欧盟《数据法案》开始实施，出海企业如何应对挑战？

为了充分理解《数据法案》的相关要求，需要准确把握法案中的如下关键定义：

1. 互联产品（connected product）

指能够获取、生成或收集有关其使用、性能或环境的数据，并可通过有线或无线连接传输这些数据的产品[5]。这些产品遍布社会生活各方面，常见的如智能家居（智能音箱、智能电视机、智能门锁）、消费电子产品（智能手机、平板电脑、可穿戴智能设备）、工业机械（送餐机器人、智能分拣设备）、医疗设备（智能体重秤、血糖仪）等。

主要完成存储、处理或传输数据功能的产品（如服务器和路由器）通常不在《数据法案》规定的强制性数据共享义务范围内，除非该等产品由用户拥有、租用或租赁[6]。

值得注意的是，只有当某一互联产品被投放到欧盟市场时，该个体产品才会进入《数据法案》的适用范围[7]。下列两种是常见的不属于“投放到欧盟市场”的情形，因而也不受《数据法案》规制：

2. 相关服务（related service）

指可以与互联产品的操作连接，并影响该互联产品功能的数字服务[10]，其必须同时满足两个基本条件：

• 互联产品与服务提供商之间必须进行双向数据交换，且

• 该服务必须影响互联产品的功能、行为或操作。

常见的“相关服务”情形如用于调节灯管亮度或调节冰箱温度的应用程序，但连接服务、供电和售后市场等数字服务不属于“相关服务”。

3. 用户（user）

指拥有互联产品、或已通过合同取得该互联产品的临时使用权，或接收相关服务的自然人或法人[11]，对互联产品生成的数据拥有合法权利[12]。单个互联产品可能同时拥有多名用户[13]。

值得注意的是，用户必须位于欧盟境内，并可以依《数据法案》请求访问无论存储于欧盟境内或境外的数据[14]。

4. 数据持有者（data holder）

指拥有使用和提供数据（产品数据或相关服务数据）的权利义务的自然人或法人[15]。确定谁是数据持有者并非取决于软件或硬件的生产，而是对现有数据访问权限的控制[16]。

产品制造商并非必然是数据持有者。例如无法传输数据的单机游戏机，由于数据直接存储在设备上而制造商无法访问任何数据，因此制造商不构成数据持有者。

《数据法案》旨在确保欧盟境内互联产品或相关服务的用户可以及时访问其使用该互联产品或相关服务所产生的数据，并且用户可以使用该数据，包括与其选择的第三方共享数据。《数据法案》规定数据持有者有义务在特定情况下向用户及其选择的第三方提供数据，并确保数据持有者在公平、合理、非歧视的条款和条件下，以透明的方式向欧盟境内的数据接收者提供数据[17]。

以下重点概括《数据法案》的核心内容和要求：

• 企业对企业（B2B）、企业对消费者（B2C）的数据共享

• FRAND原则和不公平合同条款

• 企业对政府（B2G）的数据共享

• 数据处理服务之间的切换

• 避免第三国政府非法访问数据

• 互操作性

• 域外效力

• 处罚

1. B2B、B2C的数据共享

根据《数据法案》，所有在欧盟市场销售、租赁或提供互联产品及相关服务的企业均需保障用户的数据访问权，要求互联产品的设计和制造以及相关服务的设计和提供应确保产品数据和相关服务数据（包括解释和使用该等数据所需的相关元数据）默认以全面、结构化、常用和机器可读的格式轻松、安全、免费地向用户提供，并且在相关且技术可行的情况下，可供用户直接访问[18]。前述设计和/或制造义务自2026年9月12日起适用，但这并非强制要求制造商在所有情况下授予所有互联产品的数据直接访问权限，数据应在“相关且技术可行的情况下”供用户“直接访问”[19]。

