合规 · EU Data Act

欧盟《数据法案》:你产生的数据归谁所有

自2025年9月12日起,欧盟2024/2854号条例重新定义了联网产品数据的访问方式,并让更换云服务商变得更容易。以下是这对中小企业究竟意味着什么,不讲法律术语。

34 个答案

什么是欧盟《数据法案》?对我的企业实际意味着什么变化?

《数据法案》(欧盟2024/2854号条例)是欧洲的一部法律,规定了谁可以访问和使用联网产品(机械设备、车辆、智能家电、物联网传感器)及其配套数字服务所产生的数据。实际上,它赋予产品使用者获取这些数据、并将其分享给自己选定的第三方的权利。

对中小企业来说,这具体意味着两件事:如果你使用联网机械或软件,你对自己产生的数据拥有更多权利;如果你是这些产品或服务的制造商/提供者,你则有了新的透明度和数据访问义务。此外,该条例还让更换云服务商变得更简单、更省钱。

GiBSeS — 先弄清楚你站在桌子的哪一边——数据使用者还是数据提供者——是我们在初步诊断中一起迈出的第一步。

《数据法案》从什么时候开始生效?我需要马上行动吗?

《数据法案》于2024年1月11日生效,但大部分义务从2025年9月12日起适用。部分期限更靠后:要求联网产品的数据默认("by default")可访问的设计义务,适用于2026年9月12日之后投放市场的产品;而更换云服务商费用的完全取消,则定在2027年1月12日之前实现。

所以,是的,大部分规定现在已经适用:现在就该检查自己的处境,而不是等到后面的期限才动手。

GiBSeS — 如果你不确定哪些期限真正与你相关,把这些日期对照你的实际情况梳理清楚,正是我们初步诊断的一部分。

《数据法案》也适用于像我这样的小企业吗?

是的,但适用方式因角色而异。该条例适用于联网产品的制造商、配套服务的提供者、这些产品的使用者(企业和消费者)、云服务提供商以及数据接收方。即使只是单纯使用联网机械或软件的小企业,也属于受保护的主体之列。

不过,当微型和小型企业本身是产品制造商或服务提供者时,享有重要的豁免:在这种情况下,许多数据共享义务并不适用。是不是中小企业很重要,但具体处境需要逐案评估。

GiBSeS — 确定你是受保护主体、义务主体,还是两者兼有,正是我们着手工作时首先要厘清的问题。

我们说的具体是哪些数据?只涉及物联网设备吗?

《数据法案》涉及使用联网产品及其配套服务所产生的数据:包括工业机械、车辆、医疗设备、智能家电、传感器,也包括管理其运行的软件和应用程序。产品在使用过程中收集、记录或传输的原始数据和预处理数据都包含在内。

而供应商通过自身复杂分析和投入所得出的信息(即所谓"衍生"或"推断"数据)则不在此列,不受共享义务约束。

GiBSeS — 区分可共享的原始数据与经过加工、受保护的数据,是我们协助你完成的技术评估之一。

我能获取自己的机械设备产生的数据吗?

可以。如果你使用某个联网产品或配套服务,你有权以简便、安全、免费的方式获取因使用而产生的数据,在技术可行的情况下还可以直接、持续地获取。如果无法直接从设备上获取数据,数据持有人(通常是制造商或提供者)必须在没有不合理延误的情况下向你提供。

这打破了一个普遍的做法:过去,你自己机械设备产生的数据往往被封闭在制造商的系统里。

GiBSeS — 重新掌握自己设备产生的数据,正是我们与中小企业共同探讨的"数据主权"这一核心议题。

我能让第三方服务商(比如一家独立维修厂)拿到我的数据吗?

