Ngày 29 tháng 4 năm 2026, Ủy ban Châu Âu đã công bố dự thảo Quy định thi hành về Sổ đăng ký Hộ chiếu Sản phẩm Kỹ thuật số (Ares(2026)4424976). Dự thảo này cụ thể hóa Điều 13(5) của ESPR (Quy định 2024/1781) và quy định cách thức hoạt động về mặt kỹ thuật và tổ chức của Sổ đăng ký do Ủy ban điều hành.
Văn bản này được đánh dấu là dự thảo và chưa được thông qua. Tuy nhiên, các cơ chế chính đã có thể nhận thấy rõ ràng - và chúng có những hệ quả trực tiếp đối với mọi nhà sản xuất phải cấp DPP từ năm 2027 trở đi.
Sổ đăng ký là gì - và không phải là gì
Trước hết cần làm rõ: Sổ đăng ký của EU không lưu trữ chính dữ liệu DPP. Đây là một dịch vụ danh bạ tập trung, lưu giữ cho mỗi lần đăng ký một mã định danh duy nhất, mã hàng hóa, danh tính của chủ thể kinh doanh, mã băm (hash) của phiên bản DPP và liên kết đến bản sao lưu tại nhà cung cấp dịch vụ DPP.
Điều 3 trong Phần Lý do nêu rõ đây là một “mô hình phi tập trung”: Dữ liệu sản phẩm vẫn được lưu trữ tại nhà sản xuất hoặc trên nền tảng DPP của họ. Cơ sở dữ liệu đăng ký là danh sách địa chỉ chuẩn, không phải là kho dữ liệu cô lập.
Về mặt chức năng, sổ đăng ký bao gồm:
- một giao diện web và một API để đăng ký
- một nền tảng xác minh dành cho các chủ thể kinh tế
- danh sách các nhà cung cấp dịch vụ DPP được cấp phép
- kho lưu trữ ngữ nghĩa (đa ngôn ngữ, được cấu trúc theo DCAT-AP) làm tài liệu tham khảo cho các thuộc tính dữ liệu, cấu trúc mô hình và vai trò
- hệ thống nhật ký với các thời hạn lưu trữ theo từng cấp độ
Xác minh trước khi đăng ký
Không có DPP nào được tạo trong sổ đăng ký trước khi chủ thể kinh tế nộp đơn được ghi nhận là “chủ thể kinh tế đã được xác minh” (Điều 4). Việc xác minh được thực hiện trực tiếp tại Cơ sở dữ liệu đăng ký và sử dụng các phương tiện eIDAS theo Quy định 910/2014:
- Pháp nhân trong EU: con dấu điện tử đủ điều kiện hoặc chứng nhận thuộc tính điện tử
- Cá nhân là chủ doanh nghiệp cá thể tại EU: chữ ký điện tử đủ điều kiện, eID cấp độ “cao” hoặc chứng nhận thuộc tính
- Các chủ thể bên ngoài EU: chữ ký hoặc con dấu điện tử đủ điều kiện hoặc chứng nhận thuộc tính
Thời hạn hiệu lực của việc xác minh tối đa là ba năm. Ai không gia hạn sẽ bị chuyển sang trạng thái “chưa được xác minh” và mất quyền đăng ký các DPP mới hoặc sửa đổi các DPP hiện có (Điều 4(4)).
Việc xác minh này là điều kiện pháp lý bắt buộc. Trách nhiệm này thuộc về nhà sản xuất và Ủy ban Châu Âu - và sẽ không được ủy quyền ngay cả khi một nhà cung cấp dịch vụ như Transpareo đảm nhận việc đăng ký thực tế.
Mức độ chi tiết: Mẫu, lô hoặc mặt hàng
Điều 8 yêu cầu các DPP phải được đăng ký ở mức độ chi tiết mà văn bản pháp luật ngành tương ứng quy định - mẫu, lô hoặc ## mặt hàng. Khi tạo DPP cho mặt hàng và nếu đã có ID lô hoặc ID mẫu, các thông tin này phải được đi kèm. Đối với DPP theo lô, quy định tương tự cũng áp dụng cho mã định danh mẫu.
