最近我们在给几家出海团队做数据合规梳理,几乎每次都会遇到同一个误判:
“欧盟《数据法案》(Data Act)是不是法务团队的事,业务先照常推进?”
短期看,这样做省事;长期看,代价很高。因为 Data Act 影响的不是合同措辞,而是产品架构、数据接口、收费模型和生态合作方式。换句话说,它不是“交材料”型合规,而是“改系统”型合规。
先把时间节点钉死(按原文日期口径)
- 2025 年 9 月 12 日:法案正式适用,数据持有者需支持用户申请访问,并在授权后向第三方提供同等质量数据。
- 2026 年 9 月 12 日:新投放欧盟市场的联网产品,在技术可行前提下应支持默认直接访问与持续可用的数据输出。
如果你的产品覆盖欧盟用户,这两个日期都不是“政策新闻”,而是产品路线图节点。
哪些企业受影响最直接
在欧盟销售或运营以下联网产品/服务的企业,都要重点评估:
- 车联网与智能汽车相关设备;
- 智能家居与消费电子设备;
- 医疗健康与可穿戴设备;
- 工业物联网与智能制造设备。
一个常见误区是:企业认为“我们只是硬件厂商,不做数据平台”。但只要你持有并控制设备生成数据,就会进入监管视野。
我们建议优先关注的七项义务
- 透明告知义务:用户能否清楚知道采集了什么数据、用于什么目的。
- 用户访问义务:是否能直接、安全、低门槛拿到数据及元数据。
- 第三方共享义务:用户授权后,能否向第三方提供同等质量数据。
- 公共机构调用义务:是否具备响应合法请求的流程。
- 合同公平义务:是否存在明显不公平条款。
- 互操作义务:是否提供可理解、可对接的数据结构信息。
- 安全防护义务:共享过程中是否保护完整性、保密性与可追溯性。
四个最容易忽视的业务风险
1. 市场风险:产品还在卖,但评分和口碑先下滑
如果用户拿不到数据、第三方接入阻力大,市场会直接把你归为“不开放”供应商。这个标签一旦形成,销售成本会持续上升。
2. 生态风险:被排除在合作网络之外
欧盟推动的是数据协同市场。如果你的接口、协议、条款长期不兼容,合作机会会自然流失。
3. 合规风险:争议频发,品牌信誉受损
即便没有立刻出现顶格处罚,持续争议也会带来审计压力、合作方观望和品牌折损。
4. 收益风险:承担成本却拿不到合理回报
很多团队只讨论“怎么免费开放”,却忽略了法案允许的合理成本补偿机制,最终变成“成本上升、收益缺位”。
我们给出的一套落地顺序(可执行)
- 先盘点数据资产:按设备、场景、接口、频率、敏感等级建立清单。
- 再做分级分类:明确“可共享/条件共享/不可共享”,保护商业秘密。
- 重写用户与第三方条款:把数据范围、权限边界、违约责任写透。
- 设计双阶段数据提供机制:先满足申请式访问,再推进直接访问能力。
- 建立收费与结算模型:在合规框架下保证可持续收益。
我们的经验是:合规项目如果只放在法务端,90% 会拖慢;放到“法务 + 产品 + 架构 + 运维”联合推进,才有机会按期落地。
一句不那么讨喜但很实用的判断
Data Act 不会等待企业准备好才生效。它更像一次行业筛选:谁先把数据能力做成产品能力,谁就能在下一轮竞争里拿到主动权。