Zgodnie z nowymi przepisami Unii Europejskiej dotyczącymi zrównoważonego rozwoju – w szczególności Ekoprojekt na potrzeby rozporządzenia dotyczącego produktów zrównoważonych (ESPR) i Dyrektywa dotycząca należytej staranności w zakresie zrównoważonego rozwoju korporacyjnego (CS3D)— marki modowe są zmuszane do radykalnej przejrzystości. Do 2027 roku marki muszą opublikować cyfrowy paszport produktu (DPP) szczegółowo opisujący ich łańcuch dostaw. Jednakże ten nacisk regulacyjny powoduje krytyczny konflikt operacyjny: w jaki sposób marka może udowodnić zgodność bez ujawniania konkurentom tajemnic handlowych, nazw fabryk i umów z dostawcami?
W konkurencyjnym światowym przemyśle modowym i tekstylnym relacje z dostawcami, własne mieszanki tkanin i kontrakty z farbiarniami stanowią podstawowe przewagi konkurencyjne. Publiczne ujawnienie całej sieci dostawców wyższego szczebla może zachęcić konkurencję do kopiowania Twojego łańcucha dostaw lub kłusowania na Twoje fabryki. W tym artykule omówiono dwupoziomowy model dostępu do danych zgodnie z art. 8 ESPR, wyjaśniający, w jaki sposób marki mogą udowodnić zgodność z przepisami, jednocześnie w pełni chroniąc swoje zastrzeżone dane dotyczące łańcucha dostaw.
Zrozumienie artykułu 8 ESPR: Prawa dostępu i pozwolenia
Organy regulacyjne UE uznały, że pełna przejrzystość publiczna może zagrozić tajemnicom handlowym i zagrozić konkurencyjności przemysłu. W związku z tym w art. 8 ESPR przedstawiono stowarzyszoną architekturę danych, która wspiera szczegółowość dostępu. Rozporządzenie nakłada obowiązek podziału danych w paszporcie produktu cyfrowego w oparciu o „potrzebę wiedzy” strony skanującej.
Wymaga to dwupoziomowy model dostępu do danych w oprogramowaniu DPP, dzieląc dane na odrębne domeny uprawnień:
- Poziom konsumentów publicznych: Dostępne dla każdego, kto zeskanuje kod QR odzieży. Ten poziom zawiera ogólne, niewrażliwe dane dotyczące zrównoważonego rozwoju, instrukcje dotyczące pielęgnacji i zestawienia materiałów.
- Ograniczony poziom regulacyjny: Dostępne wyłącznie dla urzędników celnych, organów nadzoru rynku i akredytowanych zewnętrznych jednostek oceniających zgodność. Ten poziom zawiera szczegółowe nazwy obiektów, szczegóły audytu chemicznego i certyfikaty transakcji.
Partycjonowanie danych dotyczących łańcucha dostaw
Aby wdrożyć ten dwupoziomowy model, zespoły ds. zaopatrzenia i zgodności muszą podzielić dane produktów na kategorie publiczne i prywatne. Poniższa tabela przedstawia standardowy szablon partycjonowania danych zalecany przez TracePath dla marek modowych:
| Grupa pól danych | Opinia konsumenta publicznego | Ograniczony widok audytora |
|---|---|---|
| Skład materiału | Procent składu włókien (np. 70% bawełny organicznej, 30% poliestru z recyklingu). | Konkretne numery partii materiałów i arkusze jakości włókien dostawcy. |
| Obiekty produkcyjne | Kraj ostatecznego montażu i region geograficzny farbiarni (bez nazw). | Dokładne nazwy fabryk, adresy ulic i unikalne identyfikatory obiektów (OSID/Higg ID). |
| Certyfikaty i audyty | Zweryfikowane identyfikatory (np. GOTS, GRS) wskazujące ważność certyfikatu i identyfikatory certyfikatów. | Certyfikaty transakcji (TC) pokazujące wielkość zakupów, faktury i raporty z audytu. |
| Ślad Chemiczny | Deklaracje zgodności REACH i OEKO-TEX Standard 100. | Raporty ZDHC dotyczące ścieków, receptury chemiczne i listy wejściowych substancji chemicznych. |
Wdrażanie kontroli dostępu opartej na rolach (RBAC) i weryfikowalnych poświadczeń
Z technicznego punktu widzenia wykonanie modelu dwuwarstwowego wymaga solidnej architektury oprogramowania. Samo ukrycie danych za stroną logowania nie wystarczy. Marki muszą wdrożyć platformy zgodności B2B, takie jak TracePath, które wdrażają Kontrola dostępu oparta na rolach (RBAC) i kryptograficzne warstwy zabezpieczeń:
1. Dynamiczne uwierzytelnianie tokenem
Kiedy organ regulacyjny pyta o adres URL modułu rozpoznawania TracePath (np. podczas kontroli odprawy celnej), nie patrzy tylko na publiczną stronę internetową. Zamiast tego ich system wysyła żądanie API przedstawiające bezpieczny, podpisany kryptograficznie token wydany przez Rejestr Paszportów Produktów UE. Jeśli token jest ważny, interfejs API TracePath zwraca ograniczony zestaw danych regulacyjnych; w przeciwnym razie domyślnie jest to pogląd publicznego konsumenta.
