数字安全 | 欧盟《数据治理法案》实施指南 - 新鲜讯息

）

一年前，《数据治理法案》（Data Governance Act, 简称DGA）开始实施。为纪念这一时刻，欧盟委员会发布了一份实用指南，以帮助各利益相关方实施DGA。

《数据治理法案》是欧洲数据战略的核心支柱。具体而言，它旨在通过更便捷地在可信和安全的环境中共享数据，从而增加企业和公民自愿的数据共享，以造福各方。

与其他数据战略下的措施相结合，DGA将有助于充分释放数据的潜力。这将成为一个强大的创新引擎，推动就业创造。同时，数据是所有组织，尤其是初创企业和中小企业增长的关键资源。其最终目标是创建一个欧洲数据单一市场，使数据能够在各部门和边境之间无缝流动。

DGA的影响已经显而易见：已有11个组织作为数据中介服务提供商在欧盟范围内提供服务，并有1个组织注册为数据利他主义组织。

此外，任何有兴趣的用户（包括公民、企业家和研究人员）都可以通过公共部门持有的受保护数据欧洲登记册，搜索并查找根据一般开放数据规则无法提供的受保护数据（例如健康或移动数据）的信息。

此外，欧洲数据创新委员会（汇集各成员国和利益相关方，以分享实施DGA的最佳实践）已召开四次会议。

本指导文件是一份深入指南，旨在帮助利益相关方理解DGA的条款并从中受益。它不具有法律约束力，也不代表欧盟委员会的正式立场。相反，它的目的是帮助行业、成员国以及任何其他有兴趣的利益相关方更好地理解《数据治理法案》下建立的各种措施。

本指南将定期更新，特别是为了吸取随着DGA实施经验积累而获得的教训。

欧盟《数据治理法案》实施指南

本文件旨在为利益相关方在实施《数据治理法案》条款时提供实践指导。它不是具有法律约束力的文件，也不代表委员会的正式立场。请注意，本文件是一份“活”文件，可能会随时间更新。

《数据治理法案》（Regulation (EU) 2022/868）是一项跨部门法规，提供了一个框架，以增强企业和公民自愿数据共享中的信任。它包括以下措施：

规范受他人权利保护（如个人数据或商业机密数据）的某些公共数据的再利用；
通过监管数据中介服务提供商，促进数据共享；
鼓励出于利他目的的数据共享；
成立欧洲数据创新委员会，以促进最佳实践的共享。

第一章总则

第一章解释《数据治理法案》（DGA）所监管的内容，并包含相关定义。个人数据和非个人数据均在DGA的监管范围内，对于个人数据，需额外遵循《通用数据保护条例》（GDPR）和《电子隐私条例》。虽然DGA已明确指出其不影响GDPR和《电子隐私指令》的规定，但立法者仍通过规定在DGA规则与GDPR或《电子隐私条例》规则发生冲突时，后者规则优先来加强这一点。此外，DGA明确指出，GDPR下的监管机构的角色不受影响。这意味着在解释GDPR或《电子隐私指令》下的规则、权利和义务时，数据保护机构或负责电子隐私的机构具有管辖权。这可能导致需要根据《数据治理法案》第13条和第23条设立的主管机构与负责数据保护的主管机构进行合作。

第2条以下是一些术语的精选，附带简化解释，以帮助读者理解条款：

同意（consent）：指个人对其个人数据处理的同意；DGA中关于此概念的定义参照了GDPR；
许可（permission）：指个人或实体对其相关非个人数据使用的许可；
数据主体（data subject）：指直接或间接（特别是通过标识符）可被识别的个人；DGA中关于此概念的定义参照了GDPR；
数据持有者（data holder）：指非数据主体但有权授予访问权限或共享某些（个人或非个人）数据的实体或个人，例如持有其制造产量数据的公司即为该数据的持有者；
数据中介服务（data intermediation service）：指连接不确定数量的数据主体和数据持有者与数据用户，以建立商业数据共享关系的服务。特定用户群体的封闭服务不在DGA的监管范围内；
数据利他主义（data altruism）：指自愿且无报酬地共享数据以供公共利益目标使用的行为；
公共部门机构（public sector body）：指受公法管辖的当局和机构，包括作为公共部门机构设立或受公法管辖的研究执行组织，但公共企业不在此范围内。

