“ 欧盟数据法案下的商业秘密保卫战:中国出海企业如何破解 “共享” 与 “保密” 困局?”
在我们此前拆解欧盟数据法案的云切换合规、模型合同条款时,不少中国出海企业私下问过一个更现实的问题:“要按法案共享设备数据,可这些数据里藏着我们的核心算法,万一泄露了怎么办?”
这个疑问,恰好戳中了欧盟数据法案最核心的矛盾 —— 一边是强制数据共享以激活数字经济,一边是企业赖以生存的商业秘密保护。2025 年 11 月,Taylorwessing律师事务所发布的《欧盟数据法案下的商业秘密保护》报告,恰好为中国车企、药企、智能设备制造商等出海主力,提供了一套 “在共享中守底线” 的操作指南。
这里把之前的五篇链接附上
欧盟数据法案合规影响解析(5):企业如何在竞争与合同法的张力中破局
欧盟数据法案合规影响解析(4):欧盟数据法案FAQ-破解企业合规迷思
欧盟数据法案合规影响解析(3):模型合同条款如何重塑数据共享生态
首先得明确,欧盟数据法案并非要求企业 “无差别共享所有数据”,其强制共享的范围有清晰边界。根据报告,法案主要针对 “原始数据与预处理数据”—— 比如智能机床的运行日志、新能源汽车的电池状态数据、医疗设备的使用误差代码,以及解读这些数据必需的基础元数据。这些数据的核心作用,是帮助用户(比如购买设备的企业)或第三方服务商(比如维修公司)实现设备维护、性能优化,属于 “让数据回归使用者” 的立法初衷。
但容易让中国企业困惑的是,法案覆盖的数据既包括非个人数据,也不排除个人数据 —— 比如智能穿戴设备收集的用户健康数据。不过报告特别强调,个人数据的共享仍需遵守 GDPR,数据法案不会削弱 GDPR 的保护力度,这意味着企业若涉及个人数据跨境,仍需走安全评估、标准合同条款等老路,不能借数据法案 “简化流程”。
更关键的是,法案明确 “一般保密信息不构成拒绝共享的理由”。也就是说,企业不能随便以 “这是我们的保密数据” 为由拒绝共享,只有符合欧盟《商业秘密指令》(EU 2016/943)定义的 “商业秘密”,才享有特殊保护 —— 这一点对中国企业尤为重要,因为很多在国内被视为 “商业机密” 的信息,到了欧盟可能并不符合其严格的商业秘密界定标准。
02 欧盟眼中的 “商业秘密”:不是所有 “保密数据” 都算
——————————————————
要在欧盟数据法案下保护商业秘密,第一步是搞懂 “什么才算欧盟认可的商业秘密”。根据报告,必须同时满足三个条件:
第一,秘密性—— 该信息未被公众所知,也无法通过公开渠道轻易获取。比如某中国光伏企业的电池效率校准参数,若仅在内部研发团队流转,且未被行业公开,就符合这一条件;但如果行业内已有类似参数公开,即使企业自己标注 “保密”,也不算秘密。
第二,商业价值—— 秘密性必须能为企业带来竞争优势。比如智能家电制造商的故障预判算法,能让产品维修成本降低 30%,这种直接关联商业利益的信息才符合要求;而单纯的设备运行记录(比如某台机器每天开机 2 小时),若无法转化为竞争优势,即使保密也无意义。
第三,合理保密措施—— 企业必须主动采取措施保护信息。报告里举了个典型反面案例:某中国出海车企将智能驾驶的路径规划数据存在未加密的服务器上,且未限制员工访问权限,即便该数据符合前两个条件,也因 “未采取合理措施” 被认定为非商业秘密。
对中国企业来说,最大的坑往往在 “合理保密措施” 的实操上。报告建议,至少要做三件事:一是梳理数据时标注 “商业秘密候选”,比如把电机控制算法、药品临床试验的原始数据单独分类;二是设置 “最小权限访问”,比如只有研发团队能查看核心参数,客服团队只能获取脱敏后的故障代码;三是和合作方签保密协议(NDA)时,明确 “哪些数据属于商业秘密”,避免后续争议。
03 平衡之道:三个实操策略,既合规又护密
——————————————————
报告的核心价值,在于提供了 “不拒绝共享,也不泄露秘密” 的落地方法,这对中国出海企业尤其有参考意义。
1. 先做 “数据映射”:让法务、技术、业务团队坐在一起
