“欧盟内松外严时代的开始”系列之一：《数据法案》与GDPR的关系与协调 | 耀时数据原创

“欧盟内松外严时代的开始”系列之一：《数据法案》与GDPR的关系与协调 | 耀时数据原创

 张晓宇 庄静怡 

2023年11月9日，欧洲议会在投票过程中以压倒性多数正式通过了欧盟《数据法案》。2024年1月11日，《数据法案》正式生效，将于2025年9月12日起适用。自此，欧盟《数据法案》与《通用数据保护条例（GDPR）》（以下简称GDPR）正式成为欧盟数据战略的两个重要法律支柱，构成了平衡协调、内松外严的数据治理框架。本文将通过分析欧盟数据主权战略的背景、欧盟《数据法案》的主要内容、与GDPR的异同与协调等方面，分析欧盟《数据法案》和GDPR的关系。

如果对欧盟数据主权战略进行解构，可将其分为“单一市场”战略和“共同空间”战略。“单一市场”战略是欧盟的对外战略，体现了欧盟维护数据主权的本质追求；“共同空间”战略是欧盟的对内战略，是欧盟建设内部数据市场、实现内部数据流通的联结机制。在“单一市场”战略和“共同空间”战略下，欧盟的数据主权原则可以概括为四个字：内松外严。

PART 一、“外严”数据主权原则下的GDPR

作为欧盟的对外战略，在“外严”数据主权原则下，欧盟对外采取的是“数据跨境限制+保护性域外管辖”的模式，以GDPR为典型代表。

● 数据跨境限制：GDPR对数据跨境传输施加了较为严格的限制。实际上，欧盟借助对充分性决定机制的控制，以内部市场为杠杆，以充分性决定机制为支点，通过撬动立法的方式强化内部数据保护规则与价值输出，已逐步将GDPR等欧盟法规打造成为全球范围内的数据保护标准范式。

● 保护性域外管辖：在与数据相关的管辖权规则方面，GDPR第3条提供了保护性域外管辖条款，以个人数据保护为核心，确立了“经营场所”和“处理目的”两个平行的判断标准。在“经营场所”标准下，无论数据处理主体的行为是否发生在欧盟境内，都将受到GDPR 的管辖；在“处理目的”标准下，只要相关主体的行为涉及“向欧盟数据主体提供商品或服务”或“对欧盟数据主体在欧盟境内的活动进行监控”，就会受到GDPR的管辖。

● 此外，欧盟还通过《数字服务法案》（DSA）与《数字市场法案》（DMA）对在线平台施加义务，并对“守门人”平台企业施加额外的升格限制，防止对中小型企业与消费者的合法权益造成侵害。

PART 二、“内松”数据主权原则下的《数据法案》

作为欧盟的对内战略，在“内松”数据主权原则下，欧盟的目标是实现欧盟内部数据市场的协调与统一，促进个人和企业的数据/信息共享，创造坚实和公平的数据驱动型经济，并指导欧盟到2030年的数字化转型。

● 《数据法案》是欧盟委员会继《数据治理法》之后在2020年2月欧洲数据战略下的第二项主要立法举措。《数据治理法》创建了促进公司、个人和公共部门数据共享的流程和结构，《数据法案》则弥补了《数据治理法案》的偏颇，在GDPR的基础上，进一步提供了适用于所有数据的更广泛的规则。

● 《数据法案》旨在确保数字环境中参与者之间数据价值分配的公平性、刺激竞争性数据市场行为、为数据驱动的创新提供机会以及使所有人都更容易获得数据，还旨在简化数据处理服务提供商之间的转换，制定防止非法数据传输的保障措施，并制定数据在部门之间重复使用的操作性标准。

● 数据的合理化使用亦被《数据法案》重点关注。据统计，约有80% 的工业数据至今仍处于未被使用的状态。《数据法案》颁布后，预计到2028年，更多数据将被有效地利用，并由此创造约2,700亿欧元的额外GDP。

PART 三、《数据法案》的主要内容

1. 促进互联产品数据收集与共享

《数据法案》特别关注互联产品收集数据的功能，它允许连接智能家用电器或者智能工业机器设备的用户访问使用这些产品时产生的数据，而这些数据通常由制造商和服务提供商独家收集。在物联网（IoT）数据方面，它引入了“产品数据”和“服务数据”的概念，“确保欧盟内使用产品或服务的用户能够及时获取使用该产品或服务所产生的数据，包括与他们选择的第三方共享这些数据。”

