引言

欧盟数字产品护照(DPP)正在从政策概念进入落地准备阶段。对出口欧盟的制造商、供应商、品牌方和进口商来说,DPP 不是“生成一个二维码页面”,而是一套围绕产品数据、供应商资料、声明文件、访问权限、验证记录和责任追溯的合规工作流。

一家中国电池或纺织供应商被欧盟客户要求准备 DPP 时,真正要先回答的不是“网页长什么样”,而是这些问题:哪些字段必须准备?数据来自 ERP、PLM、检测报告还是供应商声明?谁有权限代表企业确认?声明文件是否签署?版本变更能不能追溯?如果后续客户、平台、TIC 机构或监管机构问起,企业能不能证明数据来源和确认过程?

这篇文章按出海企业实际准备顺序说明:DPP 是什么、政策时间线怎么读、企业需要哪些数据和证据、DPP 注册系统草案中的电子签名和电子签章到底出现在哪里,以及企业现在应如何建立供应商声明和证据留痕流程。

DPP 不是二维码,而是产品数据和证据链

欧盟委员会在 ESPR 说明页 中将数字产品护照描述为产品、零部件或材料的数字身份信息,用于支持可持续、循环利用、维修、回收和合规监管。二维码、NFC 或 RFID 只是访问入口,不等于 DPP 本身。

更准确地说,DPP 至少包含四层内容。

层级企业要理解什么常见例子
产品数据产品护照需要展示或链接哪些结构化信息产品标识、型号、批次、材料组成、维修信息、回收信息、合规状态
证据材料数据背后的证明从哪里来供应商声明、检测报告、合规声明、证书、LCA/PCF 文件、内部审批记录
访问规则不同角色可以看到哪些信息消费者可见信息、监管机构可见信息、维修方可见信息、商业敏感信息
追溯记录数据和文件在什么时间由谁提交、确认、更新签署记录、签章记录、时间戳、哈希值、审计日志、版本记录

出海企业最容易低估的是第四层。DPP 系统或平台可以承载护照数据,但企业仍需要证明关键数据不是临时拼出来的,供应商声明不是无来源文件,重要版本不是事后改写,审批人和签署人具备相应权限。

政策时间线:为什么现在要准备

DPP 的方向已经确定,但不同产品组的细节会通过后续授权法案、实施细则和标准逐步落地。企业不能把所有动作都等到“规则完全写完”之后再开始,否则很可能赶不上供应商资料收集、字段治理和系统改造周期。

时间点政策含义企业应关注什么
2024 年 7 月 18 日ESPR 生效,DPP 成为欧盟可持续产品监管框架的一部分将 DPP 纳入欧盟产品合规、供应链合规和数据治理计划
2025 年 4 月欧盟发布《ESPR 与能源标签工作计划 2025-2030》关注后续优先产品组和授权法案节奏
2026 年DPP 注册系统、产品组规则、数据模型、系统接口进入更具体准备阶段开始梳理产品范围、字段来源、供应商资料、签署权限和证据留痕
2027 年 2 月 18 日欧盟电池法规 下电池护照进入关键合规节点电池、电动汽车电池、工业电池和相关供应链应优先准备
2026-2030 年纺织、轮胎、家具、金属等产品组规则预计陆续推进不同行业应按客户压力和产品组优先级分阶段准备

电池是最明确的早期场景,纺织服装则更适合亚洲供应链提前切入,因为品牌方、制造商、面辅料供应商、染整厂和贸易商之间的数据协作复杂,供应商声明和版本留痕压力会更早出现。

谁应该先准备

不是所有企业都需要立刻投入完整 DPP 系统,但以下企业应尽快做准备度检查。

企业类型触发信号第一项准备动作
出口欧盟制造商欧盟客户开始询问 DPP、材料来源、碳足迹、维修或回收信息按产品线梳理欧盟 SKU、型号、批次和供应商数据来源
供应商品牌方要求提供材料声明、合规声明、检测报告或可持续数据准备可签署、可版本化、可追溯的供应商声明模板
欧盟品牌方或进口商需要对投放欧盟市场的产品承担信息准确性和可得性责任明确哪些数据由自身确认,哪些数据来自供应商或第三方
TIC/检测认证机构客户开始要求 DPP 准备度评估、证据包、供应商资料核验将检测、认证和供应商审核结果纳入可复用证据包
DPP 平台或咨询机构客户在平台上线前缺少字段、证据和供应商资料在平台实施前增加证据准备度和签署留痕模块