可以,这是最具体的新变化之一。应你的要求,数据持有人必须将数据共享给你自己选定的第三方——独立维修服务商、其他服务提供商,或方案开发商。这样一来,你就可以自主选择由谁来维护或优化设备,而不必被制造商绑定。

第三方只能按照与你约定的目的使用这些数据,未经你同意不得再转交给其他人。被《数字市场法案》(DMA) 指定的大型"看门人"平台不适用这一机制。

GiBSeS — 利用这项权利在售后服务市场引入竞争,是一个反锁定的有力杠杆,我们帮助你把它真正落地。

我生产联网设备或机械:我需要做些什么?

作为制造商,你有几项关键义务。销售之前,你必须清楚告知买方产品会产生哪些数据、如何访问这些数据,以及数据可以与谁共享。你必须让使用者能够访问数据,并应其要求向其指定的第三方开放访问。对于2026年9月12日之后投放市场的产品,还适用"设计阶段即嵌入、默认开启"的数据可访问性要求。

你可以采取适当措施保护自己的商业秘密,但不能以此为借口,一概拒绝数据访问。

GiBSeS — 从《数据法案》的角度审查销售合同、技术文档和产品架构,是我们从头到尾为你提供支持的工作。

我是联网产品的使用者:对我来说有什么变得更好?

你获得了更多的掌控力和谈判筹码。你可以访问自己产品的使用数据,把数据带走,并交给第三方服务商用于维护、分析或开发新服务。这减少了对单一制造商的依赖,让你能够在开放市场上比较各家的服务报价。

具体来说,你可以利用以前无法获取的数据创造价值:能效、损耗情况、故障预测、流程优化。

GiBSeS — 把这些权利转化为实实在在的省钱和更好的决策,才是我们最关心的实际部分。

《数据法案》和GDPR是什么关系?会取代GDPR吗?

不会。《数据法案》既不取代也不削弱GDPR:两者并行适用。GDPR继续管辖所有个人数据;《数据法案》则增加了关于数据访问和可携带性的权利,但一旦发生冲突,个人数据保护优先。当产品产生的数据中包含个人信息时,仍然需要有效的法律依据,并遵守GDPR的各项原则。

实际上,很多物联网数据集是混合的(个人数据与非个人数据交织在一起):处理时需要同时兼顾这两部法规。

GiBSeS — 在不违反任何一部法规的前提下厘清个人数据与非个人数据的交织关系,是我们经常帮助企业解开的一个典型难题。

供应商能对我强加数据使用方面的苛刻条款吗?

《数据法案》引入了针对数据访问和使用相关不公平合同条款的保护,适用于一家企业单方面强加给另一家企业的情形。被认定为不公平的条款不具约束力:例如明显不公平地排除或限制违约救济的条款,或赋予强加方单方面判定所提供数据是否合规的权力的条款。

这项保护主要是为了在对方拥有较强议价能力时,重新平衡双方的关系。

GiBSeS — 逐条排查数据合同中已不再具有约束力的条款,是一项耗时不长、却常常能发现问题的检查。

针对微型和小型企业,有专门的保护或豁免吗?

有。微型和小型企业享有重要的减负待遇:当它们本身是联网产品的制造商或配套服务的提供者时,条例第二章规定的数据共享义务通常不适用。这样可以避免让规模较小的企业承担与跨国公司同样的负担。

但要注意:如果这家微型或小型企业与某家更大的企业存在关联或合作关系,豁免可能会失效。中小企业的资格认定需要按照欧盟标准(员工人数、营业额、股权结构)来核实。

GiBSeS — 精确核实你是否符合豁免条件——以及你的股权结构是否会让豁免失效——是一项值得在投入合规改造之前先做的检查。

《数据法案》真的能帮我更换云服务商吗?

能,这正是该条例的核心目标之一。条例要求数据处理服务(云和边缘计算)提供商消除更换服务商在技术、合同和商业层面的障碍。他们必须保证有明确期限的迁移流程,协助客户将数据和应用迁移到另一家提供商或本地部署(on-premise)基础设施,并且不得施加不成比例的限制。

这正是为了减少让企业被困在单一平台上的供应商锁定(lock-in)。

GiBSeS — 云端锁定是我们最先评估的风险之一:《数据法案》终于为你提供了摆脱它的切实工具。

退出云服务的费用真的会被取消吗?

