年度大考：守门人企业2024年度欧盟《数字市场法》合规报告分析

2024年3月7日，欧盟《数字市场法》（DMA）正式生效，作为针对科技巨头颁布的反垄断举措之一，欧盟期望通过该法明确数字服务提供者的责任，遏制大型网络平台的恶性竞争行为。根据DMA，欧盟指定了Alphabet、Apple、Amazon、Meta、Microsoft、Booking、字节跳动七家企业为“守门人”企业并要求这些企业遵守DMA，否则将对它们处以最高可达公司全球总营业额10%的罚款（如屡次违规，则最高可处以20%的罚款）。此外，欧盟还要求这些企业每年至少更新一次DMA年度合规报告，详细地描述它们为确保遵守DMA中义务而采取的措施，并发布报告的非机密摘要。2025年3月7日为这些企业提交2024年度报告的最后期限，从欧盟官网信息来看，全部七家企业已公布了最新的年度合规报告。我们对七家企业最新的合规报告内容作了整理，并提炼其中重点内容。

一、Alphabet

在七家“守门人”企业中，受到监管的服务数量最多的无疑是Alphabet，作为Youtube、Google等平台的母公司，其已有服务产品中的八个核心平台都受到了DMA的监管。

（一）数据管理与隐私保护

Alphabet开发并实施了针对跨服务交换终端用户个人数据的控制措施，其在前端设计了用户同意选择界面，并在后端建设了记录和执行用户选择的基础设施，确保数据交换合法合规。同时，Alphabet与广告商合作，依据欧盟用户同意政策获取数据处理授权，并通过多种渠道确认其有效性。Alphabet还制定了统一的合规方案，涵盖政策、培训和技术控制等方面，并对员工进行相关培训。

（二）业务运营调整

Alphabet为旗下服务优化了应用分发与支付模式。例如Google Play推出了外部报价方案（External Offers Program），允许开发者在应用内推广外部优惠并引导用户至外部网站完成交易，并扩大了用户选择计费方案（User Choice Billing Program）和欧洲经济区方案，使开发者能为欧洲经济区用户提供非Google Play的计费选项。

Alphabet旗下另一大平台Google Search则对搜索结果页面进行了大幅调整，去除了部分原有功能（如特定保留链接和菜单入口等）；新增了一些功能，包括为供应商提供更多展示机会、推出新的广告格式等，以此平衡各方利益，提升搜索结果的公平性与多样性。

（三）用户权益与体验

Alphabet旗下的Google Maps 和Google Shopping两项服务审查并调整了其合同模板，确保用户可通过其他渠道销售产品或服务，以维护市场公平竞争环境。而在Google Android和Google Chrome等平台，Alphabet则提供了展示在线搜索引擎和浏览器选择的页面，方便用户切换默认选项，以此提升用户体验，促进市场竞争。

（四）提升数据可移植性

Alphabet允许用户借助Google Takeout和Data Portability API等工具，便捷地导出数据并进行备份、转移至其他服务平台和授权第三方直接访问数据等。

（五）合规管理与监督

Alphabet成立了独立的合规职能部门（ICF），该部门直接向董事会的审计和合规委员会汇报工作，负责组织、监督和管理公司的 DMA合规事务。其成员具备专业资质和丰富经验，并与欧盟委员会紧密合作。同时，Alphabet还组织了全公司范围的政策与合规培训，将现有控制措施整合为全面的合规计划，并持续审查和更新公司政策、流程与系统，确保与 DMA 要求相符。

二、Apple

Apple旗下受到监管的服务为其应用商店、Safari浏览器和iOS系统三项，虽然在被监管服务的数量上少于Alphabet，但其所受影响可能是七家“守门人”企业中最大的。

（一）开放封闭生态系统

受到DMA的影响，早在2024年上半年，Apple已经被迫在欧盟范围内开放了其封闭的生态系统。2024年3月开始，Apple允许欧洲iOS系统用户从第三方下载应用。用户可以通过授权的浏览器从第三方应用开发者的网站下载和安装应用（包括整合系统功能、备份和恢复应用等）。第三方应用开发者也可以通过新的App Store Connect分发工具向用户通知应用的更新。此外，Apple还在iOS 17.5和iPadOS 18的系统更新中推出了网站分发功能，允许授权的开发者直接通过其网站向欧盟用户分发适配iOS和iPadOS系统的应用。

（二）改革支付相关政策

Apple在欧盟地区降低了App Store应用销售的抽佣比例，从最高30%降至17%，对多数开发者及订阅满一年后的抽成更是降至 10%。同时，Apple允许开发者使用第三方支付系统或外部链接进行支付，减少了用户对Apple内购系统的依赖。

（三）提供更开放的默认程序更改选择

Apple允许欧盟用户为电话、短信、密码管理器、键盘、垃圾邮件过滤器等功能设置新的默认应用程序，并允许他们删除Safari、消息、相机、App Store和照片等预装应用程序。同时Apple还为欧盟用户提供了选择默认浏览器的功能，当欧盟用户第一次在iOS 17.4或更高版本上打开Safari浏览器时，系统会提示他们选择默认浏览器，并提供市场上一些主要网页浏览器的选项列表，供他们选择以替代系统自带的Safari浏览器。

