IT/AV终端检测认证事业部

2025年9⽉12⽇，欧盟《数据法案》（Data Act）正式实施，这是继GDPR之后欧盟在数据治理领域的⼜⼀重磅⽴法。该法案的核⼼在于赋予⽤⼾对其使⽤联⽹产品产⽣的数据享有访问、控制和共享权，同时要求企业必须对数据进⾏清晰分类和透明披露。亚⻢逊等电商平台已明确表⽰，未合规商品将⾯临下架⻛险。

1. 个⼈数据（Personal Data）

定义：能够直接或间接识别特定⾃然⼈⾝份的任何信息。根据GDPR第4条，个⼈数据是指与已识别或可识别的⾃然⼈有关的任何信息，可识别的⾃然⼈是指可以通过姓名、⾝份证号、位置数据、在线标识符等直接或间接识别出来的个⼈。

典型⽰例：

⾝份信息：姓名、⾝份证号、护照号、驾驶证号、社保卡号等

联系⽅式：⼿机号、电⼦邮箱、住址、收货地址

⽣物识别信息：⼈脸、指纹、声纹、虹膜、基因等⽣物特征

⾦融信息：银⾏卡号、⽀付账号、交易记录、信⽤信息

位置信息：精确地理位置、⾏踪轨迹、住宿信息

健康信息：病症、医疗记录、⽤药记录、体检报告

⽹络⾏为：设备ID、IP地址、浏览记录、搜索记录、Cookie

通信信息：通话记录、短信内容、即时通信记录

关键特征：这些信息单独使⽤或与其他信息结合后，能够指向具体的⾃然⼈。例如，设备ID本⾝可能⽆法识别个⼈，但若与账⼾信息结合，就能识别到特定⽤⼾。

2. ⾮个⼈数据（Non-Personal Data）

定义：⽆法识别特定⾃然⼈的数据，主要包括两类：⼀是原本就与⾃然⼈⽆关的信息；⼆是经过匿名化处理、⽆法通过还原或与其他信息匹配识别⾃然⼈的数据。

典型⽰例：

设备运⾏数据：机器温度、运⾏时间、能耗、固件版本、诊断⽇志

环境数据：温度、湿度、⽓压、空⽓质量、光照强度

产品状态数据：设备性能参数、使⽤频率、故障代码

统计信息：产品销量、⽤⼾使⽤时⻓、功能调⽤次数

⼯业数据：⼯业设备运⾏参数、⽣产数据、物流信息

农业数据：农⽥温湿度、作物⽣⻓数据、农药使⽤记录

关键特征：这些数据不包含任何可识别个⼈⾝份的信息，或者经过技术处理后已⽆法识别到具体个⼈。例如，空调的运转信息、⼯业机械的运⾏参数等。

在实际业务中，数据往往是混合的，既包含个⼈数据也包含⾮个⼈数据。法案对此有明确规定：

可分离情况：如果数据库中的个⼈数据和⾮个⼈数据可以独⽴分离，则分别适⽤GDPR和《数据法案》。例如，设备运⾏⽇志中既包含设备参数（⾮个⼈数据），也包含⽤⼾操作时间（可能关联到个⼈），如果技术上可以实现分离，则应分别处理。

不可分离情况：如果两类信息技术上⽆法分离，或分离成本极⾼，或⼀旦分离将严重损害数据的整体价值，则统⼀适⽤GDPR。这意味着即使个⼈数据在数据库中仅占较⼩⽐例，整个数据集也将按个⼈数据标准进⾏保护。

