欧盟《非个人数据自由流动条例》研判

◎北京师范大学 吴沈括

非个人数据作为数据流转的B面，提出了与个人数据保护不同的规制要求。非个人数据流转问题的背景主要在于技术驱动的不断创新，数据的流转机制在不断演进，但随着技术的发展与革新，数据流的各种模式在不断发生变化，数据经济也在不断发展。

换言之，在技术驱动创新的大数据时代，数据逐渐以核心竞争力的姿态出现，并逐渐显现其在竞争上的优势。对于经济的发展以及创新点的逐渐开发，数据正在以数据流的形式形成所谓的数字经济。数据与技术的发展相互扶持，数据为技术提高竞争点，以其形成的数据框架体系为技术的发展发现搭载平台与服务器，而技术则刺激数据的价值生长，开发数据的特质满足数据交换的需求，逐渐形成特有的单一数字经济市场。

在此时代背景下，欧盟《非个人数据自由流动条例》于2018年10月4日由欧洲议会正式通过，非个人数据流转的总体目标在《非个人数据流动条例》中得以体现，其提出了亟待解决的问题：（1）改善单一市场跨境的非个人数据的流动性；（2）确保主管当局为监管控制目的要求和接收数据的权力不受影响；（3）使数据存储或其他处理服务的专业用户更容易切换服务提供商和端口数据，同时避免为服务提供商带来过度负担以及扭曲市场。

该条例力求使数据存储及其处理行为可以在广义上被使用的同时，追求与现有政策领域的相关政策规定保持一致，与其他欧盟政策保持一致。在这样一种大的框架之下，为数据存储以及其他处理服务创建一个有效的欧盟数字单一市场。明确并确保在欧盟成员国实施数据自由流动的过程中，保证数据字济发展的关键因素的确定性以及完备性，同时在数据和云服务的安全性方面取得进一步进展，这些问题的解决将有助于优化和完善数据的跨境传输，以及数据的跨存储器存储，甚至可以使数据在云服务器CSP和IT系统内部之间进行稍显自如的移动。

为此，条例通过在成员国之间建立一个明确的框架与会员国进行合作。该条例旨在提高法律确定性和提高信任水平，同时由于合作的灵活性，基于成员国的单一联络点，长期保持相关性和有效性框架。

总体而言，该条例的立法政策性目标追求与该政策领域的现有规定保持一致，与其他联盟的政策保持一致。从政策目标而言，条例追求限定数据本地化规则，促进数据流动市场环境的活跃度与积极性。可以认为，欧盟对于数据跨境的流动保护规则的设定，反映出其在数据治理以及数据有效利用环节的治理立场，其明确指出数据本地化规则的弊端，要求对该规则进行评估以及必要的限制，与此同时，法律确定性的提高则是欧盟境内外高效处理跨境数据以及处理可能产生的冲突的有效措施，凡此种种，在下文《非个人数据自由流动条例》的规范设计中得到了充分的展现。

附：欧盟《非个人数据自由流动条例》（2018-10-04）正文

欧洲议会与欧盟理事会,

鉴于《欧洲联盟运作条约》，特别是其第114条，

鉴于欧洲委员会的提议,

将立法草案转递各国议会之后，

鉴于欧洲经济社会委员会的意见,

咨询区域委员会之后，按照普通立法程序行事。

鉴于:

（1）经济的数字化正在加速。信息和通信技术不再是一个特定的部门，而是所有现代创新经济体系和社会的基础。电子数据是这些系统的核心，在分析或与服务和产品结合时可以产生巨大价值。与此同时，数据经济的快速发展以及人工智能、物联网产品和服务、自治系统和5G等新兴技术正在围绕数据访问和重复使用、责任、伦理和团结等问题提出新的法律问题。应该在责任问题上付诸考虑，特别是通过落实自律规范和其他最佳做法，同时考虑整个数据处理价值链中没有人为干预的建议、决定和行动。此类考虑还可能包括引入适当机制以助于确定责任、在合作服务之间配置责任、保险以及审计。

