欧盟《数据法案》已于2025年9月12日强制执行，其适用具有域外效力，只要是将联网产品投放至欧盟市场的制造商，无论企业是否设立在欧盟境内，均需遵守该法案。该法案围绕数据访问、共享、产品设计等多方面给制造商设定了严格合规要求。

一、适用范围界定

1、适用主体

该法案具有域外效力，无论企业所在地在哪，只要向欧盟市场提供互联产品、相关服务或数据处理服务的主体，均需遵守其规定。具体涵盖物联网设备制造商、云计算服务商、数据接收者等，同时也包含需要获取数据的欧盟公共部门机构。不过中小微企业可豁免部分数据共享义务。

2、适用客体

聚焦互联产品和相关服务产生的数据，既监管个人数据，也重点覆盖非个人数据，如工业设备运行数据、车辆性能数据等。其中互联产品指能采集、传输使用或环境数据的产品，像智能家电、工业机械等；相关服务则是与互联产品双向交换数据且影响其功能的数字服务，如调节智能灯具亮度的 APP。

二、核心合规内容

1、用户数据控制权强化

2026 年 9 月 12 日起，互联产品和相关服务的设计需默认向欧盟用户开放数据。用户可免费、便捷且安全地获取结构化、机器可读格式的数据，也可授权第三方共享数据，但被《数字市场法案》列为 “守门人” 的大型平台除外。B2C 场景下数据访问和共享全程免费，B2B 场景中数据持有者可收取合理费用。同时，数据持有者仅需共享原始数据和预处理数据，深度加工后的派生数据无需共享。

2、公共部门数据访问规则

紧急情况或履行法定职责时，公共机构可要求数据持有者免费提供必要数据（个人数据需匿名化）；非紧急情况时，数据持有者可要求获取与实际费用相当的补偿。且公共机构获取数据后不得重复使用，仅科学研究场景除外。

3、云服务切换与互操作性要求

数据处理服务商需消除云服务切换的各类障碍。2027 年 1 月 12 日后，切换需免费且 30 个自然日内完成，同时保障数据完整和兼容性；此前仅可收取成本费用。欧盟委员会还会推动制定云服务互操作性的统一标准，助力规范行业行为。

4、数据跨境传输限制

企业需通过技术、合同等多重措施，防止非个人数据向非欧盟或欧洲经济区成员国非法传输。仅在签署司法协助条约等特定条件下，向第三国传输数据才会被认可，且传输需控制在最小数据量范围内。

5、数据持有者权责与合同规范

数据持有者身份取决于对数据的控制权，而非硬件生产，制造商不一定是数据持有者。企业可通过合同划分供应链中的数据责任。法案还引入公平性测试，禁止不公平合同条款，并将推出示范合同条款，解决数据共享合同争议，保护中小微企业权益。

三、违规处罚与实施节点

1、处罚力度严格

违反核心义务如拒绝合规数据共享、阻碍云服务切换等，最高可被处以年度全球营业额4%或2000万欧元的罚款，各成员国还会制定细化处罚规则并备案。

2、分阶段推进实施

四、与相关法规的协同及实际影响

1、法规协同互补

该法案与 GDPR 形成互补，若二者在个人数据相关规定上冲突，优先适用 GDPR 及成员国现有个人数据保护法律。同时它补充了《数据治理法案》的不足，前者明确数据访问与共享的刚性规则，后者规范自愿数据共享流程，共同推动欧盟单一数据市场建设。

2、对行业的影响

对智能汽车、智能家居等物联网行业，云计算行业影响最为深远。一方面，制造商需重构产品数据接口和权限管理系统，云服务商要升级技术以满足切换要求，合规成本增加；另一方面，数据流通的规范化也为维修、增值服务等行业创造了公平竞争环境，打破了部分企业的数据垄断。

3、对出海企业的挑战

我国物联网、云计算等领域的出海企业，需提前审查产品设计和合同框架，明确数据权责划分，搭建数据访问和共享的响应机制。同时要兼顾 GDPR 等法规要求，避免因合规疏漏面临处罚，保障在欧盟市场的正常经营。

4、亚马逊针对数据法的要求

欧盟《数据法案》于 2025 年 9 月 12 日全面生效，11 月 27 日亚马逊发布通知启动大规模合规核查，针对所有能生成、获取并传输数据的联网设备卖家，核心要求是提交含八大要素的多语言 PDF 格式数据透明声明。若商品不符合欧盟《数据法案》要求，亚马逊会将商品停售并移出亚马逊发票计划；若被市场监察到违反法案，卖家最高可能被处以 2000 万欧元或全球年营业额 4% 的罚款。

具体内容如下：

BACL网络安全检测认证能力：

通用标准（CC）

即ISO/IEC 15408，是国际公认的网络安全认证中的高级别标准，旨在确保信息系统、产品与服务的安全性能达到国际认可的水平。BACL作为具备CC 评估授权的单位，已拥有超过10 年的丰富经验。

物联网安全标准（loT）

• EN 18031/EN 301 549

• ETSI/EN 303 645

• IECEE CB 发证资质

• PSTI 英国网络安全法案资质

• NIST 美国网络安全评估资质

• ISO 27001/27701/GDPR

BACL网络安全服务优势

• 研发阶段的网络信息安全咨询与评估

• 英国PSTI 法案咨询与评估

• CE RED 指令网络安全咨询与评估

• 美国加州SB-327 咨询与评估

• 美国FCC 自愿性网络安全认证咨询与评估

• 巴西、新加坡及全球其他国家地区网络安全咨询与评估