国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

近年來，歐盟、美國、中國和英國相繼出臺涉及數據治理、ESG 披露、網絡安全等方面的新法規，對物聯網企業尤其是致力于全球化布局的中國物聯網企業產生了深遠影響。

首先，法規合規已成為市場準入的前置條件。各國的數據安全法案都對數據跨境流動、設備安全認證和個人隱私保護提出了更高要求，若企業未能提前建立合規機制，不僅可能面臨高額罰款與禁售風險，還會直接喪失進入關鍵市場的機會；同時，ESG 與可持續發展相關的新規正在快速提升企業的聲譽與信任門檻；更重要的是，地緣政治背景下的監管趨嚴使合規成為差異化競爭力。提前適配新規不僅能降低未來的整改成本，還能在國際合作、投標和供應鏈準入中搶占先機。

根據 IoT Analytics 發布的《2025-2030 年數字和 ESG 法規展望》（2025 年 8 月發布），新法規或修訂法規的采用正在加速。影響雷達顯示，有 4 項即將出臺的法規影響極高，需要引起企業緊急關注——分別是《歐盟網絡彈性法案》（CRA）、《歐盟數據法案》、《歐盟人工智能法案》和《歐盟 CSRD》。

總體而言，密切關注并積極應對這些新法規，已經不是物聯網企業的可選動作，而是能否走向全球市場并長期發展的關鍵所在。因此，本文將匯總整理 20 +物聯網企業必須關注的關鍵法規，包含以下四種類別：

1. 數據法規

2. 網絡安全法規

3. 人工智能法規

4. 可持續發展法規

數據法規

在數據法規方面，毫無疑問，歐盟擁有最嚴格、最成熟的數據法律，其《通用數據保護條例》（GDPR）仍然是個人數據保護的全球基準，擁有強大的用戶權利、違規報告要求和嚴厲的處罰措施，甚至像加州這樣的美國州也制定了與 GDPR 緊密相關的隱私法案。與此同時，中國的嚴格數據法案主要側重于國家安全，同時也允許用戶同意跨境數據傳輸。

通用數據保護條例（GDPR）

-GDPR 已于2018 年 5 月 25 日生效

-GDPR 適用于在歐盟成立的所有組織，以及處理歐盟人士個人數據的組織（不論這些組織是否是在歐盟成立的），這些數據與向歐盟數據主體提供商品或服務或者監控在歐盟發生的行為有關。個人數據指的是與已確定或可確定的自然人相關的所有信息，包括姓名、電子郵件地址和電話號碼。

-GDPR 規定企業組織必須從技術層面和組織結構層面采取適當的數據安全保護措施，并且“在適當的情況下”采用 GDPR 所給出的具體措施。GDPR 還規定在任何情況下，企業組織都必須在 72 小時內毫不拖延地向監督機構匯報數據泄露事故，并將可能產生高風險的泄露事故信息通知受到影響的個人。有鑒于此，企業有必要對所需采用的數據安全保護措施進行深入了解，并在必要時對數據泄露管理流程進行修改以符合 GDPR 的要求 。

-GDPR 中規定了一項新的問責要求，即公司必須證明其遵守 GDPR。在某些情況下，企業有必要任命一名數據保護官，而一套由適當的規章制度、員工培訓及數據隱私意識所支持的公司治理結構是履行企業職責并證明其合規性的關鍵所在。企業必須在充分理解問責制要求的基礎上對現有的規章制度進行審查、修改和補充以長期遵守。