Đối với các nhà sản xuất, điều này có nghĩa là: Dữ liệu gốc nội bộ cần có một hệ thống phân cấp rõ ràng giữa mẫu, lô và sản phẩm riêng lẻ. Nếu thiếu mối liên kết này, quá trình xác thực tự động của việc đăng ký sẽ không thành công.
Quản lý phiên bản, mã băm và lưu trữ
Mỗi phiên bản DPP được liên kết với ID đăng ký ban đầu. Mỗi khi có thay đổi, Cơ quan đăng ký yêu cầu mã băm của phiên bản DPP hiện tại - có thể xác minh bằng mật mã, không thể tạo thủ công.
Bằng chứng đăng ký (Điều 9) là một tài liệu điện tử được Ủy ban niêm phong có chứng nhận và gắn dấu thời gian. Nội dung tối thiểu bao gồm: ID đăng ký, mã hàng hóa, danh tính chủ thể, ngày tháng và giá trị băm của phiên bản mới nhất. Hiệu lực trong 90 ngày, có thể tái tạo bất cứ lúc nào.
Thời hạn lưu trữ tiêu chuẩn: 10 năm kể từ ngày đăng ký, trừ khi luật của Liên minh Châu Âu hoặc luật ngành quy định thời hạn khác (Điều 10(3) của Quy định thi hành về Sổ đăng ký DPP). Ngay cả trong trường hợp nhà sản xuất bị phá sản hoặc giải thể cũng không miễn trừ nghĩa vụ đảm bảo tính sẵn có (Điều 11(e) của ESPR).
Hệ thống ghi nhật ký
Sổ đăng ký ghi nhật ký theo ba cấp độ (Điều 14):
- Các lần truy cập và xác thực: 6 tháng
- Thay đổi dữ liệu: Trong suốt thời gian đăng ký
- Các hành động hành chính và trao đổi dữ liệu: 5 năm
Các cơ quan chức năng quốc gia được cấp quyền truy cập trong trường hợp xảy ra sự cố, kiểm toán hoặc kiểm tra ngẫu nhiên.
Dữ liệu cá nhân - những thông tin mà Ủy ban lưu trữ
Điều 18 liệt kê các dữ liệu chỉ được lưu trữ tại Sổ đăng ký: họ và tên của mỗi người dùng, thông tin đăng nhập, mã xác thực (Auth-Tokens), địa chỉ bưu chính, email. Đối với cá nhân, thêm số hộ chiếu hoặc số thẻ căn cước, eID, mã số thuế. Các dữ liệu này không liên quan đến nhà cung cấp dịch vụ DPP. Ủy ban là bên kiểm soát dữ liệu tài khoản này, trong khi chủ thể kinh tế vẫn là bên kiểm soát dữ liệu DPP của mình.
Cách Transpareo đáp ứng các yêu cầu
Hầu hết các yêu cầu đều liên quan đến các quyết định về kiến trúc, mà Transpareo đã thực hiện theo hình thức này. Cụ thể:
Mô hình phi tập trung. Transpareo là một nền tảng đa người dùng (multi-tenant) với cơ sở dữ liệu riêng biệt cho từng khách hàng. Dữ liệu DPP được lưu trữ trong cơ sở dữ liệu của chủ thể kinh doanh, không nằm trong một kho dữ liệu tập trung - chính xác là kiến trúc mà Điều 3 yêu cầu.
Vai trò của bên xử lý dữ liệu được phân định rõ ràng. Điều 19(5) và 20(3) quy định rằng chủ thể kinh doanh vẫn là người kiểm soát dữ liệu, ngay cả khi họ ủy quyền cho bên thứ ba thực hiện việc đăng ký. Transpareo hiện đã hoạt động với tư cách là bên xử lý dữ liệu thông qua Thỏa thuận xử lý dữ liệu (AVV) - các vai trò được phân định rõ ràng.
URL dự phòng ổn định cho mỗi DPP. Mỗi DPP của Transpareo đều có thể truy cập qua một URL cố định, không thay đổi ngay cả khi có các bản cập nhật phiên bản. Đây chính là yêu cầu tại Điều 8(6)(d) về “liên kết đến bản sao lưu được lưu trữ bởi nhà cung cấp dịch vụ DPP (DPP-SP)”.
