2025-12-22 04:20:51 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 欧盟《数据法》于2025年9月12日开始实施主要义务，对在欧盟市场投放的网联产品及相关服务生成的数据访问和使用制定了统一规则。文章详细分析了中国出海企业作为数据持有者需履行的数据共享义务，包括向用户及第三方提供数据、向欧盟公共部门提供数据以及防止第三国政府非法访问数据的义务。文章针对不同情形提出了具体应对措施，如核实豁免条件、设计数据访问机制、保护商业秘密、合理选择数据存储中心等，帮助中国企业在遵守欧盟法规的同时降低合规风险。 综合评分： 91 文章分类： 政策法规,数据安全,合规管理,国际数据传输,出海企业合规

cover_image

欧盟《数据法》下中国出海企业的义务与对策(易读版）

袁立志团队

减熵实验室

2025年12月16日 00:20 上海

作者：袁立志刘旭龙周宇心

2025年9月12日，欧盟《数据法》（Data Act）主要义务开始实施。本文结合相关指南，从中国智能终端企业出海角度，对该法下的核心法律要求进行了全面梳理，并给出了应对策略与操作建议，供相关出海企业参考。

全文结构如下，篇幅较长，时间有限的读者，可以先读第八节（中国出海企业的应对措施），其次可读第三至六节（法律义务），最后可读剩余几节：

一、《数据法》的立法背景

2016年4月与2018年11月，欧盟先后通过了《通用数据保护条例》（General Data Protection Regulation, GDPR）与《非个人数据自由流动条例》（Regulation on the free flow of non-personal data in the European Union），分别就保护欧盟个人数据与促进欧盟内部非个人数据自由流动制定了相关规则。

2020年2月19日，欧盟委员会正式发布《欧洲数据战略》（A European Strategy for Data），确立了欧盟数据治理的政策蓝图，旨在加强欧洲在数据处理层面的独立行动和决策能力，建立一个基于欧洲规则和价值观的欧洲单一数据市场，并确保欧盟及其相关主体可共享数据产生的价值。

为实现《欧洲数据战略》设定的目标，欧盟针对数字平台与数据服务、公共部门、网联产品与相关服务出台了一系列法律。

2022年7月与10月，欧盟先后通过《数字市场法》（Digital Markets Act, DMA）与《数字服务法》（Digital Services Act, DSA），明确了大型数据平台企业（守门人企业），及所有向欧盟用户提供数字服务的中介和平台企业的义务，包括大型数据平台企业的反垄断义务与数字服务平台/中介服务企业的平台责任等。

2022年5月，欧盟通过《数据治理法》（Data Governance Act，DGA），旨在规范公共部门持有的受保护数据的再利用，以促进相关数据在欧盟内部的安全共享，提升数据流通效率，鼓励出于公益目的的数据共享。《数据治理法》（DGA）同时适用于个人数据和非个人数据，个人数据处理仍需遵循《通用数据保护条例》（GDPR）。

在此之后，欧盟于2023年11月通过《数据法》，旨在促进跨行业数据共享，特别是促进物联网设备生成的数据应用，同时平衡数据生产者对数据的控制权，提升数据生产动力。2025年9月12日，为指引《数据法》的执行，欧盟委员会又发布配套指南《车辆数据指南》（Guidance on vehicle data, accompanying Regulation 2023/2854 Data Act），针对汽车行业利益相关方提出操作建议。

二、《数据法》的定义与适用范围

《数据法》旨在对在欧盟市场投放的网联产品及相关服务所生成的数据的访问和使用制定统一规则，明确网联产品制造商及相关服务商向用户、用户指定的第三方、其他方、欧盟公共部门及第三国政府机构提供数据的条件和要求，并确立相应的治理框架、程序机制和技术义务。

根据《数据法》第2条，网联产品指的是能够获取、生成或收集其使用情况或环境相关数据，并能够通过电子通信服务、物理连接或设备端访问的方式传输产品数据的物品，比如智能手机、智能汽车、机器人以及其他各种智能网联终端皆在此列。相关服务则指的是与前述网联产品相关联的数字服务。结合这一定义，以下产品或服务不在《数据法》规制的范围内：

主要功能在于存储、处理或传输数据的产品，例如服务器和路由器；
支撑网联产品运行的基础设施，例如供网联汽车运行的铁路或公路（用户无权访问基础设施传感器设备生成的数据，除非该等数据被传输至网联汽车）；
电子通信服务、连接服务、供电服务及传统售后服务，例如辅助咨询、分析和金融服务，及日常维修保养；
未在欧盟市场投放的网联产品及相关服务。

