附录：《欧盟非个人数据自由流动框架条例》

第一条 主旨

 本条例旨在通过制定与数据本地化要求、向主管部门提供数据以及针对专业用户的数据转移等事项相关的规则，来确保非个人数据在联盟内部的自由流通。

 第二条 适用范围

 1.本条例适用于下列联盟内非个人电子数据的处理过程：

 （a）向在联盟内居住或拥有营业场所的用户提供服务，不论服务提供者是否在联盟内成立；或

 （b）由在联盟内居住或拥有营业场所的自然人或法人为自身需要进行的。

 2.如果数据集由个人和非个人数据组成，则本条例适用于数据集中的非个人数据部分。如果数据集中的个人和非个人数据不可分离，则本条例不应妨碍GDPR的适用。

 3.本条例不适用于联盟法律适用范围之外的活动。

 本条例不影响与成员国内部组织相关的，以及与公法意义上的公共机构无须给予私主体合同报酬地处理数据的权力和职责分配相关的法律、法规和行政规定，以及成员国规定执行这些权力和职责的法律、法规和行政规定。

 第三条 定义

 为实现本条例的目的，采用下列定义：

 （1）“数据”指除GDPR第四条第（1）项规定的个人数据以外的数据；

 （2）“处理”是指对电子形式数据或数据集进行的任何操作，而不论其是否通过自动化手段进行。如收集、记录、组织、构造、存储、改编或修改、检索、查阅、使用、通过传输、传播或其他方式披露或提供、排列或组合、限制、删除或销毁；

 （3）“法案草案”是指为了作为一般意义上的法律、法规或行政规定而起草的文档，其仍处于预备阶段而可作出实质性修改;

 （4）“服务提供者”是指提供数据处理服务的自然人或法人;

 （5）“数据本地化要求”是指成员国的法律、法规或行政规定中规定的，或是由在成员国和公法意义上的主体（包括公共采购领域）实施的一般性和持续性的行政行为导致的任何义务、禁令、条件、限制或其他要求，但不影响GDPR实施，其强制要求在特定成员国境内处理数据，或阻止在任何其他成员国境内处理数据;

 （6）“主管部门”是指为履行公务，依联盟或本国法律有权获取由自然人或法人处理的数据的成员国部门或其他经国家法律授权执行公共职能或行使官方权力的其他机构；

 （7）“用户”是指使用或请求数据处理服务的自然人或法人，包括公共机构或其他受公法管辖的主体;

 （8）“专业用户”是指为贸易、商业、工艺、专业服务或任务目的使用或请求数据处理服务的自然人或法人，包括公共机构或其他受公法管辖的机构。

 第四条 联盟内数据自由流动

 1.除非为公共安全目的且符合比例原则，否则应当禁止数据本地化要求；这一规定不妨碍第3款和根据现有联盟法制定的数据本地化要求。

 2.成员国应立即向欧盟委员会通报任何引入新的数据本地化要求的法律草案，或根据欧盟2015/1535指令第5、6、7条规定的程序更改现有的数据本地化要求。

 3.在……之前（自本条例实施之日起24个月），成员国应确保在其一般性的法律、法规或行政规定中，违反本条第1款规定的现有数据本地化要求已被废除。

 在……之前（自本条例实施之日起24个月），如果成员国认为包含数据本地化要求的现有措施符合本条第1款的规定并因此可以继续有效的，应当向欧盟委员会报送该措施，并说明理由。在不影响TFEU第258条的情况下，欧盟委员会应在收到此类来文之日起六个月内，审查该措施是否符合本条第1款的规定，并视情况向该成员国提出意见，包括在必要时建议修订或废除该措施。

 4.成员国应通过一个全国性的在线信息渠道公开在其领土内通行的法律、法规或行政规定中规定的所有数据本地化要求的具体情况并保持更新，或向根据另一项联盟法建立的中央信息渠道提供所有此类本地化要求的最新情况。

 5.成员国应将其第4款中提到的在线信息渠道的地址告知欧盟委员会。欧盟委员会应在其网站上公布这些渠道的链接，以及涉及所有第4款提到的数据本地化要求的定期更新的清单，包括这些要求的摘要信息。

 第五条 主管部门获取数据

 1.本条例不影响主管部门依照联盟或国家法律执行公务时，请求、获取、访问数据的权力。主管部门对数据的访问不得因数据在另一成员国处理而被拒绝。

 2.在主管部门请求获取用户数据却没有获得访问权限的情况下，如果根据联盟法或国际协议在不同成员国主管部门之间没有特定的交换数据的合作机制，主管部门可以要求根据第7条规定的程序，向另一成员国的主管部门要求协助。

