作为欧盟数字监管政策解读综合性读物，本篇主要对当前欧盟数据立法现状及各领域主要立法进行了梳理和简要解读，旨在协助中国出海企业把握欧盟数据监管体系全局，并从中识别、确定自身在欧盟开展业务经营可能面临的监管框架。

一、引言

随着数字技术的高速发展和数据商业模式的持续迭代，数据要素已成为各类经济活动中不可或缺的新型生产资料，亦已成为推动世界各国经济发展的核心引擎。自2020年以来，欧盟高度重视“数字化转型"，先后发布了《塑造欧洲的数字未来》（Shaping Europe's digital future）、《欧洲数据战略》（European Data Strategy）以及《2030数字指南针：数字十年的欧洲之路》（2030 Digital Compass: the European way for the Digital Decade）等战略文件，计划建立欧洲公共数据空间和欧洲单一数据市场，以推动欧洲数字产业的发展壮大。

在此背景下，欧盟数据立法在强调数据保护的同时，也高度关注数据流通利用、数字市场竞争秩序等问题，并陆续出台了多部针对性立法，为出海企业在欧盟境内开展经营活动带来了巨大的合规挑战。鉴于此，为帮助相关企业了解赴欧盟开展业务的数据合规要求，我们特别撰写了欧盟数据立法观察，旨在为读者提供欧盟数据监管体系的全景概览，便于企业了解自身在欧盟面临的监管框架和部署合规方案。

二、欧盟数据立法进程与现状梳理

（一）历史回顾：欧盟数据立法的四个阶段

纵观欧盟的数据立法进程，欧盟的数据立法可大致划分为四个阶段，如下表所示：

（二）现状梳理：欧盟当前数据立法体系

基于数据监管的领域细分，我们对欧盟当前的数据立法体系进行了简要总结，具体如下表所示：

随着数据立法的体系化、精细化程度不断加深，欧盟当前已形成了一个单行立法多、覆盖领域广且仍在持续更新的复杂数据监管体系。基于此，企业在欧盟境内开展经营活动的过程中，往往面临着复杂的合规挑战：一方面，欧盟针对不同细分领域进行专门立法，企业需首先识别自身受监管领域，才能确定自身合规开展经营活动需遵循的相关法规；另一方面，欧盟在各细分领域设置多部专门立法以规定不同事项，企业需结合具体事项援用不同法规识别、确定自身合规义务，存在一定难度。鉴于此，下文将对欧盟各领域数据立法进行简要介绍，旨在协助相关企业识别其赴欧盟开展业务所需关注的法律法规，并据以识别自身合规义务。

三、欧盟各细分领域的数据立法解析

1. 数据保护

在数据保护领域，当前欧盟以《通用数据保护条例》为基础，出台了《欧盟机构个人数据保护及自由流动条例》，并正在制定《电子隐私保护条例》和《GDPR执行协调规则》，不断夯实数据保护基础。其中，《通用数据保护条例》为欧盟境内个人数据保护的一般规则；《欧盟机构个人数据保护及自由流动条例》和《电子隐私保护条例》分别针对政府机构和电子通信领域的个人数据保护进行了细化规定；《GDPR执行协调规则》则是针对如何在跨欧盟成员国案件中适用GDPR的程序性立法。具体内容如下：

（1）《通用数据保护条例》旨在规范欧盟境内的个人数据收集、处理活动，适用于任何收集、传输、保留或处理涉及欧盟个人的个人数据的组织。GDPR明确了个人数据的相关定义和处理原则，并规定了个人数据主体所享有的权利及数据处理者、数据控制者的义务，设立了欧洲数据保护委员会（EDPB），是当前欧盟数据保护领域的顶层立法。

（2）《欧盟机构个人数据保护及自由流动条例》旨在规范欧盟政府机构的个人数据处理行为，是对GDPR中未明确的政府机构处理个人数据的补充规定。该条例沿用了GDPR所设置的合法性原则、最小必要原则等基本原则，明确了欧盟机构在向非欧盟机构传输个人数据需对数据接收方进行合法性审核，特别强调了对于用户访问政府网站、APP等行为数据的保护，并规定了当欧盟机构存在违法处理个人数据行为时的法律责任和救济措施。