《数据法》适用于在欧盟市场投放的网联产品的制造商及相关服务的提供者，以及在欧盟境内开展业务或处理数据的数据持有者、数据接收者、数据处理服务提供者和数据空间参与者，无论其注册地位于何处。需注意的是，若一款在欧盟市场投放的网联产品在欧盟以外地区被使用，则无论该产品在欧盟境内还是境外产生的数据，均受《数据法》规定的约束。

网联产品制造商及相关服务商可能同时具备产品销售/租赁者、数据持有者、数据接收者、数据处理服务提供者或数据空间参与者的法律身份。网联产品制造商及相关服务商在向用户提供相关产品与服务时，通常构成数据持有者。但若数据仅存储于用户本地，前述制造商和提供者没有任何访问权限，则其不构成数据持有者。

数据持有者应根据其充当的角色承担相应的法律义务，包括保障用户的数据访问权、保证处理规则透明、确保处理条款公平及实现数据互操作性等，在用户指定时向第三方提供数据，在特定情况下向欧盟公共部门提供数据，并防止第三国政府机构非法访问或获取数据。各项义务的具体分析见以下第三至六节。

三、向用户及第三方提供数据的义务

1.基本要求

《数据法》第二章规定了网联产品及/或相关服务数据的可访问规则，包括数据持有者向用户及用户指定的第三方提供数据的义务。数据持有者应保障用户获得充分信息，并能够访问网联产品及/或相关服务生成的数据。

具体而言，在订立购买、租赁或服务合同之前，数据持有者应履行合同前信息披露义务，向用户说明可访问的数据类型、方式和条件；在技术可行的情况下，应通过产品或服务向用户提供实时、直接的数据访问；在无法通过产品或服务直接访问时，应为用户提供可行的、间接的数据访问途径。此外，应用户或其代表的请求，数据持有者应向用户指定的第三方提供数据，且不得在提供数据的安排上实行歧视。

数据持有者不得对用户行使其访问、共享及控制其数据的权利或进行相关选择造成不合理的困难，包括以非中立的方式向用户提供选项，或通过用户数字界面或其部分的结构、设计、功能或操作方式影响或损害用户的自主性、决策或选择能力。

2.提供数据的内容

在用户行使其数据访问权时，数据持有者应提供与网联产品及其相关服务的性能、使用情况和运行环境有关的个人数据和非个人数据，包括产品数据、相关服务数据及其元数据，具体如下：

a)产品数据：指通过使用网联产品产生的、制造商在产品设计阶段就设定为可被用户、数据持有者或第三方获取的数据。关于网联产品的纯粹描述性数据（例如用户手册或包装上的说明）不属于产品数据。

b)相关服务数据：指反映用户操作或与网联产品相关事件的数字化数据，这些数据由用户有意记录，或在提供相关服务过程中作为用户操作的副产品生成。

c)产品及相关服务数据的元数据：对前述两类数据的内容或用途的结构化描述，主要用于支持数据的发现、检索与使用。

3.提供数据的范围及限制

《数据法》对数据持有者向用户及用户指定的第三方提供数据的范围进行了明确的限定，具体如下：

（1）数据性质限制

数据持有者仅需提供现成可用的原始数据、预处理数据，及其附带必要的元数据。

所谓现成可用，指的是相关数据可由数据持有者通过简单操作获得，无需付出过度努力。需注意的是，若数据持有者应用隐私增强技术（Privacy Enhancing Technologies，PETs）对数据进行了匿名化、去标识化，或切断了数据与其网联产品之间的联系，只要仍可在不进行重大系统更改或产生高额成本的情况下将数据重新关联至特定用户或网联产品，这些数据仍应视为现成可用数据。我们注意到，欧盟的数字立法中经常出现这类比较模糊、需要企业权衡判断的用语，这增加了法律适用的难度，中国企业尤其不适应这种立法方式。

原始数据专指自动生成、未经过进一步处理的数据，而预处理数据则指为便于理解和使用，而进行基础加工处理后的数据。

与之相对应，数据持有者无需提供推导或衍生数据，即基于原始数据和预处理数据，通过投入额外资源推导或衍生而得到的具备新增价值或洞察的数据，例如应用专有或复杂算法生成的数据。

