在欧盟境外设立但进入欧盟市场的企业,可能面临最多四项平行的指定欧盟境内代表的义务。《通用数据保护条例》、《数字服务法》、《人工智能法》和NIS2指令均包含此类义务,且每项义务都回应了相同的结构性问题:在欧盟市场活跃但未在欧盟设立的服务提供者,形式上处于执法机关的直接管辖范围之外。立法回应在所有四项法律文件中重复出现——即在欧盟境内设立一个指定的、可联系的联络点。然而,在这一共同架构之下,四项义务在以下方面存在差异:哪些主体被涵盖、代表必须履行哪些职责、谁承担何种责任、指定如何对外公示,以及每项义务何时适用。本文将从这些维度对它们进行比较。
- GDPR 第27条、DSA 第13条、欧盟《人工智能法》第22条和第54条以及 NIS2 第26条第3款规定了四项法律上独立的指定义务,每项义务均有其自身的触发条件、单独的书面委托和独立的职责清单。遵守其中一项义务不能作为遵守其他义务的证据。
- DSA 在责任方面是特例:DSA 第13条第3款明确规定,法定代表可因其自身行为对提供者的违规行为独立承担责任。GDPR、欧盟《人工智能法》或 NIS2 中均无类似条款——尽管 GDPR 代表可能面临执法程序,且欧盟《人工智能法》代表可能因其自身义务的违反而面临罚款。
- 所在地限制各不相同,且具有管辖塑造作用:GDPR 代表必须位于数据主体所在地;DSA 和 NIS2 代表必须位于提供服务所在的成员国,且其所在地决定了主管监督的成员国;欧盟《人工智能法》代表可位于联盟内任何地点。
- 时间安排是分阶段的:GDPR 自2018年5月25日起适用;DSA 自2024年2月17日起全面适用;NIS2 自2024年10月18日起通过成员国国内转化适用;欧盟《人工智能法》分阶段实施——第54条(通用人工智能模型)自2025年8月2日起适用,第22条(高风险系统)自2026年8月2日起适用,第6条第1款(产品嵌入式高风险分类)自2027年8月2日起适用。
- 一个资源充足的欧盟实体原则上可以同时担任其中多个角色,但每个角色均需一份独立的书面委托;一份不加区分的单一“欧盟代表”文书将错误陈述四项制度中每一项制度下的法律立场。
配套分析:本文并列梳理全部四项制度。如需对DSA、GDPR及《人工智能法》项下三项并行义务(包括DSA第13条第3款的学理争议)进行深度责任分析,请参阅本所文章《欧盟代表:DSA、GDPR与AI Act项下的并行义务》。
§ I谁必须指定:四种触发情形并列对比
这四项义务由四种不同的事实情形触发,任何特定服务提供者都必须逐一分析所有情形。
GDPR 第27条适用于未在欧盟设立、但其处理活动属于GDPR第3条第2款范围的控制者或处理者——即涉及向欧盟境内数据主体提供商品或服务(无论是否付费),或涉及对数据主体在欧盟境内行为进行监控的处理活动。1 该义务存在明确的豁免情形:若处理活动是偶发性的,且不涉及大规模处理第9条所指的特殊类别数据或第10条所指的刑事定罪数据,且不太可能对自然人的权利和自由造成风险——三项条件需同时满足——或者处理者或控制者是公共机构或机关,则无需指定代表。2
DSA 第13条适用于未在欧盟设立但在欧盟提供服务的中介服务提供者——即DSA第3条(g)项意义上的纯传输、缓存和托管服务提供者。“在欧盟提供服务”的前提是与欧盟存在实质性联系,该联系由DSA第3条(e)项定义,具体指在欧盟设有机构、在一个或多个成员国拥有大量服务接收者,或活动针对至少一个成员国。不存在类似于GDPR第27条第2款的微量豁免:没有用户门槛、没有收入下限、也没有偶发使用例外。3
欧盟《人工智能法》第22条和第54条将义务分为两类提供者。根据第22条第1款,在第三国设立的提供者必须在将高风险人工智能系统投放欧盟市场之前,通过书面委托指定一名在欧盟设立的授权代表。根据第54条第1款,同样的义务适用于在将通用人工智能模型投放欧盟市场之前的第三国提供者。第54条第6款豁免了以免费开源许可证发布的通用人工智能模型提供者——前提是参数、权重、架构和使用信息均已公开——除非该模型存在系统性风险。4
