作者 | 王渝伟 余扬 马艺清
随着欧盟数字单一市场的深度整合与全球数据治理规则的加速演进,欧盟凭借其严格的数据保护制度、完善的法律体系以及庞大的消费市场,已成为中国企业出海布局的重要目的地。在数字经济领域,欧盟是全球体量最大的统一数字市场之一。根据Ecommerce Europe与EuroCommerce联合发布的《2025年欧洲电商报告》(European E-commerce Report 2025),2024年欧洲B2C电商市场总规模达8420亿欧元,同比增长7%,其中欧盟27国贡献约78%;欧洲互联网普及率已升至93%,2024年73%的欧洲网民(16至74岁)完成了网络购物,较上年提升2个百分点,预计2025年将延续7%的整体增速。市场涵盖电商、金融科技、人工智能等在内的数字产业,对中国企业形成强烈战略吸引力。[1]
然而,欧盟市场的高价值回报背后,是全球最为严格的数据合规要求。在执法实践中,已出现多起针对中国企业的重大处罚案例。TikTok于2023年因违规处理儿童数据被爱尔兰数据保护委员会(Data Protection Commission,以下简称“DPC”)处以3.45亿欧元罚款[2],并于2025年因将欧洲用户数据违规传输至中国再被处以5.3亿欧元罚款[3],成为近年中国企业欧盟合规风险的最直接注脚。任何忽视或低估欧盟数据法规复杂性的企业,均面临动辄数亿欧元行政处罚的重大法律风险。关于该案件的更多分析可见《爱尔兰数据保护委员会对TikTok处罚裁决书解读:出海欧盟合规启示与实务思考》。
立法层面,欧盟数据保护制度以2018年生效的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)为核心,辅以《电子隐私指令》(ePrivacy Directive,以下简称“ePrivacy指令”)等专项规定,共同构筑起对个人数据处理的严密规范体系。与此同时,欧盟近年来密集出台《数字服务法》(Digital Services Act,以下简称“DSA”)、《数字市场法》(Digital Markets Act,以下简称“DMA”)、《数据法案》(Data Act)、《数据治理法》(Data Governance Act,以下简称“DGA”)、《人工智能法案》(Artificial Intelligence Act,以下简称“AI Act”)以及《网络与信息安全指令》(Network and Information Security Directive 2,以下简称“NIS2”)、《网络安全法》(Cybersecurity Act,以下简称“CSA”)、《数字运营韧性法案》(Digital Operational Resilience Act,以下简称“DORA”)等,构建起覆盖数字市场、数据共享、人工智能与网络安全的全方位监管框架。2025年11月,欧盟委员会发布《数字综合法案》(Digital Omnibus)提案,拟对上述多项法规进行系统性整合与修订,进一步优化合规路径。
基于此,本所结合服务中资企业进入欧盟市场的实务经验,从企业视角筛选数据合规核心关切,以Q&A形式系统梳理解析,助力相关企业搭建与欧盟高标准规则衔接的数据合规框架。
欧盟的数据保护法律体系以GDPR为绝对核心。GDPR于2016年颁布,自2018年5月25日起正式适用,是规范欧盟境内个人数据收集、使用、存储和流通的基础性法律,被誉为全球最严格的数据保护法规,深刻影响了全球数据立法走向。ePrivacy指令则专门规范了电子通信领域的隐私保护,涵盖Cookie使用、直接营销、通信保密等议题,与GDPR并行适用,共同构成个人数据保护的双重规范框架。
此外,欧盟近年来密集构建了覆盖数字市场、数据流通、人工智能与网络安全的监管生态:
1. 数字市场监管:《数字服务法》(DSA)和《数字市场法》(DMA)分别规范平台责任与“守门人”行为;
2. 数据流通与共享:《数据法案》(Data Act)规范物联网数据访问与B2B数据共享,《数据治理法》(DGA)规范数据中介服务;
3. 人工智能:《人工智能法案》(AI Act)于2024年8月1日生效,是全球首部系统性AI立法,按风险分级设定合规义务;
4. 网络安全:《网络与信息安全指令》(NIS2)、《网络安全法》(CSA)及《数字运营韧性法案》(DORA)分别从关键基础设施、网络安全认证及金融行业数字韧性角度设定合规要求。
