欧盟《数据法案透明度声明》（Data Act）解读以及涉及的产品和应对策略

欧盟《数据法案透明度声明》

欧盟《数据法案》（Regulation (EU) 2023/2854，简称“Data Act”）是推动数据要素流通、平衡数据持有者与用户权益的关键立法，其核心之一为透明度要求。该要求覆盖数据持有者（如制造商、服务提供商）与用户（产品/服务所有者、租户）之间的数据交互全流程，旨在保障用户的“知情权”与“控制权”，提升数据市场的公平性与互操作性。自2025年9月12日起，《数据法案》正式实施，对在欧盟市场运营的物联网（IoT）产品、智能设备及相关服务提供者构成强制约束，涵盖非欧盟企业。

一、《数据法案》的核心目标：打破数据孤岛

法案旨在通过强制互联产品（如智能设备、物联网终端）的数据开放，促进产业链内的数据流通。主要目标包括：

• 保障公平竞争：规范企业间数据共享合同，禁止排他性条款或不合理费用，保护中小企业免受“数据垄断”；
• 强化数据主权：确保非个人数据跨境传输符合欧盟法律，如通过“充分性决定”或“标准合同条款”（SCCs）等机制。

二、《数据法案》主要内容：覆盖数据全生命周期

法案适用于所有“互联产品”及相关服务，涵盖数据生成、存储、访问、共享与传输全过程，具体包括：

B2C领域

智能冰箱、智能音箱、清洁机器人、健身追踪器、医疗设备、智能网联汽车等。

B2B领域

工厂机器、智能太阳能电池板、电梯、制动系统等工业设备。

三、受《数据法案》影响的产品类型

根据欧盟定义，“互联产品”指能生成、获取或收集使用、性能或环境相关数据，并可通过有线或无线方式传输的物品。

1、消费类智能设备（B2C）

• 智能家居：智能音箱、摄像头、门锁、插座、照明系统、扫地机器人等；
• 可穿戴设备：智能手表、手环、眼镜、心率监测器等；
• 健康医疗设备：血压计、血糖仪、体温计、动态心电图仪等；
• 车载设备：导航系统、娱乐系统、GPS追踪器、车联网模块等；
• 消费电子：智能手机、平板、笔记本电脑、智能电视、耳机等。

2、工业与商业设备（B2B）

• 工业机械：生产线机器人、数控机床、分拣设备、传感器等；
• 基础设施：电梯、智能电表、交通信号灯、停车场设备等；
• 商业设备：商用打印机、POS机、仓储管理系统、冷链设备等。

3、配套数字服务

• 语音助手：如Alexa、Google Assistant、Siri；
• 流媒体服务：Spotify、Netflix、爱奇艺等；
• 生活方式应用：健康APP（Keep、Apple Health）、智能家居APP（米家、HomeKit）；
• 云服务：AWS、Azure、阿里云等提供的物联网云平台。

四、《数据法案》影响的关键场景

（一）预合同阶段：数据持有者的披露义务

在签订合同前，数据持有者须以清晰、易懂的方式向用户披露以下信息：

• 数据生成特征：数据类型（如温度、行为数据）、格式（JSON、CSV）、预计数据量；
• 数据存储方式：本地或云端存储，以及保留期限（如“保留12个月”）；
• 数据访问方式：是否可通过APP下载或API获取；
• 数据处理目的：如优化产品性能、个性化服务，需符合GDPR合法目的原则；
• 第三方共享风险：是否存在共享可能及条件。

示例：智能手表制造商应披露：“本设备收集心率、步数数据（结构化格式），存储于云端12个月，用于健康报告；不向第三方共享，除非用户授权。”

（二）合同履行阶段：数据访问与共享的透明度

用户购买产品后，数据持有者需确保：

• 无障碍访问：用户可免费、及时获取其生成的数据，格式为机器可读（如JSON、CSV）；
• 第三方共享透明：若用户授权第三方访问，需披露：
  • 第三方身份（公司名称、联系方式）；
  • 访问目的（如维修、保险评估）；
  • 数据范围（如仅故障代码）；
  • 安全措施（如加密传输、日志记录）。

示例：保险公司需向用户提供协议，明确“仅用于保费计算，数据将加密传输”。

（三）特殊场景：公共部门请求数据的合规要求

当公共部门因网络安全、公共卫生等公共利益请求数据时：

• 公共部门须书面说明：请求目的、数据类型、使用范围、删除时间；
• 数据持有者须披露：数据存储位置（如欧盟境内数据中心）、保护措施（如加密）、潜在风险（如隐私泄露）。