原始数据、预处理数据与推导或衍生数据的关键区别在于相关数据是否产生了新的、增值的洞见，也即是否提供了原始数据所不具备的新信息或附加价值，并不在于数据处理过程的复杂程度。我们认为，这种抽象的区分谁都能够理解，典型情况也很好区分，但是实践中企业会遇到大量灰色地带，可左可右，区分起来并非易事。如果要反复做这种判断，就会大幅增加企业的合规成本。这也是我们一贯批评的欧盟数字立法的主要弊病之一。

根据《车辆数据指南》规定，对于未来不确定性事件、数值或状态的预测，通常可被视为推导或衍生数据，因为这些预测往往提供了超出当前车辆运行或状态描述的新信息。举例来说，一个虚拟油量传感器可能使用复杂的机器学习模型，根据驾驶风格、行程历史及其他因素预测未来油量。数据持有者无需向用户提供该预测数据，但应提供在预测过程中所使用、且能够通过物理油量传感器信号轻松获取的当前油量数据。

（2）数据内容限制

数据持有者仅负有提供与用户相关数据的义务。对于从网联产品中获取、生成或访问的数据，或传输至该产品的数据，若该等数据与用户无关，或是代表其他方进行存储或处理的，数据持有者无需提供给用户访问。这里强调的是数据来源，用户只能获取其作为来源者的数据。

除此之外，数据持有者亦无需向用户提供内容数据与原型产品数据。内容数据指用户在使用网联产品记录、传输、显示或播放内容时，同步生成的数据及内容本身，主要包括文本、音频、视听内容等，此类数据通常受知识产权保护。举例而言，智能汽车用户只能获取车辆运行相关数据，但不能要求车企提供车载音乐播放应用程序中的歌曲内容数据，这是显而易见的。原型产品数据则包括尚未投放市场的新产品、新物质或新工艺测试中的数据，此类数据通常涉及核心商业秘密。

（3）合同约定限制

数据持有者和用户可通过合同约定的方式限制或禁止用户对某些数据的访问、使用或进一步共享给第三方。在这种情况下，数据持有者可依据相关的合同安排拒绝向用户或用户指定的第三方提供数据。

（4）商业秘密保护

商业秘密原则上应予以保护，只有在用户或其指定的第三方采取一切必要措施保护商业秘密的情况下，数据持有者方可向其披露商业秘密。向用户指定的第三方提供数据的义务，不构成强制要求数据持有者披露商业秘密。

此外，若用户或第三方未与数据持有者约定必要保护措施、不执行约定的措施或破坏商业秘密机密性，数据持有者可扣留或暂停共享被认定为商业秘密的数据。

在特殊情况下，若数据持有者能够证明，即便用户或第三方采取了约定的措施，披露相关商业秘密仍极有可能导致严重经济损失，则可在个案基础上针对特定数据拒绝用户或第三方的访问请求。

在履行数据提供义务时，数据持有者可采用适当的技术保护措施防止对数据的未授权访问。

若用户擅自修改或移除技术保护措施，或通过违反《数据法》的方式将数据提供给其他方，数据持有者有权要求用户删除数据及任何副本，停止生产、销售、投放市场或使用基于该等数据生产的侵权商品并销毁相关侵权商品，赔偿相关受损害方。

若第三方提供虚假信息或使用其他欺骗或强制手段获取数据、滥用数据保护基础设施漏洞、擅自修改或移除数据保护技术措施，或存在将数据用于开发原网联产品的竞品、非法向其他方披露等未授权使用行为的，数据持有者有权要求第三方删除数据及任何副本，停止生产、销售、投放市场或使用基于该等数据生产的侵权商品并销毁相关侵权商品，向用户通知其对数据的未授权使用行为，赔偿相关受损害方。

在我们看来，欧盟数字立法的另一个常见弊病是过于理想化，不切实际。《数据法》强制要求网联产品制造商和服务商向用户以及第三方提供产品和服务数据，但是这些数据往往就是相关企业的商业秘密。即使相关数据没有完全达到商业秘密的法定标准，相关企业也不愿意分享，宁失之以宽，不失之以窄，这是人性使然。即使用户和第三方承诺采取保密措施，也不用于竞品研发，相关企业也不可能放心，谁愿意拿自己的商业秘密冒险呢？所以说，《数据法》的要求是违反商业规律的，其实施结果基本可以预料：相关企业以各种理由来限缩可提供的数据范围，只提供很非常有限的数据，最终导致《数据法》设想的大量数据自由流动的美好目标基本落空。

