从 App Store 到云计算:DMA 正在重写 AI 时代的数字市场权力边界|深度解析欧盟DMA2026年年度报告

它透露出的真正变化是：DMA 的执法重心，正在从平台前端的用户选择，移向 AI 时代的基础设施依赖。

这份报告本身并不修改 DMA，也没有单独创设新的守门人义务。它真正值得关注的地方，在于清楚显示出 DMA 已经基本完成第一阶段的制度导入，开始进入第二阶段：从指定守门人、提交合规报告、开展监管对话，转向通过正式执法、产品改造、互操作决定和市场调查，重新塑造大型平台的产品设计、数据使用、生态开放和基础设施控制方式。

更进一步说，DMA 正在从一部约束大型平台前端行为的法律，逐渐演变为一套观察 AI 时代数字基础设施权力的市场治理工具。过去理解平台权力，常常会想到应用商店、搜索引擎、社交网络、广告系统和默认浏览器；但在 AI 时代，真正不可绕开的入口，可能正在转移到云计算、模型托管、接口服务、算力资源、数据迁移和企业软件生态之中。

这也是这份报告最重要的信号：欧盟不只是要管应用商店和搜索结果页，它已经开始观察 AI 时代更底层的守门位置。

一、DMA 已经从“合规承诺”进入“产品改造”阶段

DMA 的第一阶段，是把少数大型数字平台识别出来，指定为守门人，并要求其就核心平台服务提交合规报告。这个阶段的重点，是让 DMA 从纸面法律进入监管运行。但 2025 年的重心已经明显不同。欧委会在报告中区分了前期制度启动与后续实际效果：2023 年和 2024 年主要是指定首批守门人、启动监管对话、确认合规路径；到 2025 年，商业用户和终端用户开始看到更多实际利益，监管工具也从沟通和说明，转向决定、处罚、初步认定和市场调查。

这个变化非常关键。守门人提交合规报告、说明自己采取了哪些措施，已经只是起点。欧委会开始直接审查这些措施是否真正改变了用户选择、开发者机会和市场结构。监管重心已经从“平台是否承诺合规”，转向“平台是否实际改造产品”。

这种产品层面的监管，体现在许多看似细小但影响深远的设计中：默认设置是否容易修改，预装应用是否容易卸载，选择屏是否能够真正改变用户路径，开发者能否告知用户平台外优惠，替代分发渠道是否只是名义存在，第三方设备是否能够获得与平台自有设备相当的系统能力，数据可携是否只是一次性下载，还是能够支持持续迁移。

这些问题过去常常被看作产品策略、商业模式或用户体验问题。DMA 使它们成为法律问题，也成为市场公平问题。大型平台不再能够只用抽象政策文本证明合规，而必须在界面、流程、接口、费用、合同和技术权限上给出可验证的改变。

二、Apple 是 2025 年 DMA 执法的核心样本

Apple 案件的意义，不是欧委会盯上了某一家企业，而是 DMA 已经形成了一套拆解移动生态封闭性的执法方法。用户选择、第三方互操作、应用分发、外部引流和费用结构，都被纳入同一条监管逻辑之中。

选择屏、默认设置和卸载

DMA 第 6 条第 3 款要求守门人允许用户容易卸载软件应用、改变默认设置，并通过选择屏选择默认浏览器。欧委会曾对 Apple 是否遵守该条展开不合规调查，后续 Apple 改进浏览器选择屏，使用户体验更顺畅，也让用户更容易更改通话、消息、密码管理、翻译等默认设置，并允许卸载 Safari、App Store 等预装应用。欧委会因此在 2025 年 4 月 23 日关闭相关程序，但同时表示会继续监测 Apple 的措施。

这个案件的意义不只在于一个选择屏本身，更在于欧委会已经把“有效选择”作为判断平台合规的重要标准。用户如果理论上可以更改默认设置，但入口很深、流程复杂、提示劝退、体验割裂，那么这种选择就可能只是形式选择，达不到 DMA 所要求的真实选择。

互操作性

欧委会在 2025 年 3 月 19 日针对 Apple 发布两项规范决定，分别涉及 iOS 与连接设备功能的互操作，以及第三方提出互操作请求的处理流程。前者关系到智能手表、耳机、可穿戴设备等第三方硬件能否获得必要系统功能；后者关系到第三方开发者和设备制造商能否以透明、及时、可预测的方式提出互操作请求。报告明确说，这两项规范决定具有法律约束力，但 Apple 已经向欧盟普通法院提起撤销之诉。