Mức độ chi tiết. Mô hình dữ liệu của Transpareo phân biệt giữa mô hình sản phẩm, lô hàng và sản phẩm riêng lẻ, đồng thời cho phép thiết lập các liên kết dọc theo hệ thống phân cấp - đây là điều kiện tiên quyết để đáp ứng Điều 8(3)/(4).
Ánh xạ ngữ nghĩa đa ngôn ngữ. Kho lưu trữ của Ủy ban hỗ trợ đa ngôn ngữ theo tiêu chuẩn DCAT-AP. Transpareo lưu trữ mỗi điểm dữ liệu bằng 39 ngôn ngữ, bao gồm cả 24 ngôn ngữ chính thức của EU, với dịch thuật là một phần của gói dịch vụ.
Hash phiên bản. Việc tuần tự hóa xác định theo JSON Canonicalization Scheme (RFC 8785) và một giá trị băm SHA-256 cho mỗi phiên bản DPP đã được triển khai. Chỉ còn định dạng ghim băm chính xác của Cơ quan đăng ký EU là chưa được xác định; ngay khi Ủy ban công bố, chúng tôi sẽ bổ sung tính năng này.
Đăng ký làm nhà cung cấp dịch vụ DPP. Transpareo sẽ nộp đơn đăng ký vào danh sách chính thức các nhà cung cấp dịch vụ DPP (Điều 2, Khoản 32 của ESPR) ngay khi quy trình tiếp nhận được công bố.
Đăng ký thay mặt khách hàng. Chúng tôi đang chuẩn bị dịch vụ để thực hiện việc đăng ký thay mặt cho các khách hàng được ủy quyền - trách nhiệm pháp lý của khách hàng vẫn không bị ảnh hưởng theo Điều 19(4).
Lịch trình
Điều 23 quy định thời điểm có hiệu lực: 20 ngày sau khi công bố trên Công báo. Ngày cụ thể sẽ phụ thuộc vào thời điểm Ủy ban thông qua bản cuối cùng. Thời hạn chính theo Điều 13(5) của ESPR là ngày 19 tháng 7 năm 2026 - đến thời điểm đó, hệ thống đăng ký phải đi vào hoạt động.
Dự kiến hệ thống đăng ký sẽ bắt đầu hoạt động hiệu quả từ ngày 18 tháng 2 năm 2027: Vào ngày này, Điều 77 của Quy định về pin của EU 2023/1542 sẽ có hiệu lực, và DPP sẽ trở thành bắt buộc đối với pin công nghiệp, pin xe điện (EV) và pin LMT có dung lượng trên 2 kWh. Chúng tôi đã ghi chi tiết các vấn đề còn tồn đọng liên quan đến các văn bản thi hành trong Lịch trình ESPR 2027. Từ nay đến thời điểm đó còn khoảng chín tháng. Ai đang lên kế hoạch cho các hợp đồng với nhà cung cấp, việc di chuyển dữ liệu cơ sở và các thủ tục phê duyệt nội bộ đều biết: thời gian này khá gấp rút, không dư dả.
Những vấn đề còn bỏ ngỏ
Bản thân quy định này mô tả khung tổ chức. Điều còn thiếu là thông số kỹ thuật của API - định dạng giao diện chính xác, các lược đồ và quy tắc xác thực. Những nội dung này dự kiến sẽ được ban hành dưới dạng hướng dẫn riêng của Ủy ban theo Điều 15(1), có thể trong năm 2026.
Tuy nhiên, cho đến lúc đó, hướng đi đã rất rõ ràng: kiến trúc phi tập trung, các bên tham gia được xác minh, chữ ký hợp lệ, mã đăng ký duy nhất, chuỗi phiên bản, khả năng tương tác ngữ nghĩa. Tất cả đều là những khái niệm sẽ không còn biến mất nữa.
Sáng kiến tham vấn chính thức của Ủy ban có thể truy cập tại Have Your Say.