《欧盟数据法案》于今日起正式实施

2025.09.12 陆斯珮史晓宇

《欧盟数据法案》（EU Data Act，以下简称“法案”）是欧盟在数据访问和流通共享领域的重大立法。该法案于2024年1月11日正式生效，并将于2025年9月12日正式实施。本文将对法案的立法背景及立法目的、适用范围和核心内容进行概要性介绍，以提醒广大中国企业出海欧洲需要关注这项全新的欧盟数据保护法律。

一、法案的立法背景及立法目的

近年来，数据驱动技术对经济各领域产生变革性影响，尤其是物联网（IoT）设备的普及大幅增加了数据的数量和潜在价值。高质量、可互操作的数据有助于提升竞争力、推动创新并促进可持续经济增长。

然而，目前数据共享存在多重障碍（包括数据持有者缺乏共享数据的意愿、数据权利与义务不明确、合同订立与技术接口成本高、数据孤岛现象严重、中小微企业数字能力不足，难以有效获取和利用数据、合同关系中的不对等现象阻碍公平的数据访问和使用），现有法律框架存在局限性（例如，尽管已有GDPR等个人数据保护法规，但在非个人数据的访问、共享和使用方面仍缺乏统一规则），公共部门在特殊情况下需要及时获取关键数据以履行职责但目前缺乏明确的法律依据和机制。

基于上述背景，为了促进数据公平访问与使用、建立统一的数据共享规则、支持公共利益目标、提升数据互操作性和可移植性，以及保护数据主体权利和商业秘密，该法案应运而生，旨在构建一个公平、开放、安全且高效的欧盟数据经济环境，通过打破数据访问和使用的壁垒，促进数据在企业、消费者和公共部门之间的合理流动，从而最大化数据的价值，推动创新和经济增长。

二、法案的适用范围

法案规范了用户[1]对网联产品或相关服务所生成的数据的访问与使用。这里的数据既包含个人数据也包含非个人数据，具体而言包括：

产品数据：指由网联产品获取、生成或收集的数据，与其性能、使用或环境相关。不包括纯粹描述性数据（如用户手册或包装上的信息）；
相关服务数据：指在提供与网联产品相关的服务过程中，记录用户行为或与产品相关事件的数据。包括用户有意记录的数据或作为用户行为副产物生成的数据；
现成可用数据：数据持有者无需付出不成比例努力即可获取的数据。
原始数据与预处理数据：包括必要的元数据，使其可理解和使用。例如：传感器测量的温度、压力、流量、位置、加速度等物理量或质量数据。

但是，不包括以下类型的数据：

推断或衍生的数据：通过专有复杂算法（如传感器融合、人工智能分析）从原始数据中推断或衍生的数据。
内容数据：用户通过网联产品记录、传输、显示或播放的文本、音频、视频等内容本身，尤其是受知识产权保护的内容（如流媒体内容、电子书、音乐等）。
代表第三方存储或处理的数据：数据持有者代表非用户的第三方存储或处理的数据（如云服务提供商为客户存储的数据）。
原型产品数据：尚未完成制造阶段的产品所生成的数据。
非现成可用数据：数据持有者需付出不成比例努力才能获取的数据。

根据法案第1条第3款，该法案适用于以下主体：

（a）在欧盟市场投放网联产品的制造商以及相关服务的提供商（无论此类制造商和提供商的注册地位于何处）；

（b）上述（a）项所指网联产品或相关服务在欧盟境内的用户；

（c）向欧盟境内数据接收者提供数据的数据持有者（无论其注册地位于何处）；

（d）在欧盟境内接收数据的数据接收者；

（e）因履行符合公共利益的特定任务而对数据存在特殊需求、要求数据持有者提供数据的公共部门机构、欧盟委员会、欧洲中央银行及欧盟各机构，以及应此类请求提供

数据的数据持有者；

（f）向欧盟境内客户提供数据处理服务的数据处理服务提供商（无论其注册地位于何处）；

（g）数据空间参与者、使用智能合约的应用程序销售商，以及其行业、业务或职业涉及在协议执行过程中为他人部署智能合约的人员。

由上述可见，法案具有域外效力，对于位于欧盟境外的网联产品制造商或相关服务的提供商、数据持有者、数据处理服务提供商，如果向欧盟境内提供产品或服务或相关数据，则也会落入法案的规制范围。

三、法案的核心内容介绍

1. B2C和B2B数据共享

（1）使用户能够访问产品数据和相关服务数据的义务

法案要求，网联产品与相关服务必须默认设计为使用户能够轻松、安全、免费、全面、结构化、常用且机器可读的方式访问其产生的产品数据和相关服务数据，包括必要的元数据。并且，在技术可行的情况下，支持用户直接访问该等数据。在提供网联产品或相关服务之前，数据持有人（可能是网联产品的制造商或相关服务的提供商）必须以清晰、易懂的方式向用户提供相关信息（法案详细地列出了需要向用户提供的信息类型）。

