2025年9月12日，欧盟《数据法》（Data Act）主要义务开始实施。本文分为上下两篇，上篇结合相关指南，对《数据法》下的核心要求进行全面梳理，下篇则从中国企业出海角度，提出应对策略与操作建议，供相关企业参考。

一、《数据法》的立法背景

2016年4月与2018年11月，欧盟先后通过了《通用数据保护条例》[1]（General Data Protection Regulation, GDPR）与《非个人数据自由流动条例》（Regulation on the free flow of non-personal data in the European Union）[2]，分别就保护欧盟个人数据与促进欧盟内部非个人数据自由流动制定了相关规则。

2020年2月19日，欧盟委员会正式发布《欧洲数据战略》（A European Strategy for Data）[3]，确立了欧盟数据治理的政策蓝图，旨在加强欧洲在数据处理层面的独立行动和决策能力，建立一个基于欧洲规则和价值观的欧洲单一数据市场，并确保欧盟及其相关主体可共享数据产生的价值。

为实现《欧洲数据战略》设定的目标，欧盟针对数字平台与数据服务、公共部门、网联产品与相关服务出台了一系列法律。

2022年7月与10月，欧盟先后通过《数字市场法》（Digital Markets Act, DMA）[4]与《数字服务法》（Digital Services Act, DSA）[5]，明确了大型数据平台企业（守门人企业），及所有向欧盟用户提供数字服务的中介和平台企业的义务，包括大型数据平台企业的反垄断义务与数字服务平台/中介服务企业的平台责任等。

2022年5月，欧盟通过《数据治理法》（Data Governance Act，DGA）[6]，旨在规范公共部门持有的受保护数据的再利用，以促进相关数据在欧盟内部的安全共享，提升数据流通效率，鼓励出于公益目的的数据共享。《数据治理法》同时适用于个人数据和非个人数据，个人数据处理仍需遵循《通用数据保护条例》。

在此之后，欧盟于2023年11月通过《数据法》[7]，旨在促进跨行业数据共享，特别是促进物联网设备生成的数据应用，同时平衡数据生产者对数据的控制权，提升数据生产动力。2025年9月12日，为指引《数据法》执行，欧盟委员会又发布配套指南《车辆数据指南》（Guidance on vehicle data, accompanying Regulation 2023/2854 Data Act）[8]，针对汽车行业利益相关方提出操作建议。

二、《数据法》概述

《数据法》旨在对在欧盟市场投放的网联产品及相关服务所生成的数据的访问和使用制定统一规则，明确网联产品制造商及相关服务商向用户、用户指定的第三方、其他方、欧盟公共部门及第三国政府机构提供数据的条件和要求，并确立相应的治理框架、程序机制和技术义务。

根据《数据法》第2条，网联产品指的是能够获取、生成或收集其使用情况或环境相关数据，并能够通过电子通信服务、物理连接或设备端访问的方式传输产品数据的物品，比如智能手机、智能汽车、机器人以及其他各种智能网联终端皆在此列。相关服务则指的是与前述网联产品相关联的数字服务。

结合这一定义，以下产品或服务不在《数据法》规制的范围内：

• 主要功能在于存储、处理或传输数据的产品，例如服务器和路由器；
• 支撑网联产品运行的基础设施，例如供网联汽车运行的铁路或公路（用户无权访问基础设施传感器设备生成的数据，除非该等数据被传输至网联汽车）；
• 电子通信服务、连接服务、供电服务及传统售后服务，例如辅助咨询、分析和金融服务，及日常维修保养；
• 未在欧盟市场投放的网联产品及相关服务。

《数据法》适用于在欧盟市场投放的网联产品的制造商及相关服务的提供者，以及在欧盟境内开展业务或处理数据的数据持有者、数据接收者、数据处理服务提供者和数据空间参与者，无论其注册地位于何处。需注意的是，若一款在欧盟市场投放的网联产品在欧盟以外地区被使用，则无论该产品在欧盟境内还是境外产生的数据，均受《数据法》规定的约束。

