引言

歐盟數碼產品護照(DPP)正在從政策概念進入落地準備階段。對出口歐盟的製造商、供應商、品牌方和進口商來說,DPP 不是「生成一個二維碼頁面」,而是一套圍繞產品資料、供應商資料、聲明文件、存取權限、驗證記錄和責任追溯的合規工作流程。

一家中國電池或紡織供應商被歐盟客戶要求準備 DPP 時,真正要先回答的不是「網頁長什麼樣」,而是這些問題:哪些欄位必須準備?資料來自 ERP、PLM、檢測報告還是供應商聲明?誰有權限代表企業確認?聲明文件是否簽署?版本變更能不能追溯?如果後續客戶、平台、TIC 機構或監管機構問起,企業能不能證明資料來源和確認過程?

本文按出口歐盟企業的實際準備順序說明:DPP 是什麼、政策時間線怎麼讀、企業需要哪些資料和證據、DPP 註冊系統草案中的電子簽名和電子簽章到底出現在哪裡,以及企業現在應如何建立供應商聲明和證據留痕流程。

DPP 不是二維碼,而是產品資料和證據鏈

歐盟委員會在 ESPR 說明頁 中將數碼產品護照描述為產品、零部件或材料的數碼身份資訊,用於支援可持續、循環利用、維修、回收和合規監管。二維碼、NFC 或 RFID 只是存取入口,不等於 DPP 本身。

更準確地說,DPP 至少包含四層內容。

層級企業要理解什麼常見例子
產品資料產品護照需要展示或連結哪些結構化資訊產品標識、型號、批次、材料組成、維修資訊、回收資訊、合規狀態
證據材料資料背後的證明從哪裡來供應商聲明、檢測報告、合規聲明、證書、LCA/PCF 文件、內部審批記錄
存取規則不同角色可以查看哪些資訊消費者可見資訊、監管機構可見資訊、維修方可見資訊、商業敏感資訊
追溯記錄資料和文件在什麼時間由誰提交、確認、更新簽署記錄、簽章記錄、時間戳、雜湊值、審計記錄、版本記錄

出口歐盟企業最容易低估的是第四層。DPP 系統或平台可以承載護照資料,但企業仍需要證明關鍵資料不是臨時拼出來的,供應商聲明不是無來源文件,重要版本不是事後改寫,審批人和簽署人具備相應權限。

政策時間線:為什麼現在要準備

DPP 的方向已經確定,但不同產品組的細節會透過後續授權法案、實施細則和標準逐步落地。企業不能把所有動作都等到「規則完全寫完」之後再開始,否則很可能趕不上供應商資料收集、欄位治理和系統改造周期。

時間點政策含義企業應關注什麼
2024 年 7 月 18 日ESPR 生效,DPP 成為歐盟可持續產品監管框架的一部分將 DPP 納入歐盟產品合規、供應鏈合規和資料治理計劃
2025 年 4 月歐盟發布《ESPR 與能源標簽署工作計劃 2025-2030》關注後續優先產品組和授權法案節奏
2026 年DPP 註冊系統、產品組規則、資料模型、系統接口進入更具體準備階段開始梳理產品範圍、欄位來源、供應商資料、簽署權限和證據留痕
2027 年 2 月 18 日歐盟電池法規 下電池護照進入關鍵合規節點電池、電動車電池、工業電池和相關供應鏈應優先準備
2026-2030 年紡織、輪胎、傢俱、金屬等產品組規則預計陸續推進不同行業應按客戶壓力和產品組優先級分階段準備

電池是最明確的早期場景,紡織服裝則更適合亞洲供應鏈提前切入,因為品牌方、製造商、面輔料供應商、染整廠和貿易商之間的資料協作複雜,供應商聲明和版本留痕壓力會更早出現。

誰應該先準備

不是所有企業都需要立刻投入完整 DPP 系統,但以下企業應盡快做準備度檢查。

企業類型觸發信號第一項準備動作
出口歐盟製造商歐盟客戶開始詢問 DPP、材料來源、碳足跡、維修或回收資訊按產品線梳理歐盟 SKU、型號、批次和供應商資料來源
供應商品牌方要求提供材料聲明、合規聲明、檢測報告或可持續資料準備可簽署、可版本化、可追溯的供應商聲明範本
歐盟品牌方或進口商需要對投放歐盟市場的產品承擔資訊準確性和可得性責任明確哪些資料由自身確認,哪些資料來自供應商或第三方
TIC/檢測認證機構客戶開始要求 DPP 準備度評估、證據包、供應商資料核驗將檢測、認證和供應商審核結果納入可重用證據包
DPP 平台或諮詢機構客戶在平台上線前缺少欄位、證據和供應商資料在平台實施前增加證據準備度和簽署留痕模組

