欧盟数据监管｜欧盟数字经济治理2.0时代下的立法动态趋势

走出去智库观察  

近日，欧盟委员会执行副主席维斯塔格在专访中强调了欧盟两部重磅数字法案《数据服务法》与《数字服务法》的作用，并表示将对包括谷歌、苹果、TikTok在内的大型科技公司依法进行监管。

走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人李瑞认为，当前欧盟有关网络及数据合规的监管已经进入“2.0时代”，有意开拓发展欧盟市场的企业可依据自身产品的特点及所涉产业链中的具体环节，有的放矢地提前部署产品设计、投放及合规评估等工作，在欧盟数字化战略的号召下抢占先机，从而在经济数字化转型的浪潮中奋勇争先。

欧盟在数据监管方面有哪些特点？今天，走出去智库(CGGT)刊发中伦律师事务所李瑞律师团队的文章，供关注跨境数据合规管理的读者参阅。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、欧盟数字经济治理中面临着的一系列其他挑战与问题，如欧盟成员国之间数据保护监管水平差距较大、数据可用性与流通性较差、市场力量失衡等。也正是因为存在前述问题，欧盟在近年来大跨步搭建全面的监管框架。

2、为进一步减少欧盟成员国在网络与数据安全监管方面的差距，欧盟近年出台的大部分法律法规具有“条例（regulation）”效力，即正式生效后能够直接适用于所有成员国。

3、在欧盟纷繁复杂、活跃积极的立法动态背后，欧盟立法者对于数字要素利用以及数字空间治理的思路是清晰和贯通的，当然，这也不可避免地会给企业带来不小的合规压力与成本。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

导读

自2018年生效以来，欧盟《通用数据条例》（General Data Protection Regulation,下称“GDPR”）对于全球隐私及数据保护造成了深远的影响，也在多个维度树立了数据合规监管的最佳实践。随着科技的飞速发展及数据要素开发利用场景的不断迭代，数据在全球市场竞争及数字社会发展中的价值日益凸显，欧盟也在近两年进一步加强了对于数字化转型进程中不同维度、节点的立法监管。自2020年以来，欧盟委员会连续发布了《塑造欧洲的数字未来》（Shaping Europe’s Digital Future），《欧洲数据战略》（A European Strategy for data）等纲领性政策文件，可谓进入了网络及数据合规监管的“2.0时代”。

因此，对于有计划在欧盟进一步扩大市场的科技企业及深化数字化转型的公司而言，了解欧盟最新数据战略下的立法监管态势与重点至关重要。我们结合近年来在实务中处理的在欧盟进行业务数字化转型的相关咨询，解构最新出台的一系列网络与数据安全治理相关的代表性法律法规，并总结梳理了五大监管趋势，以供有意开拓欧盟市场的企业在进行战略规划和产品开发时进行全景参考。

一、欧盟数字空间监管的三层结构介绍及监管动态概览

欧盟近年来频繁出台数据治理相关法律法规，或名称相近、或遭反复修订，对于不熟悉欧盟监管环境的企业来说，要掌握相关合规要点，可能存在一定难度。为了更好地梳理欧盟近年来出台的法律法规，我们仔细研究了相关法规以及立法解释性文件，同时基于我们的实践经验，总结了数据空间以及数字要素在多轮流转及加工开发的不同阶段及环节的特点，认为可以将数字空间初步划分为三个层面，即（1）基础架构层面、（2）数据处理层面和（3）集成应用层面（详见图一）。如基于以上三个层面框架来拆解欧盟的数字空间监管框架及数字空间治理动态，或将有益于企业更加清晰和有逻辑性地理解欧盟在数据治理领域的活跃立法，也便于位于产业链不同环节的企业更好地掌握欧盟的合规监管要点。

图一：数字空间三大层面示意图

在这个三层次的框架中，可以看出，GDPR主要规制的是数据处理层面，其规制的是数据采集、加工、委托处理、共享、存储、销毁等全生命周期的各个环节。但随着5G、VoIP等通讯技术、人工智能技术等技术及其应用的飞速发展，仅规制数据处理的各个环节，并不足以全面和有效覆盖数字化转型的各个维度。与此同时，欧盟在《欧洲数据战略》中还指出，欧盟数字经济治理中面临着的一系列其他挑战与问题，如欧盟成员国之间数据保护监管水平差距较大、数据可用性与流通性较差、市场力量失衡等。也正是因为存在前述问题，欧盟在近年来大跨步搭建全面的监管框架，不仅深化了数据处理层面的细则，更是在基础架构层面及集成应用层面发力，以实现其构建“单一数据市场（Digital Single Market）”的目标。

通过梳理欧盟近年出台的重点法律法规，可以看出，在上述三个层面中，欧盟立法者分别主要开展了以下工作：

△点击可查看大图

为进一步减少欧盟成员国在网络与数据安全监管方面的差距，欧盟近年出台的大部分法律法规具有“条例（regulation）”效力，即正式生效后能够直接适用于所有成员国。因此前述重点法律法规的提出与颁布可能对于欧盟整体的监管态势产生较大的影响。本文以上述层次框架为基础，进一步总结了欧盟近年来在数字空间治理立法中的五大趋势，并在下文进行一一讲解。