 3.如果协助请求需要被请求的部门进入自然人或法人的任何场所，包括获取数据处理设备和装置，则此类访问必须符合联盟法或国家程序法。

 4.成员国可根据联盟和国家法律，对未遵守提供数据义务的行为实施有效、符合比例和劝阻性的处罚。

 在用户滥用权利的情况下，如果获取数据具有紧迫性且考虑有关各方的利益，成员国可以对该用户采取严格按比例的临时措施。如果临时措施使得数据重新本地化且持续时间超过180天，成员国应在上述180天内向欧盟委员会通报。欧盟委员会应在最短的时间内审查该措施及其与联邦法律的兼容性，并酌情采取必要措施。欧盟委员会应与第7条提到的成员国单一联络点交换其就这方面取得的信息。

 第六条 数据的转移

 1.欧盟委员会应鼓励和促进制定联盟一级的自律行为守则（“行为守则”），以便在透明度、互通性原则和开放标准的基础上，助力发展有竞争力的数据经济。包括以下方面：

 （a）便利切换服务提供者并转移数据的最佳实践，即当接收数据的服务提供者请求或要求时，以结构化、通用和机器可读格式（包括开放标准格式）转移数据;

 （b）最低信息要求，即在数据处理合同终止之前，当专业用户想要切换到另一个服务提供者或将数据转移到自身IT系统上时，确保其可以获得关于数据处理、技术要求、时间安排和收费的足够详细、清晰、透明的信息。

 （c）认证机制，帮助专业用户比较数据处理产品和服务，同时考虑到既定的国家或国际规范，以促进这些产品和服务的可比性。这些机制可包括质量管理、信息安全管理、业务连续性管理和环境管理等;

 （d）沟通蓝图采取多学科路径，以提高利益攸关方对行为守则的认识。

 2.欧盟委员会应确保与所有利益攸关方密切合作，共同制定行为守则，包括中小企业和初创企业协会，以及用户和云服务提供商。

 3.欧盟委员会应鼓励服务提供者在……之前（自本条例公布之日起12个月）完成行为守则的制定，并在……之前（自本条例公布之日起18个月）有效实施行为守则。

 第七条 主管部门之间的合作程序

 1.每个成员国应指定一个单一联络点，该联络点应就本条例的适用，与其他成员国的单一联络点和欧盟委员会联系。成员国应将指定的单一联络点及其后续变更通知欧盟委员会。

 2.如果一个成员国的主管部门根据第5条第2款请求另一成员国提供协助，以便获取数据，则应向后者指定的单一联络点提出正当请求。请求应包括对原因的书面解释以及寻求访问数据的法律依据。

 3.单一联络点应指明其成员国的有关主管部门，并将根据第2款收到的请求转交该主管部门。

 4.接到上述要求的有关主管部门应在无不当拖延的情况下，在与请求的紧急程度相称的时间范围内，提供关于所请求数据的答复，或通知请求的主管部门，其认为该请求不符合本条例的要求。

 5.在第5条第2款要求和提供的协助范围内交换的任何信息，仅可用于所要求的事项。

 6.单一联络点应向用户提供有关本条例的一般信息，包括行为准则。

 第八条 评估和指南

 1.在……之前（自本条例公布之日起48个月），欧盟委员会应向欧洲议会、理事会和欧洲经济和社会委员会提交报告，评估本条例的实施情况，特别是在以下方面：

 （a）本条例的适用情况，尤其是对由个人和非个人数据组成的数据集的适用，因为考虑到市场发展和技术发展可能扩大数据再次识别的可能性;

 （b）成员国对第4条第1款的实施情况，特别是公共安全例外；以及

 （c）行为守则的制定和有效实施情况，以及服务提供者是否有效提供信息。

 2.成员国应向欧盟委员会提供编写第1款所述报告的必要资料。

 3.在……之前   （自本条例公布之日起6个月），欧盟委员会应发布关于本条例与GDPR交叉适用关系的指引性指南，特别是有关由个人和非个人数据组成的数据集。

 第九条 最后条款

 本条例在欧盟官方公报上公布后的第二十天生效。

 本条例自公布之日起六个月后实施。

 本法规应具有全部约束力，并直接适用于所有成员国。

（资料来源：欧盟如何为繁荣数字经济打造统一的数据法律规则？作者：曹建峰 腾讯研究院）