现在言归正传,相信大家对GDPR并不陌生,史上最严格数据保护法规之一,以其高额罚款和严格的要求而闻名,其根本目标是保护个人隐私权,同时促进数据在欧盟内部的自由流动。今天我们来讲一讲去年全面生效的欧盟另一个数据合规有关的《数据法案》,不同于以往的车辆框架法规((EU) 2018/858),它属于横向立法,不会修改现有的数据访问义务,但任何即将出台的立法都应符合其原则,同时,它适用于经济领域的所有行业和部门。《数据法案》于2024年1月11日具备法律效力,由于实际使用的延后性,提供了为期20个月的宽限期,正式于2025年9月12日起才生效。
关键时间节点
生效日期:2025年9月12日核心条款
产品设计要求:2026年9月12日之后,在欧盟提供的互联产品和相关服务的情况
云和数据处理服务切换规则:从2025年9月起适用于新合同,到2027年9月12日一些现有的长期合同情况(过渡结束)
《数据法案》发布目的在于赋予用户(包括消费者和企业)权力,让他们更好地控制汽车、智能电视和工业机械等连接设备生成的数据。这个看似离我们遥远,但实则已悄然重塑汽车行业的游戏规则——从智能网联车辆的实时数据共享,到车企与第三方服务商的合规博弈,再到全球汽车产业链的数据主权争夺,正以“域外效力”的杠杆撬动每一辆驶入欧洲市场的智能汽车的数据命脉。欧盟《数据法案》的域外效力,本质上就是一种“长臂管辖”,通过数据规则来扩大管辖范围,影响全球企业,包括汽车行业。
《数据法案》如何体现“长臂管辖”?
域外管辖权:法案适用于所有在欧盟提供产品或服务的企业,无论你是否在欧盟有商业实体,欧盟通过数据规则实现域外管辖。
汽车行业影响:智能网联汽车被明确纳入“联网产品”范畴,车企必须向用户开放车辆数据(如电池状态、传感器数据),并允许第三方访问,这直接影响了全球汽车产业链的数据治理模式,《数据法案》要求公司允许用户访问其产品生成的数据,并以公平的条件与第三方共享数据。云和其他数据处理服务提供商受制于新的服务切换义务,包括客户合同中的强制性条款。
对于汽车行业制造商,哪些产品生成的数据是需要能被访问的?
制造商必须提供对车辆运行或状态特征数据的访问。欧盟发布的《车辆数据指南》定义了必须共享的两个类别:
1. 原始数据示例:
传感器信号:车轮速度、胎压、制动力
位置信号:车窗、油门、方向盘角度
发动机指标:转速、氧气传感器读数、质量气流
来自相机和激光雷达的原始图像/点云数据
CAN总线消息
手动命令结果:雨刷开/关,空调使用;组件状态:车门锁定/解锁,手动制动器接合
2. 预处理数据示例:
温度测量(机油、冷却剂、发动机、电池、室外空气)
车辆速度和加速度
液位(燃料、机油、制动液、挡风玻璃雨刷液)
基于全球导航卫星系统的位置数据
里程表读数
燃料/能源消耗率
电池电量
正常轮胎压力
刹车片磨损百分比
到下一次保养的时间或距离
系统状态指示器(发动机运行、电池充电状态)以及故障代码和警告指示器
总之,欧盟《数据法案》的底线是:如果数据描述了车辆传感器或系统捕获的现实世界事件或条件,它就在此类数据范围内,即使规范化、重新格式化、过滤、校准或以其他方式精炼使用。《车辆数据指南》澄清了基本数学运算并不免除数据共享要求。从燃料流量和车辆速度中计算当前的燃料消耗量仍然会产生必须访问的范围内数据。
如需获取欧盟发布的《车辆数据指南》,关注「亚锐技术」公众号,后台回复「车辆数据指南」即可领取,助您合规出海。
合规挑战
企业需指定欧盟法定代表、重构数据接口,并制定数据共享协议。我们预估,欧盟《数据法案》可能会引发重大诉讼,包括集体诉讼和监管调查,特别是围绕新用户对数据的权利。需要注意⚠这欧盟《数据法案》同GDPR一样,可不只是一个纸面70多页的文本这么简单,如果你不合规,请期待:
Ø 沉重的财务后果(可能面临高额罚款)
Ø 严重的商业风险和声誉损害
Ø 贯穿整个欧盟市场的潜在法律风险
Ø 合规的竞争对手获得市场准入,优胜劣汰
违反欧盟《数据法案》可以罚款多少?
