欧盟《非个人数据自由流动条例》 （2018-10-04） 中文译本 吴沈括 译 北京师范大学网络法治国际中心执行主任、博导 中国互联网协会研究中心秘书长 北京师范大学网络法治国际中心 2018 年 10 月 09 日 来源：网络法治国际中心 欧盟《非个人数据自由流动条例》 （2018-10-04） 欧洲议会与欧盟理事会, 鉴于《欧洲联盟运作条约》，特别是其第 114 条， 鉴于欧洲委员会的提议, 将立法草案转递各国议会之后， 鉴于欧洲经济社会委员会的意见[1], 咨询区域委员会之后，按照普通立法程序行事[2], 鉴于: （1）经济的数字化正在加速。信息和通信技术不再是一个特定的部门，而是所有现代创新经济体系 和社会的基础。电子数据是这些系统的核心，在分析或与服务和产品结合时可以产生巨大价值。与此 同时，数据经济的快速发展以及人工智能、物联网产品和服务、自治系统和 5G 等新兴技术正在围绕 数据访问和重复使用、责任、伦理和团结等问题提出新的法律问题。应该在责任问题上付诸考虑，特 别是通过落实自律规范和其他最佳做法，同时考虑整个数据处理价值链中没有人为干预的建议、决定 和行动。此类考虑还可能包括引入适当机制以助于确定责任、在合作服务之间配置责任、保险以及审 计。 （2）数据价值链建立在不同的数据活动上：数据创建和收集; 数据汇聚和组织; 数据处理; 数据分析、 营销和分销; 使用和重复使用数据。数据处理的有效和高效运作是任何数据价值链的基本组成部分。 然而，数据处理的有效和高效运作以及欧盟数据经济的发展尤其受到数据移动性和内部市场层面的两 种障碍：成员国机关的数据本地化要求以及私营部门供应商的锁闭实践。 （3）根据《欧洲联盟运作条约》（TFEU）建立的营业自由和提供服务自由适用于数据处理服务。但 是，有时某些国家、区域或地方要求在特定领域内锁定数据，会妨碍提供此类服务。 （4）数据处理服务自由移动和服务提供者营业权的这些障碍源于成员国法律要求在特定地理区域或 领土内锁定数据以进行数据处理。其他规则或行政措施具有相同的效果，其提出特定要求使得欧盟内 在特定地理区域或者领土之外处理数据变得更为困难，例如要求使用在特定成员国内经过认证或批准 的技术设施。关于数据本地化要求的合法和非法程度的法律不确定性进一步限制了市场参与者和公共 部门对数据处理位置的选择。本条例绝不限制企业签订规定数据位置的合同的自由。本条例仅旨在通 过确保商定的地点能够位于欧盟内的任何地方来保护该等自由。 （5）与此同时，欧盟内的数据移动性也受到私人限制的阻碍：各类法律、合同和技术问题阻碍或阻 止数据处理服务用户将数据从一个服务提供商转移到另一个服务提供商或者返回到其自有的信息技 术系统，尤其是在和服务提供商终止合同时。 （6）这些障碍的结合导致欧盟内的云服务提供商之间缺乏竞争、各种供应商锁闭问题以及数据移动 性严重缺乏。同样，数据本地化政策削弱了研发公司促进公司、大学和其他研究机构之间创新驱动的 能力。 （7）出于法律确定性的原因以及欧盟内公平竞争环境的需要，适用于所有市场参与者的一套规则是 内部市场运作的关键因素。为消除因国家法律之间的差异而导致的贸易障碍和竞争扭曲，并防止出现 可能的进一步贸易障碍和严重的竞争扭曲，有必要采用适用于所有成员国的统一规则。 （8）关于在处理个人数据中保护自然人、尊重私生活和电子通信中保护个人数据法律框架，特别是 欧洲议会和欧盟理事会第 (EU) 2016/679 号条例[3]与欧洲议会和欧盟理事会第（EU）2016/680 号 指令[4] 、第 2002/58/EC 号指令[5]不受本条例的影响。 （9）不断发展的物联网、人工智能和机器学习，反映了非个人数据的主要来源，例如作为它们部署 在自动化工业生产过程中的结果。非个人数据的具体示例包括用于大数据分析的聚合、匿名化数据集， 有助于监控和优化农药及流水使用的精确农业数据，或者有关工业机器维护需求的数据。如果技术发 展可以将匿名化数据转换为个人数据，则此类数据将被视为个人数据，并且相应适用欧盟第（EU） 2016/679 号条例。 （10）根据欧盟第（EU）2016/679 号条例，成员国不得出于个人数据处理中的自然人保护限制或 禁止个人数据在欧盟内自由流动。本条例同样规定了欧盟内非个人数据的自由流动原则，除非为了公 共安全原因而做出限制或禁止。欧盟第（EU）2016/679 号条例和本条例提供了一套连贯的规则，以 实现不同类型数据的自由流动。此外，本条例并未要求分别存储不同类型数据的义务。 （11）为了建立欧盟非个人数据自由流动的框架以及发展数据经济和提高欧盟产业竞争力的基础， 有必要制定明确、全面和可预测的法律框架以助益内部市场中非个人数据的处理。促进成员国之间合 作以及自我监管的基于原则的进路应确保该框架足够灵活，以满足欧盟内用户、服务提供者和国家机 关不断变化的需求。为避免与现有机制重叠的风险进而避免成员国和企业承担更高的负担，不应制定 详细的技术规则。 （12）本条例不应影响数据处理，如果它是不属于欧盟法律适用范围的一项活动的组成部分。特别 地，兹根据《欧洲联盟条约》（TEU）第 4 条重申，国家安全只是每个成员国的责任。 （13）欧盟内部的数据自由流动将在实现数据驱动增长和创新方面发挥重要作用。与企业和消费者 一样，成员国的公共机构和受公法管辖的机构可以从数据驱动型服务提供商更多的选择自由、更具竞 争力的价格和更有效地向公民提供服务中受益。鉴于受公法管辖的公共机构和机关处理的大量数据， 尤其重要的是他们以身作则，重塑数据处理服务，并且在获取数据处理服务时不采取数据本地化限制。 因此，本条例应涵盖受公法管辖的公共机构和机关。在此，本条例规定的非个人数据自由流动原则也 应适用于一般和持续的行政措施以及公共采购领域的其他数据本地化要求，而不影响欧洲议会和欧盟 理事会第 2014/24 /EU 号指令[6]。 （14）如同欧盟第 2014/24/EU 号指令，本条例不影响涉及成员国内部组织的法律、法规和行政规 定，不影响涉及成员国内公共机关和受公法管辖的公共机构间没有私主体合同对价之数据处理的权力 责任分配的法律、法规和行政规定，也不影响成员国有关该等权力责任落实的法律、法规和行政规定。 虽然鼓励公共机关和受公法管辖的公共机构考虑外包给外部服务提供商的经济和其他好处，但他们可 能有合理的理由选择自我提供服务或内包。因此，本条例并不要求成员国将其希望自行提供的服务予 以外包或者通过公共合同以外的方式予以实现。 （15）本条例适用于向在欧盟内居住或拥有营业的用户提供数据处理服务的自然人或法人，包括在 欧盟内提供数据处理服务、但在欧盟内没有营业的人。因此，本条例不适用于在欧盟外发生的数据处 理服务以及与此类数据相关的数据本地化要求。 （16）本条例不规定涉及商业事项中确定适用法律的规则，因此不影响欧洲议会和欧盟理事会第 593/2008（EC）号条例[7]。特别地，如果没有根据该条例选择适用于合同的法律，涉及提供服务的 该合同原则上受服务提供者惯常居住地国的法律管辖。 （17）本条例适用于最广意义上的数据处理，包括所有类型信息系统的使用，无论其是否位于用户 的场所抑或外包给服务提供商。