来源:威科先行,作者:沈文文、彭彦雯、张志远。本文已获作者授权转载。

2025年9月12日,欧盟《数据法案》(Data Act)核心条款已正式实施,在欧盟全境范围内首次系统性的规范“联网产品”和“相关服务”的数据获取、使用与共享。根据《数据法案》第2条第5款规定,“联网产品”是指能够获取、生成或收集与其使用或所处环境相关的数据,并能够通过电子通信服务、物理连接或设备访问,将产品数据进行传输的物品,且其主要功能并非为其他主体存储、处理或传输数据。与“联网产品”相对应的是“相关服务”,根据《数据法案》第2条第6款规定,“相关服务”是指除电子通信服务外,与联网产品在功能层面具有紧密关联的数字服务(包括软件)。

在此定义框架下,智能汽车,尤其是搭载高级驾驶辅助或自动驾驶相关功能的车型,通常符合《数据法案》所称“联网产品”的构成要件,而车联网平台、远程诊断、OTA升级等服务,通常均落入相关服务的范围。

对于在欧盟销售或计划出口智能汽车的中国车企而言,这意味着,在符合法案规定的条件和范围内,车辆运行过程中产生的数据,应当向用户以及用户指定的第三方开放,且企业不得通过技术手段或合同安排设置不合理限制。

长期以来,车辆运行过程中产生的数据主要由汽车厂商掌控,《数据法案》通过确立以用户为中心的数据访问和使用规则,改变了这一格局,明确用户对车辆在使用过程中产生的数据,依法享有获取、使用并向第三方共享的权利。若违反《数据法案》相关义务,根据《通用数据保护条例》(GDPR)[1]或者部分成员国根据《数据法案》(拟)制定的处罚规则,[2]企业最高可能面临2000万欧元或全球年营业额4%的罚款。

一、《数据法案》下的车辆数据规则发生了哪些变化

(一)数据可访问权利是核心内容

《数据法案》第二章系统确立了用户及其指定第三方访问和使用车辆数据的权利。根据访问的方式,可以分为直接访问和间接访问。

数据持有人可以依据第3条第1款,在“相关且技术可行”的情况下,为用户提供直接访问;根据《数据法案》第50条的过渡性安排,该项直接访问义务,仅对2026年9月12日起投放欧盟市场的联网产品及其相关服务具有强制性要求。不过欧盟委员会也补充道,这种直接访问方式仅在“相关且技术可行”的情况下才具有强制执行力,这也赋予了车辆制造商在设计方面有一定的自由裁量权。[3]

在直接访问机制不适用的情形下,企业仍需依据第4条第1款,在用户提出请求后,便捷、安全、免费地为用户提供数据间接访问。

同时,无论采取直接还是间接方式,数据持有人均需依据《数据法案》第5条第1款,在用户请求下向其指定的第三方提供数据。

在数据范围方面,《数据法案》及欧盟委员会发布的《车辆数据指南》对用户可获取数据作出了区分[4]:

  • 原始数据和预处理数据(如传感器直接采集的数据及简单处理后的数据),属于用户可依法获取和共享的范围;
  • 通过复杂算法推断或衍生形成的数据,如高级驾驶辅助系统(ADAS)数据,但不包括(激活)状态类数据[5],以及驾驶行为评分等,则不在强制开放之列。

法案同时确立非歧视原则。向用户或第三方提供的数据,在质量、完整性和实时性方面,不得低于制造商自身使用的数据标准,也不得通过技术壁垒或不合理收费方式变相限制数据获取。

(二)禁止将数据提供给“守门人”平台

《数据法案》明确限制用户将所获取的数据提供给依据《数字市场法》(DMA)被认定为“守门人”(Gatekeepers)的大型平台企业。该规则旨在防止车辆数据在开放过程中进一步集中于少数大型平台企业,从而在数据开放的同时避免新的数据垄断。

所谓“守门人”,是指对欧盟内部市场具有显著影响[6]、提供核心平台服务并构成重要中介[7]、具有稳固且持久的市场地位[8],并经欧盟委员会依照DMA正式指定的企业。

