《数字服务法》(DSA)和《数字市场法》(DMA)是欧盟法规,旨在为在线服务提供商和强大的“守门人”平台制定新的强制性规则,以保障用户安全和市场公平。尽管该法案是在布鲁塞尔起草的,但其影响范围却遍布全球:任何针对欧盟用户的公司都必须遵守,否则将面临最高可达全球营业额6%的罚款,对于屡次“守门人”的公司,最高可达20%的罚款。DSA的全面执行已在进行中,首批DMA合规报告也将在数月内提交,董事会和产品团队几乎没有时间去确定需要进行哪些修改。
本指南深入浅出地讲解法律术语。您将获得清晰的定义、并列对比、关键日期以及一份分步核对清单,该清单将法定条款转化为技术、法律和合规人员的实际行动。继续阅读,了解新规则手册如何影响您的业务以及下一步该怎么做。
欧盟新数字规则手册一览
布鲁塞尔并非孤立地制定了《数字服务法》(DSA)和《数字市场法》(DMA)。它们共同构成了一项更广泛的改革方案,旨在重振欧盟网络经济,使其摆脱二十年来平台权力失控和执法不力的困境。
欧盟为何推出DSA和DMA
- 大型科技公司的主导地位暴露了竞争法的盲点:一次性反垄断案件耗时数年,而守门人却不断扩大规模。
- 非法内容(恐怖主义宣传、假冒商品)无缝跨境流动,而 2000 年电子商务指令仅提供了通知和删除措施。
- 政策制定者希望加强基本权利——言论自由和消费者保护——而不是强制进行一般监控。
- 从政治角度来看,这两项法规被视为可与美国和中国相媲美的值得信赖的数字单一市场的支柱。
在更广泛的欧盟数字战略中的地位
DSA 和 DMA 与其他旗舰表演相邻,而不是位于其上方:
- 《通用数据保护条例》(GDPR) → 个人数据
- NIS2 → 网络安全
- 数据法 → 工业数据共享
- 人工智能法案 → 高风险算法
- 平台工作指令 → 零工工人权利
每项法律处理不同的风险领域;执法由国家监管机构和欧盟委员会共同承担,以避免重叠,同时实现联合调查。
高层目标和原则
| 目的 | 为用户和中小企业带来实际利益 |
|---|---|
| 系统和广告的透明度 | 减少虚假信息,明智购买 |
| 非法内容的责任追究 | 更快地删除诈骗和仇恨言论 |
| 可竞争的数字市场 | 降低初创企业的进入门槛 |
| 用户安全和基本权利 | 更安全的浏览,更强大的消费者声音 |
总的来说,DSA 促进了内容治理,而 DMA 则保持了市场可竞争性——这一组合拳重新平衡了数字竞争环境。
数字服务法案(DSA):范围、目标和核心义务
DSA 改写了所有在线承载、托管或策划内容的规则。其指导目标直截了当:保障用户安全,同时维护思想和商品的开放市场。为此,该法规根据服务类型分层规定义务——对网络管道的监管较轻,而对那些算法影响公众辩论的巨头则监管较重。由于该法规适用于所有欧盟用户被“瞄准”的情况,因此,该法规对全球 SaaS 供应商和代发货副业的打击,与对家喻户晓的品牌一样,也同样重要。
谁必须遵守
- 单纯的管道服务(ISP、CDN)、缓存提供商、托管服务以及将用户和第三方内容置于其他人面前的“在线平台”都属于范围之内。
- 特殊层级——超大型在线平台 (VLOP) 和超大型在线搜索引擎 (VLOSE)——在每月拥有 45 万欧盟用户时生效。
- 地点无关紧要:任何向欧盟提供服务或监控欧盟用户行为的提供商都必须指定一名欧盟法定代表人。
所有中介机构的基本职责
- 建立易于使用的“通知和行动”渠道,以便任何人都可以标记非法内容。
- 发布年度透明度报告,详细说明审核决定、当局命令以及自动化工具的使用情况。
- 维护用户和监管机构的单一联系点。
- 与国家法院和数字服务协调员迅速合作。
在线平台的附加规则
- 在允许商家向消费者销售产品之前,请先进行验证——“了解您的商业客户”。
- 提供内部投诉机制和经过认证的庭外纠纷解决途径。
