作為歐盟數(shù)字監(jiān)管政策解讀綜合性讀物，本篇主要對(duì)當(dāng)前歐盟數(shù)據(jù)立法現(xiàn)狀及各領(lǐng)域主要立法進(jìn)行了梳理和簡要解讀，旨在協(xié)助中國出海企業(yè)把握歐盟數(shù)據(jù)監(jiān)管體系全局，并從中識(shí)別、確定自身在歐盟開展業(yè)務(wù)經(jīng)營可能面臨的監(jiān)管框架。

一、引言

隨著數(shù)字技術(shù)的高速發(fā)展和數(shù)據(jù)商業(yè)模式的持續(xù)迭代，數(shù)據(jù)要素已成為各類經(jīng)濟(jì)活動(dòng)中不可或缺的新型生產(chǎn)資料，亦已成為推動(dòng)世界各國經(jīng)濟(jì)發(fā)展的核心引擎。自2020年以來，歐盟高度重視“數(shù)字化轉(zhuǎn)型"，先后發(fā)布了《塑造歐洲的數(shù)字未來》（Shaping Europe's digital future）、《歐洲數(shù)據(jù)戰(zhàn)略》（European Data Strategy）以及《2030數(shù)字指南針：數(shù)字十年的歐洲之路》（2030 Digital Compass: the European way for the Digital Decade）等戰(zhàn)略文件，計(jì)劃建立歐洲公共數(shù)據(jù)空間和歐洲單一數(shù)據(jù)市場(chǎng)，以推動(dòng)歐洲數(shù)字產(chǎn)業(yè)的發(fā)展壯大。

在此背景下，歐盟數(shù)據(jù)立法在強(qiáng)調(diào)數(shù)據(jù)保護(hù)的同時(shí)，也高度關(guān)注數(shù)據(jù)流通利用、數(shù)字市場(chǎng)競(jìng)爭(zhēng)秩序等問題，并陸續(xù)出臺(tái)了多部針對(duì)性立法，為出海企業(yè)在歐盟境內(nèi)開展經(jīng)營活動(dòng)帶來了巨大的合規(guī)挑戰(zhàn)。鑒于此，為幫助相關(guān)企業(yè)了解赴歐盟開展業(yè)務(wù)的數(shù)據(jù)合規(guī)要求，我們特別撰寫了歐盟數(shù)據(jù)立法觀察，旨在為讀者提供歐盟數(shù)據(jù)監(jiān)管體系的全景概覽，便于企業(yè)了解自身在歐盟面臨的監(jiān)管框架和部署合規(guī)方案。

二、歐盟數(shù)據(jù)立法進(jìn)程與現(xiàn)狀梳理

（一）歷史回顧：歐盟數(shù)據(jù)立法的四個(gè)階段

縱觀歐盟的數(shù)據(jù)立法進(jìn)程，歐盟的數(shù)據(jù)立法可大致劃分為四個(gè)階段，如下表所示：

（二）現(xiàn)狀梳理：歐盟當(dāng)前數(shù)據(jù)立法體系

基于數(shù)據(jù)監(jiān)管的領(lǐng)域細(xì)分，我們對(duì)歐盟當(dāng)前的數(shù)據(jù)立法體系進(jìn)行了簡要總結(jié)，具體如下表所示：