网联产品制造商及相关服务商可能同时具备产品销售者/租赁者、数据持有者、数据接收者、数据处理服务提供者或数据空间参与者的法律身份。网联产品制造商及相关服务商在向用户提供相关产品与服务时，通常构成数据持有者。但若数据仅存储于用户本地，前述制造商和提供者没有任何访问权限，则其不构成数据持有者。

数据持有者应根据其充当的角色承担相应的法律义务，包括保障用户的数据访问权、保证处理规则透明、确保处理条款公平及实现数据互操作性等，在用户指定时向第三方提供数据，在特定情况下向欧盟公共部门提供数据，并防止第三国政府机构非法访问或获取数据。各项义务的具体分析见下文第三至六节。

三、数据持有者向用户及用户指定的第三方提供数据

(一) 基本要求

《数据法》第二章规定了网联产品及/或相关服务数据的可访问规则，包括数据持有者向用户及用户指定的第三方提供数据的义务。数据持有者应保障用户获得充分信息，并能够访问网联产品及/或相关服务生成的数据。

具体而言：

• 在订立购买、租赁或服务合同之前，数据持有者应履行合同前信息披露义务，向用户说明可访问的数据类型、方式和条件；
• 在技术可行的情况下，应通过产品或服务向用户提供实时、直接的数据访问；
• 在无法通过产品或服务直接访问时，应为用户提供可行的、间接的数据访问途径；
• 应用户或其代表的请求，数据持有者应向用户指定的第三方提供数据，且不得在提供数据的安排上实行歧视。

数据持有者不得对用户行使其访问、共享及控制其数据的权利或进行相关选择造成不合理的困难，包括以非中立的方式向用户提供选项，或通过用户数字界面或其部分的结构、设计、功能或操作方式影响或损害用户的自主性、决策或选择能力。

（二）提供数据的内容

在用户行使其数据访问权时，数据持有者应提供与网联产品及其相关服务的性能、使用情况和运行环境有关的个人数据和非个人数据，包括产品数据、相关服务数据及其元数据，具体如下：

• 产品数据：指通过使用网联产品产生的、制造商在产品设计阶段就设定为可被用户、数据持有者或第三方获取的数据。关于网联产品的纯粹描述性数据，例如用户手册或包装上的说明，不属于产品数据。
• 相关服务数据：指反映用户操作或与网联产品相关事件的数字化数据，这些数据由用户有意记录，或在提供相关服务过程中作为用户操作的副产品生成。
• 产品及相关服务数据的元数据：对前述两类数据的内容或用途的结构化描述，主要用于支持数据的发现、检索与使用。

（三）提供数据的范围及限制

《数据法》对数据持有者向用户及用户指定的第三方提供数据的范围进行了明确的限定，具体如下：

1、数据性质限制

数据持有者仅需提供现成可用的原始数据、预处理数据，及其附带必要的元数据。

所谓现成可用，指的是相关数据可由数据持有者通过简单操作获得，无需付出过度努力。需注意的是，若数据持有者应用隐私增强技术（Privacy Enhancing Technologies，PETs）对数据进行了匿名化、去标识化，或切断了数据与其网联产品之间的联系，只要仍可在不进行重大系统更改或产生高额成本的情况下将数据重新关联至特定用户或网联产品，这些数据仍应视为现成可用数据。

原始数据专指自动生成、未经过进一步处理的数据，而预处理数据则指为便于理解和使用，而进行基础加工处理后的数据。

与之相对应，数据持有者无需提供推导或衍生数据，即基于原始数据和预处理数据，通过投入额外资源推导或衍生而得到的具备新增价值或洞察的数据，例如应用专有或复杂算法生成的数据。

原始数据、预处理数据与推导或衍生数据的关键区别在于相关数据是否产生了新的、增值的洞见，也即是否提供了原始数据所不具备的新信息或附加价值，并不在于数据处理过程的复杂程度。