- 实时标记每条广告,披露关键定位参数,并禁止基于敏感数据或针对未成年人且没有严格保障措施的广告。
VLOP/VLOSE 义务
- 执行并发布涵盖虚假信息、选举诚信和儿童安全的年度系统性风险评估。
- 实施由独立合规官监督并接受外部审计的缓解计划。
- 维护具有可搜索 API 的公共广告存储库,以便研究人员可以审查政治和基于问题的广告。
- 当流行病或战争等事件导致网络风险激增时,部署危机协议。
责任和安全港细微差别
DSA 保留了经典的安全港原则:如果提供商缺乏对非法行为的“实际了解”,则无需承担责任(Article 4)。但一旦收到可信的通知,门槛就会提高——拖延就会失去豁免权。重要的是,该法案拒绝全面监控,而是根据平台规模施加“注意义务”。例如:一个平台如果及时下架被举报的假冒商品,就能保住自己的安全;而一个平台如果无视重复通知,则可能面临下架令和最高相当于其全球营业额 6% 的罚款。
数字市场法案(DMA):范围、目标和核心义务
DSA 监管内容,而 DMA 则监管市场力量。它是一本事前竞争规则手册,预先规定了少数“守门人”平台的行为方式,以确保小型企业仍能触达客户、进行创新并将其产品货币化。罚款金额高得惊人——最高可达全球营业额的 10%(屡犯者最高可达 20%)——因此,了解自己是否是守门人,或者是否依赖守门人至关重要。
定义“守门人”
当提供商提供核心平台服务并满足所有三个量化阈值时,它被视为守门人:
- 欧洲经济区营业额 7.5 亿欧元(过去三年) or 市值 75 亿欧元
- 欧盟每月至少有 45 万活跃终端用户
- 每年至少有 10 人活跃 商业用户
核心平台服务包括搜索引擎、社交网络、操作系统、在线市场、应用商店、广告服务、网络浏览器、语音助手和云服务。
委员会仍然可以通过定性测试——“根深蒂固且持久的”市场力量——将一家公司标记为守门人,而如果公司能够证明其缺乏这种力量,则可以反驳这一指定。
守门人必须履行的义务
守门人必须在被任命后的六个月内:
- 允许最终用户轻松卸载预加载的应用程序并更改默认设置。
- 实现实时数据可移植性并授予业务用户访问性能指标的权限。
- 确保基本消息传递功能(文本、语音、视频)的互操作性。
- 为广告商和发布商提供每次广告展示的透明定价并提供对账工具。
- 使用基于 FRAND 的条款访问应用商店、支付服务和搜索排名数据。
严禁此类行为
- 在排名或结果中自我偏好自己的产品或服务。
- 通过反操纵条款或捆绑“必做”服务来锁定商业用户。
- 在没有明确说明的情况下,将一项服务收集的个人数据重复用于另一项服务
GDPR同意。 - 限制第三方开发者使用外部支付或身份解决方案。
合规流程和报告
正式流程如下:指定通知 → 六个月实施期 → 全面合规报告。守门人必须任命一名独立合规官,接受年度审计,为企业用户提供举报渠道,并详细记录已采取的措施。不合规行为可能触发定期罚款,罚款金额相当于每日营业额的 5%,并在最后阶段采取结构性补救措施,例如资产剥离。
与竞争法的互动
《直接市场管理法》(DMA)与《欧盟运作条约》第101/102条并列。它并非取代逐案反垄断诉讼;相反,它提供了明确的事前规则,由委员会DMA工作组集中执行,同时各国竞争管理机构协助收集证据和进行监督。它们共同致力于保障整个欧盟范围内可竞争且公平的数字市场。
DSA 与 DMA:并排比较
两项法律都源于布鲁塞尔的同一套剧本,但它们解决的问题却截然不同。《数字服务法》(DSA)规范内容的流通和审核方式;《数字市场法》(DMA)则规范少数“守门人”平台的经济权力。下方矩阵突出显示了您在规划合规职责时需要了解的关键分工。
宗旨和核心重点
- 动态数字显示: 用户安全、内容治理的透明度和问责制。
- DMA: 通过抑制看门人的自利行为,实现可竞争、公平的数字市场。
涵盖实体