隨著數(shù)據(jù)立法的體系化、精細(xì)化程度不斷加深，歐盟當(dāng)前已形成了一個(gè)單行立法多、覆蓋領(lǐng)域廣且仍在持續(xù)更新的復(fù)雜數(shù)據(jù)監(jiān)管體系。基于此，企業(yè)在歐盟境內(nèi)開展經(jīng)營活動(dòng)的過程中，往往面臨著復(fù)雜的合規(guī)挑戰(zhàn)：一方面，歐盟針對(duì)不同細(xì)分領(lǐng)域進(jìn)行專門立法，企業(yè)需首先識(shí)別自身受監(jiān)管領(lǐng)域，才能確定自身合規(guī)開展經(jīng)營活動(dòng)需遵循的相關(guān)法規(guī)；另一方面，歐盟在各細(xì)分領(lǐng)域設(shè)置多部專門立法以規(guī)定不同事項(xiàng)，企業(yè)需結(jié)合具體事項(xiàng)援用不同法規(guī)識(shí)別、確定自身合規(guī)義務(wù)，存在一定難度。鑒于此，下文將對(duì)歐盟各領(lǐng)域數(shù)據(jù)立法進(jìn)行簡要介紹，旨在協(xié)助相關(guān)企業(yè)識(shí)別其赴歐盟開展業(yè)務(wù)所需關(guān)注的法律法規(guī)，并據(jù)以識(shí)別自身合規(guī)義務(wù)。

三、歐盟各細(xì)分領(lǐng)域的數(shù)據(jù)立法解析

1. 數(shù)據(jù)保護(hù)

在數(shù)據(jù)保護(hù)領(lǐng)域，當(dāng)前歐盟以《通用數(shù)據(jù)保護(hù)條例》為基礎(chǔ)，出臺(tái)了《歐盟機(jī)構(gòu)個(gè)人數(shù)據(jù)保護(hù)及自由流動(dòng)條例》，并正在制定《電子隱私保護(hù)條例》和《GDPR執(zhí)行協(xié)調(diào)規(guī)則》，不斷夯實(shí)數(shù)據(jù)保護(hù)基礎(chǔ)。其中，《通用數(shù)據(jù)保護(hù)條例》為歐盟境內(nèi)個(gè)人數(shù)據(jù)保護(hù)的一般規(guī)則；《歐盟機(jī)構(gòu)個(gè)人數(shù)據(jù)保護(hù)及自由流動(dòng)條例》和《電子隱私保護(hù)條例》分別針對(duì)政府機(jī)構(gòu)和電子通信領(lǐng)域的個(gè)人數(shù)據(jù)保護(hù)進(jìn)行了細(xì)化規(guī)定；《GDPR執(zhí)行協(xié)調(diào)規(guī)則》則是針對(duì)如何在跨歐盟成員國案件中適用GDPR的程序性立法。具體內(nèi)容如下：

（1）《通用數(shù)據(jù)保護(hù)條例》旨在規(guī)范歐盟境內(nèi)的個(gè)人數(shù)據(jù)收集、處理活動(dòng)，適用于任何收集、傳輸、保留或處理涉及歐盟個(gè)人的個(gè)人數(shù)據(jù)的組織。GDPR明確了個(gè)人數(shù)據(jù)的相關(guān)定義和處理原則，并規(guī)定了個(gè)人數(shù)據(jù)主體所享有的權(quán)利及數(shù)據(jù)處理者、數(shù)據(jù)控制者的義務(wù)，設(shè)立了歐洲數(shù)據(jù)保護(hù)委員會(huì)（EDPB），是當(dāng)前歐盟數(shù)據(jù)保護(hù)領(lǐng)域的頂層立法。

（2）《歐盟機(jī)構(gòu)個(gè)人數(shù)據(jù)保護(hù)及自由流動(dòng)條例》旨在規(guī)范歐盟政府機(jī)構(gòu)的個(gè)人數(shù)據(jù)處理行為，是對(duì)GDPR中未明確的政府機(jī)構(gòu)處理個(gè)人數(shù)據(jù)的補(bǔ)充規(guī)定。該條例沿用了GDPR所設(shè)置的合法性原則、最小必要原則等基本原則，明確了歐盟機(jī)構(gòu)在向非歐盟機(jī)構(gòu)傳輸個(gè)人數(shù)據(jù)需對(duì)數(shù)據(jù)接收方進(jìn)行合法性審核，特別強(qiáng)調(diào)了對(duì)于用戶訪問政府網(wǎng)站、APP等行為數(shù)據(jù)的保護(hù)，并規(guī)定了當(dāng)歐盟機(jī)構(gòu)存在違法處理個(gè)人數(shù)據(jù)行為時(shí)的法律責(zé)任和救濟(jì)措施。