《數據法案》（The Data Act）

-該法案將于 2025 年 9 月 12 日全面實施。

-在歐洲提供以下聯網產品及相關服務的企業均需履行數據共享義務：

·智能聯網汽車設備，如智能汽車、智能充電樁等

·智能家居設備，如智能冰箱、智能電視、掃地機器人、智能攝像頭等

·智能娛樂設備，如游戲機、手機、平板等

·智能網絡設備，如路由器、防火墻等

·可穿戴設備，如健康手環、智能手表等

·醫療健康設備，如智能血壓計、智能血糖儀、影像設備等

·工業自動化設備，如智能農業、智慧交通、智能制造、智能物流等

·其他聯網產品，如儲能設備等

-歐盟《數據法案》的實施分為多個階段，需注意以下兩個關鍵時間節點：①2025 年 9 月 12 日（法案正式適用，需提供間接數據訪問方式）

用戶申請訪問：數據持有者（如智能設備制造商）需在用戶申請時，免費、無延遲地提供現成可用的數據及相關元數據

用戶授權第三方訪問：用戶可授權第三方（如維修服務商）訪問數據，數據持有者需在收到申請后以同等質量向第三方提供數據

②2026 年 9 月 12 日（在這之后向歐盟市場投放的聯網產品，需提供直接數據訪問方式）

默認直接訪問：在技術可行的前提下，產品需默認允許用戶直接、免費、安全地訪問其生成的數據（包括元數據），無需額外申請。

實時連續性：數據需以連續、實時的方式提供，確保用戶和第三方能夠動態利用數據

數字市場法案（DMA）

-DMA 于 2024 年 3 月 6 日起正式生效。

-所有被認定為「守門人」的實體，均符合以下標準：年營業額超過 75 億歐元、在至少 3 個歐盟成員國開展業務、每月活躍終端用戶超過 4500 萬、每年商業用戶超過 10000 名

-DMA 禁止 IT 企業采取以下措施：優待自有品牌商品和服務、捆綁銷售自有軟件、非法利用和圈占個人信息。以谷歌的檢索服務為例，研發安卓智能手機的制造商，被強行要求默認使用谷歌的搜索服務，這在很早以前就被歐盟委員會視為壟斷行為，DMA 實施后，此類行為將被禁止。

《數字服務法案》（DSA）

-DSA 于 2024 年 2 月 17 日起全面適用。

-DSA 構建了全球最為嚴格的在線平臺監管框架之一，重點規制非法內容、廣告透明度及虛假信息等問題，適用于中介服務提供商、托管服務提供商、在線平臺和在線搜索引擎。

-在內容審核方面，DSA 設定了數字服務提供者的監督義務。第一，平臺必須為用戶提供選擇或拒絕接受個性化推薦的選項以及非法內容舉報的渠道，使用戶能夠了解系統規則并標記“可信任”標簽。第二，數字平臺一旦收到用戶舉報信息應立刻刪除相關內容和產品，且及時并充分地告知數字服務提供者應采取的相關措施。若未及時刪除，平臺將被處以其全球營業額 6% 的罰款。第三，若平臺未遵守盡職調查義務，數字服務接受者及其代表組織可就其未履行責任所造成的任何損失尋求補償。

-在算法數據方面，DSA 為數字服務提供者規定了新的透明義務。第一，數字平臺應采取科學算法，授權研究人員訪問其算法機制和數據系統，以提高其內部運營的透明程度。第二，數字平臺有義務評估和減輕系統性風險，并每年接受獨立審計，發布年度報告解釋其進行的內容審核，防止其系統被濫用，從而有效減少虛假信息的傳播。第三，科技公司需要向數據監管機構和研究人員支付全球營業額的 0.05% 作為監管費。

-在定向廣告方面，DSA 為超大型在線服務平臺規定了更嚴格的責任。DSA 禁止基于宗教信仰、性取向、種族或政治派別投放在線廣告。并且，為了保護未成年人，DSA 明確規定平臺不允許向未成年人投放定向廣告。同時，平臺用戶有權選擇“基于無跟蹤廣告”的方式進行訪問。

中華人民共和國數據安全法（DSL）

-DSL 已于 2021 年 9 月 1 日正式施行。

-DSL 闡明并擴展了“核心”和“重要”數據以及某些類型的數據處理程序的數據本地化和數據傳輸要求。例如，處理與信息網絡、基礎設施和自然資源有關的數據的關鍵信息基礎設施運營商（“CIIO”）必須確保在中國生成的數據存儲在中國，并確保在源自中國之前進行安全自我評估數據發送到國外。此外，DSL 指示為非 CIIO 制定額外的規則和條例。

-CIIO 和非 CIIO 不得在未經相關中華人民共和國事先批準的情況下，向任何外國司法或執法機構提供任何存儲在中國的數據，無論數據的敏感程度如何，也無論數據最初是否在中國收集當局。