二、五大监管趋势详解

1. 基础架构层面：进一步夯实网络基础架构安全

欧盟早在2016年就发布了《网络与信息安全指令》（The Directive on Security of Network and Information Systems，下称“《NIS指令》”），作为统一规制网络与信息安全风险应对的框架，但《NIS指令》在成员国的层面执行程度参差不一，未能为企业与公民应对网络安全与威胁提供有效支持。此外，数据模式的不断更新也对提供数据存储、传输等支撑的网络基础架构安全提出了新的挑战。例如，区块链等技术使得数据不再是中心化存储而是分布式存储，数据传输时链条及生态系统的安全性面临新的技术挑战。因此，欧盟立法机构进一步完善了网络安全整体性规则，并就网络基础架构安全至关重要的可联网数字化设备行业及金融行业颁布的专门的细则。

● 2020年，欧盟重新修订了《NIS指令》，发布了《网络与信息安全指令（第二版）》（下称“《NIS2指令》”）。《NIS 2指令》从多方面进一步提升了应对网络安全风险的监管与协作要求，不仅为网络与信息安全风险应对制定了最低限度的规则，还规定了对于安全事件、供应链中的信息安全、漏洞检测和加密等所需的响应，并就每个成员国当局间的合作制定了机制。《NIS2指令》也覆盖了更为广泛的监管范围，能源、交通、卫生、邮递物流、化学制品生产医疗设备、废物和污水处理等不与互联网强关联的行业也需履行《NIS2指令》所设置的合规义务。

● 2022年9月，欧盟提出《网络弹性法（草案）》（The Cyber Resilience Act，下称“《CRA草案》”）。该草案将网络安全合规义务延伸至所有连接网络的数字产品，包括硬件、软件、远程数据处理解决方案等。《CRA草案》还将合规义务落实至产业链上下游中的不同主体，包括制造商、进口商、分销商等。因此，在网络安全保护及业务连续性维护方面，产业链中的多个主体都需协同提升安全保护水平。

● 《数字运营弹性法案》（The Digital Operational Resilience Act，下称“《DORA法案》”）已于2022年12月在公报正式发布。《DORA法案》为金融行业实体应采取的网络安全措施提出了具体要求，并就风险事件管理和报告要求做了进一步明确。《DORA法案》适用于金融行业的各个细分领域，如支付机构、电子货币机构、交易所等。《DORA法案》还对于为前述机构提供信息通信服务的第三方技术提供商提出了规制要求，因此为欧盟金融机构提供服务的ICT服务商等应特别注意本法案。

2. 数据处理层面：加强非个人信息类数据要素的利用与流通

欧盟在多个政策性文件中对于数据要素的流通与可用性表达了重视。2022年6月于公报正式公布的《数据治理法案》（Data Governance Act）将数据分为健康数据、移动数据、环境数据、农业数据和公共行政数据五大类，为公共部门与企业、企业之间等进行数据共享搭建了基础性制度。在此之上，2022年2月发布的《数据法案（草案）》（Data Act）进一步明确了有权利用数据的主体等问题，进一步细化了数据利益分配规则。此外，值得注意的是，《欧洲数据战略》还强调了包括商业数据和工业数据在内的非个人数据对于驱动数字经济发展的重要性。在数据要素流通及开发的层面，各种类型的数据要素能在安全的前提下得到创新性使用确实是一个市场在数字经济中占据有利地位的关键驱动力。

2018年，欧洲议会通过了《欧盟非个人数据自由流动框架条例》（Regulation (EU) 2018/1807 — on a framework for the free flow of non-personal data in the European Union，下称“《非个人数据自由流动条例》”），为非个人信息类数据的流转制定的相应的规则，旨在与旨在规制个人信息处理的GDPR相互补充，搭建数据流通的完整体系。在公共机构的数据共享方面，《非个人数据自由流动条例》明确提出应确保数据在欧盟境内能够因监管目的而被跨境使用。在私主体进行非个人信息类数据共享方面，该条例则提出鼓励制定云服务行为准则，使得用户在更改数据存储和处理服务商时能够更为便捷。

数据的流通本身是一个非常复杂的命题，私主体之间的数据转移则涉及更多的经济利益，个人信息及非个人信息类数据混合的数据集的流通规则等问题仍尚未有妥善安排，因此《非个人数据自由流动条例》具体如何实施、是否能够有效支持欧盟单一数据市场的目标，还有待进一步观察。

3. 数据处理层面：完善针对涉及数据采集使用的电子通信技术和设备及元数据的监管

《隐私与电子通信条例（草案）》（Regulation on Privacy and Electronic Communication，下称“《ePR草案》”）自2017年颁布提案以来，历经多轮磋商修订。在GDPR的基础之上，《ePR草案》旨在将更多电子通信技术与设备纳入监管范围，如Messenger等即时通讯服务提供商（OTT服务）、物联网（Internet of Things，IoT）设备、辅助互联网服务等。《ePR草案》将电子通信渠道中所传输的内容及内容中所含的元数据一并纳入数据保护监管的范畴，如用户访问网站的时间、日期、访问时长等。《ePR草案》的另一亮点则是将Cookie的应用规制进一步明确，这对于广泛使用Cookie技术的网站及广告技术领域产生了较大的合规挑战。

