【摩尔资讯】欧盟《数据法案》（EU Data Act, Regulation (EU) 2023/2854）核心内容解析

欧盟于2024年1月11日发布的《关于公平访问和使用数据的统一规则的条例》 （Regulation on Harmonised Rules on Fair Access to and Use of Data）（即Data Act，以下简称“《数据法案》”）已生效，并将于2025年9月12日起正式实施。出海欧盟的物联网、云服务等相关产业实体将面临一系列合规义务，涵盖从底层到前端的产品及服务功能设计改造，以及内、外部法律文件的更新。此外，这些企业还需应对新增的用户数据访问、使用、共享请求以及服务切换请求。

一， 立法框架‌

欧盟《数据法案》是欧洲数据战略的核心立法，旨在打破数据垄断、促进数据流通，推动物联网（IoT）、智能制造等领域的数据共享。其核心目标包括：

提升数据经济价值，降低中小企业参与门槛；

确保数据持有者、用户及公共部门间的公平数据访问与使用规则；

保护企业免受不公平合同条款约束，增强欧盟数据主权。

‌适用范围与关键主体‌

‌适用对象‌：

欧盟境内外的互联产品（如智能设备、汽车、工业机械）制造商及服务提供商；

数据处理服务提供商（如云计算、虚拟助理）；

向欧盟公共部门提供数据的企业。

‌域外效力‌：即使企业位于欧盟外，只要向欧盟市场提供相关服务，均需遵守该法案。

‌核心义务与规则‌

1，数据访问与共享权‌

‌用户权利‌：

免费访问联网产品生成的数据（如传感器数据、操作日志）；

可授权第三方共享数据（禁止用于竞争性产品开发）‌。

‌企业义务‌：

提供标准化数据接口（支持电子传输）；

禁止云服务商锁定用户数据（强制数据可迁移性）‌。

2，‌公共部门数据请求‌

自然灾害、公共卫生事件等紧急情况下，公共机构可要求企业提供必要数据（需匿名化处理）‌。

3，‌公平合同条款‌

禁止滥用市场支配地位，中小企业可豁免部分义务；

欧盟提供示范合同模板，争议可诉诸成员国认证机构。‌

‌合规挑战与处罚‌

‌合规重点‌：

需改造产品设计（如数据接口标准化）；

更新合同条款以符合公平性要求；

建立数据共享响应流程‌。

‌处罚措施‌：
违反数据共享义务的企业，最高可被处以全球营业额4%或2000万欧元的罚款‌。

豁免政策‌：
小微企业（如员工<50人）通常免于额外设计义务。‌

‌实施时间与配套措施‌

2025年9月12日‌：数据访问权、共享义务生效；

‌2026年9月12日‌：联网产品设计合规要求全面实施‌

Q&A

问：《数据法案》（EU Data Act）与《通用数据保护条例》GDPR有何区别？‌

答：《通用数据保护条例》GDPR主要规范‌个人数据‌保护，而《数据法案》（EU Data Act）聚焦‌非个人数据‌（如工业设备、IoT数据）的流通规则，两者互补但适用场景不同。

问：哪些企业需要关注《数据法案》？

答：

1.位于欧盟境内外的：

欧盟市场内的互联产品（如物联网（IoT）设备）制造商和相关服务提供商；

向欧盟境内的数据接收者提供数据的数据持有者（不包括互联产品或相关服务的用户）；

欧洲共同数据空间的参与者和使用智能合约的应用程序的供应商。

2.欧盟境内的数据接收者；

3.欧洲共同数据空间的参与者和使用智能合约的应用程序的供应商。

问：中国哪些企业将受到欧盟《数据法案》的影响？

涉及设备智能化、数字化行业的企业，如智能穿戴设备等消费设备、智能网联汽车、联网工业机械设备、联网电力能源管理设备、智能家电等一系列物联网终端设备硬件及软件的制造商、提供商；

涉及提供数据处理服务业务的企业，如提供虚拟助理等非电子通信类服务的互联产品数字服务提供商，提供数据存储、分析等云计算资源的数据处理服务提供商，为欧盟客户部署智能合约的供应商等；

为涉及欧盟市场的前述行业、业务提供相关产品、服务的上下游企业，也需配合履行相关义务。

问：《数据法案》监管聚焦什么类型的数据？

答：《数据法案》同时适用于非个人数据和个人数据，并重点聚焦于产品数据（product data）及相关服务数据（related service data），包括元数据（metadata）与便捷可得数据（readily available data）。

问：云服务商需满足哪些互操作性要求？‌

答：必须支持用户无缝切换服务商，提供数据迁移工具（如AWS/Azure/GCP的API兼容性）。‌

问：公共部门数据请求的响应时限？‌

答：紧急情况下需在‌72小时内‌提供数据，非紧急请求需在合理期限内响应。

问：《数据法案》如何确保商业秘密和知识产权泄漏损失？

答：《数据法案》尊重相关主体对商业秘密、知识产权、个人数据等特殊数据类型享有的权益，允许数据持有者在共享商业秘密将带来严重且无法弥补的经济损失并报告主管机构的情况下，拒绝用户访问及共享商业秘密（《数据法案》第4（8）、5（11）条）。

问：用户有哪些数据权利？‌

答：‌免费访问权‌：用户可获取联网产品生成的数据（如传感器数据）；

‌共享权‌：可授权第三方使用数据，但禁止用于竞争性产品开发‌

问：企业的主要义务是什么？‌

答：提供标准化数据接口，确保数据可迁移性（如云服务商禁止数据锁定）；

公共紧急情况下需免费提供必要数据（需匿名化处理）。

问：企业如何证明数据共享合规？‌

答：需保留数据访问授权记录（如用户同意书）、数据接口技术文档，并定期进行合规审计。‌

‌

问：数据共享是否需支付费用？‌

答：用户访问自身数据免费，但企业间共享数据可协商合理费用（需符合FRAND原则：公平、合理、非歧视）。‌

问：中小企业如何降低合规成本？

答：‌

• 小微企业（员工<50人）通常免于额外设计义务，中型企业特定条件下豁免。
• 应对反倾销调查时，需保留完整原产地证明及成本核算记录，避免被征收惩罚性关税‌。
• 利用新加坡等自贸港的税务优势重构供应链架构，降低合规成本（如新加坡17%企业所得税率）。‌‌

‌

问：违反《数据法案》会带来什么后果？

答：数据处理者违反《数据法案》，将可能被处以数据处理者上一年度全球营业额的4%或两千万欧元的行政罚款（《数据法案》第40（4）条）。此外，根据《数据法案》第40条的安排，各成员国也将制定具体处罚规则。

欧盟《数据法案》的实施意味着，从事智能汽车、智能家居、工业设备等业务的企业，如需进入欧盟市场，必须提前应对一整套更为严苛的数据共享与合规机制。

摩尔实验室可为相关企业提供的服务包括：

1，提供法规总结和培训；

2，协助客户建立符合法规的产品和数据体系；

3，对客户产品进行测试评估是否符合法案要求。