被指定为“守门人”后,相关企业即需在规定期限内,针对其被列明的核心平台服务,全面履行DMA所规定的一系列合规义务,包括但不限于数据使用、平台行为限制及公平竞争方面的特别要求。

自DMA实施以来,欧盟委员会已正式将谷歌母公司Alphabet、亚马逊、苹果、字节跳动、Meta、微软和 Booking指定为“守门人”。目前,上述守门人企业共计有23项核心平台服务处于守门人指定状态。[9]

(三)云服务切换与数据迁移义务

除车辆数据访问规则外,《数据法案》还对云计算和边缘计算服务提出了可切换性要求。对于在车辆运行、数据存储或分析过程中依赖云服务的车企而言,相关服务应当支持用户在不同服务平台之间迁移其可导出的数据。服务合同中需明确用户在合理通知期后,有权将数据迁移至其他服务提供商或自有系统。迁移过程中,不得设置不合理的技术障碍或费用安排。根据《数据法案》的过渡安排,自2024年起,切换费用仅限于实际发生的成本;自2027年1月12日起,与数据迁移相关的切换费用原则上应予以取消。

(四)限制非欧盟政府对个人数据的非法访问

《数据法案》对向第三国政府提供数据设置了额外限制,要求采取措施防止非欧盟政府通过云服务或技术手段非法获取欧盟境内产生的个人数据。

(五)B2B数据共享的限制

在企业间数据共享和合作场景中,《数据法案》禁止通过合同条款单方面限制数据访问、使用或共享权利,或将明显不公平的风险和责任转嫁给交易相对方。此外,《数据法案》允许在企业间数据共享场景下收取合理补偿,但该补偿应以成本为基础,不得借收费之名变相限制数据访问或共享。

二、执法与处罚机制概览

欧盟关于数据领域的执法向来严厉,此前施行的GDPR、DMA已开出多张巨额罚单。《数据法案》整体延续前述方案的处罚力度,并根据违规行为是否涉及个人数据,采取了差异化的执法与处罚路径。

(一)违规行为涉及个人数据

《数据法案》并未另行设定处罚标准,而是直接适用GDPR的处罚框架。根据欧盟适用的统一规则,违规企业最高可能面临2000万欧元或企业上一财政年度全球年度总营业额4%的罚款[10],以较高者为准。

(二)违规行为不涉及个人数据

根据《数据法案》第四十条的规定,各成员国需指定主管机关,负责法案的监督和执行,并制定有效、相称且具威慑力的处罚规则。目前各国的立法进度不一,荷兰、芬兰、丹麦已通过实施法案;德国、波兰、捷克、斯洛伐克已公布实施法案草案,但尚未最终生效;意大利、西班牙、匈牙利等多个成员国仍暂无进展。[11]

国家

实施状态

执法机构

行政罚款(针对企业)

荷兰[12]

已通过实施法案,于2025年11月21日生效

消费者与市场管理局(ACM)为主管机构

企业上一年度欧盟范围内营业额的10%或103万欧元,以较高者为准

芬兰[13]

已通过实施法案,于2026年1月1日生效

交通与通信局(Traficom)为主管机构

企业上一年度欧盟范围内营业额的2% 或4%

丹麦[14]

已通过实施法案,于2025   年12月17日生效

数字化事务部(Digitaliseringsstyrelsen)为主管机构

暂未规定最高处罚金额

德国[15]

已制定实施法案草案

联邦网络管理局   (BNetzA) 为主管机构

一般违规行为,行政罚款上限为5万至50万欧元;对被认定为守门人的企业,最高可处以上一年度欧盟范围内营业额的4%或500万欧元的罚款(以较高者为准)。该罚款上限不影响依据《德国行政违法法》(OWiG)第17条第4款对违法所得的追缴。

波兰[16]

已制定实施法案草案

电子通信管理局(Prezes   UKE)为主管机构

最高为上一年度全球营业额的4%

捷克[17]

已制定实施法案草案

贸易检查局(ČOI)为主管机构

最高为上一年度全球营业额的4%

斯洛伐克[18]