NIS2 第26条第3款适用于该指令第26条第1款(b)项所列的封闭式实体类型清单:DNS服务提供者、顶级域名注册管理机构、提供域名注册服务的实体、云计算服务提供者、数据中心服务提供者、内容分发网络提供者、托管服务提供者、托管安全服务提供者,以及在线市场、在线搜索引擎或社交网络服务平台提供者。若此类实体未在欧盟设立但在欧盟境内提供服务,则必须在提供服务所在的成员国之一指定一名在欧盟的代表。5 由于该文书类型的不同,存在两个结构性差异:NIS2是一项指令,因此该义务通过成员国国内转化法作用于实体;且触发条件基于类别——不在第26条第1款(b)项清单内的实体,无论其在欧盟的业务规模多大,均不受该义务约束。
§ II任务概况:各代表被授权履行的职责
GDPR 代表被授权就与处理相关的所有事宜,作为控制者或处理者的补充或替代,接受监督机构以及数据主体的交涉(GDPR 第27条第4款)。这一面向私主体的维度在四项制度中独一无二:欧盟境内的数据主体可直接向代表提出交涉。在适用情形下,代表还须保存处理活动记录(GDPR 第30条第1款),且其身份须载入根据 GDPR 第13条第1款(a)项和第14条第1款(a)项向数据主体提供的透明度信息中。6
DSA 法定代表承担最广泛的授权:其必须获得授权,就接收、遵守及执行与该法规相关决定所必需的一切事宜,接受成员国主管当局、欧盟委员会及数字服务委员会的交涉(DSA 第13条第2款)。提供者必须赋予代表必要的权限和充足的资源,以保障高效、及时的合作——这是一项其他制度未以同样措辞明确规定的法定资源保障要求。7
《人工智能法》授权代表承担一套以文件为核心、以产品安全标准精确界定的任务清单。就高风险系统而言(第22条第3款):核实欧盟符合性声明和技术文件已编制完成,且合格评定程序已实施;在十年内保存文件供主管机构查阅;应合理请求提供资料;与主管机构合作;并履行第49条规定的注册义务。就通用人工智能模型而言(第54条第3款),任务清单以附件十一的技术文件以及提供者根据第53条(对于存在系统性风险的模型,还包括第55条)应履行的义务为核心,并以人工智能办公室作为主要对接方。两种情形均新增一项在本比较中别无二例的义务:若代表认为或有理由认为提供者违反其义务,则必须终止授权并通知主管机构——就通用人工智能模型而言,即人工智能办公室(第22条第4款、第54条第5款)。8
NIS2 代表在四者中拥有最为单薄的法定职责轮廓。第26条第3款并非通过任务清单,而是通过其管辖后果来界定该角色——该实体被视为处于代表设立地成员国的管辖之下。因此,该角色的实际操作内容源自国家转化立法以及该指令的周边义务:根据第27条须提交的注册数据、与主管当局及计算机安全事件响应组(CSIRT)的合作,以及该实体根据第23条承担的事件通知义务——就上述事项而言,代表充当可被联系的欧盟境内存在。9
§ III责任与执法:各制度差异最为显著的领域
DSA的特殊性:代表的自身责任,第13条第3款
"应可追究指定法定代表未能遵守本条例规定义务的责任,且不影响可对中介服务提供者提起的责任追究和法律诉讼。"
DSA第13条第3款是本次比较中的例外条款:它明确允许法定代表因其自身权利,就提供者未能遵守本条例的行为承担责任——这是对提供者自身责任的补充,而非替代。其他三项制度均无类似条款。10 DSA增加了一个司法管辖杠杆:根据DSA第56条第6款,法定代表居住或设立地的成员国提供主管数字服务协调员;若未指定代表,则根据第56条第7款,所有成员国的协调员均具有管辖权,且未能指定代表本身即构成违规,将根据DSA第52条制定的国家规则处以罚款。
GDPR的立场更为狭窄且存在部分争议。GDPR 序言第80段指出,指定的代表应在控制者或处理者未能合规时接受执法程序;该代表是一个问责点,而非信箱。关于GDPR第83条下的行政罚款是否可因提供者的违规行为而直接针对代表,学术界存在争议,各国实践也给出了不同答案;但已明确的是,指定代表不影响对控制者或处理者本身采取的行动。11