第二章公共部门机构持有的某些类别受保护数据的再利用

《开放数据指令》规范了公共部门持有的、无需特定限制或约束即可共享的公开信息的再利用。对于包含个人数据或商业秘密的数据库，只有在数据被匿名化或以汇总方式处理，使得潜在的重用者无法重新识别个人或机密信息时，才能作为开放数据进行共享。然而，在实践中，这意味着许多公共部门持有的数据库无法被再利用。DGA通过制定规则和保障措施，以促进此类数据的再利用。

重要的是要注意，DGA并未为受保护个人数据的再利用创造权利或GDPR意义上的新法律基础（第1条）。这意味着具体数据库或包含受保护数据的注册是否允许再利用，一般由国家法律或欧盟法律决定。但是，如果允许再利用公共持有的受保护数据，则必须按照本章节中的条件进行。

关键条款包括：

第3条：受保护数据的类别
第4条：独家安排的禁止
第5条：再利用条件，包括国际情况
第6条：费用
第7条：协助公共部门机构再利用的主管机构
第8条：国家单一信息点和欧洲单一访问点

第3条详细界定了本章不涵盖的数据类别。具体而言，公众事业、博物馆、学校及大学所持有的数据均不在本章保护范围内。此外，本章特别指出两种情况下，公开持有的受保护数据不适用本章规定：一是出于公共安全、国防或国家安全考虑而受保护的数据；二是公共部门为履行其特定公共任务之外的目的所持有的数据。最后，研究人员之间出于非商业性科学研究目的的数据交换，同样不属于本章的管辖范畴。

禁止独家安排

第4条——为了确保公共持有的数据能够被任何希望再利用的人获取，DGA限制了独家数据再利用协议的采用。因此，公共部门机构只有在特定公共利益的情况下，才能向一家公司授予此类独家权利。此类协议的有效期不得超过一年，并且为了透明起见，公共部门机构必须公开其授予独家权利的决定及其背后的理由。在2022年6月23日之前签订的独家再利用协议必须在2024年12月24日之前终止。

再利用的条件和程序

第5条详细规定了再利用的条件，并对公共部门机构和再利用者分别设定了相应的义务，而第9条则具体阐述了请求再利用的具体程序。

条件必须是非歧视性的（即具有相同特征的重用者应受到平等对待）、透明的、相称的和客观的，并且不得用于限制竞争。它们还应以促进中小企业和初创企业访问数据以及促进科学研究的方式进行设计。

公共部门机构的职责：

公开条件和程序：公共部门机构必须通过单一信息点（详见第8条）公开再利用的条件和请求程序。
数据保护：为了防止数据的非法再利用，公共部门机构必须确保受保护数据的性质得到保留。DGA并未明确规定应采取的具体措施。
保密义务：公共部门机构应要求再利用者承担保密责任，禁止其披露通过再利用可能泄露的任何可能损害第三方权益的信息。
决策时限：公共部门机构必须在收到再利用请求后的两个月内作出决定。如果请求特别复杂或广泛，可延长最多30天，并需通知申请人延期的理由。

此外，DGA还就以下方面提出了具体要求：

数据范围：符合再利用条件的数据范围应由国家法律具体界定。
支持再利用者：如果公共部门机构因无法确保个人数据或商业秘密的受保护性质而拒绝再利用请求，再利用者可以尝试通过公共部门机构直接从相关数据主体或实体处获得符合GDPR规定的同意或许可。
访问方式：DGA鼓励采用现有技术手段平衡数据再利用的价值与隐私保护的需求。例如，匿名化处理不仅适用于个人数据，也可类推适用于商业机密信息。另一种方式是通过公共部门机构控制的安全处理环境提供数据访问权限，以确保再利用者无法重建原始数据。

此外，安全处理环境的运营商需要采取措施控制输出的分析结果。此类安全环境已使用多年，特别是统计机构（例如，欧洲统计局）。根据技术能力，可以限制现场重用者的访问。也可以通过VPN连接进行访问。

