出海企业需关注的新数据合规风险：《数据法案》项下合规义务清单

以下文章来源于跨境合规及出海资讯，作者 Question 律师

作者 | Question 律师中国及美国纽约州注册律师，中国律所公司及商事法律业务合伙人

来源 | 跨境合规及出海资讯,管理智慧

咨询合作 | 13699120588

文章仅代表作者本人观点

编者按：

出海逐渐成为最受关注的热点趋势之一，包括 App 出海。在海外用户眼中，中国移动应用不仅在小众市场需求方面能够应对灵活迅捷，更能在市场营销层面做到资金和平台的大幅推动，从而迅速吸纳海外用户。然而，挑战中也不是没有机遇，在任何国家 / 地区的市场从事相关业务都应当遵守当地法律法规。因为不合规而引发法律风险也并非新鲜事，近年来我们不断会听到中国移动应用在包括美国、印度、澳大利亚等海外国家对中国 App 施加禁令、或是考虑对中国 App 施加禁令，合规也成为了出海企业管理中不容忽视的关键环节，法律风险逐渐成为了与商业风险同等重要的影响海外业务存续的重中之重。

鉴于 App 会涉及到产品开发、用户数据收集以及后续处理等问题，因为该等 App 本身的特性，数据合规是每款 App 都需要关注的问题。欧盟是最早关注数字经济形态对于网络安全、数据共享、隐私和数据安全、平台经济监管等方面产生变革的市场，也最早在立法层面针对上述变化进行了调整。中国企业目前都非常熟悉《通用数据保护条例》 ( GDPR ) ，针对欧盟境内个人数据收集、处理活动、个人数据主体的权利以及数据处理者、数据控制者的义务都进行了规范，也是全世界范围内数据保护立法的里程碑式的文件。

2023 年末，欧盟理事会正式通过《关于公平访问和使用数据的统一规则的条例》 ( Regulation on Harmonised Rules on Fair Access to and Use of Data，下称《数据法案》 ) ，该法案项下相关合规义务将于 2025 年起正式开始适用。与 GDPR 类似，《数据法案》在欧盟数据合规领域同样产生了重要的影响力，该法案标志着欧盟市场对于数据的规范思路已经从 GDPR 下的数据保护往数据在市场上的自由流通方向发生了转变，该法案项下对于企业新增的合规义务值得出海欧盟市场的企业重点关注。

从 GDPR 到《数据法案》：

欧盟数据合规领域的立法思路

欧盟在数据合规领域的立法文件可谓是纷繁复杂，不仅仅是国内非常熟悉的 GDPR，还有要求数字营销事先获得用户同意 ( opt-in ) 的《电子隐私指令》、细化的网络安全要求并消除各欧盟成员国网络安全措施领域立法冲突的《NIS 指令》、旨在创建更加安全的网络空间并构建公平的数字竞争生态的《数字市场法案》和《数字服务法案》等；即便是在《数据法案》重点关注的数据流通方面，此前出台的《数据治理法案》同样涉及了这个问题。

鉴于近代以来欧洲一直保持的人权价值观，欧盟长期秉持着以人权及个人隐私保护为核心的监管理念，其中《欧盟基本权利宪章》首次将个人数据权纳入其中，将个人数据权被欧盟上升为基本人权进行保护，此后《里斯本条约》生效标志着个人数据权正式成为欧盟成员国宪法性权利 [ i ] 。在此背景之下，GDPR 生效，数据作为基本人权与人格利益进行法律保护，改变了欧盟其他立法性文件主要基于欧盟内部市场统一的目标；GDPR 虽然涉及了数据可携权的问题，但本质上 GDPR 更关注 " 保护 " 而非 " 流通 "，数据可携这个理念很难在数据保护这个前提下展开，因此对于这个权利 GDPR 仅仅进行了原则性的规定 [ ii ] 。