已制定实施法案草案

投资、区域发展与信息化部(MIRRI)牵头执法;电子通信与邮政服务监管局(RÚ)负责数据处理服务相关违法

上一年度全球营业额4%或2000万欧元,以较高者为准 

法国

关于云服务相关事项已通过《保障和监管数字领域法》(SREN)[19]部分实施。其他版块的实施细则草案尚未出台。

电信与数字监管局(ARCEP)为主管机构

针对涉及云服务切换、数据迁移费用的违规行为,最高为上一年度全球营业额的3%;若重复违规,罚金上限可升至5%

三、车企应对《数据法案》的合规要求

随着智能网联技术的快速发展,汽车已从单纯的交通工具演变为持续生成和处理数据的移动终端。对于在欧盟市场销售或运营智能网联汽车的企业而言,无论是车辆本身,还是围绕车辆运行所提供的数字化服务,均可能在不同层面被纳入欧盟数据监管体系之中。

在《数据法案》核心条款全面适用之时,企业如仍沿用既有的数据管理安排,可能难以满足欧盟监管对数据可访问性、公平性和透明度的要求。基于此,有必要从实务角度出发,对企业在《数据法案》框架下应重点关注的合规事项进行系统梳理,并结合车辆产品和相关服务的实际运行情况,提前规划相应的应对路径。

(一)明确自身产品和服务是否落入适用范围

应结合车型配置和配套数字服务,判断是否构成《数据法案》第2条第5款定义的“联网产品”或《数据法案》第2条第6款定义的“相关服务”。例如,对于大量出口欧盟市场的纯电动、插电式混合动力车型和混合动力车型,车辆通常配备车联网模块,在使用过程中持续生成并向外部系统传输车辆运行、能耗、充电及诊断等数据,并配套提供远程车辆管理、OTA 升级等数字化服务,基本都落入到“联网产品”和“相关服务”的范围中。

(二)系统梳理并区分不同类型的数据

结合欧盟委员会《车辆数据指南》对车辆运行过程中产生的数据进行分类,明确哪些属于必须开放的原始或预处理数据,哪些属于可依法不开放的衍生数据。同时,对涉及商业秘密或安全风险的数据,提前设计保护和限制机制,以便在履行数据共享义务的同时控制风险。

(三)将数据可访问要求纳入产品设计和运营流程

根据《数据法案》第50条第3款的要求,对于2026年9月12日之后首次投放欧盟市场的联网产品及相关服务,车企应当在产品和服务设计阶段,按照第3条第1款的要求,使产品数据和相关服务数据在默认情况下可被用户以安全、免费、结构化和机器可读的方式访问(即直接访问方式)。

对存量车型或未设置直接访问机制的车型,企业应当自 2025年9月12日起建立起便捷的数据请求响应机制,确保在用户提出请求后,能够及时向用户或其指定的第三方提供数据。但仍需注意,不得向“守门人”平台提供车辆数据。

数据访问可以通过远程后台平台、车载访问,或数据中介服务等方式实现。无论采取何种技术路径,均应确保访问方式便捷、合理,不得将额外成本或技术负担转嫁给用户。例如通过车辆内部的专用OBD-II 接口向用户提供数据时,则不得要求用户自费购买专用设备或具备专业技术能力。[20]

(四)将信息披露义务前置嵌入产品销售和服务流程

根据《数据法案》第3条的规定,在车辆销售、租赁或提供基于车辆数据的相关服务前,销售方/服务提供方应当以清晰、易于理解的方式,向用户披露与车辆数据相关的关键信息,如车辆或相关服务大致会产生和使用哪些类型的数据,数据是在车端还是云端保存、保存多久,用户通过何种方式可以查看或获取这些数据等。这种披露义务在实务中往往容易被简化或合并处理,但从风险控制角度看,相关内容应当与一般隐私政策或服务条款区分开来,避免笼统授权。

(五)建立稳定的数据请求响应和第三方共享机制

企业需明确用户提出数据访问或第三方共享请求的渠道、审核流程和响应时限,确保数据以结构化、机器可读的方式提供,并与自身使用数据保持一致标准。同时,应提前准备第三方数据共享协议模板,明确用途限制和责任边界。

(六·)关注云服务切换与数据迁移义务的影响

对于在车联网平台运行和车辆数据处理过程中使用自有或第三方云服务的车企,应结合现有技术架构,评估车辆数据及相关业务数据的可导出性和可迁移性。同时,在新签或续签与云服务提供商的服务合同时,应重点关注合同中关于数据迁移支持、切换条件及费用安排的约定,避免因技术或合同限制影响后续的数据迁移安排。