第一批真正願意投入的客戶,通常不是「聽說 DPP 的普通企業」,而是已經被歐盟客戶要求準備資料、已經在做 ESG/合規但證據分散、或已經選擇 DPP 平台但缺少供應商資料和證明文件的企業。

企業需要準備哪些資料和證據

DPP 準備可以分成兩張表:一張是「護照欄位表」,說明產品護照需要哪些資料;另一張是「證據包表」,說明這些資料由哪些文件、聲明、報告或審批記錄支撐。

DPP 資料類別可能需要的資料企業應留存的證據
產品身份GTIN、SKU、型號、批次、序列號、製造商資訊產品主資料審批記錄、型號/批次映射規則
材料組成材料類型、重量、再生含量、受關注物質供應商材料聲明、BOM、檢測報告、原材料證書
環境資料碳足跡、LCA、能耗、水耗、回收率LCA/PCF 報告、計算方法、第三方驗證文件
合規資料CE、DoC、REACH、RoHS、電池法規、玩具安全等合規聲明、測試報告、認證證書、內部審核記錄
供應鏈資料供應商、工廠、產地、批次、物流資訊供應商聲明、採購記錄、工廠資質、批次文件
使用與維修維修說明、備件資訊、耐久性、護理方式產品說明、維修文件、品質驗證記錄
循環與回收拆解、再利用、廢棄處理、回收資訊回收說明、拆解指南、回收方資料
可信證明誰提交、誰確認、何時確認、版本是否變化簽署記錄、簽章記錄、時間戳、雜湊值、審計記錄

企業不應只問「DPP 平台能不能展示資料」,還應問「如果客戶要求證明資料來源,能不能拿出完整證據包」。這正是證據包的價值:把欄位、來源、證明文件、簽署狀態、驗證狀態和版本記錄放在同一套結構裡管理。

DPP 註冊系統草案中的簽名、簽章和時間戳

目前與電子簽名、電子簽章最直接相關的 DPP 文件,是 2026 年 DPP 註冊系統實施條例草案。這仍是草案,不應寫成已經最終生效的規則。

草案裡的重點不是「所有 DPP 資料上傳時都必須由企業逐項簽名」,而是註冊體系中出現了身份核驗、合格電子簽章、合格電子簽名、合格時間戳、註冊證明、語義校驗和自動校驗等機制。

可以先按下面的流程理解。

DPP 註冊系統草案中的註冊、註冊證明、合格電子簽章和時間戳流程圖

這裡還需要了解一些重要事項。

問題當前判斷
註冊證明是誰出的?按草案邏輯,它是註冊系統或歐盟委員會系統側生成的註冊證明,不是企業自己隨便簽一個文件。
註冊證明上的合格電子簽章和時間戳是誰負責?重點在政府註冊系統或其指定機制如何保障註冊證明的真實性和時間點,企業側不能把它理解為普通商業合同簽署。
企業上傳 DPP 資料時是否必須簽名?草案目前沒有清楚寫成「企業上傳的每個 DPP 欄位、每個資料文件或每個文件都必須簽名」。具體簽署對象仍要等註冊系統接口、實施細則和語義庫進一步明確。
企業現在可以做什麼?先把供應商聲明、授權確認、證據包清單、版本雜湊值、時間戳、審批記錄和審計記錄做成可驗證流程。
自動驗證為什麼重要?未來註冊系統、平台、TIC 或客戶不會只看「有沒有文件」,還可能自動檢查證書、簽章、時間戳、雜湊值、欄位格式和資料一致性。

因此,企業現在不應把 DPP 簡化成「所有資料都簽署一遍」,也不應認為「政府系統會簽發註冊證明,所以企業完全不用準備證據」。更穩妥的做法是:把政府註冊證明、DPP 平台資料、企業證據包和供應商聲明分開設計。

企業側簽署證據應該怎麼設計

企業側真正需要提前設計的是供應商和內部責任鏈。尤其是當 DPP 資料來自外部供應商時,製造商、品牌方或進口商需要知道:誰提供了資料,誰代表供應商確認,聲明覆蓋哪個型號或批次,證明文件對應哪個版本,後續變更如何處理。