但除了隐私之外，数据流动同样是数据监管领域的重要价值取向，尤其是欧盟始终认为数字化转型是帮助其脱离现存问题和应对未来挑战的方法，欧盟希望通过数字经济的发展帮助其提升国际影响力和话语权，要建立统一、安全的数字空间来消除壁垒，在此背景下为了更好地指导欧盟成员国发展数字经济，欧盟委员会发布《2030 数字指南：欧洲数字十年之路》以落实欧盟数字经济发展战略 [ iii ] 。有鉴于此，欧盟此后在数据合规领域的立法思路发生了转变，逐步变化为增加数据流动、促进创新产品与服务、解决数据 lock-in 的问题，但此前这一思路鉴于 GDPR 因其与保护为主的执法宗旨而没有得到重视 [ iv ] 。

随着数据流通的商业需求愈加显著，《数据治理法案》以及《数据法案》应运而生，重点落实了将数据流动起来、以及如何能够让这些数据能够得到有效再利用的问题，共同推动欧盟内单一数据市场的建立。

《数据法案》对于出海欧盟的企业可能造成什么影响？

与 GDPR 类似，《数据法案》同样具有一定的域外适用效力。《数据法案》适用于在欧盟市场内销售的联网产品制造商和相关服务提供商 ( 包括相关服务交互的虚拟助手 ) ，以及向欧盟境内的数据接收者提供数据的数据持有者，及向欧盟境内客户提供相关服务的数据处理服务提供商，无论其营业地是否位于欧盟境内，因此完全可能适用于营业地位于中国、但向欧盟市场提供上述产品或服务的中国出海企业。对于联网产品，该法案的定义为 " 获取、生成或收集有关其使用或环境的数据的物品，并且能够通过电子通信服务、物理连接或设备访问通信产品数据 "。

因此，鉴于上述规定，涉及智能设备行业、物联网行业的硬件设备或软件服务提供商，或是涉及虚拟助理服务、数据存储分析、云计算服务等数据处理服务提供商，需要核查自身业务流程、业务类型与业务范围，盘点公司是否处理持有该法案所关注的产品数据和相关服务数据，全面审查企业是否面向欧盟市场、是否存在位于欧盟的客户，以便明确企业是否需要适用《数据法案》项下额外的合规要求。关于《数据法案》对于企业的合规义务，详见本文第三部分《数据法案》项下企业合规义务清单。

尽管该法案尚未如 GDPR 一样明确建立基于全球营业额的处罚标准，但该法案的处罚条款将具体的处罚规定交由欧盟成员国自行决定，并给出处罚规则设置时建议考虑的因素，并且《数据法案》不影响 GDPR 的执行及相关数据保护监管机构的职权，因此不能排除该法案正式适用后各成员国参照 GDPR 的标准制定具体处罚规则的可能性，相关企业还是需要予以重视。

《数据法案》项下企业合规义务清单 [ v ]

我们根据该法案文本整理了该法案项下企业的合规义务清单。需要说明的是，以下清单未穷尽该法案项下全部义务条款，企业还需要根据自身实际业务情况根据法案规定核查自身的合规需求。

