最近,越来越多出口欧盟的企业会遇到一个新问题:欧洲买家要求产品满足 EU Data Act(欧盟数据法案), 很多企业第一反应是:我们只是做跑步机、手表、家电、设备,为什么会涉及“数据法案”?
其实原因很简单:现在很多产品已经不是单纯的硬件,而是connected product(联网产品/连接产品), 只要产品可以联网、连接 App(Application,应用程序)、上传数据、同步云端、远程升级,或者记录用户使用情况,就可能被欧洲买家要求提供 EU Data Act(欧盟数据法案)相关说明。
一、EU Data Act 关注的不是“产品能不能用”,而是“数据归谁用”
过去,欧盟买家通常关注的是:
CE(Conformité Européenne欧盟合格评定标志);
RoHS(Restriction of Hazardous
Substances有害物质限制指令);
RED(Radio Equipment Directive无线电设备指令);
EMC(Electromagnetic Compatibility电磁兼容);
LVD(Low Voltage Directive低电压指令);
GPSR(General Product Safety
Regulation通用产品安全法规)。
这些要求主要解决产品安全、无线、电磁兼容、有害物质、消费者安全等问题。但 EU Data Act(欧盟数据法案)关注的是另一件事:
用户在使用联网产品过程中产生的数据,是否可以被用户知道、访问、导出,并在一定条件下分享给第三方。也就是说,买家不只是问:这个产品安全吗?还会问:
这个产品会产生哪些数据?
用户能不能拿到这些数据?
数据能不能给第三方维修商、服务商其他平台?
数据用什么格式导出?
是否收费?
哪些数据涉及商业秘密?
二、案例一:联网跑步机为什么会被要求做 EU Data Act?
例如,一台智能跑步机可以连接 App(Application,应用程序),用户每次运动后,系统会记录:
运动时间;
速度;距离;
卡路里;
坡度;
训练课程;
设备运行状态;
故障日志;
固件版本;
设备绑定记录。
这些数据一部分来自用户使用行为,一部分来自设备本身运行。如果产品卖到欧盟,欧洲买家可能会问:
跑步机到底会生成哪些数据?
数据是实时生成,还是每次运动结束后生成?
数据存在哪里?设备本地、手机 App(应用程序)、云端服务器,还是第三方平台?
用户是否可以导出自己的运动记录?
导出格式是什么?CSV(Comma-Separated Values,逗号分隔值文件)、JSON(JavaScript Object Notation,结构化数据格式),还是其他格式?
用户是否可以授权第三方健身平台、售后服务商或维修商访问数据?
第三方访问数据时,如何确认用户授权?
如果设备故障日志涉及厂家内部诊断逻辑,是否属于 trade secrets(商业秘密)?
如果提供数据需要额外技术成本,是否收费?如何收费?
所以,欧洲买家让跑步机厂家准备 EU Data Act(欧盟数据法案)文件,并不是因为跑步机变成了“医疗器械”或者“互联网平台”,而是因为它已经具备了联网、数据记录、云端同步和 App(应用程序)服务功能。
三、案例二:智能手表更容易遇到这个问题
智能手表是更典型的例子。
一只智能手表可能记录:
步数;
运动距离;
心率;
睡眠时间;
运动路线;
血氧;
卡路里;
设备电量;
固件版本;
传感器状态;
错误日志;
与手机 App(应用程序)的同步记录。
如果用户买了这只手表,欧盟的监管逻辑会认为:用户不应只是“被动贡献数据”,而应当有权知道这些数据是什么、在哪里、怎么拿到、能不能分享给第三方。比如:
用户想把运动数据同步到第三方健康管理平台;
用户想把设备日志提供给独立维修商;
用户想从旧品牌手表迁移到新品牌手表;
企业客户想把员工运动设备数据接入自己的健康管理系统;
欧洲经销商希望取得必要的售后诊断数据。
在这些场景下,厂家就需要说明:哪些数据可以提供?怎么提供?提供给谁?有没有限制?
如果企业只回答“我们重视用户隐私”或者“可以联系客服”,通常是不够的。买家需要的是更具体的Data Act Information(数据法案信息披露)和Data Access Procedure(数据访问流程)。
四、哪些产品最容易被买家问到 EU Data Act?
从实务角度看,以下产品出口欧盟时更容易遇到这个问题:
1. 智能穿戴产品
例如智能手表、运动手环、儿童定位手表、智能戒指。
这些产品通常会记录步数、心率、睡眠、位置、运动数据和设备日志。
2. 智能健身设备
例如跑步机、划船机、动感单车、力量训练设备、康复训练设备。
这些产品会记录运动过程、训练结果、设备状态和故障信息。
3. 智能家居产品
例如扫地机器人、智能门锁、智能摄像头、智能空调、智能冰箱。
这些产品会记录使用习惯、运行状态、家庭环境数据、故障日志等。
4. 带 App 的消费电子产品
例如蓝牙耳机、智能音箱、智能灯具、智能投影仪、便携式储能设备。
只要产品通过 App(应用程序)绑定、升级、控制或同步数据,就可能涉及。
5. 工业设备和实验室仪器
例如机器人、传感器、检测仪器、实验室设备、远程维护设备。
这些产品可能会生成运行参数、报警信息、维护数据、产能数据和故障诊断数据。
6. 医疗健康类设备
例如远程监测设备、康复训练设备、家用检测设备、健康管理设备。
这类产品通常同时涉及用户数据、设备数据、健康数据和云平台服务,因此更容易被买家重点关注。
五、买家通常会要求厂家补充哪些内容?
