作为欧盟数字战略核心支柱,《数据法案》于2024年1月11日生效,2025年9月12日正式适用,旨在规范数据流通、激活数据经济价值,对涉欧企业提出明确合规要求。以下从核心义务、关键时限、监管设备三方面拆解要点。
法案明确三类主体义务。对B/C端用户,核心是保障数据控制权,需遵循透明性原则,披露数据处理目的、接收方等信息,基于用户同意开展数据处理与第三方共享,同时赋予用户数据访问权。对数据处理服务商,禁止设置切换壁垒,需保障云平台数据可迁移、可互操作,采取技术与法律措施防范非欧盟国家非法访问非个人数据,兼顾数据安全与流通效率。对数据接收者及政府,需应用户请求或法定义务共享数据,紧急情况、公用事业优化等场景下向政府开放数据,严禁滥用数据垄断地位。
三大时间节点决定合规节奏。2025年9月12日起,所有相关业务主体需全面落地新规;2026年9月12日后投放市场的连接产品,必须履行“默认可访问”设计义务,仅适用于新规生效后投放的产品;2027年1月12日起,云服务实现切换与数据外传零收费,企业需提前调整合作成本与流程,现有长期合同需于2027年9月12日前完成修订。
监管覆盖多类网联设备,非联网产品除外。包括智能家居、可穿戴设备、健康医疗设备、车载设备、消费电子产品及工业商业设备,涵盖智能音箱、血压计、车联网模块、智能POS机等常见设备,核心判定标准为具备联网功能且能生成、收集、传输数据。
法案通过明确权责与时限,平衡数据利用与权益保护,涉欧企业需提前对标梳理,确保合规落地。