（2）数据价值链建立在不同的数据活动上：数据创建和收集; 数据汇聚和组织；数据处理;数据分析、营销和分销; 使用和重复使用数据。数据处理的有效和高效运作是任何数据价值链的基本组成部分。然而，数据处理的有效和高效运作以及欧盟数据经济的发展尤其受到数据移动性和内部市场层面的两种障碍：成员国机关的数据本地化要求以及私营部门供应商的锁闭实践。

（3）根据《欧洲联盟运作条约》（TFEU）建立的营业自由和提供服务自由适用于数据处理服务。但是，有时某些国家、区域或地方要求在特定领域内锁定数据，会妨碍提供此类服务。

（4）数据处理服务自由移动和服务提供者营业权的这些障碍源于成员国法律要求在特定地理区域或领土内锁定数据以进行数据处理。其他规则或行政措施具有相同的效果，其提出特定要求使得欧盟内在特定地理区域或者领土之外处理数据变得更为困难，例如要求使用在特定成员国内经过认证或批准的技术设施。关于数据本地化要求的合法和非法程度的法律不确定性进一步限制了市场参与者和公共部门对数据处理位置的选择。本条例绝不限制企业签订规定数据位置的合同的自由。本条例仅旨在通过确保商定的地点能够位于欧盟内的任何地方来保护该等自由。

（5）与此同时，欧盟内的数据移动性也受到私人限制的阻碍：各类法律、合同和技术问题阻碍或阻止数据处理服务用户将数据从一个服务提供商转移到另一个服务提供商或者返回到其自有的信息技术系统，尤其是在和服务提供商终止合同时。

（6）这些障碍的结合导致欧盟内的云服务提供商之间缺乏竞争、各种供应商锁闭问题以及数据移动性严重缺乏。同样，数据本地化政策削弱了研发公司促进公司、大学和其他研究机构之间创新驱动的能力。

（7）出于法律确定性的原因以及欧盟内公平竞争环境的需要，适用于所有市场参与者的一套规则是内部市场运作的关键因素。为消除因国家法律之间的差异而导致的贸易障碍和竞争扭曲，并防止出现可能的进一步贸易障碍和严重的竞争扭曲，有必要采用适用于所有成员国的统一规则。

（8）关于在处理个人数据中保护自然人、尊重私生活和电子通信中保护个人数据法律框架，特别是欧洲议会和欧盟理事会第 (EU)2016/679号条例与欧洲议会和欧盟理事会第（EU）2016/680号指令、第 2002/58/EC号指令不受本条例的影响。

（9）不断发展的物联网、人工智能和机器学习，反映了非个人数据的主要来源，例如作为它们部署在自动化工业生产过程中的结果。非个人数据的具体示例包括用于大数据分析的聚合、匿名化数据集，有助于监控和优化农药及流水使用的精确农业数据，或者有关工业机器维护需求的数据。如果技术发展可以将匿名化数据转换为个人数据，则此类数据将被视为个人数据，并且相应适用欧盟第（EU）2016/679号条例。

（10）根据欧盟第（EU）2016/679号条例，成员国不得出于个人数据处理中的自然人保护限制或禁止个人数据在欧盟内自由流动。本条例同样规定了欧盟内非个人数据的自由流动原则，除非为了公共安全原因而做出限制或禁止。欧盟第（EU）2016/679号条例和本条例提供了一套连贯的规则，以实现不同类型数据的自由流动。此外，本条例并未要求分别存储不同类型数据的义务。

（11）为了建立欧盟非个人数据自由流动的框架以及发展数据经济和提高欧盟产业竞争力的基础，有必要制定明确、全面和可预测的法律框架以助益内部市场中非个人数据的处理。促进成员国之间合作以及自我监管的基于原则的进路应确保该框架足够灵活，以满足欧盟内用户、服务提供者和国家机关不断变化的需求。为避免与现有机制重叠的风险，进而避免成员国和企业承担更高的负担，不应制定详细的技术规则。

（12）本条例不应影响数据处理，如果它是不属于欧盟法律适用范围的一项活动的组成部分。特别地，兹根据《欧洲联盟条约》（TEU）第4条重申，国家安全只是每个成员国的责任。