这类决定的法律意义很强。硬件与软件功能的开放，已经从平台商业策略转化为可执行的法律义务。对于智能硬件、物联网、可穿戴设备企业而言，这类决定可能比抽象竞争法原则更有现实影响。因为真正影响产品体验的，往往不是平台是否允许接入，而是第三方设备能否获得通知、连接、配对、后台运行、低延迟通信等关键系统能力。平台如果一方面允许第三方存在，另一方面把核心能力留给自家设备，就会在技术层面维持生态优势。

外部引流和替代分发

欧委会在 2025 年 4 月 23 日认定 Apple 违反 DMA 第 5 条第 4 款，原因是其对应用开发者施加多项限制，使开发者无法充分利用应用商店之外的替代分发渠道，也使消费者无法充分获得替代且更便宜的优惠。欧委会因此对 Apple 处以 5 亿欧元罚款，并要求其移除相关技术和商业限制、停止不合规行为。Apple 已对该不合规决定提起撤销之诉。

同一天，欧委会还就 Apple 在替代应用分发渠道方面是否违反 DMA 第 6 条第 4 款发布初步认定。这里需要注意程序状态：初步认定不是最终不合规决定，但它显示了欧委会的审查重点，包括 Core Technology Fee、严格资格要求，以及替代渠道安装流程是否过于繁琐和混乱。

问题不在于平台有没有写下“开放”两个字，而在于开放能否被实际利用。平台即使名义上允许外部引流或替代分发，也可能通过费用、流程、合同条款和界面设计，把开放义务重新锁回去。如果高额费用、复杂跳转、警示弹窗、资格限制或合同义务使开发者事实上不愿意、不敢用、用不起，那么这种开放就可能不符合 DMA 的要求。

Apple 案件的核心启示是：DMA 对大型平台治理最有冲击力的地方，在于要求监管机构穿透平台的产品机制和商业条件，审查开放是否真实、选择是否有效、竞争机会是否可被实际利用。

三、数据控制正在从隐私问题变成市场结构问题

DMA 与 GDPR 的交叉，是这份报告中最值得深入展开的部分。

过去讨论大型平台的数据使用，更多会从隐私保护角度切入：有没有合法性基础，同意是否自由，隐私政策是否透明，用户能否行权，是否涉及画像和自动化决策。但 DMA 引入了另一条逻辑：当守门人掌握大量数据，并通过跨服务数据合并、画像、广告定向和生态绑定持续巩固市场优势时，数据问题同时也是市场结构问题。

Meta 的“同意或付费”模式就是最好的例子。在该模式下，Facebook 和 Instagram 的欧盟用户需要在两个选项之间选择：要么同意个人数据被合并用于个性化广告，要么支付月费获得无广告服务。欧委会认为，这种二元模式没有提供 DMA 第 5 条第 2 款所要求的特定选择，即用户应当能够选择一种使用较少个人数据、但其他方面等效的服务。同时，欧委会也认为该模式没有让用户能够自由同意其个人数据被合并。欧委会因此对 Meta 处以 2 亿欧元罚款。Meta 已对该决定提起撤销之诉。

这和 GDPR 下关于“同意是否自由”的讨论相互呼应，但 DMA 的问题意识更进一步。它既看用户有没有点同意按钮，也看守门人凭借市场地位、网络效应和服务依赖关系，把用户置于“交出更多数据”与“付费”之间时，这种选择是否会继续巩固其数据优势和广告市场优势。

因此，在守门人场景下，同意管理已经超出隐私界面设计，进入市场公平问题。合规不能只停留在弹窗、按钮、勾选框和记录留存，更要回答一个实质问题：用户不同意之后，是否仍有真实可用的替代路径。这种替代路径不能只是理论上存在，也不能通过功能降级、价格压力、体验损失或复杂流程使用户事实上无法选择。

