欧盟数据法(EU Data Act)即将于2025年9月12日起开始实施。此法针对联网产品数据的数据控制和流转进行了规制,涵盖的数据范围不仅包括个人数据,还包括非个人数据,且具有域外适用效力,将对有向欧盟市场出口产品的物联网、工业设备、汽车、家电、云服务的中国企业(无论中资还是外资)带来深远影响。

在欧盟数据法中,两个定义最为重要,分别是数据持有者(data holder)和用户(user)。“数据持有者”指的是有权或负有义务使用和提供数据的自然人或法人。例如产品制造商或提供相关服务的提供者。[1]“用户”是指拥有联网产品的自然人或法人,或因合同而暂时取得该联网产品使用权的人,或接收相关服务的人。[2]

在上述定义中,数据持有者无需注册在欧盟境内,也就是说,只要是将产品投放至欧盟市场的联网产品制造商及相关服务提供商,均需遵守该法规定。[3]

以案说法

举例来说,假设一部国产电动汽车销往某欧盟成员国,该车辆的制造商(又称“OEM”;下称“制造商A”)一般是数据持有者,电动汽车的前装供应商,如座舱系统供应商(下称“供应商B”)和电池管理系统的供应商(下称“供应商C”)也从车机端直接采集设备的数据,但是,供应商B在车上安装了独立的SIM卡,直接采集设备数据;而供应商C并无直接采集能力,需要通过制造商交付数据,车主(下称“张三”)也可以通过该制造商运营的手机app看到车辆的运行数据,同时可能通过手机app连接API将数据提供给第三方,例如保险公司(下称“保险公司D”)。

在上述情形中,张三、和A、B、C、D四家公司都参与了数据的共享。欧盟数据法旨在处理这种复杂的共享关系,实现“用者有其数”,即作为用户的张三,而非作为数据持有者的制造商A,必须在联网产品的数据共享关系中占主导地位,对联网产品采集的用户数据拥有所有权。其目的是打破数据垄断,分散数据权利,利用“欧盟数据主权”催生欧盟数据市场。其手段是赋予用户强大的数据获取权利,任何数据持有者都要为张三行权提供便利,如果不配合行权,则可能面临诉讼或重罚。在欧盟数据法中,作为用户,张三可以向数据持有者主张将数据用于任何合法的目的,包括访问自己的数据,以及要求数据持有者向张三指定的第三方共享自己的数据。[4]

此外,“用户”的身份并不限于个人,制造商A也可以通过合同约定其为供应商B的用户,从而向供应商B主张行权。另外,数据持有者的身份也并不仅局限于制造商,例如制造商A可与供应商B约定,就供应商B取得的数据而言,供应商B是数据持有者,如果张三合理主张行权,应由供应商B对此负责,而制造商A无需对张三的请求进行回应。

从以上可以看出,欧盟数据法将为产品出口到欧盟的中国企业带来直接的合规成本,具体体现在:

与用户的关系 – 企业需要根据欧盟数据法更新用户界面和用户条款,为用户行权提供便利。此案中,制造商A就需要为张三建立行权机制,包括根据张三的请求,把数据传给保险公司D的机制。

与企业客户的关系 – 最终投放产品的终端企业客户可能把合规义务和成本向供应链上游转嫁,例如要求供应商承担数据持有者责任,对用户的行权进行回应,因此双方需要重新就采购合同条款进行协商。此案中,制造商A与供应商B和C之间有可能存在一场“谈判大战”。

企业内部的挑战 – 制造商企业需要在产品层面添加相关功能(例如方便用户直接访问其数据的入口),且在政策层面建立有关制度满足欧盟数据法的要求或与客户的合同要求。此案中,A、B、C、D四家公司都需要建立适应欧盟数据法的合规体系。

快速合规指南

首先,欧盟数据法是一部“身份决定契约”的法律。出海欧盟企业实现合规目的的前提,是先明确在一个数据共享关系中,哪个主体是数据持有者,以及数据持有者掌握数据的范围。

其次,欧盟数据法关注的是原始数据(raw data)和预处理数据(pre-processed),通过推断或衍生获得的数据或需额外投入(包括通过专有复杂算法)产生的数据(下称“派生数据”(derived data))不在该法案规制的数据范围中。[5]

再次,欧盟数据法也给予了数据持有者基于商业秘密拒绝用户行权的权利[6],但前提是满足严格的条件。[7]

最后,企业作为供应商,在与下游制造商客户进行谈判时,可以参考欧盟数据法标准合同作为基线。

其他常见问题解答

欧盟数据法是否只关注联网产品?

答:根据官方发布的欧盟数据法常见问题与回答(“FAQ”),该法规制的是联网产品和关联服务,但同时规制其背后的云服务和B2B的数据共享关系。需注意,产品平时不联网,但维保时候需要联网的,也被认为属于联网产品。[8]

是否必须重新设计产品?