（13）欧盟内部的数据自由流动将在实现数据驱动增长和创新方面发挥重要作用。与企业和消费者一样，成员国的公共机构和受公法管辖的机构可以从数据驱动型服务提供商更多的选择自由、更具竞争力的价格和更有效地向公民提供服务中受益。鉴于受公法管辖的公共机构和机关处理的大量数据，尤其重要的是他们以身作则，重塑数据处理服务，并且在获取数据处理服务时不采取数据本地化限制。因此，本条例应涵盖受公法管辖的公共机构和机关。在此，本条例规定的非个人数据自由流动原则也应适用于一般和持续的行政措施以及公共采购领域的其他数据本地化要求，而不影响欧洲议会和欧盟理事会第2014/24 /EU号指令。

（14）如同欧盟第2014/24/EU号指令，本条例不影响涉及成员国内部组织的法律、法规和行政规定，不影响涉及成员国内公共机关和受公法管辖的公共机构间没有主体合同对价之数据处理的权力责任分配的法律、法规和行政规定，也不影响成员国有关该等权力责任落实的法律、法规和行政规定。虽然鼓励公共机关和受公法管辖的公共机构考虑外包给外部服务提供商的经济和其他好处，但他们可能有合理的理由选择自我提供服务或内包。因此，本条例并不要求成员国将其希望自行提供的服务予以外包或者通过公共合同以外的方式予以实现。

（15）本条例适用于向在欧盟内居住或拥有营业的用户提供数据处理服务的自然人或法人，包括在欧盟内提供数据处理服务、但在欧盟内没有营业的人。因此，本条例不适用于在欧盟外发生的数据处理服务以及与此类数据相关的数据本地化要求。

（16）本条例不规定涉及商业事项中确定适用法律的规则，因此不影响欧洲议会和欧盟理事会第593/2008（EC）号条例。特别地，如果没有根据该条例选择适用于合同的法律，涉及提供服务的该合同原则上受服务提供者惯常居住地国的法律管辖。

（17）本条例适用于最广意义上的数据处理，包括所有类型信息系统的使用，无论其是否位于用户的场所抑或外包给服务提供商。它应涵盖不同强度级别的数据处理，从数据存储（基础架构即服务（IaaS））到平台数据处理（平台即服务（PaaS））抑或应用程序处理（软件即服务（SaaS））。

（18）数据本地化要求是对欧盟内自由提供数据处理服务和内部市场的明显障碍。因此应当予以禁止，除非根据欧盟法律特别是在TFEU第52条的含义范围内以公共安全为正当基础，并且符合TEU第5条所规定的比例原则。为了实现非个人数据的跨境自由流动原则，确保迅速消除现有数据本地化要求，促进为运营理由在欧盟内的多地点数据处理，并且鉴于本条例规定了为监管控制目的确保数据可用性的措施，成员国只能援引公共安全作为数据本地化要求的正当依据。

（19）“公共安全”概念，处于TFEU第52条的含义范围内并且如欧洲正义法院的阐释，涉及成员国的内部和外部安全，以及公共安保问题，尤其是刑事罪行的调查、侦查和检控。它要求存在威胁社会基本利益的真实的、充分严重的威胁，例如危害国家机关和基本公共服务的运作以及人民生存的威胁，以及严重干扰外交关系或国家和平共处的风险，或者威胁军事利益的风险。根据比例原则，以公共安全为理由的数据本地化要求应当适用于实现所追求的目标，并且不应当超出实现该目标所必需的限度。

（20）为了确保有效适用非个人数据跨境自由流动原则，防止出现损害内部市场顺利运作的新障碍，成员国应当立即向欧盟委员会通报任何引入新的数据本地化要求或修改现有数据本地化要求的法令草案。应当根据欧洲议会和欧盟理事会第 (EU) 2015/1535号指令提交和评估这些法令草案。

（21）此外，为了消除潜在的现有障碍，在本条例施行之日起24个月的过渡期内，成员国应对现行提出数据本地化要求的一般性法律、法规或行政规定进行审查，并且向欧盟委员会通报他们认为符合本条例的任何该等数据本地化要求及其正当性事由。 这应使欧盟委员会能够审查任何留存的数据本地化要求的合规性。适当时，欧盟委员会应该能够向有关成员国提出意见。该意见可包括修改或废除数据本地化要求的建议。