（5）中小企业豁免

《数据法》为部分中小企业设置了豁免条件，就其制造、设计或提供的网联产品及/或相关服务生成的数据，免除其向用户提供该等数据的义务。符合豁免条件的企业及产品包括：由满足一定条件的微型企业或小型企业制造、设计或提供的网联产品或相关服务；被认定为中型企业不足一年的企业制造的网联产品或提供的相关服务；中型企业投放市场一年内的网联产品。

根据《欧盟委员会建议2003/361/EC》（Recommendation 2003/361/EC）附件第2条，微型企业、小型企业、中型企业的认定标准具体如下：

(a)微型企业指雇用人数少于10人且年营业额和/或年度资产负债表总额不超过200万欧元的企业；

(b)小型企业指雇用人数少于50人且年营业额和/或年度资产负债表总额不超过1000万欧元的企业；

(c)中型企业指雇用人数少于250人且年营业额不超过5000万欧元和/或年度资产负债表总额不超过4300万欧元的企业。

（6）数据接收者限制

若用户指定的第三方系《数字市场法》认定的“守门人”企业，则该第三方无权根据《数据法》接收用户从数据持有者处获得的数据。相应的，作为数据持有者亦无需按照用户的请求向此类“守门人”企业提供数据。

根据《数字市场法》第2条和第3条，守门人指提供核心平台服务，且符合下列条件的企业：

(a)该企业对内部市场具有重大影响；

(b)该企业提供的核心平台服务构成商业用户接触最终用户的重要门户；

(c)该企业在其经营中享有稳固且持久的市场地位，或在可预见的未来将会享有此种地位。

四、第三方数据接收者的义务

为平衡数据持有者享有的数据权益，防止相关主体滥用数据共享权利，《数据法》还针对第三方数据接收者提出了一系列义务，具体如下：

（1）合同约定限制

数据接收者应在约定条件下、以与用户约定的目的为限处理其接收的数据。当该等数据对约定的目的已不再必要时，数据接收者应删除数据，除非其就非个人数据的存储期限已与用户另行约定。

（2）禁止损害产品及服务安全性

数据接收者不得以任何对网联产品及/或相关服务的安全性产生不利影响的方式使用数据。

（3）禁止干扰用户行权

数据接收者不得对用户行使其访问、共享及控制其数据的权利或进行相关的选择造成不合理的困难，包括以非中立的方式向用户提供选项，强迫、欺骗或操纵用户，通过数字界面设计干扰或削弱用户的自主性、决策或选择能力。数据接收者亦不得基于合同或其他方式，阻止用户将其接收的数据再提供给其他主体。

（4）禁止用户画像或推导数据持有者特定信息

数据接收者不得将所接收的数据用于用户画像，除非该行为对于向用户提供服务是必要的，或将相关个人数据用于用户画像符合GDPR的例外规定，包括为订立或履行用户与数据控制者之间的合同所必需或基于用户的明确同意等。

数据接收者不得利用所获的网联产品及/或相关服务数据推断数据持有者的经济状况、资产、生产方式或使用情况等信息。我们认为，这个限制很难监管，因为数据接收者的相关行为可能是非常隐蔽的。

（5）禁止向其他第三方提供、侵害商业秘密或竞争权益

数据接收者不得将接收的数据提供给其他第三方，除非该数据提供行为是基于与用户签订的合同，且该其他第三方已采取了数据持有者与数据接收者所约定的全部必要保密措施，可确保商业秘密的机密性。

数据接收者不得违反与数据持有者或商业秘密持有者的约定侵害商业秘密，亦不得利用所接收的数据开发与生成数据的网联产品相竞争的产品，或与其他第三方共享该等数据以达成类似目的。

根据《数据法》序言第32条，新开发网联产品是否构成与原网联产品相竞争的产品，应依据两者是否在同一产品市场（product market）竞争，并基于欧盟竞争法中关于界定相关产品市场的既定原则进行判断。

五、向欧盟公共部门提供数据的义务

《数据法》明确了欧盟委员会、欧洲中央银行及欧盟各公共部门机构在特定情况下的数据访问权力。基于公共利益的必要性（具体包括：应对公共紧急事件，履行法律明确规定的公共利益任务），且符合相关程序与内容要求的前提下，前述公共部门可向数据持有者提出数据访问请求，数据持有者应予以配合。

公共部门基于《数据法》可访问的数据范围与数据持有者向用户及用户指定的第三方提供数据的范围相同。在数据访问请求为履行公共利益任务所必要时，公共部门应当证明其已经用尽其他手段仍然无法获得该等数据，除非其任务是制作官方统计数据，或该国法律不允许购买此类数据。

