欧盟《数据法》看似是为了规范数据领域，实则可能隐藏着经济战的意图。在其外衣之下，中小企业首当其冲成为承受制度成本的群体。这些企业往往缺乏足够的资源和专业能力来应对复杂的数据合规要求，不得不投入大量资金和人力进行调整与适应。大型科技企业虽有一定应对能力，但也需在合规上耗费大量成本，这可能影响其市场竞争策略和创新步伐。而这种制度成本的转嫁，可能导致市场格局的变化，中小企业的发展受限，经济的活力被削弱，最终可能引发全球数据领域的动荡，我们需警惕这背后的经济战风险。

欧盟《数据法》的落地，标志着全球数据治理进入“规则竞合”新阶段。这部法案以“破除数据垄断”为名，通过重构数据持有者义务、重塑数据流通规则，正在深刻改变欧洲乃至全球数据市场的权力格局。金晶教授的《数据持有者何以塑造数据市场？》（原标题）一文，以穿透式研究揭示欧盟立法背后的策略逻辑与制度风险，为中国政策制定者和参与全球数据竞争的企业提供了关键性警示。

欧盟《数据法》的激进实验，既暴露了法律强制干预市场的制度局限，也为我国优化数据基础制度提供了鲜活样本。建议企业将本文作为欧洲市场合规的“预警路线图”，政策部门则可从中提炼规则博弈的攻守策略——在数据主权的底线之上，以更具弹性的制度设计参与全球数字秩序重构。

本文是司法部法治建设与法学理论研究部级课题“数据交易的民法规制”（21SFB3017）的阶段性成果，原载于《欧洲研究》2025年第2期。经作者金晶教授的授权，现于本平台转载全文，但囿于篇幅和排版原因，本平台将该文分为2个部分（上下）分别刊载，并删除了原文的索引部分，修改了标题和小标题。

上篇：《警惕欧盟《数据法》外衣下的经济战——数据市场重构对全球企业的“收割”（上）：数字保护主义的新马甲》

三、建构数据流通路径：数据持有者提供数据的法定义务

数据流通路径是数据市场制度设计的关键一环。在数据持有者与用户的利益分配中，制度设计需平衡两方面：一是突破数据持有者对数据的事实垄断；二是保留并承认数据持有者对已有数据的在先控制，而非简单通过法律强行分配数据给用户。

这一利益平衡围绕数据流通路径的制度设计展开，通过“访问设计”制度，从权利分配、范围划定和成本控制三个维度确立路径：一是用户享有访问数据的决定权；二是对数据持有者的干预限于用户访问的有限范围，而非无限影响其控制地位；三是通过制度设计降低用户访问的交易成本。“访问设计”制度的核心在于数据持有者的法定义务，即《数据法》第３条第１款规定的数据可访问性设计义务，此义务被视为实现规范目标的最有效工具。

（一）数据持有者的义务证成

在法律性质上，《数据法》第３条第１款规定的是数据持有者的义务，具体针对网联产品制造商和关联服务提供商，而非赋予用户固有的数据访问权。这一义务性质既可以从第１款的规范文义和第３条标题中的“义务”一词得出，也可以通过对第４条和第５条用户权利、第４条第１款访问权制度的对比推导反向得出。

该法定义务旨在从制造设计角度对数据持有者提出“供数”要求，以实现用户数据可访问的立法目标，具体而言，是界定网联产品及关联服务进入市场时应具备的质量要求、产品制造商和服务提供商应满足的技术要求，由此确立产品进入流通的标准。由此，用户可不依赖数据持有者干预，直接通过技术手段访问和下载相关数据。

（二）数据持有者的义务构成

数据持有者义务的制度逻辑在于，通过立法设定义务，构建数据从数据持有者流向不同市场主体的流通渠道。基于此，《数据法》将数据持有者义务规定为，数据持有者在特定前提条件下须将数据提供给用户、第三方和欧盟机构三类主体。三种数据流通路径旨在基于不同维度推进数据访问与复用的立法目标。

