你的位置:首页 > 跨境电商 > 欧盟《数据法案透明度声明》(Data Act)解读以及涉及的产品和应对策略

欧盟《数据法案透明度声明》(Data Act)解读以及涉及的产品和应对策略

出海者联盟
2025-12-09 15:14:11
一、欧盟《数据法案透明度声明》 欧盟《数据法案》(Regulation (EU) 2023/2854,简称“Data Act”)是欧盟推动数据要素流通、平衡数据持有者与用户权益的关键立法,透明度要求是其核心规则之一。该要求覆盖数据持有者(如制造商、服务提供商)与用户(产品/服务所有者、租户)之间的数据交互全流程,旨在确保用户对数据的“知情权”与“控制权”,促进数据市场的公平性与互操作性。2025年9月12日,《数据法案》正式实施,其透明度要求对物联网(IoT)产品、智能设备及相关服务的提供者(包括非欧盟企业在欧盟市场的运营主体)构成强制约束。

欧盟《数据法案透明度声明》(Data Act)解读以及涉及的产品和应对策略

一、欧盟《数据法案透明度声明》    欧盟《数据法案》(Regulation (EU) 2023/2854,简称“Data Act”)是欧盟推动数据要素流通、平衡数据持有者与用户权益的关键立法,透明度要求是其核心规则之一。该要求覆盖数据持有者(如制造商、服务提供商)与用户(产品/服务所有者、租户)之间的数据交互全流程,旨在确保用户对数据的“知情权”与“控制权”,促进数据市场的公平性与互操作性。2025年9月12日,《数据法案》正式实施,其透明度要求对物联网(IoT)产品、智能设备及相关服务的提供者(包括非欧盟企业在欧盟市场的运营主体)构成强制约束。

(一)、欧盟《数据法案》法案的核心目标:打破数据孤岛

强制互联产品(如智能设备、物联网终端)的制造商或服务提供商向用户(包括个人与企业)开放其生成的数据,允许用户向第三方共享数据,促进数据在产业链中的流通。

1、保障公平竞争:规范企业间数据共享的合同条款,禁止不公平条款(如排他性约定、不合理费用),保护中小企业免受大型企业的“数据垄断”。

2、强化数据主权:在数据跨境流动中维护欧盟的数据主权,确保非个人数据传输至第三国时符合欧盟法律要求(如通过“充分性决定”或“标准合同条款”)。

(二)、欧盟《数据法案》法案的主要内容

欧盟《数据法案》的内容覆盖数据全生命周期(生成、存储、访问、共享、传输),涵盖所有“互联产品”(Collective Products)及相关服务,包括:

B2C领域:智能冰箱、智能扬声器、清洁机器人、健身追踪器、医疗设备、现代汽车(如智能网联汽车)等;

B2B领域:工厂机器、智能太阳能电池板、电梯、制动系统等工业设备。


二、受欧盟《数据法案》影响的产品类型

根据欧盟委员会及官方解读,互联产品指“能够生成、获取或收集与自身使用、性能或环境相关的数据,并通过有线/无线连接传输这些数据的物品”。具体涵盖以下领域:
1、消费类智能设备(B2C)
智能家居:智能音箱、智能摄像头、智能门锁、智能插座、智能照明系统、扫地机器人等;可穿戴设备:智能手表、智能手环、健身追踪器、智能眼镜、心率监测器等;健康医疗设备:智能血压计、血糖仪、体温计、便携式医疗监测设备(如动态心电图仪)等;车载设备:智能导航系统、车载娱乐系统、GPS追踪器、车联网模块(如特斯拉的车载系统)等;消费电子:智能手机、平板电脑、笔记本电脑、智能电视、智能耳机等。
2、工业与商业设备(B2B)
工业机械:工厂生产线设备(如机器人、数控机床)、智能分拣设备、工业传感器(如监测温度、压力、振动的传感器)等;基础设施:电梯、智能电网设备(如智能电表)、智能交通信号灯、智能停车场设备等;商业设备:商用打印机、智能POS机、智能仓储管理系统(WMS)、智能冷链设备(如药品冷藏箱)等。
3、互联产品配套的数字服务
语音助手:如亚马逊Alexa、谷歌Assistant、苹果Siri等;流媒体服务:如智能音箱绑定的音乐流媒体(Spotify、网易云音乐)、视频流媒体(Netflix、爱奇艺)等;生活方式应用:如智能手表绑定的健康APP(Keep、Apple Health)、智能家居APP(米家、HomeKit)等;云服务:如AWS、Azure、阿里云等提供的物联网云服务(IoT Cloud),用于存储和处理互联产品数据。

