摘要
欧盟《数据法案》(Data Act)已于2025年9月12日正式实施,它是欧盟在数字主权及数据经济战略下推出的关键立法工具,其通过确立用户对其网联产品及其服务产生数据的访问权、促进数据处理服务可切换和数据互操作、强化公共机构在“例外情况下”的数据访问权等机制,试图构建更具流动性、公平性和竞争性的欧洲数据市场。对于中国出海欧盟的企业而言,Data Act 不仅会对企业的产品设计、合同条款、数据流通策略、商业秘密保护、云服务安排等方面提出新的挑战,也可能重塑中欧跨境数据治理的格局。
本文将从法案背景、核心机制、法案实施时间节点、对企业的影响维度与合规策略五大部分展开,帮助企业提前布局、精准应对、提升在欧盟市场的合规竞争力。
背景动因
数据经济的转型诉求
进入数字时代,数据已成为工业物联网、智能制造的关键资产。然而,目前在许多情境下,联网设备制造者或服务提供商常常通过技术或合同手段锁定对“使用过程中产生数据”的控制,形成“数据闭合生态”、用户难以自主获得或转移数据。欧盟希望打破这种“锁定”机制,释放数据流通潜能,以推动创新、促进中小企业参与、优化竞争生态。同时,欧盟层面为了增强“数字主权”,减少对美国及其他大厂在云基础设施、数据控制层面的依赖,也将数据治理作为核心战略之一。
与已有法规互补与填补缺口
欧盟《一般数据保护条例》(GDPR) 主要聚焦于个人数据的合法处理、主体权利保护与跨境传输规则,而 Data Act 的目标是超越个人数据,覆盖更广泛的“联网产品及其服务使用中产生的数据”(既包括个人也包括非个人数据),补足在“数据访问权”“云迁移”“互操作性”等方面的法律空白。构建数据驱动型欧洲单一市场
欧盟内部希望通过统一规则、降低跨境壁垒、推广数据中立原则来加速“欧洲数据空间”(European Data Spaces) 的形成。Data Act 被视为推动这一愿景的关键制度设计工具。
主要目标
从制度目标看,Data Act 的核心诉求可归纳为以下几点:
赋权使用者:即让消费者或企业用户有权访问其联网设备产生的数据,并可选择将这些数据提供给第三方(如维修商、服务商、创新者)。
降低进入壁垒和“锁定效应”:通过强制支持云服务提供商切换、中立接口设计、合理“迁移支持”等机制,使用户脱离对单一服务商的依赖。
促进数据流通与再利用:尤其是非个人数据的二次用、跨行业创新、研究或公共政策应用等。
保障公平合同与防止滥用:例如禁止数据分享合同条款中的某些“不公平”条款;规定在“例外情形”下公共机构的数据访问权。
兼顾商业秘密保护、竞争与隐私边界:在要求数据访问的同时,要求采取“必要保密措施”、不得侵犯商业秘密,以及与 GDPR、商业秘密法、竞争法等制度协调。
谁/何种数据受Data Act规制
1) “受规制的 对象:网联产品(connected products)与其相关的服务(related services)”
网联产品”是指能够获取、生成或收集有关其使用或环境的数据,并能够通过电子通信服务、物理连接或设备访问传递产品数据的物品,其主要功能不是代表用户以外的任何一方存储、处理或传输数据;
“相关服务”是指除电子通信服务以外的数字服务,包括软件,该服务在购买、租赁或租用时与产品连接,如果缺少该服务,则连接的产品将无法执行其一项或多项功能,或者随后由制造商或第三方连接到产品,以添加、更新或调整连接产品的功能。
2) “受规制的 数据类型:product data 与 related service data(涵盖个人数据与非个人数据)及相关元数据”
product data:由网联产品的使用生成,且制造者设计为可被检索(on-device / 物理连线 / 经电信服务可检索)的那些数据。
related service data:在提供相关服务过程中生成的、代表用户操作或网联产品事件的数字化数据(如远程服务记录等)。
3) “受规制的 义务主体:
(a)在欧盟市场投放网联产品的制造商以及相关服务的提供商(无论此类制造商和提供商的注册地位于何处);
(b)上述(a)项所指网联产品或相关服务在欧盟境内的用户;
(c)向欧盟境内数据接收者提供数据的数据持有者(无论其注册地位于何处);
(d)在欧盟境内接收数据的数据接收者;
(e)因履行符合公共利益的特定任务而对数据存在特殊需求、要求数据持有者提供数据的公共部门机构、欧盟委员会、欧洲中央银行及欧盟各机构,以及应此类请求提供数据的数据持有者;
