物联网企业出海必须关注的20+数据/网络安全/AI/可持续法规

物联网智库·2025年09月05日 21:27

物联网企业出海必须关注的法规。

近年来，欧盟、美国、中国和英国相继出台涉及数据治理、ESG 披露、网络安全等方面的新法规，对物联网企业尤其是致力于全球化布局的中国物联网企业产生了深远影响。

首先，法规合规已成为市场准入的前置条件。各国的数据安全法案都对数据跨境流动、设备安全认证和个人隐私保护提出了更高要求，若企业未能提前建立合规机制，不仅可能面临高额罚款与禁售风险，还会直接丧失进入关键市场的机会；同时，ESG 与可持续发展相关的新规正在快速提升企业的声誉与信任门槛；更重要的是，地缘政治背景下的监管趋严使合规成为差异化竞争力。提前适配新规不仅能降低未来的整改成本，还能在国际合作、投标和供应链准入中抢占先机。

根据 IoT Analytics 发布的《2025-2030 年数字和 ESG 法规展望》（2025 年 8 月发布），新法规或修订法规的采用正在加速。影响雷达显示，有 4 项即将出台的法规影响极高，需要引起企业紧急关注——分别是《欧盟网络弹性法案》（CRA）、《欧盟数据法案》、《欧盟人工智能法案》和《欧盟 CSRD》。

总体而言，密切关注并积极应对这些新法规，已经不是物联网企业的可选动作，而是能否走向全球市场并长期发展的关键所在。因此，本文将汇总整理 20 +物联网企业必须关注的关键法规，包含以下四种类别：

1. 数据法规

2. 网络安全法规

3. 人工智能法规

4. 可持续发展法规

数据法规

在数据法规方面，毫无疑问，欧盟拥有最严格、最成熟的数据法律，其《通用数据保护条例》（GDPR）仍然是个人数据保护的全球基准，拥有强大的用户权利、违规报告要求和严厉的处罚措施，甚至像加州这样的美国州也制定了与 GDPR 紧密相关的隐私法案。与此同时，中国的严格数据法案主要侧重于国家安全，同时也允许用户同意跨境数据传输。

通用数据保护条例（GDPR）

-GDPR 已于2018 年 5 月 25 日生效

-GDPR 适用于在欧盟成立的所有组织，以及处理欧盟人士个人数据的组织（不论这些组织是否是在欧盟成立的），这些数据与向欧盟数据主体提供商品或服务或者监控在欧盟发生的行为有关。个人数据指的是与已确定或可确定的自然人相关的所有信息，包括姓名、电子邮件地址和电话号码。

-GDPR 规定企业组织必须从技术层面和组织结构层面采取适当的数据安全保护措施，并且“在适当的情况下”采用 GDPR 所给出的具体措施。GDPR 还规定在任何情况下，企业组织都必须在 72 小时内毫不拖延地向监督机构汇报数据泄露事故，并将可能产生高风险的泄露事故信息通知受到影响的个人。有鉴于此，企业有必要对所需采用的数据安全保护措施进行深入了解，并在必要时对数据泄露管理流程进行修改以符合 GDPR 的要求。

-GDPR 中规定了一项新的问责要求，即公司必须证明其遵守 GDPR。在某些情况下，企业有必要任命一名数据保护官，而一套由适当的规章制度、员工培训及数据隐私意识所支持的公司治理结构是履行企业职责并证明其合规性的关键所在。企业必须在充分理解问责制要求的基础上对现有的规章制度进行审查、修改和补充以长期遵守。

《数据法案》（The Data Act）

-该法案将于 2025 年 9 月 12 日全面实施。

-在欧洲提供以下联网产品及相关服务的企业均需履行数据共享义务：

·智能联网汽车设备，如智能汽车、智能充电桩等·智能家居设备，如智能冰箱、智能电视、扫地机器人、智能摄像头等·智能娱乐设备，如游戏机、手机、平板等·智能网络设备，如路由器、防火墙等·可穿戴设备，如健康手环、智能手表等·医疗健康设备，如智能血压计、智能血糖仪、影像设备等·工业自动化设备，如智能农业、智慧交通、智能制造、智能物流等·其他联网产品，如储能设备等