2. 设置加强的可移植性权利

《数据法案》通过设置加强的可移植性权利，使个人和企业能够更好地控制其数据并轻松地从不同服务中复制或传输数据。“数据”在该法案下的定义非常广泛，涵盖“任何数字形式的行为、事实或信息”，即，只要是数字形式的任何行为或产生的信息都会被认为是“数据”。因此法案的规定将被广泛适用，而且适用于个人和非个人数据。该项权利的总体目标是通过允许更广泛地访问数据来消除数据服务提供商设置的障碍，以此刺激竞争激烈的数据市场。

3. 云服务间的有效切换

《数据法案》允许消费者从一个云提供商轻松转移到另一个云提供商。此外，还引入了防止非法数据传输的保障措施，以及数据共享和处理的操作性标准。

4. 数据共享与补偿

在数据共享和补偿方面，《数据法案》设置了防止数据共享中存在滥用合同导致不公平的措施。这些措施将保护欧盟公司免受不公平协议的影响，并为中小企业提供更多的回旋余地。此外，还提供了关于企业提供数据的合理补偿的额外指导。

同时，《数据法案》为公共部门机构、欧盟委员会、欧洲中央银行和欧盟机构提供了访问和使用私营部门持有的数据的手段，前提是这些数据在特殊情况下是必须要被访问和使用的，特别是在发生洪水和野火等公共紧急情况的情况下，或为了公共利益。当涉及到在“企业对政府”背景下访问数据的请求时，《数据法案》规定，只有在特殊情况下才会共享个人数据，例如自然灾害、流行病、恐怖袭击，以及所需的数据无法以其他方式访问。在这种情况下，微型和小型企业也将贡献他们的数据，并将得到补偿。

5. 治理模型

《数据法案》保留了成员国在国家层面组织实施和执法任务的灵活性。同时，协调机构将作为单一联络点，并被标记为“数据协调员”。

PART 四、《数据法案》未放松的部分

当然，“内松”的《数据法案》在数据跨境传输方面并没有放松要求，其设计了5项机制来规范欧盟非个人数据向欧盟外的传输：

1. 数据处理服务提供者应采取一切合理措施，确保非个人数据传输到国外后不违反欧盟法律及相关成员国立法的规定；

2. 若数据处理服务提供者收到来自第三国的任何将在欧盟存储的非个人数据传输到境外的要求，必须以第三国与欧盟之间具有已生效的国际协议为前提，方能开展传输；

3. 在没有国际协议的情况下，只有符合欧盟《数据法案》规定的三个特定条件，才可以向第三国当局转移或允许其访问非个人数据；

4. 数据处理服务提供者应提供响应请求所允许的最低数量的数据；

5. 数据处理服务提供者应在响应第三国行政当局的要求之前，及时告知数据持有者存在查阅其数据的要求。

PART 五、《数据法案》与GDPR的异同

欧盟《数据法案》和GDPR都是欧盟数据战略的重要法律支柱，都是为了实现欧洲数据空间的建设、保护数据主体的权利和利益、促进数据的流动和共享、支持欧洲的数字化转型和创新发展而制定。

（一）相似处

1. 两者都遵循欧盟的价值观和原则，尤其是隐私权和数据保护权，都符合欧盟《基本权利宪章》和《欧洲人权公约》的规定。

2. 两者都具有域外效力，即不仅适用于欧盟境内的数据控制者和处理者，也适用于欧盟境外的数据控制者和处理者，只要他们向欧盟境内的数据主体提供产品或服务，或者监控他们的行为，或者处理和持有他们的数据，都要遵守欧盟的数据法规。

3. 两者都强调数据主体的自主性和控制权，即数据主体有权知道、访问、纠正、删除、限制、反对、携带、免受画像的个人数据，也有权同意或撤回同意数据的处理，也有权投诉或救济数据的侵权。

4. 两者都要求数据控制者和处理者履行一定的义务和责任，如保证数据的合法、正当、透明、最小化、目的限制、准确、及时更新、安全等原则，如进行数据保护影响评估、数据泄露通知、数据保护官设立等措施，如承担数据违规的行政罚款或民事赔偿等后果。

（二）不同处

1. 适用范围不同，GDPR主要针对个人数据，即能够直接或间接识别自然人的数据，而《数据法案》涵盖了个人数据与非个人数据，主要针对非个人数据，即不能识别自然人的数据，如工业数据、公共数据、科研数据等。

2. 目的不同，GDPR主要是为了保护个人数据的安全和隐私，防止个人数据的滥用和侵害，在“适格政府标准”下限制数据跨境流动，而《数据法案》主要是为了促进非个人数据的流动和共享，激发非个人数据的创新和价值，构建境内数据自由流动的“泛欧数据市场”。