(f)向欧盟境内客户提供数据处理服务的数据处理服务提供商(无论其注册地位于何处);
(g)数据空间参与者、使用智能合约的应用程序销售商,以及其行业、业务或职业涉及在协议执行过程中为他人部署智能合约的人员。
核心义务
A. 制造商/服务商/数据持有者对用户的信息告知与访问义务
法规要点:在购买/租赁前,卖方/租方/制造商应向用户提供关于网联产品能产生何种 product data(类型、格式、估计量、是否实时等)的清晰信息;且用户有权获得由其连接产品产生的数据(包括个人与非个人数据),并可自动化地通过账户或其它简单机制发起、获得访问。
企业实务解读:需通过电商页/合同/说明书/QR链接等方式明确写明“该产品会产生哪些数据”“数据是否实时”“如何访问/导出(API/SDK/导出格式)”“保留期”等信息。未提供或误导性说明会直接触及监管义务与用户合同争议风险。
B. “按设计与默认(by design & by default)”的可访问性
法规要点:对于在 2026-09-12 之后 放置市场的网联产品,第3(1)项的“产品与服务应被设计/制造为默认使 product data 及其元数据对用户易于安全访问、免费、结构化、机器可读(where relevant and technically feasible, directly accessible to the user)” 的要求适用。对于已在市场上的产品,法规留有过渡空间与可通过固件/软件更新补齐的路径实现合规。
企业实务解读:新品开发必须把“数据可导出、接口 / SDK / 文档、账号与用户操作等”当作合规需求先行并入产品开发设计中(不可事后补救)。对已经在市面的产品,应评估是否可通过 OTA 更新、工具包或售后手段满足访问要求并记录合规措施。
C. 数据处理服务提供者可切换义务
法规要点:为防止锁定效应,数据处理服务提供者(云/平台商)须提供支援以完成切换(包括导出 exportable data、开放接口、文档、迁移工具、合理的技术支持),并不得设置不合理切换费用或阻碍(但允许在一定条件下收取与切换直接相关的合理成本;三年内对并行使用可能仍可收取不超过成本的持续费用)。此外对“功能等效”(functional equivalence)的义务做了现实主义限定(并不要求供应商在他人环境中重建完整服务)。
企业实务解读:若您的业务包含云端/平台服务(SaaS/IoT 后台),合同中需明确导出格式、导出时间、迁移支援范围、过渡期服务、费用上限等。对接入方(欧盟客户)要能提供机器可读、结构化的导出文件(JSON/CSV/标准化 schema),并准备技术支持流程。
D. 禁止不公平合同条款
法规要点:对“在企业间单方面强加”的数据访问/使用条款,法规列举了可被认定为不公平或推定不公平的条款范例,并赋予受不公平条款影响一方可以主张条款无效或被剔除的权利(同时保留合同其他部分的效力)。
企业实务解读:对于 B2B 合同(尤其是对欧盟企业的take-it-or-leave-it 条款),务必审慎避免包含单方面剥夺用户访问权、过度免责或不合理限制切换的条款。建议用模型条款或双方谈判记录来证明条款为双方协商内容,或改用公平的 SLA/费用架构。
E. 公共部门例外访问
法规要点:在“特殊/紧急的公共利益”情形下,公共部门可依法请求访问数据(包括非个人数据),但必须基于明确法律授权并遵循严格程序(请求、补偿、使用限制、保密措施)。相关程序与补偿机制由法规规定。
企业实务解读:对在合同中可能出现的“政府请求/执法要求”条款,企业要准备合规流程(接受请求的法定基础审查、通知/协助用户/记录、补偿计价、审计日志)以避免程序违规风险。
实施时间与关键节点
理解 Data Act 的生效时间安排、过渡期设计与关键节点,对于中国出海欧盟的企业提前布局至关重要。
法规颁布 / 生效日期:2024年1月11日 正式生效(entry into force)
施行 / 适用日期:大部分规定将在 2025年9月12日 起正式适用(即正式义务开始日)
过渡 / 分期生效安排:
在 2025年9月12日生效之前(即从生效日至正式适用期内),市场主体应提前调整制度与合同条款。