-欧盟《数据法案》的实施分为多个阶段，需注意以下两个关键时间节点：

①2025 年 9 月 12 日（法案正式适用，需提供间接数据访问方式）

用户申请访问：数据持有者（如智能设备制造商）需在用户申请时，免费、无延迟地提供现成可用的数据及相关元数据

用户授权第三方访问：用户可授权第三方（如维修服务商）访问数据，数据持有者需在收到申请后以同等质量向第三方提供数据

②2026 年 9 月 12 日（在这之后向欧盟市场投放的联网产品，需提供直接数据访问方式）

默认直接访问：在技术可行的前提下，产品需默认允许用户直接、免费、安全地访问其生成的数据（包括元数据），无需额外申请。

实时连续性：数据需以连续、实时的方式提供，确保用户和第三方能够动态利用数据

数字市场法案（DMA）

-DMA 于 2024 年 3 月 6 日起正式生效。

-所有被认定为「守门人」的实体，均符合以下标准：年营业额超过 75 亿欧元、在至少 3 个欧盟成员国开展业务、每月活跃终端用户超过 4500 万、每年商业用户超过 10000 名

-DMA 禁止 IT 企业采取以下措施：优待自有品牌商品和服务、捆绑销售自有软件、非法利用和圈占个人信息。以谷歌的检索服务为例，研发安卓智能手机的制造商，被强行要求默认使用谷歌的搜索服务，这在很早以前就被欧盟委员会视为垄断行为，DMA 实施后，此类行为将被禁止。

《数字服务法案》（DSA）

-DSA 于 2024 年 2 月 17 日起全面适用。

-DSA 构建了全球最为严格的在线平台监管框架之一，重点规制非法内容、广告透明度及虚假信息等问题，适用于中介服务提供商、托管服务提供商、在线平台和在线搜索引擎。

-在内容审核方面，DSA 设定了数字服务提供者的监督义务。第一，平台必须为用户提供选择或拒绝接受个性化推荐的选项以及非法内容举报的渠道，使用户能够了解系统规则并标记“可信任”标签。第二，数字平台一旦收到用户举报信息应立刻删除相关内容和产品，且及时并充分地告知数字服务提供者应采取的相关措施。若未及时删除，平台将被处以其全球营业额 6% 的罚款。第三，若平台未遵守尽职调查义务，数字服务接受者及其代表组织可就其未履行责任所造成的任何损失寻求补偿。

-在算法数据方面，DSA 为数字服务提供者规定了新的透明义务。第一，数字平台应采取科学算法，授权研究人员访问其算法机制和数据系统，以提高其内部运营的透明程度。第二，数字平台有义务评估和减轻系统性风险，并每年接受独立审计，发布年度报告解释其进行的内容审核，防止其系统被滥用，从而有效减少虚假信息的传播。第三，科技公司需要向数据监管机构和研究人员支付全球营业额的 0.05% 作为监管费。

-在定向广告方面，DSA 为超大型在线服务平台规定了更严格的责任。DSA 禁止基于宗教信仰、性取向、种族或政治派别投放在线广告。并且，为了保护未成年人，DSA 明确规定平台不允许向未成年人投放定向广告。同时，平台用户有权选择“基于无跟踪广告”的方式进行访问。

中华人民共和国数据安全法（DSL）

-DSL 已于 2021 年 9 月 1 日正式施行。

-DSL 阐明并扩展了“核心”和“重要”数据以及某些类型的数据处理程序的数据本地化和数据传输要求。例如，处理与信息网络、基础设施和自然资源有关的数据的关键信息基础设施运营商（“CIIO”）必须确保在中国生成的数据存储在中国，并确保在源自中国之前进行安全自我评估数据发送到国外。此外，DSL 指示为非 CIIO 制定额外的规则和条例。

-CIIO 和非 CIIO 不得在未经相关中华人民共和国事先批准的情况下，向任何外国司法或执法机构提供任何存储在中国的数据，无论数据的敏感程度如何，也无论数据最初是否在中国收集当局。

