声明:本文仅供参考,不构成法律建议。如果需要针对贵组织的具体欧盟数据保护法合规性指导,请咨询合格的法律顾问。
2025年9月12日,《欧盟数据保护条例》(EU) 2023/2854正式生效,该条例成为欧盟数据保护法。如果您在欧盟运营或采购视频会议平台,那么自该日起,有关数据访问、更换供应商和合同锁定等方面的规则将发生重大变化。
对于许多合规官和法律团队而言,《欧盟数据法案》一直被搁置在监管待办事项的末尾,被GDPR的执行周期和《欧盟人工智能法案》的光芒所掩盖。这是一个亟待纠正的错误。《数据法案》引入的义务远不止于隐私保护:它重塑了SaaS客户访问自身数据、在不同服务提供商之间迁移以及协商合同条款的方式。对于欧盟视频会议用户和服务提供商而言,了解这些变化已不再是可选项。
本文将详细介绍欧盟数据法案的实际要求、视频会议平台是否可能在其适用范围内、哪些数据必须可移植,以及对供应商锁定意味着什么。
欧盟数据法案对SaaS提供商的要求
《数据法》并非一项狭义的隐私法规。它的目标是结构性的:通过消除技术和合同壁垒,开放欧盟数据经济。这些壁垒使得平台提供商能够积累并持有其客户生成但难以访问或转移的数据。
对于数据处理服务提供商(涵盖云和 SaaS 类别)而言,有四项义务具有最直接的实际意义。
- 数据可移植性和互操作性。客户必须能够以结构化、常用且机器可读的格式导出数据。服务提供商还必须提供开放且文档齐全的接口(实际上是 API),以便将数据传输到竞争对手或客户自身的本地基础设施。根据 Cooley 的说法,服务提供商必须在最多 30 天的过渡期内完成所有可导出数据和数字资产的传输,只有在真正存在技术复杂性的情况下才能延长过渡期。
- 最长两个月的终止通知期。这项规定将对SaaS商业模式产生最直接的影响。根据《数据法》第25条,客户可以随时启动切换,并触发合同终止,只需提前不超过两个月通知,无论他们是否处于三年固定期限协议的中期。正如Addleshaw Goddard律师事务所指出的那样,这实际上赋予了所有云客户一项为方便起见而终止合同的权利,无论合同期限长短。固定期限合同仍然合法,并且允许收取相应的提前终止费用,但通过合同退出障碍强制执行的长期锁定期则不合法。
- 切换便利义务。服务提供商不能仅仅在理论上允许切换,而在实践中却设置重重障碍。《数据法》要求积极提供便利:公布在线数据格式和切换流程注册表,提前发布透明度通知,并在30天的切换过渡期内维护业务连续性和安全性。服务提供商无需在目标基础设施中重建客户环境,但必须为迁移过程提供支持。
- 2027年1月起禁止收取切换费。自2024年1月11日该法规生效之日起,服务提供商仅被允许收取不超过其实际切换成本的切换费。自2027年1月12日起,所有切换费将被彻底禁止,但客户同时运行新旧平台的并行使用场景除外。此截止日期固定不变,无论原始合同何时签订均适用。
- 第三国政府访问(第32条)。这项义务常常被忽视,但与任何致力于数据安全的服务提供商都息息相关。《数据法》第七章要求服务提供商采取所有适当的技术、组织和法律措施(包括合同保障),以防止第三国政府非法访问欧盟境内存储的非个人数据。个人数据由GDPR第五章的传输规则单独规定;第32条则填补了非个人数据(例如机器生成的会话数据、日志和使用元数据)方面的空白。当外国机构提出数据请求时,服务提供商必须评估该请求是否合理且适度,对与欧盟法律相冲突的命令提出质疑,如果无法避免披露,则仅提供必要的最低限度数据。服务提供商还必须公布其信息通信技术基础设施的管辖范围以及为抵御第三国非法访问而采取的措施。无论服务提供商的注册地或数据存储地在哪里,这项义务均适用。即使总部位于欧盟且基础设施仅限于欧盟境内的公司,也需要制定一份书面的第32条计划。
这些义务共同作用,显著改变了SaaS提供商与其企业客户之间的关系。SaaS企业遵守《数据法案》并非仅仅是更新隐私声明那么简单;它还需要审查合同、技术架构和定价模式。
欧盟数据保护法是否适用于视频会议软件即服务(SaaS)?
简而言之:很可能可以,但仍需进行仔细的范围评估。
《数据法》适用于“数据处理服务”的提供商,该定义范围广泛,涵盖按需提供可扩展计算资源的云计算和边缘计算服务。欧盟第2023/2854号条例明确将IaaS、PaaS和SaaS列为该定义下的类别。
然而,欧盟委员会更新的《数据法》常见问题解答引入了一个重要的细微差别,Morrison Foerster 在 2025 年 12 月的分析中重点强调了这一点。委员会常见问题解答中的第 58a 题明确指出,SaaS 解决方案只有在满足云计算的所有标志性标准时,才属于数据处理服务的定义范畴:
- 客户必须能够访问可配置的计算资源(网络、服务器、存储)。
- 该服务必须允许按需提供这些资源。
- 该服务必须具备快速扩展能力,且服务提供商的参与度必须尽可能低。
委员会用一个具体的反例来说明这一点:音乐流媒体平台不在审查范围内,因为用户并非为了获取可扩展的计算资源而签订合同,而是为了收听音乐。任何涉及的数据处理都只是该服务主要目的的附带活动。
视频会议属于哪一类?