图：数据流通路径图注（由作者自制）

1、数据持有者对用户的数据提供义务

数据流通的第一种路径是数据持有者向与其存在合同关系的用户提供数据，主要场景为网联产品制造商和关联服务提供商与用户之间的数据流动。

《数据法》根据数据持有者和用户的合同关系，设计了直接访问、间接访问和转访问（数据携带）三种数据流通渠道：

一是数据持有者提供直接访问渠道，《数据法》第３条要求数据持有者在产品设计制造的技术层面，确保用户可直接访问数据，无需数据持有者介入；

二是数据持有者提供间接访问渠道，《数据法》第4条赋予用户数据访问请求权，用户提出访问请求后，数据持有者介入并向用户提供数据；

三是数据持有者提供转访问渠道（数据携带），《数据法》第5条赋予用户数据携带请求权，用户提出携带请求后，数据持有者介入并向与用户存在法律关系的第三方提供数据。

针对数据的直接和间接访问，《数据法》从数据持有者的数据提供义务（第３条第１款）和用户的数据访问请求（第４条第１款）两方面加以规定。

一方面，《数据法》第３条第１款为数据持有者设定了确保数据易用性、安全性的义务，规定：“网联产品和关联服务应以如下方式设计和制造，使产品数据和关联服务数据（包含解释和使用这些数据所需的相关元数据），默认以全面、结构化、常用且机器可读的格式，方便、安全、免费提供给用户访问，并在相关和技术可行时直接提供访问”。此条款确立了网联产品制造商和关联服务提供商的数据可访问性义务。基于第３条第１款第1项后半句，该义务不仅是对数据访问方式的“就地组合”，更是对数据持有者“供数能力”的要求。

另一方面，《数据法》第４条第１款规定，数据持有者须向用户提供使用产品或服务生成的数据（包括个人数据和非个人数据），用户提出访问请求后，无论其身份（个人、法人，或产品所有人、借用人、承租人），数据持有者必须“毫不迟延地免费提供数据，并在适用的情况下持续、实时提供数据”。

立法者还将义务前置至缔约阶段，以先合同信息义务（透明度义务）规定潜在数据持有者在缔约前向用户披露信息，将义务主体扩展至潜在数据持有者。此先合同信息义务是针对数据持有者法定义务之补充，旨在提升产品数据的透明度，便于用户访问（《数据法》鉴于条款第24条）。先合同信息义务的主体限定于潜在数据持有者，不受其是否缔约之影响。《数据法》第３条在第２款和第３款分别规定了两种场景下的义务内容。其中，第３条第２款针对网联产品场景，规定了四项标准，要求数据持有者在缔约前以清晰易懂的方式向用户提供数据的类型、格式、估计数量以及与用户的数据访问权相关的信息至少四类特定信息。第３条第３款针对关联服务场景，规定了九项标准，要求关联服务提供商在缔约前以清晰易懂的方式向用户至少提供该款列明的九类信息。

2、数据持有者对第三方的数据提供义务

数据流通的第二种路径是数据持有者向无直接关联的第三方提供数据，主要场景为网联产品制造商、关联服务提供商与第三方企业间的数据流动。

实践中，用户的技术与经济能力有限，难以有效开发利用因使用产品和服务生成的数据，尤其是消费者用户通常缺乏“用数能力”。若数据仅流向用户即止步，则用户使用产品和服务生成的数据所承载的使用偏好等数据价值无法充分释放，而此类数据最具商业价值。为此，欧盟通过法定赋权，将第三方纳入数据流通环节，确保数据流向第三方企业。这一新增数据流通环节的立法思路，在《数据法》鉴于条款第32条“本条例的目的不仅在于激励售后市场的创新，还在于激励利用相关数据开发全新的服务”的表述中得到了体现。

在规则内容上，《数据法》第５条第１款规定，用户提出请求时，数据持有者须在用户请求下向第三方提供数据。由此，用户享有向第三方提供数据的法定权利，数据持有者承担相应义务。从体系看，第５条的数据提供义务与第４条的数据可携权紧密衔接，并非孤立条款，作为数据访问权（第４条）的平行制度，第５条重心在于保障数据可携权行使中的利益平衡。

在规范构造上，《数据法》第５条遵循“一般规则、例外情形与限制情形”的基本思路，先设定一般规则（第５条第１款）和例外情形（第５条第２款），再从主体（第５条第３款）、数据与行为（第８条第１款、第９条第１款）三方面加以限制。