-DSL 要求在中国开展业务的公司建立和完善其数据安全系统，在发现数据安全缺陷时采取补救措施，并及时将任何数据泄露情况通知用户和主管部门。

个人信息保护法（PIPL）

-PIPL 于 2021 年 11 月 1 日生效。

-PIPL 规范所有在规范所有在中国运营、与中国有业务往来或处理中国居民个人数据的企业，无论该企业是否位于中国。“个人信息”被广泛定义为涵盖“以电子或任何其他格式存储的与已识别或可识别自然人相关的任何信息”。只要该信息“与已识别或可识别的自然人有关”，即使该信息不足以识别特定个人，PIPL 仍然适用，但不可逆匿名化处理的个人信息不包括在内。

-PIPL 规定，如果数据处理者处理的个人信息量达到一定阈值，可能会触发数据本地化要求，同时数据处理者还需要指定一名信息保护官来监督正确处理和保护所收集的个人资料。

-数据处理者向境内外第三方传输个人信息前，必须先征得数据主体的知情同意，并确保数据接收者对数据的使用和数据处理方式遵守数据条款对象的同意。对于跨境传输，数据处理者还必须确保数据的外国接收者制定的数据保护要求不低于 PIPL 规定的要求。根据数据处理者基于其拥有的数据的敏感性和数量的分类，可能适用额外的要求。例如，拥有大量个人数据的 CIIO 和公司必须在向海外传输任何数据之前完成由国家互联网信息办公室牵头的强制性安全审查。

加州隐私权法案（CPRA）

-CPRA 于 2023 年 1 月 1 日生效。

-从事收集、处理或共享加州居民数据的营利性企业。要纳入范围，企业必须至少满足以下标准之一：

·年收入至少 2500 万美元·处理 10 万或更多消费者或家庭的数据·50% 或更多收入来自出售或共享个人信息

-相比 CCPA 最显著的一个变化是设立新的执法机构 - 加州隐私保护机构 (CPPA)，CPPA 有权受理并调查投诉案件，开具罚款单并制定法规条例。

-另一个重大修正是，扩大了 CCPA 的个人诉讼覆盖范围。CCPA 规定，只有因企业违规而导致未加密或未编辑的个人信息遭到非法访问、泄露、盗窃或披露的消费者才能以个人名义提起诉讼。CPRA 将个人诉讼范围扩大到包括任何违反 CCPA 的行为，无论是否有实质性的损害风险。此举意味着，将有更多消费者对违反 CCPA 规定的企业提起诉讼，企业将面临更大的潜在损失。

-最后，CPRA 进一步强化了 CCPA 的退出要求。CCPA 规定企业必须在主页上放置“勿出售我的个人信息”链接。CPRA 更进一步，要求企业在其隐私政策中明确表示自己是否出售消费者的个人信息，以及出售何种类型的个人信息。如果企业出售个人信息，则还必须在每个收集个人信息的页面上提供退出收集的按钮。

网络安全法规

网络安全法的范围正在全球范围内不断扩大。欧盟、美国、英国和中国要么正在收紧现有的网络安全法，要么正在出台新的法律，不遵守法规将面临巨额罚款和负面运营处罚。除了避免罚款之外，满足网络安全要求对于企业经营也日益重要。对于数字和互联产品而言，不遵守规定可能意味着被排除在整个市场之外。

《关键基础设施网络事件报告法案》（CIRCIA）

-2022 年 3 月 15 日签署。

-适用于总统政策指令 21 (PPD-21)定义的关键基础设施领域的所有私营和公共实体，包括在能源、医疗保健、金融服务、交通运输和通信领域运营的实体。

-2024 年 3 月，美国网络安全和基础设施安全局 (CISA) 发布了关键基础设施企业如何向政府报告网络攻击的规定草案，新规基于此前签署的 CIRCIA。根据新规，拥有和运营关键基础设施的公司需要在 72 小时内报告重大网络攻击，并在 24 小时内报告勒索软件支付情况。

《物联网网络安全改进法》

-《物联网网络安全改进法》于 2020 年 12 月正式签署。

-适用所有采购或管理物联网设备的联邦机构、向美国联邦机构供应物联网设备的物联网设备制造商或供应商以及美国联邦机构的物联网服务提供商。

-禁止机构在 2022 年 12 月 4 日之后采购或使用物联网设备，如果该设备被认为“不符合”美国国家标准和技术研究所(NIST)制定的标准。

-在此基础上，2021年，美国总统拜登签发了《关于改善国家网络安全行政令》，该行政令中强调了改善物联网安全的必要性，并要求启动消费物联网标签计划。这一行政命令代表了美国对于改善全国物联网网络安全更广泛的举措，为物联网产品设定了安全标准、明确了机构责任。