（3）《電子隱私指令》針對(duì)的是與在歐盟公共通信網(wǎng)絡(luò)環(huán)境下提供公共電子通信服務(wù)相關(guān)的個(gè)人數(shù)據(jù)保護(hù)事宜?！峨娮与[私指令》要求數(shù)字營銷（包括電子郵件、短信和彩信以及傳真等）以事先獲得用戶同意（opt-in）為原則，以事后獲得用戶要求退出（opt-out）為例外，該條規(guī)定在歐盟的使用場(chǎng)景十分廣泛，且影響深遠(yuǎn)。2017年，歐盟委員會(huì)公布了《電子隱私條例》（ePrivacy Regulation）草案，進(jìn)一步強(qiáng)調(diào)網(wǎng)絡(luò)通信服務(wù)中的用戶隱私保護(hù)以及終端用戶對(duì)于自身電子通信相關(guān)數(shù)據(jù)的控制權(quán)。然而，該條例已經(jīng)過近十輪討論和修改，目前仍未形成最終文本。

（4）《GDPR執(zhí)行協(xié)調(diào)規(guī)則》是對(duì)跨歐盟成員國案件中適用GDPR的細(xì)化立法，明確了跨境案件中投訴人的權(quán)利、被調(diào)查方（包括控制者和處理者）的權(quán)利以及成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作機(jī)制。該法草案于2023年7月4日首次發(fā)布，目前仍處于立法討論階段。

2. 數(shù)據(jù)流動(dòng)

在數(shù)據(jù)流動(dòng)方面，歐盟近年立法高度活躍，已出臺(tái)了《數(shù)據(jù)治理法》《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》《開放數(shù)據(jù)指令》等多部法規(guī)，并正在制定《數(shù)據(jù)法》《歐盟健康數(shù)據(jù)空間》《短期租賃數(shù)據(jù)收集條例》《歐洲互操作性法案》，旨在通過立法不斷消除數(shù)據(jù)流通共享過程中的各種障礙，持續(xù)強(qiáng)化個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)共享流通機(jī)制，推進(jìn)歐洲單一數(shù)據(jù)市場(chǎng)戰(zhàn)略的落地實(shí)施。

值得關(guān)注的是，盡管《數(shù)據(jù)治理法》《數(shù)據(jù)法》《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》《開放數(shù)據(jù)指令》均旨在規(guī)范數(shù)據(jù)流動(dòng)利用、釋放數(shù)據(jù)價(jià)值，其在適用范圍和適用對(duì)象上有所不同，需予以厘清：

（1）《數(shù)據(jù)治理法》專注于非個(gè)人數(shù)據(jù)，旨在推動(dòng)公共數(shù)據(jù)的再利用和經(jīng)濟(jì)主體間的橫向數(shù)據(jù)共享。針對(duì)上述目標(biāo)，該法圍繞公共部門持有數(shù)據(jù)的再利用機(jī)制、數(shù)據(jù)中介服務(wù)的基本框架以及數(shù)據(jù)利他主義[1]，對(duì)數(shù)據(jù)流通利用進(jìn)行了宏觀層面的框架建構(gòu)。

（2）《數(shù)據(jù)法》的全稱為《關(guān)于公平獲取和使用數(shù)據(jù)的統(tǒng)一規(guī)則》，適用于基于聯(lián)網(wǎng)產(chǎn)品或服務(wù)產(chǎn)生的個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)。與《數(shù)據(jù)治理法》關(guān)注公共利益并聚焦于數(shù)據(jù)利用制度框架的建構(gòu)不同，該法聚焦私營部門，主要明確了誰有權(quán)去利用這些數(shù)據(jù)、如何利用數(shù)據(jù)以及私營經(jīng)濟(jì)的數(shù)據(jù)在何種情況下能被公共部門利用等問題。2023年底，《數(shù)據(jù)法》正式生效。