- 动态数字显示: 每个在线中介机构(从业余爱好论坛到 CDN)都为 VLOP/VLOSE 提供了额外的层。
- DMA: 仅指定为守门人的公司提供核心平台服务。
监督机构和权力
- 动态数字显示: 国家数字服务协调员加上欧盟委员会;有权下令删除和审计。
- DMA: 欧盟委员会的 DMA 工作组;可以进行突击检查并实施结构性补救措施。
时间表和截止日期
- 动态数字显示: 自 17 年 2024 月 XNUMX 日起全面适用;VLOP 的年度职责仍在持续。
- DMA: 守门人指定需要六个月的时间来遵守并提交第一份报告。
处罚和执法工具
- 动态数字显示: 罚款最高可达全球营业额的 6%,延误罚款每天 1%,系统性风险服务暂停。
- DMA: 罚款最高可达 10%(重复 20%),并最终强制剥离。
对中小企业和消费者的预期影响
- 中小企业: 可以更多地访问平台数据并获得更公平的排名,但 DSA 下的卖家验证需要新的文书工作。
- 消费者: 诈骗和不透明排名更少,对数据和默认应用程序的控制更强——两种行为协同作用可实现双赢。
谁需要遵守以及如何做好准备
即使您的标识从未在布鲁塞尔亮相,《数字服务法》(DSA)和《数字市场法》(DMA)仍有可能出现在您的办公桌上。这两项法规都取决于您在网上的业务,而不是您的注册地。清晰的风险敞口检查,以及随后的简短、迭代的项目计划,能够使工作量易于管理,并使审计师感到满意。
按商业模式映射风险敞口
| 商业模式 | DSA层 | DMA相关性 | 典型的“触发器” |
|---|---|---|---|
| 互联网服务提供商/内容分发网络 | 单纯的管道 | 没有 | 进入欧盟的网络流量 |
| SaaS/云托管 | 托管 | 没有 | 存储或处理用户文件 |
| 市场/应用商店 | 在线平台 → 45万用户的VLOP | 可能的守门人 | 使用第三方卖家 |
| 社交媒体、搜索 | 线上平台/VLOP | 核心平台服务 | 策划用户生成的内容 |
| 金融科技/银行 API | 托管+数据处理器 | 低 | 提供账户聚合 |
针对欧盟用户的非欧盟公司也必须任命一名欧盟法定代表人——没有例外。
分步合规路线图
- 盘点每项服务、数据流和用户接触点。
- 指定执行负责人、分配预算、设定六个月的时间表。
- 针对 DSA 基线职责以及(如果相关)DMA 守门人附件运行差距分析。
- 起草或更新条款和条件、广告标签、内部投诉政策。
- 培训员工、部署技术工具并安排第一份透明度报告。
治理、文档和报告
保留一份包含以下内容的实时档案:
- 年度透明度报告和系统性风险评估
- 收到的通知和行动时间戳
- 算法变更日志和审计证书
- 守门人合规报告(如果指定)
技术和组织控制清单
- 用户标记仪表板,24 小时 SLA
- 年龄和卖家验证模块
- 数据可移植性 API(JSON/CSV 导出)
- 带有公共搜索端点的独立广告存储库
- 与值班工程师相关的危机应对策略
预算和资源规划
中小企业通常会预留 20 万至 60 万欧元用于法律文件起草和工具开发;指定的守门人预计支出不会超过七位数,主要用于审计和互操作性构建。尽早评估“自行构建还是购买”——外包审核或合规 SaaS 可以减少一半的持续成本,同时保持团队精简。
执法、处罚和补救机制
只有违规者感受到惩罚,监管才会有效。正因如此,欧盟将直接服务税(DSA)和直接市场管理(DMA)与分层监管网络相结合,并处以巨额罚款,甚至让市值数万亿美元的企业都感到震惊。
监管架构
数字服务协调员在国家层面监督大多数数字服务管理局 (DSA) 的职责,并由欧盟委员会提供支持,负责跨境案件和政策协调。欧盟委员会领导每一项数字服务管理局 (DMA) 调查以及所有 VLOP/VLOSE 监督,行使“黎明突击”权力、面谈授权和实时数据访问令。
DSA 罚款和罚金