欧盟数据保护监管体系呈现出“统一规则、分散执法”的双层结构。
欧洲数据保护委员会(EDPB)是欧盟层面的独立数据保护协调机构,由全体成员国数据保护机构负责人及欧洲数据保护监督机构(European Data Protection Supervisor,以下简称“EDPS”)组成。EDPB依据GDPR第68条设立,其主要职能包括:发布具有权威性的指南与建议,就跨境案件作出具有约束力的决定,协调各成员国DPA之间的执法合作,以及在一站式机制下处理监管机构之间的争议。
各成员国DPA是GDPR日常执法的直接主体,负责受理投诉、开展调查、作出处罚决定。各成员国DPA独立行使职权,但须遵循GDPR及EDPB的统一解释框架。在实践中,爱尔兰数据保护委员会(DPC)、卢森堡国家数据保护委员会(Commission Nationale pour la Protection des Données,以下简称“CNPD”)、法国国家信息与自由委员会(Commission Nationale de l'Informatique et des Libertés,以下简称“CNIL”)、荷兰数据保护局(Autoriteit Persoonsgegevens,以下简称“AP”)、西班牙数据保护局(Agencia Española de Protección de Datos,以下简称“AEPD”)等DPA主管大型平台或执法活跃度较高,在中国出海企业合规管理中值得重视。
一站式机制(One-Stop-Shop Mechanism):当企业在欧盟多个成员国开展业务时,通常将“主要设立地”(main establishment)所在成员国的DPA确定为“牵头监管机构”(Lead Supervisory Authority),统一处理跨境数据处理问题,其他成员国DPA作为“相关监管机构”参与协商,显著简化了跨境合规管理。
GDPR采用宽泛的域外适用标准,根据GDPR第3条,其适用性须从以下两个维度判断:
1. 设立机构标准[4]
凡在欧盟境内设有“机构”(establishment)的控制者或处理者,其在欧盟境内开展机构活动过程中处理个人数据的行为,均受GDPR规制——无论数据处理行为实际发生于何处。“机构”的认定采宽泛解释,无需注册为法律实体,驻欧代表处、分支机构乃至在欧常驻的销售人员,均可能构成GDPR意义上的“机构”。
2. 目标指向标准[5]
即便企业在欧盟境内无任何设立,只要其数据处理活动与下列情形之一相关,亦须适用GDPR:
(1)向欧盟境内数据主体提供商品或服务(无论是否收费);
(2)监控欧盟境内数据主体的行为(包括通过Cookie追踪网络行为、行为画像等)。
在实践中,判断是否满足“目标指向标准”,须结合以下因素综合分析:是否提供欧盟成员国语言版本、是否接受欧元支付、是否在欧盟地区开展广告投放、是否明确面向欧盟用户等。更多深入分析可见《观韬解读 | GDPR是否适用于出海欧盟的中国企业?——第3.2(a)条与“市场地”原则解读》。
以下是GDPR中与企业合规实践最为密切的核心定义:
1. “个人数据”(Personal Data):指与已识别或可识别自然人(“数据主体”)相关的任何信息。可识别性采宽泛解释,包括姓名、身份证号、位置数据、在线标识符(如Cookie ID、IP地址)以及反映自然人身体、生理、遗传、心理、经济、文化或社会认同的特定因素。
2.“特殊类别个人数据”(Special Categories of Personal Data):GDPR第9条明确列举了须受更严格保护的敏感数据类别,包括:种族或民族背景、政治观点、宗教或哲学信仰、工会成员资格、遗传数据、用于识别自然人的生物特征数据、健康数据、性生活或性取向相关数据。处理特殊类别个人数据须同时满足第6条合法性基础和第9条第2款的特定例外条件。
3. “控制者”(Controller):指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他团体。控制者承担GDPR下的主要合规义务。
4. “处理者”(Processor):指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他团体。处理者须与控制者签订数据处理协议(DPA协议),并仅按照控制者的明确指示处理数据。
5. “处理”(Processing):含义极为宽泛,涵盖对个人数据的任何操作,包括收集、记录、组织、构建、存储、改编、检索、咨询、使用、披露、传播、对齐、组合、限制、删除或销毁。
