《数据法案》对物联网设备的定义错误：为何众多企业误判合规范围

数据法案与连接产品：为何许多企业忽略了自己被牵涉其中

《数据法案》是一项罕见的法规案例，始于立法者用词的不当选择以及部分顾问专业性的匮乏。这些立法错误造成了悖论性的效果：大量企业并不知道自己须遵守该法规规定的义务。以下是《数据法案》中的所有错误。

《数据法案》是什么

《数据法案》是一项涉及多个主题的综合性法规，自2025年9月起全面适用，但此处我们重点关注连接产品。法规文本将连接设备称为物联网设备，官方文档似乎也沿用了这一思路。近年来，欧洲市场上可供使用的互联网连接产品（“连接产品”）快速增长。这些共同构成物联网网络的产“品，极大地增加了欧盟境内可供重复使用的数据量，代表了欧盟巨大的创新和竞争力潜力。因此，那些不拥有、不生产、不销售互联网连接产品的实体，似乎就不在该法规的适用范围之内。如果只阅读这段文本（据推测许多谈论和撰写《数据法案》的顾问正是如此），答案似乎是肯定的。但若仔细阅读法规的官方文本（唯一重要且应参考的文本），真相则截然不同。实际上，连负责制作《数据法案》官方说明页面的人，也忽略了这条简单的规则。

法规文本怎么说

有必要同时引用意大利语和英语文本，以便更清楚地看出误解产生的根源： “(14) 除原型外，通过其组件或操作系统获取、生成或收集有关其性能、使用或环境的数据，并且能够通过电子通信服务、物理连接或设备上访问传输这些数据的连接产品（通常称为‘物联网’），应属于本法规的适用范围。” 英文对照： “14) Connected products that obtain, generate or collect, by means of their components or operating systems, data concerning their performance, use or environment and that are able to communicate those data via an electronic communications service, a physical connection, or on-device access, often referred to as the Internet of Things, should fall within the scope of this Regulation, with the exception of prototypes.”

《数据法案》中连接产品的定义

法律文本在提及连接产品时确实使用了物联网设备一词。但对于《数据法案》而言，一个连接产品（即物联网设备）是指那些：通过其组件或操作系统，获取、生成或收集有关其性能、使用或环境的数据；并且能够通过电子通信服务、物理连接或设备上访问的方式传输这些数据。换言之，对于《数据法案》，一个连接设备（物联网设备）不一定必须连接到互联网，甚至可以是一个与外界完全隔离的设备，只要它能够访问其生成或收集的数据即可。

《数据法案》中的错误

《数据法案》对物联网设备的定义所产生的后果，除了违背逻辑和常识外，还极大地扩展了拥有此类设备的企业的范围。此外，我暂不探讨此定义是否适用于个人电脑。只需注意，《数据法案》排除了为第三方使用而操作的此类设备。“(16) … 此外，本条例不应适用于为其他非用户的当事方（例如，代表第三方完全为第三方管理、甚至供在线服务使用的服务器或云基础设施）进行存储或其他处理操作的目的，而从连接产品获取、生成、访问或传输给该产品的数据。” 如果法规对此类设备不适用的关键因素在于它们是为“非用户”的当事方所用，那么逻辑上可以推断，如果它们是代表用户使用，则应属于其适用范围。

DPS与GDPR案例：其他立法错误

谁不记得根据196/03号立法法令要求编写的DPS（数据处理安全）文件？该文件要求编制数据处理清单。但实际上，要求编制的是处理目的清单，因为“处理”是隐私法规中定义明确的术语，指对数据执行的操作（如查阅、存储等）。这导致一个主要的行业协会向其会员提供了一个DPS模板，而完成该义务的方式仅仅是勾选各种可能的处理类型。 GDPR也犯了同样的错误，要求编制“处理活动记录”，但实际上，此处要求的同样是处理目的记录。

超越错误，《数据法案》的目标很重要

即便是那些应就《数据法案》提供咨询，或在各类纸质或在线刊物上正确介绍它的人，也难辞其咎。正如我之前的文章《隐私的用词：通过术语和行为评估顾问能力》所言，特定顾问给出的解释将反映出他们对待法规的态度。因此，如果《数据法案》能让一些企业或读者更好地区分其供应商，那它就是受欢迎的。