数字服务法（DSA)一页通

“一页通”板块致力于搜集并综述国内外重要法律法规或案件的资料，为大家提供全面、简单、高效的介绍。

欢迎感兴趣的同学加入我们~

完整详细的内容和文本资料可以点击文末“阅读原文”前往知识库查阅。

#简述

欧盟数字服务法（Data Services Act, DSA）于2022年11月生效。DSA意在通过设置一系列合规义务，为欧盟用户创造一个安全和透明的网络环境。DSA主要规制网络平台和搜索引擎的内容安全、内容审核的透明度以及平台的未成年人保护措施等。

目前，一些中国企业面临着DSA相关的执法。例如，欧洲消费者网络组织（European Consumer Organization's network, BEUC）向欧盟投诉Temu可能存在违反DSA（Data Services Act）的行为，欧盟监管部门正对此展开调查。在此之前，阿里巴巴旗下的全球速卖通（AliExpress）成为首个受到欧盟正式调查的在线商城。欧盟委员会在公布AliExpress正式调查的新闻稿中表示，怀疑该平台在风险管理与风险缓释、内容审核及内部投诉处理机制、广告与推荐系统透明度、商家可追踪性及为研究人员提供数据访问等方面违反了DSA的规定。

# 目录

一、立法背景

二、立法目的

三、主要条款

四、涉及哪些主体？

五、义务层级

六、行政执法

七、DSA与GDPR等其他法案的衔接

# 立法背景

2020年12月，欧盟提出了以应对非法内容、在线虚假信息和其他社会风险、保护用户权益等为要求的数字服务法案。后经过协商和讨论，欧洲议会与欧盟成员国于2022年4月23日在就DSA的制定达成了政治协议。2022年6月，法案以压倒性优势（36票同意、5票反对、1票弃权）在欧盟内部市场委员会（Internal Market Committee）通过。

DSA主体内容于2024年2月17日生效，但其中的透明性报告提交义务等部分条款从2022年11月16日起就已生效。此外，随着2023年4月VLOPs和VLOSEs目录的公布，超大型在线平台和超大型在线搜索引擎将率先根据DSA落实内容审查、合规审计等义务。

2024年7月25日，欧盟委员会要求比利时、卢森堡、荷兰、西班牙等国遵守DSA的规定，在两个月内设立成员国层面的DSA监管机构 - 电子服务协调员（Digital Services Coordinators）或授权成员国监管机构履行DSA监管职责。可以预见，DSA的相关义务在近两三年间将得到逐步落实。

# 立法目的

一方面是为了克服事后制裁的局限，适用事前限制（ex-ante regulation）。DSA规定了社交媒体、电商平台等数据服务提供者必须通过技术以及内外部审计等方式阻止非法内容、在线虚假信息及其他社会风险的扩散的明确义务。另一方面，它针对超大型在线平台和超大型在线搜索引擎按比例附加义务。欧盟针对这些对用户产生广泛、重大影响，但因全球影响力而难以限制的大规模在线服务企业制定了严格的额外义务，以此减轻超大型平台可能对平台用户产生的负面影响。因此，包括TikTok在内的VLOPs进入了为应对DSA而采取实际措施的阶段。

# 主要条款

1、适用范围（Art. 2）

DSA适用于向具有场所或者位于欧盟的服务接收者提供的中介服务，而不论中介服务提供者的场所位于何处。中介服务包含“纯粹渠道（Mere Conduit）”、“缓存（Caching）”、“托管（Hosting）”服务。在线平台属于上述中介服务中的托管服务。【具体可以参见下文“涉及哪些主体”部分】

因此，在欧盟经营或者向欧盟用户提供服务（无论场所是否在欧洲）的平台均适用DSA。

管理信息系统不会陌生。这个系统承载了许多电信业务相关的证照申请、管理、年报填写、续期相关的流程，相对来说还是比较好用的一个系统。

详情参见Lewis Silkin LLP：四类新中介服务提供商的主要 DSA 义务的信息图

2、非法内容监督（Art. 16, 17, 22, 23）

高效处理欧盟成员国或行政当局发出的行动指令

对于欧盟成员国司法或者行政当局发出的非法内容行动指令，平台提供者应当在没有无故拖延的情况下采取措施并报告当局相应指令的执行情况。

建立平台内通知和行动机制

平台应当建立允许任何个人或实体对平台内非法内容进行通知的机制，且该些机制应易于访问、使用、允许完全通过电子方式提交通知。平台应及时尽职地处理相应通知并将处理决定告知用户，用户可在收到决定之日起6个月内提出申诉。平台对于投诉信息的处理决定不能仅仅依靠自动化手段来执行，而应当在有适当资格的工作人员监督下作出。