义务类型
条款编号
条款具体内容
保障用户知情权
第 3 条
在订立提供相关服务的合同前，相关服务的提供者应以清晰可理解的方式向用户提供以下信息：
( 1 )    将生成的相关服务数据的性质和估计量，以及用户访问或检索该等数据的安排，包括未来数据持有者的数据存储安排和保留时间；
( 2 )    预期的数据持有者是否希望使用现成的数据本身以及使用这些数据的目的，以及是否打算允许一个或多个第三方使用这些数据用于与用户商定的目的；
( 3 )    潜在数据持有者的身份，如其公司名称和地理地质，以及 ( 如适用 ) 其他数据处理方的身份；
( 4 )    使其能够快速与潜在数据持有人取得联系并与该数据持有人进行有效通信的通信方式；
( 5 )    用户如何要求与第三方共享数据，并在使用的情况下结束数据共享；
( 6 )    用户与潜在数据持有人之间的合同期限，以及终止该等合同的安排。
保障用户访问请求的实现，并确保赋予用户要求将其数据共享给第三方的权利
( 1 )    预期数据持有者预期获得的产品数据的性质、估计量和收集频率，以及在相关情况下，用户访问或检索此类数据的安排，包括预期数据持有者的数据存储安排和保留时间。
第 4 条
用户和数据持有人在访问、使用和提供产品数据和相关服务数据方面的权利和义务：
( 1 )    如果用户不能从所连接的产品或相关服务直接访问数据，数据持有人应提供与数据持有人相同质量、方便、安全、免费、全面、结构化、常用和机器可读的格式，并在相关和技术上可行的情况下，连续和实时。在技术可行的情况下，通过电子手段提出简单的要求。
( 2 )    数据持有者不得使用户行使选择或权利过于困难，包括以非中立的方式向用户提供选择，或通过用户数字界面的结构、设计、功能或操作方式颠覆或损害用户的自主、决策或选择。
( 3 )    为了验证自然人或法人是否符合第 1 款规定的用户资格，数据持有人不得要求该人提供超出必要的范围的任何信息。数据持有人不得保存任何关于用户访问所请求的数据的信息，超出用户的访问请求以及数据基础设施的安全和维护所必须的信息。
( 4 )    除履行与用户的合同外，数据持有者不得出于商业或非商业目的向第三方提供非个人产品数据。在相关情况下，数据持有者应通过合同约束第三方不得进一步分享从其处获得的数据。
第 5 条
用户与第三方共享数据的权利：
( 1 )    应用户或代表用户行事的一方的请求，数据持有者应在不无故拖延的情况下，以全面、结构化、通用和机器可读的方式，向第三方提供现成的数据以及解释和使用这些数据所需的相关元数据，其质量应与数据持有者可用的相同，并应方便、安全、免费的提供给用户，在相关且技术可行的情况下，还应连续和实时的提供。
( 2 )    为核实自然人或法人是否符合前款所述用户或第三方资格，用户或第三方无需提供任何必要信息之外的信息。数据持有者不得保存任何有关第三方访问所申请数据的信息，除非使为了妥善执行第三方的访问请求以及为了数据基础设施的安全和维护所必须的。
采取必要的技术保护措施
第 11 条
针对未经授权使用或披露的数据的技术保护措施。数据持有者可采用适当的技术保护措施，包括智能合约和加密，以防止对数据 ( 包括元数据 ) 的未经授权的访问。此类技术保护措施不得区别对待数据接收方，不得妨碍用户获取数据副本、检索、使用或访问数据的权利，不得妨碍第三方根据欧盟法律或根据欧盟法律通过的国家立法享有的任何权利。
数据接收者应当根据约定使用数据，不得不正当获取数据
第 6 条
应用户要求接收数据的第三方的义务，第三方应仅在与用户商定的目的和条件下，根据本法第 5 条处理向其提供的数据，并遵守欧盟和国家关于保护个人数据的法律，包括数据主题在个人数据方面的权利。除非与用户就非个人数据另有约定，否则第三方应在不再需要用于约定目的时删除数据。
不得利用优势谈判地位设置不公平的合同条款
第 8 条
数据持有者向数据接收者提供数据的条件：
( 1 )    在企业对企业关系中，如果数据持有者有义务向数据接收这提供数据，则数据持有者应与数据接收者商定提供数据的安排，并应根据公平、合理和非歧视的条款和条件，以透明的方式，按本法规定提供数据。
( 2 )    不得要求数据持有者和数据接收者提供任何超出必要范围的信息。
( 3 )    除非欧盟法律或根据欧盟法律通过的国家立法另有规定，向数据接收者提供数据的义务不得强制披露商业秘密。
第 13 条
单方面强加给另一方企业的不公平合同条款。
( 1 )    一企业单方面强加给零一企业的有关获取和使用数据或违反或终止数据相关义务的责任和补救措施的合同条款，如果不公平，则对被强加企业不具有约束力。
( 2 )    如果合同条款的性质使其使用严重偏离了数据获取和使用方面的良好商业惯例，违背了诚信和公平交易原则，则该条款使不公平的。
( 3 )    就以下目的使不公平的，如果合同条款的目的或效力在于：排除或限制单方面世家该条款的一方对于故意或重大过失的责任；未履行合同义务的情况下可采取鹅不久措施或义务被违反的情况下应承担的责任；赋予单方面强加条款的一方决定所提供数据是否符合合同规定或解释任意合同条款的专属权利。
允许用户在数据处理服务提供商之间实现有效切换，将障碍降至最低
第 25 条
涉及数据处理服务提供商或内部 ICT 基础设施的转换时，客户的权利和数据处理服务提供商的义务应在书面合同中明确规定。合同应至少包括以下内容：任何情况下不超过 30 个日历日的强制性最长过渡期。
启动转换过程的最长通知期，不超过两个月。
第 29 条
自本法生效之日起三年后，数据处理服务提供商不得就转换过程向客户收取任何转换费用。
第 30 条
数据处理服务提供商应向期所有客户和相关数据处理服务目的地提供商免费提供同等程度的开放接口，以便切换过程。这些借口应包括有关服务的信息，以使软件开发能够与服务通信，从而实现数据可移植性和互操作性。
制定通用的技术标准和互操作性规则，避免被特定的数据服务提供商绑定
第 33 条
向其他参与者提供数据或数据服务的数据空间参与者应遵循本法基本要求，以促进数据、数据共享机制和服务的互操作性，以及欧洲共同数据空间的互操作性。
企业对政府的数据共享义务
第 14 条
公共部门机构、欧盟委员会、欧洲中央银行或联盟，如果公共机关证明有特殊需要使用某些数据，包括解释和使用这些数据所需的相关元数据，以履行期为公众利益而承担的法定职责，则持有这些数据的法人数据持有者应根据适当说明了理由的请求提供这些数据。

