在《解读欧盟《数据法》 中国出海企业的义务与对策(上)》中,我们梳理了欧盟《数据法》(Data Act)的核心要求。在此基础上,本篇将从中国企业出海角度,提出应对策略与操作建议,供相关企业参考。
一、对数据持有者的建议
作为数据持有者,在面对用户或第三方的数据共享请求时,中国出海企业可采取以下应对措施:
(一)核实是否适用豁免
若企业及产品与服务符合《数据法》规定的中小微企业豁免条件,则可免于履行该项数据共享义务。关于豁免的具体标准,请参见上一篇文章的介绍。
(二)设计直接访问机制
若企业同时作为网联产品制造商及相关服务商,在技术可行的情况下,将产品及/或服务方案设计为可在用户侧直接访问相关数据及元数据。
(三)履行用户告知义务
若企业同时作为网联产品的销售方、租赁方,及相关服务的提供方,在与用户订立购买、租赁、服务合同前,以清晰易懂的方式向用户告知其数据访问权、与第三方共享数据的权利,以及行使这些权利的相关信息。
(四)设计数据共享条款
企业可参考欧盟委员会发布的示范合同条款[1],设计与用户及第三方关于数据共享事项的法律权利义务。在此基础上,企业可考虑通过合同约定,对用户及第三方访问、使用数据,或向其他方进一步共享数据进行限制,以平衡商业、安全与合规等方面的需求。
(五)验证用户或第三方身份
企业可要求用户及第三方提供必要的信息,并充分验证其数据请求资格。若第三方是《数字市场法》认定的“守门人”企业,或存在其他法定拒绝事由,企业可拒绝向该第三方提供数据。
(六)划定提供数据的范围
针对用户请求,企业应提供网联产品及相关服务生成的数据及元数据,且该等数据应是现成可用的原始数据或预处理数据,对于内容数据、原型产品数据、推导或衍生数据或与用户无关的其他方数据,企业无需向用户及其指定的第三方提供。
(七)落实个人数据保护措施
若拟提供的数据包含个人数据,尤其是第三人个人数据,或同一网联产品涉及多位不同数据主体的个人数据时,企业应遵守GDPR等法律,落实各项数据保护要求,如对个人数据进行适当匿名化,或者仅传输与特定用户相关的个人数据。
(八)保护商业秘密
企业可采取以下措施保护其商业秘密:
- 确定作为商业秘密保护的数据,并采取必要的保密措施;
- 停止生产、销售或使用基于该等数据生产的侵权商品,或停止将该等侵权商品投放市场,并销毁相关侵权商品;
- 开展过程风险监控,若发现法律规定的情形,例如用户或第三方未执行约定的保密措施等,应及时固定证据,并立即扣留或暂停共享商业秘密;
- 开展风险跟踪评估,若发现披露商业秘密存在导致严重经济损失的风险时,应及时固定证据,并立即拒绝向用户或第三方共享商业秘密;
- 当企业决定扣留或暂停共享商业秘密,或拒绝用户或第三方的访问请求时,应及时向相关用户或第三方提供支撑前述决定的适当书面证明,并通知主管机关。
(九)完善技术保护措施
企业可采用适当的数据保护与风险监控措施,以防止对数据及其元数据的未授权访问。
若发现用户或第三方修改或移除技术保护措施、滥用技术保护措施漏洞,或存在通过欺骗或强制手段获取数据、非法向其他方披露数据、将数据用于未授权用途等行为,可立即要求用户或第三方采取以下措施:
- 删除数据及任何副本;
- 停止生产、销售、投放市场或使用基于该等数据生产的侵权商品,并销毁相关侵权商品;
- 向相关方通知其对数据的未授权使用行为;
- 赔偿相关受损害方的损失。
二、对数据接收者的建议
除了被动提供数据,中国出海企业也可以积极利用《数据法》,从其他企业获取数据,将他人数据为我所用,开展相关业务。对此,我们的建议如下:
(一)设计数据处理条款
企业可通过合同条款明确数据处理的目的、范围、删除机制、分享权限等内容,并按照合同约定处理接收的数据。相关合同安排可参考欧盟委员会发布的示范合同条款。
(二)避免构成竞争产品
《数据法》禁止数据接收者利用其所接收的数据开发与生成数据的网联产品相竞争的产品。企业在使用前述数据前,应确保拟开发产品未落入竞争禁止的规定范畴。对于竞争产品的判断,可参考上一篇文章的介绍,从需求替代和供应替代两个维度进行。
(三)充分开发相关服务
《数据法》不禁止数据接收者利用其所接收的数据开发相关服务,企业可将前述数据用于开发网联产品相关服务。以汽车行业为例,企业可将其接收的网联汽车使用数据用于开发相关配套服务,例如维修需求预测服务、云端服务、动态路线优化服务等。
此外,《数据法》的关键目标之一便是使服务提供商与制造商提供同类服务时可在平等的条件下竞争。换言之,企业可将网联产品及相关服务数据用于开发与数据来源相配套,或具有竞争关系的服务。以汽车行业为例,若企业接收了网联汽车云服务数据,则可将该等数据用于自研云服务平台的开发,并向同类用户提供相关的云服务。
(四)开展有限的逆向工程
根据《数据法》序言第32条,只要符合欧盟及成员国法律(例如知识产权法、数据保护法等),企业在修理或延长产品寿命、提供售后服务等特定情况下,可对网联产品进行逆向工程。
三、关于向欧盟公共部门提供数据的建议
我国《数据安全法》与《个人信息保护法》均明确规定,非经我国主管机关批准,境内组织、个人不得向外国司法或执法机构提供存储于我国境内的数据(包括个人信息)。
若出海企业将提供网联产品及/或相关服务、数据处理服务过程中获取的相关数据存储于我国境内,则应适用前述国内法规定。这可能导致出海企业在配合欧盟公共部门的数据访问请求时,面临来自我国国内的法律风险。
为合理控制上述法律风险,同时保障企业的合法权益,在面对欧盟公共部门调取数据的要求时,中国出海企业可按照如下方式应对:
(一)核实是否适用豁免
若公共部门的数据请求不是基于应对公共紧急事件,同时作为被请求方的企业属于欧盟法定义下的微型或小型企业,则可豁免此项义务。关于豁免的具体标准,请参见上一篇文章的介绍。
(二)及时提出异议
若企业未持有相关数据、欧盟公共部门重复请求数据或数据请求存在内容或程序瑕疵,企业可拒绝或要求欧盟公共部门修改其请求。
企业应注意拒绝或要求修改请求的时间限制。对于欧盟公共部门应对公共紧急事件的,数据持有者应在不迟于收到请求后的五个工作日内,作出拒绝或要求修改请求的决定。对于其他特定情况的数据请求,该时间限制为不迟于收到请求后的三十个工作日内。
(三)及时提出申诉
若企业认为其对欧盟公共部门数据请求的拒绝权、要求修改权等权利遭到侵害,可向其注册地所在欧盟成员国指定的主管机构提出申诉。
(四)合理确定数据存储中心部署地
由于各国法律法规对于向境外司法或执法机构提供存储于该国境内的数据存在不同程度的限制,企业可考虑选择合适的国家或地区作为其数据存储中心,用于存储其提供网联产品及/或相关服务、数据处理服务过程中产生的相关数据。具体内容请参见下文。
(五)落实个人隐私保护措施
若欧盟公共部门的数据请求涉及个人数据,企业应落实隐私保护要求,可对个人数据进行匿名化处理。
若为满足欧盟公共部门的数据请求必须披露个人数据,企业可不进行匿名化处理,但应对相关个人数据进行去标识化处理,并留存提供个人数据必要性的相关证明文件。
(六)要求合理的补偿
在以下情况下,企业可就其数据提供行为要求获得合理补偿:
(1) 欧盟公共部门为应对公共紧急事件提出数据请求,且企业为小型或微型企业;