优先处理受信报告者（Trusted Flaggers）的通知

受信报告者是指根据实体的申请（仅授权实体，不对个人授权），由申请人所在成员国的数字服务协调员授权的，在处理非法内容方面具有专业知识和能力、代表集体利益、能够勤勉客观履行专业领域业务的独立机构。比如在涉及恐怖活动、儿童性虐待、侵犯知识产权内容等领域，有专门的受信机关，对于专门机关的通知可以更为有效地采取措施。

建立防滥用保障机制

对于频繁提供明显非法内容的用户，平台在发出事先警告后，在合理期间内应中止向其提供服务；对于频繁提供明显没有根据通知的用户，平台在发出事先警告后，在合理期间内应中止处理用户提交的通知和投诉。

3、透明度义务（Art.15, 24, 27, 39, 42)

透明报告义务

在线平台应至少每年一次以机器可读的格式和容易获取的方式公开提供清晰、易懂的报告，报告内容应包括收到的成员国当局处理指令的数量、用户通知非法内容数量、内容审核的相关信息、对投诉作出的决定以及决定所需期间、决定被推翻情况、为内容审核目的而使用的任何自动化手段、提交庭外争议解决的争议数量及相关信息、因用户频繁发布非法信息或频繁无依据投诉而中止服务的数量。此外，在线平台提供者在DSA生效后至少每6个月一次，应在其在线界面公开区域公布其有关相应服务在欧盟内的平均月活跃用户信息。

在线平台广告透明义务

确保每个用户对于接收的每则特定广告，能够通过用户界面清晰了解相关信息是广告的事实、广告发布者、广告主、决定相关广告呈现给用户的主要参数等。另外，禁止利用人种、政治见解、健康、性取向等敏感信息进行个性化广告推荐。

推荐系统透明度义务

在线平台须在用户协议中以通俗易懂的语言列出其推荐系统使用的主要参数。如果关键参数可以改变，还应说明可能改变或影响的选项，并提供随时选择并修改其首选选项的功能。

解读：Algorithm Watch：A guide to the Digital Services Act, the EU’s new law to rein in Big Tech

4、用户保护（Art. 25, 30）

禁止暗黑模式（Dark Patterns）

根据DSA第25条，禁止以欺骗或操纵用户的方式设计、组织或运行其在线界面，或以其他方式实质性地扭曲或损害用户自由和知情决定的能力。例如，在需要用户决定的场合，对特定选择予以突出，或者在用户已作出选择的情况下反复要求选择尤其是以弹窗方式干扰，或者终止服务比订阅服务更困难等在线界面设计。

平台追踪交易商的信息，包括交易商的名称、地址、电话号码和电子邮件地址。按照DSA第30条，交易商信息不准确或者有理由相信不是最新的，应当要求交易商修改。交易商未修改的，应当中止提供服务，以此防止损害消费者权益。

平台服务提供者应在其用户协议中明确指出并保持最新的信息，特别是用于内容审核的任何政策、程序、措施和工具，包括算法决策和人工审查，以及其内部投诉处理系统的程序规则。

解读：TaylorWessing:The DSA:advertising, dark patterns and recommender systems

5、超大型平台额外义务（Art. 33-43）

DSA第五节第33至43条专门规定了超大型在线平台和超大型在线搜索引擎提供者管理系统性风险的额外义务，主要包括：

（1）在2023年8月25日前进行首次风险评估以及后续至少每年进行一次评估；风险评估后至少保存三年的风险评估支持性文件，应要求通知欧盟委员会和场所所在地的数字服务协调员；