它应涵盖不同强度级别的数据处理，从数据存储（基础架构即服务 （IaaS））到平台数据处理（平台即服务（PaaS））抑或应用程序处理（软件即服务（SaaS））。 （18）数据本地化要求是对欧盟内自由提供数据处理服务和内部市场的明显障碍。因此应当予以禁 止，除非根据欧盟法律特别是在 TFEU 第 52 条的含义范围内以公共安全为正当基础，并且符合 TEU 第 5 条所规定的比例原则。为了实现非个人数据的跨境自由流动原则，确保迅速消除现有数据本地化 要求，促进为运营理由在欧盟内的多地点数据处理，并且鉴于本条例规定了为监管控制目的确保数据 可用性的措施，成员国只能援引公共安全作为数据本地化要求的正当依据。 （19）“公共安全”概念，处于 TFEU 第 52 条的含义范围内并且如欧洲正义法院的阐释，涉及成员 国的内部和外部安全，以及公共安保问题，尤其是刑事罪行的调查、侦查和检控。它要求存在威胁社 会基本利益的真实的、充分严重的威胁，例如危害国家机关和基本公共服务的运作以及人民生存的威 胁，以及严重干扰外交关系或国家和平共处的风险，或者威胁军事利益的风险。根据比例原则，以公 共安全为理由的数据本地化要求应当适于实现所追求的目标，并且不应当超出实现该目标所必需的限 度。 （20）为了确保有效适用非个人数据跨境自由流动原则，防止出现损害内部市场顺利运作的新障碍， 成员国应当立即向欧盟委员会通报任何引入新的数据本地化要求或修改现有数据本地化要求的法令 草案。应当根据欧洲议会和欧盟理事会第 (EU) 2015/1535 号指令提交和评估这些法令草案[8]。 （21）此外，为了消除潜在的现有障碍，在本条例施行之日起 24 个月的过渡期内，成员国应对现行 提出数据本地化要求的一般性法律、法规或行政规定进行审查，并且向欧盟委员会通报他们认为符合 本条例的任何该等数据本地化要求及其正当性事由。这应使欧盟委员会能够审查任何留存的数据本地 化要求的合规性。适当时，欧盟委员会应该能够向有关成员国提出意见。该等意见可包括修改或废除 数据本地化要求的建议。 （22）本条例规定的向欧盟委员会通报现有数据本地化要求和法令草案的义务涵盖监管性数据本地 化要求和一般性法令草案，但不涵盖针对特定自然人或法人的决定。 （23）为了向自然人和法人，例如服务提供者和数据处理服务的用户，确保成员国一般性法律、法 规或行政规定所确立的数据本地化要求的透明度，成员国应在其全国性在线单一信息点公布涉及此类 要求的信息并定期予以更新。或者，成员国应向根据另一项欧盟法令建立的中央信息点提供有关此类 要求的最新信息。为了向自然人和法人合理告知欧盟内的数据本地化要求，成员国应向欧盟委员会通 报该等单一信息点的地址。欧盟委员会应在其网站上公布这些信息，并且定期更新成员国所有现行数 据本地化要求的综合清单，包括有关这些要求的摘要信息。 （24）数据本地化要求往往源于对跨境数据处理的信任缺乏，这是因为假定成员国有权机关无法为 了例如调查和审计以实现监管控制目的而获取数据。这种信任缺乏不能仅仅通过宣告禁止有权机关依 法获取数据以履行其职责的合同条款的无效予以克服。因此，本条例明确规定其不影响有权机关根据 欧盟或本国法律要求获取数据的权力，不得基于数据在他国处理的事实拒绝有权机关获取数据。有权 机关可以提出功能要求以支持数据获取，例如要求系统脚本留存在相关成员国内。 （25）有义务向有权机关提供数据的自然人或法人可以通过向有权机关提供和保证有效、及时电子 访问的方