（22）本条例规定的向欧盟委员会通报现有数据本地化要求和法令草案的义务涵盖监管性数据本地化要求和一般性法令草案，但不涵盖针对特定自然人或法人的决定。

（23）为了向自然人和法人，例如服务提供者和数据处理服务的用户，确保成员国一般性法律、法规或行政规定所确立的数据本地化要求的透明度，成员国应在其全国性在线单一信息点公布涉及此类要求的信息并定期予以更新。或者，成员国应向根据另一项欧盟法令建立的中央信息点提供有关此类要求的最新信息。为了向自然人和法人合理告知欧盟内的数据本地化要求，成员国应向欧盟委员会通报该等单一信息点的地址。欧盟委员会应在其网站上公布这些信息，并且定期更新成员国所有现行数据本地化要求的综合清单，包括有关这些要求的摘要信息。

（24）数据本地化要求往往源于对跨境数据处理的信任缺乏，这是因为假定成员国有权机关无法为了如调查和审计以实现监管控制目的而获取数据。这种信任缺乏不能仅仅通过宣告禁止有权机关依法获取数据以履行其职责的合同条款的无效予以克服。因此，本条例明确规定其不影响有权机关根据欧盟或本国法律要求获取数据的权力，不得基于数据在他国处理的事实拒绝有权机关获取数据。有权机关可以提出功能要求以支持数据获取，例如要求系统脚本留存在相关成员国内。

（25）有义务向有权机关提供数据的自然人或法人可以通过向有权机关提供和保证有效、及时电子访问的方式来履行该等义务，而无论数据处理位于哪个成员国领域内。该等数据访问可以通过承担提供访问义务的自然人或法人与服务提供者之间的具体合同条款及条件予以实现。

（26）如果自然人或法人有义务提供数据且不履行该义务，有权机关应能够向其他成员国有权机关寻求协助。在此情形下，有权机关应针对具体场合中的特殊情况，采取欧盟法或者国际协议规定的特殊合作方式，例如在警务合作、刑事或民事司法以及行政事务领域，分别援用欧盟理事会第2006/960 / JHA号框架决定、欧洲议会和欧盟理事会第2014/41/ EU号指令、欧洲委员会网络犯罪公约、欧盟理事会第 （EC）1206/2001号条例、欧盟理事会第 2006/112 / EC号指令以及欧盟理事会第（EU）904/2010号条例。在没有该等具体合作机制的情况下，有权机关应相互合作以便通过指定的单一联络点提供所需数据的访问。

（27）如果协助请求要求被请求机关进入自然人或法人的任何场所，包括任何数据处理设备和装置，该等请求必须遵守欧盟法或成员国程序法，包括涉及获得事先司法授权的要求。

（28）本条例不允许用户试图逃避国家法律的适用。因此，它应当规定成员国对用户科加有效的、相称的和阻遏性的惩罚，以处置其阻止有权机关获取根据欧盟法和国家法履行职责所必需的数据的情形。在紧急情况下，如果用户滥用其权利，成员国应能够采取严格符合比例要求的临时措施。任何要求重置数据处所超过180天的临时措施均可能显著超期偏离数据自由流动原则，因此应当通报欧盟委员会以审查其与欧盟法的兼容性。

（29）无阻碍地迁移数据的能力是促进用户选择和数据处理服务市场有效竞争的关键因素。跨境迁移数据的实际或感知困难也会削弱专业用户在接受跨境服务时的信心，从而削弱他们对内部市场的信心。尽管个人消费者受益于现有的欧盟法，但对于业务或专业活动中的用户而言，在不同服务提供者之间切换的能力并未获得提升。欧盟内一致的技术要求，无论技术协调、相互承认或者自愿协调，也能有助于为数据处理服务建设具有竞争力的内部市场。

（30）为了充分利用竞争环境，专业用户应能够做出知情的选择，并且轻松比较内部市场提供的各种数据处理服务的个别组成部分，包括合同终止时迁移数据的合同条款和条件。为了与市场的创新潜力保持一致并考虑到数据处理服务的服务提供商和专业用户的经验和专业知识，数据移植的详细信息和操作要求应由市场参与者通过欧盟委员会鼓励、促进和监督的自律以欧盟行为守则的形式做出界定，其中可能包括示范合同条款和条件。

