歐盟《非個人數(shù)據(jù)自由流動條例》研判

◎北京師范大學 吳沈括

非個人數(shù)據(jù)作為數(shù)據(jù)流轉(zhuǎn)的B面，提出了與個人數(shù)據(jù)保護不同的規(guī)制要求。非個人數(shù)據(jù)流轉(zhuǎn)問題的背景主要在于技術(shù)驅(qū)動的不斷創(chuàng)新，數(shù)據(jù)的流轉(zhuǎn)機制在不斷演進，但隨著技術(shù)的發(fā)展與革新，數(shù)據(jù)流的各種模式在不斷發(fā)生變化，數(shù)據(jù)經(jīng)濟也在不斷發(fā)展。

換言之，在技術(shù)驅(qū)動創(chuàng)新的大數(shù)據(jù)時代，數(shù)據(jù)逐漸以核心競爭力的姿態(tài)出現(xiàn)，并逐漸顯現(xiàn)其在競爭上的優(yōu)勢。對于經(jīng)濟的發(fā)展以及創(chuàng)新點的逐漸開發(fā)，數(shù)據(jù)正在以數(shù)據(jù)流的形式形成所謂的數(shù)字經(jīng)濟。數(shù)據(jù)與技術(shù)的發(fā)展相互扶持，數(shù)據(jù)為技術(shù)提高競爭點，以其形成的數(shù)據(jù)框架體系為技術(shù)的發(fā)展發(fā)現(xiàn)搭載平臺與服務(wù)器，而技術(shù)則刺激數(shù)據(jù)的價值生長，開發(fā)數(shù)據(jù)的特質(zhì)滿足數(shù)據(jù)交換的需求，逐漸形成特有的單一數(shù)字經(jīng)濟市場。

在此時代背景下，歐盟《非個人數(shù)據(jù)自由流動條例》于2018年10月4日由歐洲議會正式通過，非個人數(shù)據(jù)流轉(zhuǎn)的總體目標在《非個人數(shù)據(jù)流動條例》中得以體現(xiàn)，其提出了亟待解決的問題：（1）改善單一市場跨境的非個人數(shù)據(jù)的流動性；（2）確保主管當局為監(jiān)管控制目的要求和接收數(shù)據(jù)的權(quán)力不受影響；（3）使數(shù)據(jù)存儲或其他處理服務(wù)的專業(yè)用戶更容易切換服務(wù)提供商和端口數(shù)據(jù)，同時避免為服務(wù)提供商帶來過度負擔以及扭曲市場。

該條例力求使數(shù)據(jù)存儲及其處理行為可以在廣義上被使用的同時，追求與現(xiàn)有政策領(lǐng)域的相關(guān)政策規(guī)定保持一致，與其他歐盟政策保持一致。在這樣一種大的框架之下，為數(shù)據(jù)存儲以及其他處理服務(wù)創(chuàng)建一個有效的歐盟數(shù)字單一市場。明確并確保在歐盟成員國實施數(shù)據(jù)自由流動的過程中，保證數(shù)據(jù)字濟發(fā)展的關(guān)鍵因素的確定性以及完備性，同時在數(shù)據(jù)和云服務(wù)的安全性方面取得進一步進展，這些問題的解決將有助于優(yōu)化和完善數(shù)據(jù)的跨境傳輸，以及數(shù)據(jù)的跨存儲器存儲，甚至可以使數(shù)據(jù)在云服務(wù)器CSP和IT系統(tǒng)內(nèi)部之間進行稍顯自如的移動。

為此，條例通過在成員國之間建立一個明確的框架與會員國進行合作。該條例旨在提高法律確定性和提高信任水平，同時由于合作的靈活性，基于成員國的單一聯(lián)絡(luò)點，長期保持相關(guān)性和有效性框架。

總體而言，該條例的立法政策性目標追求與該政策領(lǐng)域的現(xiàn)有規(guī)定保持一致，與其他聯(lián)盟的政策保持一致。從政策目標而言，條例追求限定數(shù)據(jù)本地化規(guī)則，促進數(shù)據(jù)流動市場環(huán)境的活躍度與積極性。可以認為，歐盟對于數(shù)據(jù)跨境的流動保護規(guī)則的設(shè)定，反映出其在數(shù)據(jù)治理以及數(shù)據(jù)有效利用環(huán)節(jié)的治理立場，其明確指出數(shù)據(jù)本地化規(guī)則的弊端，要求對該規(guī)則進行評估以及必要的限制，與此同時，法律確定性的提高則是歐盟境內(nèi)外高效處理跨境數(shù)據(jù)以及處理可能產(chǎn)生的沖突的有效措施，凡此種種，在下文《非個人數(shù)據(jù)自由流動條例》的規(guī)范設(shè)計中得到了充分的展現(xiàn)。

附：歐盟《非個人數(shù)據(jù)自由流動條例》（2018-10-04）正文

歐洲議會與歐盟理事會,

鑒于《歐洲聯(lián)盟運作條約》，特別是其第114條，

鑒于歐洲委員會的提議,

將立法草案轉(zhuǎn)遞各國議會之后，

鑒于歐洲經(jīng)濟社會委員會的意見,

咨詢區(qū)域委員會之后，按照普通立法程序行事。

鑒于:

（1）經(jīng)濟的數(shù)字化正在加速。信息和通信技術(shù)不再是一個特定的部門，而是所有現(xiàn)代創(chuàng)新經(jīng)濟體系和社會的基礎(chǔ)。電子數(shù)據(jù)是這些系統(tǒng)的核心，在分析或與服務(wù)和產(chǎn)品結(jié)合時可以產(chǎn)生巨大價值。與此同時，數(shù)據(jù)經(jīng)濟的快速發(fā)展以及人工智能、物聯(lián)網(wǎng)產(chǎn)品和服務(wù)、自治系統(tǒng)和5G等新興技術(shù)正在圍繞數(shù)據(jù)訪問和重復使用、責任、倫理和團結(jié)等問題提出新的法律問題。應(yīng)該在責任問題上付諸考慮，特別是通過落實自律規(guī)范和其他最佳做法，同時考慮整個數(shù)據(jù)處理價值鏈中沒有人為干預的建議、決定和行動。此類考慮還可能包括引入適當機制以助于確定責任、在合作服務(wù)之間配置責任、保險以及審計。

（2）數(shù)據(jù)價值鏈建立在不同的數(shù)據(jù)活動上：數(shù)據(jù)創(chuàng)建和收集; 數(shù)據(jù)匯聚和組織；數(shù)據(jù)處理;數(shù)據(jù)分析、營銷和分銷; 使用和重復使用數(shù)據(jù)。數(shù)據(jù)處理的有效和高效運作是任何數(shù)據(jù)價值鏈的基本組成部分。然而，數(shù)據(jù)處理的有效和高效運作以及歐盟數(shù)據(jù)經(jīng)濟的發(fā)展尤其受到數(shù)據(jù)移動性和內(nèi)部市場層面的兩種障礙：成員國機關(guān)的數(shù)據(jù)本地化要求以及私營部門供應(yīng)商的鎖閉實踐。

（3）根據(jù)《歐洲聯(lián)盟運作條約》（TFEU）建立的營業(yè)自由和提供服務(wù)自由適用于數(shù)據(jù)處理服務(wù)。但是，有時某些國家、區(qū)域或地方要求在特定領(lǐng)域內(nèi)鎖定數(shù)據(jù)，會妨礙提供此類服務(wù)。

（4）數(shù)據(jù)處理服務(wù)自由移動和服務(wù)提供者營業(yè)權(quán)的這些障礙源于成員國法律要求在特定地理區(qū)域或領(lǐng)土內(nèi)鎖定數(shù)據(jù)以進行數(shù)據(jù)處理。其他規(guī)則或行政措施具有相同的效果，其提出特定要求使得歐盟內(nèi)在特定地理區(qū)域或者領(lǐng)土之外處理數(shù)據(jù)變得更為困難，例如要求使用在特定成員國內(nèi)經(jīng)過認證或批準的技術(shù)設(shè)施。關(guān)于數(shù)據(jù)本地化要求的合法和非法程度的法律不確定性進一步限制了市場參與者和公共部門對數(shù)據(jù)處理位置的選擇。本條例絕不限制企業(yè)簽訂規(guī)定數(shù)據(jù)位置的合同的自由。本條例僅旨在通過確保商定的地點能夠位于歐盟內(nèi)的任何地方來保護該等自由。

（5）與此同時，歐盟內(nèi)的數(shù)據(jù)移動性也受到私人限制的阻礙：各類法律、合同和技術(shù)問題阻礙或阻止數(shù)據(jù)處理服務(wù)用戶將數(shù)據(jù)從一個服務(wù)提供商轉(zhuǎn)移到另一個服務(wù)提供商或者返回到其自有的信息技術(shù)系統(tǒng)，尤其是在和服務(wù)提供商終止合同時。

（6）這些障礙的結(jié)合導致歐盟內(nèi)的云服務(wù)提供商之間缺乏競爭、各種供應(yīng)商鎖閉問題以及數(shù)據(jù)移動性嚴重缺乏。同樣，數(shù)據(jù)本地化政策削弱了研發(fā)公司促進公司、大學和其他研究機構(gòu)之間創(chuàng)新驅(qū)動的能力。

（7）出于法律確定性的原因以及歐盟內(nèi)公平競爭環(huán)境的需要，適用于所有市場參與者的一套規(guī)則是內(nèi)部市場運作的關(guān)鍵因素。為消除因國家法律之間的差異而導致的貿(mào)易障礙和競爭扭曲，并防止出現(xiàn)可能的進一步貿(mào)易障礙和嚴重的競爭扭曲，有必要采用適用于所有成員國的統(tǒng)一規(guī)則。

（8）關(guān)于在處理個人數(shù)據(jù)中保護自然人、尊重私生活和電子通信中保護個人數(shù)據(jù)法律框架，特別是歐洲議會和歐盟理事會第 (EU)2016/679號條例與歐洲議會和歐盟理事會第（EU）2016/680號指令、第 2002/58/EC號指令不受本條例的影響。

（9）不斷發(fā)展的物聯(lián)網(wǎng)、人工智能和機器學習，反映了非個人數(shù)據(jù)的主要來源，例如作為它們部署在自動化工業(yè)生產(chǎn)過程中的結(jié)果。非個人數(shù)據(jù)的具體示例包括用于大數(shù)據(jù)分析的聚合、匿名化數(shù)據(jù)集，有助于監(jiān)控和優(yōu)化農(nóng)藥及流水使用的精確農(nóng)業(yè)數(shù)據(jù)，或者有關(guān)工業(yè)機器維護需求的數(shù)據(jù)。如果技術(shù)發(fā)展可以將匿名化數(shù)據(jù)轉(zhuǎn)換為個人數(shù)據(jù)，則此類數(shù)據(jù)將被視為個人數(shù)據(jù)，并且相應(yīng)適用歐盟第（EU）2016/679號條例。

