数据保护官沙龙（DPO Salon）公益出品 《非个人数据在欧盟境内自由流动框架条例》 沙 龙 （欧洲议会版） 译者（姓氏音序排名）： 官 崔丽莎、蒋昕妍、刘笑岑、钱开耘、薛颖、 护 朱玲凤、张向拓、章娅玮 2018 年 10 月 数 据 保 审校：洪延青、黄蓉、孟洁 署名-非商业性使用-禁止演绎 2.5 中国大陆 译者前言 龙 在欧洲人看来，数字经济大潮中， 自己没理由缺位。28 个成员国、 5 亿人市场，如果适用同一套法律框架和规则，使得数字经济基本要 素——人才、技术、资金、物资、数据等能够自由地流动、配置，那 欧盟市场的活力和潜力将得以完全释放。据欧盟委员会自己测算：“如 果有利的政策和立法就位，欧洲数字经济将增长 18 倍，在 2020 年占 欧盟 GDP 的 4%”。同时，欧盟将借此取得在数字经济的全球领导地 位。 沙 因此，数据（包括个人数据和非个人数据）在欧盟境内的自由流 动，一直是欧盟建立单一数字市场战略（digital single market strategy） 最核心的内容之一。 据 保 护 官 在个人数据方面，《通用数据保护条例》 （GDPR）第一条第一款 就明确：“本条例提出了在个人数据处理领域对自然人保护的规则， 以及个人数据自由流动的规则”。对于后者，GDPR 第一条第三款再 次强调：“个人数据在欧盟境内的自由流动，不应出于在个人数据处 理领域对自然人的保护而被限制或禁止”。如果用大白话来说，就是 两句：一是，在欧盟境内个人数据应在高保护水平下自由流动；二是 GDPR 设立了个人数据保护的基准线，欧盟各成员国、各组织不得再 以保护个人数据为由，阻碍个人数据在欧盟境内的自由流动。 数 在非个人数据方面，欧盟委员会于 2017 年 9 月 13 日提出“促进 非个人数据在欧盟境内自由流动”的立法建议。本公号于 14 日就对立 法建议做了详细介绍。【见网安寻路人：欧盟委员会公布“促进非个 人信息在欧盟境内自由流动”的立法建议，2017 年 9 月 14 日】。2018 年 10 月 4 日，欧洲议会投票通过《非个人数据在欧盟境内自由流动 框架条例》（“on a framework for the free flow of non-personal data in the European Union”，以下简称《框架条例》 ）。 虽然理论上该《框架条例》还需要欧盟理事会于今年 11 月投票 通过，才算正式走完欧盟的立法程序，但由于今年 6 月针对该《框架 条例》的 Trilogue（即欧洲议会、欧盟理事会和委员会的三方会谈） 业已完成，因此可以预计 11 月时《框架条例》将顺利通过且文本不 会有实质性修改。数据保护官（DPO）沙龙决定对目前欧洲议会通过 的《框架条例》版本进行翻译，供大家研究参考之用。1背景介绍完毕， 1 在本《框架条例》中英文版本中，加黑斜体字部分代表欧洲议会对欧盟委员会所提出的版本，进行的修 改或新增。 接下来看《框架条例》如何促进非个人数据的自由流动。 简单来说， 《框架条例》解决了三件事：消除各成员国的数据本 地化要求、确保成员国有权机关能够及时获取数据、保障专业用户能 够自由地迁移数据。 据 保 护 官 沙 龙 首先来看消除各成员国的数据本地化要求。《框架条例》确立： 任何成员国不得限制组织选择存储或处理其数据的地理位置，除非是 基于公共安全事由。如果成员国在设立新的数据本地化要求前，需要 明 确 证 明该 要 求的 合 理 性 ， 并 根据 欧 盟 “单 一 市 场 透 明 度 指令 ” 【Directive (EU) 2015/1535】中的程序事先与欧盟委员会沟通。在欧 盟看来，消除不具有正当性、或者比例性显著失当的数据本地化要求 是首要目标。2017 年 1 月，欧盟委员曾发布一项研究表明，过去 10 年间欧盟境内的数据本地化要求增长了 100%，行业分布如下。 在《框架条例》生效以后，上述数据本地化要求都需要在 24 个 月内经过严格的审核。不符合公共安全事由的，都将被废止。 数 其次看确保成员国的有权机关能够及时获取数据。上表所示的数 据本地化要求，很多都是为了满足有权机关在行使其法定职权时，能 够及时获取数据。为了确保数据自由流动的同时，监管需求依然能得 到满足， 《框架条例》规定：当有权机关要求获取数据时，组织不得 因数据存储在欧盟其他成员国境内而拒绝。如果有权机关获取数据的 需求没能得到满足，可以通过各成员国按照《框架条例》建立的单一 联络点网络来获得监管方面的协助。同时《框架条例》规定各成员国 可对未遵守数据提供义务的行为，施加有效、适当和惩戒性的处罚。 最后看保障专业用户能够自由地迁移数据。本质上该要求就是确 保专业用户的数据可携带权。但对此， 《框架条例》没有直接规定携 带权该如何实现，而是将自由度留给了业界：在《框架条例》正式通 过后的 12 个月内，云服务行业就应该拿出“行为准则”。且《框架条 例》要求：该“行为准则”应当是全面的并且至少应当涵盖数据传输过 程中的重要方面，例如数据迁移的最佳实践、签订合同前云服务商就 数据迁移方面的信息披露、数据备份的进程（processes）和位置；可 用的数据格式和支持；所需的 IT 配置和最小的网络带宽；在数据移 植前所需的时间和数据可用于移植的时间；以及在服务提供商破产的 情况下可访问数据的保证。 