根据《车辆数据指南》规定，对于未来不确定性事件、数值或状态的预测，通常可被视为推导或衍生数据，因为这些预测往往提供了超出当前车辆运行或状态描述的新信息。举例来说，一个虚拟油量传感器可能使用复杂的机器学习模型，根据驾驶风格、行程历史及其他因素预测未来油量。数据持有者无需向用户提供该预测数据，但应提供在预测过程中所使用、且能够通过物理油量传感器信号轻松获取的当前油量数据。

2、数据内容限制

数据持有者仅负有提供与用户相关数据的义务。对于从网联产品中获取、生成或访问的数据，或传输至该产品的数据，若该等数据与用户无关，或是代表其他方进行存储或处理的，数据持有者无需提供给用户访问。这里强调的是数据来源，用户只能获取其作为来源者的数据。

除此之外，数据持有者亦无需向用户提供内容数据与原型产品数据。内容数据指用户在使用网联产品记录、传输、显示或播放内容时，同步生成的数据及内容本身，主要包括文本、音频、视听内容等，此类数据通常受知识产权保护。举例而言，智能汽车用户只能获取车辆运行相关数据，但不能要求车企提供车载音乐播放应用程序中的歌曲内容数据，这是显而易见的。原型产品数据则包括尚未投放市场的新产品、新物质或新工艺测试中的数据，此类数据通常涉及核心商业秘密。

3、合同约定限制

数据持有者和用户可通过合同约定的方式限制或禁止用户对某些数据的访问、使用或进一步共享给第三方。在这种情况下，数据持有者可依据相关的合同安排拒绝向用户或用户指定的第三方提供数据。

4、商业秘密保护

商业秘密原则上应予以保护，只有在用户或其指定的第三方采取一切必要措施保护商业秘密的情况下，数据持有者方可向其披露商业秘密。向用户指定的第三方提供数据的义务，不构成强制要求数据持有者披露商业秘密。

此外，若用户或第三方未与数据持有者约定必要保护措施、不执行约定的措施或破坏商业秘密机密性，数据持有者可扣留或暂停共享被认定为商业秘密的数据。

在特殊情况下，若数据持有者能够证明，即便用户或第三方采取了约定的措施，披露相关商业秘密仍极有可能导致严重经济损失，则可在个案基础上针对特定数据拒绝用户或第三方的访问请求。

在履行数据提供义务时，数据持有者可采用适当的技术保护措施防止对数据的未授权访问。

若用户擅自修改或移除技术保护措施，或通过违反《数据法》的方式将数据提供给其他方，数据持有者有权要求用户删除数据及任何副本，停止生产、销售、投放市场或使用基于该等数据生产的侵权商品并销毁相关侵权商品，赔偿相关受损害方。

若第三方提供虚假信息或使用其他欺骗或强制手段获取数据、滥用数据保护基础设施漏洞、擅自修改或移除数据保护技术措施，或存在将数据用于开发原网联产品的竞品、非法向其他方披露等未授权使用行为的，数据持有者有权要求第三方删除数据及任何副本，停止生产、销售、投放市场或使用基于该等数据生产的侵权商品并销毁相关侵权商品，向用户通知其对数据的未授权使用行为，赔偿相关受损害方。

5、数据主体保护

《数据法》为部分中小企业设置了豁免条件，就其制造、设计或提供的网联产品及/或相关服务生成的数据，免除其向用户提供该等数据的义务。符合豁免条件的企业及产品包括：由满足一定条件[9]的微型企业或小型企业制造、设计或提供的网联产品或相关服务；被认定为中型企业不足一年的企业制造的网联产品或提供的相关服务；中型企业投放市场一年内的网联产品[10]。

6、数据接收者限制

若用户指定的第三方系《数字市场法》认定的“守门人”企业[11]，则该第三方无权根据《数据法》接收用户从数据持有者处获得的数据。相应的，作为数据持有者亦无需按照用户的请求向此类“守门人”企业提供数据。