（10）根據(jù)歐盟第（EU）2016/679號條例，成員國不得出于個人數(shù)據(jù)處理中的自然人保護限制或禁止個人數(shù)據(jù)在歐盟內(nèi)自由流動。本條例同樣規(guī)定了歐盟內(nèi)非個人數(shù)據(jù)的自由流動原則，除非為了公共安全原因而做出限制或禁止。歐盟第（EU）2016/679號條例和本條例提供了一套連貫的規(guī)則，以實現(xiàn)不同類型數(shù)據(jù)的自由流動。此外，本條例并未要求分別存儲不同類型數(shù)據(jù)的義務(wù)。

（11）為了建立歐盟非個人數(shù)據(jù)自由流動的框架以及發(fā)展數(shù)據(jù)經(jīng)濟和提高歐盟產(chǎn)業(yè)競爭力的基礎(chǔ)，有必要制定明確、全面和可預測的法律框架以助益內(nèi)部市場中非個人數(shù)據(jù)的處理。促進成員國之間合作以及自我監(jiān)管的基于原則的進路應(yīng)確保該框架足夠靈活，以滿足歐盟內(nèi)用戶、服務(wù)提供者和國家機關(guān)不斷變化的需求。為避免與現(xiàn)有機制重疊的風險，進而避免成員國和企業(yè)承擔更高的負擔，不應(yīng)制定詳細的技術(shù)規(guī)則。

（12）本條例不應(yīng)影響數(shù)據(jù)處理，如果它是不屬于歐盟法律適用范圍的一項活動的組成部分。特別地，茲根據(jù)《歐洲聯(lián)盟條約》（TEU）第4條重申，國家安全只是每個成員國的責任。

（13）歐盟內(nèi)部的數(shù)據(jù)自由流動將在實現(xiàn)數(shù)據(jù)驅(qū)動增長和創(chuàng)新方面發(fā)揮重要作用。與企業(yè)和消費者一樣，成員國的公共機構(gòu)和受公法管轄的機構(gòu)可以從數(shù)據(jù)驅(qū)動型服務(wù)提供商更多的選擇自由、更具競爭力的價格和更有效地向公民提供服務(wù)中受益。鑒于受公法管轄的公共機構(gòu)和機關(guān)處理的大量數(shù)據(jù)，尤其重要的是他們以身作則，重塑數(shù)據(jù)處理服務(wù)，并且在獲取數(shù)據(jù)處理服務(wù)時不采取數(shù)據(jù)本地化限制。因此，本條例應(yīng)涵蓋受公法管轄的公共機構(gòu)和機關(guān)。在此，本條例規(guī)定的非個人數(shù)據(jù)自由流動原則也應(yīng)適用于一般和持續(xù)的行政措施以及公共采購領(lǐng)域的其他數(shù)據(jù)本地化要求，而不影響歐洲議會和歐盟理事會第2014/24 /EU號指令。

（14）如同歐盟第2014/24/EU號指令，本條例不影響涉及成員國內(nèi)部組織的法律、法規(guī)和行政規(guī)定，不影響涉及成員國內(nèi)公共機關(guān)和受公法管轄的公共機構(gòu)間沒有主體合同對價之數(shù)據(jù)處理的權(quán)力責任分配的法律、法規(guī)和行政規(guī)定，也不影響成員國有關(guān)該等權(quán)力責任落實的法律、法規(guī)和行政規(guī)定。雖然鼓勵公共機關(guān)和受公法管轄的公共機構(gòu)考慮外包給外部服務(wù)提供商的經(jīng)濟和其他好處，但他們可能有合理的理由選擇自我提供服務(wù)或內(nèi)包。因此，本條例并不要求成員國將其希望自行提供的服務(wù)予以外包或者通過公共合同以外的方式予以實現(xiàn)。

（15）本條例適用于向在歐盟內(nèi)居住或擁有營業(yè)的用戶提供數(shù)據(jù)處理服務(wù)的自然人或法人，包括在歐盟內(nèi)提供數(shù)據(jù)處理服務(wù)、但在歐盟內(nèi)沒有營業(yè)的人。因此，本條例不適用于在歐盟外發(fā)生的數(shù)據(jù)處理服務(wù)以及與此類數(shù)據(jù)相關(guān)的數(shù)據(jù)本地化要求。

（16）本條例不規(guī)定涉及商業(yè)事項中確定適用法律的規(guī)則，因此不影響歐洲議會和歐盟理事會第593/2008（EC）號條例。特別地，如果沒有根據(jù)該條例選擇適用于合同的法律，涉及提供服務(wù)的該合同原則上受服務(wù)提供者慣常居住地國的法律管轄。

（17）本條例適用于最廣意義上的數(shù)據(jù)處理，包括所有類型信息系統(tǒng)的使用，無論其是否位于用戶的場所抑或外包給服務(wù)提供商。它應(yīng)涵蓋不同強度級別的數(shù)據(jù)處理，從數(shù)據(jù)存儲（基礎(chǔ)架構(gòu)即服務(wù)（IaaS））到平臺數(shù)據(jù)處理（平臺即服務(wù)（PaaS））抑或應(yīng)用程序處理（軟件即服務(wù)（SaaS））。

