+886-2-2647-6898
United States |  中国大陆 |  대한민국 |  Deutschland |  España |  Việtnam

國際資訊丨歐盟資料法(Data Act)已於2025年9月12日強制執行!



2025年12月


國際資訊丨歐盟資料法(Data Act)已於2025年9月12日強制執行!

2025年12月16日

歐盟《資料法》(Data Act)已於2025年9月12日正式強制執行。本法案具有域外效力,意即只要是將連網產品投放至歐盟市場的製造商,無論其企業總部是否設於歐盟境內,均須遵守本法案。法案內容涵蓋資料存取、分享、產品設計等多個面向,對製造商提出了嚴格的合規要求。

一、適用範圍界定
1. 適用主體
本法案適用範圍擴及歐盟境外。凡是向歐盟市場提供連網產品、相關服務或資料處理服務的主體,皆受其規範。具體對象包含物聯網(IoT)設備製造商、雲端運算服務商、資料接收者等,同時也包含有資料取得需求的歐盟公共部門機構。惟中小微型企業可豁免部分資料分享義務。
dataimage
2. 適用客體
法案聚焦於連網產品及其相關服務所產生的資料。監管範圍除「個人資料」外,更重點覆蓋「非個人資料」,例如工業設備運轉數據、車輛性能數據等。
  • 連網產品:能蒐集、傳輸使用數據或環境數據的產品,如智慧家電、工業機械等
  • 相關服務:與連網產品進行雙向資料交換並影響其功能的數位服務,例如調節智慧燈具亮度的APP

二、核心合規內容
1. 強化使用者資料控制權
2026年9月12日起,連網產品與相關服務的設計必須「預設」向歐盟使用者開放資料。
  • 使用者可免費、便捷且安全地取得結構化、機器可讀格式的資料
  • 使用者亦可授權第三方取得資料,但被《數位市場法》(DMA)列為「守門人」的大型平台除外
  • B2C 情境:資料存取與分享全程免費
  • B2B 情境:資料持有者可收取合理費用
  • 分享範圍:資料持有者僅需分享「原始資料」和「預處理資料」,經深度加工後的「衍生資料」則無需分享
2. 公共部門資料存取規則
  • 緊急情況(或履行法定職責時):公共機構可要求資料持有者免費提供必要資料(個人資料需去識別化/匿名化)
  • 非緊急情況:資料持有者可要求獲取與實際成本相當的補償
  • 限制:公共機構取得資料後不得重複使用,僅科學研究用途除外
3. 雲端服務轉換與互通性要求
資料處理服務商必須消除雲端服務轉換的各類障礙。
  • 2027年1月12日後,轉換服務必須完全免費,且需在 30個自然日內 完成,同時保障資料的完整性與相容性(此前僅可收取成本費用)
  • 歐盟執委會將推動制定雲端服務互通性(Interoperability)的統一標準,以規範產業行為
4. 資料跨境傳輸限制
企業需透過技術、合約等多重措施,防止「非個人資料」非法傳輸至非歐盟或歐洲經濟區(EEA)以外的國家。僅在簽署司法互助條約等特定條件下,向第三國傳輸資料才會被認可,且傳輸量需控制在最小必要範圍內。

5. 資料持有者權責與合約規範
  • 身分認定:資料持有者的身分取決於對資料的「控制權」,而非硬體生產與否,因此製造商不一定是資料持有者
  • 責任劃分:企業可透過合約劃分供應鏈中的資料責任
  • 公平性測試:法案引入公平性測試,禁止不公平的合約條款,並將推出示範合約條款(Model Clauses),以解決資料分享合約爭議並保護中小微企業權益
三、違規處罰與實施節點
1. 處罰力度嚴格
違反核心義務(如拒絕合規的資料分享、阻礙雲端服務轉換等),最高可處以全球年度營業額 4% 或 2,000 萬歐元的罰款。各成員國將制定細部處罰規則並進行備案。

2. 分階段推進實施
Dataacttimeline
四、與相關法規的協同及實際影響
1. 法規協同互補
本法案與《一般資料保護規則》(GDPR)相輔相成。若兩者在個人資料規定上有衝突,優先適用 GDPR 及成員國現有的個資保護法律。同時,本法案補充了《資料治理法》(Data Governance Act)的不足:前者明確了資料存取與分享的「強制性規則」,後者則規範「自願性」資料分享流程,共同推動歐盟單一資料市場的建構。

2. 對產業的影響
本法案對智慧車輛、智慧家庭等物聯網產業,以及雲端運算產業影響最為深遠。
  • 成本增加:製造商需重構產品資料介面(Interface)與權限管理系統;雲端服務商需升級技術以滿足轉換要求
  • 公平競爭:資料流通的規範化為維修、加值服務等產業創造了公平競爭環境,打破了部分企業的資料壟斷
3. 對跨國企業(出海企業)的挑戰
台灣及其他國家的物聯網、雲端運算領域企業若欲進軍歐盟,需提前審查產品設計與合約架構,明確劃分資料權責,並建立資料存取與分享的響應機制。同時須兼顧 GDPR 等法規要求,避免因合規疏漏面臨鉅額罰款,以保障在歐盟市場的正常營運。

4. 亞馬遜(Amazon)針對資料法的要求
隨著歐盟《資料法案》於 2025 年 9 月 12 日全面實施,亞馬遜已於 11 月 27 日發布通知啟動大規模合規查核。
  • 對象:所有能生成、取得並傳輸資料的連網設備賣家
  • 核心要求:提交包含八大要素的多語系 PDF 格式「資料透明度聲明」
  • 後果:若商品不符合歐盟《資料法案》要求,亞馬遜將停售該商品並將其移出「亞馬遜發票計畫」;若被市場監管機構查獲違反法案,賣家最高可能面臨 2,000 萬歐元或全球年營業額 4% 的罰款
具體內容如下:
Dataactamazon
相關連結:
法規 - EU - 2023/2854 - EN - EUR-Lex

資安檢測 (EU) 2023/2854

BACL網路安全檢測認證能力:
共同準則(CC)
即ISO/IEC 15408,是國際公認的網路安全認證中的高級別標準,旨在確保資訊系統、產品與服務的安全效能達到國際認可的水準。BACL作為具備 CC 評估授權的單位,已擁有超過10年的豐富經驗。

物聯網安全標準(loT)
• EN 18031/EN 301 549
• ETSI/EN 303 645
• IECEE CB 發證資質
• PSTI 英國網絡安全法案資質
• NIST 美國網絡安全評估資質
• ISO 27001/27701/GDPR

BACL 網路安全服務優勢
• 研發階段的網路資訊安全咨詢與評估
• 英國PSTI 法案咨詢與評估
• CE RED 指令網絡安全咨詢與評估
• 美國加州SB-327 咨詢與評估
• 美國FCC 自願性網絡安全認證咨詢與評估
• 巴西、新加坡及全球其他國家地區網絡安全咨詢與評估
EUcontent