再利用者的义务：

隐私保护：再利用者被禁止重新识别数据主体。这是一项积极义务，即再利用者不仅必须避免重新识别，还必须采取技术和操作措施以防止这种情况发生；
通知义务：

个人数据：在重新识别自然人时，再利用者必须通知授予再利用许可的公共部门机构。根据GDPR第33条，可能还适用其他数据泄露报告义务（针对重用者、公共部门机构，具体取决于各自在案件中的角色）；
非个人数据：在未经授权使用非个人数据时，再利用者必须通知相关法人。例如，如果商业秘密的受保护性质受到损害，再利用者必须通知拥有该商业秘密的公司。

在必要时，再利用者可寻求最初授予再利用许可的公共部门机构的协助。

数据的国际传输

虽然数据再使用者只能在符合GDPR第五章规定的情况下将个人数据传输至第三国，但数据治理法案（DGA）为非个人数据的国际传输设定了规则（第5条）。默认情况下，只要再使用者遵守某些要求，非个人数据的传输以供再利用是被允许的。这一过程分为两个阶段：

事先通知公共部门机构：在请求再利用时，潜在的数据再使用者必须提前通知公共部门机构其传输数据的意图及目的。
合同承诺：数据再使用者需承诺，即使在传输后，也会确保数据保护不会受到侵害，并接受公共部门机构所在成员国的司法管辖，以解决与此承诺相关的任何争议。

为了促进安全的国际数据传输，欧盟委员会有权采取以下措施：

提议示范合同条款：委员会可为公共部门机构与数据再使用者之间的传输合同提供示范合同条款。
采用“等效性决定”：当来自特定国家的大量再利用请求证明有正当理由时，委员会可采纳“等效性决定”，指定这些第三国在商业秘密或知识产权保护方面提供的保护水平可视为与欧盟相当。此类决定将为公共部门机构提供信心，并帮助数据再使用者，因为他们无需再逐案签订合同承诺，即可向已作出等效性决定的第三国传输受保护的公共非个人数据以供再利用。然而，重要的是要注意，此类决定并非国际传输的先决条件，在没有等效性决定的情况下，只要再使用者承担上述合同承诺，仍可进行国际传输。
制定高度敏感非个人数据的传输条件：在某些欧盟立法行为中，某些类别的非个人数据可能被视为高度敏感（例如，欧洲健康数据空间法规将某些非个人健康数据指定为“高度敏感”，具体条款号待定）。在某些情况下，向第三国传输此类数据可能对欧盟的公共政策目标（如公共健康）构成风险，为了协助授予再利用许可的公共部门机构，委员会将设定在传输此类数据前必须满足的额外条件。

补救措施

任何直接受到公共部门机构作出的再利用决定影响的人，均有权在该公共部门机构所在成员国投诉或寻求司法救济（第9条）。

费用

根据第6条，公共部门机构可对所允许的再利用收取费用。这些费用应仅覆盖使数据可供再利用所产生的成本，如匿名化处理或提供安全处理环境的成本。这包括处理再利用请求的成本。成员国必须公布主要成本类别和费用分配规则的描述。

为了鼓励数据再利用以促进创新和公共利益，公共部门机构应考虑对非营利目的或科学研究请求的数据再利用给予折扣或免费。同样，当中小企业和初创企业请求再利用时，也应考虑此等优惠。

协助授予再利用的竞争机构

成员国应指定一个或多个主管机构，以支持授予再利用的公共部门机构（第7条）。这些主管机构应具备充足的法律、财务、技术和人力资源来执行分配给它们的任务，包括必要的技术知识。为了完成这项任务，主管机构可向公共部门机构提供关于如何最佳地构建和存储数据以使其易于访问的指导和技术支持。它们还可为假名化处理提供技术支持，或提供一个安全处理环境，在该环境中可以处理来自不同登记册的数据。由于主管机构不会监督公共部门机构，因此不会行使公共权力，因此数据治理法案并未对其法律地位或形式设定具体要求。例如，公共部门机构的一个部门可被指定为主管机构，或成员国可决定为此目的设立一个全新的实体。成员国还可以决定主管机构有权自行授予再利用许可。

单一信息点——一站式服务

为了更容易地了解哪些数据可供再利用，成员国将必须指定一个单一信息点（第8条），该信息点将向相关公共部门机构传达查询和请求，并维护一个包含可用数据资源概览（元数据）的资产清单。单一信息点可能与现有的地方、区域或行业信息点相连。在欧盟层面，欧盟委员会创建了欧洲公共部门持有受保护数据登记册（ERPD），这是一个可搜索的登记册，包含由各国单一信息点编制的信息，以便进一步促进内部市场及更广泛范围内的数据再利用。

