以下文章來源于跨境合規及出海資訊 ,作者 Question 律師
作者 | Question 律師 中國及美國紐約州注冊律師,中國律所公司及商事法律業務合夥人
來源 | 跨境合規及出海資訊,管理智慧
咨詢合作 | 13699120588
文章僅代表作者本人觀點
編者按:
出海逐漸成爲最受關注的熱點趨勢之一,包括 App 出海。在海外用戶眼中,中國移動應用不僅在小衆市場需求方面能夠應對靈活迅捷,更能在市場營銷層面做到資金和平台的大幅推動,從而迅速吸納海外用戶。然而,挑戰中也不是沒有機遇,在任何國家 / 地區的市場從事相關業務都應當遵守當地法律法規。因爲不合規而引發法律風險也并非新鮮事,近年來我們不斷會聽到中國移動應用在包括美國、印度、澳大利亞等海外國家對中國 App 施加禁令、或是考慮對中國 App 施加禁令,合規也成爲了出海企業管理中不容忽視的關鍵環節,法律風險逐漸成爲了與商業風險同等重要的影響海外業務存續的重中之重。
鑒于 App 會涉及到産品開發、用戶數據收集以及後續處理等問題,因爲該等 App 本身的特性,數據合規是每款 App 都需要關注的問題。歐盟是最早關注數字經濟形态對于網絡安全、數據共享、隐私和數據安全、平台經濟監管等方面産生變革的市場,也最早在立法層面針對上述變化進行了調整。中國企業目前都非常熟悉《通用數據保護條例》 ( GDPR ) ,針對歐盟境内個人數據收集、處理活動、個人數據主體的權利以及數據處理者、數據控制者的義務都進行了規範,也是全世界範圍内數據保護立法的裏程碑式的文件。
2023 年末,歐盟理事會正式通過《關于公平訪問和使用數據的統一規則的條例》 ( Regulation on Harmonised Rules on Fair Access to and Use of Data,下稱《數據法案》 ) ,該法案項下相關合規義務将于 2025 年起正式開始适用。與 GDPR 類似,《數據法案》在歐盟數據合規領域同樣産生了重要的影響力,該法案标志着歐盟市場對于數據的規範思路已經從 GDPR 下的數據保護往數據在市場上的自由流通方向發生了轉變,該法案項下對于企業新增的合規義務值得出海歐盟市場的企業重點關注。
從 GDPR 到《數據法案》:
歐盟數據合規領域的立法思路
歐盟在數據合規領域的立法文件可謂是紛繁複雜,不僅僅是國内非常熟悉的 GDPR,還有要求數字營銷事先獲得用戶同意 ( opt-in ) 的《電子隐私指令》、細化的網絡安全要求并消除各歐盟成員國網絡安全措施領域立法沖突的《NIS 指令》、旨在創建更加安全的網絡空間并構建公平的數字競争生态的《數字市場法案》和《數字服務法案》等;即便是在《數據法案》重點關注的數據流通方面,此前出台的《數據治理法案》同樣涉及了這個問題。
鑒于近代以來歐洲一直保持的人權價值觀,歐盟長期秉持着以人權及個人隐私保護爲核心的監管理念,其中《歐盟基本權利憲章》首次将個人數據權納入其中,将個人數據權被歐盟上升爲基本人權進行保護,此後《裏斯本條約》生效标志着個人數據權正式成爲歐盟成員國憲法性權利 [ i ] 。在此背景之下,GDPR 生效,數據作爲基本人權與人格利益進行法律保護,改變了歐盟其他立法性文件主要基于歐盟内部市場統一的目标;GDPR 雖然涉及了數據可攜權的問題,但本質上 GDPR 更關注 " 保護 " 而非 " 流通 ",數據可攜這個理念很難在數據保護這個前提下展開,因此對于這個權利 GDPR 僅僅進行了原則性的規定 [ ii ] 。
但除了隐私之外,數據流動同樣是數據監管領域的重要價值取向,尤其是歐盟始終認爲數字化轉型是幫助其脫離現存問題和應對未來挑戰的方法,歐盟希望通過數字經濟的發展幫助其提升國際影響力和話語權,要建立統一、安全的數字空間來消除壁壘,在此背景下爲了更好地指導歐盟成員國發展數字經濟,歐盟委員會發布《2030 數字指南:歐洲數字十年之路》以落實歐盟數字經濟發展戰略 [ iii ] 。有鑒于此,歐盟此後在數據合規領域的立法思路發生了轉變,逐步變化爲增加數據流動、促進創新産品與服務、解決數據 lock-in 的問題,但此前這一思路鑒于 GDPR 因其與保護爲主的執法宗旨而沒有得到重視 [ iv ] 。
随着數據流通的商業需求愈加顯著,《數據治理法案》以及《數據法案》應運而生,重點落實了将數據流動起來、以及如何能夠讓這些數據能夠得到有效再利用的問題,共同推動歐盟内單一數據市場的建立。
《數據法案》對于出海歐盟的企業可能造成什麽影響?