数据可携也体现出同样逻辑。报告提到，Alphabet 已提供面向未来的数据访问请求，用户可以一次性请求未来每日、每周或每月接收数据；Meta 也将数据下载和数据转移工具整合为新的导出工具，以改善用户的数据转移体验。欧委会还提到，Alphabet 和 Apple 之间的监管对话推动了设备可携方案，使用户更容易在 Android 设备和 iPhone 之间迁移数据。

DMA 下的数据可携，不能停留在 GDPR 意义上的一次性导出，还要形成削弱平台锁定效应的持续迁移能力。只有当数据能够持续、结构化、可用地迁移，用户和商业用户才真正有可能脱离某一生态，转向其他服务。否则，数据可携很容易停留在“下载一个压缩包”的形式合规状态。

这个变化对数据合规实践的影响很大。过去数据合规更关注处理是否合法，未来在大型平台和生态型产品中，还需要关注数据安排是否形成锁定、是否削弱用户迁移能力、是否将隐私选择转化为商业压力、是否通过跨服务合并继续扩大平台优势。数据合规与竞争合规不再是两套完全分离的体系，而是在平台经济和 AI 服务中越来越深地交织在一起。

四、画像透明正在成为平台监管的基础设施

报告中关于 DMA 第 15 条的内容，也值得单独关注。

第 15 条要求守门人向欧委会提交经独立审计的消费者画像技术说明，说明其在指定核心平台服务中或跨核心平台服务使用的画像技术。这些报告会与欧洲数据保护委员会共享，守门人还需要发布公开概览，使商业用户等第三方能够了解相关情况。2025 年是所有七家守门人第二轮、也是第一轮更新的画像报告周期。

这一义务看似只是报告义务，实质上却非常关键。大型平台的市场优势，往往不只来自用户数量，还来自持续积累的数据、跨服务组合能力、推断能力、广告定向能力以及由此形成的商业闭环。如果监管机构无法理解平台如何画像、如何组合数据、如何形成推断、如何用于广告和推荐，就很难判断其数据优势如何转化为市场优势。

因此，第 15 条画像报告具有明显的基础设施意义。它将平台画像从隐私政策中的概括性说明，推进到可审计、可比较、可被监管机构持续追踪的技术说明。它也为 DMA 与 GDPR 的协同提供了重要接口：一方面，画像技术说明可以帮助竞争监管理解数据优势；另一方面，与数据保护机构共享报告，也可以帮助判断跨服务数据合并、个性化广告、自动化推断和用户同意机制是否符合数据保护要求。

这对 AI 时代尤其重要。许多 AI 个性化功能，表面上是模型能力，实质上离不开长期画像、行为数据、上下文数据和跨服务数据整合。平台越是把搜索、社交、广告、设备、云服务、办公软件和模型能力打通，画像能力就越可能成为新的市场优势来源。未来对大型平台、广告生态、推荐系统和 AI 个性化服务的合规审查，不能只看隐私政策，而要看画像技术、数据组合路径、推断类别、跨服务使用、广告定向逻辑、第三方可见性和审计说明。

GDPR 关注个人在数据处理中的权利地位，DMA 第 15 条进一步关注画像能力如何转化为市场控制力。两者不是替代关系，而是从不同角度审查同一套数据权力结构。

五、搜索排序和流量分配，正在成为可被审查的市场权力

DMA 对搜索和内容分发的关注，反映了另一个核心问题：大型平台如何分配商业机会。

报告显示，欧委会继续推进 Google Search 的不合规调查，并在 2025 年 3 月 19 日发布初步认定，认为 Alphabet 可能违反 DMA 第 6 条第 5 款，在 Google Search 结果中更优惠地对待自己的服务，例如将自有服务置于更优位置，或使用增强视觉格式、过滤机制等方式设置专门空间。调查涉及旅游、电商、酒店等多个垂直领域。这里同样要注意程序状态：这是初步认定，不是最终不合规决定。但它已经说明欧委会如何理解搜索入口的市场权力。

这类行为过去常常被概括为“自我优待”。但如果只停留在这个概念上，会低估它的实际影响。对商业用户而言，搜索结果页不是一个中立的信息展示空间，而是流量入口、交易入口和转化路径。平台如何排序，如何展示，如何设置卡片，如何提供过滤，如何决定哪些服务获得视觉强化，都会直接影响商业机会的分配。