-2022 年 10 月，白宫召集了来自于物联网企业、高校、第三方协会和多个政府部门就物联网安全标签计划召开会议，其中提出了参考“能源之星（Energy Star）”计划来推动物联网安全标签计划。2023 年 7 月，美国宣布“U.S. Cyber Trust Mark”计划将于 2024 年正式启动。

《中华人民共和国网络安全法》

-《网络安全法》于 2017 年 6 月 1 日正式施行。

-2025 年 3 月，网信办发布了关于公开征求《中华人民共和国网络安全法（修正草案再次征求意见稿）》意见的通知

-结合实践中危害网络安全后果的情况，增加造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的和造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的情形，并参照《数据安全法》调整了现行《网络安全法》第五十九条罚款幅度，增加相应处罚规定；新增销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的法律责任；明确关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置处罚措施。

-统筹考虑《网络安全法》和《行政处罚法》的适用关系，专门新增一条衔接规定，明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的，依法从轻、减轻或者不予处罚；明确有关主管部门依据职责制定相应的行政处罚裁量基准。

《网络数据安全管理条例》

-《网络数据安全管理条例》自 2025 年 1 月 1 日起施行。

-《数安条例》是在 2017 年施行的《中华人民共和国网络安全法》以及 2021 年先后施行的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》基础上制定的，这三部法律共同构建了中国网络信息安全保护领域的基础性法律框架。

-《数安条例》首次将 1000 万人这个个人信息的数量级与重要数据联系在一起，即处理1000万人以上个人信息的网络数据处理者应当比照履行处理重要数据的网络数据处理者的义务（除了风险评估以外）。

-《条例》对个人信息处理规则的发布和披露要求进行了补充和完善。特别的，要求个人信息处理规则在说明个人信息保存期限时，如果“保存期限难以确定的，应当明确保存期限的确定方法”。网络数据处理者应当以清单等形式予以列明收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息。

-根据《条例》规定，因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息，网络数据处理者应当删除个人信息或者进行匿名化处理。

-《条例》强化了数据跨境流动中的安全管理要求，规定国家采取措施防范、处置数据跨境风险和威胁，禁止提供专门用于破坏、避开技术措施的程序、工具等，为数据跨境流动提供安全保障。

《欧盟网络弹性法案》（CRA）

-CRA 已于 2024 年 12 月 10 日正式生效。

-CRA 适用于广泛的数字产品。这包括智能手机和笔记本电脑等消费电子产品、智能手表和联网家用电器等物联网（IoT）设备、路由器和调制解调器等网络设备以及包括操作系统和应用程序在内的各种软件产品。现行法案涵盖在欧盟销售或提供的带有数字元素硬件或软件的产品。

-CRA 提出了四个具体目标：

1. 确保制造商从设计和开发阶段到整个生命周期中提高带有数字元素的产品的安全性;2. 确保连贯的网络安全框架，促进硬件和软件生产商的合规性;3. 提高具有数字元素的产品安全属性的透明度；4. 使企业和消费者能够安全地使用带有数字元素的产品。

-《网络弹性法案》规定，具有数字元素的产品只有在满足 CRA-Annex I 中规定的特定基本网络安全要求的情况下才能在欧盟市场上销售。

《产品安全和电信基础设施法案》（PSTI）

-PSTI 于 2024 年 4 月 29 日强制实施。

-适用于任何英国消费智能产品的制造商、以另一实体的名称或商标销售该实体生产的产品的实体、英国消费智能产品的进口商以及英国消费智能产品的分销商

-PSTI 法案的最低要求是产品满足通用弱密码、软件维护周期和漏洞报告这三个要求，并提供评估报告等技术文件，在产品中附带符合性声明。

1. 密码强度——不再使用通用默认密码或容易猜到的默认密码。2. 加强问责制——制造商必须设立一个公开的联络点，方便消费者报告漏洞。3. 提高透明度——制造商必须向消费者明确说明安全更新的最短时限。