“直接访问”是指用户拥有技术手段访问、传输或下载相关数据，而无需请求数据持有者。例如，互联产品具有数字接口，用户可以控制访问机制、控制界面和工作流程，并且可以直接从互联产品中提取数据。“间接访问”是指互联产品或相关服务的设计方式要求用户向数据持有者请求访问权限（即审批流程）。例如，用户可在门户网站上提交数据访问请求[20]。

《数据法案》要求数据持有者应允许用户在合理、及时、透明的条件下自行访问由其使用产品或服务所生成的数据，或授权第三方（如独立维修商或增值服务商，但不得是根据欧盟《数字市场法案》（Digital Markets Act）被指定为“守门人”的企业）获取相关数据[21]。其中，B2C情形下，无论用户直接或间接访问数据，数据持有者均应免费提供；而B2B情形下，无论是数据持有者应用户请求向第三方共享数据，或数据持有者向数据接收者（Data Recipient）共享数据，则可以收取合理的费用[22]。上述规定对于从事互联产品制造和服务的企业而言，意味着其不仅要在技术上实现数据可访问性，还需识别自身角色、相关数据的属性，制定访问流程和第三方授权机制。

针对企业在此过程中担心的知识产权和商业秘密保护，《数据法案》及欧盟委员会配套解释文件明确：

• 企业只需共享在使用互联产品或相关服务过程中产生的原始数据和预处理数据[23]，以及附带必要的元数据（如工业设备传感器感知到的温度、湿度数据），但经过深度加工或高度丰富的推断或派生数据则不包括在内（如通过前述温度、湿度而分析得出的生产效率优化策略）[24]；

• 禁止接收方将这些数据用于开发竞争性产品[25]；

• 企业可以合理主张对核心技术或商业秘密的保护，并通过合同设立专门的数据保密及用途限制条款，强化法律保障，实现数据共享与商业利益的平衡[26]。

此外，值得注意的是，B2B和B2C的数据共享义务对中小微企业有可豁免的例外[27]。如果数据是由微型企业或小型企业制造或设计的互联产品或相关服务产生的，并且该企业没有与其相关联的大型或中型企业（即没有合作企业或关联企业不属于微型或小型企业），且该微型或小型企业不是被分包来制造或设计互联产品或提供相关服务的，则可以豁免B2B和B2C的数据共享义务。如果数据是由刚构成中型企业未满一年的企业制造的互联产品或提供的相关服务产生的，或者是由中型企业在产品投放市场后一年内产生的互联产品数据，同样可受豁免[28]。

根据2003年5月6日《欧盟委员会关于微型、小型和中型企业的定义的建议》（Commission Recommendation: concerning the definition of micro, small and medium-sized enterprises）微型、小型和中型企业（SMEs）是指雇员少于250人、年营业额不超过5000万欧元、和/或年度资产负债表总额不超过4300万欧元的企业。在SMEs类别中，小型企业是指雇员少于50人、年营业额和/或年度资产负债表总额不超过1000万欧元的企业；微型企业是指雇员少于10人、年营业额和/或年度资产负债表总额不超过200万欧元的企业[29]。

2. FRAND原则和不公平的合同条款

根据《数据法案》，数据持有者向数据接收者共享数据时要遵守FRAND （Fair, Reasonable and Non-Discriminatory）原则。持有数据的企业在共享数据时，必须对处于相同情形的数据接收方一视同仁，杜绝任何基于身份或地位的差别化条款[30]。此外，共享数据的企业需基于数据规模和实际成本等公开、客观的标准计算费用补偿，且对中小微企业和非营利研究组织收取的费用补偿中不得包括利润[31]。

另外，《数据法案》禁止一家企业单方面强加给另一家企业的有关数据访问和使用、违约责任及救济措施或终止数据相关义务的不公平合同条款。例如，当其中一家企业拥有如市场规模、垄断地位等更有利的谈判地位，并对另一家企业施加与数据访问和使用相关的不可协商的条款，如“要么接受，要么放弃”（take-it-or-leave-it）[32]。《数据法案》将不公平条款分为如下两类[33]：