第一批真正愿意投入的客户,通常不是“听说 DPP 的普通企业”,而是已经被欧盟客户要求准备资料、已经在做 ESG/合规但证据分散、或已经选择 DPP 平台但缺少供应商数据和证明文件的企业。

企业需要准备哪些数据和证据

DPP 准备可以分成两张表:一张是“护照字段表”,说明产品护照需要哪些数据;另一张是“证据包表”,说明这些数据由哪些文件、声明、报告或审批记录支撑。

DPP 数据类别可能需要的数据企业应留存的证据
产品身份GTIN、SKU、型号、批次、序列号、制造商信息产品主数据审批记录、型号/批次映射规则
材料组成材料类型、重量、再生含量、受关注物质供应商材料声明、BOM、检测报告、原材料证书
环境数据碳足迹、LCA、能耗、水耗、回收率LCA/PCF 报告、计算方法、第三方验证文件
合规数据CE、DoC、REACH、RoHS、电池法规、玩具安全等合规声明、测试报告、认证证书、内部审核记录
供应链数据供应商、工厂、产地、批次、物流信息供应商声明、采购记录、工厂资质、批次文件
使用与维修维修说明、备件信息、耐久性、护理方式产品说明、维修文件、质量验证记录
循环与回收拆解、再利用、废弃处理、回收信息回收说明、拆解指南、回收方资料
可信证明谁提交、谁确认、何时确认、版本是否变化签署记录、签章记录、时间戳、哈希值、审计日志

企业不应只问“DPP 平台能不能展示数据”,还应问“如果客户要求证明数据来源,能不能拿出完整证据包”。这正是证据包的价值:把字段、来源、证明文件、签署状态、验证状态和版本记录放在同一套结构里管理。

DPP 注册系统草案中的签名、签章和时间戳

目前与电子签名、电子签章最直接相关的 DPP 文件,是 2026 年 DPP 注册系统实施条例草案。这仍是草案,不应写成已经最终生效的规则。

草案里的重点不是“所有 DPP 数据上传时都必须由企业逐项签名”,而是注册体系中出现了身份核验、合格电子签章、合格电子签名、合格时间戳、注册证明、语义校验和自动校验等机制。

可以先按下面的流程理解。

DPP 注册系统草案中的注册、注册证明、合格电子签章和时间戳流程图

这里要区分一些关键事项。

问题当前判断
注册证明是谁出的?按草案逻辑,它是注册系统或欧盟委员会系统侧生成的注册证明,不是企业自己随便签一个文件。
注册证明上的合格电子签章和时间戳是谁负责?重点在政府注册系统或其指定机制如何保障注册证明的真实性和时间点,企业侧不能把它理解为普通商业合同签署。
企业上传 DPP 数据时是否必须签名?草案目前没有清楚写成“企业上传的每个 DPP 字段、每个数据文件或每个文件都必须签名”。具体签署对象仍要等注册系统接口、实施细则和语义库进一步明确。
企业现在可以做什么?先把供应商声明、授权确认、证据包清单、版本哈希值、时间戳、审批记录和审计日志做成可验证流程。
自动验证为什么重要?未来注册系统、平台、TIC 或客户不会只看“有没有文件”,还可能自动检查证书、签章、时间戳、哈希值、字段格式和数据一致性。

因此,企业现在不应把 DPP 简化成“所有资料都签一遍”,也不应认为“政府系统会签注册证明,所以企业完全不用准备证据”。更稳妥的做法是:把政府注册证明、DPP 平台数据、企业证据包和供应商声明分开设计。

企业侧签署证据应该怎么设计

企业侧真正需要提前设计的是供应商和内部责任链。尤其是当 DPP 数据来自外部供应商时,制造商、品牌方或进口商需要知道:谁提供了数据,谁代表供应商确认,声明覆盖哪个型号或批次,证明文件对应哪个版本,后续变更如何处理。