人工智能法规

如今，人工智能技术发展速度超越全球监管发展。人工智能是技术发展速度超过立法步伐的典型例子，导致许多司法管辖区缺乏监管或缺乏明确的合规要求。各国政府仍处于人工智能治理的早期阶段，依赖指导方针而非法规。与此同时，世界许多国家正在向欧盟、美国和中国寻求监管方向。许多政府推迟了本国人工智能监管工作，以观察这些领先经济体如何构建治理结构。总体而言，欧盟正在推进严格的、基于规则的人工智能监管；而美国则倾向于采取更注重创新的方式；相比之下，中国则优先通过国家主导的安全和执法框架进行管控。

《生成式人工智能服务管理暂行办法》

-《暂行办法》于 2023 年 8 月 15 日正式生效

-适用于开发、部署或提供 GenAI 服务（例如 LLM、图像生成器和自动内容创建工具）的 GenAI 服务提供商，以及 AI 基础设施和平台运营商，例如为生成 AI 服务提供基础设施的云计算平台、数据中心和算法市场。未向境内公众提供生成式人工智能服务的，不适用本办法的规定。

-生成式人工智能若想尽可能提高产出结果的准确性，不可避免地需要进行大量的数据训练。《暂行办法》就生成式人工智能数据训练提出了具体的合规要求，第四条第三款要求提供者“尊重知识产权、商业道德，保守商业秘密……”，第七条要求提供者“依法开展预训练、优化训练等训练数据处理活动，遵守以下规定：使用具有合法来源的数据和基础模型”、“涉及知识产权的，不得侵害他人依法享有的知识产权”、“涉及个人信息的，应当取得个人同意或者符合法律、行政法规规定的其他情形”“采取有效措施提高训练数据质量，增强训练数据的真实性、准确性、客观性、多样性”以及“遵守其他有关规定和有关主管部门的相关监管要求”。

-《暂行办法》对数据训练作出了更为细化的规定，包括训练数据标注规则和标注人员的要求，即生成式人工智能服务提供者应“制定符合本办法要求的清晰、具体、可操作的标注规则；开展数据标注质量评估，抽样核验标注内容的准确性；对标注人员进行必要培训，提升尊法守法意识，监督指导标注人员规范开展标注工作”。

《人工智能法案》

-欧盟 AI 法案自 2024 年 8 月 1 日起生效，该法案的大部分条款自 2026 年 8 月 2 日起适用。

-风险分为四类，风险等级越高，管控越严格。其中，风险最高的情况包括：为唆使犯罪而利用人工智能技术操纵人的潜意识；使用高级监控摄像机等，将人脸识别等生物识别技术实时应用于犯罪搜查等。这些情况是被“禁止”的。第二高风险的情况包括：基于犯罪心理画像的犯罪预测、在入学考试和录用考试测评中应用人工智能。人类有义务保存和管理使用人工智能技术的历史记录。

-法案规定，聊天机器人等人工智能系统必须明确告知用户他们在与机器互动，人工智能技术提供商必须确保合成的音频、视频、文本和图像内容能够被检测为人工智能生成的内容。此外，该法案规定，禁止使用被认为对用户基本权利构成明显威胁的人工智能系统。

第 14141 号行政命令

-该行政令要求美国国防部和能源部租赁联邦场地，以便私营部门可以快速、大规模地建设人工智能基础设施，旨在确保美国能够快速大规模地建设下一代人工智能运营所需的基础设施。

-不过，特朗普政府在 2025 年 7 月 23 日发布的行政命令与事实说明书，表示为全面推动人工智能发展，并确保美国在全球 AI 领域的领导地位，已签署多项关键行政命令。为提高效率，该命令撤销前任政府于 2025 年 1 月 14 日发布的第 14141 号行政命令。

-该命令曾对联邦土地上的AI数据中心开发施加了多元、公平与包容（DEI）及气候相关要求。新政策指示各机构在10天内识别并利用现有“类别排除”（categorical exclusions），以加速合格项目的建设。同时，环境质量委员会（CEQ）将协调设立新的类别排除，适用于对人类环境影响不大的合格项目相关活动。