• 被视为不公平条款：例如排除或限制单方面施加条款一方因故意行为或重大过失所应承担的责任；

• 被推定为不公平条款：如在合同义务未履行或违约情况下，不适当地限制救济措施或责任，或扩大被施加条款企业的责任。

如果某项条款最终被认定为不公平，则该条款对承担义务的一方无效，合同剩余部分可在移除该不公平条款后继续履行[34]。

2025年4月2日，欧盟委员会已发布了以下四类示范合同条款（Model Contract Terms），适用于：

这些合同并不具有强制约束力，但对企业理解《数据法案》的要求，以及在起草符合自身利益的合同时，提供了较为清晰的指引。

3. B2G的数据共享

欧盟立法者认为目前企业缺乏足够的动力与政府共享数据以造福社会[35]，因此，《数据法案》规定公共部门（包括成员国的公共部门、欧盟委员会、欧洲央行和联盟机构）在无法通过替代手段获得数据时，可基于公共利益而请求访问数据。B2G的数据共享义务总结如下：

4. 数据处理服务之间的切换

根据《数据法案》，为了确保欧盟市场的竞争性，数据处理服务（包括云和边缘计算服务）的客户应能够从一个提供商无缝地切换到另一个提供商[36]。数据处理服务涵盖常见的IaaS、PaaS、SaaS交付模式，与云计算服务的常见定义相呼应[37]。对于提供数据处理服务的企业而言，《数据法案》带来的挑战在于对数据处理服务之间切换的数据可携权的强化要求，其中包括：

• 支持用户或其指定第三方在合理条件下在不同服务平台之间顺利切换和迁移数据和数字资产，防止“数据锁定”（lock-in）现象发生[38]；

• 提供开放的接口和必要的技术支持，以保证迁移后的服务功能等同[39]；

• 在官方网站上向用户充分披露最新有关数据迁移和服务切换的具体流程和可用方案，包括其技术的已知限制和局限[40]。

同时，《数据法案》对切换流程的收费限制设定了清晰的时间表[41]：

• 自2024年1月起，服务商收取的切换费用（包括数据导出费用，data egress charges）必须限于实际发生的成本；

• 在2027年1月12日后应全面取消切换费用，进一步降低企业迁移门槛。对于多云部署模型（multi-cloud deployment model）等服务场景，服务商仍可基于持续性的数据流出而收取合理的数据导出费用[42]。

5. 避免第三国政府非法访问数据

为避免第三国政府非法访问数据，《数据法案》规定了更高的防护标准以应对复杂的国际数据访问场景。企业在面对第三国政府请求时，需严格按照欧盟法律进行审查和应对，尤其是在缺乏国际互助协议或欧盟主管部门批准的情况下，企业有权拒绝不符合法律程序的第三国政府数据转移请求。其中包括[43]：

• 企业必须采取技术、组织和法律措施，防止与欧盟或其成员国法律相冲突的第三国政府访问或转移欧盟内的非个人数据。

• 只有在第三国与欧盟或其成员国存在有效国际协议时，第三国政府的数据访问或转移请求才可被认可和执行。没有国际协议时，只有在第三国的请求理由充分、可申诉并受法院审查，且能保护欧盟法律下的数据权益时，才能考虑数据转移。

• 在满足上述条件时，只能按请求的合理解释，提供最少量的数据，并在响应第三国请求前应通知客户，除非涉及执法且需保密。

6. 互操作性

作为“欧洲数据战略”构想的一部分，欧洲共同数据空间（data spaces）旨在通过建立一个安全、可靠且易于访问的框架，促进欧洲数据市场的一体化[44]。数据空间战略本质是用“互操作性”（interoperability）打破信息孤岛，实现跨行业、跨领域的数据流通和协作。欧盟目前正在农业、金融、能源等14个行业/领域开发其通用数据空间[45]。