四、对第三方数据接收者的限制

为平衡数据持有者享有的数据权益，防止相关主体滥用数据共享权利，《数据法》还针对数据接收者提出了一系列义务，具体如下：

（一）合同约定限制

数据接收者应在约定条件下、以与用户约定的目的为限处理其接收的数据。当该等数据对约定的目的已不再必要时，数据接收者应删除数据，除非其就非个人数据的存储期限已与用户另行约定。

（二）禁止损害产品及服务安全性

数据接收者不得以任何对网联产品及/或相关服务的安全性产生不利影响的方式使用数据。

（三）禁止干扰用户行权

数据接收者不得对用户行使其访问、共享及控制其数据的权利或进行相关的选择造成不合理的困难，包括以非中立的方式向用户提供选项，强迫、欺骗或操纵用户，通过数字界面设计干扰或削弱用户的自主性、决策或选择能力。数据接收者亦不得基于合同或其他方式，阻止用户将其接收的数据再提供给其他主体。

（四）禁止用户画像或推导数据持有者特定信息

数据接收者不得将所接收的数据用于用户画像，除非该行为对于向用户提供服务是必要的，或将相关个人数据用于用户画像符合GDPR的例外规定，包括为订立或履行用户与数据接收者之间的合同所必需或基于用户的明确同意等。

数据接收者不得利用所获的网联产品及/或相关服务数据推断数据持有者的经济状况、资产、生产方式或使用情况等信息。我们认为，这个限制很难监管，因为数据接收者的相关行为可能是非常隐蔽的。

（五）禁止向其他第三方提供、侵害商业秘密或竞争权益

数据接收者不得将接收的数据提供给其他第三方，除非该数据提供行为是基于与用户签订的合同，且该其他第三方已采取了数据持有者与数据接收者所约定的全部必要保密措施，可确保商业秘密的机密性。

数据接收者不得违反与数据持有者或商业秘密持有者的约定侵害商业秘密，亦不得利用所接收的数据开发与生成数据的网联产品相竞争的产品，或与其他第三方共享该等数据以达成类似目的。

根据《数据法》序言第32条，新开发网联产品是否构成与原网联产品相竞争的产品，应依据两者是否在同一产品市场（product market）竞争，并基于欧盟竞争法中关于界定相关产品市场的既定原则[12]进行判断。

五、数据持有者向欧盟公共部门提供数据

《数据法》明确了欧盟委员会、欧洲中央银行及欧盟各公共部门机构在特定情况下的数据访问权力。基于公共利益的必要性（具体包括：应对公共紧急事件，履行法律明确规定的公共利益任务），且符合相关程序与内容要求的前提下，前述公共部门可向数据持有者提出数据访问请求，数据持有者应予以配合。

公共部门基于《数据法》可访问的数据范围与数据持有者向用户及用户指定的第三方提供数据的范围相同。在数据访问请求为履行公共利益任务所必要时，公共部门应当证明其已经用尽其他手段仍然无法获得该等数据，除非其任务是制作官方统计数据，或该国法律不允许购买此类数据。

若公共部门的数据访问请求不是基于应对公共紧急事件，且作为被请求方的数据持有者属于微型或小型企业[13]，则该数据持有者适用豁免，无需向公共部门履行数据提供的义务。

除此之外，在特定情况下，数据持有者可拒绝或要求修改公共部门的特殊数据访问请求，具体包括：

• 数据持有者未持有公共部门所请求的数据；
• 另一个公共部门已就相同目的提出过类似请求，且数据持有者尚未收到该公共部门关于其已删除所获得的数据的通知；
• 公共部门的请求不符合《数据法》规定的内容和程序要求，包括公共部门未证明其请求属于特定情况、未说明其选择向数据持有者提出数据请求的理由、请求不符合比例性要求、未以书面形式提出请求等。