对于在 2025年9月12日之后投放欧盟市场的“新设备/产品”,其设计须“自然而然”符合 Data Act 的“按设计与默认可访问性 (by design and by default)” 要求。从 2026年9月12日起,新投放产品则必须符合“可访问性设计”义务要求。在间隔期内,企业需对现有和新开发设计的网联产品、合同模板、软件架构、接口设计等完成合规调整。
成员国落地 / 执法机构指定
各成员国需指定主管机构、制定国家层面的执行细则、处罚标准、信息报告义务等,可能存在不同程度的本地化差异。企业需要关注主要目标市场国(如德国、法国、意大利、西班牙等)在本地落地细节。
对中国出海欧盟企业的影响分析
在理解 Data Act 的制度结构及时间节点后,以下部分将具体分析其对中国出海欧盟的企业的潜在影响,并提出关键合规风险与应对方向。
受影响行业与业务形态
并非所有出口企业都会受到 Data Act 的直接约束,其主要影响对象包括但不限于:
物联网 / 智能设备制造商
如智能家电、智能家居设备、车载设备、工业 IoT 设备、机器人、可穿戴设备、医疗设备(带联网功能)等。设备 + 云服务 / 远程服务结合型企业
如提供设备远程监控、设备维护、预测性维护、数据驱动增值服务的出口商。云服务 / SaaS / 平台型服务商
提供面向欧盟市场的云存储、数据处理、平台服务、边缘计算等业务。跨境数据中介 / 数据平台 /数据空间参与者
若企业参与构建行业数据空间、提供数据中介平台、第三方服务商接收设备产生数据,则也可能面临 Data Act 约束。售后服务 / 维修运营商 /第三方维修商
若用户/服务商希望访问网联设备运行数据以提供维修服务、状态监测服务,则相关服务商必须能接入这些数据(或至少遵循访问规则)。
对于那些仅生产“无联网传统设备”、或仅以“静态产品出口”为主、不涉及远程数据连接服务的企业,其合规压力相对较低;但随着“设备 + 服务”混合模式趋于主流,这类合规议题将不可回避。
具体影响维度
下面从若干关键维度逐项展开影响分析与应对思路。
产品 / 硬件设计影响
如果出口产品主要面向欧洲市场,则从新品开发阶段就应将 Data Act 的要求纳入设计标准(设计即合规),具体可以考虑以下措施:
预留数据访问接口 / 诊断接口
企业在产品设计阶段需预留硬件或固件接口、API 或诊断通道,以便在后续提供访问能力。若设计阶段没有为访问接口留白,后期可能难以进行功能补齐。可能需要设计边缘计算 / 本地缓存机制
在设备端可能需要设计边缘处理或本地缓存,以减少对云端的依赖,并支持用户在离线情况下获取数据。数据采集频度、数据项可控性设计
企业需谨慎判断哪些数据项是“必须记录”的、哪些是“可选记录”的;对于大数据量或高频采集所带来的存储、传输成本可能需要在设计时优化。安全 / 加密 /隔离设计
访问通道或接口必须具备认证、授权、加密、安全隔离等机制,以防止滥用、越权访问、侧信道攻击等风险。可升级 / 可扩展设计
考虑到未来法规可能进一步升级,产品架构应具备后续扩展能力(如新增数据项、接口升级、固件改动能力等)。
合同 / 服务协议设计
合理的契约设计是将制度要求内部化为业务流程的关键路径,以下为需重点重构的合同条款:
用户许可 / 授权条款调整
切换支持条款 / 迁移保障条款
禁止不公平条款
补偿 / 费用机制设计并纳入合同条款
服务等级 / SLA /可用性保障
数据访问、迁移、接口调用的服务等级与可用性指标应纳入合同保障。保密 / 商业秘密 /安全义务条款
为防止商业秘密泄露,应设计严格的保密条款、访问控制机制、审计日志义务、赔偿责任。合规声明与责任承担条款
数据流通与治理机制
这一维度是 Data Act 在运营层面对企业治理能力提出的新考验,重点工作包括:
考虑建立专门的数据治理层(data lake / data hub),如数据仓库 / 数据中台 /数据治理平台
建立权限管理与访问审计机制
建立和统一接口策略 / API 网关 /标准化接口标准,并逐步向行业标准、欧盟推荐标准靠拢,以确保未来可能的互操作性要求能够适配。
数据脱敏 /最小化原则 /差分访问
在某些情况下,提供整套原始数据可能引发商业秘密或隐私风险;可考虑向用户 / 第三方提供处理后的数据(例如去标识化、聚合、抽样、分级访问)方案,在符合法律允许范围内平衡安全与共享。需重点评估数据跨境传输问题并设计合规路径
商业秘密 / 知识产权保护风险
整体而言,应在促进访问权与保护商业秘密之间寻求制度与技术平衡,可参考以下措施:
商业秘密边界需清晰化
在提供访问义务中,企业有权主张对涉及核心算法、技术机密、设备设计秘密等部分数据采取合理保密措施。但为避免“据点滥用”,企业应事先建立内部流程以评估哪些数据项应予保护,哪些项应开放。建立接口与访问隔离机制
设计审计与监督机制
设计合同条款对技术披露的限制
竞争风险防范
开放数据可能被竞争对手利用进行逆向分析或挖掘商业价值。因此,企业应预先评估访问可能带来的市场竞争风险,设计合理的数据开放边界与访问授权策略。
跨境传输 / 数据主权约束风险
对于中国出口欧盟市场的企业而言,一个关键问题是数据跨境传输(从中国(或第三国)向欧盟境内 / 欧盟用户提供访问服务或数据迁移),数据跨境传输风险是一个不得不重点设计和控制的合规节点,企业需开展数据跨境传输合规风险评估并建议可考虑以下合规措施:
数据驻留 / 本地化规划
企业可能需要在欧盟境内或第三地设立数据中心 / 边缘节点,以就近提供服务、降低跨境延迟、缓解合规压力。中欧协商机制的潜在缓解
欧盟与中国已在 2024 年启动“非个人数据跨境流通合作机制” (communication mechanism) 以探索通道与解决方案。未来若机制成熟,可能部分缓解协调难题。
我们能为企业提供的支持
作为专业合规团队,我们可以帮助出海企业从战略层面、产品层面、合同层面、运营治理层面构建“Data Act 合规防火墙”,既能减少法律风险,也可将合规能力转化为市场信任、客户竞争力的资产。具体支持:
适用性与合规风险评估
分析企业产品 / 服务架构,判断是否触及 Data Act 义务范围。
针对目标欧盟市场国家分析本地落地规则、主管机关、合规差距。
提供“合规优先级排序”建议,并帮助企业集中资源应对高、中风险项。
产品 / 接口合规设计顾问
从法律分析与落地角度协助在产品设计阶段嵌入访问接口、安全认证模块、可升级机制。
提供接口规范、认证机制、安全隔离、访问限制等技术-法务融合建议。
审查现有设备是否可通过固件升级、软件补丁方式改造以满足需求。
合同设计与合同审查
为设备销售合同、第三方服务合同、第三方访问许可合同起草或修正 Data Act 兼容条款。
审查现有合同可能存在的不公平条款、排他性条款、切换限制、不合理责任豁免等风险。
协助设计访问授权、切换支持、费用补偿、保密与责任分担等合理机制。
数据治理体系与流程搭建
协助搭建数据治理平台 / 中台架构,设计权限分层、访问审批机制、审计日志机制。
协助制定标准接口管理、API 文档规范、版本管理策略、互操作标准兼容性方案。
协助构建脱敏 / 匿名化 /最小化机制、差分访问策略,以保障商业秘密与隐私安全。
数据跨境传输合规路径设计
结合欧盟针对数据出口、安全评估、分类分级等法律义务,为企业设计数据跨境传输合规路径,提出合规建议。
模拟检查 / 内部审计 / 争议应对
结合欧盟监管思路及企业实际协助设计企业内部合规审查机制、模拟监管检查清单。
指导保存合规记录、日志、访问记录、合同授权记录等证据链条。
在遇到监管调查、用户或第三方争议时,可提供法律应对方案、辩护材料、谈判策略。
合规培训 / 合规意识构建
向企业内部产品、研发、运营、法务、市场等岗位提供定制化培训。
制定合规手册、操作指南、标准流程,推动合规思维在企业流程中落地。
提供持续的合规更新监测服务,推送后续欧盟委员会相关法规、标准与指南。
结语
欧盟 Data Act 是欧洲在数字主权、数据价值重构与全球数据经济博弈中的核心制度工具。对中国出海欧盟的企业而言,它既带来了挑战——要求从产品设计、合同、治理机制、跨境架构等多个维度升级合规能力;也蕴含机会——掌握合规先机的企业或可在欧盟市场建立信誉壁垒、赢得客户信任。
作为专业合规团队,我们深耕跨境数据治理、欧盟数字法规(包括 GDPR、Data Governance Act、Data Act、人工智能法案等)领域,具备跨法域、跨业务线的落地能力。我们可协助企业提前进行合规体检、制定整改路线图、参与产品设计、审定合同条款、搭建治理机制、应对审查与争议,促使客户在欧盟市场以合法、安全、可持续的方式运营数据驱动型业务。
如果你或你的客户正在计划或已有将网联产品及其服务出海欧盟,欢迎联系我们进行深度合规诊断与项目支持。
特别声明
文章仅代表作者观点,供参考学习,不代表任何形式的法律意见或建议。
后续将欧盟重点数据法规作重点解读,敬请期待,同时欢迎交流探讨。