《数据法案》要求数据空间的参与者必须满足允许数据在数据空间内部和之间流动的标准，欧盟数据库（repository）将列出云互操作性的相关标准和规范[46]。《数据法案》规定的数据处理服务互操作性主要包括以下方面[47]：

• 云端互操作性方面，包括传输互操作性、句法互操作性、语义数据互操作性、行为互操作性和策略互操作性；

• 云端数据可移植性方面，包括数据句法可移植性、数据语义可移植性和数据策略可移植性；

• 云端应用方面，包括应用程序句法可移植性、应用程序指令可移植性、应用程序元数据可移植性、应用程序行为可移植性和应用程序策略可移植性。

标准化和互操作性对于实现不同来源数据在“欧洲共同数据空间”内外的流通和应用至关重要。这不仅有助于推动科研，还能促进新产品和服务的开发。为此，《数据法案》规定了数据空间参与方通过提升数据处理服务之间的互操作性，使用户能够更方便地切换服务提供商：

• 企业在数据空间中提供数据或服务时，必须用统一、公开且机器可读的方式描述数据内容、使用限制、许可、数据结构和格式等关键信息，并公开技术接口（如API）和服务标准，以便其他企业能自动化地访问和使用数据。

• 智能合约等自动化协议工具具备安全性、可终止性和合规性，企业需对智能合约进行合规评估并出具声明。

云服务等数据处理平台，必须支持数据和应用的迁移与并行使用，禁止设置不合理的技术壁垒或高额费用。

欧盟委员会目前也已发布标准合同条款（Standard Contractual Clauses），旨在作为最佳实践指南，通过模块化条款，协助各方主体使用合同来履行《数据法案》赋予的权利和义务。

7. 域外效力

与GDPR类似，《数据法案》具有域外效力。除了欧盟本地企业和用户外，还涵盖了全球范围内与欧盟市场相关的多种主体。具体而言[48]：

• 产品制造商和服务提供者：无论制造商或服务提供商是否在欧盟设立，只要其互联产品或相关服务在欧盟市场销售或提供，都要遵守《数据法案》。这意味着全球企业，只要进入欧盟市场，就必须履行相关义务。

• 数据持有者和数据接收者：任何向欧盟数据接收者提供数据的数据持有者，无论其注册地，只要数据流向欧盟用户，都应当遵守《数据法案》。同时，所有在欧盟境内接收数据的个人或企业也受数据法案约束。

• 数据处理服务商：所有为欧盟客户提供数据处理服务的企业，无论其注册地，都需遵守《数据法案》。这对全球云服务商、数据存储公司等具有直接影响。

另外，类似于GDPR的法律代表制度，如果一个企业在欧盟外设立，但因域外效力而受到《数据法案》管辖，则该企业必须指定一位位于欧盟成员国的法律代表[49]。该法律代表并不对企业本身的违规行为承担全部责任，而是负责配合欧盟主管部门，协助企业遵守数据法的相关规定，向主管部门说明企业为合规所采取的措施，并便于主管部门直接联系该法律代表处理与《数据法案》相关的事务。

8. 处罚

《数据法案》将处罚权下方至欧盟各成员国[50]，并要求定期公开各国的规则和措施。部分欧盟成员国，如荷兰，已通过《荷兰<数据法案>实施法》（Uitvoeringswet dataverordening），以国内法形式指定了相关的国内政府部门为《数据法案》要求的国内监管机构。监管机构被授权可以根据GDPR以及欧洲数据创新委员会（European Data Innovation Board，EDIB）等法规设定处罚，并考虑以下因素：

