存储位置（如“欧盟境内的数据中心”）；

数据的保护措施（如“加密存储”“访问控制”）；

数据共享的风险（如“可能泄露用户隐私”）。