产品数字护照 GDPR 合规处于两套欧盟法规框架的交叉点——ESPR 要求共享产品数据,GDPR 要求保护个人数据。关键认知:大多数 DPP 数据(材料组成、环境指标、认证)是产品数据而非个人数据,完全不在 GDPR 范围内。但三个特定触点——消费者扫码元数据(IP 地址,已被欧盟法院 C-582/14 号案确认为个人数据)、个体经营者制造商信息,以及供应链中被点名的联系人——确实触发 GDPR 义务,而 ESPR 第 10 条明确要求在 DPP 中存储客户个人数据前须取得同意。
对中国出口企业来说,这个话题尤为重要——因为你们同时面临三套数据保护法规的约束:欧盟的 GDPR、ESPR/DPP 要求,以及中国的《个人信息保护法》(PIPL)。
为什么 GDPR 对产品数字护照至关重要?
一份产品数字护照涉及多方之间的数据流动:品牌提交产品数据、DPP 平台托管数据、消费者扫描二维码访问数据、供应链合作伙伴贡献数据、市场监督机构审计数据。任何涉及个人数据的数据流都触发 GDPR 义务——无论该数据流的主要目的是否是产品透明。
大多数 DPP 数据是产品级信息:材料组成、碳足迹、回收说明、认证引用。这些都不能识别个人。但 DPP 生态系统中的若干触点可能涉及个人数据,品牌需要准确知道这些触点在哪里。
风险不是假设的。据 GDPR 执法追踪(GDPR Enforcement Tracker, 2025),GDPR 自实施以来已累计罚款超过 45 亿欧元,执法行动逾 2,000 次;单项最高处罚可达 2,000 万欧元或全球年营业额的 4%。ESPR 处罚框架则要求每个成员国自行制定"有效、相称且具有威慑力"的处罚措施(第 77 条)。同时违反两者的品牌将面临来自两个独立执法体系的叠加风险。
哪些 DPP 数据可能是个人数据?
经济运营者联系方式
ESPR 要求 DPP 包含制造商标识:公司名称、地址和一位负责人的联系方式。对法人企业而言,商业联系信息通常不是个人数据。但对个体经营者——在中小品牌中很常见——制造商的姓名和地址能够识别自然人,因此构成 GDPR 第 4(1) 条下的个人数据。
消费者扫码数据
当消费者扫描 DPP 二维码时,托管平台可能采集元数据:IP 地址、设备类型、操作系统、大致位置和时间戳。根据 GDPR,IP 地址属于个人数据——欧盟法院在 C-582/14 号案(Breyer 诉德国)中已确认这一点。这意味着消费者扫码分析需要一个合法依据,无论是合法利益还是明确同意。
如果你的 DPP 平台追踪消费者扫码行为用于分析,你需要一个符合 GDPR 的 Cookie/追踪同意机制——与任何网站追踪访客的义务完全相同。不要因为 ESPR 强制要求 DPP 就以为 GDPR 的同意要求就不存在了。
供应链中的个人
工厂联系人、质量检验员和认证审核员在供应链文件中如被点名,也可能触发 GDPR 义务。如果他们的姓名或联系方式流入 DPP 系统——即使在受限访问层后面——GDPR 仍然适用于该数据。与供应链合作伙伴的数据处理协议必须涵盖这一点。
明确不属于个人数据的内容
DPP 的绝大部分内容完全不在 GDPR 范围之内:
- 产品材料组成(如 95.2% 有机棉、4.8% 氨纶)
- 环境指标(如 7.2 kg CO₂e 碳足迹)
- 认证引用(如 OEKO-TEX Standard 100、GOTS)
- 制造地点(工厂地址,非个人联系方式)
- 回收和报废说明
- 产品标识(GTIN、批次号、序列号)
DPP 数据类别:个人数据与非个人数据
| 数据类别 | 是否个人数据? | 是否适用 GDPR? |
|---|---|---|
| 材料组成 | 否 | 否 |
| 环境影响指标 | 否 | 否 |
| 产品标识(GTIN、批次) | 否 | 否 |
| 制造商公司详情 | 通常否 | 仅当为个体经营者时 |