因此，DMA 的审查重点不是抽象地反对“大平台偏袒自己”，而是平台如何通过排序、展示、视觉格式和过滤机制分配商业机会。监管对象不只是“结果是否公平”，还包括形成结果的展示机制、排序规则、用户路径和商业转化结构。

这一点对内容平台、出版商、旅游服务、电商平台、酒店服务、地图服务和本地生活服务都很重要。大型平台往往既是入口，又是参与者。它既能决定别人如何被发现，也能推出自己的竞争服务。如果这种双重角色缺乏约束，商业用户就很容易被置于不对称竞争中。

如果将这一逻辑延伸到 AI 搜索和智能助手场景，问题会更加复杂。当搜索结果不再以传统链接形式呈现，而是由 AI 助手直接总结、推荐、排序、代办甚至完成交易时，流量分配权将更加隐蔽。用户可能不再看到完整列表，也未必知道哪些信息被排除、哪些服务被优先、哪些商业路径被默认。DMA 对搜索自我优待和展示机制的执法经验，未来很可能延伸到 AI 搜索、智能推荐和代理式服务之中。

六、互操作性正在成为平台监管的核心工具

DMA 的另一个关键词是互操作性。这里的互操作性不是技术口号，而是对抗网络效应和生态锁定的重要监管工具。

在移动生态中，互操作性关系到第三方设备和应用能否获得必要的系统能力。在消息服务中，互操作性则关系到用户能否在不加入同一平台的情况下继续通信。报告提到，DMA 第 7 条要求守门人消息服务实现横向互操作，目前涉及 Meta 的 WhatsApp 和 Messenger。2025 年是群聊互操作的重要节点。由于第 7 条采取分阶段实施机制，守门人在被指定后六个月内需要实现一对一聊天互操作，两年内需要实现群聊互操作。Meta 在 2025 年 9 月 6 日更新了 WhatsApp 和 Messenger 的互操作参考要约和开发者文档；同年 11 月，BirdyChat 和 Haiket 宣布将与 WhatsApp 实现互操作。欧委会仍在监测相关方案的实施。

这类义务的重点，不能停留在简单开放接口。一个接口即使形式上开放，也可能因为功能不完整、体验不好、安全提示过度、接入条件复杂或商业条款不合理，而无法真正对抗网络效应。真正有效的互操作，需要让用户获得足以替代平台内闭环体验的实际体验。否则，用户仍然会因为朋友、客户、业务伙伴和历史数据都在原平台中，而无法迁移或多归属。

互操作性之所以重要，是因为它直接打在平台经济的核心壁垒上：网络效应、数据积累、默认路径和生态锁定。开放接口如果不能改变这些壁垒，就只是技术层面的形式开放；能够改变这些壁垒，才可能带来可竞争性。

这对 AI 时代同样重要。未来 AI 服务的互操作，不仅会发生在消息服务之间，也可能发生在模型服务、插件生态、企业知识库、云平台、身份系统、办公套件、开发者工具之间。谁控制互操作接口，谁就可能控制 AI 应用的生态边界。如果一个企业的知识库、工作流、模型调用、身份认证和数据存储都被绑定在同一生态中，迁移成本就会远高于传统软件时代。DMA 对互操作性的强调，正好触及 AI 时代企业级服务最关键的锁定风险。

七、云计算与 AI 基础设施，是这份报告最值得关注的新信号

如果说应用商店是消费者看得见的入口，云计算就是开发者和企业客户看不见却绕不开的入口。

如果只看 2025 年已经作出的处罚和决定，DMA 的重点似乎仍然是 Apple、Meta、Google 这些熟悉问题：应用商店、广告数据、搜索排序、消息互操作。但如果看未来监管方向，报告中最重要的信号其实是云计算。

欧委会在 2025 年 11 月 18 日启动了针对 AWS 和 Azure 的潜在定性指定市场调查。虽然 AWS 和 Azure 未满足 DMA 下第 3 条第 2 款的数量门槛，但欧委会认为有理由评估 Amazon 和 Microsoft 是否通过这些云计算服务构成商业用户触达终端用户的重要入口。报告特别提到，云计算服务已经成为许多数字服务的骨干，对欧盟企业和 AI 技术发展都非常关键。