(2) 欧盟公共部门的请求涉及履行法律明确规定的公共利益任务所必需的非个人数据,且公共部门已用尽其他所有可用手段仍无法获取这些非个人数据。
补偿金额应公平、合理,且可覆盖提供数据产生的技术和组织成本及合理利润。
四、关于响应第三国政府机构数据请求的建议
《数据法》并不限制企业将非个人数据进行国际传输,亦未改变《非个人数据自由流动条例》[2](Free Flow of Non-Personal Data Regulation)中关于禁止“成员国数据本地化要求”的规定[3],其旨在确保数据服务提供商在欧盟存储的用户非个人数据免受非欧盟政府的非法访问和传输。
基于此,若中国企业作为数据处理服务提供者,面临第三国政府机构数据请求,建议采取以下应对措施:
(一)核查第三国数据请求
《数据法》第32条规定了企业可向第三国政府机构提供数据的例外情形,也即请求基于国际协议或符合《数据法》规定的程序性保障要求。
企业排查第三国政府机构的数据请求是否符合前述情形时,可向相关欧盟成员国负责国际法律合作的国家机构或主管部门进行咨询。
若企业认为第三国政府机构的数据请求可能影响欧盟或其成员国的国家安全或防务利益,则应向相关国家机构或主管部门征求意见。若企业在一个月内未收到相关国家机构或主管部门的回复,或该等机构认定第三国政府机构的数据请求非法,企业可基于该理由拒绝第三国的数据请求。
(二)严格控制提供数据量
即使经排查确认第三国政府机构的数据请求适用《数据法》第32条规定的例外情形,企业也应在合理解释该请求范围的基础上,在法律允许的范围内提供最少量的数据,避免提供不必要的数据。
在提供数据前,企业应告知用户该请求的存在。但若该请求系为实现执法目的,且在保持执法活动有效性所必需的期间内,企业可暂不告知用户。
(三)合理确定数据存储中心部署地
由于各国在政府机构访问私营部门数据方面的法律存在差异,企业可考虑选择合适的国家或地区作为其数据存储中心,以实现按《数据法》要求防止第三国政府非法获取数据与配合存储地政府数据访问请求之间的平衡。具体内容请参见下文。
五、关于数据存储中心选址的建议
基于《数据法》项下与欧盟公共部门及第三国政府机构数据请求的相关规定,中国出海企业在选择数据存储中心的地理位置时,应将以下事项纳入考虑因素:
(一)欧盟与数据存储中心部署地之间的个人数据跨境传输规定
企业将其提供网联产品及相关服务、数据处理服务过程中获得的相关个人数据传输至第三国,需符合GDPR有关数据跨境传输的规定。因此,企业选择将数据存储中心部署在欧洲经济区(EEA)内的国家,或欧盟委员会发布的《保护水平充分性认定清单》[4]中的国家或地区,所面临的法律风险相对较低。
若企业计划将数据存储中心部署在前述国家或地区之外,则需考虑适用其他的适当保障措施,较常被使用的是标准合同条款(SCCs)。根据GDPR和Schrems II判决,在某些情况下仅签署SCCs合同文本并不足以被认定采取了适当保障措施,若第三国法律或惯例构成对SCCs有效性的影响,作为数据发送方的数据控制者或处理者有责任逐一核实,并酌情与第三国的接收方合作,在个案基础上确定补充措施以达到欧盟法律要求的保护水平。
结合欧洲数据保护委员会(EDPB)发布的《关于补充传输工具以确保符合欧盟个人数据保护水平的建议措施》(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)[5],企业在选用SCCs作为数据跨境传输的适当保障措施后,应进行数据跨境影响评估(Transfer Impact Assessment, TIA)以分析数据拟存储地的法律是否会妨碍SCCs的实现,并按照评估结论采取补充措施。