| 负责人姓名/邮箱 | 是(如为自然人) | 是 |
| 消费者扫码元数据(IP、位置) | 是 | 是 |
| 工厂联系人 | 是(如被点名) | 是 |
| 认证和标准 | 否 | 否 |
| 回收说明 | 否 | 否 |
对于大多数中小品牌而言,DPP 中的个人数据面积很小——但不是零。
ESPR 关于个人数据的规定
ESPR 并未忽视数据隐私。法规在多项条款中直接处理了 DPP 与个人数据的关系:
- 消费者数据排除: 未经消费者明确同意,不得在 DPP 中存储与消费者相关的个人数据。这比 GDPR 的"合法依据"要求更严格——ESPR 明确要求"同意",而非"合法利益"。
- 服务商限制: DPP 服务商不得出售、复用或超出托管和处理服务严格必要范围处理护照数据。这反映了 GDPR 的目的限制原则,并直接写入了 ESPR。
- 访问凭证验证: 欧盟委员会将制定实施细则,规定授权用户的数字凭证签发和验证程序——确保受限层数据仅对有合法理由的当事方开放。
- 数据准确性义务: 经济运营者必须确保 DPP 数据准确、完整且及时更新——与 GDPR 的准确性原则一致。
这些条款意味着 ESPR 的设计就考虑到了与 GDPR 的兼容性。两部法规是互补的,而非矛盾的。
GDPR 七大原则在 DPP 中的适用
当个人数据进入 DPP 生态系统时,GDPR 的七大核心原则(第 5 条)全部适用。以下是每条原则在 DPP 场景中的对应:
| GDPR 原则 | 在 DPP 中的含义 |
|---|---|
| 1. 合法性、公正性、透明度 | 为任何个人数据处理确定合法依据。运营者联系方式可基于合法利益;消费者扫码追踪通常需要同意。 |
| 2. 目的限制 | 为法规合规而采集的 DPP 数据不得在未另行获得同意的情况下用于营销。品牌不能用消费者扫码数据建立客户画像。 |
| 3. 数据最小化 | 仅采集严格必要的个人数据。三层访问系统通过限制谁能看到什么数据来支持这一原则。 |
| 4. 准确性 | DPP 数据必须保持更新。过时的个人数据(如前任负责人的联系方式)必须更正或删除。 |
| 5. 存储限制 | DPP 场景下的个人数据可能需要更长保留期(与产品生命周期对齐),但必须有正当理由并加以记录。 |
| 6. 完整性与保密性 | DPP 系统中的任何个人数据都需要访问控制、加密和安全托管。 |
| 7. 问责制 | 记录你的 GDPR 合规措施。按 GDPR 第 30 条维护处理活动记录,涵盖 DPP 实施中的所有个人数据流。 |
DPP 三层访问系统(公开/供应链/监管)与 GDPR 的数据最小化原则高度契合。每一层仅暴露与该用户角色相关的数据——消费者看不到供应商联系方式,公众看不到专有配方。这种内建的访问控制大大简化了 GDPR 合规。
DPP 访问层级与数据最小化
ESPR 的三层访问系统直接映射到 GDPR 要求:
公开层: 仅包含非个人的产品数据——材料组成、环境指标、保养说明、认证。被查看数据本身没有 GDPR 问题。但扫描二维码的行为可能生成个人元数据(IP 地址、设备数据),这需要合法依据。
供应链层: 可能包含构成个人数据的供应商联系方式。需要品牌、DPP 平台和供应链合作伙伴之间的数据处理协议(DPA)。访问仅限于有合法需要的已验证方——回收商、维修方、分销商。关于这些访问层级在实际中如何运作的真实案例,请参阅我们的 DPP 案例详解。
监管层: 市场监督机构拥有完整访问权。合法依据由 ESPR 直接确立——监管机构具有明确的法定权限访问所有 DPP 数据,包括其中的任何个人数据。
这种分层结构意味着品牌不需要对所有 DPP 数据适用相同级别的 GDPR 保护。将隐私控制集中在实际包含个人数据的数据类别上,让访问层级系统处理其余部分。
如何确保 DPP 实施符合 GDPR 合规要求?