（18）數(shù)據(jù)本地化要求是對歐盟內(nèi)自由提供數(shù)據(jù)處理服務(wù)和內(nèi)部市場的明顯障礙。因此應(yīng)當予以禁止，除非根據(jù)歐盟法律特別是在TFEU第52條的含義范圍內(nèi)以公共安全為正當基礎(chǔ)，并且符合TEU第5條所規(guī)定的比例原則。為了實現(xiàn)非個人數(shù)據(jù)的跨境自由流動原則，確保迅速消除現(xiàn)有數(shù)據(jù)本地化要求，促進為運營理由在歐盟內(nèi)的多地點數(shù)據(jù)處理，并且鑒于本條例規(guī)定了為監(jiān)管控制目的確保數(shù)據(jù)可用性的措施，成員國只能援引公共安全作為數(shù)據(jù)本地化要求的正當依據(jù)。

（19）“公共安全”概念，處于TFEU第52條的含義范圍內(nèi)并且如歐洲正義法院的闡釋，涉及成員國的內(nèi)部和外部安全，以及公共安保問題，尤其是刑事罪行的調(diào)查、偵查和檢控。它要求存在威脅社會基本利益的真實的、充分嚴重的威脅，例如危害國家機關(guān)和基本公共服務(wù)的運作以及人民生存的威脅，以及嚴重干擾外交關(guān)系或國家和平共處的風險，或者威脅軍事利益的風險。根據(jù)比例原則，以公共安全為理由的數(shù)據(jù)本地化要求應(yīng)當適用于實現(xiàn)所追求的目標，并且不應(yīng)當超出實現(xiàn)該目標所必需的限度。

（20）為了確保有效適用非個人數(shù)據(jù)跨境自由流動原則，防止出現(xiàn)損害內(nèi)部市場順利運作的新障礙，成員國應(yīng)當立即向歐盟委員會通報任何引入新的數(shù)據(jù)本地化要求或修改現(xiàn)有數(shù)據(jù)本地化要求的法令草案。應(yīng)當根據(jù)歐洲議會和歐盟理事會第 (EU) 2015/1535號指令提交和評估這些法令草案。

（21）此外，為了消除潛在的現(xiàn)有障礙，在本條例施行之日起24個月的過渡期內(nèi)，成員國應(yīng)對現(xiàn)行提出數(shù)據(jù)本地化要求的一般性法律、法規(guī)或行政規(guī)定進行審查，并且向歐盟委員會通報他們認為符合本條例的任何該等數(shù)據(jù)本地化要求及其正當性事由。 這應(yīng)使歐盟委員會能夠?qū)彶槿魏瘟舸娴臄?shù)據(jù)本地化要求的合規(guī)性。適當時，歐盟委員會應(yīng)該能夠向有關(guān)成員國提出意見。該意見可包括修改或廢除數(shù)據(jù)本地化要求的建議。

（22）本條例規(guī)定的向歐盟委員會通報現(xiàn)有數(shù)據(jù)本地化要求和法令草案的義務(wù)涵蓋監(jiān)管性數(shù)據(jù)本地化要求和一般性法令草案，但不涵蓋針對特定自然人或法人的決定。

（23）為了向自然人和法人，例如服務(wù)提供者和數(shù)據(jù)處理服務(wù)的用戶，確保成員國一般性法律、法規(guī)或行政規(guī)定所確立的數(shù)據(jù)本地化要求的透明度，成員國應(yīng)在其全國性在線單一信息點公布涉及此類要求的信息并定期予以更新。或者，成員國應(yīng)向根據(jù)另一項歐盟法令建立的中央信息點提供有關(guān)此類要求的最新信息。為了向自然人和法人合理告知歐盟內(nèi)的數(shù)據(jù)本地化要求，成員國應(yīng)向歐盟委員會通報該等單一信息點的地址。歐盟委員會應(yīng)在其網(wǎng)站上公布這些信息，并且定期更新成員國所有現(xiàn)行數(shù)據(jù)本地化要求的綜合清單，包括有關(guān)這些要求的摘要信息。

（24）數(shù)據(jù)本地化要求往往源于對跨境數(shù)據(jù)處理的信任缺乏，這是因為假定成員國有權(quán)機關(guān)無法為了如調(diào)查和審計以實現(xiàn)監(jiān)管控制目的而獲取數(shù)據(jù)。這種信任缺乏不能僅僅通過宣告禁止有權(quán)機關(guān)依法獲取數(shù)據(jù)以履行其職責的合同條款的無效予以克服。因此，本條例明確規(guī)定其不影響有權(quán)機關(guān)根據(jù)歐盟或本國法律要求獲取數(shù)據(jù)的權(quán)力，不得基于數(shù)據(jù)在他國處理的事實拒絕有權(quán)機關(guān)獲取數(shù)據(jù)。有權(quán)機關(guān)可以提出功能要求以支持數(shù)據(jù)獲取，例如要求系統(tǒng)腳本留存在相關(guān)成員國內(nèi)。

（25）有義務(wù)向有權(quán)機關(guān)提供數(shù)據(jù)的自然人或法人可以通過向有權(quán)機關(guān)提供和保證有效、及時電子訪問的方式來履行該等義務(wù)，而無論數(shù)據(jù)處理位于哪個成員國領(lǐng)域內(nèi)。該等數(shù)據(jù)訪問可以通過承擔提供訪問義務(wù)的自然人或法人與服務(wù)提供者之間的具體合同條款及條件予以實現(xiàn)。