结语

1. 《通用数据保护条例》 ( General Data Protection Regulation ) ；

2. 《数据保护执法指令》 ( Law Enforcement Directive ) ；

3. 《电子隐私指令》 ( Directive on Privacy and Electronic Communications ) ；

4. 《网络和信息系统安全指令》 ( NIS 指令，Directiveon Security of Network and Information Systems ) ；

5. 《数据保留指令》 ( Data Retention Directive ) ；

6. 《数据治理法案》 ( Data Governance Act ) ；

7. 《关于公平访问和使用数据的统一规则的条例》 ( 数据法案，Regulationon Harmonised Rules on Fair Access to and Use of Data ) ；

8. 《数字市场法案》 ( Digital Market Act ) ；

9. 《数字服务法案》 ( Digital Services Act ) ；

10. 《关于开放数据和公共部门信息再利用的指令》 ( Open data and the re-use of public sector information Directive ) ；

11. 《非个人数据自由流动条例》 ( Free Flow of Non-Personal Data Regulation ) ；

12. 《人工智能法案》 ( Artificial Intelligence Regulation ) 。

注释

[ i ] 《大国博弈下的跨境数据流动国际规则构建》，中工网，https://www.workercn.cn/c/2023-05-22/7847366.shtml。

[ ii ] 《前有 GDPR，后有数据治理法案 ( DGA ) ，为什么欧盟还要再出一个 " 数据法案 " ( DA ) ？》，微信公众号 " 科技利维坦 "，https://mp.weixin.qq.com/s/ipvWDkFHcNWjMbAfJ8goAA。