（2）用户和数据持有者在访问、使用及提供产品数据和相关服务数据方面的权利与义务

如果用户无法直接从网联产品或相关服务访问数据，数据持有者必须在用户提出请求后，毫不延迟地提供现成可用数据，以及必要的元数据。数据的质量必须与数据持有者自己使用的相同，并且必须以易于获取、安全、免费、全面、结构化、常用、机器可读的格式提供。在技术上可行且相关的情况下，还应持续、实时提供。

数据持有者不得通过设计用户界面（例如，以非中立的方式提供选择或削弱用户自主权）使用户行使权利变得过度困难。当然，法案也提供了某些例外情形，例如，用户和数据持有者可以通过合同限制或禁止对某些数据的访问、使用或共享，前提是这种处理会破坏产品的安全要求，从而对自然人的健康、安全或安保造成严重不利影响。数据的访问需保护商业秘密，仅在采取必要保密措施后才能在必要范围内披露，如若未能就保护措施达成一致，数据持有者可以暂停或拒绝提供数据被认定为商业秘密的数据。

同时，法案也对用户使用这些数据施加了相应的限制，例如，用户不得使用获取的数据来开发与数据来源产品相竞争的网联产品，也不得为此目的与第三方共享数据，不得使用数据来窥探数据持有者的经济状况、资产和生产方法等。

（3）用户与第三方共享数据的权利

法案赋予了用户将其数据共享给其指定的第三方的权利，并为此过程设定了详细的规则和义务。

在用户（或其代表）的请求下，数据持有者必须毫不延迟地将现成可用数据及必要的元数据提供给用户指定的第三方。但该规定不适用于为测试尚未上市的新网联产品产生的现成可用数据，除非用户与数据持有者的合同允许第三方使用。

根据《数字市场法》被指定为“守门人”的企业没有资格作为规定下的第三方。守门人不得：(a) 以任何形式（包括经济补偿）诱导用户将数据提供给其服务；(b) 诱导用户请求数据持有者将数据提供给其服务；以及(c) 接收用户根据本法案获取的数据。该条款旨在防止大型科技平台利用其市场力量获取更多数据优势。

法案也提出，如果用户不是数据主体，向第三方提供个人数据必须拥有有效的法律依据（即，符合GDPR第6条和第9条，以及《电子隐私指令》第5(3)条），并且不得对数据主体的权利产生不利影响。

（4）接收数据的第三方的义务

法案专门规定了第三方在通过用户的请求从数据持有者处获得数据后，必须遵守的一系列严格义务。该等义务包括但不限于：

只能将数据用于与用户明确约定的目的和条件；
在目的完成后删除数据（除非就非个人数据另有约定）；
不得以不正当方式阻碍用户行使法案规定的选择权，例如通过设计用户界面以非中立方式向用户提供选择或削弱用户自主权；
不得使用数据进行用户画像（除非这对于提供用户所请求的服务是严格必要的）；
不得将数据再共享给其他第三方（除非基于与用户的合同，且其他第三方已采取数据持有人与该第三方约定的所有必要措施，以维护商业秘密的保密性）；
不得将数据提供给“守门人”；
不得利用数据开发竞争性产品或利用获取的任何非个人产品数据或相关服务数据，获取与数据持有人经济状况、资产、生产方法相关的信息，或了解数据持有人对数据的使用情况而损害数据持有者；
不得损害网联产品或相关服务的安全性。
不得破坏商业秘密的保密性。
不得阻止消费者用户将数据再提供给其他方。

（5）数据持有者向数据接收方提供数据的条件

法案明确了当数据持有者有义务向数据接收方提供数据时，必须遵守的一系列基本规则。

首先，当数据持有者向数据接收方提供数据时，必须与数据接收方达成符合公平、合理、无歧视、透明原则的条款和条件。

法案详细列举了哪些合同条款会被认定为不公平条款。

另外，为了配合法案的实施，欧盟委员会将发布关于数据共享和云服务的示例合同条款（Model Contractual Terms，“MCTs”），目前2025年4月2日发布的欧盟专家报告中已经包含了以下四种示例合同条款：

数据持有人与用户之间的合同
用户与数据接收方之间的合同
数据持有人与数据接收方之间的合同
数据共享方与数据接收方之间的合同

欧盟委员会目前基于专家稿，向社会公开征集意见并于今年6月发布了修订稿，并经过利益相关方再次反馈意见。根据欧盟委员会的计划，正式的示例合同条款预计将在9月份正式发布。