2. Weryfikowalne referencje i dowody wiedzy zerowej
Korzystając z zaawansowanych standardów kryptograficznych, przelicznik może udowodnić, że odzież posiada certyfikat GOTS bez ujawniając specyficzną tożsamość fabryki, która go certyfikowała. Resolwer dostarcza weryfikowalny kryptograficznie dowód ważności certyfikatu, zadowalając celnika, zachowując jednocześnie nazwę dostawcy w tajemnicy. Ma to kluczowe znaczenie dla zapobiegania szpiegostwu przemysłowemu i kłusownictwu w łańcuchu dostaw ze strony konkurentów.
3. Miejsce przechowywania danych i zgodność
Zgodnie z prawem UE wszystkie dane dotyczące produktów sprzedawanych na terenie Europejskiego Obszaru Gospodarczego muszą spełniać rygorystyczne zasady dotyczące suwerenności danych. Wrażliwe pod względem handlowym dane dotyczące łańcucha dostaw muszą być przechowywane na bezpiecznych serwerach w UE. TracePath przechowuje wszystkie dane dotyczące zgodności w infrastrukturze bezpiecznej dla RODO na terenie UE, z pełnym szyfrowaniem w stanie spoczynku i podczas przesyłania.
Plan działania dla zespołów zaopatrzeniowych
Aby chronić dane dotyczące łańcucha dostaw przed terminami przypadającymi na rok 2027, zalecamy następujący trzyetapowy plan:
- Przeprowadź audyt danych: Kategoryzuj wszystkie pola danych łańcucha dostaw na listy „publiczne” i „zastrzeżone”. Uzyskaj zgodę prawną od zespołów ds. zgodności, zaopatrzenia i zespołów prawnych, aby mieć pewność, że tajemnice handlowe zostaną oznaczone jako zastrzeżone.
- Wybierz bezpiecznego partnera DPP: Nawiąż współpracę z platformą zgodności, taką jak TracePath, która obsługuje RBAC, partycjonowanie danych i bezpieczne tokeny regulacyjne od razu po wyjęciu z pudełka. Upewnij się, że platforma nie łączy Twoich danych w publiczne indeksowane bazy danych.
- Szkol swoich dostawców: Upewnij się, że producenci odzieży i wytwórnie tkanin rozumieją, że ich prywatne dane (takie jak badania ścieków i audyty społeczne) zostaną bezpiecznie przesłane do obszaru roboczego dostawcy TracePath i będą nie być widoczne dla ogółu społeczeństwa lub konkurencyjnych marek. Zachęca to ich do udostępniania wysokiej jakości danych dotyczących zgodności bez obawy o utratę działalności.
Wniosek: zgodność bez narażenia
Unijny Paszport Produktu Cyfrowego jest obowiązkowym wymogiem wejścia na rynek UE, ale nie musi oznaczać końca prywatności w łańcuchu dostaw. Przyjmując rygorystyczny dwupoziomowy model dostępu do danych i wdrażając kontrolę dostępu opartą na rolach, marki modowe mogą bez obaw udostępniać weryfikowalne dane dotyczące zgodności unijnym organom celnym i organom regulacyjnym, zachowując jednocześnie bezpieczeństwo swoich zastrzeżonych sieci dostawców i tajemnic handlowych.