第三章数据中介服务提供商的适用要求

《数据治理法案》为数据中介服务提供商制定了一系列规则，这些服务提供商连接数据的供需双方（为本文件目的，将《数据治理法案》范围内的数据中介服务提供商称为“数据中介”）。这些规则还将确保此类中介在欧盟共同数据空间中作为值得信赖的数据共享或聚合组织者运作。根据第10条的规定，提供服务的数据中介将必须遵守本章所规定的规则，包括向相关主管机构注册。

关键条款

第11条：详细说明了数据中介的通知程序
第12条：列出了数据中介必须满足的条件
第13条和第14条：每个成员国应指定一个或多个主管当局，负责执行与通知程序相关的任务并监督服务提供商的合规性

什么是（不是）数据中介服务提供商？

第2条（11）款将“数据中介服务”定义为旨在通过技术（平台/应用程序，可在其中存储数据）、法律或其他手段，为大量个人或公司（一方）与数据用户（个人或实体）之间建立商业数据共享关系提供服务。

根据第10条，数据中介可能包括双边或多边数据交换，或创建平台或数据库用于数据交换或联合使用，以及为数据持有者与数据用户之间的互连建立其他特定基础设施。虽然保持对新技术机制和商业模式的开放性，但“数据中介服务提供商”的概念受到了以下现有或新兴模式的启发：

数据市场，匹配有组织生态系统内或甚至生态系统外的供需。
生态系统协调者，例如（欧盟）共同数据空间，其中参与者接受参与生态系统的某些规则（法律和/或技术规则）。
由公司或自然人建立的数据池，其中使用数据池的好处直接回馈给数据池的贡献者。
数据“合作社”或“联盟”，其成员对数据的使用有集体商议或决策机制。
“个人数据钱包或云”服务，即向个人提供的服务，使他们能够存储目前由其他公司持有的关于他们的个人数据，并允许第三方处理此类数据，无论是在他们的“个人数据云”内（为了最大化数据隐私，将算法带到数据上）还是传输给第三方。

《数据治理法案》明确将数据中介服务提供商的定义排除以下服务：

从数据持有者处获取数据，聚合、丰富或转换数据以增加其价值，并向数据用户授权使用结果数据，但不建立数据持有者与数据用户之间的商业关系。
专注于中介受版权保护的内容（例如，某些在线内容分享服务提供商）。
在封闭组中使用的服务。
物联网（IoT）平台，理解为制造商为持续与其制造的物联网对象进行通信、交换数据并可能提出增值服务而建立的平台。
公共部门机构为便利公共部门机构持有的受保护数据的再利用（根据《数据治理法案》）或任何其他数据的使用而提供的数据共享服务，只要这些服务不旨在建立商业关系。这排除了公共部门机构纯粹为了数字化它们与个人和企业之间的互动而建立的数据交换平台。这并不意味着公共部门机构不能在数据共享生态系统中发挥作用。这意味着它们只有在这些服务旨在促进数据交换并具有商业性质时，才需要通知中介服务，从而使它们受相同规则的约束变得公平。

这些规则的一个重要后果是，数据中介的业务模式不能依赖于中介将数据转发给用户（数据持有者）未选择的接收方。这是一种有意为之的信任建立方式，它将向用户保证，只有用户（数据持有者和数据用户）能从这些数据中获得价值，并且数据持有者完全控制他们希望与之共享数据的各方。