-DSL 要求在中國開展業務的公司建立和完善其數據安全系統，在發現數據安全缺陷時采取補救措施，并及時將任何數據泄露情況通知用戶和主管部門。

個人信息保護法（PIPL）

-PIPL 于 2021 年 11 月 1 日生效。

-PIPL 規范所有在規范所有在中國運營、與中國有業務往來或處理中國居民個人數據的企業，無論該企業是否位于中國。“個人信息”被廣泛定義為涵蓋“以電子或任何其他格式存儲的與已識別或可識別自然人相關的任何信息”。只要該信息“與已識別或可識別的自然人有關”，即使該信息不足以識別特定個人，PIPL 仍然適用，但不可逆匿名化處理的個人信息不包括在內。

-PIPL 規定，如果數據處理者處理的個人信息量達到一定閾值，可能會觸發數據本地化要求，同時數據處理者還需要指定一名信息保護官來監督正確處理和保護所收集的個人資料。

-數據處理者向境內外第三方傳輸個人信息前，必須先征得數據主體的知情同意，并確保數據接收者對數據的使用和數據處理方式遵守數據條款對象的同意。對于跨境傳輸，數據處理者還必須確保數據的外國接收者制定的數據保護要求不低于 PIPL 規定的要求。根據數據處理者基于其擁有的數據的敏感性和數量的分類，可能適用額外的要求。例如，擁有大量個人數據的 CIIO 和公司必須在向海外傳輸任何數據之前完成由國家互聯網信息辦公室牽頭的強制性安全審查。

加州隱私權法案（CPRA）

-CPRA 于 2023 年 1 月 1 日生效。

-從事收集、處理或共享加州居民數據的營利性企業。要納入范圍，企業必須至少滿足以下標準之一：

·年收入至少 2500 萬美元

·處理 10 萬或更多消費者或家庭的數據

·50% 或更多收入來自出售或共享個人信息

-相比 CCPA 最顯著的一個變化是設立新的執法機構 - 加州隱私保護機構 (CPPA)，CPPA 有權受理并調查投訴案件，開具罰款單并制定法規條例。

-另一個重大修正是，擴大了 CCPA 的個人訴訟覆蓋范圍。CCPA 規定，只有因企業違規而導致未加密或未編輯的個人信息遭到非法訪問、泄露、盜竊或披露的消費者才能以個人名義提起訴訟。CPRA 將個人訴訟范圍擴大到包括任何違反 CCPA 的行為，無論是否有實質性的損害風險。此舉意味著，將有更多消費者對違反 CCPA 規定的企業提起訴訟，企業將面臨更大的潛在損失。

-最后，CPRA 進一步強化了 CCPA 的退出要求。CCPA 規定企業必須在主頁上放置“勿出售我的個人信息”鏈接。CPRA 更進一步，要求企業在其隱私政策中明確表示自己是否出售消費者的個人信息，以及出售何種類型的個人信息。如果企業出售個人信息，則還必須在每個收集個人信息的頁面上提供退出收集的按鈕。

網絡安全法規

網絡安全法的范圍正在全球范圍內不斷擴大。歐盟、美國、英國和中國要么正在收緊現有的網絡安全法，要么正在出臺新的法律，不遵守法規將面臨巨額罰款和負面運營處罰。除了避免罰款之外，滿足網絡安全要求對于企業經營也日益重要。對于數字和互聯產品而言，不遵守規定可能意味著被排除在整個市場之外。

《關鍵基礎設施網絡事件報告法案》（CIRCIA）

-2022 年 3 月 15 日簽署。

-適用于總統政策指令 21 (PPD-21)定義的關鍵基礎設施領域的所有私營和公共實體，包括在能源、醫療保健、金融服務、交通運輸和通信領域運營的實體。

-2024 年 3 月，美國網絡安全和基礎設施安全局 (CISA) 發布了關鍵基礎設施企業如何向政府報告網絡攻擊的規定草案，新規基于此前簽署的 CIRCIA。根據新規，擁有和運營關鍵基礎設施的公司需要在 72 小時內報告重大網絡攻擊，并在 24 小時內報告勒索軟件支付情況。