（26）如果自然人或法人有義務(wù)提供數(shù)據(jù)且不履行該義務(wù)，有權(quán)機關(guān)應(yīng)能夠向其他成員國有權(quán)機關(guān)尋求協(xié)助。在此情形下，有權(quán)機關(guān)應(yīng)針對具體場合中的特殊情況，采取歐盟法或者國際協(xié)議規(guī)定的特殊合作方式，例如在警務(wù)合作、刑事或民事司法以及行政事務(wù)領(lǐng)域，分別援用歐盟理事會第2006/960 / JHA號框架決定、歐洲議會和歐盟理事會第2014/41/ EU號指令、歐洲委員會網(wǎng)絡(luò)犯罪公約、歐盟理事會第 （EC）1206/2001號條例、歐盟理事會第 2006/112 / EC號指令以及歐盟理事會第（EU）904/2010號條例。在沒有該等具體合作機制的情況下，有權(quán)機關(guān)應(yīng)相互合作以便通過指定的單一聯(lián)絡(luò)點提供所需數(shù)據(jù)的訪問。

（27）如果協(xié)助請求要求被請求機關(guān)進入自然人或法人的任何場所，包括任何數(shù)據(jù)處理設(shè)備和裝置，該等請求必須遵守歐盟法或成員國程序法，包括涉及獲得事先司法授權(quán)的要求。

（28）本條例不允許用戶試圖逃避國家法律的適用。因此，它應(yīng)當規(guī)定成員國對用戶科加有效的、相稱的和阻遏性的懲罰，以處置其阻止有權(quán)機關(guān)獲取根據(jù)歐盟法和國家法履行職責所必需的數(shù)據(jù)的情形。在緊急情況下，如果用戶濫用其權(quán)利，成員國應(yīng)能夠采取嚴格符合比例要求的臨時措施。任何要求重置數(shù)據(jù)處所超過180天的臨時措施均可能顯著超期偏離數(shù)據(jù)自由流動原則，因此應(yīng)當通報歐盟委員會以審查其與歐盟法的兼容性。

（29）無阻礙地遷移數(shù)據(jù)的能力是促進用戶選擇和數(shù)據(jù)處理服務(wù)市場有效競爭的關(guān)鍵因素。跨境遷移數(shù)據(jù)的實際或感知困難也會削弱專業(yè)用戶在接受跨境服務(wù)時的信心，從而削弱他們對內(nèi)部市場的信心。盡管個人消費者受益于現(xiàn)有的歐盟法，但對于業(yè)務(wù)或?qū)I(yè)活動中的用戶而言，在不同服務(wù)提供者之間切換的能力并未獲得提升。歐盟內(nèi)一致的技術(shù)要求，無論技術(shù)協(xié)調(diào)、相互承認或者自愿協(xié)調(diào)，也能有助于為數(shù)據(jù)處理服務(wù)建設(shè)具有競爭力的內(nèi)部市場。

（30）為了充分利用競爭環(huán)境，專業(yè)用戶應(yīng)能夠做出知情的選擇，并且輕松比較內(nèi)部市場提供的各種數(shù)據(jù)處理服務(wù)的個別組成部分，包括合同終止時遷移數(shù)據(jù)的合同條款和條件。為了與市場的創(chuàng)新潛力保持一致并考慮到數(shù)據(jù)處理服務(wù)的服務(wù)提供商和專業(yè)用戶的經(jīng)驗和專業(yè)知識，數(shù)據(jù)移植的詳細信息和操作要求應(yīng)由市場參與者通過歐盟委員會鼓勵、促進和監(jiān)督的自律以歐盟行為守則的形式做出界定，其中可能包括示范合同條款和條件。

（31）為了提高效率并使切換服務(wù)提供商和遷移數(shù)據(jù)更為容易，該等行為守則應(yīng)當是全面的，并且至少應(yīng)當涵蓋遷移數(shù)據(jù)過程中重要的關(guān)鍵方面，例如用于數(shù)據(jù)備份的流程和位置、可用的數(shù)據(jù)格式和介質(zhì)、所需的信息配置和最小的網(wǎng)絡(luò)帶寬、啟動遷移流程之前所需的時間以及數(shù)據(jù)可以遷移的時間，以及在服務(wù)提供商破產(chǎn)的情況下對于數(shù)據(jù)獲取的確保。行為守則還應(yīng)明確規(guī)定供應(yīng)商鎖閉是不可接受的商業(yè)實踐，其應(yīng)當提供信任提升技術(shù)，并應(yīng)定期更新以適應(yīng)技術(shù)發(fā)展。歐盟委員會應(yīng)確保在整個過程中咨詢所有相關(guān)利益攸關(guān)方，包括中小企業(yè)（SMEs）和初創(chuàng)企業(yè)協(xié)會、用戶和云服務(wù)提供商。歐盟委員會應(yīng)評估此類行為守則的發(fā)展情況和實施效果。

（32）如果一個成員國的有權(quán)機關(guān)請求另一成員國提供協(xié)助以便根據(jù)本條例獲取數(shù)據(jù)，其應(yīng)通過指定的單一聯(lián)絡(luò)點向后者指定的單一聯(lián)絡(luò)點提交具有正當理由的請求，其中應(yīng)包括對事由和獲取數(shù)據(jù)法律依據(jù)的書面說明。被請求提供協(xié)助的成員國所指定的單一聯(lián)絡(luò)點應(yīng)支持將請求遞交被請求成員國的有權(quán)機關(guān)。為了確保有效合作，被請求的有權(quán)機關(guān)應(yīng)不作遲延地提供協(xié)助以響應(yīng)特定請求，或提供有關(guān)該等請求執(zhí)行困難的信息，或提供拒絕執(zhí)行請求的理由。