2. 企业和政府部门之间的数据共享

（1）特定条件下向公共部门提供数据的强制性法律义务

根据法案第14条，若政府部门能证明存在第15条所述的使用数据的特殊需求，即需使用特定数据（包括解读和使用该数据所必需的相关元数据）以履行其符合公共利益的法定义务，则持有该数据且身为法人的非公共部门机构数据持有者，应在收到具有充分合理依据的请求后，提供该数据。政府部门包括公共部门机构、欧盟委员会、欧洲中央银行及欧盟机构。

（2）使用数据的特殊需求

根据法案第15条，政府部门请求访问和使用特定数据的请求应在时间和范围上受到限制，且请求访问和使用的数据只有在以下两种情形存在：

情形一：应对公共紧急事件所必需

满足情形一的条件是，所请求的数据对于响应公共紧急事件是必须的；并且政府部门无法通过其他方式及时、有效地在同等条件下获取此类数据。

情形二：非公共紧急事件（仅对非个人数据）

满足情形二的条件是：（1）政府部门依据欧盟法律或成员国法律采取行动，并且已确定缺少特定数据其将无法履行某项符合公共利益且有明确法律依据的特定任务（例如编制官方统计数据、缓解公共紧急情况或从公共紧急情况中恢复）；（2）政府部门已经用尽其所能的所有其他手段来获取此类数据，包括：在市场上以市场价格购买非个人数据、依靠现有的数据提供义务、通过新的立法措施来保证数据的及时可用性。

（3）政府部门请求访问数据需满足的要求

政府部门的数据访问请求必须满足以下程序和内容要求：

明确指明所需数据，包括解读和使用该数据所必需的相关元数据；
证明为实现请求数据之目的，已满足第15条所述的“特殊需要”的要求；
以书面形式，清晰、简明、易懂的语言，向数据持有者说明相关信息。需说明的信息包括但不限于：所需数据的类型、请求数据的目的、拟使用方式、使用期限、个人数据的处理应如何满足该“特殊需要”、数据预计删除的时间、选择该数据持有者的理由、预计将与哪些其他政府部门或第三方共享数据、若涉及个人数据，需说明采取的必要且适当的技术与组织措施（如假名化处理）、法律依据、数据提供的截止日期等；
尽最大努力避免因数据持有者遵守该数据请求，而导致其承担违反欧盟法律或成员国法律的责任；
符合必要性相称原则，在请求数据的颗粒度、数据量及数据访问频率方面，与“特殊需要”相匹配，且具有充分的合理性；
尊重数据持有者的合法目标，承诺保护商业秘密，并考虑数据持有者提供数据所需的成本与精力；
优先请求非个人数据；仅当证明非个人数据不足以满足数据使用的特殊需求时，方可请求假名化形式的个人数据，且须明确为保护该数据应采取的技术与组织措施；
告知数据持有者若未遵守该请求，指定的主管机关将对其施加的处罚；
相关的请求应当及时公开（若请求由公共部门机构提出，应传送至该公共部门机构所在成员国的数据协调员，数据协调员应无不当延迟地将该请求在网上公开，除非其认为公开可能对公共安全构成风险；若请求由欧盟委员会、欧洲中央银行或欧盟机构提出，应无不当延迟地在网上公开）；
若请求获取个人数据，应无不当延迟地通知该公共部门机构所在成员国负责监督GDPR实施情况的监管机构。

3. 数据基础设施

(1) 数据处理服务的切换

法案要求数据处理服务提供商应当确保其用户能够无缝地从一个提供商切换到另一个提供商，且在切换过程中不会丢失任何数据或应用程序的功能。其中，数据处理服务是指为用户提供的使其可以随时随地按需通过网络访问共享的计算资源池（该资源池具备可配置性、可扩展性与弹性，可采用集中式、分布式或高度分布式架构，且能以最小化的管理操作或服务提供商交互实现快速部署与释放）。简而言之，与云计算服务的通常含义一致，涵盖了涵盖基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）这些主流的业务模式。

转换数据处理服务提供商时需要切换的数据类型包括：用户输入数据和输出数据（包括客户使用服务生成的元数据），但不包括受知识产权保护或构成服务提供商商业秘密的数据。

同时，法案对于服务切换费用也有明确的限制，根据法案第29条第（1）-（3）款，数据处理服务提供商需自2024年1月11日起逐步降低服务切换费用，且其收取的费用不得超过为完成相应切换操作而实际产生的成本。自2027年1月12日起，数据处理服务提供商将不得再收取服务切换费用。该费用也包含数据传出的费用。不过，根据欧盟委员会发布的关于法案的官方问答，若用户选择不更换服务商，而是要求某一服务商与其他服务商并行提供服务（例如在多云部署模式下），则即便在2027年1月12日之后，该服务商仍可就数据传出产生的成本向用户收费。这是因为多云部署模式下可能涉及持续性的数据传出，而服务商更换操作中预期的数据传出通常是一次性的，二者存在本质区别。