若公共部门的数据访问请求不是基于应对公共紧急事件，且作为被请求方的数据持有者属于微型或小型企业，则该数据持有者适用豁免，无需向公共部门履行数据提供的义务。

除此之外，在特定情况下，数据持有者可拒绝或要求修改公共部门的特殊数据访问请求，具体包括：

a)数据持有者未持有公共部门所请求的数据；

b)另一个公共部门已就相同目的提出过类似请求，且数据持有者尚未收到该公共部门关于其已删除所获得的数据的通知；

c)公共部门的请求不符合《数据法》规定的内容和程序要求，包括公共部门未证明其请求属于特定情况、未说明其选择向数据持有者提出数据请求的理由、请求不符合比例性要求、未以书面形式提出请求等。

六、防止第三国政府非法访问数据的义务

《数据法》禁止第三国政府机构以与欧盟或成员国法律不一致的方式访问或获取欧盟境内非个人数据。该类非法请求通常涉及个人基本权利或商业敏感数据（包括商业秘密和知识产权）的保护。数据处理服务提供者应采取适当且合理的技术、组织和法律措施，以防止在欧盟境内保存的非个人数据以不符合欧盟或成员国法律的方式被访问或获取。

在特定情况下，数据处理服务提供者可配合第三国政府机构的数据请求，具体包括：

a)该请求基于国际协议（例如司法互助条约等）；

b)在无国际协议的情况下，该请求符合《数据法》规定的程序性保障要求（保障要求与欧盟法律体系中的基本规则和规范一致，包括：请求应具备明确性、比例性，第三国政府机构在作出请求时有权考虑并且应当考虑数据提供者依据欧盟法律享有的数据利益，数据提供者对该请求提出异议须能够在该第三国获得有效的司法审查）。

七、法律责任

如数据持有者违反《数据法》规定的数据共享义务、配合欧盟公共部门数据请求的义务，或者数据接收者违反相关禁止性义务，则各国的数据保护机构可在其权限范围内对其处以行政罚款。罚款金额不得超过20,000,000欧元，或企业上一财年全球年营业额的4%，以较高者为准。

八、中国出海企业的应对措施

在欧盟《数据法》下，中国出海企业可能作为数据持有者向用户或第三方提供数据，也可能作为数据接收方从其他数据持有者获取数据，还可能面临欧盟公共机构、中国政府或其他国家政府调取数据的请求。中国企业该如何应对，我们针对不同情形提出相应的建议。

1.关于向用户及第三方提供数据的建议

中国出海企业在面对用户或第三方的数据共享请求时，可采取以下应对措施：

（1）核实是否适用豁免

若企业及产品与服务符合《数据法》规定的中小微企业豁免条件，则可免于履行该项数据共享义务。关于豁免的具体标准，请参见上文介绍。

（2）设计直接访问机制

若企业同时作为网联产品制造商及相关服务商，在技术可行的情况下，将产品及/或服务方案设计为可在用户侧直接访问相关数据及元数据。

（3）履行用户告知义务

若企业同时作为网联产品的销售方、租赁方，及相关服务的提供方，在与用户订立购买、租赁、服务合同前，以清晰易懂的方式向用户告知其数据访问权、与第三方共享数据的权利，以及行使这些权利的相关信息。

（4）设计数据共享条款

企业可参考欧盟委员会发布的示范合同条款，设计与用户及第三方关于数据共享事项的法律权利义务。在此基础上，企业可考虑通过合同约定，对用户及第三方访问、使用数据或向其他方进一步共享数据进行限制，以平衡商业、安全与合规等方面的需求。

（5）验证用户或第三方身份

企业可要求用户及第三方提供必要的信息，并充分验证其数据请求资格。若第三方是《数字市场法》认定的“守门人”企业，或存在其他法定拒绝事由，企业可拒绝向该第三方提供数据。

（6）划定提供数据的范围

针对用户请求，企业应提供网联产品及相关服务生成的数据及元数据，且该等数据应是现成可用的原始数据或预处理数据，对于内容数据、原型产品数据、推导或衍生数据或与用户无关的其他方数据，企业无需向用户及其指定的第三方提供。

（7）落实个人数据保护措施

若拟提供的数据包含个人数据，尤其是第三人个人数据，或同一网联产品涉及多位不同数据主体的个人数据时，企业应遵守GDPR等法律，落实各项数据保护要求，如对个人数据进行适当匿名化，或者仅传输与特定用户相关的个人数据。