其一，规定一般规则和例外情形。《数据法》第５条第１款作为一般规则，赋予用户要求数据持有者向第三方提供数据的权利。同时，第５条第２款将未上市网联产品或程序的数据列为例外，免除第１款的数据提供要求。

其二，从主体、客体和行为三方面加以限制：一是限制提供数据主体范围，《数据法》第５条第３款明确可接收数据的第三方范围，将《数字市场法》第３条指定的“守门人”企业排除在流通链条之外；二是限制数据使用范围，《数据法》第５条第４款禁止数据持有者保留用于核实用户请求或第三方身份的数据，第４条第１３款规定，数据持有者只能依据合同使用数据，数据使用不得超出约定范围；三是限制数据提供行为，《数据法》对数据持有者与第三方之间的数据提供关系设定了提供方式和使用限制的行为要求。首先，数据须在技术和相关可行条件下持续、实时提供（《数据法》第５条第１款）。其次，数据持有者向第三方提供数据时，须基于公平、合理、无歧视原则商定合同条款与补偿（《数据法》第８条第１款、《数据法》第９条第１款）。此外，对第三方使用数据设定了义务与禁区。例如，禁止第三方将数据用于自然人画像分析（《数据法》第６条第２款第ｂ项）或开发与数据来源产品竞争的产品（《数据法》第６条第２款第ｅ项）。在数据流向上，禁止向其他第三方提供数据，除非依用户合同允许（《数据法》第６条第２款第ｃ项），并禁止向《数字市场法》指定的“守门人”提供数据（《数据法》第６条第２款第ｄ项）。

3、数据持有者对欧盟机构的数据提供义务

数据流通的第三种路径，是数据持有者向欧盟机构提供数据，场景是网联产品的制造商、服务提供商与欧盟机构之间的数据流通。

数据持有者向欧盟机构提供数据的核心要求是满足“特殊需要”（exceptional need)。

具体来说，《数据法》第14条规定，公共部门、欧盟委员会、欧洲中央银行或欧盟机构若证明存在第15条“特殊需要”并需使用特定数据（含解释和使用所需元数据）以履行其符合公共利益的法定职责时，数据持有者（公共部门机构除外）必须提供此类数据。此规定构成政府征调商业数据的法律依据。《数据法》第15条第１款规定，在满足“特殊需要”时，即数据为应对公共紧急事件所必需，且公共部门或欧盟机构无法在同等条件下通过其他方式及时有效获取此类数据，数据持有者必须提供数据，不得无故拖延。这表明“特殊需要”是欧盟机构征调商业数据的限制条件。《数据法》鉴于条款第63条将“特殊需要”视为“原则上不可预见且时间有限的情况”。《数据法》第15条第１款进一步将“特殊需要”限定为公共紧急情况和特定任务两类情形，并列举清单：一是数据是“应对公共紧急情况所必需”（第15条第１款第ａ项）；二是“缺乏此类数据将使该实体无法完成法律规定的为公共利益而执行的特定任务”（第15条第１款第ｂ项第ⅰ点），且“该实体已尽力获取但仍无法通过其他途径获得数据”（第15条第１款第ｂ项第ⅱ点）。为限制政府征调数据，《数据法》第18条第２款赋予数据持有者拒绝权，允许其拒绝或要求修改政府提出的数据提供请求，并列明三类适用情形。

（三）制度评估：数据持有者义务过重的风险

1、义务正当性存疑

数据持有者数据提供义务的实质，是在商事领域强制设立数据访问权。强制性规则应作为交易规则的例外而非原型，当数据提供义务成为数据流通的基本制度时，其正当性论证尤为重要。

这种数据提供义务应满足特定前提。例如，德国魏岑鲍姆研究所认为，只有在数据持有者明确拒绝以公平合理条件提供访问，且无其他方式获取数据，且该数据对需求方商业模式至关重要时，才应考虑立法设立数据提供义务。从市场力量角度看，数据提供义务原则上应仅限于相关市场上占支配地位的公司，且仅适用于其滥用市场支配力、拒绝访问或以剥削性条件提供访问的情形。数据提供义务不应成为普遍义务，若设为普遍义务，须以精确界定数据持有者的市场力量为前提，而《数据法》对此缺乏详细论证。若立法者仅凭“破除数据持有者依赖”的宏观判断设立普遍义务，其正当性存在明显缺陷，且盲目干预恐进一步损害数据市场结构。