沙 龙 “行为准则”还应当明确供应商锁定不是可接受的商业惯例，应当 提供增加信任的技术，并且应当定期更新以保持与科技同步发展的步 伐。同时， 《框架条例》要求欧盟委员会应当保证在整个“行为准则”的 形成过程中，包括中小企业协会、初创企业、用户和云服务提供商等 在内的所有利益相关者均有参与机会。而且《框架条例》要求欧盟委 员会应当对“行为准则”的发展和实施的有效性进行评估，以决定是否 继续给予行业这样的自由度，或者何时自己就该出手。 护 官 随着《框架条例》在不久的未来生效之后，其将同 GDPR 一道， 完成了对全类型数据（个人和非个人数据）在欧盟境内自由流动方面 的法律框架建立工作。欧盟针对数字经济宏大的法律框架构建工作达 到了一个重要的里程碑，后续欧盟还将针对数据提出一系列的设想。 密切跟踪欧盟的现在和未来的尝试，可以为中国提供非常有意义的借 鉴和参考。 据 保 最后，在此衷心感谢参与此次翻译工作的译者（姓氏音序排名）： 崔丽莎、蒋昕妍、刘笑岑、钱开耘、薛颖、朱玲凤、张向拓、章娅玮， 以及进行审校的黄蓉、孟洁。他们在脚踏实地从事个人数据保护工作 的同时，还放眼全球思考最新的动态、进展、趋势。“DPO 沙龙”正是 为像他们这样的一线工作者提供了互动交流的平台。 数 在我看来，他们是中国数据保护水平的“晴雨表”，他们在实践中 碰到的问题、提出的解决方案、所做的思考，无疑应当为各界所重视。 目前，“DPO 沙龙”已经齐聚了超过 100 位有志于从事数据保护工作 的同仁，也已经举办了数期线上、线下的深度讨论。欢迎更多的人加 入这个社群。 洪延青 24.9.2018 A8-0201/47 Amendment 47 第47号修正案 Anneleen Van Bossuyt on behalf of the Committee on the Internal Market and Consumer Protection 代表欧盟内部市场和消费者保护委员会 官 Proposal for a regulation – 立法提案 A8-0201/2018 沙 龙 Report 报告 Anna Maria Corazza Bildt Free flow of non-personal data in the European Union 非个人数据在欧盟的自由流动 (COM(2017)0495 – C8-0312/2017 – 2017/0228(COD)) (COM(2017)0495 – C8-0312/2017 – 2017/0228(COD)) 数 据 保 护 AMENDMENTS BY THE EUROPEAN PARLIAMENT* to the Commission proposal 欧洲议会针对委员会提案的修正案 --------------------------------------------------------REGULATION (EU) 2018/… OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of … on a framework for the free flow of non-personal data in the European Union (Text with EEA relevance) 欧洲议会和委员会 关于《非个人数据在欧盟境内自由流动框架》（2018） （与欧洲经济区（EEA）有关的文本） THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, 欧洲议会和欧盟委员会 Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof, 考虑到《欧盟运行条约》，尤其是其中的第114条， AM\P8_AMA(2018)0201(047-047)_EN.docx 1/27 United in diversity PE624.109v01-00 Having regard to the proposal from the European Commission, After transmission of the draft legislative act to the national parliaments, Having regard to the opinion of the European Economic and Social Committee11, After consulting the Committee of the Regions, Acting in accordance with the ordinary legislative procedure22, 官 依据普通立法程序启， 沙 经考虑欧盟委员会的提案， 经将该立法草案递交至各成员国议会， 经考虑欧洲经济和社会委员会的意见， 经咨询欧盟区域委员会的意见， 龙 Whereas: 数 据 保