（8）保护商业秘密

企业可采取以下措施保护其商业秘密：

a)确定作为商业秘密保护的数据，并采取必要的保密措施；

b)与用户和其指定的第三方约定商业秘密保护的技术和组织措施；

c)开展过程风险监控，若发现法律规定的情形，例如用户或第三方未执行约定的保密措施等，应及时固定证据，并立即扣留或暂停共享商业秘密；

d)开展风险跟踪评估，若发现披露商业秘密存在导致严重经济损失的风险时，应及时固定证据，并立即拒绝向用户或第三方共享商业秘密；

e)当企业决定扣留或暂停共享商业秘密，或拒绝用户或第三方的访问请求时，应及时向相关用户或第三方提供支撑前述决定的适当书面证明，并通知主管机关。

（9）完善技术保护措施

企业可采用适当的数据保护与风险监控措施，以防止对数据及其元数据的未授权访问。

若发现用户或第三方修改或移除技术保护措施、滥用技术保护措施漏洞，或存在通过欺骗或强制手段获取数据、非法向其他方披露数据、将数据用于未授权用途等行为，可立即要求用户或第三方采取以下措施：

a)删除数据及任何副本；

b)停止生产、销售、投放市场或使用基于该等数据生产的侵权商品，并销毁相关侵权商品；

c)向相关方通知其对数据的未授权使用行为；

d)赔偿相关受损害方的损失。

2.关于接收数据的建议

除了被动提供数据，中国出海企业也可以积极利用《数据法》，从其他企业（数据持有者）获取数据，将他人数据为我所用，开展相关业务，对此，我们的建议如下：

（1）设计数据处理条款

企业可通过合同条款明确数据处理的目的、范围、删除机制、分享权限等内容，并按照合同约定处理接收的数据。相关合同安排可参考欧盟委员会发布的示范合同条款。

（2）避免构成竞争产品

《数据法》禁止数据接收者利用其所接收的数据开发与生成数据的网联产品相竞争的产品。企业在使用前述数据前，应确保拟开发产品未落入竞争禁止的规定范畴。对于竞争产品的判断，可参考上文介绍，从需求替代和供应替代两个维度进行。

（3）充分开发相关服务

《数据法》不禁止数据接收者利用其所接收的数据开发相关服务，企业可将前述数据用于开发网联产品相关服务。以汽车行业为例，企业可将其接收的网联汽车使用数据用于开发相关配套服务，例如维修需求预测服务、云端服务、动态路线优化服务等。

此外，《数据法》的关键目标之一便是使服务提供商与制造商提供同类服务时可在平等的条件下竞争。换言之，企业可将网联产品及相关服务数据用于开发与数据来源相配套，或具有竞争关系的服务。以汽车行业为例，若企业接收了网联汽车云服务数据，则可将该等数据用于自研云服务平台的开发，并向同类用户提供相关的云服务。

（4）开展有限的逆向工程

根据《数据法》序言第32条，只要符合欧盟及成员国法律（例如知识产权法、数据保护法等），企业在修理或延长产品寿命、提供售后服务等特定情况下，可对网联产品进行逆向工程。

3.关于向欧盟公共部门提供数据的建议

我国《数据安全法》与《个人信息保护法》均明确规定，非经我国主管机关批准，境内组织、个人不得向外国司法或执法机构提供存储于我国境内的数据（包括个人信息）。

若出海企业将提供网联产品及/或相关服务、数据处理服务过程中获取的相关数据存储于我国境内，则应遵守上述中国法规定。这可能导致出海企业在配合欧盟公共部门的数据访问请求时，面临来自我国国内的法律风险。

为合理控制上述法律风险，同时保障企业的合法权益，在面对欧盟公共部门调取数据的要求时，企业可按照如下方式应对：

（1）核实是否适用豁免

若公共部门的数据请求不是基于应对公共紧急事件，同时作为被请求方的企业属于欧盟法定义下的微型或小型企业，则可豁免此项义务。关于豁免的具体标准，请参见上文介绍。

（2）及时提出异议

若企业未持有相关数据、欧盟公共部门重复请求数据或数据请求存在内容或程序瑕疵，企业可拒绝或要求欧盟公共部门修改其请求。

企业应注意拒绝或要求修改请求的时间限制。对于欧盟公共部门应对公共紧急事件的，数据持有者应在不迟于收到请求后的五个工作日内，作出拒绝或要求修改请求的决定。对于其他特定情况的数据请求，该时间限制为不迟于收到请求后的三十个工作日内。