是的。《数据法案》规定更换服务商费用(switching charges)逐步降低,并在2027年1月12日之前完全取消。在过渡期内,服务商只能收取与实际迁移支出相关的有限费用,而不能收取惩罚性费用。服务的正常使用费用则依旧可以照常收取。

这消除了阻碍更换服务商的最大经济壁垒之一,与技术壁垒一并被拆除。

GiBSeS — 现在就量化你真实的退出成本——以及它到2027年会如何下降——这个计算会改变你与供应商谈判的筹码。

《数据法案》对系统互操作性有什么规定?

该条例规定了互操作性要求,以便利数据交换和服务间的切换。云服务提供商必须提供开放接口和足够的信息,使数据能够被转移并在别处重新使用。条例还对欧洲通用数据空间做出了规定,并为统一标准留出了空间。

目标是让数据不再被"困"在某种专有格式或专有平台里。

GiBSeS — 设计或选择真正具有互操作性、而不只是"号称"具有互操作性的系统,是一项独立的技术评估,我们可以在这方面帮到你。

如果必须共享数据,我的商业秘密会有风险吗?

《数据法案》力求平衡:共享义务并不会取消对商业秘密的保护。作为数据持有人,你可以指明哪些数据受商业秘密保护,并与使用者或第三方约定适当的保密措施(协议、技术手段、使用条件)。在例外情况下,如果尽管采取了这些措施,仍存在严重且可证明的损害风险,共享可以暂停或拒绝。

但你不能把商业秘密当作一概拒绝访问的通用借口:拒绝必须说明理由并予以通知。

GiBSeS — 设立真正站得住脚的技术诀窍(know-how)保护措施,同时不越界变成违规拒绝,是一个微妙的问题,我们会在这方面陪你一起处理。

我把数据交给的第三方,能用这些数据来跟我竞争吗?

有明确的限制。应使用者要求接收数据的第三方,只能按照与使用者约定的目的和条件使用这些数据,不得用来开发与数据来源产品相竞争的产品。未经同意,也不得将数据转交给其他人。

同样,数据持有人一方,也不能利用使用者产生的非个人数据来推断其经济状况或战略信息,从而损害使用者的商业地位。

GiBSeS — 把这些禁止性规定真正落实到共享协议的条文里,是我们在合同工作中负责跟进的部分。

我必须免费共享数据,还是可以要求补偿?

对产品使用者而言,访问自己的数据是免费的。而当数据被提供给第三方企业时,数据持有人可以要求合理、非歧视性的补偿,其依据是提供数据所产生的实际成本。如果接收方是中小企业或研究机构,补偿金额不得超过这些成本,不能附加额外利润。

无论如何,经济条件都必须公平、透明,不能被用作变相阻碍访问的手段。

GiBSeS — 确定一个站得住脚的补偿标准——既不是白送,也不会把人挡在门外——是一项量身定制的经济与合同评估。

《数据法案》的处罚是什么,由谁来监督执行?

《数据法案》并未在欧盟层面统一规定罚款金额:具体处罚由各成员国自行制定,但必须做到有效、相称且具有威慑力。每个国家指定一个或多个负责监管的国家主管机关;涉及个人数据的部分,仍由数据保护机构负责(意大利是Garante数据保护局)。

因此,具体金额和程序取决于各国的实施规定:针对你的具体情况,需要核实相关主管国家是如何转化落实该条例的。

GiBSeS — 弄清楚在你所在的国家,是哪个机构在监管你、会有什么样的处罚,这一点厘清清楚可以避免不愉快的意外。

具体来说,我该从哪里开始合规?