目前,处罚因成员国而异。荷兰允许最高103万欧元或欧盟全年营业额的10%的罚款(以较高者为准)。法国允许重复违规,最多5%的全球营业额。德国允许高达500万欧元,占全球营业额的4%。需要注意的是,如果涉及同步触发个人数据,GDPR罚款(最高2000万欧元或全球营业额的4%)。
为什么没有像GDPR那样统一的欧盟
范围内的处罚上限?
《数据法案》第40条将处罚规定委托给成员国,只要求处罚“有效、相称和具有威慑力”。这与GDPR的集中上限(2000万欧元或4%)不同。其中一些超出了GDPR的水平。
根据《数据法案》和《通用数据
保护条例,GDPR》,我会被双重处罚吗?
是的。如果违反《数据法案》涉及个人数据,除了《数据法案》处罚外,数据保护机构还可以处以GDPR罚款。这会一定程度造成了累积暴露——企业很可能会因相同的潜在违规行为而面临双重处罚。
谁执行欧盟《数据法案》?
每个成员国指定一个或多个主管当局。德国指定了联邦网络局(Bundesnetzagentur)。法国使用SREN法律框架指定电信与数字监管局(ARCEP)为主管机构。与GDPR的协调监督机构和EDPB(欧洲数据保护委员会)不同,这是分散的执法。
哪些因素决定了罚款金额?
第40条要求监管机构考虑:侵权的性质、严重性、规模和持续时间;为减轻或补救损害而采取的行动;以前的侵权行为;以及侵权方的年营业额。表现出诚信的合规努力可以减轻处罚。
现在有企业被《数据法案》罚了吗?
《数据法案》于2025年9月12日生效,因此目前还没有执行记录(截至2026年1月)。相比之下,自2018年5月以来,GDPR已发出2800多项罚款,总额超过62亿欧元。随着成员国完成其框架,数据法案的执行预计将在2026年增加,大家拭目以待吧。
作为企业该如何减少惩罚?
展示诚信合规:实施数据访问基础设施,记录合规工作,及时响应数据访问请求,维护审计日志,并在投诉触发调查之前自行解决问题。监管机构在设定罚款金额时考虑采取的缓解行动。
在此,亚锐建议出海欧盟相关企业,改变意识从被动应对到主动驾驭数据合规问题,对于全球车企而言,数据合规不再是选择题,而是生存题。
合规即战略:将合规视为提升数据治理和市场信任的机会,而非单纯成本。
分步实施与优先级:
立即行动:进行数据映射,明确受法案影响的数据类型和流程。
中期规划:更新合同条款,确保供应商和合作伙伴合规;评估并升级技术基础设施。
长期融入:将数据合规纳入企业文化和日常运营。
寻求专业支持:利用欧盟官方指南、合规工具包,并咨询专业法律和数据保护顾问。
关注行业动态:参与行业协会,了解同行最佳实践,共同应对挑战。
亚锐合规建议
立即行动:开展内部培训,让团队理解数据合规具体要求。
评估影响:进行合规差距分析,识别关键风险点。
制定路线图:规划短期(1年内)和长期(1-3年)的合规步骤。
保持沟通:强烈建议与专业的数据保护官、法律顾问或欧盟合规专家合作开放对话,及时获取指导。
欢迎您扫描二维码,
免费获取亚锐数据合规诊断初评估。
合规虽难,但停滞不前风险更大。
将挑战转化为机遇,
你的数据就能成为驱动创新的资产。
END
文章来源丨亚锐技术
图文编辑丨亚锐技术
↓↓↓
ARC Technology
关于亚锐技术
专注于汽车、发动机、工程机械行业,为您的全球化发展提供认证、测试、法规、培训等综合性技术服务。
实验室面积超过10,000㎡,满足 ISO17025 要求,同时获得中国 CMA、CNAS,美国A2LA、IAS 认可,为您的产品在研发阶段提供验证服务。
俄罗斯联邦技术规范与计量署 RST 认可的产品认证机构,满足 ISO17065 要求,获权签署TR CU 018法规 OTTC 证书。
瑞典交通部 E5、捷克交通部 E8、爱尔兰交通部 E24认可,满足 ISO17020,ISO17025 要求,签署欧盟WVTA证书。
认证服务覆盖全球主要的经济体,拥有超过 300 名专业技术人员为您提供全球的本土化解决方案。
总部位于中国杭州,在全球超过 10 个国家拥有超过 30 个办公室,助力您的产品全球化可持续发展。