[ iii ] 《欧盟数字经济监管》，微信公众号 " 中东欧经济研究所 "，https://mp.weixin.qq.com/s/CqCZGEcwdiLOxZDu0JfbBA。

[ iv ] 《前有 GDPR，后有数据治理法案 ( DGA ) ，为什么欧盟还要再出一个 " 数据法案 " ( DA ) ？》，微信公众号 " 科技利维坦 "，https://mp.weixin.qq.com/s/ipvWDkFHcNWjMbAfJ8goAA。

[ v ] 中文翻译参考了《全译本首发 | 欧盟《数据法案 ( 通过版 ) 》：关于公平访问和使用数据的统一规则》，微信公众号 " 数据法盟 "，https://mp.weixin.qq.com/s/Jz-VIAZ36pwJLcqfmvHitw。

宙世代

智慧云

相关标签

义务类型
条款编号	条款具体内容
保障用户知情权
第 3 条	在订立提供相关服务的合同前，相关服务的提供者应以清晰可理解的方式向用户提供以下信息： ( 1 ) 将生成的相关服务数据的性质和估计量，以及用户访问或检索该等数据的安排，包括未来数据持有者的数据存储安排和保留时间； ( 2 ) 预期的数据持有者是否希望使用现成的数据本身以及使用这些数据的目的，以及是否打算允许一个或多个第三方使用这些数据用于与用户商定的目的； ( 3 ) 潜在数据持有者的身份，如其公司名称和地理地质，以及 ( 如适用 ) 其他数据处理方的身份； ( 4 ) 使其能够快速与潜在数据持有人取得联系并与该数据持有人进行有效通信的通信方式； ( 5 ) 用户如何要求与第三方共享数据，并在使用的情况下结束数据共享； ( 6 ) 用户与潜在数据持有人之间的合同期限，以及终止该等合同的安排。
保障用户访问请求的实现，并确保赋予用户要求将其数据共享给第三方的权利
	( 1 ) 预期数据持有者预期获得的产品数据的性质、估计量和收集频率，以及在相关情况下，用户访问或检索此类数据的安排，包括预期数据持有者的数据存储安排和保留时间。
第 4 条	用户和数据持有人在访问、使用和提供产品数据和相关服务数据方面的权利和义务： ( 1 ) 如果用户不能从所连接的产品或相关服务直接访问数据，数据持有人应提供与数据持有人相同质量、方便、安全、免费、全面、结构化、常用和机器可读的格式，并在相关和技术上可行的情况下，连续和实时。在技术可行的情况下，通过电子手段提出简单的要求。 ( 2 ) 数据持有者不得使用户行使选择或权利过于困难，包括以非中立的方式向用户提供选择，或通过用户数字界面的结构、设计、功能或操作方式颠覆或损害用户的自主、决策或选择。 ( 3 ) 为了验证自然人或法人是否符合第 1 款规定的用户资格，数据持有人不得要求该人提供超出必要的范围的任何信息。数据持有人不得保存任何关于用户访问所请求的数据的信息，超出用户的访问请求以及数据基础设施的安全和维护所必须的信息。 ( 4 ) 除履行与用户的合同外，数据持有者不得出于商业或非商业目的向第三方提供非个人产品数据。在相关情况下，数据持有者应通过合同约束第三方不得进一步分享从其处获得的数据。
第 5 条	用户与第三方共享数据的权利： ( 1 ) 应用户或代表用户行事的一方的请求，数据持有者应在不无故拖延的情况下，以全面、结构化、通用和机器可读的方式，向第三方提供现成的数据以及解释和使用这些数据所需的相关元数据，其质量应与数据持有者可用的相同，并应方便、安全、免费的提供给用户，在相关且技术可行的情况下，还应连续和实时的提供。 ( 2 ) 为核实自然人或法人是否符合前款所述用户或第三方资格，用户或第三方无需提供任何必要信息之外的信息。数据持有者不得保存任何有关第三方访问所申请数据的信息，除非使为了妥善执行第三方的访问请求以及为了数据基础设施的安全和维护所必须的。