《物聯網網絡安全改進法》

-《物聯網網絡安全改進法》于 2020 年 12 月正式簽署。

-適用所有采購或管理物聯網設備的聯邦機構、向美國聯邦機構供應物聯網設備的物聯網設備制造商或供應商以及美國聯邦機構的物聯網服務提供商。

-禁止機構在 2022 年 12 月 4 日之后采購或使用物聯網設備，如果該設備被認為“不符合”美國國家標準和技術研究所(NIST)制定的標準。

-在此基礎上，2021年，美國總統拜登簽發了《關于改善國家網絡安全行政令》，該行政令中強調了改善物聯網安全的必要性，并要求啟動消費物聯網標簽計劃。這一行政命令代表了美國對于改善全國物聯網網絡安全更廣泛的舉措，為物聯網產品設定了安全標準、明確了機構責任。

-2022 年 10 月，白宮召集了來自于物聯網企業、高校、第三方協會和多個政府部門就物聯網安全標簽計劃召開會議，其中提出了參考“能源之星（Energy Star）”計劃來推動物聯網安全標簽計劃。2023 年 7 月，美國宣布“U.S. Cyber Trust Mark”計劃將于 2024 年正式啟動。

《中華人民共和國網絡安全法》

-《網絡安全法》于 2017 年 6 月 1 日正式施行。

-2025 年 3 月，網信辦發布了關于公開征求《中華人民共和國網絡安全法（修正草案再次征求意見稿）》意見的通知

-結合實踐中危害網絡安全后果的情況，增加造成大量數據泄露、關鍵信息基礎設施喪失局部功能等嚴重危害網絡安全后果的和造成關鍵信息基礎設施喪失主要功能等特別嚴重危害網絡安全后果的情形，并參照《數據安全法》調整了現行《網絡安全法》第五十九條罰款幅度，增加相應處罰規定；新增銷售或者提供未經安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的網絡關鍵設備和網絡安全專用產品的法律責任；明確關鍵信息基礎設施運營者使用未經安全審查或者安全審查未通過的網絡產品或者服務行為的處置處罰措施。

-統籌考慮《網絡安全法》和《行政處罰法》的適用關系，專門新增一條銜接規定，明確網絡運營者存在主動消除或者減輕違法行為危害后果、違法行為輕微并及時改正且沒有造成危害后果或者初次違法且危害后果輕微并及時改正等情形的，依法從輕、減輕或者不予處罰；明確有關主管部門依據職責制定相應的行政處罰裁量基準。

《網絡數據安全管理條例》

-《網絡數據安全管理條例》自 2025 年 1 月 1 日起施行。

-《數安條例》是在 2017 年施行的《中華人民共和國網絡安全法》以及 2021 年先后施行的《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》基礎上制定的，這三部法律共同構建了中國網絡信息安全保護領域的基礎性法律框架。

-《數安條例》首次將 1000 萬人這個個人信息的數量級與重要數據聯系在一起，即處理1000萬人以上個人信息的網絡數據處理者應當比照履行處理重要數據的網絡數據處理者的義務（除了風險評估以外）。

-《條例》對個人信息處理規則的發布和披露要求進行了補充和完善。特別的，要求個人信息處理規則在說明個人信息保存期限時，如果“保存期限難以確定的，應當明確保存期限的確定方法”。網絡數據處理者應當以清單等形式予以列明收集和向其他網絡數據處理者提供個人信息的目的、方式、種類以及網絡數據接收方信息。

-根據《條例》規定，因使用自動化采集技術等無法避免采集到非必要個人信息或者未依法取得個人同意的個人信息，網絡數據處理者應當刪除個人信息或者進行匿名化處理。

-《條例》強化了數據跨境流動中的安全管理要求，規定國家采取措施防范、處置數據跨境風險和威脅，禁止提供專門用于破壞、避開技術措施的程序、工具等，為數據跨境流動提供安全保障。

《歐盟網絡彈性法案》（CRA）

-CRA 已于 2024 年 12 月 10 日正式生效。

-CRA 適用于廣泛的數字產品。這包括智能手機和筆記本電腦等消費電子產品、智能手表和聯網家用電器等物聯網 （IoT） 設備、路由器和調制解調器等網絡設備以及包括操作系統和應用程序在內的各種軟件產品。現行法案涵蓋在歐盟銷售或提供的帶有數字元素硬件或軟件的產品。

