高端视野|吴沈括 蔡佩原：欧盟《数据法案》（草案）的非个人数据跨境制度

2022年2月23日，欧盟委员会正式公布了《数据法案》（Data Act）草案，《数据法案》作为欧盟数据战略中继《数据治理法》后的第二项重大立法举措，是实现欧盟单一数据市场的关键立法。欧盟委员会此次公布的法案以大量篇幅针对企业对企业（B2B）、企业对政府（B2G）明确多项数据流通共享举措，进行详细的实现路径设计。同时，值得注意的是欧盟此次公布的《数据法案》（草案）针对数据跨境领域，以第七章专章规定了国际背景下非个人数据保护问题（International Contexts non-personal data safeguards），在前几章对数据共享进行路径设计的基础上，对非个人数据的国际访问和传输（International access and transfer）进行规制。

怎样才能既对数据进行保护，又能够使数据流通共享释放价值，是全球各地设计数据相关立法的基本立场，欧盟的《数据法案》（草案）亦是如此。此前，欧盟出台《通用数据保护条例》（GDPR），其中专章规定个人数据跨境流动的合规路径，并通过Schrems I和Schrems II案分别否决了“安全港协议”和“隐私盾协议”，可以说欧盟在个人数据跨境规制方面成果卓著。但同时，针对个人数据的另一面，即非个人数据跨境的规制方面并无统一规定，这为欧盟数据保护留下了安全隐患。

欧盟委员会在公布草案之前，于2021年6月3日面向所有类型的利益相关方发布了关于《数据法案》的线上公开咨询，其中包括对国际背景下非个人数据保护的进行意见收集。根据欧盟委员会在其网站上公布的总结报告，此次总共从32个国家收到了449份建议，其中商业实体最多，包括商业协会122个、公司/商业组织105个、公共机构100个、公众个人58名，报告显示：76%的受访者认为外国当局可能根据外国立法访问数据对其组织构成风险，19%的受访者表示这是一项重大风险。

事实上，受访者对非欧盟国家通过本土立法访问欧盟数据的风险是合理且必要的，原因在于：非欧盟国家可以通过旨在使政府访问位于其境外(包括欧盟境内)的非个人数据，并进行跨境传输的法律、法规和其他法案。如此，可能会出现这样的情况：根据第三国法律提出的转移或提供非个人数据的请求与欧盟法律规定的保护此类数据的义务相冲突，尤其是在保护个人的基本权利，维护欧盟成员国在国家安全或国防方面的基本利益，以及保护商业敏感数据等方面。譬如，美国通过2018年颁布的《澄清境外数据合法使用法案》（CLOUD），对境外数据确立“长臂管辖权”，不仅使得欧盟在全球科技和产业竞争中陷于不利地位，同时也对欧盟的数据安全甚至国家安全造成威胁。

因此，《数据法案》（草案）首先通过主体内容明确了数据流通和共享的路径和举措，以期释放数据价值，推进数字发展战略，同时欧盟也注意到在涉及数据的跨境流动方面开展数据保护的重要性，通过第7章对非个人数据跨境流动进行了规制。

此次欧盟公布的《数据法案》（草案）主要通过第七章（亦即第二十七条）——国际背景下非个人数据保护，对非个人数据国际访问和传输领域进行规制，具体机制设计主要如下：

（一）数据处理服务提供者（Providers of data processing services）应采取一切合理的技术、法律和组织措施，包括合同安排，确保非个人数据传输到国外后不违反欧盟法律及相关成员国立法中的规定。

（二）若数据处理服务提供者收到，第三国法院、法庭的任何决定、判决以及第三国行政当局的任何决定，要求数据处理服务提供者转移或允许访问在欧盟储存的非个人数据（将在欧盟存储的非个人数据传输到境外），只有在基于提出请求的第三国与欧盟之间生效的国际协议，如司法互助条约，或请求的第三国与欧盟成员国之间的任何此类协议，才能够得到承认或强制执行。