6. “假名化”(Pseudonymisation)与“匿名化”(Anonymisation):假名化数据(如以随机标识符替代姓名)在额外信息存在时仍可被识别,仍属个人数据,受GDPR规制;完全匿名化数据则超出GDPR适用范围。两者的区别在实务中具有重要合规意义。
GDPR第37至39条对DPO制度作出详细规定。
(一)强制任命情形
1. 控制者或处理者为公共当局或公共机构(司法机构在其司法职能范围内除外);
2. 核心活动需要对数据主体进行大规模、定期且系统性的监控;
3. 核心活动涉及大规模处理第9条特殊类别个人数据或第10条刑事定罪和违法行为数据。
对于中国出海企业而言,凡运营面向欧盟用户的互联网平台、开展用户行为追踪与画像或大量处理健康、生物特征等敏感数据的,通常须强制设立DPO。即便不满足强制条件,许多企业出于与监管机构建立良好沟通渠道、提升合规可信度的考虑,亦自愿任命DPO。
(二)资质要求
DPO须具备数据保护法律与实践方面的专业知识,且必须具备独立性——不得因履行DPO职责而受到指示或处罚。DPO可以是内部员工(专职或兼职),也可以是外部服务提供商,可由多个组织共同任命。
(三)主要职责
1. 就GDPR合规义务向控制者、处理者及员工提供告知和建议;
2. 监督GDPR及其他数据保护法律的遵守情况,包括分配责任、开展培训等;
3. 就数据保护影响评估(Data Protection Impact Assessment,简称“DPIA”)提供建议并监督执行;
4. 与数据保护监管机构合作,作为机构与监管机构之间的联络人;
5. 就数据主体行使权利的请求提供支持与处理建议。
(四)公开联系方式与登记义务
控制者和处理者须向监管机构登记DPO信息,并向数据主体公开DPO的联系方式。
GDPR第6条规定了六种并列的数据处理合法性基础,控制者必须在处理前确定并依赖其中之一,且不同合法性基础之间不得随意切换。
1. 同意(Consent):数据主体就一项或多项特定目的作出自由、具体、知情且明确的意思表示。同意须通过明确的肯定性行动作出,预勾选框、沉默或不作为均不构成有效同意。数据主体有权随时撤回同意,且撤回应与给予同意同样便利。
2. 合同履行(Contractual Necessity):处理对于履行数据主体为当事方的合同或在合同订立前应数据主体请求采取措施是必要的。
3. 法律义务(Legal Obligation):处理对于遵守控制者所承担的法律义务是必要的。
4. 重大利益(Vital Interests):处理对于保护数据主体或其他自然人的重大利益是必要的(通常适用于医疗紧急情况等场景)。
5. 公共任务(Public Task):处理对于执行公共利益任务或行使控制者被赋予的官方权力是必要的(主要适用于公共机构)。
6. 合法利益(Legitimate Interests):控制者或第三方追求的合法利益,但以不凌驾于数据主体的利益或基本权利与自由之上为前提,并须进行利益平衡测试(Legitimate Interests Assessment,以下简称“LIA”)。这是企业实践中最具弹性但也最易被滥用的合法性基础,监管机构对此保持高度关注。
对于第9条特殊类别个人数据,在上述合法性基础之外还须额外满足第9条第2款规定的特定处理条件,包括明确同意、劳动法义务、重大公共利益等。
在实务中,中国出海企业须特别注意:GDPR要求在数据收集时即向数据主体明确告知所依赖的合法性基础及处理目的,且不同目的须分别对应各自的合法性基础,不得以一种合法性基础涵盖所有处理活动。
GDPR确立了覆盖数据全生命周期的合规义务体系,主要包括如下内容。
(一)透明度与隐私通知义务
控制者须以简洁、透明、易懂的方式,主动向数据主体告知处理目的、合法性基础、数据保留期限、接收方、数据主体权利等信息[6]。隐私政策须以数据主体通常使用的语言撰写,并在数据收集时即予告知。
(二)数据主体权利保障义务
GDPR赋予数据主体广泛的权利,控制者须建立相应响应机制,通常须在收到请求后一个月内回复:
1. 知情权与访问权[7]:数据主体有权了解其数据是否被处理及相关详情;
2. 更正权[8]:有权更正不准确或不完整的个人数据;
3. 删除权/被遗忘权[9]:在特定条件下有权要求删除个人数据;
4. 限制处理权[10]:在特定情形下有权要求暂停处理;