-CRA 提出了四個具體目標：

1. 確保制造商從設計和開發階段到整個生命周期中提高帶有數字元素的產品的安全性;

2. 確保連貫的網絡安全框架，促進硬件和軟件生產商的合規性;

3. 提高具有數字元素的產品安全屬性的透明度；

4. 使企業和消費者能夠安全地使用帶有數字元素的產品。

-《網絡彈性法案》規定，具有數字元素的產品只有在滿足 CRA-Annex I 中規定的特定基本網絡安全要求的情況下才能在歐盟市場上銷售。

《產品安全和電信基礎設施法案》（PSTI）

-PSTI 于 2024 年 4 月 29 日強制實施。

-適用于任何英國消費智能產品的制造商、以另一實體的名稱或商標銷售該實體生產的產品的實體、英國消費智能產品的進口商以及英國消費智能產品的分銷商

-PSTI 法案的最低要求是產品滿足通用弱密碼、軟件維護周期和漏洞報告這三個要求，并提供評估報告等技術文件，在產品中附帶符合性聲明。

1. 密碼強度——不再使用通用默認密碼或容易猜到的默認密碼。

2. 加強問責制——制造商必須設立一個公開的聯絡點，方便消費者報告漏洞。

3. 提高透明度——制造商必須向消費者明確說明安全更新的最短時限。

人工智能法規

如今，人工智能技術發展速度超越全球監管發展。人工智能是技術發展速度超過立法步伐的典型例子，導致許多司法管轄區缺乏監管或缺乏明確的合規要求。各國政府仍處于人工智能治理的早期階段，依賴指導方針而非法規。與此同時，世界許多國家正在向歐盟、美國和中國尋求監管方向。許多政府推遲了本國人工智能監管工作，以觀察這些領先經濟體如何構建治理結構。總體而言，歐盟正在推進嚴格的、基于規則的人工智能監管；而美國則傾向于采取更注重創新的方式；相比之下，中國則優先通過國家主導的安全和執法框架進行管控。

《生成式人工智能服務管理暫行辦法》

-《暫行辦法》于 2023 年 8 月 15 日正式生效

-適用于開發、部署或提供 GenAI 服務（例如 LLM、圖像生成器和自動內容創建工具）的 GenAI 服務提供商，以及 AI 基礎設施和平臺運營商，例如為生成 AI 服務提供基礎設施的云計算平臺、數據中心和算法市場。未向境內公眾提供生成式人工智能服務的，不適用本辦法的規定。

-生成式人工智能若想盡可能提高產出結果的準確性，不可避免地需要進行大量的數據訓練。《暫行辦法》就生成式人工智能數據訓練提出了具體的合規要求，第四條第三款要求提供者“尊重知識產權、商業道德，保守商業秘密……”，第七條要求提供者“依法開展預訓練、優化訓練等訓練數據處理活動，遵守以下規定：使用具有合法來源的數據和基礎模型”、“涉及知識產權的，不得侵害他人依法享有的知識產權”、“涉及個人信息的，應當取得個人同意或者符合法律、行政法規規定的其他情形”“采取有效措施提高訓練數據質量，增強訓練數據的真實性、準確性、客觀性、多樣性”以及“遵守其他有關規定和有關主管部門的相關監管要求”。

-《暫行辦法》對數據訓練作出了更為細化的規定，包括訓練數據標注規則和標注人員的要求，即生成式人工智能服務提供者應“制定符合本辦法要求的清晰、具體、可操作的標注規則；開展數據標注質量評估，抽樣核驗標注內容的準確性；對標注人員進行必要培訓，提升尊法守法意識，監督指導標注人員規范開展標注工作”。

《人工智能法案》

-歐盟 AI 法案自 2024 年 8 月 1 日起生效，該法案的大部分條款自 2026 年 8 月 2 日起適用。

-風險分為四類，風險等級越高，管控越嚴格。其中，風險最高的情況包括：為唆使犯罪而利用人工智能技術操縱人的潛意識；使用高級監控攝像機等，將人臉識別等生物識別技術實時應用于犯罪搜查等。這些情況是被“禁止”的。第二高風險的情況包括：基于犯罪心理畫像的犯罪預測、在入學考試和錄用考試測評中應用人工智能。人類有義務保存和管理使用人工智能技術的歷史記錄。

