欧盟发布《数据治理法》实施指引，进一步明确非个人数据国际转移规则（附中英文全文）

2024年9月24日，生效一年之后，欧盟委员会发布了《关于实施“数据治理法”的指引文件》（以下称“《实施指引》”）。

DGA旨在促进数据可用性并加强欧盟的数据共享机制，提供了一个增强对自愿数据共享的信任的框架，以造福企业和公民，包括以下措施：

规范某些受他人权利约束的公共持有数据的再利用（“受保护数据”，如个人数据或商业机密数据），
通过规范数据中介服务提供商来促进数据共享，
鼓励出于利他目的的数据共享，
成立欧洲数据创新委员会，以促进最佳实践的共享。

以下为欧盟委员会发布该《实施指引》的新闻稿中译文：

一年前，《数据治理法》开始施行。为了纪念这一时刻，委员会发布了一份实施指引，以协助各利益相关方实施《数据治理法》。

《数据治理法》（DGA）是的基石。具体来说，该法案旨在通过使数据共享以可信和安全的方式变得更容易，增加自愿性数据共享，从而让企业和公民受益。

与其他数据战略下的措施相结合，DGA将帮助释放数据的全部潜力。它将成为创新和就业创造的强大动力。同时，数据是所有组织（尤其是初创企业和中小企业）成长的关键资源。最终目标是建立一个欧洲单一数据市场，让数据能够跨行业、跨边界无缝流动。

DGA的影响已经开始显现：已有11个组织被认定为数据中介服务提供商并在欧盟范围内提供服务，还有1个组织已经注册为数据利他主义组织。

此外，任何感兴趣的用户（包括公民、企业家和研究人员）都可以通过欧洲公共部门持有的受保护数据登记册，搜索并查找有关根据一般开放数据规则无法提供的受保护数据的信息（例如健康或移动数据）。

此外，欧洲数据创新委员会已经召开了四次会议，召集成员国和利益相关方分享实施《数据治理法》的最佳实践。

该指导文件是一份深入的指南，旨在帮助利益相关方理解规定并从《数据治理法》中获益。它不是具有法律约束力的文件，也不代表委员会的正式立场。相反，它旨在帮助行业、成员国以及任何其他感兴趣的利益相关方更好地理解《数据治理法》规定的各种措施。

该指南将定期更新，特别是随着DGA实施经验的积累和教训的吸取。

《实施指引》关于国际数据转移的内容

根据《通用数据保护条例》（GDPR），将个人数据传输到欧盟以外国家的接收者受到严格限制。DGA进一步对非个人数据的跨境传输施加限制，补充了GDPR的数据传输制度。在尊重GDPR对个人数据传输到欧盟以外国家的接收者的限制规定之外，DGA关注非个人属性的商业敏感数据（特别是商业秘密）和体现知识产权内容的数据。

DGA规定，通常情况下，允许以再利用为目的将非个人数据转移至欧盟以外国家的接收者，但需要遵守以下要求：

1. 提前通知公共部门机构：在请求再利用时，潜在的再利用者必须通知公共部门机构其转移的意图及其目的；

2. 合同承诺：再利用者承诺确保即使在转移后也不会违反数据的保护，并接受公共部门机构所在成员国的管辖，以防出现与此承诺相关的任何争议。

DGA进一步规定，欧盟委员会有权采取以下措施以实现安全的国际数据转移：

1. 提出模型合同条款（model contractual clauses）：委员会可以提出公共部门机构在与再利用者的数据转移合同中可以使用的模型合同条款；

2. 通过充分性认定（equivalency decisions）：在特定情况下，委员会可以指定某些第三国为提供足够保护水平的国家，使得再利用者在将数据转移到这些国家时，不必依赖逐案基础上的合同承诺；

3. 制定对高度敏感非个人数据转移的条件：对于某些被欧盟立法认为是高度敏感的非个人数据，欧盟委员会将设定额外的条件，以确保在将此类数据转移到第三国之前，不会对欧盟的公共政策目标构成风险。该指南以公共卫生数据为例，指出《》将某些非个人健康数据指定为“高敏感数据”，匿名化和聚合的与医疗保健相关的行政数据（包括配药、索赔和报销数据）可能构成此类别。

同时，《实施指引》特别提到，上述措施并不是国际数据转移的先决条件。即使没有充分性决定，只要再利用者承担了上述提到的合同承诺，也可以进行国际转移。

在执法/司法数据跨境调取的情况下，《实施指引》明确，只有在国际协议（例如司法协助条约）的支持下，才能执行要求转移或访问欧盟持有的非个人数据的外国决定或判决。

如果没有这样的协议，并且遵守决定或判决可能会使公共部门机构、获得数据再利用权的个人或法人、数据中介服务提供商或公认的数据利他组织与欧盟法律或欧盟成员国法律发生冲突，则只有在满足严格条件（如 DGA 中所述）的情况下才能进行数据传输或访问。

而且，响应外国法院或当局的请求，应仅提供最少的数据，并在可能的情况下，应将请求告知相关数据持有者。

根据DGA第31条明确规定，公共部门机构、获得数据再利用权的个人或法人、数据中介服务提供商或公认的数据利他组织等相关方必须采取一切合理的技术、法律和组织措施，包括合同安排，以防止第三国政府或法院获取在欧盟境内的非个人数据，特别是当这种获取与欧盟或成员国法律相冲突时。

这项规则有两个例外情况：

1. 国际协议：如果第三国法院、法庭的判决或行政当局的决定是基于与欧盟或成员国之间的现行国际协议（例如司法互助条约），则适用例外；

2. 特定条件：在没有国际协议的情况下，如果遵守第三国的决定会导致与欧盟法律或成员国法律的冲突，那么只有在满足以下特定条件时，才能进行数据转移或访问：

(a) 第三国的法律体系要求明确说明决定或判决的理由和相称性，并且决定具有特定性质；

(b) 收件人有理由的异议必须能够被第三国的有关法院或法庭审查；

此外，公共部门机构、获得数据再利用权的个人或法人、数据中介服务提供商或公认的数据利他组织在遵守第三国的访问请求之前，必须通知数据持有者。该规则的唯一例外是那些出于执法目的或为了保持执法活动有效性的请求。

以下为《实施指引》全文中英文对照版

（中文由AI翻译，未经校对，谨慎参考）

参考资料：

1. https://digital-strategy.ec.europa.eu/en/library/new-practical-guide-data-governance-act

2. https://ec.europa.eu/newsroom/dae/redirection/document/108504

产品服务

前瞻研究

中心动态

数据信任与治理

“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展，探索可信数据治理的中国模式，促进数据要素有序流通，释放数字经济红利。

TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.