5. 数据可携权[11]:有权以结构化、通用格式接收其提供的个人数据;
6. 反对权[12]:有权反对基于合法利益或公共任务进行的处理,以及用于直接营销的数据处理。
(三)数据保护影响评估(DPIA)义务
对于可能对数据主体权利和自由产生高风险的处理活动,控制者须在处理开始前进行DPIA[13]。触发情形包括:大规模处理敏感数据、系统性监控公共区域、使用新技术进行大规模画像等。DPIA须记录存档,并在评估结果显示高风险无法有效缓解时,事先咨询监管机构。
(四)数据处理活动记录义务(Records of Processing Activities,以下简称“RoPA”)
根据GDPR第30条,控制者及处理者原则上均应维护数据处理活动记录,记录内容包括处理目的、数据主体与数据类别、接收方、跨境传输情况、数据保留期限及技术组织安全措施等。
(五)数据泄露通知义务
发生个人数据泄露后,控制者须在发现后72小时内向主管监管机构报告[14];若泄露可能对数据主体权利和自由产生高风险,还须及时通知受影响的数据主体[15]。处理者须在知悉后“无不当延迟”地通知控制者。
(六)安全保障义务
控制者和处理者须采取适当的技术和组织措施,确保与风险相适应的安全水平[16],包括数据加密、假名化、系统韧性保障、定期测试与评估等。
(七)数据处理协议(DPA协议)义务
控制者委托处理者处理个人数据时,须与处理者签订符合GDPR第28条要求的书面数据处理协议,明确处理对象、性质、目的、数据类型、处理者义务及权利等。
(八)隐私设计与默认隐私原则
控制者须将数据保护原则嵌入产品或服务的设计阶段(Privacy by Design),并确保默认情况下仅处理实现特定目的所必要的个人数据(Privacy by Default)[17]。
GDPR第五章对个人数据向欧洲经济区(European Economic Area,以下简称“EEA”)以外第三国或国际组织的传输设定了严格条件,旨在确保数据离境后受到的保护水平不低于欧盟标准。这通常是中国出海企业面临的最具挑战性的合规议题之一。
(一)充分性认定(Adequacy Decision)[18]
欧盟委员会对第三国的数据保护水平作出“充分性”评估,被认定为充分性国家的,数据可自由传输,无需额外保障措施。截至本文写作,已获充分性认定的国家和地区包括但不限于英国、日本、韩国、新西兰、瑞士、加拿大(部分)等;美国未获整体充分性认定,但欧盟委员会于2023年通过欧美数据隐私框架(DPF)对完成认证的美国企业作出充分性认定。中国大陆地区尚未获得充分性认定。
(二)适当保障措施(Appropriate Safeguards)[19]
在无充分性认定的情况下,可通过以下适当保障措施合规进行数据跨境传输:
1. 标准合同条款(Standard Contractual Clauses,以下简称“SCCs”):欧盟委员会指定了涵盖控制者到控制者(C-C)、控制者到处理者(C-P)、处理者到处理者(P-P)、处理者到控制者(P-C)四类场景。SCCs是企业实践中最常用的跨境传输工具,但须同步进行数据传输影响评估(Transfer Impact Assessment,以下简称“TIA”);
2. 有约束力的公司规则(Binding Corporate Rules,以下简称“BCRs”):适用于跨国企业集团内部数据传输,须经监管机构审批,程序复杂;
3. 经批准的行为准则(Approved Codes of Conduct)及认证机制(Approved Certification)。
(三)特定情形下的克减机制(Derogations)[20]
在无充分性认定且无适当保障措施的情况下,仅可在特定且非常态情形下依赖克减条款,例如:数据主体明确同意、合同履行必要、重大公共利益、法律诉讼目的等。EDPB明确提示,克减条款不适合作为企业的常态化数据传输依据。
GDPR设立了全球最为严格的数据保护罚则体系,对中国出海企业具有极强的震慑意义。
(一)行政处罚(由各成员国DPA作出)
GDPR第83条设立了两档罚款上限:
1. 较低上限:最高1000万欧元,或企业上一财年全球年营业额的2%,以较高者为准——适用于处理者义务、DPO义务、认证机构义务等违规;
2. 较高上限:最高2000万欧元,或企业上一财年全球年营业额的4%,以较高者为准——适用于处理基本原则(包括合法性基础)、数据主体权利、跨境传输规则等核心义务的违规。
(二)民事赔偿