关于TIA的内容,可参考爱尔兰数据保护委员会(Irish Data Protection Commission,DPC)针对TikTok数据跨境违规发布的处罚决定书[6]中TikTok披露的TIA相关信息。
(二)数据存储中心部署地有关数据出境的法律规定
根据《数据法》第五章,在特定情况下,企业有义务配合欧盟公共部门的数据请求,并提供相关数据。企业在选择数据存储中心部署地时,需考虑该国家或地区对于从其境内向第三国公共部门提供数据的法律要求,并在可行范围内优先选择法律限制较低的国家或地区,尽量避免将数据存储在对于向第三国公共部门提供数据有严格限制的国家,以防与欧盟公共机构依据《数据法》调取数据的要求相冲突。
(三)数据存储中心部署地政府机构访问数据的法律规定
《数据法》和GDPR都重点关注第三国政府机构的本地数据访问权。
在个人数据方面,企业进行TIA的重点在于评估第三国法律体系中政府访问私营部门数据的法律框架能否为个人数据提供等同于欧盟法律框架的保护,EDPB进一步发布了《关于欧洲基本保障措施的建议》(Recommendations 02/2020 on the European Essential Guarantees for surveillance measures)[7]以指导企业正确评估第三国国家意志为监控目的获取数据。
在非个人数据方面,《数据法》第七章明确规定,企业应防止第三国政府机构非法访问和获取在欧盟存储的非个人数据。
综上所述,企业在选择数据存储中心部署地时,还应重点评估相关国家或地区关于政府对本地数据访问权的法律规定,以及国家安全、情报、反恐、刑事、网络安全等领域的法律规定。
在评估时,可关注第三国的前述法律法规是否符合欧洲基本保障(Essential Guarantees)的核心标准,包括:
- 政府监控(即向私营部门调取数据)方面的法律须明确、精确、易于获取,并对权利限制的范围进行界定,具备清晰可预见性及最低保障措施。
- 法律和执法实践须符合必要性和相称性原则,即数据监控措施应针对正当的公共利益目标,干预程度与所追求目标的重要性相称,并以严格必要为限。
- 应有独立、公正的监督机制对公共机关的监控行为进行监督。通常要求由法官或独立机构事先或及时监督数据获取的合法性,以防止滥用。
- 个人应享有有效救济权利,若其数据被不当监控,应有途径向独立法院提起申诉并获得救济。
此外,企业也应关注第三国的执法情况,在政府数据调取领域执法行动更频繁的国家法律风险相对更高。
六、对《数据法》的批评及展望
我们注意到,《数据法》中包含大量诸如“原始数据”“预处理数据”“推导或衍生数据”“现成可用”等抽象术语,单就内涵来讲,这类术语可轻易地理解和区分,但在实践中,这类术语的外延难以把握,边界难以确定,存在大量的模糊空间,可左可右,企业在开展合规工作时需要反复就此类问题进行判断或权衡,合规负担较重,中国企业尤其不适应这种立法方式。
《数据法》的另一个弊病是过于理想化,不切实际。《数据法》强制要求网联产品制造商及相关服务商向用户及第三方提供数据,但该等数据往往涉及相关企业的核心商业利益。即使该等数据没有达到商业秘密的法定标准,相关企业也可能抵触数据分享,宁失之以严,不失之以宽,这是人性与商业理性使然。即使用户及特定第三方承诺采取数据保密措施,且不将所获取的数据用于竞品研发,企业也不可能放心地共享数据,谁愿意拿自己的核心商业利益来冒险呢?