三、欧盟《数据法案》法案影响的场景

(一)、预合同阶段:数据持有者披露信息义务
适用场景:数据持有者(如智能设备制造商、SaaS服务提供商)与用户签订合同前。数据持有者需以清晰、可理解的方式(如网站隐私政策、产品说明书、二维码链接)向用户披露以下信息:

1、数据生成特征:产品/服务将生成的数据类型(如传感器的温度、湿度数据,用户行为数据)、格式(如JSON、CSV等结构化格式)、估计 volume(数据量大小);

2、数据存储方式:数据是on-device存储(本地存储)还是remote server存储(云端存储),以及存储时长(如“数据保留12个月”);

3、数据访问方式:用户如何访问数据(如“通过设备APP直接下载”“通过API接口获取”),是否需要用户主动请求;

4、数据处理目的:数据将用于哪些用途(如“改进产品性能”“提供个性化服务”),是否符合GDPR的“合法目的”原则;

5、第三方共享风险:是否存在向第三方共享数据的可能,以及共享的条件(如“仅用于履行合同义务”)。

示例:智能手表制造商需在产品包装或官网披露:“本设备将收集您的心率、步数数据(结构化格式),存储于云端(保留12个月),用于为您提供健康报告;数据不会向第三方共享,除非您授权。”
(二)、合同履行阶段:数据访问与共享的透明度
适用场景:用户已购买产品/服务,需访问或共享数据时。1、数据访问的“无障碍性”:数据持有者需确保用户能免费、及时访问其生成的数据(包括个人数据与非个人数据),且数据格式为机器可读(如JSON、CSV),便于用户导入其他系统或分析();

2、第三方共享的“透明性”:若用户授权第三方(如维修服务商、保险公司)访问数据,数据持有者需向用户披露:

第三方的身份信息(如公司名称、联系方式);

第三方访问数据的目的(如“维修设备”“评估保险风险”);数据共享的范围(如“仅共享设备故障代码”);

数据共享的安全措施(如“加密传输”“访问日志记录”)。

示例:用户授权保险公司访问其智能手表的健康数据,保险公司需向用户提供“数据共享协议”,明确“仅用于计算保费,数据将加密传输”。
(三)、特殊场景:公共部门请求数据的透明度
适用场景:公共部门(如欧盟机构、成员国政府)因公共利益(如网络安全、公共卫生)请求数据持有者提供数据时。要求:

公共部门需以书面形式向数据持有者说明:

请求数据的目的(如“应对网络安全事件”);

需要的数据类型(如“设备日志”“用户访问记录”);

数据使用的范围(如“仅用于调查事件”);

数据删除的时间(如“事件结束后30天内删除”);

数据持有者需向公共部门披露:

数据的存储位置(如“欧盟境内的数据中心”);

数据的保护措施(如“加密存储”“访问控制”);

数据共享的风险(如“可能泄露用户隐私”)。

示例:欧盟网络安全局(ENISA)因调查某物联网设备漏洞,请求制造商提供设备日志,制造商需披露“日志存储于德国法兰克福的数据中心,已加密,仅用于调查”。

四、中国卖家如何应对欧盟《数据法案》

     对于中国卖家而言,应对该法案的核心逻辑是:明确角色定位、梳理数据流程、建立合规体系、融入本地生态。对于出海欧盟的中国企业(如物联网设备制造商、SaaS服务提供商),需重点做好以下准备:
1、 梳理数据资产,明确“数据持有者”角色
识别企业产品/服务中生成或收集的数据(如IoT设备的传感器数据、SaaS服务的用户行为数据),确定企业在数据生态中的角色(如“数据持有者”“数据处理者”“用户”),避免因角色混淆导致的合规风险。
2、完善预合同披露内容
在产品官网、隐私政策中增加数据特征披露(如数据类型、存储方式、访问方式),使用通俗语言(避免技术术语),确保用户能理解披露内容(如“本设备的传感器将收集您的运动数据,存储于云端12个月,您可以通过APP下载”)。
3、 优化数据访问流程
确保用户能免费、及时访问数据(如提供API接口、APP下载功能),数据格式需为机器可读(如JSON、CSV),便于用户整合到其他系统(如ERP、CRM)。
4、规范第三方共享的透明度
若用户授权第三方访问数据,需向用户提供书面协议(如“数据共享授权书”),明确第三方的身份、目的、范围。与第三方签订数据保护协议(DPA),要求第三方遵守欧盟数据保护规则(如GDPR)。
5、关注公共部门请求的合规性
若收到公共部门的 data 请求,需核实其法律依据(如欧盟《通用数据保护条例》第15条),向公共部门披露必要的信息(如数据存储位置、保护措施),但避免过度披露(如不披露用户个人信息)。