提供可配置会议室、可编程录制基础设施、REST API、会话管理和可扩展媒体处理的视频会议平台,与流媒体服务有着本质的区别。客户并非只是参与通话,而是部署一个拥有可配置资源的平台,管理数据资产(录音、文字记录、参会者数据),并通过 API 将其集成到自身系统中。这正是付费使用计算资源的服务模式,而非偶然使用计算资源的服务模式。
嵌入式视频会议模式(即组织通过 API 将视频基础设施部署到自己的应用程序中)强化了这一分析。当开发人员配置 Digital Samba 会议室、设置录制行为、设置基于角色的访问控制并通过 REST API 检索会话数据时,他们实际上是在与可配置、可扩展的计算基础设施进行交互。这正是该法案对数据处理服务的定义。
尽管如此,包括Morrison Foerster、Fenwick和Greenberg Traurig在内的多家律师事务所提供的法律意见指出,委员会的常见问题解答较为笼统,留有解读空间。各国监管机构将如何在实践中应用这些规则尚未完全确定,也没有任何监管机构就视频会议做出具体裁决。审慎的做法是将企业视频会议平台视为适用范围,并与法律顾问进行差距评估。
视频平台的数据可移植性:哪些内容必须可导出?
欧盟数据法案要求客户能够以结构化、常用且机器可读的格式访问和导出数据。对于视频会议平台而言,这涵盖的数据资产范围比许多供应商以往通过自助服务工具提供的范围更广。
- 会话录制。这是最显而易见的类别。会话期间生成的视频和音频录制数据由客户生成,必须能够检索、导出和传输。格式要求采用标准的非专有容器;MP4 是视频录制的常用标准格式。
- 聊天记录和会话元数据。会话期间交换的文字信息,以及相关的元数据(会话标识符、参与者列表、开始和结束时间戳、持续时间和房间配置),构成了一个独立且可导出的数据集。这些元数据对于使录音可在下游合规或存档系统中进行搜索和使用也至关重要。
- 文字记录、字幕和人工智能生成的摘要。如果平台生成文字记录、实时字幕或会议摘要,这些输出数据均由用户使用服务产生。《数据法》的可移植性义务也适用于这些生成的内容,并且这些内容必须能够以机器可读格式导出。
- 白板、共享文件和内容库。会话期间创建的协作内容(虚拟白板输出、通话期间共享的文档以及存储在平台库功能中的任何内容)均在适用范围内。《数据法》并未将数据可移植性义务仅限于会话录音。
- 格式和机器可读性要求。导出的数据必须采用其他系统无需专有工具即可读取的格式。结构化数据应采用 JSON 和 CSV 格式,视频应采用 MP4 格式,转录文本和聊天记录应采用标准文本格式,这些是预期的基本格式。欧盟委员会已向欧洲标准化委员会 (CEN)、欧洲电工标准化委员会 (CENELEC) 和欧洲电信标准化协会 (ETSI) 发布了 M/614 号标准化授权书,这三家机构已于 2025 年 7 月接受该授权书,并正在制定统一的格式标准。在这些标准最终确定之前,哪些格式能够完全满足特定数据类型的要求仍存在一些不确定性。服务提供商应密切关注即将发布的统一标准,以获取最新信息。
此外,第八章中关于云服务增强互操作性的要求将于2026年9月12日生效。这些要求超越了2025年9月的基准线,并引入了关于服务提供商如何支持客户在目标环境中实现类似结果的额外义务。服务提供商应将2025年的合规性视为最低标准,而非最终目标。
这与GDPR有何不同?