五个具体步骤确保你的 DPP 实施满足 GDPR 要求:
1. 进行数据保护影响评估(DPIA)
映射 DPP 系统中的所有个人数据流。识别个人数据被采集、处理或存储的每个节点——从负责人详情到消费者扫码分析。如果你的处理涉及系统性监控或大规模个人数据处理,DPIA 在法律上是必需的;在所有情况下都建议作为良好实践。
2. 为消费者追踪实施同意机制
如果你的 DPP 平台追踪消费者扫码(大多数平台都会,用于分析),添加一个符合 GDPR 的同意机制。这与任何网站的 Cookie 同意要求完全相同。如果你的平台不追踪个人扫码行为——只统计聚合页面浏览量——你的同意义务会大大减轻。
3. 签订数据处理协议(DPA)
与你的 DPP 服务商以及任何个人数据流入系统的供应链合作伙伴签订 DPA。DPA 必须明确:处理哪些个人数据、处理目的和期限、处理者的安全义务,以及数据主体权利程序。
4. 制定数据保留政策
ESPR 要求 DPP 数据在产品预期使用寿命内持续存在——可能长达数年甚至数十年。将产品数据保留与 ESPR 要求对齐,但为个人数据建立单独的审查周期。2027 年某负责人的联系方式不应在系统中原封不动地留到 2040 年。
5. 记录一切
按 GDPR 第 30 条要求维护处理活动记录。包括:处理的个人数据类别、处理目的、接收方类别、计划保留期限,以及安全措施描述。这些文档同时支持你的 ESPR 问责义务。
大多数中小品牌的 DPP 包含极少的个人数据。如果你使用的 DPP 平台不追踪个人消费者扫码行为,且你的产品数据仅引用公司名称(而非个人),你的 GDPR 风险面很小。按比例分配合规精力——不要对非个人数据过度构建隐私控制。
DPP GDPR 合规清单
使用此清单系统性地验证 DPP 实施中的 GDPR 合规。每个条目对应一项具体的 GDPR 义务。对于大多数中小品牌,其中大部分条目可以快速确认——典型 DPP 中的个人数据面积很小。
数据映射
- 识别 DPP 系统中的所有个人数据 —— 列出每一个可能识别自然人的数据字段(负责人姓名/邮箱、个体经营者信息、工厂联系人)
- 映射消费者扫码数据采集 —— 记录你的 DPP 托管平台在消费者扫码时捕获了哪些元数据(IP 地址、设备类型、位置、时间戳)
- 按 ESPR 访问层级对每个数据字段分类 —— 确认个人数据仅限于相应层级(供应链或监管),未经同意不得在公开层暴露
合法依据
- 为每类个人数据确定合法依据 —— 经济运营者联系方式可基于合法利益;消费者扫码追踪通常需要同意
- 为消费者追踪实施同意机制 —— 如果你的平台记录个人扫码数据,添加符合 GDPR 的同意提示(与网站 Cookie 同意要求相同)
- 审查个体经营者风险 —— 如果你是个体经营者,你在 DPP 中的姓名和地址构成个人数据——确认你对此公开有合法依据
协议与文档
- 与 DPP 服务商签订数据处理协议(DPA) —— 涵盖:处理哪些个人数据、处理目的、期限、处理者安全义务、数据主体权利程序
- 与个人数据流入系统的供应链合作伙伴签订 DPA —— 工厂联系人、质量检验员、在 DPP 数据中被点名的认证审核员
- 按 GDPR 第 30 条维护处理活动记录(ROPA) —— 个人数据类别、处理目的、接收方、保留期限、安全措施
数据主体权利
- 建立数据主体访问请求的处理流程 —— DPP 中被点名的个人(负责人、供应商联系人)有权访问、更正和要求删除其个人数据
- 为个人数据制定数据保留计划 —— 与产品数据保留(遵循 ESPR 产品生命周期要求)分开处理。每年审查个人数据;当人员变动时及时更新。
安全
- 确认 DPP 平台安全措施 —— 加密、访问控制、欧盟数据驻留(如适用)
- 验证 ESPR 第 10 条合规 —— 未经明确同意,不得在 DPP 中存储客户个人数据。确认你的系统强制执行了此项要求。
对于已经为网站和客户数据做了 GDPR 合规的品牌,上述大部分条目是现有流程的延伸,而非全新能力。DPP 带来的增量 GDPR 工作量与系统中的个人数据量成正比——对于大多数中小品牌来说,这个量很小。
中国出口企业的特别提示
中国出口企业在数据隐私方面面临独特的三重合规挑战:
- GDPR——欧盟的通用数据保护条例,适用于所有在欧盟市场运营的企业
- ESPR/DPP——对产品数据透明的要求
- PIPL——中国的《个人信息保护法》,对个人信息出境有严格限制
当 DPP 系统涉及将个人数据从中国传输到欧盟的 DPP 平台(或反向传输消费者扫码数据),需要同时满足 GDPR 的数据出境机制(如标准合同条款)和 PIPL 的出境评估要求。实际操作中,由于大多数 DPP 数据是产品数据而非个人数据,这一交叉合规的实际影响范围有限,但仍需在系统设计阶段予以考虑。
这对你的品牌意味着什么?