附表:车辆数据类型划分示例[21]

原始数据

预处理数据

推断或衍生数据

(a)   传感器信号(例如:车轮速度;来自胎压监测系统阀门的胎压;制动压力;横摆率;车窗、油门或其他车辆部件的位置状态信号;氧传感器读数;进气质量流量;方向盘转角;发动机转速等);

(b)   直接来自摄像头和激光雷达(LiDAR)传感器的原始图像数据或点云数据;

(c)   麦克风采集的声波数据;

(d)   在应用目标检测或目标跟踪算法之前的雷达信号数据;

(e)   原始控制器局域网络(CAN)总线消息;

(f)   直接源自人工指令的数据(例如:雨刷开/关;空调使用情况),或由简单触发行为产生的数据(例如:钥匙开/关;手刹拉起/释放);

(g)   车辆部件状态(例如:车辆、车门、车窗、发动机舱盖的锁定/解锁状态)等。

(a)   在车辆内部或外部测量或计算得到的温度数据(以摄氏度 °C 表示,例如:机油、冷却液、发动机、电池单体、催化器、外部空气温度等);

(b)   车辆速度(以 km/h 或 mph 表示);

(c)   车辆加速度;

(d)   液体液位数据(以升或百分比表示,例如:燃油、机油、柴油尾气处理液、制动液、玻璃水);

(e)   流量数据(例如:燃油流量);

(f)   基于 GNSS 的数据,如(经校正的)位置信息;

(g)   里程表数值;

(h)   燃油/能源消耗数据(例如:升/100 公里、英里/加仑或 kWh/100 公里),但不包括本指引第32段意义上的预测性数据;

(i)   行程汇总数据(例如:车辆行驶的时间段;平均行驶距离);

(j)   电池电量(以电压值和百分比表示);

(k)   在参考温度下归一化的轮胎气压(以 psi、bar 或 kPa 表示);

(l)   制动片磨损情况(以百分比表示),但不包括本指引第32段意义上的预测性数据;

(m)   距离或时间维度的下次保养提示数据,但不包括本指引第32段意义上的预测性数据;

(n)   通过对原始数据处理后获得的车辆系统或部件状态或状况数据(例如:发动机状态,即运行/停止;启停系统状态:激活/未激活;电池充电状态:充电中/已完成/故障模式及其百分比,不论车辆是否插电;自动灯光/雨刷、防抱死制动系统或安全气囊的激活状态;指示车辆硬件故障的信息,如故障代码或故障指示灯);

(o)   用作进一步处理或计算参数的数据,即便该等数据源自用户行为(例如:用户设定的目标温度作为空调系统调节制热/制冷的参数;手动选择的挡位作为变速控制单元管理发动机扭矩的参数;运动模式的激活,从而使“运动模式已激活”这一参数被用于多项控制逻辑)等。

(a)   由动态路径重新规划和最优路线规划算法生成的数据;

(b)   高级驾驶辅助系统(ADAS)数据,但不包括(激活)状态类数据(例如:目标检测与分类、轨迹预测、风险评估、紧急制动、车道保持辅助、自适应巡航控制或超速预警等驾驶辅助指令);

(c)   由发动机控制算法生成的数据,该等算法用于优化燃油效率、排放和性能;

(d)   驾驶员分析系统数据,如驾驶评分或节能评分;

(e)   事故严重程度分析结果等。

[1] GDPR第83条将行政罚款分为两档:1、一般性违法情形,最高可处1,000万欧元或上一财政年度全球营业总额2%的罚款(以较高者为准);2、严重违法情形,最高可处2,000万欧元或上一财政年度全球营业总额4%的罚款(以较高者为准)。

[2] 例如,斯洛伐克在其《欧盟数据法案国家实施立法草案》(Návrh zákona k európskej dátovej regulácii)中规定,违反《数据法案》的相关行为,最高可处2,000万欧元或上一财政年度全球营业总额4%的罚款(以较高者为准)。