2、全产业性后果与重点产业的数据竞争

若不对数据持有者情况加以区分而统一适用数据提供义务，这一义务可能影响在欧洲市场运营的所有经济部门，而非仅限于物联网产业。

全产业性后果的根源在于，《数据法》采用跨行业适用的横向规则，使数据持有者法定义务覆盖所有行业，且《数据法》基于市场地原则，将管辖范围扩张至任何接触欧洲市场的产业。例如，在欧洲提供云计算数据处理服务的科技公司，制造销往欧洲并生成数据的网联产品制造企业（如汽车），为网联产品运行而在欧洲提供关联服务的企业（如智能家居、健康穿戴设备）皆构成数据持有者。若这些数据持有者因数据提供义务向潜在竞争第三方传输数据，那么数据持有者的竞争力会因此受到影响。

汽车、医药、航空和金融行业恐将成为数据持有者义务引发数据竞争的重点行业。例如，美国商会严厉批评数据提供义务，认为其将显著影响汽车、航空和制药行业，削弱航空业制造商保护其商业秘密及其他知识产权的能力，导致制造商减少数据收集，进而阻碍创新并增加成本，而制药和医疗设备等极受信息公开披露影响的行业可能面临信息泄露风险。

事实上，上述行业恰是欧盟的立法目标。例如，《数据法（草案）》也明确提及交通行业、汽车、医疗设备，《数据法》鉴于条款第14条明确提及交通、健康设备、船只、航空器和智能家居等联网产品领域。若物联网是《数据法》关注的特定领域，则上述重点行业可能是其主要针对目标。换言之，调整重点产业数据流向或为欧盟立法者的产业调整目标。

3、欧盟机构征调商业数据的滥用风险

政府征调商业数据应为数据流通的特殊例外。这一数据流通理念源于跨国数字平台和科技企业的快速发展，使企业和政府的数据获取能力显著变化，企业成为主要数据收集和处理者，掌握公共机构难以获取的数据，若公共机构能利用私营企业数据服务于特定公共目的，必然会极大受益。《数据法》鉴于条款第63条认为，此类数据流通旨在帮助公共机构利用私人数据，更有效地应对公共突发事件或其他特殊情况。

然而，为保持规则弹性，立法者引入了不确定法律概念。例如，《数据法》第15条规定，欧盟机构须在“为满足‘特殊需要’实现政府要求数据的目的严格必要”前提下要求数据持有者提供数据。尽管第15条第1款“特殊需要”清单将限制情形限定为公共紧急情况和特定任务，但这些一般法律概念的解释和适用仍存在较大裁量空间。美国商会对此尖锐批评，称“清单所列‘特殊需要’门槛过低”，可能导致“公司商业秘密定期被转让给提出要求的欧盟机构”的极端情况。

此外，第15条第1款允许欧盟机构以其他公共利益为由要求提供数据。作为一般概念，公共利益的解释空间较广、概念弹性较大。以公共利益为名滥用数据征调的制度风险在于，若欧盟以贸易或外交为由要求目标企业提供数据，将违背这一数据流通的初衷，甚至可能成为国际政治博弈的工具。尽管欧盟机构为公共利益访问私营数据具有正当性，但须明确数据提供范围、政府补偿标准及范围。从制度定位看，这仅为非常规且临时的流通渠道，应推动通过常规手段获取数据。欧盟机构征调商业数据应作为特殊例外，而非常态。

4、“守门人”禁令的贸易后果

在数据流通的第二种路径——数据持有者与第三方之间的数据流动中，《数据法》第５条第３款的“守门人”禁令禁止数据持有者向《数字市场法》认定的“守门人”企业传输数据，同时，《数据法》第６条第２款第ｄ项禁止第三方向“守门人”提供数据，从而将“守门人”完全排除在流通渠道外。《数据法》将“守门人”排除出流通渠道的理由似为，“守门人”本身可能已是市场最大的数据持有者，拥有充分的数据获取渠道，若允许其作为第三方获取更多数据，或将强化其垄断地位。然而，拥有数据资源优势的“守门人”也可能成为数据持有者。若其生产《数据法》管辖的网联产品，用户提出访问请求时，作为数据持有者的“守门人”须向第三方（包括竞争对手）传输数据。作为数据持有者的“守门人”需要投入成本调整网联产品和关联服务的生产设计，却无法参与数据流通获取数据。这可能削弱其产品竞争力，抑制其开发数据携带工具的动力，对此类企业公平性存疑。