五、欧盟《数据法案》五大误区

(一)、数据本地化要求——“所有数据必须存在欧盟”

《数据法案》要求“所有数据(包括个人与非个人数据)必须存储在欧盟境内”,因此有人认为需将全球数据中心迁移至欧盟,或限制欧盟用户数据出境。

出海者小编解读:《数据法案》不强制数据本地化,但严格要求跨境传输的合法性。根据法案第44条及欧盟《通用数据保护条例》(GDPR)的延伸规则,数据跨境传输需满足以下条件之一:接收国被欧盟委员会认定为“数据充分性国家”(如日本、加拿大);签订标准合同条款(SCCs)或有约束力的公司规则(BCRs);具体违规案例:

2025年,深圳某智能硬件企业因将欧盟用户的设备数据(含设备运行日志、用户使用习惯)未经SCCs传输至国内,被欧盟数据保护委员会(EDPB)处以280万欧元罚款。理由是“未确保跨境传输的数据保护水平与欧盟一致”。

出海者小编建议:中国卖家对欧盟用户数据进行分类分级:区分“个人数据”(需严格符合GDPR)与“非个人数据”(需符合《数据法案》)。选择欧盟认可的跨境传输机制:如SCCs(欧盟委员会2023年发布的“第三国数据传输SCCs”)。若数据涉及商业秘密,可通过加密+本地化存储(如在欧盟设立数据中心)降低风险,但需向用户披露。

(二)、最常见的合规漏洞:用户同意——“默认勾选”或“模糊表述”

中国企业常采用“默认勾选”“一揽子同意”或“模糊表述”(如“我们可能收集您的设备数据用于优化服务”)获取用户同意,认为“只要用户没反对就算同意”。《数据法案》要求“明确、主动、可撤回”的同意(第12条)。具体要求包括:主动勾选:用户必须手动点击“同意”,不能默认选中;具体说明:需明确告知“收集哪些数据(如设备ID、位置信息)、用于什么目的(如产品优化、第三方服务)、共享给哪些第三方(如保险公司、维修服务商)”。便捷撤回:需提供“一键撤回”功能(如在APP设置中“数据权限”模块),撤回后24小时内停止数据收集。案例警示:2025年,法国电商平台Cdiscount因在用户注册时使用“默认勾选”获取“数据共享给第三方广告商”的同意,被法国国家信息与自由委员会(CNIL)处以150万欧元罚款。理由是“未满足‘明确同意’的要求,用户无法知晓数据共享的具体范围”。出海者小编建议:设计“分层同意”界面:将“必要数据”(如设备ID,用于产品功能)与“可选数据”(如位置信息,用于个性化推荐)分开,用户可选择是否同意。提供“同意日志”:记录用户的同意时间、范围及撤回记录,便于监管核查。针对企业用户(B2B):需与客户签订数据处理协议(DPA),明确数据使用目的与共享范围,避免“默示同意”。

(三)、最容易被忽视的要求:数据共享的“公平性”与“透明度”

有些中国卖家认为“只要数据共享是‘自愿的’,就不需要遵守《数据法案》的要求”,或“数据共享的条款可以模糊处理”。《数据法案》强制要求数据共享的“公平性”与“透明度”(第10-15条),具体包括:公平定价:若用户要求将数据共享给第三方,数据持有者(如企业)不能收取“不合理费用”(如高于数据存储成本的30%);无歧视性条款:不能限制用户向竞争对手共享数据(如“若用户将数据共享给A公司,则不能再共享给B公司”);透明的共享协议:需向用户披露“共享的数据类型、第三方身份、使用目的、安全措施”(如在用户协议中设置“数据共享”专区)。案例警示:2025年,德国汽车制造商BMW因在用户协议中规定“若用户将车辆数据共享给第三方维修服务商,则BMW有权终止保修服务”,被欧盟委员会认定为“歧视性条款”,要求其修改协议并赔偿用户损失。出海者小编建议:制定“数据共享定价指南”:参考欧盟委员会的“数据价值评估框架”(如数据量、数据类型、使用场景),制定合理的收费标准。避免“排他性条款”,允许用户向多个第三方共享数据(如“用户可将设备数据共享给A维修商、B保险公司”)。提供“数据共享模板”:与第三方签订标准化的《数据共享协议》,明确双方的权利义务(如数据安全、保密义务)。