（3）《电子隐私指令》针对的是与在欧盟公共通信网络环境下提供公共电子通信服务相关的个人数据保护事宜。《电子隐私指令》要求数字营销（包括电子邮件、短信和彩信以及传真等）以事先获得用户同意（opt-in）为原则，以事后获得用户要求退出（opt-out）为例外，该条规定在欧盟的使用场景十分广泛，且影响深远。2017年，欧盟委员会公布了《电子隐私条例》（ePrivacy Regulation）草案，进一步强调网络通信服务中的用户隐私保护以及终端用户对于自身电子通信相关数据的控制权。然而，该条例已经过近十轮讨论和修改，目前仍未形成最终文本。

（4）《GDPR执行协调规则》是对跨欧盟成员国案件中适用GDPR的细化立法，明确了跨境案件中投诉人的权利、被调查方（包括控制者和处理者）的权利以及成员国数据保护机构的合作机制。该法草案于2023年7月4日首次发布，目前仍处于立法讨论阶段。

2. 数据流动

在数据流动方面，欧盟近年立法高度活跃，已出台了《数据治理法》《非个人数据自由流动条例》《开放数据指令》等多部法规，并正在制定《数据法》《欧盟健康数据空间》《短期租赁数据收集条例》《欧洲互操作性法案》，旨在通过立法不断消除数据流通共享过程中的各种障碍，持续强化个人数据和非个人数据共享流通机制，推进欧洲单一数据市场战略的落地实施。

值得关注的是，尽管《数据治理法》《数据法》《非个人数据自由流动条例》《开放数据指令》均旨在规范数据流动利用、释放数据价值，其在适用范围和适用对象上有所不同，需予以厘清：

（1）《数据治理法》专注于非个人数据，旨在推动公共数据的再利用和经济主体间的横向数据共享。针对上述目标，该法围绕公共部门持有数据的再利用机制、数据中介服务的基本框架以及数据利他主义[1]，对数据流通利用进行了宏观层面的框架建构。

（2）《数据法》的全称为《关于公平获取和使用数据的统一规则》，适用于基于联网产品或服务产生的个人数据和非个人数据。与《数据治理法》关注公共利益并聚焦于数据利用制度框架的建构不同，该法聚焦私营部门，主要明确了谁有权去利用这些数据、如何利用数据以及私营经济的数据在何种情况下能被公共部门利用等问题。2023年底，《数据法》正式生效。

（3）《开放数据指令》的全称为《关于开放数据和公共部门信息再利用的指令》，适用于公共部门和接受接收政府资助的科研项目数据。依据该指令，欧盟通过统一平台开放上述数据，并通过开放API接口方式实时共享数据。此外，该指令还明确了公共数据开放利用的执行机构（欧盟委员会）和开放数据收费规则，并提出了开放数据格式及接口要求，并建立了公共数据专有权授予机制，通过多种手段推动公共数据的开发利用。

（4）《非个人数据自由流动条例》仅适用于非个人数据，旨在促进非个人数据在欧盟境内的自由流动，明确要求欧盟成员国废除数据本地化存储要求并建立成员国政府机构间的数据交换合作机制，保障非个人数据在各成员国之间的跨境自由流动。此外，该法还针对用户切换服务商的数据迁移进行了规定，明确服务提供商应当消除技术障碍，确保用户在不同服务间的有效切换和数据迁移。

3. 网络安全

在网络安全领域，欧盟当前已出台《网络安全法》及《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS 2指令），并正在制定《网络弹性法》《网络团结法》等法规。

（1）《网络安全法》将欧盟网络和信息安全局从负责网络和信息安全的临时机构调整为永久性机构，并以该机构为基础，为信息和通讯技术（ICT）产品创制了欧盟网络安全认证框架，旨在通过通用的网络安全认证框架，缩小各类产品、各网络节点之间的安全差距，强化消费者对相关认证产品的信任。

（2）《关于在欧盟范围实现高水平共同网络安全措施的指令》（NIS 2指令）针对欧盟境内特定行业领域中的特定企业实体提出了细化的网络安全要求，旨在消除各欧盟成员国间针对企业网络安全措施的立法差异和冲突。[2]依据NIS 2指令，企业按照所属部门和规模大小被划分为“基本实体"和“重要实体"，并对基本实体提出了更为严格的网络安全要求。NIS 2指令明确了相关企业需采取的网络安全措施，规定了公司管理机构对于网络安全措施部署不到位的法律责任，并对企业的重大网络安全事件报告义务进行了细化规定。该指令于2023年1月13日生效，欧盟成员国需在21个月内将其转化为国内法。