（33）跨境數(shù)據(jù)處理安全的信任提升應(yīng)減少市場參與者和公共部門將數(shù)據(jù)本地化作為數(shù)據(jù)安全代理的傾向。在企業(yè)將數(shù)據(jù)處理業(yè)務(wù)外包給服務(wù)提供商包括其他成員國內(nèi)的服務(wù)提供商的場合中，還應(yīng)提高企業(yè)在遵守相關(guān)安全要求方面的法律確定性。

（34）根據(jù)歐盟法或數(shù)據(jù)所涉自然人、法人居住地或營業(yè)地成員國符合歐盟法的國家法律、以合理和相稱的方式設(shè)定的數(shù)據(jù)處理相關(guān)安全要求，也應(yīng)當適用于在另一成員國內(nèi)處理該數(shù)據(jù)。所涉自然人或法人應(yīng)能自行或通過與服務(wù)提供者簽訂的合同條款滿足該等要求。

（35）在國家層面設(shè)定的安全要求應(yīng)當是必要的，并且與設(shè)定該等要求的國家法律范圍內(nèi)的數(shù)據(jù)安全所面對的風險成比例。

（36）歐洲議會和歐盟理事會第 (EU)2016/1148號指令規(guī)定了提高歐盟網(wǎng)絡(luò)安全總體水平的法律措施。數(shù)據(jù)處理服務(wù)屬于該指令涵蓋的數(shù)字服務(wù)之一。根據(jù)該指令，成員國應(yīng)確保數(shù)字服務(wù)提供商確定并采取適當、相稱的技術(shù)及組織措施，以管理其使用的網(wǎng)絡(luò)和信息系統(tǒng)安全所面對的風險。這些措施應(yīng)確保與所涉風險相稱的安全水平，并應(yīng)考慮系統(tǒng)和設(shè)施的安全、事件處理、業(yè)務(wù)連續(xù)性管理，監(jiān)督、審計和測試，以及與國際標準的相符性。歐盟委員會在該指令項下的執(zhí)行法令中將就上述要素做出進一步的規(guī)定。

（37）歐盟委員會應(yīng)提交關(guān)于本條例實施情況的報告，特別是為了確定是否需要根據(jù)技術(shù)或市場發(fā)展做出修訂。該報告應(yīng)特別評估該條例，尤其是對于個人數(shù)據(jù)和非個人數(shù)據(jù)兼?zhèn)涞臄?shù)據(jù)集的適用情況，以及公共安全例外的適用情況。在本條例施行之前，歐盟委員會還應(yīng)發(fā)布關(guān)于如何處理個人數(shù)據(jù)和非個人數(shù)據(jù)兼?zhèn)涞臄?shù)據(jù)集的指導性指南，以便包括中小企業(yè)在內(nèi)的各類公司更好地理解本條例與第(EU)2016/679號條例之間的交互關(guān)系，并確保遵守這兩項條例。

（38）本條例尊重基本權(quán)利并遵循《歐盟基本權(quán)利憲章》特別認可的各項原則，其應(yīng)基于這些權(quán)利和原則，包括個人數(shù)據(jù)保護權(quán)、言論信息自由以及營業(yè)自由，予以解釋和適用。

（39）鑒于其規(guī)模和影響，本條例的目標也即確保歐盟內(nèi)非個人數(shù)據(jù)的自由流動，無法在成員國層面得到充分實現(xiàn)，而是需要歐盟層面的建設(shè)，歐盟可根據(jù)TEU第5條規(guī)定的補充原則采取相應(yīng)措施。根據(jù)該條規(guī)定的比例原則，本條例不超出實現(xiàn)該目標所需的必要限度。

茲通過本條例：

＊＊＊＊＊

第1條

主旨事項

本條例旨在為專業(yè)用戶規(guī)定涉及數(shù)據(jù)本地化要求、有權(quán)機關(guān)獲取數(shù)據(jù)以及遷移數(shù)據(jù)的相關(guān)規(guī)則，進而確保歐盟內(nèi)非個人數(shù)據(jù)的自由流動。

第2條

適用范圍

1、本條例適用于歐盟內(nèi)非個人電子數(shù)據(jù)的處理，其：

作為服務(wù)提供給在歐盟內(nèi)居住或擁有營業(yè)的用戶，不論服務(wù)提供商是否設(shè)立在歐盟內(nèi)，或者由在歐盟內(nèi)居住或擁有營業(yè)的自然人或法人根據(jù)自需所實現(xiàn)。

2、對于個人數(shù)據(jù)和非個人數(shù)據(jù)兼?zhèn)涞臄?shù)據(jù)集，本條例適用于該數(shù)據(jù)集的非個人數(shù)據(jù)部分。 如果數(shù)據(jù)集中個人數(shù)據(jù)和非個人數(shù)據(jù)密不可分，本條例不應(yīng)影響第(EU) 2016/679號條例的適用。

3、本條例不影響涉及成員國內(nèi)部組織的法律、法規(guī)和行政規(guī)定，不影響涉及歐盟第2014/24/EU號指令第2（1）條第（4）點界定的公共機關(guān)和受公法管轄的公共機構(gòu)間沒有私主體合同對價之數(shù)據(jù)處理的權(quán)力責任分配的法律、法規(guī)和行政規(guī)定，也不影響成員國有關(guān)該等權(quán)力責任落實的法律、法規(guī)和行政規(guī)定。

第3條

定義

為本條例目的，適用以下定義：

（1）“數(shù)據(jù)”意指第（EU）2016/679號條例第4條第（1）點界定的個人數(shù)據(jù)以外的數(shù)據(jù);

