標準簡介
《數位市場法案》(DMA)是歐盟於 2024 年 3 月全面生效的里程碑式法規。它旨在透過對被指定為'守門人'的大型科技平台施加特定義務,確保公平和開放的數位市場。DMA 針對數位領域的反競爭行為,特別是涉及應用程式商店、搜尋引擎、社群媒體平台和作業系統的行為。擁有重大市場力量的公司必須允許互通性,使使用者能夠選擇替代服務,並避免優先推廣自身服務而非競爭對手。此法規特別要求如 Apple 等守門人允許應用程式側載和替代應用程式市場,從根本上改變了使用者存取和安裝軟體的方式。
DMA 根據以下標準指定守門人:為超過 4500 萬月活躍歐盟使用者和超過 10000 年活躍企業使用者提供核心平台服務,在過去三個會計年度中歐洲經濟區年營業額至少為 75 億歐元或市值至少為 750 億歐元,並在至少三個歐盟成員國營運。被指定的守門人包括 Apple、Alphabet(Google)、Meta、Amazon、Microsoft 和 ByteDance(TikTok)。這些公司必須遵守以下義務:允許第三方應用程式商店、實現與競爭對手的互通性、為企業使用者提供存取其自身資料的權限、不預先安裝特定應用程式。歐盟委員會可對不合規行為處以最高全球營業額 10% 的罰款,反覆違規可能達到全球營業額的 20%。已經啟動多項潛在不合規調查,特別是針對 Apple 實施 DMA 要求的調查。
守門人指定
歐盟執委會依據營業額、市值與用戶門檻將大型平台指定為「守門人」——目前已有 7 家公司被指定。
互通性要求
守門人必須以公平條件允許第三方互通、應用程式側載及取用核心平台服務。
禁止自我優待
禁止守門人在其平台上將自身產品/服務的排名置於較第三方競爭者更為有利的位置。
list_alt 關鍵義務
- 允許使用者解除安裝預載應用程式
- 支援第三方應用程式商店與側載
- 禁止於排名中自我優待
- 允許切換預設應用程式(瀏覽器、搜尋等)
- 為終端使用者與企業提供資料可攜性
- 未經同意不得跨服務追蹤使用者
- 與發行商共享廣告成效資料
- 允許與訊息服務進行互通
誰需要合規?
主要針對被歐盟執委會指定為「守門人」的大型數位平台——目前包括 Alphabet(Google)、Amazon、Apple、ByteDance、Meta 與 Microsoft。同時亦影響在這些平台上營運的企業。
關鍵要求
守門人守規報告
被指定的守門人必須向歐盟執委會提交詳盡的守規報告,說明其如何就每一項被指定的核心平台服務履行每一項義務。
資料共享與可攜性
向企業使用者提供存取平台上所產生的績效與受眾資料。允許終端使用者自由攜出其資料。
公平的應用程式商店實務
允許開發者採用替代付款系統、連結至外部優惠,並透過第三方商店散布應用程式,不得設下不合理的限制。
反規避
守門人不得從事任何破壞這些義務之行為,無論該行為屬契約性、商業性、技術性或其他性質。
實施路線圖
准备範圍、責任和義務
圍繞指定核心平台服務、商业使用者、最终使用者、排名、数据使用、互通性、應用商店、广告、同意、報告和歐委會沟通定義守門人平台合規專案範圍。指定責任人,識別適用法律、客戶、認證或監管驅動因素,并約定證據治理方式。
差距分析和風險優先順序
依据 欧盟数字市場法 期望和風險背景評估目前實務。審查守門人指定、第 5 和第 6 条義務、自我優待控制、数据合并同意、商业使用者访问、互通性、反规避、合規報告、樣貌稽核以及歐委會發現項整改,并按法律暴露、安全或消費者影響、客戶影響、營運依賴和審查準備度排列差距優先順序。
實施控制、記錄和報告
部署所需控制、執行流程、文件、供應商或夥伴流程、測試、報告和升級路徑。圍繞指定分析、義務地图、產品控制記錄、同意流程、商业使用者文件、互通性證據、合規報告、稽核報告、事件或投訴日志以及歐委會往来記錄建立可追溯證據。
審查、稽核并保持最新
在歐委會審查或独立稽核前完成準備度審查、內部檢查和矯正措施。產品、服務、供應商、技術、法律、市場、事件或監管變化后更新專案。
合規檢查清單
checklist 範圍与問責
checklist 控制与證據
checklist 監控与改进
處罰與執行
罰款最高可達全球年營業額的 10%,重複違規則提高至 20%。執委會亦可處以每日營業額最高 5% 的定期強制金,並命令實施包括分割在內的結構性救濟措施。
常見問題解答
谁需要 欧盟数字市場法?
expand_more
欧盟数字市場法 適用于產品、服務、系統或受監管活動落入指定核心平台服務、商业使用者、最终使用者、排名、数据使用、互通性、應用商店、广告、同意、報告和歐委會沟通的組織。採用動因通常来自監管、客戶、認證、市場准入或保證需求。
欧盟数字市場法 的主要目的是什么?
expand_more
實務目的在于为守門人指定、第 5 和第 6 条義務、自我優待控制、数据合并同意、商业使用者访问、互通性、反规避、合規報告、樣貌稽核以及歐委會發現項整改建立可重複執行的專案。该專案应让義務可见、定義責任人、執行控制并保持證據最新。
首先应做什么?
expand_more
先確認範圍、所有權和適用義務。这可以避免團隊建立与實際產品、服務、系統或受監管活動不匹配的文件或控制。
實施需要多长時間?
expand_more
聚焦實施可能需要數週或數月。週期取決於成熟度、場所或系統數量、供應商參與度、技術複雜度、測試需求和外部審查深度。
哪些證據最有用?
expand_more
有用證據包括指定分析、義務地图、產品控制記錄、同意流程、商业使用者文件、互通性證據、合規報告、稽核報告、事件或投訴日志以及歐委會往来記錄。審查方通常期望看到可追溯證據,将義務与決策、控制、測試、報告和矯正措施連接起来。
应如何管理供應商或夥伴?
expand_more
供應商和夥伴責任应透過合約、准入要求、数据或證據請求、績效監控,以及针对發現項、事件或變化的升級路徑記錄下来。
專案应何时更新?
expand_more
法律變化、產品或服務變化、供應商變化、新市場、事件、投訴、監管回饋或稽核发现后都应更新專案。陈旧證據是常见合規失敗原因。
可以与其他專案整合吗?
expand_more
可以。欧盟数字市場法 通常可以与相邻合規專案共享治理、文件控制、訓練、供應商管理、問題追蹤、風險管理、內部審查和矯正措施流程。