Have Your Say: Những gì chúng tôi đã gửi tới Ủy ban châu Âu về Quy định về Sổ đăng ký DPP
BlogQuy định08/05/2026

Have Your Say: Những gì chúng tôi đã gửi tới Ủy ban châu Âu về Quy định về Sổ đăng ký DPP

Bốn ý kiến đóng góp cho đợt tham vấn công khai: về định nghĩa nghĩa vụ của nhà cung cấp dịch vụ DPP, về khả năng xác minh lâu dài, về việc chia sẻ dữ liệu theo Điều 17 và về việc công bố API trước khi luật có hiệu lực.

Vào ngày 29 tháng 4 năm 2026, Ủy ban Châu Âu đã công bố Dự thảo Quy định thi hành về Sổ đăng ký DPP⁠ và đồng thời mở một đợt lấy ý kiến kéo dài bốn tuần. Cho đến ngày 27 tháng 5 năm 2026, mọi cá nhân và tổ chức trong EU cũng như ngoài EU đều có thể gửi ý kiến phản hồi qua cổng thông tin «Have Your Say». Các ý kiến này được công khai, mỗi ý kiến đều được ký tên hoặc ghi rõ tên tổ chức, và sẽ được chính thức đưa vào bản cuối cùng của quy định.

Chúng tôi đã thảo luận chi tiết về bản dự thảo này trên blog. Bài viết này dành để trình bày những ý kiến mà chúng tôi đã gửi phản hồi lại cho Ủy ban.

Tại sao chúng tôi lại gửi bốn ý kiến riêng biệt

Cổng thông tin này chỉ chấp nhận tối đa 4.000 ký tự cho mỗi ý kiến. Chúng tôi có thể đã gom tất cả các điểm vào một ý kiến dài. Điều đó sẽ gây khó khăn hơn cho các nhân viên của Ủy ban - những người sẽ phải xem xét hàng chục ý kiến vào tháng 5 - trong việc đọc và trích dẫn. Bốn ý kiến riêng biệt có thể được tìm thấy dễ dàng trong danh sách công khai, và mỗi ý kiến có thể được trả lời - hoặc bác bỏ - một cách độc lập mà không ảnh hưởng đến các nội dung khác.

Chúng tôi đã gửi bốn chủ đề sau đây:

1. Xác định các yêu cầu tối thiểu đối với nhà cung cấp dịch vụ DPP

Dự thảo quy định đã xác định chính xác mô hình phi tập trung: Dữ liệu DPP được lưu trữ tại đơn vị kinh doanh hoặc tại nhà cung cấp dịch vụ DPP của đơn vị đó, trong khi sổ đăng ký của Ủy ban chỉ lưu trữ các tham chiếu. Đối với các nhà cung cấp dịch vụ DPP (Điều 2, Khoản 32 của ESPR), dự kiến sẽ có một danh sách chính thức các nhà cung cấp được cấp phép.

Điều còn thiếu là quy định cụ thể về những gì một nhà cung cấp dịch vụ thực sự phải đáp ứng để được đưa vào danh sách này và duy trì vị trí trong đó. Có lẽ các nghĩa vụ cụ thể sẽ được quy định trong một văn bản pháp luật ủy quyền theo Điều 4 của Quy định cơ bản ESPR. Tuy nhiên, sổ đăng ký sẽ bắt đầu hoạt động trước khi văn bản pháp luật này được công bố.

Đề xuất của chúng tôi: Hoặc quy định trực tiếp các tiêu chí tối thiểu dành cho nhà cung cấp dịch vụ ngay trong quy định thi hành này, hoặc nêu rõ một thời hạn bắt buộc để văn bản pháp luật được ủy quyền phải được trình lên. Các yêu cầu tối thiểu được đề xuất bao gồm:

  • Tỷ lệ sẵn sàng của giao diện đọc DPP công khai phải đạt ít nhất 99,5% mỗi tháng
  • Thỏa thuận mức độ dịch vụ (SLA) quy định thời gian mà phiên bản DPP mới phải được cập nhật vào bản sao lưu an toàn (Đề xuất: 24 giờ hoặc theo thời gian thực, nếu kỹ thuật cho phép)
  • Yêu cầu nhà cung cấp dịch vụ phải thực hiện xác minh mật mã đối với các phiên bản nhận được
  • Công bố các khóa công khai của chủ thể kinh tế theo một đường dẫn tiêu chuẩn (RFC 8615, đề xuất /.well-known/dpp-keys/)
  • Quy trình chuyển đổi và xử lý phá sản được xác định rõ ràng, để dữ liệu DPP có thể được di chuyển một cách có trật tự sang nhà cung cấp khác trong trường hợp nhà cung cấp hiện tại ngừng hoạt động

Những nghĩa vụ này không tốn kém gì đối với một nhà cung cấp uy tín - họ vốn đã tuân thủ chúng - nhưng lại ngăn chặn cuộc đua giảm giá giữa các nhà cung cấp giá rẻ, điều mà cuối cùng sẽ làm suy yếu danh sách.