我们认为,《数据法》在立法设计上是违背商业规律的,其实施结果基本可以预料:作为数据持有者的企业可能以各种理由限缩可提供的数据范围,导致实际提供的数据极为有限,最终导致《数据法》设想的大量数据自由流动的美好目标基本落空。
把视野再放宽一点,十年来,欧盟通过GDPR、DMA、DSA、DGA、AI Act等一系列立法,精心构筑起数字监管法律体系,并以全面和严格著称于世,但也因其严苛、繁杂、晦涩与脱离实际,给相关企业带来了沉重的合规负担,抑制了科技创新活力,受到越来越多的批评,本文作者之一袁立志律师就是持续多年的批评者之一。
在多方压力下,尤其是在新一届美国政府的压力下,欧盟正在对其数字监管立法进行反思,尝试简化相关法律要求。2024年9月,前欧洲央行行长、意大利前总理马里奥・德拉吉(Mario Draghi)撰写的《欧洲竞争力的未来》[8]报告中,就已经指出现有数字法规对企业造成的持续攀升的合规负担,并呼吁对相关法律进行简化和彻底改革。作为对此报告的回应,欧盟委员会启动了Digital Omnibus计划,旨在简化涉及数据、网络安全和人工智能(AI)的法律规则,并于2025年9月16日正式启动了征求证据程序(call for evidence),广泛收集各方反馈意见与最佳实践[9]。
作为Digital Omnibus计划草案的一部分,DGA、《开放数据指令》(欧盟指令(EU)2019/1024)以及《非个人数据自由流动条例》等将被并入《数据法》,从而形成一部新的综合性数据法,以解决当前数据领域立法碎片化的问题。但相对于GDPR、DMA、DSA以及 AI Act来说,《数据法》对数据持有者的要求不算繁杂,且设置了许多适用限制,并为中小微企业提供了豁免(在立法阶段可能已受到相关批评的影响)。因此,欧盟本轮改革预计不会对《数据法》的实质条款做大幅调整。
注释
[1]2025年4月2日,B2B数据共享和云计算合同专家组(Expert Group on B2B data sharing and cloud computing contracts)发布了最终报告,提供了四类非约束性示范合同条款,分别适用于数据持有者和用户、用户和数据接收者、数据持有者和数据接收者以及自愿数据分享者和数据接收者之间的合同安排。详见https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download。
[2]https://eur-lex.europa.eu/eli/reg/2018/1807/oj/eng.
[3]《非个人数据自由流动条例》第4条规定,除非基于公共安全的理由且符合比例原则,数据本地化的要求应被禁止。
[4]截至目前,欧盟委员会对以下国家和地区授予了“充分性认定”,具体包括:安道尔、阿根廷、加拿大(仅限商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭、韩国、英国和美国(仅限参与“欧盟—美国数据隐私框架”的商业组织)。详见:https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en?utm_source=chatgpt.com。
[5]edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf.
[6]https://www.dataprotection.ie/sites/default/files/uploads/2025-10/Inquiry%20into%20TikTok%20Technology%20Limited%20April%202025.pdf.
[7]edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf.
[8]https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiveness%20strategy%20for%20Europe.pdf.
[9]https://digital-strategy.ec.europa.eu/en/news/commission-collects-feedback-simplify-rules-data-cybersecurity-and-artificial-intelligence-upcoming.
(原标题:企业出海与合规|解读欧盟《数据法》 中国出海企业的义务与对策(下))
来源:北京市竞天公诚律师事务所
作者:
- 袁立志,竞天公诚律师事务所合伙人,北京、上海办公室,联系方式:电话:(86-10)5809 1211、(86-21)2613 6222,邮箱:yuan.lizhi@jingtian.com。
- 刘旭龙,竞天公诚律师事务所律师,上海、成都办公室,联系方式:电话:(86-28)8777 8888,邮箱:liu.xulong@jingtian.com。
- 周宇心,上海办公室,联系方式:电话:(86-21)2613 6141,邮箱:zhou.yuxin@jingtian.com
声明:竞天公诚律师事务所严格遵守对客户的信息保密义务,本篇所涉客户及项目内容均取自公开信息或征得客户同意。本篇观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的法律意见。