-法案規定，聊天機器人等人工智能系統必須明確告知用戶他們在與機器互動，人工智能技術提供商必須確保合成的音頻、視頻、文本和圖像內容能夠被檢測為人工智能生成的內容。此外，該法案規定，禁止使用被認為對用戶基本權利構成明顯威脅的人工智能系統。

第 14141 號行政命令

-該行政令要求美國國防部和能源部租賃聯邦場地，以便私營部門可以快速、大規模地建設人工智能基礎設施，旨在確保美國能夠快速大規模地建設下一代人工智能運營所需的基礎設施。

-不過，特朗普政府在 2025 年 7 月 23 日發布的行政命令與事實說明書，表示為全面推動人工智能發展，并確保美國在全球 AI 領域的領導地位，已簽署多項關鍵行政命令。為提高效率，該命令撤銷前任政府于 2025 年 1 月 14 日發布的第 14141 號行政命令。

-該命令曾對聯邦土地上的AI數據中心開發施加了多元、公平與包容（DEI）及氣候相關要求。新政策指示各機構在10天內識別并利用現有“類別排除”（categorical exclusions），以加速合格項目的建設。同時，環境質量委員會（CEQ）將協調設立新的類別排除，適用于對人類環境影響不大的合格項目相關活動。

可持續發展法規

可持續發展和 ESG 法規正在重塑全球企業的經營邏輯與競爭格局。隨著歐盟《企業可持續發展報告指令》（CSRD）、美國 SEC 氣候信息披露規則、中國“雙碳”政策等相繼落地，企業必須更加系統地管理碳排放、資源利用、勞工權益和治理結構，否則不僅面臨合規風險和高額罰款，還可能失去跨國客戶、資本市場和公眾的信任。與此同時，這些法規也在推動企業將綠色低碳、社會責任和透明治理轉化為新的競爭力，促使它們加快技術創新、優化供應鏈管理、提升品牌價值。

碳邊境調節機制（CBMA）

-CBAM 于 2023 年 10 月開始試運行，過渡期至 2025 年底。

從 2023 年 10 月 1 日至 2025 年 12 月 31 日為過渡期 ，此期間進口商只需按季度報告相關產品在國內外生產過程中排放的溫室氣體情況，無需實際支付費用。

自 2026 年 1 月 1 日起，進入正式實施階段，進口商要開始購買排放證書，其價格依據歐盟境內生產同類商品所需支付的碳價制定。到 2034 年間將逐步全面實施 ，覆蓋范圍和執行力度會不斷擴大與加強。

-首批受 CBAM 影響的主要是碳密集型且易發生碳泄漏的行業產品，包括水泥、鋼鐵、鋁、化肥、電力、氫氣 等。長遠來看，未來可能會逐步擴大到更多高碳排放的行業和產品，只要是在生產過程中排放溫室氣體的進口商品，都有可能被納入 CBAM 的管控范圍。對企業而言，無論規模大小，只要涉及這些產品向歐盟的出口，都需密切關注 CBAM 動態并積極應對。歐盟碳邊境調節機制規定 “碳關稅” 征收的行業覆蓋范圍包括鋼鐵、水泥、鋁、化肥、電力及氫 。

-該協議還確定了削減歐盟企業免費配額的時間表，從 2026 年開始削減，逐步到 2034 年實現全部取消。具體來看，到 2026 年，這些行業的免費配額將取消 2.5%，2027 年取消 5%， 2028 年取消 10%， 2029 年取消 22.5%， 2030 年取消 48.5%， 2031 年取消 61%， 2032 年取消 73.5%， 2033 年取消 86%， 2034 年取消 100%。