采取必要的技术保护措施
第 11 条	针对未经授权使用或披露的数据的技术保护措施。数据持有者可采用适当的技术保护措施，包括智能合约和加密，以防止对数据 ( 包括元数据 ) 的未经授权的访问。此类技术保护措施不得区别对待数据接收方，不得妨碍用户获取数据副本、检索、使用或访问数据的权利，不得妨碍第三方根据欧盟法律或根据欧盟法律通过的国家立法享有的任何权利。
数据接收者应当根据约定使用数据，不得不正当获取数据
第 6 条	应用户要求接收数据的第三方的义务，第三方应仅在与用户商定的目的和条件下，根据本法第 5 条处理向其提供的数据，并遵守欧盟和国家关于保护个人数据的法律，包括数据主题在个人数据方面的权利。除非与用户就非个人数据另有约定，否则第三方应在不再需要用于约定目的时删除数据。
不得利用优势谈判地位设置不公平的合同条款
第 8 条	数据持有者向数据接收者提供数据的条件： ( 1 ) 在企业对企业关系中，如果数据持有者有义务向数据接收这提供数据，则数据持有者应与数据接收者商定提供数据的安排，并应根据公平、合理和非歧视的条款和条件，以透明的方式，按本法规定提供数据。 ( 2 ) 不得要求数据持有者和数据接收者提供任何超出必要范围的信息。 ( 3 ) 除非欧盟法律或根据欧盟法律通过的国家立法另有规定，向数据接收者提供数据的义务不得强制披露商业秘密。
第 13 条	单方面强加给另一方企业的不公平合同条款。 ( 1 ) 一企业单方面强加给零一企业的有关获取和使用数据或违反或终止数据相关义务的责任和补救措施的合同条款，如果不公平，则对被强加企业不具有约束力。 ( 2 ) 如果合同条款的性质使其使用严重偏离了数据获取和使用方面的良好商业惯例，违背了诚信和公平交易原则，则该条款使不公平的。 ( 3 ) 就以下目的使不公平的，如果合同条款的目的或效力在于：排除或限制单方面世家该条款的一方对于故意或重大过失的责任；未履行合同义务的情况下可采取鹅不久措施或义务被违反的情况下应承担的责任；赋予单方面强加条款的一方决定所提供数据是否符合合同规定或解释任意合同条款的专属权利。
允许用户在数据处理服务提供商之间实现有效切换，将障碍降至最低
第 25 条	涉及数据处理服务提供商或内部 ICT 基础设施的转换时，客户的权利和数据处理服务提供商的义务应在书面合同中明确规定。合同应至少包括以下内容：任何情况下不超过 30 个日历日的强制性最长过渡期。启动转换过程的最长通知期，不超过两个月。
第 29 条	自本法生效之日起三年后，数据处理服务提供商不得就转换过程向客户收取任何转换费用。
第 30 条	数据处理服务提供商应向期所有客户和相关数据处理服务目的地提供商免费提供同等程度的开放接口，以便切换过程。这些借口应包括有关服务的信息，以使软件开发能够与服务通信，从而实现数据可移植性和互操作性。
制定通用的技术标准和互操作性规则，避免被特定的数据服务提供商绑定
第 33 条	向其他参与者提供数据或数据服务的数据空间参与者应遵循本法基本要求，以促进数据、数据共享机制和服务的互操作性，以及欧洲共同数据空间的互操作性。
企业对政府的数据共享义务
第 14 条	公共部门机构、欧盟委员会、欧洲中央银行或联盟，如果公共机关证明有特殊需要使用某些数据，包括解释和使用这些数据所需的相关元数据，以履行期为公众利益而承担的法定职责，则持有这些数据的法人数据持有者应根据适当说明了理由的请求提供这些数据。