:根据该法“数据获取即设计”(Access by design)的要求,联网产品及相关服务的设计和提供方式应确保用户能够在默认情况下便捷、安全且免费地获取产品数据和相关服务数据,需要以全面、结构化、常用且机器可读的格式提供,并在技术可行时实现直接访问。因此,如果现有产品尚无法满足这一要求,可能需要在设计层面做出相应调整。不过,欧盟数据法也认可通过间接方式(例如应用户请求后以邮件形式提供数据)来满足用户的访问权。因此,并非所有情况下都必须对产品进行完全重新设计。企业应根据自身产品特性、技术可行性以及业务与市场需求,综合评估是通过产品改造来支持直接访问,还是通过间接机制来履行义务。[9]

什么时候开始需要响应数据行权?

:做到上述“便捷、安全、免费”且“全面、结构化、常用、机器可读”的要求有一定的难度,因此欧盟数据法给予了一定的宽限期,即从2026年9月12日之后投放欧盟市场的联网产品或关联服务才需要满足此要求。[10]

对云服务提出的挑战?

:对于出海欧盟企业而言,其提供的服务可能是集成式、混合型的。以汽车领域为例,其服务范围可能既包括SaaS,又包括硬件,因此通常依赖于具有托管属性的云服务。根据欧盟数据法,云服务提供者必须确保用户能够在无需额外成本的情况下直接切换到其他云服务,且切换周期不得超过30个自然日。[11]在切换过程中还需要保证数据的完整传输和技术兼容性。因此,集成式、混合型产品的提供者需要额外注意不同模块的特殊要求。值得注意的是,关于“无需额外成本切换”的要求存在过渡期:在 2027年1月12日前,提供者仍可就切换向用户收取费用,但该费用应仅包含成本费用。[12]

如何判断谁是数据持有者?

:确定数据持有者身份的关键标准不在于硬件或软件的制造者身份,而在于谁对可获取数据具有控制权。这种控制既包括法律层面的权利(例如合同、使用条款所赋予的决定权),也包括实际层面的掌握(例如技术上能否直接访问或提供数据)。[13]

在文首的例子中,制造商A作为制造者和关联服务(如App)的提供者,拥有对数据访问和使用的控制权,属于数据持有者。供应商B如果能够直接访问其模块产生的数据,就该部分数据而言,可能被认定为数据持有者。供应商C因未直接获取数据,原则上不能被认定为数据持有者;但如果制造商A通过合同安排将部分数据访问义务转移或强制分担给C,则C在相关范围内可能被视为数据持有者。保险公司D在欧盟数据法项下本质上属于第三方数据接收者(data recipient);[14]但如果其通过用户张三的合法授权而获取并处理部分数据,就该部分数据而言,也可能被认定为数据持有者。

罚金有多重?

:欧盟数据法要求欧盟成员国自行制定罚金标准,并须在2025年9月12日前向欧盟委员会备案。这意味着具体罚金数额可能因成员国而异,但要求罚金必须保证“有效、相称且具有威慑力”。需要注意的是,若企业的违规行为同时触及GDPR与欧盟数据法,则可能同时面临GDPR项下的最高处罚(即全球营业额的4%或2000万欧元,以较高者为准)。[15]因此,在数据处理涉及个人数据时,企业需特别关注两部法规的竞合适用风险。

如何进行合规?

:与GDPR合规路径类似,企业在遵守欧盟数据法时可按以下步骤推进:

首先,开展数据映射工作(data mapping):从业务与产品维度梳理哪些产品和服务在欧盟市场投放,并明确这些产品和服务收集、生成或处理的数据范围。

其次进行数据分类与分级:将数据划分为原始数据、派生数据、商业秘密以及其他敏感数据类别,以便确定哪些数据属于必须共享的范围,哪些可主张保护例外。

然后进行角色识别:明确企业在数据流转中的定位,尤其是是否构成欧盟数据法下的数据持有者。若属于数据持有者,则需履行合规义务,为用户及数据接收者提供行权机制。

如涉及商业秘密、网络安全或不可行的技术限制,企业可在符合法律条件下援引例外条款,以避免过度披露。

在商业合同和合作协议中,需明确数据共享、访问及责任分配的条款,以避免因合同安排导致角色或义务不清晰而增加合规风险。

原始数据与派生数据如何区分?

:原始数据是指联网产品或相关服务在运行过程中直接产生、无需进一步加工即可读取的数据。派生数据通常是数据持有者通过投资、分析或算法处理,在原始数据基础上生成的结果或结论。根据欧盟数据法,用户的数据访问权主要限于原始数据和预处理数据。不过在实践中,为了使原始数据可被有效读取和理解(如时间、天气、位置等),某些“增益数据”(enrichment data),如元数据(metadata),也可能被纳入用户可访问/须向用户提供数据的范围。[16]

模块供应商如何在谈判中与制造商/OEM博弈?

