2026年4月29日,欧盟委员会发布了《 数字产品护照登记册实施条例》草案(Ares(2026)4424976)。 该草案具体落实了《数字产品护照条例》(ESPR)第13(5)条([条例2024/1781](https://eur-lex.europa.eu/eli/reg/2024/1781/oj))第13条第5款,并规定了由欧盟委员会运营的该登记册在技术和组织层面的运作方式。
该文本标注为草案,尚未获得通过。 但其主要运作机制已清晰可见 ## - - 且将对2027年起必须出具DPP的每位制造商产生直接影响。
登记册的本质 - - 及其非本质特征
首先需要澄清一点:欧盟登记册 并不存储DPP数据本身。 它是一个中央目录服务,为每项注册记录保存一个唯一标识符、商品代码、经济主体身份、DPP版本的哈希值,以及指向DPP服务提供商处备份副本的链接。
考虑因素第3条将其称为“去中心化模型”:产品数据仍由制造商或其DPP平台保存。该注册库是权威的地址列表,而非数据孤岛。
从功能上讲,该注册库由以下部分组成:
- 用于注册的网页界面和API
- 面向经济主体的验证平台
- 经批准的 DPP 服务提供商名单
- 一个语义存储库(多语言,采用 DCAT-AP 结构),用作数据属性、模型结构和角色的参考
- 一个具有分级保存期限的日志系统
注册前的验证
在提交申请的经济运营商被列为 “已验证经济运营商”之前,该注册处不会创建任何DPP(第4条)。 验证由注册处直接进行,并采用《eIDAS条例》(910/2014号)[https://eur-lex.europa.eu/eli/reg/2014/910/oj]中的手段:
-欧盟境内的法人:合格电子印章或电子属性证书 -欧盟境内的个体经营者(自然人):合格电子签名、eID“高级”级别或属性证书 -欧盟以外的经营者:合格电子签名或电子印章,或属性证书
验证 有效期最长为三年。 未办理续期的主体将被标记为“未验证”,并丧失注册新DPP或修改现有DPP的权利(第4(4)条)。
此项验证是法律先决条件。该程序由制造商与欧盟委员会直接进行 - - 即使由Transpareo等服务提供商负责实际注册工作,该程序也不会被委托给第三方。
粒度级别:车型、批次或单品
第8条要求DPP须按照相关行业法规规定的粒度级别进行注册 - - 即车型 ## 、批次或单品。若创建单品DPP时已存在批次或车型ID,则必须一并包含。 对于批次DPP,型号ID的处理规则与此类似。
这对制造商而言意味着:内部主数据需要在型号、批次和单个产品之间建立清晰的层级关系。如果没有这种关联,注册的自动验证将无法通过。
版本控制、哈希值与保存
每个 DPP 版本均与原始注册 ID 相关联。每次修改时,注册处均要求提供 当前 DPP 版本的哈希值 - - 该值需可通过加密方式验证,且不可手动生成。
注册证明(第9条)是一份电子文件,由欧盟委员会加盖合格印章并附上时间戳。内容至少包括:注册ID、商品代码、相关方身份、日期以及最新版本的哈希值。 有效期为90天,可随时重新生成。
标准保存期限:自注册 之日起10年,除非欧盟法律或行业法规规定了其他期限(《DPP注册实施条例》第10(3)条)。 即使制造商破产或清算,也不免除其数据可用性义务(ESPR第11(e)条)。
日志系统
该登记册采用三级日志记录(第14条):
- 访问和身份验证: 6个月
- 数据变更: 注册有效期内
- 管理操作和数据交换: 5年
在发生事件、审计或抽查时,国家主管部门可获得访问权限。
个人数据 - - 欧盟委员会存储的内容
第 18 条列出了仅由登记册保存的数据:每位用户的姓名、登录凭证、身份验证令牌、邮寄地址、电子邮件。对于自然人,还包括护照或身份证号码、电子身份证 (eID)、纳税人识别号。 这些数据与DPP服务提供商 无关。委员会是这些账户数据的控制者,而经济主体仍对其DPP数据拥有控制权。
Transpareo如何满足这些要求
大多数要求涉及架构决策,而Transpareo已按此形式进行了相关设计。具体而言:
去中心化模型。Transpareo 是一个多租户平台,为每位客户提供独立的数据库。DPP 数据存储在经济主体的数据库中,而非集中池中 - - 这正是《一般数据保护条例》第 3 条所要求的架构。
数据处理者的角色界定清晰。第19条第5款和第20条第3款规定,即使经济主体委托第三方进行注册,其仍为数据控制者。Transpareo目前已作为数据处理者与AVV合作 - - 双方角色界定明确。
每个DPP均配有稳定的备份URL。每个Transpareo-DPP均可通过一个永久URL访问,该URL即使在版本变更后也不会改变。这正是第8条第6款第(d)项所要求的“指向由DPP-SP托管的备份的链接”。
粒度。Transpareo的数据模型区分了产品模型、批次和单个产品,并允许沿层次结构建立关联 - - 这是满足第8条第(3)款和第(4)款要求的先决条件。
多语言语义映射。欧盟委员会的数据仓库遵循 DCAT-AP 标准,支持多语言。Transpareo 为每个数据点提供 39 种语言版本(包括欧盟全部 24 种官方语言),且翻译服务已包含在费率之中。
版本哈希。已提供基于 JSON 规范化方案(RFC 8785)的确定性序列化,并为每个 DPP 版本生成一个 SHA-256 哈希值。 目前仅欧盟注册库的具体哈希固定格式尚未确定;一旦欧盟委员会公布该格式,我们将立即进行映射。
作为 DPP 服务提供商列入名录。一旦入选程序公布,Transpareo 将申请列入 DPP 服务提供商官方名录(《欧洲数据保护条例》(ESPR)第 2 条第 32 项)。
代为注册。我们正在筹备相关服务,将代表授权客户办理注册手续 - - 根据第19条第4款,客户的法律责任不受此影响。
时间表
第23条规定了生效时间:在《官方公报》发布后20天。具体日期取决于欧盟委员会何时通过最终版本。 《欧盟电池法规》(ESPR)第13(5)条规定的总授权日期为 **2026年7月19日 - - **登记册必须在此之前建立完毕。
该登记册预计要到 2027年2月18日才能真正投入运行: 届时,欧盟《2023/1542号电池条例》第77条将正式生效, DPP将对容量超过2 kWh的工业电池、电动汽车电池和轻型移动设备电池成为强制性要求。相关细节及《实施法案》中尚未明确的问题,我们已在《2027年ESPR时间表》中详细列出。距离该日期还有大约九个月。 对于需要规划供应商合同、主数据迁移和内部审批流程的人来说,这段时间显然是捉襟见肘,而非充裕。
尚待明确的事项
该条例本身描述了组织框架。 尚缺的是API的技术规范 - - 即具体的接口格式、数据模式和验证规则。这些内容预计将作为根据第15(1)条制定的单独欧盟委员会指南随后发布,很可能在2026年内出台。
但在那之前,发展方向已十分明确:去中心化架构、经过验证的参与方、合格签名、唯一的注册ID、版本链、语义互操作性。这些概念都将长期存在。
欧盟委员会的官方咨询倡议可通过 Have Your Say上。