非个人数据是 GDPR 下不属于“个人数据”的任何数据，GDPR 规范个人数据的国际传输，但近期欧盟公布的几项法律对非个人数据的国际传输做出了规定，这些新法律适用于与已识别或可识别自然人无关的数据，包括匿名数据和有关工业设备的数据，扩大了受国际传输限制的数据类型。其中一些已颁布，一些正在经过立法程序，但尚未获得通过。

一、数据本地化

Regulation 2018/1807 on the flow of non-personal data 禁止成员国采用数据本地化要求（例如，要求在特定成员国境内处理数据或阻止在另一个成员国处理数据），除非以“符合比例原则的公共安全”为理由，并向欧盟委员会（EU Commission）通报。该法规自 2019 年 5 月 28 日起直接适用于所有欧盟成员国。数据本地化禁令适用于以下机构处理的非个人数据：

• 在欧盟境内或境外设立的实体，向欧盟用户提供在欧盟境内（例如通过位于欧盟的服务器）进行的电子数据处理服务（例如云计算服务）；

• 在欧盟设立的、出于自身需要在欧盟处理电子数据的实体。

该条例中的数据本地化禁令适用于各个欧盟成员国的法律。

二、欧盟境外非个人数据的传输

《数据治理法案》（Data Governance Act）（自2023年9月24日起适用）、《数据法案》（Data Act）（将于 2025年9月12日起适用）和即将出台的《欧洲健康数据空间》（European Health Data Space）包含对传输的限制欧盟以外的非个人数据。

对非个人数据传输的限制有两个主要目的：

• 首先，它们旨在保护欧盟知识产权、机密信息和商业秘密。例如，《数据治理法案》序言第20条。

  

• 其次，这些限制也是为了防止非个人数据通过重新识别而成为个人数据。《数据治理法案》序言第24条和拟议的EHDS中的条款都体现了这一点。

三、三法对比

参考资料：

European Data Governance Act：

https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

European Data Act：

https://digital-strategy.ec.europa.eu/en/policies/data-act

European Health Data Space：

https://www.consilium.europa.eu/en/press/press-releases/2024/03/15/european-health-data-space-council-and-parliament-strike-provisional-deal/

声明：本文来自越洋网事，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。