与此同时，欧委会还启动了云计算领域的市场调查，关注互操作障碍、商业用户访问数据受到限制或附条件、服务捆绑搭售，以及可能不平衡的合同条款。报告还明确表示，该调查将在启动后 18 个月内形成报告；如有必要，报告可能支持未来通过授权法案或立法提案更新 DMA 中针对云计算服务的某些义务。

这部分内容应当放在 AI 产业背景下理解。AI 初创企业、出海软件企业、模型应用企业通常高度依赖云服务、算力资源、模型托管、接口服务、数据仓库、身份认证、企业办公套件和应用市场。如果大型云服务商同时控制基础设施、模型服务、数据管道、企业软件入口和生态合作市场，守门风险就会从消费者可见的应用商店或搜索结果页，进入企业和开发者无法绕开的底层基础设施。

AI 时代的市场入口，未必是用户点击的那个入口，而是开发者、企业客户和模型服务无法绕开的那一层基础设施。一个云平台如果同时提供算力、存储、模型、开发工具、办公套件、企业身份、数据分析和应用市场，就可能在多个层面形成锁定：数据难迁移，模型难替换，接口难兼容，合同难退出，生态难摆脱。这样的锁定未必表现为传统意义上的垄断价格，却可能通过技术依赖和生态耦合限制市场可竞争性。

这也是 DMA 下一阶段最值得关注的方向。未来的争议，可能不再主要围绕应用商店抽成、搜索自我优待或广告数据合并展开，而会越来越多地触及云计算、AI 基础设施、数据迁移、接口访问、模型服务绑定和企业级生态锁定。

如果说过去 DMA 是在处理“平台如何控制用户入口”，那么下一阶段，它很可能要处理“平台如何控制 AI 能力底座”。

八、欧盟正在形成组合监管结构

这份报告还有一个重要信息：欧盟正在逐步形成组合监管结构，而不是把 DMA、GDPR、消费者保护、网络安全、产品安全、可访问性和 AI 监管分开运行。

报告中关于 DMA 高级别小组的部分显示，欧盟希望通过跨监管合作，确保 DMA 与其他适用于守门人的部门规则一致、有效实施。报告特别提到，这种协调不仅有助于降低复杂性，也可以防止守门人利用一个政策领域规避另一个政策领域。

这句话非常关键。大型平台的行为很少只落入某一部法律。一个“同意或付费”模式，可能同时涉及 DMA 下的数据合并和市场公平，GDPR 下的自由同意，消费者法下的不公平商业实践和合同条款。一个搜索排序规则，可能同时涉及 DMA 下的自我优待、竞争法下的市场力量、消费者法下的信息呈现。一个 AI 功能，可能同时涉及 AI Act、GDPR、DSA、DMA 和消费者保护规则。

报告还提到，欧委会和欧洲数据保护委员会已经同意共同制定 DMA 与 GDPR 相互关系的指南，并在 2025 年 10 月 9 日至 12 月 4 日就指南草案公开征求意见，计划在 2026 年通过。这意味着，DMA 与 GDPR 的交叉不再只是个案中的协调，而会逐步沉淀为更明确的解释框架。

欧盟对守门人的监管，正在从单一法规执法走向跨制度治理。监管机构看到的是业务链路、产品机制和市场效果，不会停留在企业内部按部门切开的法律清单上。企业如果只按法规分别制作合规矩阵，很容易漏掉真正的风险连接点。

对大型平台的 AI 功能而言，AI Act 只会构成监管框架的一部分。DMA、GDPR、DSA 和消费者保护规则仍会分别从市场入口、数据处理、平台风险和商业实践角度介入。

这意味着，未来欧盟数字合规的基本方法，不能只是“逐部法规列义务”，而要从产品机制出发，识别同一业务安排在不同法规下触发的多重问题。一个默认设置可能同时是用户选择问题、竞争问题和消费者保护问题；一次数据合并可能同时是隐私问题、广告市场问题和画像透明问题；一个 AI 助手推荐路径可能同时是搜索排序、商业展示、自动化决策和平台责任问题。

九、并购透明与 AI 人才收购：DMA 正在成为平台扩张的信息雷达

报告还提到，2025 年欧委会收到 36 起守门人拟议集中交易通知，自 2023 年以来累计收到 55 起。报告特别指出，2025 年通知中 AI 相关交易较为突出，并且与 2024 年类似，若干交易涉及人才收购，也就是通过吸收目标公司关键人员实现能力获取。