（四）合规管理与监督

Apple专门设立合规职能部门，负责组织、监督和管理公司服务的合规工作，协调内部团队，与相关利益者沟通。同时，Apple表示将持续审查与DMA相关的政策，确保合规措施和控制与时俱进。

三、Amazon

针对Amazon旗下服务的监管主要集中在其商城和Amazon交易市场（Amazon Marketplace），相较于Alphabet和Apple，其被监管的服务类型较单一。

（一）数据收集与共享

当用户想要在Amazon的欧洲商城和其他服务平台（如Audible和Prime Video等）中享受个性化体验时，Amazon将发送一个同意提示框，请求用户同意平台使用他们的一部分个人信息来作为提供个性化广告推送的信息基础，Amazon为此引入了一个帮助页面来向用户说明此项更新。此外，用户还被允许通过使用工具来向任意第三方共享他们在使用Amazon时生成的数据，卖家及其授权第三方可以通过专用平台和 SPI-API访问Amazon上的卖家（即企业用户）数据，买家亦可以通过授权允许卖家访问他们的数据（包括与卖家商品的互动等）。

（二）信息公平与透明度

Amazon将继续确保其商品详情页面上的“推荐报价”标准对第三方卖家和Amazon自有零售商品一视同仁。同时，Amazon将保证在其网站上投放广告的商家拥有符合 DMA 要求的定价报告，且可以在专用的安全数据环境（即“净室”）中独立验证其广告活动所带来的影响。

（三）合规管理与监督

Amazon成立了专门的 DMA 合规职能部门（DCF），其职责包括组织、监督亚马逊的 DMA 合规工作，为管理层和员工提供合规建议，与欧盟委员会合作，向董事会报告合规情况等，组织架构上独立于运营部门。同时，Amazon为内部团队提供业务支持，帮助员工了解 DMA 对公司业务的影响，明确合规义务和问题解决途径。

四、Meta

（一）用户选择与数据控制

Meta允许欧盟用户选择继续使用带有广告的免费服务，或支付月费使用无广告的订阅服务。2024年11月，Meta将网页端“无广告订阅”服务的价格从每月9.99欧元降至5.99欧元，iOS和Android端的服务价格则从每月12.99欧元降至7.99欧元。用户还可以在使用服务之前选择是否允许Meta在其不同服务（如Facebook、Instagram、Messenger等）之间组合使用他们的个人数据。同时，Meta允许欧盟用户定期自动将数据导出到第三方服务（如Google Photos、Dropbox等）。

（二）消息互操作性

Meta正在与其他即时通讯服务商合作，使WhatsApp和Messenger能够与其他即时通讯服务互通，并同时确保用户的安全和隐私不受影响。Meta还备有两种技术架构供第三方服务商选择，一种是直接连接到Meta服务器的“客户端—服务器—客户端”模式，另一种是通过代理服务器连接的“代理服务器”模式。

（三）广告透明度

Meta提供多种广告个性化控制工具，允许用户自行调整他们看到的广告类型和数量。同时，Meta也为广告商提供了更多的广告定价和性能透明度工具，以帮助他们理解广告的成本和效果。此外，Meta限制了跨产品推广功能的使用，确保推广活动不会对第三方广告内容产生不公平影响，并保证其广告服务不会使用非公开的商业用户数据来进行竞争。

（四）合规管理与监督

Meta建立了专门的DMA合规功能团队，负责监督和确保Meta的产品和服务符合DMA的要求。该团队直接向Meta董事会的独立委员会报告。

五、Microsoft

（一）遵循核心原则

Microsoft基于透明度、问责制和开放参与这三个核心原则展开其DMA合规工作，并通过内部培训、控制和专门的治理机制对三大原则进行加强。

（二）业务合规调整

Microsoft针对旗下的Windows PC操作系统和职场社交平台LinkedIn，在同意流程、功能和数据处理等方面进行了调整以满足 DMA 要求，强调了加强数据透明性和用户控制。例如 Windows用户可在无需与Microsoft交互的情况下自由选择自己喜欢的浏览器、应用商店和软件解决方案作为默认选项。同时，Windows通过免费且完整记录的API和集成点，为用户提供了更好的互操作性。

而在LinkedIn平台，Microsoft强化了数据透明性和可移植性，LinkedIn用户可以下载或转移自己的数据（包括消息和发布信息等），并能够通过LinkedIn提供的API，将数据与客户关系管理系统进行集成。

（三）合规管理与监督

Microsoft设立了DMA合规管理机构，负责监督合规进展、处理反馈并监督合规活动，定期审查DMA合规功能的预算、资源和职责，确保能够有效履行DMA规定的义务。该机构独立于Microsoft的业务和运营部门，以确保其权威性。同时，Microsoft为员工提供了DMA相关的培训，尤其是针对直接负责DMA合规的员工、客户支持团队和反馈处理团队等，并建立了DMA合规网站，接收第三方提供的相关反馈。