（31）为了提高效率并使切换服务提供商和迁移数据更为容易，该等行为守则应当是全面的，并且至少应当涵盖迁移数据过程中重要的关键方面，例如用于数据备份的流程和位置、可用的数据格式和介质、所需的信息配置和最小的网络带宽、启动迁移流程之前所需的时间以及数据可以迁移的时间，以及在服务提供商破产的情况下对于数据获取的确保。行为守则还应明确规定供应商锁闭是不可接受的商业实践，其应当提供信任提升技术，并应定期更新以适应技术发展。欧盟委员会应确保在整个过程中咨询所有相关利益攸关方，包括中小企业（SMEs）和初创企业协会、用户和云服务提供商。欧盟委员会应评估此类行为守则的发展情况和实施效果。

（32）如果一个成员国的有权机关请求另一成员国提供协助以便根据本条例获取数据，其应通过指定的单一联络点向后者指定的单一联络点提交具有正当理由的请求，其中应包括对事由和获取数据法律依据的书面说明。被请求提供协助的成员国所指定的单一联络点应支持将请求递交被请求成员国的有权机关。为了确保有效合作，被请求的有权机关应不作迟延地提供协助以响应特定请求，或提供有关该等请求执行困难的信息，或提供拒绝执行请求的理由。

（33）跨境数据处理安全的信任提升应减少市场参与者和公共部门将数据本地化作为数据安全代理的倾向。在企业将数据处理业务外包给服务提供商包括其他成员国内的服务提供商的场合中，还应提高企业在遵守相关安全要求方面的法律确定性。

（34）根据欧盟法或数据所涉自然人、法人居住地或营业地成员国符合欧盟法的国家法律、以合理和相称的方式设定的数据处理相关安全要求，也应当适用于在另一成员国内处理该数据。所涉自然人或法人应能自行或通过与服务提供者签订的合同条款满足该等要求。

（35）在国家层面设定的安全要求应当是必要的，并且与设定该等要求的国家法律范围内的数据安全所面对的风险成比例。

（36）欧洲议会和欧盟理事会第 (EU)2016/1148号指令规定了提高欧盟网络安全总体水平的法律措施。数据处理服务属于该指令涵盖的数字服务之一。根据该指令，成员国应确保数字服务提供商确定并采取适当、相称的技术及组织措施，以管理其使用的网络和信息系统安全所面对的风险。这些措施应确保与所涉风险相称的安全水平，并应考虑系统和设施的安全、事件处理、业务连续性管理，监督、审计和测试，以及与国际标准的相符性。欧盟委员会在该指令项下的执行法令中将就上述要素做出进一步的规定。

（37）欧盟委员会应提交关于本条例实施情况的报告，特别是为了确定是否需要根据技术或市场发展做出修订。该报告应特别评估该条例，尤其是对于个人数据和非个人数据兼备的数据集的适用情况，以及公共安全例外的适用情况。在本条例施行之前，欧盟委员会还应发布关于如何处理个人数据和非个人数据兼备的数据集的指导性指南，以便包括中小企业在内的各类公司更好地理解本条例与第(EU)2016/679号条例之间的交互关系，并确保遵守这两项条例。

（38）本条例尊重基本权利并遵循《欧盟基本权利宪章》特别认可的各项原则，其应基于这些权利和原则，包括个人数据保护权、言论信息自由以及营业自由，予以解释和适用。

（39）鉴于其规模和影响，本条例的目标也即确保欧盟内非个人数据的自由流动，无法在成员国层面得到充分实现，而是需要欧盟层面的建设，欧盟可根据TEU第5条规定的补充原则采取相应措施。根据该条规定的比例原则，本条例不超出实现该目标所需的必要限度。

兹通过本条例：

＊＊＊＊＊

第1条

主旨事项

本条例旨在为专业用户规定涉及数据本地化要求、有权机关获取数据以及迁移数据的相关规则，进而确保欧盟内非个人数据的自由流动。

第2条

适用范围

1、本条例适用于欧盟内非个人电子数据的处理，其：

作为服务提供给在欧盟内居住或拥有营业的用户，不论服务提供商是否设立在欧盟内，或者由在欧盟内居住或拥有营业的自然人或法人根据自需所实现。

2、对于个人数据和非个人数据兼备的数据集，本条例适用于该数据集的非个人数据部分。 如果数据集中个人数据和非个人数据密不可分，本条例不应影响第(EU) 2016/679号条例的适用。