很多中国企业的问题,出在 “数据归谁管” 的混乱上 —— 法务团队不懂技术数据的含义,技术团队不知道哪些数据要合规,业务团队只关心数据能不能用。报告强调,第一步必须是 “跨部门数据映射”:技术团队讲清楚 “数据怎么来、包含哪些细节、能推断出什么信息”,比如某智能设备的 “误差代码”,看似普通,但若结合设备型号,可能反推出核心部件的设计缺陷;法务团队对照《商业秘密指令》,判断哪些数据符合保护条件;业务团队则标注 “哪些数据共享后会影响客户合作或市场竞争”。举个例子,某中国药企在欧洲推广智能输液泵,通过数据映射发现:“输液速度调整记录” 属于必须共享的数据(用户需要据此判断设备是否正常),但 “输液速度与药物浓度的匹配算法” 属于商业秘密(这是企业的核心竞争力)。明确了边界,后续共享就不会 “一刀切”。
2. 数据共享协议(DSA):把 “保密条款” 嵌到细节里
当数据必须共享时,合同是最后一道防线。报告建议中国企业在和欧盟合作伙伴签 DSA 时,重点加三个条款:一是 “目的限制”—— 明确共享数据只能用于 “设备维护”“性能优化” 等特定场景,不能用于研发竞争产品。比如某中国车企和欧洲维修商约定,共享的车辆电池数据只能用于故障排查,不能用于维修商自己研发电池;二是 “禁止反向工程”—— 明确接收方不能通过共享数据反推企业的核心技术。比如智能机床制造商在协议中约定,接收方不能通过运行日志推导机床的切削参数算法;三是 “向下传导义务”—— 如果接收方要把数据转给第三方(比如分包商),必须让第三方也遵守同样的保密条款。这一点很重要,因为很多中国企业没考虑到 “数据链条过长” 的风险,最后泄露往往发生在第三方环节。报告特别提到,欧盟委员会有现成的 “保密条款模板”,中国企业可以直接参考,避免自己起草时遗漏关键条款。
3. 万不得已的 “豁免申请”:高门槛,但不是不能试
如果共享数据确实会危及商业秘密,企业还可以申请 “豁免”—— 也就是根据数据法案第 4(8)条,拒绝强制共享。但报告提醒,这个豁免的门槛极高:企业必须提供 “客观证据”,证明 “即使采取了保密措施,共享仍会导致严重且不可挽回的经济损失”。比如某中国芯片设计公司,其智能芯片的 “功耗控制数据” 若共享,可能被竞争对手反推出芯片的架构设计,导致企业失去市场优势。这时企业需要提供:保密措施的证明(比如数据加密、访问控制记录)、经济损失的测算(比如若架构泄露,预计市场份额会下降多少)、行业专家的证言(证明该数据确实能反推架构)。更关键的是,申请豁免时必须 “书面通知” 欧盟主管机构,说明拒绝的理由和证据。如果只是口头拒绝,很可能被认定为 “违规”。报告里提到,某中国电子企业因未书面通知,即便理由合理,仍被欧盟罚款 20 万欧元。
04 给中国出海企业的终极建议:别等 “被罚了才行动”
——————————————————
看完这份报告,最直观的感受是:欧盟数据法案下的商业秘密保护,不是 “要不要做” 的问题,而是 “早做晚做” 的问题。
对中国企业来说,有三个动作可以立刻启动:
第一,对照欧盟《商业秘密指令》,梳理现有海外业务的数据,区分 “必须共享的数据”“可共享但需保密的数据”“绝对不能共享的商业秘密”,避免 “要么全给,要么不给” 的极端;
第二,在欧洲设立 “数据合规小组”,让法务和技术人员共同负责数据共享的审核,比如某中国智能设备企业在荷兰设立的小组,每次共享数据前都要过 “技术合规双审”;
第三,关注欧盟成员国的具体执行细则 —— 比如德国对 “商业秘密” 的认定比法国更严格,中国企业在德国开展业务,保密措施需要更细致。
最后要提醒的是,欧盟数据法案的核心不是 “为难企业”,而是 “在共享与保护之间找平衡”。对中国出海企业来说,与其害怕 “数据共享”,不如主动搞清楚 “共享的边界在哪里”—— 毕竟,能在合规中守住商业秘密的企业,才是欧洲数字市场真正的长期玩家。
*** 历史文章分类推荐
——————————————————
AI,稳定币与数据资产
数据概念
法规规划
方案实操
公共数据
清华数据大讲堂系列
—————————————————————————
数据资产化,鼹鼠哥与你一起。
欢迎大家公众号后台留言,或者后台回复“进群”,进群一起聊。