DPP 与 GDPR 义务的交叉面比初看起来要窄。绝大多数 DPP 数据——材料组成、环境指标、认证、回收说明——是产品数据,不是个人数据,完全不在 GDPR 范围之内。
GDPR 确实适用的地方——消费者扫码分析、负责人联系方式、供应链中被点名的个人——义务是可控的、定义明确的。已经为网站和客户数据做了 GDPR 合规的品牌,有现成的流程和基础设施来处理 DPP 相关的个人数据,不需要从头构建。
关键是不要混淆产品透明和个人数据。一份告诉消费者"这件 T 恤 95% 是有机棉、在葡萄牙制造"的 DPP 不是隐私问题。一个在消费者扫码时悄悄记录他们 IP 地址和位置的 DPP 平台才是。
分清楚这一点,然后据此构建你的 DPP 实施方案。如果成本或运营复杂度是顾虑,我们的 DPP 挑战指南涵盖了中小品牌面临的 7 大障碍——包括数据质量问题。使用我们的 DPP 就绪度检测工具评估你的品牌在产品数据和合规准备方面的现状。
常见问题
GDPR 的七大要求是什么?
GDPR 的七大原则是:合法性、公正性和透明度;目的限制;数据最小化;准确性;存储限制;完整性与保密性;以及问责制。在 DPP 场景中,这些原则主要适用于消费者扫码数据(IP 地址、设备信息)、经济运营者联系方式(当能识别自然人时),以及系统中被点名的任何供应链个人。大多数 DPP 产品数据——材料组成、环境指标、认证——不是个人数据,不在这些原则的适用范围内。
扫描 DPP 二维码会采集个人数据吗?
取决于托管平台的实现方式。当消费者扫码时,托管平台可能采集 IP 地址、设备类型、操作系统和大致位置——根据欧盟法院 Breyer 案裁决(C-582/14),这些都属于 GDPR 下的个人数据。如果平台仅展示 DPP 页面而不记录个人访客数据,则不采集个人数据。查看你的 DPP 服务商的隐私文档,了解他们采集了什么。
供应商的个人数据会出现在 DPP 中吗?
如果你的 DPP 系统包含供应商组织中被点名的个人——工厂联系人、质量检验员、认证审核员——答案是会的。如果仅引用公司名称和工厂地址而不标识特定个人,则不涉及个人数据。当个人姓名确实流入系统时,你需要与这些供应链合作伙伴签订数据处理协议,且该数据应限于供应链或监管访问层——绝不可在公开层可见。
GDPR 要求 DPP 数据保留多久?
ESPR 要求 DPP 数据在产品预期使用寿命内持续存在,可能长达数年甚至数十年。这可能与 GDPR 的存储限制原则产生张力。解决方案是将产品数据(按 ESPR 要求保留整个产品生命周期)与个人数据(定期审查和最小化)分开处理。负责人的联系方式应在人员变动时更新;消费者扫码数据应有明确的保留期限,通常不超过分析目的所必需的时间。
我的 DPP 需要做数据保护影响评估吗?
如果你的 DPP 系统大规模处理个人数据或涉及系统性监控——如跨多个产品或地区追踪消费者扫码——根据 GDPR 第 35 条,数据保护影响评估在法律上是必需的。对于仅包含产品数据和公司级信息的简单 DPP 的中小品牌,DPIA 可能在法律上不是必需的,但仍建议作为良好实践。它迫使你在问题出现之前就映射数据流并识别风险。
DPP 中的 5 种个人数据示例是什么?
DPP 场景中可能出现的 5 种个人数据示例:(1)作为产品联系人列出的负责人姓名和邮箱;(2)消费者扫码时采集的 IP 地址;(3)供应链文件中记录的工厂质量检验员姓名;(4)个体经营者的家庭地址被用作制造商地址;(5)消费者扫码分析中的设备地理位置数据。其中只有第一和第四种存储在 DPP 本身中——其他的由托管平台在互动过程中生成。