示例：ENISA调查物联网漏洞时，制造商需披露“日志存于德国法兰克福，已加密，仅用于调查”。

五、中国卖家应对策略

出海企业应以“明确角色、梳理流程、建立体系、融入生态”为核心逻辑，重点落实以下措施：

1、梳理数据资产，明确角色定位

识别产品/服务中生成或收集的数据（如传感器数据、用户行为数据），厘清企业在数据生态中的角色（数据持有者、处理者或用户），避免合规混淆。

2、完善预合同信息披露

在官网、隐私政策中增加数据特征说明，使用通俗语言（如“运动数据将存储于云端12个月，可通过APP下载”），确保用户理解。

3、优化数据访问流程

提供免费、及时的数据访问渠道（如API接口、APP导出功能），数据格式应为JSON、CSV等机器可读格式，便于用户整合至其他系统。

4、规范第三方数据共享

用户授权第三方时，须提供书面协议，明确第三方身份、目的与数据范围；并与第三方签订数据保护协议（DPA），确保其遵守GDPR等规则。

5、应对公共部门数据请求

核实请求的法律依据（如GDPR第15条），仅披露必要信息（如存储位置、安全措施），避免过度披露个人信息。

六、《数据法案》常见误区解析

（一）误区一：数据必须本地化存储

事实：法案不强制数据本地化，但严格规范跨境传输合法性。须满足以下条件之一： - 接收国为欧盟认定的“充分性国家”； - 签订标准合同条款（SCCs）或有约束力的公司规则（BCRs）。
案例：深圳某企业因未经SCCs将欧盟用户数据传回国内，被罚280万欧元。
建议：对数据分类分级，采用SCCs等合规机制；涉及商业秘密可结合加密与本地化存储。

（二）误区二：默认勾选即视为同意

要求：用户同意必须“明确、主动、可撤回”，包括： - 手动勾选，不得默认； - 明确告知数据类型、用途、共享对象； - 提供“一键撤回”功能，24小时内生效。
案例：法国Cdiscount因默认勾选被罚150万欧元。
建议：设计分层同意界面，区分必要与可选数据；记录同意日志；B2B客户需签署DPA。

（三）误区三：数据共享无需透明与公平

要求：数据共享须公平、无歧视、透明： - 不得收取不合理费用（如高于存储成本30%）； - 不得限制用户向竞争对手共享； - 披露共享数据类型、第三方信息、安全措施。
案例：BMW因限制用户向第三方维修商共享数据被认定违规。
建议：制定合理定价指南，避免排他条款，提供标准化《数据共享协议》模板。

（四）误区四：混淆《数据法案》与GDPR适用范围

区分： - 个人数据（可识别自然人）：受GDPR管辖； - 非个人数据（无法识别个体）：受《数据法案》管辖； - 交叉数据（含个人片段的日志）：需同时满足两法要求。
案例：荷兰Bol.com将含用户ID的购物记录作为非个人数据共享，被罚200万欧元。
建议：建立“数据分类矩阵”，定期开展合规审计。

（五）误区五：忽略数据可移植性要求

要求：用户应能将数据转移至其他平台，需满足： - 数据格式为JSON、CSV等机器可读格式； - 提供API或下载链接； - 用户请求后72小时内响应。
案例：Orange因未提供API且响应超时被认定违规。
建议：开发“数据下载中心”，支持API导出，定期测试可移植性。

（六）误区六：忽视第三方供应链合规责任

要求：数据持有者对第三方（如云服务商、零部件厂商）的合规负连带责任。
案例：小米因第三方云服务商未在欧盟注册，被罚180万欧元。
建议：开展第三方合规尽职调查，签订DPA，每半年进行合规审计。

（七）综合应对建议

1. 建立全流程合规体系：覆盖数据收集、存储、使用、共享到销毁各环节；
2. 加强跨部门协作：法律、隐私、IT、产品、业务部门协同推进；
3. 定期合规培训：防范“默认同意”“本地化误解”等常见错误；
4. 使用合规工具：如OneTrust（数据分类）、Steelbridge（数据共享平台），降低合规成本。

注：本文内容基于欧盟《数据法案》（Regulation (EU) 2023/2854）及欧盟委员会2025年2月发布的《常见问题解答》（FAQs）。