《企業可持續發展報告指令》（CSRD）

-CSRD 于 2023 年 1 月 5 日起正式生效，并于 2024 年至 2029 年分階段實施。

-適用所有滿足以下任一標準的公司：大型歐盟公司（滿足收入標準）、在歐盟監管市場上市、歐盟銀行或保險公司、非歐盟公司（滿足收入標準）

-CSRD 報告基于雙重重要性的概念。組織必須披露其業務活動對地球和人類的影響，以及其可持續發展目標、措施和風險對企業財務健康狀況所造成影響的相關信息。例如，除了要求組織報告其能源使用和成本外，CSRD 還要求它們報告排放指標，詳細說明能源使用如何影響環境、減少影響的目標以及實現這些目標對組織財務的影響相關信息。所有 CSRD 披露信息均須公開，并且 CSRD 要求對所有披露信息進行第三方審計，以確保其準確性和完整性。

《可持續產品生態設計條例》 (ESPR)

-ESPR 于 2024 年 7 月 18 日生效。

-適用于所有在歐盟市場上銷售實體商品的制造商，包括零部件和中間產品（食品和飼料、醫療產品、生物體、車輛和建筑行業的某些產品除外）、實體商品的進口商和分銷商，以及在線市場和在線搜索引擎。

-產品必須同時滿足定量和定性要求，即“生態設計要求”和“性能要求”，以達到指定的可持續性水平。只有這樣，產品才能獲準在歐盟市場上制造、進口和銷售。

-《可持續產品生態設計法規》將為所有范圍內的產品引入數字產品護照，以便消費者和當局獲取可持續性信息。與生態設計和性能要求類似，數字產品護照將遵循產品類別方法。歐盟委員會將在授權法案中規定每個產品組必須在 數字產品護照中披露哪些信息。數字產品護照中的信息可包括唯一產品標識符、唯一運營者標識符（例如制造商）、唯一設施標識符（例如工廠）、全球貿易項目代碼、用戶手冊、歐盟符合性聲明、技術文件以及為消費者和其他運營者提供的產品維護和維修信息。這將使與該產品相關的行為者和生產設施得到追蹤。

《企業可持續發展與盡職調查指令》（CSDDD）

-CSDDD 于 2024 年7 月25 日起正式生效。

-適用于所有員工超過 1000 人且上一財年全球收入至少為 4.5 億歐元的公司。

-CSDDD 對企業的供應鏈盡職管理提出了新要求。企業應通過搭建完善的管理體系加強對供應鏈的盡職管理，實現數據統一、盡調充分、風險可控，來應對 CSDDD 的新挑戰。

《凈零工業法案》（NZIA）

-NZIA 于 2024 年 6 月 28 日公告并次日生效。

-適用于所有制造、開發或運營凈零技術的公司。

-法案設定了具體指標：到 2030 年，歐盟本土凈零技術的制造產能至少達到歐盟部署需求的 40%；到 2040 年，歐盟在關鍵低碳技術領域的全球市場份額至少達到 15%。

-法案特別明確了以下八種技術作為戰略凈零技術的范疇：太陽能光伏和太陽熱能技術；陸上和海上可再生技術；電池和儲能技術；熱泵和地熱能技術；電解槽和燃料電池；沼氣和生物甲烷；碳捕獲和存儲技術；電網技術。這些技術因其在推動歐盟能源轉型和實現氣候目標中的關鍵作用，將獲得政策上的特別扶持和資源配置。

參考資料：

Regulatory landscape digital esg laws to have on radar，iot-analytics
歐盟《數據法案》實施倒計時，企業應如何破局？，Deloitte
中國新的數據安全和個人信息保護法：對跨國公司的意義，知乎
數字市場法案及其對廣告主的影響，Appsflyer
《數字服務法》正式發布：內容、影響及啟示，武大國際問題研究院
了解《加州消費者隱私法案》，veritas
關于公開征求《中華人民共和國網絡安全法（修正草案再次征求意見稿）》意見的通知，網信
72小時內報告！美國發布關鍵基礎設施網絡攻擊通報新規草案，網絡安全應急技術國家工程中心
美國物聯網安全標簽計劃正式啟動，中國物聯網出海面臨新挑戰，物聯網智庫
《網絡數據安全管理條例》合規義務重點綜述，君合
《生成式人工智能服務管理暫行辦法》四大亮點解析，君合
全球首部《人工智能法案》正式生效，新華
歐盟達成碳關稅協議：2026年起征，8年后取消免費配額，澎湃新聞
什么是CSRD，IBM