(四)、最危险的混淆:《数据法案》与GDPR的边界——“个人数据”与“非个人数据”的区分

有些中国卖家常将“个人数据”与“非个人数据”混为一谈,认为“《数据法案》只适用于非个人数据,GDPR只适用于个人数据”,导致合规遗漏。个人数据:指“可直接或间接识别自然人的数据”(如姓名、手机号、设备ID关联的用户信息),受GDPR管辖(第4条);非个人数据:指“无法识别自然人的数据”(如设备运行日志、产品使用统计数据),受《数据法案》管辖(第2条);交叉场景:若非个人数据中包含“个人数据片段”(如设备日志中的“2025-09-10 10:00 北京朝阳区”),需同时符合《数据法案》与GDPR的要求(如透明度、用户同意)。案例警示:

2025年,荷兰电商平台Bol.com因将“用户购物记录”(含用户ID、购买商品)作为“非个人数据”共享给第三方广告商,未遵守GDPR的“个人数据共享”要求(如用户同意、数据最小化),被荷兰数据保护局(DPA)处以200万欧元罚款。

出海者小编建议:中国卖家建立“数据分类矩阵”:明确“个人数据”(如用户ID、手机号)与“非个人数据”(如设备运行时间、产品销量)的边界。对“交叉数据”(如含用户位置的日志),需同时满足《数据法案》的“数据共享透明度”与GDPR的“个人数据处理同意”。定期开展“数据合规审计”:每季度检查数据处理流程,确保“个人数据”与“非个人数据”的处理符合各自法规要求。

(五)、最容易被忽略的“隐性要求”:数据可移植性(Data Portability)

有些中国卖家认为“只要用户能访问数据,就符合《数据法案》的要求”,忽略了“数据可移植性”(即用户能将数据从一家企业转移至另一家企业)的要求。《数据法案》要求数据持有者提供“结构化、机器可读”的数据格式(第10条),确保用户能将数据转移至第三方(如从A智能手表品牌转移至B品牌)。具体要求包括:格式要求:数据需为JSON、CSV等“机器可读”格式(不能是图片或PDF);接口要求:需提供API或下载链接,方便用户获取数据;及时性:用户请求数据后,需在72小时内提供(第12条)。案例警示:

2025年,法国电信运营商Orange因未向用户提供“数据下载API”(用户需通过客服申请数据,耗时超过72小时),被欧盟委员会认定为“违反数据可移植性要求”,要求其整改并赔偿用户损失。

出海者小编建议的应对策略:开发“数据下载中心”:在用户后台设置“数据导出”功能,支持JSON、CSV等格式,提供“API接口”:允许第三方(如用户指定的数据分析公司)直接获取用户数据(需用户授权),测试“数据可移植性”:定期模拟用户请求,确保数据能在72小时内提供,且格式符合要求。

(六)、最容易被低估的“第三方责任”:“供应链合规”

有些中国企业认为“只要自己符合《数据法案》的要求,第三方(如供应商、云服务商)的合规与我无关”。《数据法案》要求数据持有者对第三方的合规性负责(第18条)。例如:若企业将数据存储在第三方云服务商(如AWS),需确保云服务商符合《数据法案》的“数据安全”与“跨境传输”要求;若企业通过第三方供应商(如零部件厂商)收集数据,需确保供应商符合“数据收集的透明度”与“用户同意”要求。
案例警示:2025年,中国手机厂商小米因第三方云服务商(未在欧盟注册)存储了欧盟用户的设备数据,未遵守《数据法案》的“跨境传输”要求,被欧盟委员会处以180万欧元罚款。理由是“数据持有者需对第三方的合规性负责”。
出海者小编的应对建议:对第三方进行“数据合规尽职调查”:检查第三方是否符合《数据法案》的要求(如数据本地化、跨境传输机制),签订“数据处理协议(DPA)”:明确第三方的责任(如数据安全、用户同意、跨境传输),定期开展“第三方合规审计”:每半年检查第三方的合规情况,确保其符合《数据法案》的要求。

(七)出海者小编总结如何应对欧盟《数据法案》

1、建立“全流程合规体系”:从数据收集、存储、使用、共享到销毁,每一步都需符合《数据法案》与GDPR的要求;2、加强“跨部门协作”:法律、隐私、IT、产品、业务部门需共同参与,确保合规要求融入产品设计与管理流程;3、定期“合规培训”:对员工进行《数据法案》与GDPR的培训,避免“默认同意”“数据本地化”等误区;

4、利用“合规工具”:如数据分类软件(如OneTrust)、数据共享平台(如Steelbridge),降低合规成本。

原标题:欧盟《数据法案透明度声明》(Data Act)解读以及涉及的产品和应对策略

关键词:

*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们: admin#shaoqun.com (#换成@)。
喜运达
用小程序打开用小程序打开更快