（3）及时提出申诉

若企业认为其对欧盟公共部门数据请求的拒绝权、要求修改权等权利遭到侵害，可向其注册地所在欧盟成员国指定的主管机构提出申诉。

（4）合理确定数据存储中心部署地

由于各国法律法规对于向境外司法或执法机构提供存储于该国境内的数据存在不同程度的限制，企业可考虑选择合适的国家或地区作为其数据存储中心，用于存储其提供网联产品及/或相关服务、数据处理服务过程中产生的相关数据。具体内容请参见下文。

（5）落实个人隐私保护措施

若欧盟公共部门的数据请求涉及个人数据，企业应落实隐私保护要求，可对个人数据进行匿名化处理。

若为满足欧盟公共部门的数据请求必须披露个人数据，企业可不进行匿名化处理，但应对相关个人数据进行去标识化处理，并留存提供个人数据必要性的相关证明文件。

（6）要求合理的补偿

在以下情况下，企业可就其数据提供行为要求获得合理补偿：

a)欧盟公共部门为应对公共紧急事件提出数据请求，且企业为小型或微型企业；

b)欧盟公共部门的请求涉及履行法律明确规定的公共利益任务所必需的非个人数据，且公共部门已用尽其他所有可用手段仍无法获取这些非个人数据。

补偿金额应公平、合理，且可覆盖提供数据产生的技术和组织成本及合理利润。

4.关于向第三国政府机构提供数据的建议

《数据法》并不限制企业将非个人数据进行国际传输，也未改变《非个人数据自由流动条例》（Free Flow of Non-Personal Data Regulation）中对成员国数据本地化要求的禁止规定，其第七章旨在确保数据服务提供商在欧盟存储的用户非个人数据免受非欧盟政府的非法访问和传输。

基于此，若中国企业作为数据处理服务提供者，面临第三国政府机构数据请求，建议采取以下应对措施：

（1）核查第三国数据请求

《数据法》第32条规定了企业可向第三国政府机构提供数据的例外情形，也即请求基于国际协议或符合《数据法》规定的程序性保障要求。

企业排查第三国政府机构的数据请求是否符合前述情形时，可向相关欧盟成员国负责国际法律合作的国家机构或主管部门进行咨询。

若企业认为第三国政府机构的数据请求可能影响欧盟或其成员国的国家安全或防务利益，则应向相关国家机构或主管部门征求意见。若企业在一个月内未收到相关国家机构或主管部门的回复，或该等机构认定第三国政府机构的数据请求非法，企业可基于该理由拒绝第三国的数据请求。

（2）严格控制提供数据量

即使经排查确认第三国政府机构的数据请求适用《数据法》第32条规定的例外情形，企业也应在合理解释该请求范围的基础上，在法律允许的范围内提供最少量的数据，避免提供不必要的数据。

在提供数据前，企业应告知用户该请求的存在。但若该请求系为实现执法目的，且在保持执法活动有效性所必需的期间内，企业可暂不告知用户。

（3）合理确定数据存储中心部署地

由于各国在政府机构访问私营部门数据方面的法律存在差异，企业可考虑选择合适的国家或地区作为其数据存储中心，以实现按《数据法》要求防止第三国政府非法获取数据与配合存储地政府数据访问请求之间的平衡。具体内容请参见下文。

5.关于数据存储中心选址的建议

基于《数据法》项下与欧盟公共部门及第三国政府机构数据请求的相关规定，中国出海企业在选择数据存储中心的地理位置时，应将以下事项纳入考虑因素：

（1）欧盟与数据存储中心部署地之间的个人数据跨境传输规定

企业将其提供网联产品及相关服务、数据处理服务过程中获得的相关个人数据传输至第三国，需符合GDPR有关数据跨境传输的规定。因此，企业选择将数据存储中心部署在欧洲经济区之内的国家或欧盟委员会发布的保护水平充分性认定清单中的国家或地区所面临的法律风险相对较低。

若企业计划将数据存储中心部署在前述国家或地区之外，则需考虑适用其他的适当保障措施，较常被使用的是标准合同条款（SCCs）。根据GDPR和Schrems II判决，在某些情况下仅签署SCCs合同文本并不足以被认定采取了适当保障措施，若第三国法律或惯例构成对SCCs有效性的影响，作为数据发送方的数据控制者或处理者有责任逐一核实，并酌情与第三国的接收方合作，在个案基础上确定补充措施以达到欧盟法律要求的保护水平。