（2）采取风险缓释措施，包括调整在线界面、用户协议及执行、内容审核流程、测试和调整算法包括推荐系统、调整广告系统等；

（3）提供用户协议主要内容的简明易读的摘要，确定信息要求的主要内容，包括可以方便地选择退出可选条款；

（4）至少每年一次自费接受独立审计，允许审计人员接触所有必要的相关数据和场所，包括酌情接触与算法系统有关的数据；

（5）额外的在线广告透明度：平台展示相应广告的整个期间，并且直到相应广告在其在线界面上最后一次展示后的一年以内，应在其在线界面的一个特定部分，公开投放的所有广告的资源库；

（6）向欧盟委员会、数据服务协调员公开数据，并对经过审查的研究人员建立特别机制，允许其访问平台内的任何数据（包括未公开数据、与算法有关的数据）；

（7）应设立合规职能部门，由一名或多名合规职能负责人在内的合规官组成；

（8）在欧盟公布超大型在线平台目录后两个月内公布透明度报告，此后至少每6个月公布一次。

解读：Digital Services Act: Obligations of Very Large Online Service Providers, EU Transparency Database and Enforcement

6、监督机构（Art. 49, 51）

根据DSA第49条，成员国应指定一个以上的主管当局（Competent authorities），并指定主管当局之一成为数字服务协调员（Digital Services Coordinators）。数字服务协调员负责DSA监督执行的所有工作，并对中介服务机构具有调查执行权（第51条）。

7、处罚（Art. 52）

在DSA的规制下，超大型在线平台和超大型在线搜索引擎将面临严格的监管和法律责任。成员国所能征收的最大罚款是平台提供者上一财政年度全球销售额的6%（第52条）。

# 涉及哪些主体

1、交易商

该法的适用主体为中介平台，“交易商”并非该法的规制对象，但“交易商”需要配合中介平台履行部分合规义务。

根据《数字市场法》第3（f）条，“交易商”是指任何自然人或任何法人，不论其为私有还是公有，其行为（包括通过以其名义或代表其行事的任何人）与其贸易、业务、手工业或职业有关。（“any natural person,or any legal person irrespective of whetherprivately or publicly owned, who is acting, including through any person acting in his or hername or on his or her behalf, for purposes relating to his or her trade, business, craft or profession”）

《数字市场法》的序言中多次提及到“交易商”根据部分欧盟指令所需要履行的义务，此类指令多与“消费者保护”有关，且此类指令为“交易商”施加了特定的披露义务等。

但经检索，可以发现欧盟委员会发布的一项通知中提及在C-105/17 Kamenova案中，欧盟法院曾对“交易商”的概念作出过解释，认为需考虑特定标准进行逐案评估。

参见王捷，《》

2、中介服务提供者

根据《数字服务法》序言第5条以及正文第2(1)条，该法案适用于在线中介服务提供者。具体而言，DSA适用于在线市场、社交网络、内容分发平台、应用商店、在线旅行和住宿平台等。

3、超大型在线平台（VLOPs）和超大型在线搜索引擎（VLOSEs）

根据DSA第33条，超大型在线平台和超大型在线搜索引擎需要在中介服务提供者义务、托管服务提供者、在线平台义务的基础上，履行额外的义务。VLOPs和VLOSEs指欧盟内月活用户（服务接受者，recipients of the service）达到4500万（欧盟总人口10%）的在线平台或在线搜索引擎。如欧盟人口数量发生变化，欧盟委员会后续有权调整月活用户数量门槛。

欧盟委员会通过决定的方式，动态调整VLOPs和VLOSEs的名单。目前，阿里巴巴国际站（AliExpress）、Temu、亚马逊、苹果、谷歌、Booking.com、领英等公司已在名单之列。

# 义务层级

DSA项下的义务根据服务提供者所提供的具体服务（中介服务→托管服务→在线平台→VLOPs和VLOSEs），层层递进、逐步“加码”。下表可见DSA下各类型服务提供者所对应的义务内容。

解读：数据与电商研究室《》

图片来源：《》

#行政执法

1、信息请求（Request for Information）

截止2024 年 5 月 31日，欧盟委员会宣布已根据《数字服务法》（DSA）正式向 Facebook、Instagram、Snapchat、TikTok、YouTube和X、Temu以及Bing和Google Search发出信息请求（RFI）。