• 违规行为的性质、严重程度、规模和持续时间；

• 违规方是否采取了补救或减轻损害的措施；

• 违规方是否有前科；

• 违规方因违规获得的经济利益或避免的损失（如果能可靠计算）；

• 其他加重或减轻处罚的因素；

• 违规方上一年度在欧盟的年营业额。

另外，根据《数据法案》，欧盟成员国应制定适用于违反本条例行为的处罚规则，并应采取一切必要措施确保其得到实施，规定的处罚应有效、适度且具有劝诫作用。

中国目前是全球领先的制造业经济体，大量出海欧洲的中国企业亦呈现产业覆盖广，分布国家多的特点。中国也是物联网产品的生产和出口大国，大量数字产品出口欧洲[51]。常见的出海欧盟的产业，如智能网联汽车、人工智能、数字技术、医药健康、智能设备、云计算等，其在欧盟当地运行所产生的数据，均可能受到《数据法案》的管辖。《数据法案》建立的强制性数据共享义务以及为赋予用户对其使用互联产品或相关服务而生成的数据拥有更大的控制权而创建的监管机制，为相关企业特别是互联产品的制造商、相关服务的提供方、数据持有者等带来了较大的合规挑战。考虑到《数据法案》已开始实施，我们建议尚未采取相应合规应对措施的出海欧洲的中国企业尽快开展如下工作：

1. 界定产品或服务属性和身份角色

如前所述，《数据法案》适用于互联产品或相关服务。相关企业应首先判断自身的出海产品或提供的服务是否属于互联产品或相关服务。如前所述，物联网、智能网联汽车、智能家用产品、智能健康设备、云服务、边缘计算等产品及相关的服务（如对应的App）都属于前述受规制的产品和服务范围。

另外，互联产品的制造商、相关服务的提供方、数据持有者等在《数据法案》下都负有相应的合规义务。比如，《数据法案》规定，相关互联产品或相关服务的卖方、租赁人、出租人或潜在提供者（视具体情况而定）在与用户订立合同前有义务向用户提供其关联产品或相关服务所生成数据的信息，即为“透明度义务”[52]。作为透明度义务的一部分，必须告知用户如何访问生成的数据。

因此，相关出海企业需要识别和厘清其在产品或服务制造、出售或提供等环节的身份角色，是制造商、销售方、数据持有者，还是用户或数据接收方。一个实体有可能同时扮演多个身份角色，如既是产品制造商，又是服务提供商，还是数据持有者，亦或同时也是用户。

当然，出海企业同时可判断自身企业是否落入中小微企业的范围内，是否能豁免《数据法案》中的相关义务。

2. 数据盘点和隔离

• 梳理所拥有和处理的各类出海产品或服务的数据资源和种类，在做好数据分类的同时，着重留意数据的地域属性并做出明确区分，如区分产品数据或服务数据，原始数据和预处理数据，附带的必要的元数据，深度加工的推断或派生数据等。

• 进行业务活动盘点，明确各类业务所包含的数据处理活动，包括相应的数据处理主体以及内部流转、使用的全过程。

• 针对不同类型、不同合规要求的数据（如区分欧盟数据与中国数据、个人数据与非个人数据等），采取物理或逻辑隔离措施，将不同法域产生的数据隔离在该法域，避免法律冲突、数据误用等风险。

3. 合规义务履行清单

在按照前述步骤对出海企业自身的产品或服务属性及身份角色，以及数据盘点和梳理后，在明确受《数据法案》规制的前提下，出海企业需进一步梳理自身的合规义务履行清单，包括但不限于：

• 产品或服务的设计和/或制造能否满足诸如结构化、常用和机器可读格式等向用户提供的方式；

• 是否将正常的产品或服务数据与商业秘密进行了有效区分和隔离并建立了相关的内部保护机制；

• 如果构成数据持有者，是否已采取适当的技术保护措施，包括智能合约和加密以防止未经授权访问相关数据包括元数据，以及制备共享数据的相关协议；

• 是否存在向其他实体单方施加不公平的合同条款；

• 如果属于源数据处理服务方（如云服务或边缘计算服务方），是否已从技术、合同及内部制度等方面为用户可能要求的交换（switching）做好准备，包括在自身网站上提供要求的信息。