4. 数据处理层面：关注算法、AI等数据高度融合场景下的数据要素治理

算法及人工智能（AI）技术是数字经济下科技公司的兵家必争之地，其涉及数据高度融合应用，因而在各国都是关注焦点。欧盟自2018年以来陆续发布了《欧盟人工智能》（Artificial Intelligence for Europe）、《可信人工智能伦理指南》（草案）（Draft Ethics Guidelines for Trustworthy AI）等一系列政策性文件，描画了欧盟AI发展的宏观框架与方向。欧洲议会研究服务机构（European Parliamentary Research Service）还于2019年4月发布了《算法问责及透明度监管框架》（A Governance Framework for Algorithmic Accountability and Transparency），就算法及其在自动化决策系统中的应用快速增长提出了全面的监管框架。毋庸置疑，完善AI与算法治理架构是促进相关产业与投资繁荣的重要基础。因此，欧盟在政策性文件的基础上更进一步，目前已发布的代表性法律法规（草案）包括：

● 欧盟于2021年4月提出《人工智能法案（草案）》（Artificial Intelligence Act,下称“《AIA草案》”），以期为广泛的人工智能技术应用方案建立整体的规制，促进欧盟内部安全、可信赖的AI应用单一市场的发展，防止内部市场割裂。《AIA草案》采取了分类分级的思路，以特定AI系统投入应用可能对于人基本权利所造成的威胁为依据，将其分为（1）不可接受的风险、（2）高风险和（3）非高风险（有限风险与最低风险）三大类。在此分级的基础上，《AIA草案》要求完全禁止有不可接受风险的AI系统与技术，并对特定高风险的AI系统和技术设置了较为严格的监管措施，包括进行第三方评估、建立风险管理系统等。《AIA草案》同样设定了较高的罚则，如违反，企业最高可能被处以3,000万欧元或者上一年度全球营业额的6%（以较高者为准）。《AIA草案》如正式生效，将会直接适用于欧盟各成员国，因此有意在欧盟开发销售AI系统和/或技术的企业应密切关注这一法案的动态与其所涵盖的合规要求。

● 承接《AIA草案》，欧盟于2022年提出了《AI责任指令（草案）》（AI Liability Directive，下称“《AID草案》”），就AI系统产品的非合同性民事责任做出了一系列规定，确保用户如因使用AI系统而造成损害，能够得到公允的赔偿。由于AI系统应用场景大多具有复杂性及不透明性，如自动驾驶汽车、清洁机器人等，因此用户如受到伤害，进行举证会及其困难。因此，《AID草案》对于构建可信的人工智能市场而言十分重要。

5. 集成应用层面：平台治理与内容管理规则的细化

Facebook、谷歌、Tiktok等一系列平台的快速崛起与发展给监管机构带来了同样的挑战—平台治理。由于平台生态复杂，平台治理所涉及的法律问题也更为广泛，如内容治理、数据保护、竞争等，各类问题互相交错。有基于此，欧盟于2020年12月发布了数字服务法案包（the Digital Service Act package），提出两部里程碑式的平台治理法规：

● 《数字市场法》（the Digital Market Act, 下称“《DMA法案》”）已于2022年10月在欧盟公报正式公布。《DMA法案》主要规制根据法案中的客观标准被认定为“守门人”的大型在线企业，旨在通过加强守门人义务对平台进行规制与监管，防止科技巨头对企业和消费者施加不公平条件。

● 《数字服务法》（the Digital Service Act，下称“《DSA法案》”）同样于2022年10月在欧盟公报正式公布。与《DMA法案》主要着眼于竞争及市场力量的平衡不同，《DSA法案》更多关注要求平台空间的治理，从内容管理、广告推送、商品交易等维度为平台方设置了一系列义务。

三、总结与展望

要鼓励经济的数字化转型，也要保证数据要素在有序、安全的流通创造价值，这是全球重要经济体的共识。通过本文的梳理，可以看出，在欧盟纷繁复杂、活跃积极的立法动态背后，欧盟立法者对于数字要素利用以及数字空间治理的思路是清晰和贯通的，当然，这也不可避免地会给企业带来不小的合规压力与成本。有意开拓发展欧盟市场的企业可依据自身产品的特点及所涉产业链中的具体环节，有的放矢地提前部署产品设计、投放及合规评估等工作，在欧盟数字化战略的号召下抢占先机，从而在经济数字化转型的浪潮中奋勇争先。

除了上述立法活动以外，欧盟立法者在近期也加强了公共机构采集使用数据的规范制定工作，积极推进欧盟成员国之间的数据安全流通，并加强了与其他主要经济体监管部门的联系。在欧盟网络安全与数据合规系列文章中，我们也将保持观察，为企业来带最新的信息及以点评。

来源：中伦视界

免责声明：本文仅代表作者观点，不代表走出去智库立场。