與 GDPR 類似,《數據法案》同樣具有一定的域外适用效力。《數據法案》适用于在歐盟市場内銷售的聯網産品制造商和相關服務提供商 ( 包括相關服務交互的虛拟助手 ) ,以及向歐盟境内的數據接收者提供數據的數據持有者,及向歐盟境内客戶提供相關服務的數據處理服務提供商,無論其營業地是否位于歐盟境内,因此完全可能适用于營業地位于中國、但向歐盟市場提供上述産品或服務的中國出海企業。對于聯網産品,該法案的定義爲 " 獲取、生成或收集有關其使用或環境的數據的物品,并且能夠通過電子通信服務、物理連接或設備訪問通信産品數據 "。
因此,鑒于上述規定,涉及智能設備行業、物聯網行業的硬件設備或軟件服務提供商,或是涉及虛拟助理服務、數據存儲分析、雲計算服務等數據處理服務提供商,需要核查自身業務流程、業務類型與業務範圍,盤點公司是否處理持有該法案所關注的産品數據和相關服務數據,全面審查企業是否面向歐盟市場、是否存在位于歐盟的客戶,以便明确企業是否需要适用《數據法案》項下額外的合規要求。關于《數據法案》對于企業的合規義務,詳見本文第三部分《數據法案》項下企業合規義務清單。
盡管該法案尚未如 GDPR 一樣明确建立基于全球營業額的處罰标準,但該法案的處罰條款将具體的處罰規定交由歐盟成員國自行決定,并給出處罰規則設置時建議考慮的因素,并且《數據法案》不影響 GDPR 的執行及相關數據保護監管機構的職權,因此不能排除該法案正式适用後各成員國參照 GDPR 的标準制定具體處罰規則的可能性,相關企業還是需要予以重視。
《數據法案》項下企業合規義務清單 [ v ]
我們根據該法案文本整理了該法案項下企業的合規義務清單。需要說明的是,以下清單未窮盡該法案項下全部義務條款,企業還需要根據自身實際業務情況根據法案規定核查自身的合規需求。
義務類型 | |
條款編号 | 條款具體内容 |
保障用戶知情權 | |
第 3 條 | 在訂立提供相關服務的合同前,相關服務的提供者應以清晰可理解的方式向用戶提供以下信息: ( 1 ) 将生成的相關服務數據的性質和估計量,以及用戶訪問或檢索該等數據的安排,包括未來數據持有者的數據存儲安排和保留時間; ( 2 ) 預期的數據持有者是否希望使用現成的數據本身以及使用這些數據的目的,以及是否打算允許一個或多個第三方使用這些數據用于與用戶商定的目的; ( 3 ) 潛在數據持有者的身份,如其公司名稱和地理地質,以及 ( 如适用 ) 其他數據處理方的身份; ( 4 ) 使其能夠快速與潛在數據持有人取得聯系并與該數據持有人進行有效通信的通信方式; ( 5 ) 用戶如何要求與第三方共享數據,并在使用的情況下結束數據共享; ( 6 ) 用戶與潛在數據持有人之間的合同期限,以及終止該等合同的安排。 |
保障用戶訪問請求的實現,并确保賦予用戶要求将其數據共享給第三方的權利 | |
( 1 ) 預期數據持有者預期獲得的産品數據的性質、估計量和收集頻率,以及在相關情況下,用戶訪問或檢索此類數據的安排,包括預期數據持有者的數據存儲安排和保留時間。 | |
第 4 條 | 用戶和數據持有人在訪問、使用和提供産品數據和相關服務數據方面的權利和義務: ( 1 ) 如果用戶不能從所連接的産品或相關服務直接訪問數據,數據持有人應提供與數據持有人相同質量、方便、安全、免費、全面、結構化、常用和機器可讀的格式,并在相關和技術上可行的情況下,連續和實時。在技術可行的情況下,通過電子手段提出簡單的要求。 ( 2 ) 數據持有者不得使用戶行使選擇或權利過于困難,包括以非中立的方式向用戶提供選擇,或通過用戶數字界面的結構、設計、功能或操作方式颠覆或損害用戶的自主、決策或選擇。 ( 3 ) 爲了驗證自然人或法人是否符合第 1 款規定的用戶資格,數據持有人不得要求該人提供超出必要的範圍的任何信息。數據持有人不得保存任何關于用戶訪問所請求的數據的信息,超出用戶的訪問請求以及數據基礎設施的安全和維護所必須的信息。 ( 4 ) 除履行與用戶的合同外,數據持有者不得出于商業或非商業目的向第三方提供非個人産品數據。在相關情況下,數據持有者應通過合同約束第三方不得進一步分享從其處獲得的數據。 |