（3）《開放數(shù)據(jù)指令》的全稱為《關(guān)于開放數(shù)據(jù)和公共部門信息再利用的指令》，適用于公共部門和接受接收政府資助的科研項(xiàng)目數(shù)據(jù)。依據(jù)該指令，歐盟通過統(tǒng)一平臺(tái)開放上述數(shù)據(jù)，并通過開放API接口方式實(shí)時(shí)共享數(shù)據(jù)。此外，該指令還明確了公共數(shù)據(jù)開放利用的執(zhí)行機(jī)構(gòu)（歐盟委員會(huì)）和開放數(shù)據(jù)收費(fèi)規(guī)則，并提出了開放數(shù)據(jù)格式及接口要求，并建立了公共數(shù)據(jù)專有權(quán)授予機(jī)制，通過多種手段推動(dòng)公共數(shù)據(jù)的開發(fā)利用。

（4）《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》僅適用于非個(gè)人數(shù)據(jù)，旨在促進(jìn)非個(gè)人數(shù)據(jù)在歐盟境內(nèi)的自由流動(dòng)，明確要求歐盟成員國廢除數(shù)據(jù)本地化存儲(chǔ)要求并建立成員國政府機(jī)構(gòu)間的數(shù)據(jù)交換合作機(jī)制，保障非個(gè)人數(shù)據(jù)在各成員國之間的跨境自由流動(dòng)。此外，該法還針對(duì)用戶切換服務(wù)商的數(shù)據(jù)遷移進(jìn)行了規(guī)定，明確服務(wù)提供商應(yīng)當(dāng)消除技術(shù)障礙，確保用戶在不同服務(wù)間的有效切換和數(shù)據(jù)遷移。

3. 網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)安全領(lǐng)域，歐盟當(dāng)前已出臺(tái)《網(wǎng)絡(luò)安全法》及《關(guān)于在歐盟全境實(shí)現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》（NIS 2指令），并正在制定《網(wǎng)絡(luò)彈性法》《網(wǎng)絡(luò)團(tuán)結(jié)法》等法規(guī)。

（1）《網(wǎng)絡(luò)安全法》將歐盟網(wǎng)絡(luò)和信息安全局從負(fù)責(zé)網(wǎng)絡(luò)和信息安全的臨時(shí)機(jī)構(gòu)調(diào)整為永久性機(jī)構(gòu)，并以該機(jī)構(gòu)為基礎(chǔ)，為信息和通訊技術(shù)（ICT）產(chǎn)品創(chuàng)制了歐盟網(wǎng)絡(luò)安全認(rèn)證框架，旨在通過通用的網(wǎng)絡(luò)安全認(rèn)證框架，縮小各類產(chǎn)品、各網(wǎng)絡(luò)節(jié)點(diǎn)之間的安全差距，強(qiáng)化消費(fèi)者對(duì)相關(guān)認(rèn)證產(chǎn)品的信任。

（2）《關(guān)于在歐盟范圍實(shí)現(xiàn)高水平共同網(wǎng)絡(luò)安全措施的指令》（NIS 2指令）針對(duì)歐盟境內(nèi)特定行業(yè)領(lǐng)域中的特定企業(yè)實(shí)體提出了細(xì)化的網(wǎng)絡(luò)安全要求，旨在消除各歐盟成員國間針對(duì)企業(yè)網(wǎng)絡(luò)安全措施的立法差異和沖突。[2]依據(jù)NIS 2指令，企業(yè)按照所屬部門和規(guī)模大小被劃分為“基本實(shí)體"和“重要實(shí)體"，并對(duì)基本實(shí)體提出了更為嚴(yán)格的網(wǎng)絡(luò)安全要求。NIS 2指令明確了相關(guān)企業(yè)需采取的網(wǎng)絡(luò)安全措施，規(guī)定了公司管理機(jī)構(gòu)對(duì)于網(wǎng)絡(luò)安全措施部署不到位的法律責(zé)任，并對(duì)企業(yè)的重大網(wǎng)絡(luò)安全事件報(bào)告義務(wù)進(jìn)行了細(xì)化規(guī)定。該指令于2023年1月13日生效，歐盟成員國需在21個(gè)月內(nèi)將其轉(zhuǎn)化為國內(nèi)法。