需要注意的是，根据法案第25条，数据处理服务提供商应当通过书面合同的方式，约定客户在不同数据处理服务提供商之间转用服务的相关权利，以及数据处理服务提供商在该转用过程中的义务。

(2) 数据互操作性标准

法案第33条提出应当确保来自不同来源的数据可以在欧洲共同数据空间内使用，促进研究和开发新产品或服务。为此，欧盟委员会将进一步评估数据互操作性的障碍，在此基础上，可能会要求欧洲标准化组织起草云服务互操作性技术标准和数据处理的开放式互操作性规范和统一标准。

目前，欧盟委员会及多家欧洲标准化机构已宣布致力于制定行业标准，相关的实践包括：

2025年3月27日，欧盟委员会宣布欧洲标准化联盟年度工作计划，其中再次将制定“欧洲可信数据框架”列为优先事项，以支持法案的实施。这表明，欧盟委员会及各标准化机构将可信数据框架视为与其他高科技标准化举措同等重要的战略优先事项；
2025年7月7日，欧洲标准化委员会（CEN）、欧洲电工标准化委员会（CENELEC）及欧洲电信标准协会（ETSI）正式接受了欧盟委员会的标准化请求（第M/614 号授权令）。这些机构将制定7项标准化成果，以支持法案第33条的实施，具体包括4项欧洲标准（其中2项将在《欧盟官方公报》中公布）和3项技术规范。跨领域委员会CEN CLC/JTC 25将负责制定数据治理、互操作性、生命周期管理、评估方案及智能技术相关标准，为可信数据共享提供支持；
2025年7月30日，欧洲电信标准协会（ETSI）宣布，其数据解决方案技术委员会正致力于制定可信数据生态系统相关技术标准，以补充法案的实施。相关项目包括质量指标与语义互操作性研究（探索整合各类框架以实现跨平台数据无缝交换与解读的可能性）、数据治理用例研究、数字钱包与智能合约相关工作，以及与欧洲标准化委员会（CEN）、欧洲电工标准化委员会（CENELEC）的合作。

(3) 防止非法的第三国政府的访问

法案第32条提出了数据处理服务提供商应采取一切适当的技术、组织和法律措施（包括签订合同），防止位于欧盟境内的非个人数据被国际组织及第三国政府获取或转移。

根据法案，该第三国政府对欧盟境内非个人数据的访问（如基于第三国法院或法庭作出的任何判决或裁定，以及第三国行政机关作出的任何决定而需要访问欧盟境内的非个人数据）所基于的裁决、判决或决定的依据是请求国与欧盟之间生效的国际协定（如司法协助条约），或请求国与某一成员国之间生效的此类国际协定时才可以进行。如果没有相关的国际条约协议支撑，且遵守该裁决/判决/决定可能导致数据处理服务提供商违反欧盟法律或相关成员国国内法，则只能在满足以下特定条件下传输或访问数据：

该第三国的制度要求，此类判决/裁定/决定需载明理由及比例原则（比例原则依据），且内容需具有特定性（例如，需明确其与特定嫌疑人或特定违法行为之间存在充分关联）；
数据处理服务提供商（即该判决/裁定/决定的接收方）提出的有理有据的异议，需由第三国主管法院或法庭进行审查；
作出该判决/裁定、或对行政机关决定进行审查的第三国主管法院或法庭，依据该国法律有权充分考虑受欧盟法律或相关成员国国内法保护的数据提供商的相关合法权益。

四、对企业的合规建议

由于法案对网联产品制造商或相关服务提供商、数据持有者、数据接收方、用户、数据处理服务提供商都提出在数据访问、数据共享和数据基础设施建设中的一系列合规要求，因此相关的主体需要考虑采取以下合规行动：

对于网联产品制造商或相关服务提供商而言：

及时落实产品设计层面的要求，确保透明度义务的执行，并能够及时响应用户关于数据访问和共享的权利请求；
深入了解自身所持有数据的情况；
制定数据定价手册，且定价时需考虑“公平、合理且无歧视”原则；
对非个人数据与个人数据进行分类；
起草规范的数据许可使用和共享条款；
制定内部完善的制度和流程，为应对政府机构的数据访问请求做好准备。

对数据持有者而言：

落实及时响应用户请求有关数据访问和分享请求的制度和流程；
了解拟提供数据，对于可能构成商业秘密的数据，制定相应的制度和流程，例如要求用户或第三方采取保密措施，若未能履行可暂停提供数据、对于可能造成严重经济损失而拒绝提供数据的情况，做好客观证明文件的留存；
制定规范的数据许可使用和共享协议，确保协议不具有不公平、歧视性条款；
制定内部完善的制度和流程，为应对政府机构的数据访问请求做好准备。

对于数据接收方而言：