这一点很有现实意义。AI 领域的大型平台扩张，不一定表现为传统意义上的股权收购。它可能表现为关键团队加入、技术授权、独家云合作、模型合作、算力协议、数据合作，或者通过企业软件生态绑定某一类 AI 能力。这些安排单独看可能不像传统并购，但合在一起，可能迅速改变某一细分市场的能力分布和竞争格局。

DMA 第 14 条本身不是并购审批机制。报告也提醒，这类人才收购是否构成欧盟并购条例意义上的“集中”，需要逐案分析。但第 14 条提供了一个信息雷达，使欧委会和成员国竞争机构能够更早观察守门人在 AI 市场中的扩张方式。对于 AI 产业而言，这可能会补足传统并购控制的一部分盲区。因为真正改变市场结构的，不一定是一次公开收购，也可能是一组看似分散的合作安排、人才迁移和基础设施绑定。

这也说明，欧盟对 AI 竞争格局的观察不会只停留在模型参数、训练数据或应用功能上，而会进一步关注大型平台如何通过资本、人才、云服务、数据资源和生态合作积累长期优势。平台扩张的形式越灵活，监管的信息雷达就越重要。

十、对中国出海企业和 AI 企业的实务启示

这份报告对中国出海企业、AI 初创企业、应用开发者、智能硬件厂商和企业软件服务商都有直接启示。

对应用开发者而言，不能只关注平台抽成比例，还要关注是否可以向用户告知外部优惠，是否可以引导用户在平台外订约，替代分发是否真的可用，平台费用和流程是否构成事实上的反激励。DMA 的意义不只是降低某个费率，而是限制平台通过合同、界面和技术条件控制开发者与用户之间的商业关系。

对智能硬件和物联网企业而言，Apple 互操作决定值得高度关注。硬件接入能力已经成为平台监管的重要问题。企业需要关注系统级接口限制、后台运行能力、通知能力、配对流程、连接稳定性，以及平台是否对自家设备提供更深度系统权限。过去这些问题可能被视为商业谈判，现在可能逐步成为监管争议。对于依赖手机操作系统、应用商店和云服务的硬件企业而言，互操作能力本身就是市场准入条件。

对 AI 初创企业和企业软件服务商而言，最关键的是云和生态依赖。企业需要评估云服务是否存在数据迁移障碍，接口、模型托管、算力和企业软件入口是否被捆绑，是否存在难以退出的技术架构，云供应商是否同时是基础设施提供者和业务竞争者。

对数据合规和 AI 合规团队而言，不能只按 GDPR、AI Act、DSA 分别做法规清单，而应从业务链路出发建立组合监管视角。真正需要被识别的，是同意管理、画像透明、数据可携、接口访问、默认设置和 AI 功能之间的联动关系。

这并不意味着普通企业都要按照守门人标准自我约束。更现实的提醒是，在欧盟数字监管环境下，平台依赖、数据依赖和基础设施依赖本身正在成为越来越重要的合规变量。对于出海企业而言，合规不只是自己是否遵守法规，也包括自己被嵌入怎样的受监管生态，以及这种生态依赖会如何影响产品、数据、商业模式和用户关系。

结语：DMA 的下一站，是 AI 时代的基础设施权力

这份年度报告说明，DMA 已经不再只是欧盟约束大型平台的一部竞争性法规。它正在成为欧盟观察并约束 AI 时代数字基础设施权力的重要工具。

过去，平台权力主要体现在搜索排名、应用商店、社交网络和广告系统之中。现在，随着 AI 应用越来越依赖云计算、模型服务、接口、数据迁移和企业级软件生态，平台权力正在向更底层的位置移动。DMA 的下一阶段，就是识别并约束这些新的守门位置。

这份报告最值得关注的，不只是欧委会罚了谁，更是欧盟正在重新定义：在 AI 时代，什么才是数字市场中的“入口”。

如果这个入口已经不再只是消费者打开的应用、点击的搜索结果或使用的社交网络，而是开发者无法绕开的云、模型、接口、数据和生态系统，那么 DMA 的监管重心自然也会随之移动。

从应用商店到云计算，DMA 正在重写 AI 时代的数字市场权力边界。