欧盟《数据法案》作为数据治理领域的重要法规,明确了多元适用对象,同时对企业合规提出明确要求,违规代价高昂。其适用对象涵盖三类:一是欧盟境内的互联产品制造商、服务提供商及数据接收者;二是向欧盟提供数据的数据持有者、索要数据的公共部门,以及向欧盟客户提供数据处理服务的供应商(不受经营场所限制);三是数据空间中使用或部署智能合约的相关主体。
对出海欧盟的中国卖家而言,合规核心是明确角色、梳理流程、搭建体系。需先盘点数据资产,界定自身“数据持有者”“处理者”等角色;在官网及隐私政策中,用通俗语言披露数据类型、存储及访问方式;提供免费可及的机器可读数据接口,优化用户访问体验;规范第三方数据共享,签订保护协议并遵守GDPR。需注意,公共部门数据请求的依据是《数据法案》第6-7条,而非GDPR第15条。
企业通用合规需分四步推进。基础准备要靠合同与技术评估划清责任,分级分类盘点数据;产品端需按“数据获取即设计”改造接口,2026年9月前完成新产品合规;组建跨部门专项团队,开展全员培训,DPO仅需特定场景配备,无需强制全员任命;同时跟踪法规更新,定期开展合规审计。
该法案不影响GDPR执行,违规处罚严厉。违反第二、三、五章义务(如数据共享要求),最高可处2000万欧元或上一财年全球营业额4%的罚款(取高者);违反第五章义务,欧洲数据保护监督员可处每项侵权5万欧元、年累计50万欧元罚款。企业需主动适配,平衡合规成本与业务发展。
