标准简介
《数字市场法案》(DMA)是欧盟于 2024 年 3 月全面生效的里程碑式法规。它旨在通过对被指定为'守门人'的大型科技平台施加特定义务,确保公平和开放的数字市场。DMA 针对数字领域的反竞争行为,特别是涉及应用商店、搜索引擎、社交媒体平台和操作系统的行为。拥有重大市场力量的公司必须允许互操作性,使用户能够选择替代服务,并避免优先推广自己的服务而非竞争对手。该法规特别要求像 Apple 这样的守门人允许应用侧载和替代应用市场,从根本上改变了用户访问和安装软件的方式。
DMA 根据以下标准指定守门人:为超过 4500 万月活跃欧盟用户和超过 10000 年活跃企业用户提供核心平台服务,在过去三个财年中欧洲经济区年营业额至少为 75 亿欧元或市值至少为 750 亿欧元,并在至少三个欧盟成员国运营。被指定的守门人包括 Apple、Alphabet(Google)、Meta、Amazon、Microsoft 和 ByteDance(TikTok)。这些公司必须遵守以下义务:允许第三方应用商店、实现与竞争对手的互操作性、为企业用户提供访问其自身数据的权限、不预装某些应用。欧盟委员会可对不合规行为处以最高全球营业额 10% 的罚款,反复违规可能达到全球营业额的 20%。已经启动了多项潜在不合规调查,特别是针对 Apple 实施 DMA 要求的调查。
守门人指定
欧盟委员会根据营业额、市值和用户门槛将大型平台指定为"守门人"——目前已有 7 家公司被指定。
互操作性要求
守门人必须以公平条件允许第三方互操作、应用侧载并访问核心平台服务。
禁止自我优待
禁止守门人在其平台上对自身产品/服务的排名给予比第三方竞争对手更优惠的待遇。
list_alt 关键义务
- 允许用户卸载预装应用
- 支持第三方应用商店和应用侧载
- 禁止在排名中自我优待
- 允许切换默认应用(浏览器、搜索等)
- 为终端用户和企业提供数据可携带性
- 未经同意不得跨服务追踪用户
- 与发布商共享广告绩效数据
- 允许消息服务的互操作性
谁需要合规?
主要针对被欧盟委员会指定为"守门人"的大型数字平台——目前包括 Alphabet(Google)、Amazon、Apple、ByteDance、Meta 和 Microsoft。同时也影响在这些平台上运营的企业。
关键要求
守门人合规报告
被指定的守门人必须向欧盟委员会提交详细的合规报告,说明其如何针对每项被指定的核心平台服务履行每项义务。
数据共享与可携带性
向企业用户提供访问其在平台上产生的绩效和受众数据的权限。允许终端用户自由携带其数据。
公平的应用商店实践
允许开发者使用替代支付系统、链接到外部优惠、并通过第三方商店分发应用,不得设置不合理的限制。
反规避
守门人不得采取任何破坏这些义务的行为,无论该行为是合同性、商业性、技术性还是其他性质。
实施路线图
准备范围、责任和义务
围绕指定核心平台服务、商业用户、最终用户、排名、数据使用、互操作性、应用商店、广告、同意、报告和欧委会沟通定义守门人平台合规项目范围。指定责任人,识别适用法律、客户、认证或监管驱动因素,并约定证据治理方式。
差距分析和风险优先级
依据 欧盟数字市场法 期望和风险背景评估当前实践。审查守门人指定、第 5 和第 6 条义务、自我优待控制、数据合并同意、商业用户访问、互操作性、反规避、合规报告、画像审计以及欧委会发现项整改,并按法律暴露、安全或消费者影响、客户影响、运营依赖和评审准备度排列差距优先级。
实施控制、记录和报告
部署所需控制、运行流程、文档、供应商或伙伴流程、测试、报告和升级路径。围绕指定分析、义务地图、产品控制记录、同意流程、商业用户文档、互操作性证据、合规报告、审计报告、事件或投诉日志以及欧委会往来记录建立可追溯证据。
评审、审核并保持最新
在欧委会审查或独立审计前完成准备度评审、内部检查和纠正措施。产品、服务、供应商、技术、法律、市场、事件或监管变化后刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与证据
checklist 监控与改进
处罚与执行
罚款最高可达全球年营业额的 10%,重复违规最高可达 20%。委员会还可处以每日营业额最高 5% 的定期罚款,并下达包括分拆在内的结构性救济。
常见问题解答
谁需要 欧盟数字市场法?
expand_more
欧盟数字市场法 适用于产品、服务、系统或受监管活动落入指定核心平台服务、商业用户、最终用户、排名、数据使用、互操作性、应用商店、广告、同意、报告和欧委会沟通的组织。采用动因通常来自监管、客户、认证、市场准入或保证需求。
欧盟数字市场法 的主要目的是什么?
expand_more
实践目的在于为守门人指定、第 5 和第 6 条义务、自我优待控制、数据合并同意、商业用户访问、互操作性、反规避、合规报告、画像审计以及欧委会发现项整改建立可重复运行的项目。该项目应让义务可见、定义责任人、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围、所有权和适用义务。这可以避免团队建立与实际产品、服务、系统或受监管活动不匹配的文档或控制。
实施需要多长时间?
expand_more
聚焦实施可能需要数周或数月。周期取决于成熟度、场所或系统数量、供应商参与度、技术复杂度、测试需求和外部评审深度。
哪些证据最有用?
expand_more
有用证据包括指定分析、义务地图、产品控制记录、同意流程、商业用户文档、互操作性证据、合规报告、审计报告、事件或投诉日志以及欧委会往来记录。评审方通常期望看到可追溯证据,将义务与决策、控制、测试、报告和纠正措施连接起来。
应如何管理供应商或伙伴?
expand_more
供应商和伙伴责任应通过合同、准入要求、数据或证据请求、绩效监控,以及针对发现项、事件或变化的升级路径记录下来。
项目应何时更新?
expand_more
法律变化、产品或服务变化、供应商变化、新市场、事件、投诉、监管反馈或审核发现后都应更新项目。陈旧证据是常见合规失败原因。
可以与其他项目整合吗?
expand_more
可以。欧盟数字市场法 通常可以与相邻合规项目共享治理、文件控制、培训、供应商管理、问题跟踪、风险管理、内部评审和纠正措施流程。