3. 内容不同，GDPR主要是为了规范个人数据的处理活动，制定了一系列的数据保护规则和标准，而《数据法案》主要是为了建立非个人数据的治理机制，提出了一些数据共享的模式和方法。

4. 影响不同，GDPR主要是对数据控制者和处理者的约束和限制，要求他们遵守数据保护的义务和责任，而《数据法案》主要是对数据控制者和处理者的激励和支持，要求他们享受数据共享的权利和利益。

PART 六《数据法案》和GDPR的关系和协调

1. 互补性，即《数据法案》和GDPR分别针对非个人数据和个人数据，制定了不同的数据治理框架，但都是为了实现欧洲数据空间的建设，都是为了保护数据主体的权利和利益，都是为了促进数据的流动和共享，都是为了支持欧洲的数字化转型和创新发展。两者之间没有冲突或矛盾，而是相互补充和支持。

2. 一致性，即《数据法案》和GDPR都遵循欧盟的价值观和原则，都符合欧盟《基本权利宪章》和《欧洲人权公约》的规定，都具有域外效力，都强调数据主体的自主性和控制权，都要求数据控制者和处理者履行一定的义务和责任。两者之间没有差异或偏差，而是相互一致和协调。

3. 互动性，即《数据法案》和GDPR都涉及到数据的流动和共享，都需要在数据的利用和保护之间找到平衡，都需要在数据的竞争和合作之间找到协同，都需要在数据的创新和规范之间找到引导。两者之间没有隔离或孤立，而是相互影响和互动。

4. 复杂性，即《数据法案》对数据共享利用的促进不能妨碍保护个人数据的GDPR和保护隐私的《电子隐私指令》。《数据法案》的概念设置、共享规则、数据合同和互操作性等各章节也时常与DSA、DMA甚或《人工智能法案》等彼此协同。《数据法案》不损害关于保护个人数据的法律，规定的权利和义务相关的个人数据处理应适用关于保护个人数据的法律如GDPR；如果《数据法案》与关于保护个人数据或隐私的欧盟法律或根据该欧盟法律通过的国家立法发生冲突，则以有关保护个人数据或隐私的相关联盟或国家法律为准。相比于DSA和DMA，欧盟的《数据法案》将影响的行业更加广泛，争议也更为复杂。

PART七、结   语

欧盟数据战略是欧盟在数据治理领域的重大战略转向，旨在建立一个安全、开放、创新的欧洲数据空间，促进数据的流动和共享，支持欧洲的数字化转型和创新发展。欧盟《数据法案》和GDPR是欧盟数据战略的两个重要法律支柱，分别针对非个人数据和个人数据，制定了统一和创新的数据治理框架，形成了“内松外严”的战略格局。相对GDPR,《数据法案》更加着重强调数据经济参与者之间数据价值分配的公平性，旨在为数字信任建立坚实框架，通过促进开放公共部门数据、消除数字边界、鼓励数据贸易、开放竞争，以实现安全的欧盟市场。

欧盟数据的战略对全球数据治理有着重大的借鉴意义，为我们提供了一个数据治理的新范式参考，即在保护数据主体的权利和利益的同时，促进数据的流动和共享，激发数据的创新和价值，实现数据的公益和社会价值。这一范式值得我们学习和借鉴，以应对数据时代的挑战和机遇。

下载《欧盟数据法案》全文，请按如下步骤操作：

第一步 关注“耀时律师XEON”公众号

第二步 回复：欧盟数据法案

【律师简介】

张晓宇律师，江苏耀时律师事务所主任、创始人。经济法、金融法双硕士，中国大陆和美国纽约州律师，上海证券交易所独立董事资格。曾在英国伦敦XXIV大律师楼担任国际商事仲裁访问律师。张晓宇律师入选“中华全国律师协会“涉外法律领军人才”名录；江苏省律师协会“江苏省省级涉外律师人才”名录；司法部“全国千名涉外律师人才”名录；担任南京师范大学中国法治现代化研究院“一带一路”法治发展研究中心研究员；获评南京市”优秀涉外律师”、“涉外专业律师”、“金牌巾帼律师”，担任诸多上市公司、跨国公司、世界500强企业，中小企业、高净值人群法律顾问。

庄静怡，耀时律师事务所律师。南京大学金融学硕士，数据交易师，中级经济师，曾就职于国内头部券商及任职证券投资类私募基金高管。庄律师拥有跨学科背景及丰富的金融行业从业经验，秉持“立足专业、高效服务”的工作理念，深耕金融、数据法方向。擅长的业务领域：投融资与私募基金、并购重组、数据跨境合规建议、数据交易“一揽子”服务、公司日常运营的法律服务等。