3、本条例不影响涉及成员国内部组织的法律、法规和行政规定，不影响涉及欧盟第2014/24/EU号指令第2（1）条第（4）点界定的公共机关和受公法管辖的公共机构间没有私主体合同对价之数据处理的权力责任分配的法律、法规和行政规定，也不影响成员国有关该等权力责任落实的法律、法规和行政规定。

第3条

定义

为本条例目的，适用以下定义：

（1）“数据”意指第（EU）2016/679号条例第4条第（1）点界定的个人数据以外的数据;

（2）“处理”意指以电子格式对数据或数据集执行的任何操作或操作集合，无论其是否通过自动化手段，包括收集、记录、组织、结构化、存储、调整或修改、检索、查询、使用、通过传输、分发或其他提供方式予以披露、排列或组合、限制、擦除或者销毁；

（3）“法令草案”意指作为一般性法律、法规或行政规定予以施行而起草的文本，该文本正处于准备阶段，仍可对其作出实质性修正；

（4）“服务提供者”意指提供数据处理服务的自然人或法人;

（5）“数据本地化要求”意指要求在特定成员国内处理数据或阻碍在其他成员国处理数据的任何义务、禁止、条件、限制或其他要求，其由成员国的法律、法规或行政规定予以设定，或者源自成员国和受公法管辖之机构的、包括公共采购在内的一般和持续的行政措施，在此不影响欧盟第2014/24 /EU号指令的适用；

（6）“有权机关”意指成员国国家机关或国家法律授权履行公共职能或行使官方权力的其他机构，其有权获取自然人或法人处理的数据以实现欧盟法或国家法规定的公共职责；

（7）“用户”意指利用或请求数据处理服务的自然人或法人，包括公共机关或受公法管辖的机构;

（8）“专业用户”意指为了与其贸易、经营、工艺、专业或任务相关的目的利用或请求数据处理服务的自然人或法人，包括公共机关或受公法管辖的机构。

第4条

欧盟内数据自由流动

1、数据本地化要求应予禁止，除非根据比例原则以公共安全为正当事由。

前文第1段不影响第3段和根据现行欧盟法设定的数据本地化要求。

2、成员国应当根据第(EU)2015/1535号指令第5、6和7条规定的程序立即向欧盟委员会通报任何引入新的数据本地化要求或修改现有数据本地化要求的法令草案。

3、在...... [自本条例实施之日起24个月]之前，成员国应确保废除其一般性质的法律、法规或行政规定中现存的、与本条第1款不相符的数据本地化要求。

在...... [自本条例实施之日起24个月]之前，如果成员国认为包含数据本地化要求的现行措施符合本条第1款并因此可以继续有效，成员国应将该措施通报欧盟委员会，并说明维持该措施有效性的正当理由。欧盟委员会应在收到该通报之日起六个月内，审查该措施是否符合本条第1款的规定，并在适当时向成员国就该问题发表意见，包括在必要时建议修改或废除该措施，这不影响TFEU第258条的适用。

4、成员国应在全国性在线单一信息点公布其一般性法律、法规或行政规定所确立的数据本地化要求的细节并定期予以更新，或者向根据另一项欧盟法令建立的中央信息点提供有关此类本地化要求的最新信息。

5、成员国应向欧盟委员会通报第4款规定的单一信息点的地址。欧盟委员会应在其网站上公布这些信息点的链接，并且定期更新第4款涉及的所有现行数据本地化要求的综合清单，包括有关这些要求的摘要信息。

第5条

有权机关获取数据

1、本条例不影响有权机关为根据欧盟法或国家法履行其职责要求或获取数据访问的权力。有权机关对数据的访问不得以数据在另一成员国处理为由受到拒绝。

2、如果有权机关在要求访问用户数据后无法获得访问，并且在欧盟法或国际协定项下不存在具体合作机制以实现在不同成员国有权机关之间交换数据，该有权机关可根据第7条规定的程序要求另一成员国的有权机关提供协助。