《人工智能法》的代表不因提供者的实质性违规而承担责任,但其自身的任务清单受到罚款机制的严密约束:《人工智能法》第99条第4款(b)项将行政罚款适用于授权代表未能遵守第22条规定的义务。结合终止与通知义务,《人工智能法》将其代表转变为一个主动受监督的合规节点,而非被动的联系点。
根据NIS2,代表本身不承担明确的责任条款。该指令的执法工具——根据第32至34条通过国内法实施的监督措施和行政罚款——针对的是重要或关键实体。第26条第4款确认,指定代表不影响对该实体本身的法律诉讼,第26条第3款的最后一句则规定了不作为的制裁:若未指定代表,该实体提供服务的任何成员国均可因其违反指令而对其采取法律行动——这是一种功能上类似于DSA第56条第7款情形的分散式风险敞口。12
§ IV注册与通知路径
指定代表如何向监管机构和公众公示,各法规之间存在显著差异。
- GDPR:无需注册,也无需向监管机构进行通知。指定必须以书面形式作出,并通过文件记录体现:代表的身份和联系方式须载入第13/14条规定的向数据主体提供的透明度信息,以及第30条规定的处理活动记录中。
- DSA:第13条第4款要求服务提供者将法定代表的姓名、邮政地址、电子邮件地址和电话号码通知该代表居住或设立所在成员国的数字服务协调员,并确保该信息公开可查、易于获取、准确且保持最新——实践中通常公布在服务提供者的网站上。
- 欧盟《人工智能法》:对于附件三所列的高风险系统,第49条规定的注册义务将纳入第71条设立的欧盟数据库;遵守注册义务是第22条第3款下经核实的授权代表服务目录的一部分。对于通用人工智能模型,无需进行数据库注册;代表作为已记录的联系点,与人工智能办公室对接。
- NIS2:第27条要求该条所列的实体类型——与第26条第1款(b)项类别相对应——向主管机构提交其名称、地址、联系方式、提供服务所在的成员国及其IP地址范围,主管机构随后将数据转发至欧盟网络与信息安全局以建立欧盟层面的登记册;首次提交截止日期为2025年1月17日,且信息必须保持更新。13
这些差异背后存在一个共同特征:在这四项制度下,指定代表均不构成服务提供者在欧盟的设立。DSA在第13条第5款中明确规定了这一点;对于GDPR、欧盟《人工智能法》和NIS2,同样的结论可从各法规的系统性解释中得出——代表创造了可联系性,并在DSA和NIS2下创造了监管管辖权,但并未构成设立。14
§ V时间适用性:四座时钟,其中一座分阶段运行
四项义务并非同时生效,其中一项仍在分阶段实施中。
- GDPR:第27条自2018年5月25日起适用(GDPR 第99条第2款)。
- DSA:该条例自2024年2月17日起全面适用(DSA 第93条第2款);对于被指定的超大型在线平台和搜索引擎,其义务自指定之日起四个月后(即2023年)开始生效。
- NIS2:成员国须在2024年10月17日前完成该指令的国内转化,并自2024年10月18日起适用转化后的措施(NIS2 第41条);多个成员国在截止日期后才完成转化,因此必须逐一核查各成员国的现行国内法。
- 欧盟《人工智能法》:时间表根据第113条分阶段设定。该条例于2024年8月1日生效。第一章和第二章(包括禁止性规定)自2025年2月2日起适用。第五章关于通用人工智能的规定——包括第54条的授权代表义务——自2025年8月2日起适用。该条例全面适用,包括针对高风险人工智能系统的第22条,自2026年8月2日起生效。针对嵌入附件一产品立法的高风险系统,其第6条第1款的分类规则及相应义务,自2027年8月2日起适用。15
就《人工智能法》的规划而言,时间顺序在实践中至关重要:非欧盟通用人工智能模型提供者自2025年8月起即承担第54条义务,而针对高风险系统的第22条义务则于2026年8月生效——且是合法市场准入的先决条件,因为指定代表必须在系统投放市场之前完成。截至撰写本文时,欧盟层面正在讨论调整《人工智能法》部分时间表的立法提案;在此类修正案通过之前,仍以第113条规定的日期为准。
§ VI叠加:一个提供商,多项义务——一个实体,多重角色?