文件或记录建议固化的内容目的
供应商声明供应商名称、签署人身份、授权范围、材料/合规声明内容、适用型号或批次证明数据来源和供应商责任边界
授权确认企业代表、授权代表、签署权限、适用业务范围避免“谁有权确认 DPP 数据”不清楚
证据包清单字段清单、证据文件清单、版本号、哈希值、更新时间将分散文件变成可追溯证据包
数据变更记录哪个字段变化、变化原因、审批人、时间点、旧版本引用避免 DPP 数据更新后无法解释
第三方验证结果TIC、检测机构、LCA/PCF 服务商或平台反馈支撑后续客户审核、平台上线和监管问询

签署等级不宜一刀切。普通内部确认可以使用较轻量的电子签署和审计记录;供应商责任声明、关键合规文件、跨境授权文件、重要版本确认,通常更适合使用更强身份核验、证书签名、电子签章或时间戳。若客户、平台或欧盟规则明确要求合格电子签章或合格电子签名,应使用符合 eIDAS 法规 要求的合格信任服务提供方或合作伙伴机制。

出海企业的 DPP 准备清单

企业可以先按以下顺序准备,而不是直接采购重型 DPP 平台服务。

  1. 确认产品范围:哪些 SKU、型号、批次、产品线进入欧盟市场。
  2. 确认法规触发:是否涉及电池护照、ESPR 优先产品组、客户 DPP 要求或平台要求。
  3. 建字段矩阵:把产品身份、材料、环境、合规、供应链、维修、回收等字段列出来。
  4. 建证据矩阵:为每个字段标注来源文件、责任方、验证状态和缺口。
  5. 建供应商声明模板:明确供应商、签署人、授权范围、声明内容、适用型号或批次。
  6. 建版本规则:每一次字段更新、证据文件更新、声明更新都要能追溯旧版本。
  7. 建签署和签章规则:区分普通确认、企业声明、关键合规确认、高风险文件和客户指定文件。
  8. 选择合作方:DPP 平台负责托管和展示,TIC 负责检测/认证/验证,LCA 工具负责碳和生命周期数据,信任服务负责签名、签章、时间戳和验证。

这套准备工作完成后,企业再选择 DPP 平台会更稳。否则平台上线时会发现:字段不知道谁填,供应商资料收不上来,证明文件没有版本,签署权限不清楚,后续很难自动验证。

用签署和证据工作流承接 DPP 准备

对 Nota Sign 这类跨境签署平台来说,DPP 更适合从“企业侧证据工作流”切入,而不是直接替代 DPP 平台、TIC 机构或欧盟注册系统。

Nota Sign 电子签名产品 可用于企业合同、声明、授权和高信任签署场景;Nota Sign 身份核验产品 可支持身份核验;Nota Sign 信任中心 提供关于签署法律框架、安全和可信能力的说明。放到 DPP 准备中,更自然的应用位置包括供应商声明、授权确认、证据包清单、文件版本确认、审计记录和与合作伙伴系统的流程集成。

需要明确的是:DPP 平台负责护照创建、托管、访问控制和展示;TIC 和检测认证机构负责测试、审核、认证和验证;欧盟注册系统负责注册体系和注册证明;企业侧签署和证据工作流则负责把数据来源、声明、授权、版本和审计记录整理成可追溯、可核验的材料。

DPP 准备任务适合由谁负责说明
DPP 数据托管和展示DPP 平台创建护照页面、管理访问权限、对接数据载体
检测、认证和验证TIC / 检测认证机构支撑产品合规、材料、碳足迹或供应商审核
LCA / PCF 计算LCA 工具或专业机构计算环境数据,不应由签署工具替代
注册证明欧盟注册系统或政府系统草案中的注册证明属于系统侧机制
供应商声明和授权签署企业侧签署工作流证明数据来源、签署身份、授权和版本
证据包留痕企业、咨询方、平台和签署工作流共同完成把字段、文件、签署状态、哈希值、时间戳和审计记录组织起来

这也是出海企业比较现实的第一步:先建立 DPP 准备度检查、供应商声明和证据包流程,再决定是否接入具体 DPP 平台和检测认证合作方。

下一步

如果你的企业已经被欧盟客户要求准备 DPP,可以先从一个产品线或一个电池/纺织样例开始,建立字段矩阵、供应商声明模板和证据包清单。完成后,再评估 DPP 平台、TIC 验证、LCA 工具和签署/签章工作流如何组合。

需要处理跨境供应商声明、授权确认、证据包签署和审计留痕的团队,可以联系 Nota Sign 评估适合的签署证据流程。