第 5 條 | 用戶與第三方共享數據的權利: ( 1 ) 應用戶或代表用戶行事的一方的請求,數據持有者應在不無故拖延的情況下,以全面、結構化、通用和機器可讀的方式,向第三方提供現成的數據以及解釋和使用這些數據所需的相關元數據,其質量應與數據持有者可用的相同,并應方便、安全、免費的提供給用戶,在相關且技術可行的情況下,還應連續和實時的提供。 ( 2 ) 爲核實自然人或法人是否符合前款所述用戶或第三方資格,用戶或第三方無需提供任何必要信息之外的信息。數據持有者不得保存任何有關第三方訪問所申請數據的信息,除非使爲了妥善執行第三方的訪問請求以及爲了數據基礎設施的安全和維護所必須的。 |
采取必要的技術保護措施 | |
第 11 條 | 針對未經授權使用或披露的數據的技術保護措施。數據持有者可采用适當的技術保護措施,包括智能合約和加密,以防止對數據 ( 包括元數據 ) 的未經授權的訪問。此類技術保護措施不得區别對待數據接收方,不得妨礙用戶獲取數據副本、檢索、使用或訪問數據的權利,不得妨礙第三方根據歐盟法律或根據歐盟法律通過的國家立法享有的任何權利。 |
數據接收者應當根據約定使用數據,不得不正當獲取數據 | |
第 6 條 | 應用戶要求接收數據的第三方的義務,第三方應僅在與用戶商定的目的和條件下,根據本法第 5 條處理向其提供的數據,并遵守歐盟和國家關于保護個人數據的法律,包括數據主題在個人數據方面的權利。除非與用戶就非個人數據另有約定,否則第三方應在不再需要用于約定目的時删除數據。 |
不得利用優勢談判地位設置不公平的合同條款 | |
第 8 條 | 數據持有者向數據接收者提供數據的條件: ( 1 ) 在企業對企業關系中,如果數據持有者有義務向數據接收這提供數據,則數據持有者應與數據接收者商定提供數據的安排,并應根據公平、合理和非歧視的條款和條件,以透明的方式,按本法規定提供數據。 ( 2 ) 不得要求數據持有者和數據接收者提供任何超出必要範圍的信息。 ( 3 ) 除非歐盟法律或根據歐盟法律通過的國家立法另有規定,向數據接收者提供數據的義務不得強制披露商業秘密。 |
第 13 條 | 單方面強加給另一方企業的不公平合同條款。 ( 1 ) 一企業單方面強加給零一企業的有關獲取和使用數據或違反或終止數據相關義務的責任和補救措施的合同條款,如果不公平,則對被強加企業不具有約束力。 ( 2 ) 如果合同條款的性質使其使用嚴重偏離了數據獲取和使用方面的良好商業慣例,違背了誠信和公平交易原則,則該條款使不公平的。 ( 3 ) 就以下目的使不公平的,如果合同條款的目的或效力在于:排除或限制單方面世家該條款的一方對于故意或重大過失的責任;未履行合同義務的情況下可采取鵝不久措施或義務被違反的情況下應承擔的責任;賦予單方面強加條款的一方決定所提供數據是否符合合同規定或解釋任意合同條款的專屬權利。 |
允許用戶在數據處理服務提供商之間實現有效切換,将障礙降至最低 | |
第 25 條 | 涉及數據處理服務提供商或内部 ICT 基礎設施的轉換時,客戶的權利和數據處理服務提供商的義務應在書面合同中明确規定。合同應至少包括以下内容:任何情況下不超過 30 個日曆日的強制性最長過渡期。 啓動轉換過程的最長通知期,不超過兩個月。 |
第 29 條 | 自本法生效之日起三年後,數據處理服務提供商不得就轉換過程向客戶收取任何轉換費用。 |
第 30 條 | 數據處理服務提供商應向期所有客戶和相關數據處理服務目的地提供商免費提供同等程度的開放接口,以便切換過程。這些借口應包括有關服務的信息,以使軟件開發能夠與服務通信,從而實現數據可移植性和互操作性。 |
