欧盟《数据法案》实施倒计时,企业应如何破局?
随着全球数字治理规则的深化演进,欧盟《数据法案》(Data Act)作为继GDPR后的又一重要立法,正重塑数字经济时代的国际竞争格局。该法案将于2025年9月12日全面实施,全球物联网、智能硬件、云计算及车联网企业将迎来前所未有的数据合规考验。面对数据共享、用户及第三方访问、公共机构调用等核心条款,中国企业若未提前布局,可能面临高额罚款、竞争力下降、禁止进入市场等后果。面对2025年9月施行的紧迫时间表,企业如何快速布局合规?如何抓住数据共享的市场机遇?
Data Act:重塑欧洲物联网产品数据经济的“游戏规则”
法规出台背景
Data Act作为欧盟《数据战略》核心支柱,旨在打破“数据垄断”格局。针对中美在数据经济的主导地位,欧盟通过强制开放物联网设备、工业机器、智能家居等场景数据,推动B2B/B2G/B2C数据自由流通,构建统一数据市场。法案同时限制“守门人”企业垄断,并防范第三国政府非法获取数据。
受影响的产品与服务类别
在欧洲提供以下联网产品及相关服务的企业均需履行数据共享义务:
智能联网汽车设备,如智能汽车、智能充电桩等
智能家居设备,如智能冰箱、智能电视、扫地机器人、智能摄像头等
智能娱乐设备,如游戏机、手机、平板等
智能网络设备,如路由器、防火墙等
可穿戴设备,如健康手环、智能手表等
医疗健康设备,如智能血压计、智能血糖仪、影像设备等
工业自动化设备,如智能农业、智慧交通、智能制造、智能物流等
其他联网产品,如储能设备等
核心义务
透明性义务:向用户明确告知数据种类及使用范围
数据访问义务:默认允许用户直接、安全、免费地访问其生成的数据
第三方共享义务:在用户授权下,需无歧视、无延迟向第三方(如维修商)提供同等质量数据
公共机构访问义务:响应欧盟公共机构合法数据请求
合同义务:数据所有者有义务平等对待所有潜在的数据接收者,不得对任何合同方进行歧视
互操作性义务:有义务披露数据结构和数据格式,以便在不同服务和平台之间交换和使用数据
技术防护义务:有义务采取适当的技术保护措施,以确保处理后的数据的安全、完整和保密性
关键时间节点
欧盟《数据法案》的实施分为多个阶段,企业需注意以下两个关键时间节点:
2025年9月12日
法案正式适用,需提供间接数据访问方式
用户申请访问:数据持有者(如智能设备制造商)需在用户申请时,免费、无延迟地提供现成可用的数据及相关元数据
用户授权第三方访问:用户可授权第三方(如维修服务商)访问数据,数据持有者需在收到申请后以同等质量向第三方提供数据
2026年9月12日
在这之后向欧盟市场投放的联网产品,需提供直接数据访问方式
默认直接访问:在技术可行的前提下,产品需默认允许用户直接、免费、安全地访问其生成的数据(包括元数据),无需额外申请。
实时连续性:数据需以连续、实时的方式提供,确保用户和第三方能够动态利用数据
应对失策将导致企业面临四大关键风险
市场占有率下滑
无法满足透明性、数据共享等义务可能导致产品在消费市场的信任与评级下降,消费者购买意愿降低。与此同时,过度的数据披露也可能导致商业秘密泄露,竞争力下滑,从而导致市场占有率下降。
错失合作机遇
数据共享是欧盟构建单一数据市场的核心机制。若企业未能合规设计产品或制定公平共享条款,可能被排除在欧盟主导的数据合作网络之外,从而丧失数据合作机遇。
严重合规后果
尽管《数据法案》未明确全球性处罚,但成员国可依据侵权性质、企业规模等设定罚款(参考GDPR的4%全球营业额上限),此外,频繁的合规争议可能导致企业被列入监管“黑名单”,损害品牌声誉。
数据收益流失
法规允许数据持有者向接收方收取合理费用(如数据生成成本)。若企业未建立有效的定价和收费机制,可能导致企业在承担了成本与义务的情况下错失相关收益。
企业亟需落实的五大关键措施
开展联网产品数据资产清查
企业需立即开展联网产品的数据清查工作,梳理数据类别、格式、生成频率、相关第三方、传输方式、存储方式、使用目的等,以应对透明性义务和评估风险。
数据分级分类
根据数据的敏感性和用途进行分级分类,例如将数据分为可共享、采取措施后共享及不可共享,以在应对数据共享义务时保护商业秘密和安全。
重构用户和第三方合同
重构用户合同,包括披露数据信息、约定权利与义务、获取非个人数据处理的同意等。重构第三方合同,约定第三方数据使用限制、保密义务及违约赔偿责任,明确暂停共享的条件。欧盟后续将推出第三方合同的模板,企业可参考其框架优化合同体系。
定义数据共享方式
2025年9月前,制定间接数据共享的流程、内容和格式,例如收到请求后通过邮件方式提供;2026年9月前,制定和实现直接数据共享方式的技术方案,包括产品数据访问入口、数据共享平台、数据共享API接口等。
设计数据共享收费机制
法案允许向接收方收取数据生成直接成本费用,建立透明、公平的收费模型,结合数据价值、处理成本及行业惯例,既保障收益又规避垄断风险。但需特别针对中小企业设定成本上限,避免滥用市场地位。
结语
作为欧盟构建数字主权战略的关键立法实践,《数据法案》通过确立数据共享规则、平衡公私利益关系等制度创新,为欧洲数字经济奠定基础,推动数据共享流通在欧洲逐步成为常态。鉴于该法案已进入全面实施阶段(其中主要条款将于2025年9月正式适用),建议涉及物联网设备制造及相关服务的企业立即启动合规准备工作。
德勤中国持续与全球网络合作,着力构建适合中国出海企业的解决方案与工具,持续跟踪监管动态和法规实施进展,为出海中企提供数据治理、用户合同重构、数据共享方案定制、数据共享平台搭建等服务。欢迎各行业主体就相关实务难题展开深度研讨,共同探索欧洲数字经济时代的合规发展路径。