如果欧洲买家提出 EU Data Act(欧盟数据法案)要求,厂家通常不能只提供一份普通隐私政策,而需要补充以下内容。
1. 产品会产生哪些数据,例如:
用户使用数据;
设备运行数据;
故障日志;
维护数据;
连接数据;
云端同步数据;
App(应用程序)交互数据。
2. 数据产生频率,例如:
实时生成;
每次使用后生成;
每日同步;
故障发生时生成;
固件升级时生成;
用户主动操作时生成。
3. 数据存储位置,例如:
产品本地;
手机 App(应用程序);
云服务器;
欧洲服务器;
第三方服务商服务器。
4. 用户如何访问数据,例如:
通过 App(应用程序)导出;
通过网页账号下载;
通过邮箱申请;
通过售后平台申请;
通过 API(Application Programming Interface,应用程序编程接口)访问。
5. 数据格式是什么,常见格式包括:
CSV(Comma-Separated Values,逗号分隔值文件);
JSON(JavaScript Object Notation,结构化数据格式);
XML(Extensible Markup Language,可扩展标记语言);
PDF(Portable Document Format,便携式文档格式);
API(应用程序编程接口)返回格式。
对于买家来说,数据格式越清楚,越容易判断该产品是否具备可访问性和可移植性。
6. 第三方如何访问这部分很重要,厂家应说明:
用户是否可以授权第三方访问;
第三方如何提交申请;
如何验证用户授权;
授权有效期多久;
用户如何撤销授权;
第三方不得将数据用于未经授权的用途。
7. 是否收费,例如:
用户直接访问基本数据是否免费;
第三方访问是否可能产生合理技术成本;
是否涉及接口开发、数据处理、人工审核等费用;
收费规则是否透明。
8. 商业秘密如何保护,并不是所有数据都必须无条件开放。例如:
电机控制算法;
内部诊断逻辑;
训练推荐模型;
反作弊机制;
内部调试参数;
安全防护策略。
这些内容可能涉及 trade secrets(商业秘密)。企业可以设置合理限制,例如脱敏、最小化披露、保密协议、限制访问范围等。
六、中国出口企业应该怎么应对?
我们建议企业按以下步骤处理。
第一步:判断产品是否属于联网产品
先看产品是否具备以下功能:
是否连接互联网;
是否连接 App(应用程序);
是否上传数据;
是否有云平台;
是否支持远程升级;
是否记录用户行为;
是否记录设备运行日志。
如果答案是“是”,就需要关注 EU Data Act(欧盟数据法案)。
第二步:做数据盘点表
企业需要列出产品产生的所有数据,包括:
数据名称;
数据来源;
数据用途;
产生频率;
存储位置;
是否可导出;
是否可提供给第三方;
是否涉及商业秘密。
这一步非常关键。没有数据盘点,后面的声明文件很容易写得空泛。
第三步:建立用户访问机制
企业至少要说明:
用户如何申请数据;
谁负责处理;
多久响应;
以什么格式提供;
哪些数据可以提供;
哪些数据不能提供以及原因。
第四步:建立第三方访问规则
如果用户授权第三方访问数据,企业需要有基本流程和限制条件,避免数据被滥用。
第五步:准备 EU Data Act 文件包
通常建议准备:
Data Mapping Table数据盘点表
EU Data Act Information数据法案信息披露
Data Access Procedure数据访问流程
Third-party Access Terms第三方访问条款
Trade Secret Assessment商业秘密评估
七、结语
EU Data Act(欧盟数据法案)的出现,说明欧盟对产品合规的要求正在变化。过去,企业出口欧盟主要关注产品安全、无线、电磁兼容、环保和标签说明。现在,对于智能硬件和联网产品,欧洲买家还会进一步关注:
产品产生什么数据?
用户能不能拿到?
能不能授权第三方访问?
数据用什么格式提供?
是否收费?
商业秘密如何保护?
对于中国制造商来说,EU Data Act(欧盟数据法案)不是简单写一段隐私声明就能解决的问题,而是需要结合产品功能、App(应用程序)、云平台、数据类型和售后服务模式,建立一套可以向欧洲买家解释和交付的文件体系。
✅EVERBIZ 服务建议
EVERBIZ 可协助智能硬件、数码产品、医疗健康设备、工业设备和联网产品企业建立 EU Data Act(欧盟数据法案)合规文件体系,包括:产品数据盘点;
EU Data Act Information数据法案信息披露
Data Access Procedure数据访问流程
Third-party Access Terms第三方访问条款
Trade Secret Assessment商业秘密评估
欧洲买家数据合规问卷回复;
供应商数据合规培训。
如果企业已经收到欧洲客户关于 EU Data Act(欧盟数据法案)的要求,建议不要只修改隐私政策,而应尽快从产品数据盘点和访问机制入手,建立一套更完整、更容易被买家接受的合规说明