:首先是对“身份”的较量。制造商/OEM为了降低自身合规义务,可能会推动供应商被认定为数据持有者,即便这与数据持有者必须同时具备“法律控制”和“实际控制”的原则相悖。供应商应当坚持该原则,避免在不合理范围内承担数据持有者的角色,以免增加额外的合规成本。

其次,应通过合同明确数据范围。例如在合同附件中区分原始数据、派生数据和商业秘密,并将派生数据与商业秘密排除在数据访问权的范围之外。同时,可要求制造商/OEM承诺双向的知识产权保护条款,以减少向外提供数据的风险。在涉及用户向第三方转移数据的场景,可要求第三方签署同等保护水平的承诺。

此外,欧盟已推出了适用于不同业务场景的标准合同条款(Model contractual terms and standard contractual clauses)。[17]虽然这些条款并不具有强制约束力,但供应商可以在谈判中援引其作为市场惯例,以平衡合同地位。

是否能够主张被请求的数据涉及商业秘密而不向用户提供?

:可以,但商业秘密并不是绝对豁免,数据持有者仅在满足合理原因和特定条件下,才可主张拒绝提供数据。这些条件包括:

1)数据接收方未签署保密协议或未采取合理保护措施;2)即使满足1),但提供数据会给数据持有者造成严重经济损害; 3)数据持有者若拒绝提供,必须向接收方出具书面通知并向主管机关报备;4)所有拒绝决定必须保存记录,以备监管审查。[18]

若关闭或限制欧盟地区用户的访问,欧洲监管部门是否会因欧盟用户使用VPN访问而获得管辖权?

:如前文所述,欧盟数据法适用于所有投放在欧盟市场的联网产品,此类情形不包括(i)消费者在第三国境内实际购买产品并将其带入欧盟供个人使用和(ii)产品在成员国制造时即以出口至第三国为目的。[19]OEM厂商在销售产品时仅在技术层面上关闭了联网功能可能是不充分的。企业还需要在法律层面(特别是用户条款中)明确规定该产品在欧盟上市时联网功能已被关闭,并禁止用户采取规避措施。这样才能在一定程度上降低被认定为违反的风险。

如果通过技术手段将数据分散存储在用户的设备,需要时通过网络接口访问和调用,是否存在合规风险?

:如果数据仅存储于设备本地,或仅传输到用户自有终端设备中,且制造商既无技术上也无法律上的访问权限,则制造商不被视为数据持有者。成为数据持有者的前提是对数据既有实际控制又有法律控制。[20]在本问题的场景下,制造商虽然在一定程度上缺乏对数据的实际控制,但若制造商设计了接口,使其能够远程访问、检索或调用这些数据,或在合同或服务条款中仍保留对数据的法律控制,则可能仍被认定为数据持有者,因而无法完全排除合规风险。

结语

考虑到欧盟数据法核心条款即将实施,合规难度复杂,我们强烈建议出海欧盟企业尽快开展数据映射工作,谋定而后动,积极应对欧盟数据法带来的重大监管变化。

*请注意:本文旨在为出海欧盟企业提供欧盟数据法的简要介绍,并不构成法律意见。

  1. Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data (Data Act), 2023 O.J. (L 2023/2854) 1 [hereinafter Data Act], art. 2(13).
  2. Data Act, art. 2(14).
  3. European Commission, Data Act Frequently Asked Questions, FAQ 8, 28.
  4. Data Act, art. 3-6.
  5. European Commission, Data Act Frequently Asked Questions, FAQ 5.
  6. European Commission, Data Act Frequently Asked Questions, FAQ 23.
  7. Data Act, art. 4(8); art. 5(11).
  8. European Commission, Data Act Frequently Asked Questions, FAQ 7.
  9. Data Act, art. 3; European Commission, Data Act Frequently Asked Questions, FAQ 17.
  10. Data Act, art. 50.
  11. Data Act, art. 23,25; European Commission, Data Act Frequently Asked Questions, FAQ 56.
  12. Data Act, art. 29.
  13. European Commission, Data Act Frequently Asked Questions, FAQ 21.
  14. Data Act, art. 2(14).
  15. Data Act, art. 40; European Commission, Data Act Frequently Asked Questions, FAQ 70.
  16. Data Act, Recital 15; European Commission, Data Act Frequently Asked Questions, FAQ 5.
  17. Data Act, art. 41.
  18. Data Act, art. 4(6), 4(8); art. 5(11).
  19. European Commission, Data Act Frequently Asked Questions, FAQ 8.
  20. Data Act, art. 2(6), European Commission, Data Act Frequently Asked Questions, FAQ 21.
作者
宓玉婕