（3）《网络弹性法》适用于所有数字产品，包括软件、联网硬件产品及其远程数据处理解决方案，以及单独投放市场的软件或硬件组件，对数字产品从设计到投入市场到淘汰使用的全生命周期提出了网络安全要求。依据该法，数字产品的制造商及其授权代理商、进口商、分销商等经济主体均受该法规制，并负有不同的网络安全保护义务，如违反相关义务的，可能面临最高1500万欧元或上年度全球营业额5%的罚款（以较高者为准）。2024年3月12日，欧盟议会表决通过该法。

（4）《网络团结法》旨在建立由欧盟各成员国和欧盟跨境安全运营中心组成的欧洲网络护盾（Cyber Shield），强调欧盟层面对于网络安全风险的协同应对，以更好地监测、准备和应对网络安全风险及相关事件。依据该法，欧盟将对各关键部门（如医疗保健、交通、能源）等部门进行测试，检测评估是否存在安全漏洞，并将建立欧盟网络安全企业储备池，为应对网络安全事件做好事前准备。该法目前仍处于讨论修改阶段，且由于其所提出网络安全事件应对措施的协同化程度较高，在各成员国引发了较大争议。

4. 平台治理

在平台治理层面，欧盟出台了《数字市场法》《数字服务法》，对维护数字市场竞争秩序和推动数字服务合法合规开展分别提出了细化要求，为欧盟数字平台市场创建了一套涵盖内容管理、维护竞争秩序、落实平台主体责任等内容的统一规则。

（1）《数字市场法》旨在打击数字市场中科技巨头垄断和不正当竞争问题，适用于被欧盟委员会指定的大型数字平台，即“守门人"。在欧盟现有竞争法规则之外，为“守门人"创制了一套前置式的行为规则，列出了守门人“应当"和“不得"实施的行为清单，以维护数字市场的竞争公平和竞争自由。2023年9月，欧盟委员会已公布了首批“守门人"及其核心平台服务清单，如守门人违反该法规定，将最高面临全球总营业额10%的罚款，屡次违规的罚款最高可达20%。

（2）《数字服务法》适用于在欧盟范围内提供数字服务的网络媒介服务提供者，包括在线购物网站、社交网络、在线搜索引擎等。该法采用了阶梯式的监管模式，对于“单纯的管道"服务、“缓存"服务、“托管"服务设置了不同的监管措施，并对达到特定规模的超大型在线平台和超大型在线搜索引擎设置了特殊的合规义务，旨在确保用户的在线安全，阻止有害内容的传播，保护用户隐私和言论自由等基本权利。2023年5月，欧盟委员会指定了首批17个超大型在线平台和2个超大型在线搜索引擎，相关企业如未能及时履行相应合规义务，可能面临最高全球营业额6%的罚款。

5. 人工智能

在人工智能领域，欧盟当前正在制定《人工智能法》及《人工智能责任指令》，其中，《人工智能法》已进入最后审议阶段，《人工智能责任指令》目前仍仅公布了首版草案。

（1）《人工智能法》是全球首部针对人工智能的系统化专门立法，旨在通过制定欧盟层面的统一监管规则，旨在规范人工智能技术在欧盟范围内的开发利用。该法适用范围广泛，覆盖人工智能系统的提供者、部署者、分销商、进口商、授权代表，以及受到影响的个人，并建立了一套针对人工智能的分级监管框架，将人工智能系统分为不可接受的风险、高风险、有限风险和低风险四个级别，又将通用式人工智能模型细分为具有系统风险的通用式人工智能模型和一般的通用式人工智能模型。针对不同级别的人工智能系统/模型量身定制了不同的监管措施。2024年3月13日，欧盟议会表决通过《人工智能法》。

（2）《人工智能责任指令》系针对人工智能产生的非合同性民事责任的专门立法，旨在确保因人工智能系统受到损害的受害人在承担较轻的举证责任前提下，获得等同于在没有人工智能系统参与的情况下能够取得的损害赔偿水平。依据当前版本的草案，“高风险人工智能系统"应适用严格责任（无过错责任），但该法并未明确哪些系统“高风险人工智能系统"，未来人工智能系统具体采取何种责任制度，仍有待进一步讨论明确。

[注] 

[1] 数据利他主义：是指为公共普遍性利益，数据主体自愿无偿共享其个人数据，或数据持有者自愿共享其非个人数据而不寻求或获取超出数据收集成本的补偿。

[2] 依据欧盟运作条约，指令（directive）仅对指定的成员国具有约束力，被指定的成员国需在限期内将指令转化为国内法，且所制定的国内法不得劣于相关指令的规定。