（三）在没有上述国际协议的情况下，如果数据处理服务提供者收到第三国法院、法庭决定或行政当局决定，请求转移或允许访问欧盟境内的非个人数据，而遵守这种决定有可能使数据处理服务提供者，与欧盟法律或相关成员国的法律相冲突，则只有在以下三种情况中可以向第三国当局转移或允许其访问非个人数据:（1）第三国制度要求说明决定或判决的理由和相称性，并要求这种决定或判决(视情况而定)具有具体性质，例如确定与某些嫌疑人或违法行为的充分联系；（2）收到请求的数据处理服务提供者的合理反对须经第三国的主管法院或法庭审查；（3）发布决定、判决、审查的第三国当局、主管法院、法庭根据该国法律对于受欧盟法律或相关成员国法律保护的数据提供者（the provider of the data）的相关合法利益，进行了适当考虑。

同时，收到请求的数据处理服务提供者可以根据《数据法案》询问相关主管机构或当局的意见，以确定是否符合以上条件，特别是当认为该决定可能涉及商业敏感数据，或可能侵犯欧盟或相关成员国的国家安全、国防利益时。欧洲数据创新委员会应建议并协助欧盟委员会制定关于评估是否满足这些条件的指南。

（四）数据处理服务提供者应提供响应请求所允许的最低数量的数据。

（五）数据处理服务提供者应在依从第三国行政当局的要求之前，需要告知数据持有者存在查阅其数据的要求，除非该要求是为执法目的服务的，而且是为维护执法活动的有效性所必需的。

（一）填补欧盟数据跨境流动规制的制度版图空缺

目前，欧盟针对促进非个人数据在欧盟境内的自由流动的机制设计主要依靠自2019年5月28日起实施的《非个人数据自由流动条例》。其主要内容在于限制各成员国数据本地化以及提高法律确定性、确保成员国有权机关能够及时获取数据、对专业用户数据迁移条件进行优化。《非个人数据自由流动条例》与自2018年5月25日起实施的《通用数据保护条例》（GDPR）共同奠定了促进数据（个人数据和非个人数据）在欧盟境内自由流动的框架基础。不过《通用数据保护条例》除了旨在促进个人数据在欧盟境内自由流动外，也以第五章专章，即第44条至50条，确立了在欧盟将个人数据转移到第三国或国际组织的相关规定，对个人数据跨境流动进行了限制以保护个人数据。但《非个人数据自由流动条例》仅仅只对促进非个人数据在欧盟境内的流动进行了相关的制度设计，并未涉及非个人数据跨境流动的规制问题。此前欧盟各成员国主要依靠自身建立限制措施，欧盟范围内没有统一的制度规定，而本次《数据法》（草案）进行了更为完备的关于非个人数据跨境流动的制度设计，填补了欧盟数据跨境流动规制的制度版图空缺。

（二）限制非欧盟国家通过本土立法获取欧盟境内非个人数据

通过上述分析可以看出，《数据法案》（草案）第七章中关于非个人数据跨境流动的规制路径为第三国设置了较多障碍，预计能够有效地限制非欧盟国家通过本土立法获取欧盟境内非个人数据。

2018年3月，美国颁布的《澄清境外数据的合法使用法案》（Clarify Lawful Overseas Use of Data，CLOUD），将美国塑造成其在网络空间的“领土”，CLOUD法案配合“长臂管辖”，赋予了美国政府将触手伸到全球范围内任何和美国发生“最低联系”的厂商内部数据中去，只要与美国建立最小关联，美国以外的云服务商也要受到美国CLOUD法案的管辖。欧盟《数据法案》（草案）中关于非个人数据跨境流动的制度构造，正是对美国通过CLOUD法案实施数据霸权的一次有力反击。正如解释性备忘录中关于提案具体条款的详细说明部分所指出的那样：“第七章解决了第三方通过欧盟市场上提供的数据处理服务非法获取在欧盟持有的非个人数据的问题。该提案不影响对欧盟公民或企业持有的数据提出数据访问请求的法律依据，也不影响欧盟的数据保护和隐私框架。它提供了具体的保障措施，除非满足严格的条件，供应商必须采取所有合理的技术、法律和组织措施来防止这种访问与根据欧盟法律保护此类数据的竞争义务相冲突。”

总体而言，《数据法案》（草案）作为实现欧盟数字单一市场的关键立法，其构建的非个人数据跨境流动规制路径弥补了欧盟个人数据跨境流动制度以外的规则空白，旨在帮助欧盟更为有效地维护数据主权和数据安全，推进欧洲数据战略的进一步落地实施。

重磅|欧盟《数据法案》（Data Act）草案（中译本）

重磅|欧盟《数据法案》（Data Act）草案全文