（2）“處理”意指以電子格式對數(shù)據(jù)或數(shù)據(jù)集執(zhí)行的任何操作或操作集合，無論其是否通過自動化手段，包括收集、記錄、組織、結(jié)構(gòu)化、存儲、調(diào)整或修改、檢索、查詢、使用、通過傳輸、分發(fā)或其他提供方式予以披露、排列或組合、限制、擦除或者銷毀；

（3）“法令草案”意指作為一般性法律、法規(guī)或行政規(guī)定予以施行而起草的文本，該文本正處于準備階段，仍可對其作出實質(zhì)性修正；

（4）“服務(wù)提供者”意指提供數(shù)據(jù)處理服務(wù)的自然人或法人;

（5）“數(shù)據(jù)本地化要求”意指要求在特定成員國內(nèi)處理數(shù)據(jù)或阻礙在其他成員國處理數(shù)據(jù)的任何義務(wù)、禁止、條件、限制或其他要求，其由成員國的法律、法規(guī)或行政規(guī)定予以設(shè)定，或者源自成員國和受公法管轄之機構(gòu)的、包括公共采購在內(nèi)的一般和持續(xù)的行政措施，在此不影響歐盟第2014/24 /EU號指令的適用；

（6）“有權(quán)機關(guān)”意指成員國國家機關(guān)或國家法律授權(quán)履行公共職能或行使官方權(quán)力的其他機構(gòu)，其有權(quán)獲取自然人或法人處理的數(shù)據(jù)以實現(xiàn)歐盟法或國家法規(guī)定的公共職責；

（7）“用戶”意指利用或請求數(shù)據(jù)處理服務(wù)的自然人或法人，包括公共機關(guān)或受公法管轄的機構(gòu);

（8）“專業(yè)用戶”意指為了與其貿(mào)易、經(jīng)營、工藝、專業(yè)或任務(wù)相關(guān)的目的利用或請求數(shù)據(jù)處理服務(wù)的自然人或法人，包括公共機關(guān)或受公法管轄的機構(gòu)。

第4條

歐盟內(nèi)數(shù)據(jù)自由流動

1、數(shù)據(jù)本地化要求應(yīng)予禁止，除非根據(jù)比例原則以公共安全為正當事由。

前文第1段不影響第3段和根據(jù)現(xiàn)行歐盟法設(shè)定的數(shù)據(jù)本地化要求。

2、成員國應(yīng)當根據(jù)第(EU)2015/1535號指令第5、6和7條規(guī)定的程序立即向歐盟委員會通報任何引入新的數(shù)據(jù)本地化要求或修改現(xiàn)有數(shù)據(jù)本地化要求的法令草案。

3、在...... [自本條例實施之日起24個月]之前，成員國應(yīng)確保廢除其一般性質(zhì)的法律、法規(guī)或行政規(guī)定中現(xiàn)存的、與本條第1款不相符的數(shù)據(jù)本地化要求。

在...... [自本條例實施之日起24個月]之前，如果成員國認為包含數(shù)據(jù)本地化要求的現(xiàn)行措施符合本條第1款并因此可以繼續(xù)有效，成員國應(yīng)將該措施通報歐盟委員會，并說明維持該措施有效性的正當理由。歐盟委員會應(yīng)在收到該通報之日起六個月內(nèi)，審查該措施是否符合本條第1款的規(guī)定，并在適當時向成員國就該問題發(fā)表意見，包括在必要時建議修改或廢除該措施，這不影響TFEU第258條的適用。

4、成員國應(yīng)在全國性在線單一信息點公布其一般性法律、法規(guī)或行政規(guī)定所確立的數(shù)據(jù)本地化要求的細節(jié)并定期予以更新，或者向根據(jù)另一項歐盟法令建立的中央信息點提供有關(guān)此類本地化要求的最新信息。

5、成員國應(yīng)向歐盟委員會通報第4款規(guī)定的單一信息點的地址。歐盟委員會應(yīng)在其網(wǎng)站上公布這些信息點的鏈接，并且定期更新第4款涉及的所有現(xiàn)行數(shù)據(jù)本地化要求的綜合清單，包括有關(guān)這些要求的摘要信息。

第5條

有權(quán)機關(guān)獲取數(shù)據(jù)

1、本條例不影響有權(quán)機關(guān)為根據(jù)歐盟法或國家法履行其職責要求或獲取數(shù)據(jù)訪問的權(quán)力。有權(quán)機關(guān)對數(shù)據(jù)的訪問不得以數(shù)據(jù)在另一成員國處理為由受到拒絕。

2、如果有權(quán)機關(guān)在要求訪問用戶數(shù)據(jù)后無法獲得訪問，并且在歐盟法或國際協(xié)定項下不存在具體合作機制以實現(xiàn)在不同成員國有權(quán)機關(guān)之間交換數(shù)據(jù)，該有權(quán)機關(guān)可根據(jù)第7條規(guī)定的程序要求另一成員國的有權(quán)機關(guān)提供協(xié)助。

3、如果協(xié)助要求需要被請求機關(guān)進入自然人或法人的任何處所，包括數(shù)據(jù)處理設(shè)備和裝置，則此類訪問必須符合歐盟法或國家程序法。