文件或記錄建議固化的內容目的
供應商聲明供應商名稱、簽署人身份、授權範圍、材料/合規聲明內容、適用型號或批次證明資料來源和供應商責任邊界
授權確認企業代表、授權代表、簽署權限、適用業務範圍避免「誰有權確認 DPP 資料」不清楚
證據包清單欄位清單、證據文件清單、版本號、雜湊值、更新時間將分散文件變成可追溯證據包
資料變更記錄哪個欄位變化、變化原因、審批人、時間點、舊版本引用避免 DPP 資料更新後無法解釋
第三方驗證結果TIC、檢測機構、LCA/PCF 服務商或平台反饋支撐後續客戶審核、平台上線和監管問詢

簽署等級不宜一刀切。普通內部確認可以使用較輕量的電子簽署和審計記錄;供應商責任聲明、關鍵合規文件、跨境授權文件、重要版本確認,通常更適合使用更強身份核驗、證書簽名、電子簽章或時間戳。若客戶、平台或歐盟規則明確要求合格電子簽章或合格電子簽名,應使用符合 eIDAS 法規 要求的合格信任服務提供方或合作夥伴機制。

出口歐盟企業的 DPP 準備清單

企業可以先按以下順序準備,而不是直接採購重型 DPP 平台服務。

  1. 確認產品範圍:哪些 SKU、型號、批次、產品線進入歐盟市場。
  2. 確認法規觸發:是否涉及電池護照、ESPR 優先產品組、客戶 DPP 要求或平台要求。
  3. 建欄位矩陣:把產品身份、材料、環境、合規、供應鏈、維修、回收等欄位列出來。
  4. 建證據矩陣:為每個欄位標註來源文件、責任方、驗證狀態和缺口。
  5. 建供應商聲明範本:明確供應商、簽署人、授權範圍、聲明內容、適用型號或批次。
  6. 建版本規則:每一次欄位更新、證據文件更新、聲明更新都要能追溯舊版本。
  7. 建簽署和簽章規則:區分普通確認、企業聲明、關鍵合規確認、高風險文件和客戶指定文件。
  8. 選擇合作方:DPP 平台負責託管和展示,TIC 負責檢測/認證/驗證,LCA 工具負責碳和生命週期資料,信任服務負責簽名、簽章、時間戳和驗證。

這套準備工作完成後,企業再選擇 DPP 平台會更穩。否則平台上線時會發現:欄位不知道誰填,供應商資料收不上來,證明文件沒有版本,簽署權限不清楚,後續很難自動驗證。

用簽署和證據工作流程承接 DPP 準備

對 Nota Sign 這類跨境簽署平台來說,DPP 更適合從「企業側證據工作流程」切入,而不是直接替代 DPP 平台、TIC 機構或歐盟註冊系統。

Nota Sign 電子簽名產品 可用於企業合約、聲明、授權和高信任簽署場景;Nota Sign 身份核驗產品 可支援身份核驗;Nota Sign 信任中心 提供關於簽署法律框架、安全和可信能力的說明。放到 DPP 準備中,更自然的應用位置包括供應商聲明、授權確認、證據包清單、文件版本確認、審計記錄和與合作夥伴系統的流程整合。

需要明確的是:DPP 平台負責護照建立、託管、存取控制和展示;TIC 和檢測認證機構負責測試、審核、認證和驗證;歐盟註冊系統負責註冊體系和註冊證明;企業側簽署和證據工作流程則負責把資料來源、聲明、授權、版本和審計記錄整理成可追溯、可核驗的材料。

DPP 準備任務適合由誰負責說明
DPP 資料託管和展示DPP 平台建立護照頁面、管理存取權限、對接資料載體
檢測、認證和驗證TIC/檢測認證機構支撐產品合規、材料、碳足跡或供應商審核
LCA/PCF 計算LCA 工具或專業機構計算環境資料,不應由簽署工具替代
註冊證明歐盟註冊系統或政府系統草案中的註冊證明屬於系統側機制
供應商聲明和授權簽署企業側簽署工作流程證明資料來源、簽署身份、授權和版本
證據包留痕企業、諮詢方、平台和簽署工作流程共同完成把欄位、文件、簽署狀態、雜湊值、時間戳和審計記錄組織起來

這也是出口歐盟企業比較現實的第一步:先建立 DPP 準備度檢查、供應商聲明和證據包流程,再決定是否接入具體 DPP 平台和檢測認證合作方。

下一步

如果你的企業已經被歐盟客戶要求準備 DPP,可以先從一個產品線或一個電池/紡織樣例開始,建立欄位矩陣、供應商聲明範本和證據包清單。完成後,再評估 DPP 平台、TIC 驗證、LCA 工具和簽署/簽章工作流程如何組合。

需要處理跨境供應商聲明、授權確認、證據包簽署和審計留痕的團隊,可以聯絡 Nota Sign 評估適合的簽署證據流程。