任何因GDPR违规而遭受物质或非物质损害的数据主体,均有权对控制者或处理者提起民事赔偿诉讼[21]。
(三)刑事责任
部分成员国(如德国、奥地利等)在其国内立法中对特定GDPR违规行为规定了刑事责任,包括对企业负责人的个人追责。
(四)其他监管措施
DPA还可采取以下执法措施:
1. 发出警告或谴责;
2. 要求限制、暂停或禁止特定数据处理活动;
3. 要求删除违规收集的数据;
4. 暂停或禁止向第三国传输数据。
DPA在确定处罚金额时综合考量多种因素,包括:违规性质、严重程度与持续时间、是否故意或过失、是否采取补救措施、合规历史记录、受影响数据主体数量及损害程度、与监管机构的合作态度等。
2025年11月19日,欧盟委员会发布《数字综合法案》(Digital Omnibus)提案,这是欧盟数字立法领域近年来最重要的系统性整合举措。该提案旨在通过简化规则、消除重叠、降低合规成本,重塑欧盟数字监管框架的竞争力,同时保持高水平的数据保护标准。提案包含两份独立文件:《数字立法综合法案》(主要涉及GDPR、Data Act及网络安全法规的修订)以及《人工智能综合法案》(AI Omnibus,专门针对AI Act的调整)。
提案目前正在欧盟理事会和欧洲议会进行立法审查,内容可能发生变化,尚未正式生效。对于出海欧盟的中国企业而言,了解提案走向有助于提前规划合规策略。
以下为提案的核心变化:
修订领域 |
现行规定 |
Digital Omnibus提案变化 |
个人数据定义 |
凡可识别自然人的信息均属个人数据,不区分识别方的主观能力 |
拟引入相对性概念:仅当当前持有者以其合理可用手段能够识别数据主体时,方构成个人数据;后续接收方的识别能力不影响数据出口方的判断 |
数据泄露通知 |
发现泄露后须在72小时内向主管机构报告;凡有风险即触发通知义务 |
通知门槛提高至“高风险”方触发;上报期限延长至96小时;引入通过ENISA统一门户的单一入口申报机制,覆盖GDPR、NIS2、DORA、eIDAS等多项法规 |
数据保护影响评估(DPIA) |
各成员国监管机构分别维护DPIA必要性清单,标准不统一 |
欧盟层面统一制定“须做DPIA”与“无需DPIA”的处理活动清单,并提供标准模板和方法论,每三年审查一次 |
Cookie规则 |
ePrivacy指令另行规制,与GDPR体系并行,造成规则碎片化 |
将ePrivacy相关规定并入GDPR,同意仍为默认要求,但新增低风险用途豁免清单;用户拒绝同意后,设6个月“禁止重复询问”期 |
特殊类别数据 |
第9条列举特殊类别数据,处理须满足严格条件,例外情形有限 |
新增两类豁免:(1)为开发和运营AI系统或模型的残余数据处理;(2)在受控环境下处理生物特征数据以验证数据主体身份 |
数据共享框架 |
Data Governance Act、非个人数据自由流动条例、开放数据指令各自独立运行 |
上述三项规则并入Data Act,形成统一的数据共享与访问框架,简化合规路径 |
AI法规 |
AI Act独立运行,与GDPR、Data Act存在交叉与重叠 |
AI Omnibus提案简化高风险AI系统合规义务,延迟部分条款生效时间,并强化与GDPR特殊类别数据规则的衔接 |
需要特别指出的是,Digital Omnibus的提出并非标志着欧盟放松数据保护执法,而是在保持高标准保护的前提下优化合规路径。GDPR的核心原则与执法力度预计不会发生根本性改变,出海企业不应将提案进展视为降低合规投入的信号。
王渝伟,观韬上海办公室合伙人,数字法律与网络合规业委会主任,长期专注于网络安全数据合规业务领域。王渝伟律师在网络安全数据合规领域为金融、医疗、汽车、航空、互联网、房地产、物流、能源、生命健康、智能制造等行业的众多国内外企业提供该领域的法律合规服务。在上百个数据合规项目中,王律师带领团队为行业头部企业及研究机构提供专业服务,完成了一系列具有指导意义的数据合规项目。2020年以来,王律师在TMT和数据保护领域先后获得钱伯斯、Legal500、ALB、商法、亚洲法律商务、LEGALBAND等多家法律专业评级机构的推荐。
Email:wangyw@guantao.com
余扬,观韬上海办公室数据合规团队律师助理。毕业于西南政法大学、英国伯明翰大学,法学硕士。
Email:yuyang@guantao.com
马艺清,观韬上海办公室数据合规团队实习生。
点击“阅读原文”链接到观韬官方网站。