（3）《網(wǎng)絡(luò)彈性法》適用于所有數(shù)字產(chǎn)品，包括軟件、聯(lián)網(wǎng)硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案，以及單獨(dú)投放市場(chǎng)的軟件或硬件組件，對(duì)數(shù)字產(chǎn)品從設(shè)計(jì)到投入市場(chǎng)到淘汰使用的全生命周期提出了網(wǎng)絡(luò)安全要求。依據(jù)該法，數(shù)字產(chǎn)品的制造商及其授權(quán)代理商、進(jìn)口商、分銷商等經(jīng)濟(jì)主體均受該法規(guī)制，并負(fù)有不同的網(wǎng)絡(luò)安全保護(hù)義務(wù)，如違反相關(guān)義務(wù)的，可能面臨最高1500萬歐元或上年度全球營業(yè)額5%的罰款（以較高者為準(zhǔn)）。2024年3月12日，歐盟議會(huì)表決通過該法。

（4）《網(wǎng)絡(luò)團(tuán)結(jié)法》旨在建立由歐盟各成員國和歐盟跨境安全運(yùn)營中心組成的歐洲網(wǎng)絡(luò)護(hù)盾（Cyber Shield），強(qiáng)調(diào)歐盟層面對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的協(xié)同應(yīng)對(duì)，以更好地監(jiān)測(cè)、準(zhǔn)備和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及相關(guān)事件。依據(jù)該法，歐盟將對(duì)各關(guān)鍵部門（如醫(yī)療保健、交通、能源）等部門進(jìn)行測(cè)試，檢測(cè)評(píng)估是否存在安全漏洞，并將建立歐盟網(wǎng)絡(luò)安全企業(yè)儲(chǔ)備池，為應(yīng)對(duì)網(wǎng)絡(luò)安全事件做好事前準(zhǔn)備。該法目前仍處于討論修改階段，且由于其所提出網(wǎng)絡(luò)安全事件應(yīng)對(duì)措施的協(xié)同化程度較高，在各成員國引發(fā)了較大爭(zhēng)議。

4. 平臺(tái)治理

在平臺(tái)治理層面，歐盟出臺(tái)了《數(shù)字市場(chǎng)法》《數(shù)字服務(wù)法》，對(duì)維護(hù)數(shù)字市場(chǎng)競(jìng)爭(zhēng)秩序和推動(dòng)數(shù)字服務(wù)合法合規(guī)開展分別提出了細(xì)化要求，為歐盟數(shù)字平臺(tái)市場(chǎng)創(chuàng)建了一套涵蓋內(nèi)容管理、維護(hù)競(jìng)爭(zhēng)秩序、落實(shí)平臺(tái)主體責(zé)任等內(nèi)容的統(tǒng)一規(guī)則。

（1）《數(shù)字市場(chǎng)法》旨在打擊數(shù)字市場(chǎng)中科技巨頭壟斷和不正當(dāng)競(jìng)爭(zhēng)問題，適用于被歐盟委員會(huì)指定的大型數(shù)字平臺(tái)，即“守門人"。在歐盟現(xiàn)有競(jìng)爭(zhēng)法規(guī)則之外，為“守門人"創(chuàng)制了一套前置式的行為規(guī)則，列出了守門人“應(yīng)當(dāng)"和“不得"實(shí)施的行為清單，以維護(hù)數(shù)字市場(chǎng)的競(jìng)爭(zhēng)公平和競(jìng)爭(zhēng)自由。2023年9月，歐盟委員會(huì)已公布了首批“守門人"及其核心平臺(tái)服務(wù)清單，如守門人違反該法規(guī)定，將最高面臨全球總營業(yè)額10%的罰款，屢次違規(guī)的罰款最高可達(dá)20%。