1. 数据性质全披露

制造商必须在产品上市前，以清晰易懂的⽅式向⽤⼾披露以下信息：

数据类型：明确区分个⼈数据和⾮个⼈数据，并详细列明具体数据项

数据格式：JSON、XML、CSV等机器可读格式

预估数据量：分场景标注⽤⼾主动交互、设备待机、关闭状态下⽣成的数据量

存储位置：设备本地、欧盟境内服务器、第三⽅云服务商

保留期限：数据最⼩化原则，如⽤⼾注销后30天⾃动删除

2. ⽤⼾访问权

⽤⼾有权免费、实时、直接访问其设备产⽣的数据，包括：

访问：⽀持设备端直接访问、API接⼝调⽤、⻔⼾⽹站查询

检索：可按时间段导出结构化数据

清除：提供⼀键删除功能，后端7天内不可逆销毁

3. 数据共享义务

⽤⼾可授权第三⽅（如维修商、保险公司）访问数据，制造商必须在收到请求后7个⼯作⽇内提供，且不得收取⾼于"成本价"的费⽤。但第三⽅不得利⽤数据开发竞争性产品。

4. 商业秘密保护

制造商可主张商业秘密保护，但需在7个⼯作⽇内书⾯说明信息性质、保密措施、预期损害。只有在证明披露将"极⼤可能严重损害"其合法利益时，才能拒绝或仅提供部分数据。

亚⻢逊已明确要求所有联⽹设备商品必须提供包含⼋⼤要素的数据透明声明PDF⽂件：

⼋⼤核⼼要素：

1. 数据性质全披露（个⼈/⾮个⼈数据分类）

2. 预计数据量量化说明

3. 数据格式与实时性

4. 存储位置与保留时⻓

5. ⽤⼾访问/检索/清除数据"三步骤"

6. 使⽤条款链接

7. 服务质量承诺（API稳定性、数据延迟）

8. 多语⾔覆盖（销售⽬的国官⽅语⾔）

不合规后果：

商品⽴即停售，库存积压海外仓

移出发票计划（IBA），失去70万企业买家触达机会

影响⿊五⽹⼀等销售旺季业绩

1. 打破数据垄断

传统上，联⽹设备制造商通过技术⼿段锁定对数据的控制，形成"数据闭合⽣态"。法案通过赋予⽤⼾数据访问权，打破这种垄断格局，让⽤⼾成为数据价值分配的核⼼。

2. 促进数据流通

欧盟内部80%的⾮个⼈数据迄今从未被使⽤过。法案通过建⽴统⼀的数据共享规则，预计到2028年将创造2700亿欧元的额外GDP增⻓。

3. 保护⽤⼾隐私

通过明确数据分类，法案在促进数据流通的同时，确保个⼈数据得到GDPR级别的保护，⾮个⼈数据则可以在更宽松的条件下共享利⽤。

4. 增强欧盟数字主权

法案要求数据处理服务提供商必须⽀持⽤⼾在不同云服务商之间切换，禁⽌收取不合理费⽤，减少对美国科技巨头的依赖，提升欧盟本⼟云服务商的竞争⼒。

1. ⽴即⾃查

梳理所有联⽹设备产品线，识别哪些属于法案适⽤范围，评估现有产品与法案要求的差距。

2. 数据分类盘点

建⽴"数据分类矩阵"，明确哪些数据属于个⼈数据、哪些属于⾮个⼈数据，对混合数据制定分离或统⼀保护策略。

3. 准备合规材料

制作包含⼋⼤要素的多语⾔PDF透明声明，确保以销售⽬的国的官⽅语⾔提供。

4. 技术架构调整

预留数据访问接⼝/API

设计边缘计算/本地缓存机制

建⽴数据脱敏/最⼩化处理流程

实施安全加密/访问控制

5. 合同条款更新

审查现有合同，删除不公平条款，纳⼊⽤⼾数据权利、公平定价、云服务切换等法案要求。

时间节点：

2025年9⽉12⽇：法案正式实施

2026年9⽉12⽇：新上市产品必须符合"按设计默认可访问性"要求

2027年1⽉12⽇：云服务商不得收取数据迁移费⽤

作为GTG⼴测集团⽹络安全部⻔，我们拥有丰富的欧盟数据法案合规服务经验，并且在EN18031认证中，已为200+企业提供"检测+整改+认证"⼀站式服务。我们的核⼼优势包括：

1. 专业资质与技术能⼒

GTG⽹络安全实验室已获得CNAS与A2LA双资质认证。我们可以为不同客⼾产品定制化整理材料，您只需线上花费不到2个⼩时的会议，就能⾼枕⽆忧的拿到合规的符合性声明。

2. 多语⾔⽀持能⼒

我们⽀持英、德、法、意等12种欧洲语⾔PDF的语义准确性审核，避免机器翻译歧义导致合规问题。我们的团队能够确保您的合规声明⽂件在语义和语法上完全符合欧盟市场要求。

3. ⼀站式合规服务

我们提供从数据分类评估、合规差距分析、PDF⽂件编制到亚⻢逊平台提交的全流程服务。针对发现的数据安全漏洞，我们提供定制化的解决⽅案，⽽⾮千篇⼀律的AI修复建议，确保您的产品既符合法规要求，⼜具备良好的⽤⼾体验。

欧盟《数据法案》的实施，标志着数据合规已从"选择题"变为"⽣存题"。对于联⽹设备企业⽽⾔，⽴即⾏动、完成合规，不仅是为了避免下架损失，更是为了在数据经济时代抢占竞争制⾼点。