六、Booking

（一）调整业务实践

Booking在整个欧洲经济区取消平价要求，不再限制合作伙伴为Booking.com提供与其他线上或线下渠道相同或更优惠的价格和条件。同时，该公司推出Booking.com数据可移植API，为用户提供免费、有效、实时和持续的相关数据访问途径，方便用户将数据直接转移到第三方，并扩大了向合作伙伴提供的数据范围。此外Booking还停止了部分需要用户同意的数据流动，以防止未来出现未经同意的相关数据流动。

（二）加强沟通交流

Booking采用多渠道让平台用户、合作伙及其他利益相关者知晓相关变化，尤其是受平价变化影响的住宿服务提供者，并同步在网站发布解释内容、培训相关团队。Booking还举办了DMA咨询会，与合作伙伴和协会进行磋商，并在网站设立反馈表单，以收集反馈和问题。

（三）合规管理与监督

在现有合规审查基础上，Booking加强了对标准条款、协商协议和合同模板更新的审查，并为员工提供合规培训，确保员工了解 DMA 要求，且同步设立了独立的DMA 合规部门，通过跨部门协作监督DMA合规情况。

七、字节跳动

作为唯一进入欧盟“守门人”名单的中国企业，字节跳动曾于2024年对欧盟将其认定为“守门人”企业提出异议，但最终该上诉被驳回。其受到监管的服务为所有七家企业中最少的，即该公司的主营短视频平台TikTok。

（一）数据处理合规与隐私保护

TikTok针对不同场景构建了全面的用户数据共享同意机制。例如，在个性化广告方面，TikTok允许用户自主选择是否同意将其数据用于广告投放，且随时能在设置中撤销同意；在线上商城与TikTok数据合并时，向用户发送提示以征求同意，并不断优化提示设计，同时更新隐私政策，明确数据处理规则；在TikTok与CapCut等其他服务的数据产生交互时，通过特定登录工具让用户自主选择是否授权数据共享，且可随时撤回授权。

除了常规的数据处理方面外，TikTok还提供了更便捷安全的账户注销流程，用户可以设置 30 天的账户停用期，期间用户可随时恢复账户。30天后，账户将被永久删除，这充分考虑了用户的使用需求和数据安全。

（二）提升数据可移植性

Tiktok通过多种方式提升了用户数据的可移植性，例如开发数据可移植API，以允许第三方开发者与TikTok集成，帮助用户将数据移植到其他平台，用户则可以授权开发者进行一次性或定期的数据移植请求。TikTok还为用户提供了“下载您的数据”功能，允许用户下载包括视频、活动数据和消息记录在内的各项数据。

（三）商业运营合规调整

TikTok为商业用户提供了免费的商业分析工具，商业用户借助该工具能免费访问多维度数据，涵盖内容表现、受众洞察、直播分析等方面；此外，TikTok还为商业用户提供了特定场景下的终端用户个人数据，如关注者、互动用户信息等，具体功能正在更多地区逐步向符合条件的用户开放。

此外，TikTok发布了符合DMA第6.12条要求的商业用户条款，并确保条款与公平、合理、非歧视（FRAND）原则吻合。该条款明确规定了访问条件，并提供了可替代的争议解决机制（如通过国际商会或有效的争议解决中心进行调解）。

（四）合规管理与监督

一方面，字节跳动设立了专门的“《数字市场法》办公室”（DMAO），负责监督和管理公司对DMA的合规工作。DMAO的职责包括向管理层报告潜在的合规风险、组织监督合规措施、向员工提供合规建议，并与欧盟委员会保持沟通。字节跳动还为员工推出专门的DMA合规电子学习模块，确保员工了解DMA的义务和合规流程，并根据员工的具体需求提供了定制化培训。

另一方面，字节跳动在透明度中心推出了DMA反馈表，以收集利益相关者的意见和建议，并将依据法规要求，定期向管理机构汇报DMA合规进展，确保公司决策层及时掌握情况，为合规工作提供支持和指导。

八、总结

根据七家企业更新的报告，所有的企业都在被欧盟列为“守门人”企业之后，组建了专门的部门或团队来负责组织、监督和管理相关的DMA合规事务，以此应对欧盟的监管。此外，多家主营不同业务的企业都在其业务调整中强调了用户自主选择与数据控制，并采取措施提升数据的可移植性。对“守门人”企业来说，这些监管与相应的调整无疑将增加其合规成本，同时也可能面临被削弱市场主导地位的压力；对于中小企业来说，DMA对“守门人”企业的限制则为它们提供了更多市场机会，且一部分中小型企业可能从DMA规定的数据可移植性中受益，能够获取更多用户数据来改善其服务；而用户将对数据拥有更多控制权，从而能自由地选择不同平台与服务；对整体市场而言，这种限制“守门人企业”垄断的行为，将有利于促进数字市场的公平竞争，营造更多元的市场创新环境。

（审核：原浩 朱莉欣 方婷）

完

文章所涉观点内容谨代表作者本人，为方便排版，已略去脚注

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。