其次，个人寻求将其个人或非个人数据提供给潜在数据用户的数据中介服务是可能的。这包括提供技术或其他手段来启用此类服务（B2C）。

第三，数据合作社（由数据主体、一人企业或中小微企业成员构成的组织结构提供的数据中介服务）的主要目标将是支持其成员行使与某些数据相关的权利。

数据中介必须做什么？

第11条——中介必须向主管机构通知其提供此类服务的意图。他们可以在通知后立即开始中介活动。

第11条（2）款——在多个成员国设有机构的数据中介应受其主要机构所在成员国的管辖，但不妨碍欧盟法律对跨境损害赔偿及相关诉讼的监管。

数据中介必须：

向数据中介主管机构提交通知，通知中应包含以下信息（第6段）：
(a) 数据中介的名称；
(b) 数据中介的法律地位、形式、所有权结构、相关子公司，以及在国家贸易登记册或其他类似公共国家登记册中注册的数据中介的注册号码（如有）；
(c) 数据中介在欧盟内的主要机构地址（如有），以及在任何其他成员国的任何分支机构或法律代表的地址（如适用）；
(d) 一个公共网站，其中可找到关于数据中介及其活动的完整且最新的信息，至少包括上文(a)、(b)、(c)和(f)项中提及的信息；
(e) 数据中介的联系人和联系方式；
(f) 数据中介打算提供的数据中介服务的描述，并指出该数据中介属于第10条所列类别中的哪一类；
(g) 如果不同于通知日期，预计开始活动的日期。
如果数据中介在欧盟内未设立机构，但在欧盟内提供服务，则应指定在提供服务所在的欧盟成员国之一的法律代表。
在信息发生变化后的14天内，向数据中介主管机构通知第11条（6）款所述信息的任何变化。

数据中介的主管机构

数据中介的主管机构将确保通知程序是非歧视性的，并且不会扭曲竞争。应数据中介的请求，主管机构必须在收到完整且正式的通知后一周内，签发一份标准化声明，确认中介已提交通知且其中包含上述信息。

应数据中介的请求，主管机构必须确认该中介是否符合通知要求和《数据治理法案》下提供中介服务的条件。在确认后，中介可在其书面和口头通信中使用“欧盟认可的数据中介服务提供商”标签，并必须在与其数据中介活动相关的所有在线和离线出版物上清晰展示委员会建立的通用徽标。

主管机构必须通过电子方式立即向委员会通知每项新通知。委员会将保存并定期更新在欧盟提供服务的中介公共登记册。第11条（6）款中(a)、(b)、(c)、(d)、(f)和(g)项所述信息将在公共登记册中公布。

第12条定义了提供数据中介服务的条件，使数据中介能够作为中立的第三方运作。他们不得将数据与用户未选择的各方共享，且获取的任何数据和元数据仅可用于改进数据中介服务（在为此目的处理个人数据时，这需要根据《通用数据保护条例》获得法律基础）。数据中介必须遵守严格的要求，以确保这种中立性并避免利益冲突。在实践中，这意味着对于目前还提供其他服务的实体，现在必须在提供数据中介服务的实体与提供任何其他服务的实体之间进行法律分离（即数据中介服务应通过单独的法人实体提供）。此外，提供中介服务的商业条款（包括定价）不应取决于潜在数据持有者或数据用户是否使用其他服务。

根据第13条，每个成员国应指定一个或多个主管当局，负责执行与数据中介通知程序相关的任务。成员国必须在2023年9月24日之前通知委员会这些主管当局的身份，以及这些主管当局身份的任何变化。第14条规定，数据中介服务的主管当局应监测和监督数据中介服务提供商对本章节要求的遵守情况，也可以根据自然人或法人的请求进行监测和监督。第五章确定了这些主管当局必须满足的要求。第15条规定，除非旨在在不特定数量的数据持有者或数据主体与数据用户之间建立商业关系，否则注册为数据利他主义组织的组织和其他从事数据利他主义的组织（但未根据第19条注册）不受第三章约束。

第四章数据利他主义

数据利他主义是指个人和公司自愿且无报酬地同意或允许提供与他们相关的数据，以供公共利益目标使用。这些目标可能包括医疗保健、应对气候变化、改善流动性、促进官方统计的开发、生产和传播、改善公共服务的提供、公共政策的制定以及支持科学研究。什么构成“公共利益目标”的概念由国家法律定义，成员国之间存在差异。成员国关于慈善组织的规则可以提供指示，说明某个组织追求的目标在《数据治理法案》意义上是否构成“公共利益目标”。数据主体和数据持有者应能够获得与提供数据时产生的费用相关的补偿。

《数据治理法案》旨在创建值得信赖的工具，允许数据以易于共享的方式造福社会。基于数据利他主义提供相关数据的实体将能够注册为“欧盟认可的数据利他主义组织”。此类实体将必须遵守一份规则手册，该手册将规定某些要求。此外，委员会将与相关利益攸关方协商，制定一份欧洲数据利他主义同意书，以便以统一格式在成员国之间收集数据。