3、如果协助要求需要被请求机关进入自然人或法人的任何处所，包括数据处理设备和装置，则此类访问必须符合欧盟法或国家程序法。

4、成员国可以根据欧盟法和国家法增加有效的、相称的和阻遏性的惩罚，以处置不履行数据提供义务的行为。

在用户滥用权利的情况下，成员国可以基于获取数据的紧迫性以及相关各方的利益考量对该用户采取严格符合比例要求的临时措施。如果临时措施要求重置数据处所超过180天，该措施应当在此180天期限内向欧盟委员会做出通报。欧盟委员会应在最短的时间内审查该措施及其与欧盟法的兼容性，并在适当时采取必要措施。欧盟委员会应与第7条规定的成员国单一联络点就相关经验交换信息。

第6条

数据迁移

1、欧盟委员会应鼓励和促进欧盟层面自律性行为守则（“行为守则”）的制定，助益建设具有竞争力的数据经济，其以透明性和交互性原则为基础，合理考虑开放标准，涵盖如下方面：

a、最佳实践，以便利服务提供者切换和以结构化的、常用的且机器可读的格式迁移数据，包括需要时或接收数据的服务提供者要求的开放标准格式；

b、最低信息要求，以确保专业用户在签订数据处理合同之前能获得足够详细的、清晰的和透明的信息，其涉及流程、技术要求、时间区间以及专业用户切换服务提供者或者迁移数据回自有信息系统时的收费；

c、认证体制方法，助益专业用户比较数据处理产品和服务，考察该等产品和服务与现行国家或国际规范的可比性。其中，这些方法可以包括质量管理、信息安全管理、业务连续性管理和环境管理；

d、通讯路线图，采用多学科方法以提高各利益攸关方对行为守则的认知。

2、欧盟委员会应确保各利益攸关方密切合作制定行为守则，其包括中小企业（SMEs）和初创企业协会、用户和云服务提供商。

3、欧盟委员会应鼓励服务提供者在......[自本条例公布之日起12个月]之内完成行为准则的制定，并在...... [自本条例公布之日起18个月]之内予以有效实施。

第7条

机关间合作程序

1、每个成员国应指定一个单一联络点，其应与其他成员国单一联络点和欧盟委员会就本条例的适用建立联系。成员国应将指定的单一联络点及其后续变更通报欧盟委员会。

2、如果一个成员国的有权机关根据第5条第（2）款请求另一成员国提供协助以便获得数据访问，则应向后者指定的单一联络点提交正当化要求。该请求应包括对理由的书面说明以及寻求数据访问的法律依据。

3、单一联络点应指明其成员国的相关有权机关，并将根据第2款收到的请求转交该有权机关。

4、如此被请求的相关有权机关应在没有不当拖延的情况下，在与请求的紧急程度相称的时间范围内，提供答复通报所请求的数据，或通知请求的有权机关不具备本条例有关请求协助的条件。

5、协助请求语境内、第5条第（2）款规定的被交换信息只能用于被请求的事项。

6、单一联络点应向用户提供有关本条例的一般信息，包括行为准则。

第8条

评估和指南

1、不迟于...... [自本条例公布之日起48个月]，欧盟委员会应向欧洲议会、欧盟理事会和欧洲经济社会委员会提交报告，评估本条例的实施情况，特别是在以下方面：

a、本条例的适用情况，尤其是市场发展和技术发展语境下对于个人数据和非个人数据兼备的数据集的适用情况，其可能扩大匿名化数据的可能性；

b、成员国适用第4（1）条尤其是公共安全例外的情况；

c、制定和有效实施行为守则以及服务提供者有效提供信息的情况。

2、成员国应向欧盟委员会提供编纂第1款所述报告的必要信息。

3、在...... [自本条例公布之日起6个月]之内，欧盟委员会应就本条例和欧盟第 (EU)2016/679号条例的交互关系发布指导性指南，尤其是涉及个人数据和非个人数据兼备的数据集。

第9条

最终条款

本条例应在《欧盟官方公报》上公布后的第二十天生效。

本条例自公布之日起六个月后施行。

本条例具有整体约束力，并直接适用于所有成员国。

毕于......

欧洲议会 欧盟理事会

主席 主席