[3] 参见欧盟委员会《车辆数据指南》(Guidance on vehicle data, accompanying Regulation (EU) 2023/2854 (Data Act),C/2025/5026),第37段。

[4] 参见《数据法案》序言第15段(Recital 15)以及欧盟委员会《车辆数据指南》(Guidance on vehicle data, accompanying Regulation (EU) 2023/2854 (Data Act),C/2025/5026),第21—32段。

[5] 例如:目标检测与分类、轨迹预测、风险评估、紧急制动、车道保持辅助、自适应巡航控制或超速预警等驾驶辅助指令。参见欧盟委员会《车辆数据指南》(Guidance on vehicle data, accompanying Regulation (EU) 2023/2854 (Data Act),C/2025/5026),第2.3.4节。

[6] 根据DMA第3条第2款(a)项,如企业在最近三个财政年度内于欧盟实现的年度营业额均不少于 75 亿欧元,或其在最近一个财政年度的平均市值或等值公平市场价值不少于750亿欧元,且在至少三个欧盟成员国提供同一核心平台服务的,推定其对欧盟内部市场具有显著影响。

[7] 根据DMA第3条第2款(b)项,如企业提供的某项核心平台服务在最近一个财政年度内,于欧盟境内拥有至少4,500万名月活跃终端用户以及至少10,000名年度活跃企业用户(按照法案附件规定的方法和指标进行识别和计算),则推定其所提供的该核心平台服务构成企业用户触达终端用户的重要中介。

[8] 根据DMA第3条第2款(c)项,如企业在最近三个财政年度内持续满足第3条第2款(b)项所规定的用户规模阈值,则推定其在相关核心平台服务中的市场地位已具有稳固性和持久性。

[9] 欧盟委员会,Digital Markets Act (DMA) – Gatekeepers,https://digital-markets-act.ec.europa.eu/gatekeepers_en,最后访问于2026年1月17日。

[10] 同脚注1。

[11] Bird & Bird,EU Data Act – National Implementation Tracker,https://www.twobirds.com/en/trending-topics/eu-data-act/data-act-tracker,最后访问于2026年1月17日。

[12] 法案获取地址:https://www.eerstekamer.nl/wetsvoorstel/36733_uitvoeringswet。

[13] 法案获取地址:https://www.finlex.fi/en/legislation/2025/1148。

[14] 法案获取地址:https://www.retsinformation.dk/api/pdf/254430。

[15] 法案草案获取地址:https://bmds.bund.de/service/gesetzgebungsverfahren/gesetz-zur-durchfuehrung-des-data-act。

[16] 法案草案获取地址:https://legislacja.rcl.gov.pl/projekt/12404101/katalog/13168657#13168657。

[17] 法案草案获取地址:https://www.zakonyprolidi.cz/media2/file/2504/File74685.pdf?attachment-filename=8059294-2025-04-08-text-navrhu-8059310.pdf。

[18] 法案草案获取地址:https://www.slov-lex.sk/elegislativa/legislativne-procesy/SK/LP/2025/593/sprievodne-dokumenty?stadiumUuid=f071c005-dcf1-40de-b4c6-59238eb451af。

[19] 《保障和监管数字领域法》(SREN)获取地址为:https://www.legifrance.gouv.fr/loda/id/JORFTEXT000049563368。

[20] 参见欧盟委员会《车辆数据指南》(Guidance on vehicle data, accompanying Regulation (EU) 2023/2854 (Data Act)),第44段。

[21] 参见欧盟委员会《车辆数据指南》(Guidance on vehicle data, accompanying Regulation (EU) 2023/2854 (Data Act),C/2025/5026),第2.3.4节。 

来源:威科先行

作者:

  • 沈文文:北京德恒(杭州)律师事务所管委会委员、高级合伙人,浙江大学法学学士、法律硕士 
  • 彭彦雯:北京德恒(杭州)律师事务所律师,吉林大学、布里斯托大学法律硕士 
  • 张志远:德国豪埃森律师事务所(HEUSSEN Rechtsanwaltsgesellschaft mbH)中国事务部主任、合伙人,毕业于德国萨尔布吕肯大学和德国波恩大学 

 声明:以上所刊登的文章仅代表作者本人观点,不代表威科中国出具的任何形式之法律意见或建议。