关键条款

第16条：成员国可设有组织或技术安排，或两者兼有，以促进数据利他主义
第17条：每个成员国将保留一份认可的数据利他主义组织公共国家登记册，委员会将在欧盟层面维护一份登记册
第18-22条：实体必须满足某些要求才能注册为认可的数据利他主义组织
第23-24条：每个成员国将指定一个或多个主管当局，负责其公共国家登记册并监督认可的数据利他主义组织对要求的遵守情况
第25条：委员会将与相关利益攸关方协商，制定欧洲数据利他主义同意书

根据第16条，成员国可设有组织或技术安排，或两者兼有，以促进数据利他主义。如第45条所述，这可以包括为用户提供易于使用的工具，以便数据主体或数据持有者就数据的利他主义使用给予同意或许可，组织提高认识运动，或与主管当局就公共政策（如改善交通、公共卫生和应对气候变化）如何从数据利他主义中受益进行结构化交流。欧洲数据创新委员会（EDIB）可能是主管当局分享国家数据利他主义实践和政策信息的论坛（第54条），并可为成员国向委员会通报此类信息提供渠道。

第17条要求成员国设立认可的数据利他主义组织登记册。这可以是一个简单的网站，列出成员国内认可的数据利他主义组织，并包含第19条（4）款所述的信息。委员会将在欧盟层面维护和定期更新一份公共登记册，汇总来自国家登记册的信息。

什么是认可的数据利他主义组织？

注册为欧盟认可的数据利他主义组织的实体可使用“欧盟认可的数据利他主义组织”标签，并必须在与其数据利他主义活动相关的所有在线和离线出版物上清晰展示委员会建立的通用徽标，徽标旁边附有链接到欧盟登记册的二维码。该组织必须是非营利性的，并且在法律上与任何营利性实体无关。数据必须用于公共利益目标。此外，其数据利他主义活动必须通过与其其他活动在功能上分离的结构进行。这一意图是为了确保对认可的数据利他主义组织的高度信任。

认可的组织可以使用同意书直接从个人/公司收集数据，或使用他人收集的数据。它们还可以允许第三方处理它们收集的数据。

《数据治理法案》的义务仅适用于选择向主管当局注册的数据利他主义组织。

为了注册为认可的数据利他主义组织，组织必须（第19条）向主管当局提交包含某些信息的申请（例如，法律地位、注册号码、章程），以确保对该实体本身的透明度。当未在欧盟设立的组织希望成为认可的数据利他主义组织并提交申请时，它还必须在提供服务所在的欧盟成员国之一指定法律代表。

此外，数据利他主义组织必须在信息发生变化后的14天内通知主管当局。

一旦在组织设立的成员国（或在多个成员国设立的组织的主要设立地）注册，该注册在整个欧盟范围内均被认可。

数据利他主义组织的主管机构

主管当局必须在收到申请后的12周内将组织注册到其国家登记册中，并必须向委员会通知任何注册或对现有注册的任何更改。

第20条规定了认可的数据利他主义组织需要遵守的透明度要求，特别是关于它们需要保留的记录以及必须包含在它们向主管当局提交的年度活动报告中的最低限度信息。

第21条详细说明了注册组织如何需要保护数据主体和数据持有者的权利，特别是就提供的信息、目的限制和获得处理个人数据的同意而言。本条还包括确保数据的安全存储和处理的措施。

额外的监督机制可能包括道德委员会或委员会，包括来自民间社会的代表，以确保数据控制者维持高水平的科学道德和基本权利保护。

认可的数据利他主义组织必须遵守规则手册，该手册一旦通过，将规定包括技术和安全要求在内的若干要素，以及沟通路线图和互操作性标准（第22条）。规则手册旨在增加对认可的数据利他主义组织的信任。委员会正在与所有利益攸关方（包括数据利他主义组织和主管当局）密切合作制定该规则手册。认可的数据利他主义组织必须在该规则手册生效后的最晚18个月内遵守该手册。组织现在可以向其主管当局注册，无需等待规则手册获得通过。

成员国必须在2023年9月24日之前通知委员会其主管当局的身份（第23条）。主管当局应根据其能力和专业知识进行选择。它们不应与任何数据利他主义组织有关联，并且应保持透明和公正。