2. Khả năng xác minh lâu dài đối với các DPP đã đăng ký

Điều 9(4) quy định thời hạn hiệu lực của chứng nhận đăng ký tối đa là 90 ngày dương lịch. Trong khoảng thời gian này, cơ quan đăng ký sẽ cấp lại chứng nhận khi có yêu cầu. Điều này phù hợp với hoạt động thường ngày, nhưng không phù hợp với vòng đời của nghĩa vụ DPP liên quan: Điều 10(3) quy định thời hạn lưu trữ tiêu chuẩn là 10 năm kể từ ngày đăng ký; luật ngành có thể yêu cầu thời hạn dài hơn.

Một cơ quan giám sát thị trường, một nhân viên hải quan, một đơn vị tái chế hoặc một nhà nghiên cứu vào năm 2032 nên có thể xác minh rằng một DPP được đăng ký vào năm 2026 thực sự đã được đăng ký, mà không cần phải phụ thuộc vào việc chủ thể kinh tế ban đầu vẫn còn tồn tại và có thể yêu cầu cấp lại giấy chứng nhận mới.

Hai đề xuất của chúng tôi dễ thực hiện:

  • Làm rõ một cách rõ ràng rằng các byte bằng chứng được Ủy ban châu Âu đóng dấu xác thực có thể được chủ thể kinh tế hoặc nhà cung cấp dịch vụ lưu trữ tạm thời, lưu trữ lâu dài và phân phối tiếp. Con dấu đủ điều kiện theo Điều 35(2) của Quy định eIDAS mang theo giả định về tính toàn vẹn và nguồn gốc, bất kể các byte đó được lưu trữ ở đâu.
  • Thiết lập một điểm cuối xác minh công khai, không cần xác thực tại cơ quan đăng ký, cung cấp phản hồi có chữ ký liên quan đến mã số đăng ký. Hiện nay, mọi quá trình kiểm tra của bên thứ ba đều yêu cầu chủ thể kinh tế phải chủ động thực hiện - đây không phải là hình thức phù hợp cho một tài liệu chứng minh cần phải tồn tại lâu hơn cả người cấp.

Ngoài ra, chúng tôi đã đề xuất xác định việc tạo hàm băm theo cách xác định trước: SHA-256 làm hàm băm, JSON Canonicalization Scheme (RFC 8785)⁠ làm phương thức tuần tự hóa, nằm bên ngoài khối chữ ký. Trong hệ sinh thái W3C, đây là bộ công cụ mã hóa eddsa-jcs-2022, được Transpareo sử dụng trực tiếp để ký. Nếu không có quy định ghim này, hai nhà cung cấp dịch vụ sẽ chuyển đổi cùng một DPP thành các giá trị băm khác nhau, và trường giá trị băm trong bằng chứng đăng ký sẽ không thể tái tạo được.

3. Điều 17 không được hạn chế quyền truy cập vào dữ liệu DPP công khai

Điều 17 nêu “tải xuống dữ liệu hàng loạt” là một hình thức lạm dụng tiềm ẩn của sổ đăng ký. Đối với siêu dữ liệu quản lý nằm ngay trong chính sổ đăng ký (thông tin nhận dạng, nhật ký, dấu vết kiểm toán), điều này là chính xác - những dữ liệu này không thuộc phạm vi tải xuống hàng loạt.

Tuy nhiên, dữ liệu DPP công khai tại nhà sản xuất hoặc nhà cung cấp dịch vụ lại chính là phạm vi mà ESPR mong muốn mở rộng quyền truy cập. Các doanh nghiệp tái chế thu thập dữ liệu tổng hợp về các dòng sản phẩm; các nghiên cứu phân tích chéo các tuyên bố về tính bền vững; các cơ quan giám sát thị trường thực hiện phân tích so sánh - tất cả đều là các hình thức “tải xuống dữ liệu hàng loạt” từ lớp DPP công khai và đều là những mục đích sử dụng mà quy định này được soạn thảo nhằm hướng tới.

Đề xuất của chúng tôi là bổ sung một câu làm rõ trong Điều 17, giới hạn phạm vi áp dụng đối với dữ liệu sổ đăng ký và đối với dữ liệu DPP thì tham chiếu đến các văn bản pháp luật ủy quyền cụ thể cho từng ngành. Nếu không, khi bắt đầu hoạt động, các nhà cung cấp dịch vụ sẽ phải đối mặt với một sự lựa chọn: hoặc là hạn chế mạnh tay số lượt truy cập công khai để đảm bảo an toàn - và làm hỏng trải nghiệm của người tiêu dùng - hoặc là để mở và mạo hiểm bị phân loại là lạm dụng theo nghĩa của Điều 17 sau này.