四项触发条件极易重叠。一家运营在线市场的第三国提供商,大规模处理欧盟用户的个人数据(GDPR 第27条),提供托管类中介服务(DSA 第13条),并属于NIS2 第26条第1款(b)项所指的"在线市场"类别(NIS2 第26条第3款);若其还将通用人工智能模型投放欧盟市场或提供高风险人工智能系统,则欧盟《人工智能法》第54条或第22条亦将加入适用范畴。每项义务必须单独评估并分别履行;任何一项均不吸收另一项,且各制度中不存在相互承认条款。
同一欧盟实体能否同时担任多个角色?四项法律文件均未禁止,且合并代表的实践已得到充分确立。以下三项约束决定了具体安排:
- 所在地兼容性。GDPR 指定代表必须设立于相关数据主体所在的成员国(GDPR 第27条第3款);DSA 指定代表必须设立于提供商提供服务所在的成员国;NIS2 指定代表必须设立于服务提供所在的成员国。欧盟《人工智能法》的授权代表可设立于欧盟境内任何地方。对于在德国活跃的提供商,一家德国代表实体可同时满足全部四项所在地规则——并且,由于DSA和NIS2将监管管辖权与代表所在地挂钩,这一选择可将监管集中于一个成员国。
- 单独委托。每项角色均基于其自身的书面指定文件,并附有其法定的任务清单:GDPR 委托包括数据主体可联系性;DSA 委托涵盖接收、合规及执行决定,并要求具备相应权力和资源;欧盟《人工智能法》委托以文档和核查为中心,并包含终止义务;NIS2 角色则确立管辖权和注册要求。一份涵盖各制度下"欧盟代表"的单一、无差别的文书,将错误陈述每项制度下的法律立场。
- 不同的风险状况。接受DSA角色的实体将承担DSA 第13条第3款下的潜在自身责任;接受欧盟《人工智能法》角色的实体将承担自身附有罚款风险的义务,以及脱离关系并通知当局的义务;GDPR 角色则可能引发执法程序。审慎的当事方应在合同架构中反映这些不对称性——通过范围条款、信息流、赔偿条款——而非将四项角色视为一体。
§ VII四项制度概览
| 标准 | GDPR — 第27条 | DSA — 第13条 | 欧盟《人工智能法》— 第22/54条 | NIS2 — 第26条第3款 |
|---|---|---|---|---|
| 法律文书 | 条例(EU) 2016/679 | 条例(EU) 2022/2065 | 条例(EU) 2024/1689 | 指令(EU) 2022/2555(成员国国内转化) |
| 指定主体 | 属于第3条第2款范围的欧盟境外控制者/处理者;第27条第2款豁免情形除外 | 在欧盟境内提供服务的欧盟境外中介服务提供者 | 高风险人工智能系统的第三国提供者(第22条)以及通用人工智能模型的第三国提供者(第54条);第54条第6款开源豁免 | 属于第26条第1款(b)项类别且在欧盟境内提供服务的欧盟境外实体 |
| 联系对象 | 监管机构及数据主体 | 成员国主管机关、欧盟委员会、欧盟数字服务委员会 | 市场监督机构;人工智能办公室(针对通用人工智能模型) | 管辖成员国的主管机关/计算机安全事件响应小组 |
| 核心任务 | 就所有处理事项保持可联系性;保存第30条记录 | 接收决定、确保合规与执行;具备所需权力和资源 | 核实合规文件;保存10年;合作;登记;终止义务 | 在欧盟设立据点以确定管辖权;根据国内法进行登记及事件相关合作 |
| 代表自身责任 | 可能面临执法程序(序言第80段);罚款风险存在争议 | 明确的自身权利责任,第13条第3款 | 因违反代表自身义务而处以罚款,第99条第4款(b)项 | 无明确规定;执法对象为实体本身 |
| 不作为后果 | 构成违规,对控制者/处理者执法 | 构成违规(第52条);所有27个欧盟数字服务协调员均具管辖权,第56条第7款 | 系统/模型市场准入被禁止;罚款 | 提供服务所在的任何成员国均可采取法律行动,第26条第3款 |
| 代表所在地 | 数据主体所在的成员国(第27条第3款) | 提供者提供服务所在的成员国;所在地确定主管的欧盟数字服务协调员(第56条第6款) | 欧盟境内任意地点 | 提供服务所在的成员国;所在地确定管辖权 |
| 登记/公示 | 无登记簿;第13/14条信息义务,第30条记录 | 向欧盟数字服务协调员通知;公开联系方式(第13条第4款) | 附件三高风险系统的欧盟数据库(第49条、第71条);通用人工智能模型联系人工智能办公室 | 通过成员国主管机关在ENISA注册(第27条) |