第24条详细说明了相关主管部门应如何监督被认可的数据利他主义组织的合规性，例如通过请求信息，并在必要时采取适当和相称的行动。当被认可的组织在多个成员国开展活动时，这些成员国的相关主管部门应就上述任务进行合作。

本章的最后一条（第25条）为委员会与相关利益相关者（包括欧洲数据创新委员会）协商制定欧洲数据利他主义同意表提供了依据，以便促进同意的授予和撤销。其目标是创建一个模块化表格，该表格可以根据特定部门和不同目的进行定制，并且在涉及个人数据时符合GDPR（特别是其第7条）的规定。

第5章相关主管部门和程序规定

数据中介服务和数据利他主义组织注册的相关主管部门必须遵守第26条的要求。这些要求涉及这些主管部门的结构、合作、独立性和透明度。由于这些相关主管部门具有监督权力，独立性要求也涉及它们的高层管理人员和人员。同一机构可以被提名为数据中介服务和数据利他主义组织注册的相关主管部门。

第27条赋予任何人就有关DGA范围内的事项向相关主管部门提出投诉的权利。收到投诉的相关主管部门必须向投诉人通报诉讼进展和所作决定，并告知其可用的司法补救措施。

任何受影响的个人或法人都有权就DGA指定下的相关主管部门作出的具有法律约束力的决定获得有效的司法救济（第28条）。

第6章欧洲数据创新委员会

为了帮助DGA在实际中发挥作用，委员会以委员会专家组的形式成立了欧洲数据创新委员会（EDIB）。EDIB促进最佳实践的分享，特别是关于数据中介、数据利他主义以及无法作为开放数据提供的公共持有数据的使用，以及跨部门互操作性标准的优先排序（第29条和第30条）。例如，EDIB有权为欧盟外部数据传输的欧洲共同数据空间提出适当的保护指南。

EDIB由来自相关国家和欧盟当局及机构的代表以及其他相关机构的代表组成。

它包括一个由相关主管部门代表组成的子组。

委员会（CNECT.G）主持EDIB的会议并提供秘书处。

第7章国际访问和传输

虽然DGA可能有助于加强欧盟的开放战略自主权，但它也有助于在国际数据流中建立信任和信心。它提供了在第三国管辖范围内非个人数据保护的措施。虽然GDPR的第五章在个人数据方面制定了所有必要的保障措施，但DGA的第31条为第三国政府当局或法院提出的非个人数据访问请求创建了类似的保障措施。这些保障措施涉及DGA规定的所有情况和条款，即公共部门数据、数据中介服务和数据利他主义组织。

第31条要求相关方采取所有合理的技术、法律和组织措施，包括可能的合同安排，以防止第三国政府（或法院）访问欧洲联盟内持有的与欧盟或国家法律相冲突的非个人数据。本条中的相关方是指公共部门机构、根据第2章被授予数据再利用权利的自然人或法人、数据中介服务提供商或被认可的数据利他主义组织。它并不打算涵盖其他国际转让的情况。

本规则有两个例外：

首先，第三国法院、法庭或行政当局的决定或裁决，如果基于第三国与欧盟或第三国与成员国之间有效的国际协议（法律互助条约）而要求转移或访问非个人数据，则不受此规则约束。

其次，在没有此类国际协议的情况下，如果遵守此类决定将使收件人与欧盟法或国内法相冲突，则第三国当局访问或获取此类数据的权利仅在特定条件下有效。这些条件是：（a）第三国制度要求此类决定或裁决的理由和相称性得到明确阐述，并具备具体特征；（b）收件人的有理由反对需由第三国法院或法庭进行审查；以及（c）第三国法院、法庭或行政当局在作出决定或裁决时，有权充分考虑数据提供者根据欧盟法或国内法享有的相关法律利益（国际法中的“礼让”原则）。

公共部门机构、被授予数据再利用权利的自然人或法人、数据中介服务提供商或被认可的数据利他主义组织，在遵守第三国提出的访问其数据的请求之前，必须通知数据持有人。此规则的例外情况仅包括执法目的或维护执法活动有效性的请求。

第8章授权和委员会程序

本章规定了委员会在根据DGA通过授权和执行行为时必须遵循的程序规则，包括：