4. Công bố đặc tả OpenAPI và môi trường thử nghiệm (Sandbox) trước khi ra mắt

Điều 3(b) yêu cầu phải có API cho việc đăng ký. Điều 8(5) quy định đây là một trong hai kênh đăng ký. Tuy nhiên, Quy định không đề cập đến thời điểm công bố hợp đồng API.

Bất kỳ ai tự động hóa quy trình đăng ký - bao gồm mọi nhà cung cấp dịch vụ và mọi chủ thể kinh tế có danh mục sản phẩm/dịch vụ lớn - đều cần có thông số kỹ thuật API từ rất sớm trước khi ra mắt để triển khai và thử nghiệm với một điểm cuối thực tế. Việc chỉ tìm thấy thông số kỹ thuật vào tuần trước khi quy định có hiệu lực sẽ chuyển rủi ro tích hợp sang tất cả các nhà cung cấp trong hệ sinh thái.

Do đó, chúng tôi đã đề xuất:

  • Công bố thông số kỹ thuật OpenAPI 3.1 ít nhất tám tuần trước khi quy định có hiệu lực - tức là trước ngày 24 tháng 5 năm 2026 đối với thời điểm bắt đầu là ngày 19 tháng 7 năm 2026
  • Một môi trường thử nghiệm (sandbox) song song, nơi các nhà cung cấp dịch vụ và nhà sản xuất có thể tích hợp và kiểm thử tính tự động xác minh theo Điều 8(6)
  • Chính sách quản lý phiên bản theo Semver, với thời gian thông báo ngừng hỗ trợ tối thiểu là 18 tháng

Các đề xuất thiết kế bổ sung: Khóa idempotency cho các lệnh gọi đăng ký, đăng ký theo lô cho các danh mục lớn, đăng ký không đồng bộ với callback Webhook và mã lỗi có thể đọc được bằng máy cho các trường hợp lỗi trong quá trình xác minh tự động.

Tại sao chúng tôi làm điều này

Một cuộc tham vấn không phải là trò chơi để tích điểm. Nếu mỗi ý kiến đóng góp giúp làm rõ hơn một câu duy nhất trong bản cuối cùng, thì nó đã hoàn thành mục đích của mình. Ủy ban thực sự đọc các đóng góp này - kinh nghiệm từ chính quy trình ESPR cho thấy rằng những ý kiến đóng góp có cơ sở kỹ thuật thường để lại dấu ấn trong các văn bản cuối cùng.

Dù sao đi nữa, chúng tôi cũng sẽ nộp đơn đăng ký để được đưa vào danh sách các nhà cung cấp dịch vụ DPP ngay khi quy trình tuyển chọn được công bố. Do đó, việc các quy tắc mà chúng tôi phải tuân thủ phải chính xác và xác định một sân chơi công bằng là lợi ích trực tiếp của chúng tôi. Bốn ý kiến đóng góp này là cách cụ thể của chúng tôi để đảm bảo rằng danh sách này không bị biến thành một nhãn hiệu tiếp thị đơn thuần.

Ai muốn tham gia

Thời hạn góp ý kéo dài đến ngày 27 tháng 5 năm 2026. Các ý kiến có thể được gửi bằng bất kỳ ngôn ngữ chính thức nào của EU, yêu cầu đăng ký trên cổng thông tin và sẽ được công khai. Những ai sẽ cấp hoặc xác minh DPP - bao gồm nhà sản xuất, nhà cung cấp dịch vụ, đơn vị tái chế, cơ quan chức năng - nên dành thời gian đọc qua ít nhất một lần về sáng kiến này tại Have Your Say⁠. Ngay cả một ý kiến ngắn gọn nhưng chính xác về mặt chuyên môn cũng có giá trị.

Công cụ xác minh của chúng tôi Transpareo Time Machine thực tế đã đáp ứng nhu cầu xác minh được đề cập ở điểm 2 ngay trong thực tiễn mã nguồn mở: Ai muốn kiểm tra độc lập một Transpareo-DPP thì ngay từ hôm nay đã có thể thực hiện điều đó bằng công cụ này, mà không cần phải chờ đợi một điểm cuối xác minh chính thức được thiết lập trong sổ đăng ký của Ủy ban.

Các bản cập nhật về Quy định về Sổ đăng ký DPP

Ngay khi Ủy ban có phản hồi về các ý kiến đóng góp đã nhận được, chúng tôi sẽ tóm tắt những nội dung quan trọng nhất và gửi vào hộp thư đến của quý vị.