欧盟数据法案和GDPR涵盖的内容不同,数据法案不能取代或免除您在GDPR下的义务。
GDPR规范个人数据的保护:包括如何收集、处理、存储和传输可识别个人的数据。其数据可移植性条款(第20条)赋予数据主体以机器可读格式接收其个人数据的权利,但仅限于数据主体本人提供的数据,且仅限于基于同意或合同进行处理的情况。
欧盟数据保护法适用于个人数据和非个人数据,并赋予客户作为组织而非仅仅是个人数据主体的权利。它将数据可移植性义务扩展到机器生成的会话数据、元数据和非个人使用数据,而这些内容是GDPR第20条所不涵盖的。
实际上,这些框架是互补的。如果视频平台处理个人数据(参与者姓名、电子邮件地址、用于转录的语音数据),则适用 GDPR。如果同一平台生成会话录像、元数据和使用日志,则《数据保护法》在此基础上增加了访问权和数据可移植权。
关键的实际区别在于:GDPR 第 20 条规定的请求来自个人,并由您的数据主体权利流程处理。而《数据可移植性法案》规定的数据可移植性是企业对客户负有的合同和技术义务,因此必须从一开始就将其纳入您的平台架构和合同中。
这对供应商锁定意味着什么
多年来,签订多年期SaaS合同,并附加较长的通知期和高昂的数据迁移成本,一直是一种可靠的客户留存机制。客户可能对平台不满意,但他们面临着现实的退出壁垒:提前十二个月通知、高昂的迁移成本,以及需要数月工程投入的技术导出流程。
欧盟数据法直接针对的就是这种模式。
- 两个月的通知期意味着任何企业客户都可以随时发起切换。问题不再是合同是否允许他们终止服务,而是技术上是否可行以及数据能否顺利迁移。那些投入资源优化迁移流程的供应商将获得竞争优势;而那些没有这样做的供应商则面临法律风险和客户流失加速的双重挑战。
- 从2027年1月起禁止收取转网费,消除了长期以来阻碍用户转网的次要财务障碍。曾经使转网在经济上不划算的数据出口费用和携号转网费将被禁止。依赖这些费用来留住用户的运营商需要在截止日期前转向基于价值的留存策略。
- 对于企业买家而言,开放API义务的影响可能最为深远。服务提供商必须提供文档完善的接口,使客户能够以编程方式提取数据,而无需依赖服务提供商的支持团队或专有工具。对于企业买家来说,平台API的质量如今已成为一项合规性标准,而不仅仅是技术上的便利。然而,仅提供文档完善的API并不足以满足《数据法案》的可移植性要求。导出数据的格式、完整性和互操作性同样重要,而定义具体要求的统一标准仍在制定中。
商业影响显而易见:数据法案合规性已成为采购过程中的一个重要考量因素。企业买家在评估供应商时,不仅关注功能和价格,还开始关注其数据架构的开放性和退出流程的清晰度。
欧盟数据法案合规性检查清单(适用于视频会议服务提供商)
请使用此清单评估您目前在数据处理服务方面是否符合《数据法》的核心义务。本清单并非详尽的法律指南,因此请务必咨询您的法律团队以进行全面的差距分析。
1. 范围评估。确认您的视频会议服务是否符合该法案中“数据处理服务”的典型标准:可配置资源、按需提供、可扩展性。如有疑问,请咨询法律顾问;企业视频平台的默认假设是您可能属于该法案的适用范围。
2. 合同审查。审核所有客户合同(现有合同和模板合同),确保其符合两个月的最长终止通知期限要求。固定期限合同和按比例收取提前终止费仍然允许,但任何实际上阻止客户转换合同的条款均不被允许。如果符合延期适用条件(具体而言,即无限期合同或不早于2034年1月11日到期的合同),则在2025年9月12日之前签署的合同必须在2027年9月12日之前符合第13条(不公平合同条款)的规定。另请注意,第六章的转换条款对2025年9月之前签署的合同的适用存在一定的解释不确定性;请就您现有的合同组合寻求具体的法律建议。
3. 切换流程文档。发布清晰易懂的切换和数据移植流程说明。这包括可用的导出格式、迁移涉及的技术步骤、已知限制以及完成切换的时间表(30 天过渡期基准)。
4. 数据导出能力审核。确认所有关键客户数据类别均可导出为机器可读格式:会话录音(MP4)、聊天记录(JSON 或纯文本)、会话元数据(JSON)、AI 生成的记录和摘要、白板导出以及共享文件。对整个流程进行端到端测试。密切关注欧盟委员会根据授权 M/614 开展的协调标准工作,因为最终的格式要求一旦通过,就需要纳入其中。
5. API 文档。确保您的 API 文档齐全、公开可访问,并涵盖所有可导出的数据类型。《数据法案》要求开放接口以实现互操作性;未记录或维护不善的 API 会造成合规风险并增加用户体验障碍。完善的 API 文档必不可少,但同时也要确认 API 导出的数据格式能够被目标提供商或本地系统直接接收,无需进行大量重新格式化。
6. 转换费审查。确定目前与数据导出、迁移或合同终止相关的所有费用。请注意,成本上限已于2024年1月11日起生效。计划在2027年1月12日前全面取消转换费。审查当前的提前终止费用是否合理,以及是否在客户合同中明确记录。
7. 透明度声明。准备并发布透明度声明,告知潜在客户和现有客户您的数据处理实践、处理的数据类型、存储管辖区以及可用的切换程序。《数据法》要求将此声明作为实时更新的登记册进行维护。根据第32条规定,此声明还应涵盖您的信息通信技术基础设施的管辖区以及您为防止第三国政府非法访问而采取的技术和组织措施。
8. 数据处理协议一致性。审查您的数据处理协议,以确保其涵盖与《数据法》相关的所有处理活动,包括会话记录、人工智能生成的输出和元数据,并确保所有子处理者的身份均已确定,且其欧盟(或符合充分性要求)所在地已得到确认。
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/66453.html
