出海企业需关注的新数据合规风险：《数据法案》项下合规义务清单

欧盟数据合规：从GDPR到《数据法案》

出海企业面临的法律挑战与应对策略

image from the Internet

出海，尤其是App出海，已成为备受关注的趋势。中国企业凭借灵活的市场营销和资金投入，迅速吸引海外用户。然而，海外市场的成功依赖于遵守当地法律法规。近年来，中国移动应用在多个国家面临禁令风险，合规管理变得尤为重要。

鉴于数据在产品开发、用户数据收集中的关键作用，欧盟在数据合规方面一直走在前列。作为全球数据保护立法的里程碑，《通用数据保护条例》（GDPR）对欧盟境内的个人数据收集、处理进行了规范。随着《关于公平访问和使用数据的统一规则的条例》（简称《数据法案》）于2023年末通过，欧盟的数据合规思路从单纯的保护转向促进数据流通。

从GDPR到《数据法案》：立法思路的演变

欧盟在数据合规领域的立法文件复杂多样，不仅有GDPR，还包括《电子隐私指令》、《NIS指令》以及《数字市场法案》和《数字服务法案》等。[1]GDPR主要基于数据保护，而《数据法案》则推动了数据的自由流动，标志着欧盟市场对数据监管的转变。[2]

近年来，随着数字化转型需求的增长，《数据治理法案》及《数据法案》应运而生，共同推动了欧盟内单一数据市场的建立。

《数据法案》对企业的影响

《数据法案》具有域外适用效力，适用于在欧盟市场销售的产品和服务提供商，无论其营业地是否位于欧盟。该法案特别关注智能设备行业、物联网行业的硬件设备或软件服务提供商。[3]

企业在欧盟市场运营时，需全面审查自身业务流程、客户群体，以确认是否需遵循《数据法案》的额外合规要求。尽管该法案尚未明确处罚标准，但各成员国可能会参考GDPR的标准制定具体规则。

《数据法案》项下的企业合规义务清单

结语：感谢您的阅读。为帮助读者进一步了解欧盟数据合规的具体条款，我们整理了主要的法律法规文本供下载阅读，包括《通用数据保护条例》（GDPR）等内容。

欧盟数据合规：从GDPR到《数据法案》

出海企业面临的法律挑战与应对策略

为帮助读者进一步了解欧盟数据合规的具体条款，我们整理了主要的法律法规文本供下载阅读，包括：

• 《通用数据保护条例》(General Data Protection Regulation)；
• 《数据保护执法指令》(Law Enforcement Directive)；
• 《电子隐私指令》(Directive on Privacy and Electronic Communications)；
• 《网络和信息系统安全指令》(NIS指令，Directive on Security of Network and Information Systems)；
• 《数据保留指令》(Data Retention Directive)；
• 《数据治理法案》(Data Governance Act)；
• 《关于公平访问和使用数据的统一规则的条例》(数据法案，Regulation on Harmonised Rules on Fair Access to and Use of Data)；
• 《数字市场法案》(Digital Market Act)；
• 《数字服务法案》(Digital Services Act)；
• 《关于开放数据和公共部门信息再利用的指令》(Open data and the re-use of public sector information Directive)；
• 《非个人数据自由流动条例》(Free Flow of Non-Personal Data Regulation)；
• 《人工智能法案》(Artificial Intelligence Regulation)。

有兴趣的读者请关注本公众号后回复“欧盟数据合规”查看下载链接。欢迎继续关注我们。

本文作者是中国及美国纽约州注册律师，中国律所公司及商事法律业务合伙人，欧洲认证隐私从业人员(CIPP/E)，企业高级合规师，为中国企业提供跨境投资及海外贸易相关法律服务。联系方式：zhangyi@jinmao.com.cn。

本文仅代表作者本人观点，不得视为正式法律意见或建议，如需转载或引用该等文章的任何内容，请注明出处。如您有意就相关议题进一步交流或探讨，欢迎与本文作者联系。

注释

[i] 《大国博弈下的跨境数据流动国际规则构建》，中工网，https://www.workercn.cn/c/2023-05-22/7847366.shtml。

本文中其他注释部分因包含“mp.weixin.qq.com”域名的链接，已被删除。