（2）《數(shù)字服務(wù)法》適用于在歐盟范圍內(nèi)提供數(shù)字服務(wù)的網(wǎng)絡(luò)媒介服務(wù)提供者，包括在線購物網(wǎng)站、社交網(wǎng)絡(luò)、在線搜索引擎等。該法采用了階梯式的監(jiān)管模式，對(duì)于“單純的管道"服務(wù)、“緩存"服務(wù)、“托管"服務(wù)設(shè)置了不同的監(jiān)管措施，并對(duì)達(dá)到特定規(guī)模的超大型在線平臺(tái)和超大型在線搜索引擎設(shè)置了特殊的合規(guī)義務(wù)，旨在確保用戶的在線安全，阻止有害內(nèi)容的傳播，保護(hù)用戶隱私和言論自由等基本權(quán)利。2023年5月，歐盟委員會(huì)指定了首批17個(gè)超大型在線平臺(tái)和2個(gè)超大型在線搜索引擎，相關(guān)企業(yè)如未能及時(shí)履行相應(yīng)合規(guī)義務(wù)，可能面臨最高全球營業(yè)額6%的罰款。

5. 人工智能

在人工智能領(lǐng)域，歐盟當(dāng)前正在制定《人工智能法》及《人工智能責(zé)任指令》，其中，《人工智能法》已進(jìn)入最后審議階段，《人工智能責(zé)任指令》目前仍僅公布了首版草案。

（1）《人工智能法》是全球首部針對(duì)人工智能的系統(tǒng)化專門立法，旨在通過制定歐盟層面的統(tǒng)一監(jiān)管規(guī)則，旨在規(guī)范人工智能技術(shù)在歐盟范圍內(nèi)的開發(fā)利用。該法適用范圍廣泛，覆蓋人工智能系統(tǒng)的提供者、部署者、分銷商、進(jìn)口商、授權(quán)代表，以及受到影響的個(gè)人，并建立了一套針對(duì)人工智能的分級(jí)監(jiān)管框架，將人工智能系統(tǒng)分為不可接受的風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)、有限風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)四個(gè)級(jí)別，又將通用式人工智能模型細(xì)分為具有系統(tǒng)風(fēng)險(xiǎn)的通用式人工智能模型和一般的通用式人工智能模型。針對(duì)不同級(jí)別的人工智能系統(tǒng)/模型量身定制了不同的監(jiān)管措施。2024年3月13日，歐盟議會(huì)表決通過《人工智能法》。

（2）《人工智能責(zé)任指令》系針對(duì)人工智能產(chǎn)生的非合同性民事責(zé)任的專門立法，旨在確保因人工智能系統(tǒng)受到損害的受害人在承擔(dān)較輕的舉證責(zé)任前提下，獲得等同于在沒有人工智能系統(tǒng)參與的情況下能夠取得的損害賠償水平。依據(jù)當(dāng)前版本的草案，“高風(fēng)險(xiǎn)人工智能系統(tǒng)"應(yīng)適用嚴(yán)格責(zé)任（無過錯(cuò)責(zé)任），但該法并未明確哪些系統(tǒng)“高風(fēng)險(xiǎn)人工智能系統(tǒng)"，未來人工智能系統(tǒng)具體采取何種責(zé)任制度，仍有待進(jìn)一步討論明確。

[注]?

[1] 數(shù)據(jù)利他主義：是指為公共普遍性利益，數(shù)據(jù)主體自愿無償共享其個(gè)人數(shù)據(jù)，或數(shù)據(jù)持有者自愿共享其非個(gè)人數(shù)據(jù)而不尋求或獲取超出數(shù)據(jù)收集成本的補(bǔ)償。

[2] 依據(jù)歐盟運(yùn)作條約，指令（directive）僅對(duì)指定的成員國具有約束力，被指定的成員國需在限期內(nèi)將指令轉(zhuǎn)化為國內(nèi)法，且所制定的國內(nèi)法不得劣于相關(guān)指令的規(guī)定。