一条务实的路径可以分四步走:1)梳理你使用或提供的联网产品和服务,以及它们产生的数据;2)确定你的角色(使用者、数据持有人、制造商、云服务商)以及由此产生的义务或权利;3)审查合同——销售合同、服务合同、云合同——找出已不再具有约束力的条款,或需要重新协商的退出费用;4)在个人数据和商业秘密方面统一调整相应措施。

不需要把一切推倒重来:需要的是弄清楚你在哪里存在风险,而在哪里条例反而给了你有利的筹码。

GiBSeS — 这四步梳理,正是我们与中小企业合作时所做的初步诊断。

我已经签署的B2B合同需要重新签订吗?

不一定全部都要重签,但都需要重新审阅。针对不公平条款和数据访问的新保护规定,也会影响正在履行中的合同关系,其中一些条款可能已不再具有约束力。对于已经存在的无固定期限或长期合同,条例设有过渡期,但方向很明确:数据相关条件必须做出调整。

现在正是对涉及数据、云服务和联网服务的合同进行有针对性审查的好时机,不必等到发生争议。

GiBSeS — 针对《数据法案》所涉及要点进行的合同审查,是一项耗时不长、却能带来实际回报的工作。

《数据法案》《数据治理法案》和GDPR之间有什么区别?

这是欧盟数据战略中相辅相成的三个部分。GDPR保护个人数据。《数据治理法案》(欧盟2022/868号条例)为自愿、可信的数据共享(数据中介机构、数据利他主义、公共数据再利用)建立了规则和架构。《数据法案》则确定谁有权访问和使用联网产品产生的数据,并规范云服务转换和合同条款。

简单来说:GDPR规定如何保护个人数据,《数据治理法案》规定如何以可信方式共享数据,《数据法案》规定谁可以获取和使用数据。

GiBSeS — 在相互重叠的法规之间理清方向,既不混淆也不做重复工作,正是一位独立顾问能够提供的价值所在。

为什么《数据法案》在战略层面很重要,而不只是合规问题?

因为它把数据的权力转移给了产生数据的一方。抛开法律义务不谈,对中小企业来说,这意味着可以重新掌握自己设备产生的数据,自由选择技术供应商和合作伙伴,打破云端锁定,降低退出成本。这正是"数据主权"的现实基础:减少对单一供应商的依赖,保持对自身信息的掌控权。

这样来看,合规就不只是一项义务,而是重新设计、优化自身技术选择的一个契机。

GiBSeS — 把《数据法案》从一项义务转变为反锁定、实现技术独立的杠杆,正是我们与你一起处理它的方式。

即使我的企业在欧盟没有总部或分支机构,《数据法案》也适用于我吗?

是的。《数据法案》(欧盟2024/2854号条例)遵循的是市场标准,而非设立标准:只要向欧盟市场投放联网产品,或向欧盟境内的使用者和客户提供配套服务及数据处理服务,就要适用该条例,无论法定注册地在哪里。总部设在美国、英国、瑞士或亚洲,并不能让你免于这些义务。

实际上,只要你的机械设备、物联网装置或云服务最终落到了某位欧洲使用者手中,你就落在了该条例的适用范围内,必须像一家欧盟企业一样履行合规。

GiBSeS — GiBSeS帮助欧盟以外的中小企业尽早弄清楚《数据法案》是否以及如何影响自己,避免它日后成为进入欧洲市场的障碍。

如果我出口到欧洲,究竟哪些属于"联网产品"和"配套服务"?

联网产品是指能够获取、生成或收集有关自身使用情况或所处环境的数据,并能通过电子通信服务、物理连接或设备接入方式传输这些数据的产品:工业机械、车辆、医疗设备、智能家电、传感器、农业设备,以及广义上的物联网设备。配套服务则是指没有它产品就无法实现一项或多项功能的数字服务(应用程序、平台、云功能),或供应商将其与产品绑定在一起提供的服务。

如果你销售的硬件会与你自己的云端或应用程序"对话",那么你几乎肯定同时落入这两个类别。

GiBSeS — GiBSeS会梳理你的产品及其数字生态系统,精确判定在欧盟市场上会触发《数据法案》的哪些义务。

为了继续在欧洲销售,我从什么时候起必须符合《数据法案》?