可持续发展法规

可持续发展和 ESG 法规正在重塑全球企业的经营逻辑与竞争格局。随着欧盟《企业可持续发展报告指令》（CSRD）、美国 SEC 气候信息披露规则、中国“双碳”政策等相继落地，企业必须更加系统地管理碳排放、资源利用、劳工权益和治理结构，否则不仅面临合规风险和高额罚款，还可能失去跨国客户、资本市场和公众的信任。与此同时，这些法规也在推动企业将绿色低碳、社会责任和透明治理转化为新的竞争力，促使它们加快技术创新、优化供应链管理、提升品牌价值。

碳边境调节机制（CBMA）

-CBAM 于 2023 年 10 月开始试运行，过渡期至 2025 年底。

从 2023 年 10 月 1 日至 2025 年 12 月 31 日为过渡期，此期间进口商只需按季度报告相关产品在国内外生产过程中排放的温室气体情况，无需实际支付费用。

自 2026 年 1 月 1 日起，进入正式实施阶段，进口商要开始购买排放证书，其价格依据欧盟境内生产同类商品所需支付的碳价制定。到 2034 年间将逐步全面实施，覆盖范围和执行力度会不断扩大与加强。

-首批受 CBAM 影响的主要是碳密集型且易发生碳泄漏的行业产品，包括水泥、钢铁、铝、化肥、电力、氢气等。长远来看，未来可能会逐步扩大到更多高碳排放的行业和产品，只要是在生产过程中排放温室气体的进口商品，都有可能被纳入 CBAM 的管控范围。对企业而言，无论规模大小，只要涉及这些产品向欧盟的出口，都需密切关注 CBAM 动态并积极应对。欧盟碳边境调节机制规定 “碳关税” 征收的行业覆盖范围包括钢铁、水泥、铝、化肥、电力及氢。

-该协议还确定了削减欧盟企业免费配额的时间表，从 2026 年开始削减，逐步到 2034 年实现全部取消。具体来看，到 2026 年，这些行业的免费配额将取消 2.5%，2027 年取消 5%， 2028 年取消 10%， 2029 年取消 22.5%， 2030 年取消 48.5%， 2031 年取消 61%， 2032 年取消 73.5%， 2033 年取消 86%， 2034 年取消 100%。

《企业可持续发展报告指令》（CSRD）

-CSRD 于 2023 年 1 月 5 日起正式生效，并于 2024 年至 2029 年分阶段实施。

-适用所有满足以下任一标准的公司：大型欧盟公司（满足收入标准）、在欧盟监管市场上市、欧盟银行或保险公司、非欧盟公司（满足收入标准）

-CSRD 报告基于双重重要性的概念。组织必须披露其业务活动对地球和人类的影响，以及其可持续发展目标、措施和风险对企业财务健康状况所造成影响的相关信息。例如，除了要求组织报告其能源使用和成本外，CSRD 还要求它们报告排放指标，详细说明能源使用如何影响环境、减少影响的目标以及实现这些目标对组织财务的影响相关信息。所有 CSRD 披露信息均须公开，并且 CSRD 要求对所有披露信息进行第三方审计，以确保其准确性和完整性。

《可持续产品生态设计条例》 (ESPR)

-ESPR 于 2024 年 7 月 18 日生效。

-适用于所有在欧盟市场上销售实体商品的制造商，包括零部件和中间产品（食品和饲料、医疗产品、生物体、车辆和建筑行业的某些产品除外）、实体商品的进口商和分销商，以及在线市场和在线搜索引擎。

-产品必须同时满足定量和定性要求，即“生态设计要求”和“性能要求”，以达到指定的可持续性水平。只有这样，产品才能获准在欧盟市场上制造、进口和销售。

-《可持续产品生态设计法规》将为所有范围内的产品引入数字产品护照，以便消费者和当局获取可持续性信息。与生态设计和性能要求类似，数字产品护照将遵循产品类别方法。欧盟委员会将在授权法案中规定每个产品组必须在数字产品护照中披露哪些信息。数字产品护照中的信息可包括唯一产品标识符、唯一运营者标识符（例如制造商）、唯一设施标识符（例如工厂）、全球贸易项目代码、用户手册、欧盟符合性声明、技术文件以及为消费者和其他运营者提供的产品维护和维修信息。这将使与该产品相关的行为者和生产设施得到追踪。

《企业可持续发展与尽职调查指令》（CSDDD）