结合欧洲数据保护委员会（EDPB）发布的《关于补充传输工具以确保符合欧盟个人数据保护水平的建议措施》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），企业在选用SCCs作为数据跨境传输的适当保障措施后，应进行数据跨境影响评估（Transfer Impact Assessment, TIA）以分析数据拟存储地的法律是否会妨碍SCCs的实现，并按照评估结论采取补充措施。

关于TIA的内容，可参考爱尔兰数据保护委员会（Irish Data Protection Commission，DPC）针对TikTok数据跨境违规发布的处罚决定书中TikTok披露的TIA相关信息。

（2）数据存储中心部署地有关数据出境的法律规定

根据《数据法》第五章，在特定情况下，企业有义务配合欧盟公共部门的数据请求，并提供相关数据。企业在选择数据存储中心部署地时，需考虑该国家或地区对于从其境内向第三国公共部门提供数据的法律要求，并在可行范围内优先选择法律限制较低的国家或地区，尽量避免将数据存储在对于向第三国公共部门提供数据有严格限制的国家，以防与欧盟公共机构依据《数据法》调取数据的要求相冲突。

（3）数据存储中心部署地政府机构访问数据的法律规定

《数据法》和GDPR都重点关注第三国政府机构的本地数据访问权。

在个人数据方面，企业进行TIA的重点在于评估第三国法律体系中政府访问私营部门数据的法律框架能否为个人数据提供等同于欧盟法律框架的保护，EDPB进一步发布了《关于欧洲基本保障措施的建议》（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures）以指导企业正确评估第三国国家意志为监控目的获取数据。

在非个人数据方面，《数据法》第七章明确规定，企业应防止第三国政府机构非法访问和获取在欧盟存储的非个人数据。

综上所述，企业在选择数据存储中心部署地时，还应重点评估相关国家或地区关于政府对本地数据访问权的法律规定，以及国家安全、情报、反恐、刑事、网络安全等领域的法律规定。

在评估时，可关注第三国的前述法律法规是否符合欧洲基本保障（Essential Guarantees）的核心标准，包括：

a)政府监控（即向私营部门调取数据）方面的法律须明确、精确、易于获取，并对权利限制的范围进行界定，具备清晰可预见性及最低保障措施。

b)法律和执法实践须符合必要性和相称性原则，即数据监控措施应针对正当的公共利益目标，干预程度与所追求目标的重要性相称，并以严格必要为限。

c)应有独立、公正的监督机制对公共机关的监控行为进行监督。通常要求由法官或独立机构事先或及时监督数据获取的合法性，以防止滥用。

d)个人应享有有效救济权利，若其数据被不当监控，应有途径向独立法院提起申诉并获得救济。

此外，企业也应关注第三国的执法情况，在政府数据调取领域执法行动更频繁的国家法律风险相对更高。

九、趋势展望

十年来，欧盟通过GDPR、DMA、DSA、DGA、AI Act等一系列立法，精心构筑起数字监管法律体系，并以全面和严格著称于世，但也因其严苛、繁杂与晦涩，给相关企业带来了沉重的合规负担，阻碍了科技发展，受到越来越多的批评，本文作者之一袁立志律师就是其持续批评者之一。

在多方压力下，尤其是在新一届美国政府的压力下，欧盟正在对其数字监管立法进行反思，尝试简化相关法律要求。2024年9月，由前欧洲央行行长、意大利前总理Mario Draghi撰写的《欧洲竞争力的未来》中，就已经指出现有数字法规对企业造成的持续上升的合规负担，并呼吁对相关法律进行简化和彻底改革。作为对此报告的回应，欧盟委员会启动了Digital Omnibus计划，旨在简化涉及数据、网络安全和人工智能（AI）的法律规则，并于2025年9月16日正式启动了征求证据程序（call for evidence），广泛收集各方反馈与最佳实践。

作为Digital Omnibus计划草案的一部分， DGA、《开放数据指令》（欧盟指令（EU）2019/1024）以及《非个人数据自由流动条例》等将被并入《数据法》，从而形成一部新的综合性数据法，以解决当前立法碎片化的问题。

我们认为，《数据法》存在过于理想化、定义复杂、判断标准模糊等弊病，我们对《数据法》的实施效果不太乐观。但相对于GDPR、DMA、DSA以及 AI Act来说，其对数据持有者的要求相对来说不算繁杂，且设置了许多适用限制，并为中小微企业提供了豁免（可能在立法时已经受到相关批评的影响）。因此，欧盟本轮改革预计不会对《数据法》的实质条款做大幅调整。