《数据法案》自2024年1月11日起生效,但普遍适用从2025年9月12日开始。部分条款有各自的时间安排:要求数据"设计阶段即可访问"的产品设计义务,适用于2026年9月12日之后投放市场的联网产品;而取消更换云服务商费用的规定,则从2027年1月12日起全面生效。

如果你正在为欧盟市场规划新产品发布或产品升级,这些日期在设计阶段就应该纳入考虑,而不是等到临近销售时才想起来。

GiBSeS — GiBSeS会与你一起制定一份与这些期限对齐的路线图,这样进入欧盟市场就不会因为临时抱佛脚的调整而被拖慢。

具体来说,我必须允许自己产品的欧洲用户做什么?

欧盟使用者(可以是企业也可以是消费者)有权访问其使用你的联网产品或配套服务所产生的数据,并可以将其共享给自己选定的第三方,例如另一家维护或服务提供商。作为数据持有人(data holder),你必须以简便、安全、对使用者免费的方式提供这些数据,并在技术可行的情况下做到持续、实时提供。

你不能再把产品使用数据当作自己独占的资产:部分控制权转移到了欧洲客户手中。

GiBSeS — GiBSeS帮助你重新设计合规的数据流程和合同,不会让你让渡超出法规实际要求的部分。

为了在欧盟销售,我必须重新设计自己的产品吗?

在很多情况下是的,至少是部分需要。《数据法案》引入了"设计阶段即嵌入、默认开启的数据访问"(by design and by default)原则:联网产品及其配套服务的设计和实现方式,必须让使用者能够简便、安全地(在可能的情况下)直接访问所产生的数据。这可能需要对固件、接口、API和技术文档进行修改。

该设计义务适用于2026年9月12日之后投放欧盟市场的产品,因此现在正在设计新版本的企业,还有一段调整窗口期。

GiBSeS — GiBSeS协助你的技术团队从设计之初就把数据可访问性融入产品,避免日后代价高昂的返工。

针对《数据法案》,我需要在欧洲设一个代表或联系点吗?

《数据法案》并未像GDPR第27条那样,对所有主体普遍要求指定一名欧盟代表。不过,你仍然需要在欧洲市场的合规层面做到可联系、可管理:向使用者提供清晰的信息,设立回应数据访问请求的渠道,并有能力与主管机关对接。

是否需要在欧盟设立一个联络人或实体,取决于你的销售模式(直接销售、通过进口商,还是通过分销商),需要逐案评估,同时也要结合其他确实要求设立代表的欧盟法规一并考虑。

GiBSeS — 作为独立顾问,GiBSeS帮助你搭建一套与实际需求相称的欧洲合规架构,而不会把你绑定在单一供应商或中介机构身上。

谁对合规负责:我这个境外制造商,还是欧盟的进口商或分销商?

《数据法案》把主要义务分配给"数据持有人"(data holder),即有权利或义务提供数据的主体:通常是控制产品数据的制造商或配套服务提供者,即使其身处境外。欧盟的进口商和分销商也有各自的角色,但并不会自动免除你在产品设计和数据提供方面的责任。

各方责任需要在供应链合同中明确界定:合同约定不清晰,很可能让义务(以及风险)最终仍落在你们制造商身上。

GiBSeS — GiBSeS分析你的欧盟分销链,帮助在合同中合理分配角色和责任,确保没有任何义务被遗漏。

我是一家有欧洲客户的欧盟以外云服务商:在服务商切换和互操作性方面我有哪些义务?