| 适用起始日期 | 2018年5月25日 | 2024年2月17日(全面适用) | 第54条:2025年8月2日 · 第22条:2026年8月2日 · 第6条第1款分类:2027年8月2日 | 2024年10月18日(通过成员国国内转化) |
上表仅为概括性说明,不构成最终判断。某一特定提供者是否受一项、多项或全部四项义务的约束,取决于DSA项下的服务分类、GDPR第3条第2款下的处理分析、任何人工智能系统或模型的风险分类,以及NIS2的实体类别测试——这四项评估宜基于同一组事实一并开展。
1. GDPR 第3条第2款(a)–(b)项;GDPR 序言第23–24段;GDPR 第27条第1款。
2. GDPR 第27条第2款(a)–(b)项(豁免的累积条件;公共机构及机关)。
3. DSA 第13条第1款;DSA 第3条(d)、(e)及(g)项(在联盟内提供服务;实质性联系;中介服务);Hofmann/Raue,《数字服务法评注》,第13条。
4. 欧盟《人工智能法》第22条第1款及第54条第1款,第(EU) 2024/1689号条例;欧盟《人工智能法》第54条第6款(开源豁免,除非存在系统性风险)。
5. NIS2 第26条第1款(b)项及第26条第3款,第(EU) 2022/2555号指令(实体类别;在提供服务所在成员国设立的指定代表;视为管辖权)。
6. GDPR 第27条第4款(针对监管机构和数据主体的委托);GDPR 第30条第1款;GDPR 第13条第1款(a)项、第14条第1款(a)项。
7. DSA 第13条第2款(委托范围;必要权力及充足资源)。
8. 欧盟《人工智能法》第22条第3–4款(高风险系统的任务目录及终止义务);欧盟《人工智能法》第54条第3–5款(通用人工智能模型的任务目录、联络点及终止义务);欧盟《人工智能法》第49条(注册)。
9. NIS2 第26条第3款(指定代表所在地的管辖权后果);NIS2 第23条(事件通知);NIS2 第27条(实体登记册)。
10. DSA 第13条第3款;Hofmann/Raue,第13条(关于指定代表自身责任的例外性质)。
11. GDPR 序言第80段(“指定的代表应在控制者或处理者不遵守规定时受到执法程序的约束”);关于GDPR 第83条罚款对指定代表的可达范围存在争议,参见文献中讨论的不同国家实践。
12. NIS2 第32–34条(通过国内法实施的监督与执法);NIS2 第26条第3款最后一句及第26条第4款。
13. DSA 第13条第4款;欧盟《人工智能法》第49条及第71条(欧盟数据库);NIS2 第27条第1–2款(需提交的信息;2025年1月17日截止日期;ENISA登记册)。
14. DSA 第13条第5款(“指定法定代表……不构成在联盟内设立机构”)。
15. 欧盟《人工智能法》第113条(a)–(c)项(分阶段适用:2025年2月2日;2025年8月2日适用于第五章等;2026年8月2日全面适用;第6条第1款及相应义务于2027年8月2日适用);DSA 第93条第2款;GDPR 第99条第2款;NIS2 第41条(2024年10月17日前转化,自2024年10月18日起适用)。
Kanzlei Theo Funk — 欧盟代表义务法律咨询
律师 Theo Funk 就 GDPR 第27条、DSA 第13条、欧盟《人工智能法》第22条及第54条以及 NIS2 第26条第3款规定的代表义务,为国际科技公司提供法律咨询:涵盖所有四项制度的适用性分析、委托架构设计,以及相关的通知、注册和透明度要求。您的公司是否承担一项或多项此类义务,取决于您的服务类型、数据处理活动、所涉人工智能系统或模型类别,以及您在 NIS2 下的实体类别。
联系我们 → office@kanzlei-theofunk.de本文仅供一般信息参考和教育目的,不构成法律咨询。本文反映截至2026年7月15日的法律框架。受GDPR、DSA、欧盟《人工智能法》或NIS2指令约束的企业,应就自身具体情况寻求针对性的法律咨询。© 2026 Kanzlei Theo Funk, Bamberg。保留所有权利。