六、防止第三国政府机构非法访问或获取数据

《数据法》禁止第三国政府机构以与欧盟或成员国法律不一致的方式访问或获取欧盟境内非个人数据。该类非法请求通常涉及个人基本权利或商业敏感数据（包括商业秘密和知识产权）的保护。数据处理服务提供者应采取适当且合理的技术、组织和法律措施，以防止在欧盟境内保存的非个人数据以不符合欧盟或成员国法律的方式被访问或获取。

在特定情况下，数据处理服务提供者可配合第三国政府机构的数据请求，具体包括：

• 该请求基于国际协议，例如司法互助条约等；
• 在无国际协议的情况下，该请求符合《数据法》规定的程序性保障要求（保障要求与欧盟法律体系中的基本规则和规范一致，包括：请求应具备明确性、比例性，第三国政府机构在作出请求时有权考虑并且应当考虑数据提供者依据欧盟法律享有的数据利益，数据提供者对该请求提出异议须能够在该第三国获得有效的司法审查）。

七、法律责任

如数据持有者违反《数据法》规定的数据共享义务、配合欧盟公共部门数据请求的义务，或者数据接收者违反相关禁止性义务，则各国的数据保护机构可在其权限范围内对其处以行政罚款。罚款金额不得超过20,000,000欧元，或企业上一财年全球年营业额的4%，以较高者为准。

 注释：

[1]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679.

[2]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32018R1807.

[3]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52020DC0066.

[4]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R1925.

[5]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R2065.

[6]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R0868.

[7]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L_202302854.

[8]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:C_202505026.

[9]根据《数据法》第7条第1款，适用豁免的微型企业或小型企业应满足以下条件：该企业不存在不符合微型或小型企业的资格的合作企业或关联企业，且该企业不是以分包形式制造或设计该网联产品、或提供该相关服务的。

[10]根据《欧盟委员会建议2003/361/EC》（Recommendation 2003/361/EC）附件第2条，微型企业、小型企业、中型企业的认定标准具体如下：

（a）微型企业指雇用人数少于10人且年营业额和/或年度资产负债表总额不超过200万欧元的企业；

（b）小型企业指雇用人数少于50人且年营业额和/或年度资产负债表总额不超过1000万欧元的企业；

（c）中型企业指雇用人数少于250人且年营业额不超过5000万欧元和/或年度资产负债表总额不超过4300万欧元的企业。

[11]根据《数字市场法》第2条和第3条，守门人指提供核心平台服务，且符合下列条件的企业：

（a）该企业对内部市场具有重大影响；

（b）该企业提供的核心平台服务构成商业用户接触最终用户的重要门户；

（c）该企业在其经营中享有稳固且持久的市场地位，或在可预见的未来将会享有此种地位。

[12]《关于欧盟竞争法目的下相关市场界定的委员会公告》（Commission Notice on the definition of the relevant market for the purposes of Union competition law, C/2024/1645）进一步阐述了产品市场定义的原则和方法。

[13]根据《欧盟委员会建议2003/361/EC》（Recommendation 2003/361/EC）附件第2条，微型企业、小型企业的认定标准具体如下：

（a）微型企业指雇用人数少于10人且年营业额和/或年度资产负债表总额不超过200万欧元的企业；

（b）小型企业指雇用人数少于50人且年营业额和/或年度资产负债表总额不超过1000万欧元的企业。

（原标题：企业出海与合规｜解读欧盟《数据法》 中国出海企业的义务与对策（上））

来源：竞天公诚律师事务所

作者：

• 袁立志，竞天公诚律师事务所合伙人；执业领域：网络与数据法、前沿科技法律服务、互联网、大数据、人工智能、自动驾驶
• 刘旭龙，竞天公诚律师事务所律师；执业领域：网络与数据法、人工智能法、智能终端（智能网联汽车、机器人）、Web3（DeFi、NFT）
• 周宇心，竞天公诚律师事务所

声明：竞天公诚律师事务所严格遵守对客户的信息保密义务，本篇所涉客户及项目内容均取自公开信息或征得客户同意。本篇观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的法律意见。