如果你向欧盟境内的客户提供数据处理服务(云、边缘计算等),《数据法案》要求你为客户更换服务商提供便利:消除合同、商业和技术层面的障碍,设定明确的迁移期限,保障数据和数字资产的可携带性,并满足互操作性要求。更换服务商的费用必须逐步降低,从2027年1月12日起不得再收取(基于实际成本的过渡性例外情况除外)。

即使你的基础设施位于欧盟以外,只要客户是欧洲客户,这一规定同样适用。

GiBSeS — GiBSeS协助欧盟以外的服务商调整合同、数据出口机制和可携带性架构,帮助你在欧洲云服务市场上既保持竞争力又符合合规要求。

《数据法案》是否限制把我欧洲客户的非个人数据转移到欧盟以外?

是的,一定程度上会。《数据法案》第七章特别要求数据处理服务提供商采取措施,防止对存储在欧盟境内的非个人数据进行访问和跨境转移,如果这种访问或转移会与欧盟或成员国法律相冲突。如果某个第三国的政府或机关要求提供这些数据,提供商必须在回应之前满足明确的保障条件。

对于一家总部设在美国或亚洲的企业来说,这意味着"本国"的数据访问要求,可能会与欧盟的义务产生张力:这个问题需要被认真处理,而不是被忽视。

GiBSeS — GiBSeS帮助你搭建能够同时经得起本国法律与欧盟数据规则双重约束考验的治理架构和技术措施。

当产品数据中包含个人数据时,《数据法案》和GDPR是什么关系?

《数据法案》是与GDPR并行的,而不是取代它。当联网产品产生的数据中包含个人数据时,GDPR依然完整适用:一旦发生冲突,个人数据保护法规优先,任何处理和共享行为都需要有效的法律依据。《数据法案》增加了访问和共享方面的权利,但其本身并不为处理个人数据创造新的法律依据。

对于在欧盟销售产品的企业来说,这意味着需要同时处理两个层面:访问/可携带性(《数据法案》)和处理的合法性(GDPR)。

GiBSeS — GiBSeS将《数据法案》与GDPR的合规工作整合为统一体系,确保这两部法规不会在你的产品和合同中相互冲突。

如果不合规,我实际面临什么风险:罚款,还是货物被海关扣留?

违反《数据法案》的处罚由各成员国自行制定,必须做到有效、相称且具有威慑力;如果涉及个人数据违规,还可能叠加GDPR的处罚(最高2000万欧元或全球年营业额的4%,以较高者为准)。除了罚款之外,不合规还可能导致与欧盟客户和合作伙伴之间的合同纠纷,以及市场准入方面的商业困难。

对一家欧盟以外的企业来说,主要风险并不是自动"海关扣货",而是因为产品不符合市场已经普遍期待的要求,而失去欧洲的客户、招标机会和合作伙伴关系。

GiBSeS — GiBSeS把这些风险转化为具体的优先事项,帮助你在问题演变成商业或法律纠纷之前,就守住进入欧盟市场的通道。

实际操作中,我该从哪里入手,才能合规并进入欧盟市场?

一条合理的路径可以分三步走:(1)梳理你的产品和服务,弄清楚哪些属于"联网"或"配套",以及它们产生哪些数据;(2)确定你的角色(数据持有人、云服务提供商等)以及相关的期限;(3)审查产品设计、与欧盟使用者及合作伙伴的合同,以及数据跨境转移方面的相关措施。

在此基础上,制定一份按优先级排序的整改计划,把精力集中在市场风险和处罚风险最高的地方,而不是让组织背上不必要的合规负担。

GiBSeS — 作为独立技术顾问,GiBSeS一步步引导欧盟以外的中小企业走完这条路,让进入欧洲市场的过程保持迅速,且不被绑定在单一供应商身上。

本内容仅供参考,不构成法律建议。

一起理清你的数据情况

不需要没完没了的法律咨询:只需梳理你在《数据法案》下的角色,并对合同做一次有针对性的审阅,就能弄清楚你在哪里存在风险,而条例又在哪里为你提供了对抗锁定的筹码。作为独立顾问,我们会告诉你,对你的中小企业来说什么才真正重要。

预约初步诊断