2、调查

解读一：昊律说法《》

解读二：GOWLING WLG The Digital Services Act: Safer, more accountable online spaces

2.1 AliExpress case

欧盟委员会公告：DSA: Commission opens formal proceedings against AliExpress

2024年3月14日，欧盟委员会启动了对AliExpress正式调查。欧盟委员会在新闻稿中表示，怀疑该平台在风险管理与缓解、内容审核及内部投诉处理机制、广告与推荐系统透明度、商家可追踪性及为研究人员提供数据访问等方面违反了DSA的规定。

2.2 Temu case

2024年5月16日，欧洲消费者网络组织（European Consumer Organization's network, BEUC）向欧盟投诉Temu可能存在违反DSA（Data Service Act）的行为。

2024 年 6 月 28 日，欧盟委员会向Temu和Shein发送了信息请求（RFIs）。这些 RFIs 要求详细解释这两家中国电商巨头如何实施各种 DSA 义务，特别是“通知和行动机制”，在线界面设计，保护未成年人，推荐系统的透明度，交易商的可追溯性以及设计合规性。

BEUC对Temu违规列举：https://www.beuc.eu/sites/default/files/publications/BEUC-X-2024-046_Temu_Why_the_fast-growing_online_marketplace_fails_to_comply_with_the_DSA.pdf

欧盟委员会信息请求：Commission requests information from online marketplaces Temu and Shein on compliance with the Digital Services Act

#DSA与GDPR等其他法案的衔接

1、透明度和用户权利

透明度报告：DSA要求平台发布透明度报告（DSA第27条），说明其内容审核和非法内容处理的情况，而GDPR要求企业在处理个人数据时提供透明的信息（GDPR第12条-第14条）。这两者的报告要求可能需要整合，以确保信息的一致性和完整性。
用户权利：GDPR赋予用户一系列数据保护权利，如访问权、删除权和数据可携带权（GDPR第三章）。DSA则要求平台确保用户能够举报非法内容并得到及时回应（DSA第16条）。这些用户权利需要在企业的政策和流程中得到综合体现。

2、数据处理和隐私保护

数据最小化原则：GDPR强调数据最小化（GDPR第5条），要求企业仅收集和处理必要的个人数据。DSA在内容审核和非法内容处理方面可能需要访问和分析大量用户数据，企业需要确保这些处理活动符合GDPR的最小化原则。
数据安全：GDPR要求企业采取适当的技术和组织措施保护个人数据的安全（GDPR第5条1(f)、第24条、第25条）。DSA要求平台确保其服务安全，防止非法内容传播（DSA第五章）。这些安全措施需要协调一致，确保平台整体的安全和合规性。

3、跨境数据传输

国际数据传输：GDPR对个人数据的国际传输有严格规定（GDPR第五章，第44-50条），要求企业在将数据传输到欧盟以外的地区时，必须确保数据的充分保护。DSA在某些情况下可能涉及跨境数据访问和处理（对域外用户信息的相关审核工作），企业需要确保这些跨境活动符合GDPR的要求。

4、平台责任和内容审核

平台责任：DSA明确了在线平台对非法内容的责任，而GDPR则规定了企业在处理个人数据时的责任。企业需要制定综合的政策和流程，确保在内容审核过程中既能满足DSA的要求，又能保护用户的个人数据隐私，符合GDPR的规定。
内容审核与数据保护的平衡：在进行内容审核时，平台需要访问和处理大量用户数据，这可能涉及用户的个人数据。企业需要确保这些审核活动在GDPR的框架下进行，保护用户隐私，同时满足DSA的合规要求。

5、法规之间的协调

与其他欧盟法规的衔接：除了DSA和GDPR，企业还需要考虑其他相关法规，如《电子隐私指令》（ePrivacy Directive）等法律条文，以保证符合相关规定的同时，减少法律冲突。
DSA与GDPR共同监管机制：DSA和GDPR都有各自的监管机构和执行机制。企业需要确保其合规措施能够同时满足这两部法规的要求，避免重复和冲突。（GDPR第51-58条；DSA第四章）
数据保护官（DPO）和合规官：在GDPR下，企业需要指定一个数据保护官（DPO，GDPR第37条），而在DSA下，可能需要设置合规官（Compliance Officer，DSA第41条）。这两个角色需要紧密合作，确保数据保护和服务合规之间的协调。

6、内部培训和意识提升