4、成員國可以根據(jù)歐盟法和國家法增加有效的、相稱的和阻遏性的懲罰，以處置不履行數(shù)據(jù)提供義務(wù)的行為。

在用戶濫用權(quán)利的情況下，成員國可以基于獲取數(shù)據(jù)的緊迫性以及相關(guān)各方的利益考量對該用戶采取嚴格符合比例要求的臨時措施。如果臨時措施要求重置數(shù)據(jù)處所超過180天，該措施應(yīng)當在此180天期限內(nèi)向歐盟委員會做出通報。歐盟委員會應(yīng)在最短的時間內(nèi)審查該措施及其與歐盟法的兼容性，并在適當時采取必要措施。歐盟委員會應(yīng)與第7條規(guī)定的成員國單一聯(lián)絡(luò)點就相關(guān)經(jīng)驗交換信息。

第6條

數(shù)據(jù)遷移

1、歐盟委員會應(yīng)鼓勵和促進歐盟層面自律性行為守則（“行為守則”）的制定，助益建設(shè)具有競爭力的數(shù)據(jù)經(jīng)濟，其以透明性和交互性原則為基礎(chǔ)，合理考慮開放標準，涵蓋如下方面：

a、最佳實踐，以便利服務(wù)提供者切換和以結(jié)構(gòu)化的、常用的且機器可讀的格式遷移數(shù)據(jù)，包括需要時或接收數(shù)據(jù)的服務(wù)提供者要求的開放標準格式；

b、最低信息要求，以確保專業(yè)用戶在簽訂數(shù)據(jù)處理合同之前能獲得足夠詳細的、清晰的和透明的信息，其涉及流程、技術(shù)要求、時間區(qū)間以及專業(yè)用戶切換服務(wù)提供者或者遷移數(shù)據(jù)回自有信息系統(tǒng)時的收費；

c、認證體制方法，助益專業(yè)用戶比較數(shù)據(jù)處理產(chǎn)品和服務(wù)，考察該等產(chǎn)品和服務(wù)與現(xiàn)行國家或國際規(guī)范的可比性。其中，這些方法可以包括質(zhì)量管理、信息安全管理、業(yè)務(wù)連續(xù)性管理和環(huán)境管理；

d、通訊路線圖，采用多學科方法以提高各利益攸關(guān)方對行為守則的認知。

2、歐盟委員會應(yīng)確保各利益攸關(guān)方密切合作制定行為守則，其包括中小企業(yè)（SMEs）和初創(chuàng)企業(yè)協(xié)會、用戶和云服務(wù)提供商。

3、歐盟委員會應(yīng)鼓勵服務(wù)提供者在......[自本條例公布之日起12個月]之內(nèi)完成行為準則的制定，并在...... [自本條例公布之日起18個月]之內(nèi)予以有效實施。

第7條

機關(guān)間合作程序

1、每個成員國應(yīng)指定一個單一聯(lián)絡(luò)點，其應(yīng)與其他成員國單一聯(lián)絡(luò)點和歐盟委員會就本條例的適用建立聯(lián)系。成員國應(yīng)將指定的單一聯(lián)絡(luò)點及其后續(xù)變更通報歐盟委員會。

2、如果一個成員國的有權(quán)機關(guān)根據(jù)第5條第（2）款請求另一成員國提供協(xié)助以便獲得數(shù)據(jù)訪問，則應(yīng)向后者指定的單一聯(lián)絡(luò)點提交正當化要求。該請求應(yīng)包括對理由的書面說明以及尋求數(shù)據(jù)訪問的法律依據(jù)。

3、單一聯(lián)絡(luò)點應(yīng)指明其成員國的相關(guān)有權(quán)機關(guān)，并將根據(jù)第2款收到的請求轉(zhuǎn)交該有權(quán)機關(guān)。

4、如此被請求的相關(guān)有權(quán)機關(guān)應(yīng)在沒有不當拖延的情況下，在與請求的緊急程度相稱的時間范圍內(nèi)，提供答復通報所請求的數(shù)據(jù)，或通知請求的有權(quán)機關(guān)不具備本條例有關(guān)請求協(xié)助的條件。

5、協(xié)助請求語境內(nèi)、第5條第（2）款規(guī)定的被交換信息只能用于被請求的事項。

6、單一聯(lián)絡(luò)點應(yīng)向用戶提供有關(guān)本條例的一般信息，包括行為準則。

第8條

評估和指南

1、不遲于...... [自本條例公布之日起48個月]，歐盟委員會應(yīng)向歐洲議會、歐盟理事會和歐洲經(jīng)濟社會委員會提交報告，評估本條例的實施情況，特別是在以下方面：

a、本條例的適用情況，尤其是市場發(fā)展和技術(shù)發(fā)展語境下對于個人數(shù)據(jù)和非個人數(shù)據(jù)兼?zhèn)涞臄?shù)據(jù)集的適用情況，其可能擴大匿名化數(shù)據(jù)的可能性；

b、成員國適用第4（1）條尤其是公共安全例外的情況；

c、制定和有效實施行為守則以及服務(wù)提供者有效提供信息的情況。

2、成員國應(yīng)向歐盟委員會提供編纂第1款所述報告的必要信息。

3、在...... [自本條例公布之日起6個月]之內(nèi)，歐盟委員會應(yīng)就本條例和歐盟第 (EU)2016/679號條例的交互關(guān)系發(fā)布指導性指南，尤其是涉及個人數(shù)據(jù)和非個人數(shù)據(jù)兼?zhèn)涞臄?shù)據(jù)集。

第9條

最終條款

本條例應(yīng)在《歐盟官方公報》上公布后的第二十天生效。

本條例自公布之日起六個月后施行。

本條例具有整體約束力，并直接適用于所有成員國。

畢于......

歐洲議會 歐盟理事會

主席 主席