制定通用的技術标準和互操作性規則,避免被特定的數據服務提供商綁定 | |
第 33 條 | 向其他參與者提供數據或數據服務的數據空間參與者應遵循本法基本要求,以促進數據、數據共享機制和服務的互操作性,以及歐洲共同數據空間的互操作性。 |
企業對政府的數據共享義務 | |
第 14 條 | 公共部門機構、歐盟委員會、歐洲中央銀行或聯盟,如果公共機關證明有特殊需要使用某些數據,包括解釋和使用這些數據所需的相關元數據,以履行期爲公衆利益而承擔的法定職責,則持有這些數據的法人數據持有者應根據适當說明了理由的請求提供這些數據。 |
結語
1. 《通用數據保護條例》 ( General Data Protection Regulation ) ;
2. 《數據保護執法指令》 ( Law Enforcement Directive ) ;
3. 《電子隐私指令》 ( Directive on Privacy and Electronic Communications ) ;
4. 《網絡和信息系統安全指令》 ( NIS 指令,Directiveon Security of Network and Information Systems ) ;
5. 《數據保留指令》 ( Data Retention Directive ) ;
6. 《數據治理法案》 ( Data Governance Act ) ;
7. 《關于公平訪問和使用數據的統一規則的條例》 ( 數據法案,Regulationon Harmonised Rules on Fair Access to and Use of Data ) ;
8. 《數字市場法案》 ( Digital Market Act ) ;
9. 《數字服務法案》 ( Digital Services Act ) ;
10. 《關于開放數據和公共部門信息再利用的指令》 ( Open data and the re-use of public sector information Directive ) ;
11. 《非個人數據自由流動條例》 ( Free Flow of Non-Personal Data Regulation ) ;
12. 《人工智能法案》 ( Artificial Intelligence Regulation ) 。
注釋
[ i ] 《大國博弈下的跨境數據流動國際規則構建》,中工網,https://www.workercn.cn/c/2023-05-22/7847366.shtml。
[ ii ] 《前有 GDPR,後有數據治理法案 ( DGA ) ,爲什麽歐盟還要再出一個 " 數據法案 " ( DA ) ?》,微信公衆号 " 科技利維坦 ",https://mp.weixin.qq.com/s/ipvWDkFHcNWjMbAfJ8goAA。
[ iii ] 《歐盟數字經濟監管》,微信公衆号 " 中東歐經濟研究所 ",https://mp.weixin.qq.com/s/CqCZGEcwdiLOxZDu0JfbBA。
[ iv ] 《前有 GDPR,後有數據治理法案 ( DGA ) ,爲什麽歐盟還要再出一個 " 數據法案 " ( DA ) ?》,微信公衆号 " 科技利維坦 ",https://mp.weixin.qq.com/s/ipvWDkFHcNWjMbAfJ8goAA。
[ v ] 中文翻譯參考了《全譯本首發 | 歐盟《數據法案 ( 通過版 ) 》:關于公平訪問和使用數據的統一規則》,微信公衆号 " 數據法盟 ",https://mp.weixin.qq.com/s/Jz-VIAZ36pwJLcqfmvHitw。