- 每次违规高达全球营业额的 6%
- 经常性罚款上限为每日收入的 1%
- 因持续的系统性风险而暂停服务或阻止访问
- 强制保留五年记录,以便将来审计
DMA罚款和结构性救济
守门人的风险是全球营业额的10%——屡犯者则高达20%。如果金钱惩罚无效,委员会可能会强制执行行为准则,要求提供互操作性API,或者采取更严厉的措施,下令对业务线进行结构性分离。
投诉和用户补救
用户、交易者和举报人可以通过平台仪表盘、认证的替代性争议解决机构或直接向监管机构提出投诉。平台必须快速响应,且投诉人无需承担任何费用。消费者团体可以根据《欧盟集体救济指令》提出索赔。
诉讼展望
期待更多 DSA/DMA 诉讼 在荷兰法院,包括因错误删除或自我偏好而提起的集体诉讼。详细的审核日志和审计线索将决定辩护的成败。因此,早期的法律审查可以挽救声誉和资产负债表。
重要日期、里程碑和未来更新
规则手册已生效,但许多运营细节尚待落实。请标记以下检查点,确保预算、技术冲刺和董事会简报在合适的时间进行。
立法时间表快照
提案于 15 年 2020 月 23 日公布 → 政治协议于 2022 年 27 月 2022 日达成 → 文本于 16 年 2022 月 XNUMX 日在官方公报上公布 → 两项法案于 XNUMX 年 XNUMX 月 XNUMX 日生效。
合规期限
VLOP/VLOSE 指定于 25 年 2023 月 17 日生效;DSA 自 2024 年 6 月 2024 日起适用于所有人。守门人有六个月的指定后期限;首份 DMA 合规报告将于 XNUMX 年 XNUMX 月 XNUMX 日提交。
即将出台的授权法案和指导
预计欧盟委员会将于 4 年第四季度发布系统性风险评估、广告存储库 API 和认证 ADR 标准的模板,此外欧盟理事会还将定期发布问答批次。
审查条款和可能的扩展
如果系统性风险持续存在,2026 年的正式三年审查可能会将覆盖范围扩大到元宇宙中心、语音助手和生成式人工智能服务。
常见问题的快速解答
时间紧迫?以下简短的解释涵盖了客户在解读《数字服务法》(DSA)和《数字市场法》(DMA)时最常遇到的问题。
用简单的英语来说,什么是《数字服务法案》?
透明度和用户安全规则手册要求每个网站、应用程序或托管服务提供商允许人们轻松标记非法内容、快速采取行动并发布年度审核统计数据。
用简单的英语来说,什么是《数字市场法案》?
事前竞争法告诉“守门人”平台(例如应用商店、搜索引擎、社交网络)他们必须做什么(开放 API、允许卸载)和不能做什么(自我偏好、绑定服务)。
DSA 和 DMA 之间的主要区别?
DSA 规范内容处理方式以保护用户;DMA 规范市场力量如何运用以促进公平竞争。DSA 针对的是行为,DMA 则针对的是市场支配地位。
DSA/DMA 是否适用于欧盟以外地区?
是的。如果您的目标客户是欧盟用户或监控他们的行为,您必须遵守规定并指定一名欧盟法律代表——即使您的总部位于硅谷或新加坡。
如果我的公司忽视规则会发生什么?
监管机构可以处以高达全球营业额 6%(DSA)或 10%/20%(DMA)的罚款,并处以每日罚款,在极端情况下甚至可以阻止其进入欧盟市场。
银行和金融服务是否涵盖?
仅当它们充当在线中介机构(例如,运营市场或API层)时适用。PSD2等特定行业规则仍然同时适用。
下一步
DSA 和 DMA 现已生效,不遵守规定将面临巨额罚款。合规性应像其他产品发布一样严格,需有计划、有预算、有记录:
- 绘制每项数字服务图并确定适用哪些法案和层级。
- 运行快速风险扫描,然后对风险较高的部分进行深入分析。
- 在监管机构要求之前分配预算、所有者和六个月的时间表。
- 记录每个决定并尽早获得外部法律审查,而不是在投诉之后。
需要定制帮助?请联系 Law & More 将这些要点转化为可行的计划。