“守门人”禁令还可能违反国际贸易法规。原则上，世界贸易组织框架下的国民待遇义务原则上禁止对进口产品有基于国籍的歧视。鉴于《数字市场法》指定的六家“守门人”企业多为非欧盟公司，且其“守门人”标准涵盖美国大型平台而排除多数类似欧洲平台，针对“守门人”的数据流通禁令可能改变欧盟市场竞争条件，不利于外国“守门人”。因此，针对“守门人”的禁令可能违反欧盟在《服务贸易总协定》及《关税与贸易总协定》第３条第４款下的国民待遇义务。

结语：以法律强制塑造数据市场的方法论风险

“制定即落后”是数据立法的“魔咒”。数据立法范式转换的根本原因可能在于数据的独特要素特征及其无与伦比的经济竞争价值。

欧盟数据立法的范式转换体现为数据监管在功能性和灵活性上的务实调整。《数据法》采取主动的市场干预逻辑，以解决“创新和转型的系统失灵”，通过重塑数据访问权，采用“基础设施式”或“市场塑造式”监管路径。

与中国数据产权结构性分置（数据持有权、使用权和经营权）方案不同，欧盟未直接处理数据产权，而是通过流通环节设定权利义务作行为规制。不同于数据产权，欧盟未在数据上设立排他性、绝对性的专有权，而是围绕数据使用权，通过法定赋权（数据访问权）规定物联网等场景中谁可使用数据，无需个别授权，其价值理念在于降低许可成本，促进数据流通。欧盟认为，这种“基础设施式”或“市场塑造式”的数据制度旨在实现“确保数据经济参与者之间经济价值分配的公平性”目标。欧洲学者评价此范式转换称，“《数据法》使欧盟再次成为监管理念市场的先行者”。欧盟委员会宣称，“《数据法》新规则将促进数据使用，确保数据共享、存储和处理符合欧洲规则。”美国商界则严厉批评，“《数据法》是一项误导性政策……强制数据共享和限制数据流动将损害经济并破坏合作”。美欧对立的观点凸显了“数据持有者—用户—第三方—政府”这一复杂法律关系背后的核心问题：如何平衡数据流通中的利益冲突。

数据流通基础制度需实现微妙的利益平衡，既要厘清数据生态系统中各方冲突并合理限制数据访问，又要符合现行数据保护规则，确保个人信息和知识产权保护，还要促进数据共享。欧盟看似用通过数据持有者的数据提供义务和用户的数据访问权重塑数据市场，但其制度设计明显带有产业和竞争政策导向，其潜在目标可能是支持欧洲企业，通过重塑市场参与者的数据价值分配，调整欧盟数据经济中各主体的市场力量，为中小企业提供更多数据资源并增强其竞争力，尤其是以欧盟中小企业为主要受益者，从而推动欧洲数据产业发展。或许欧洲数据市场将按立法初衷发展，工业数据价值依目标实现“全面释放”。然而，这种以法律强制人为调整数据市场结构的产业和竞争政策，囿于欧盟规则及其“公平市场”价值观，可能损害包括数据持有者在内的全行业及市场竞争的公平秩序。

市场规则越严格，其对市场的影响越深远。欧盟通过法律强制有选择性地赋予权利和设定义务，旨在扩大商事流通数据共享范围，释放更多数据价值。但若缺乏充分的正当性依据，强行改变数据流通路径本质上偏离了市场失灵的干预逻辑。试图通过数据持有者重塑市场结构，强迫其提供数据以改变数据流向，意味着《数据法》蕴含方法论风险，其他国家政策制定者需保持警惕。基于法律强制的数据流通制度，未必是数据市场的最佳方案。

本文来自微信公众号：Internet Law Review，作者：金晶（《互联网法律评论》特约专家、中国政法大学教授）