欧盟将推出GDPR简化计划，以减轻中小企业合规压力

编者按

《通用数据保护条例》（GDPR）自实施以来，以严格的数据保护标准树立了全球标杆，成为“布鲁塞尔效应”典型范例，但也因繁复的合规要求而受争议，已成为欧洲科技企业与创新生态的“隐性枷锁”。

近期，欧盟推出“竞争力指南”，旨在通过削减企业合规成本，以提高其竞争力。GDPR简化计划现已经提上日程，预计将于“未来几周”内出台。据悉，此次GDPR的简化将以减轻中小企业的合规压力为主要目标。

1.提升欧盟竞争力，降低企业合规成本

欧盟企业的竞争力问题成为欧盟近年核心关切。

• 2024年9月，欧洲央行前行长马里奥·德拉吉（Mario Draghi）发布《2024年马里奥·德拉吉关于欧洲竞争力未来的报告》（The Draghi report: A competitiveness strategy for Europe），指出欧洲复杂的法律体系阻碍了其经济追赶美国和中国。

• 2025年1月，欧盟委员会发布《竞争力指南》（Competitiveness Compass），将提升竞争力作为欧盟工作的核心。同时，基于德拉吉报告，提出通过缩小创新差距、经济脱碳、减少供应链依赖三个支柱实现重塑欧盟竞争力，并提出减少繁文缛节、消除单一市场障碍、实现高效融资、提高劳动者技能、确保欧盟和加盟国规则协调五条实现路径。

• 2025年2月，欧盟委员会发布《2025年欧盟委员会工作计划》（2025 Commission Work Programme），其将简化和有效实施欧盟法律的举措纳入了2025年目标之中，并提出撤回《人工智能责任指令》、《电子隐私条例》等规则。

• 2025年2月，欧盟公布综合法案（Omnibus Package），简化欧盟企业披露可持续发展报告的要求，以及优化企业获取欧盟投资的相关规则。

• 2025年4月，欧盟计划在“未来几周内”正式公布简化GDPR的提案。

2.GDPR简化目标：减轻中小数字企业负担

自2018年实施以来，GDPR已成为全球数据保护法规的标杆，其影响力远远超出了欧盟范围，许多国家和地区都以GDPR的原则为蓝本，制定了自己的隐私框架。这种现象有时被称为“布鲁塞尔效应”，赋予了欧盟在全球数字治理领域强大的软实力。因此，GDPR的任何修改不仅会对欧洲企业产生影响，还可能对全球数据保护标准产生影响。欧盟委员会可能意识到，GDPR的大幅削弱可能会削弱其监管领导地位。这种全球背景或许有助于解释为何官员们一直谨慎地强调，简化措施不会影响该法规的“根本核心目标”。

2025年3月13日，司法专员迈克尔·麦格拉思（Michael McGrath）在一场直播访谈中也进一步确认，GDPR将启动简化流程。他表示，此次简化将聚焦于员工少于500人的中小企业及其他中小型组织的记录保存义务，同时保留GDPR的核心原则。[1] 这些预期的修订与目前正在协商的另一项侧重于GDPR执法程序的变更。[2] 他强调，这些变化将专门针对中小企业的合规性，而不是削弱法规保护的核心价值。与此同时，麦格拉斯证实，简化《GDPR》的提案将在“未来几周”内出台。欧盟委员会原计划于4月16日就一项针对中小企业的所谓简化方案进行讨论，但该日期现已推迟至5月21日。[3] 一位委员会官员指出，该日期“仅供参考”，但他确认，简化隐私规则的提案肯定会最迟“在6月”提交。这一时间表表明，委员会将这项举措视为其更广泛的监管简化议程中的优先事项。

丹麦数字部长卡罗琳·斯塔格·奥尔森也曾在2025年3月称：“GDPR有很多好处，隐私保护也绝对必要。但我们不需要用愚蠢的方式进行监管。我们需要让企业和公司更容易遵守规定。” 鉴于丹麦将在2025年下半年担任欧盟理事会轮值主席国，并担任该理事会主席国，很可能在推动这些变化通过立法程序方面发挥重要作用。

拟议的改革措施引发了数据隐私专家和倡导者的不同反应。一些人认为，简化措施是对过度监管的必要纠正，而另一些人则担心这可能会削弱隐私保护。数字权利组织EDRi警告称，“无论该提案的出发点和针对性多么强，简化GDPR都是有风险的”，即使是出于善意的改革，在游说压力下也可能带来更实质性的变化。

回顾GDPR最初制定时的谈判过程引发了布鲁塞尔有史以来最激烈的游说活动之一，隐私专家担心，调整GDPR，即使只是为了进行有针对性的简化，也可能重启这场游说战。奥地利隐私活动家马克斯·施雷姆斯（Max Schrems）表示，尽管游说压力依然巨大，但GDPR的核心条款仍受到欧盟《基本权利宪章》的保护，数据保护仍将视为一项基本自由。施雷姆斯表示：“如果GDPR不包含这些核心要素，法院就会将其废除。”

虽然欧盟委员会尚未公布其简化计划的全部细节，但已确定了几个可能进行改革的关键领域：

1) 记录保存要求：减轻中小企业（员工少于500人）的文档记录、保存负担；

2) 数据处理登记：简化数据处理活动记录的维护；

3) 影响评估：创建简化的数据保护影响评估流程；

4) 跨境合规：协调GDPR的实施以减少成员国之间的差异；

5) 儿童数据保护：欧盟范围内统一同意年龄定义标准。

尽管GDPR的简化已经势在必行，但GDPR中植根于欧盟基本权利的方面仍不太可能改变。这些方面包括：处理个人数据需要法律依据、数据最小化原则、目的限制要求、个人访问更正和删除个人数据的权利、数据处理透明度原则、适当安全措施的要求等。欧盟委员会已明确表示，其简化措施旨在减轻企业的行政合规负担，而非这些基本保护措施。

3.欧盟委员会数字政策简化方案

欧盟委员会在2025年2月11日发布的《2025年欧盟委员会工作计划》（2025 Commission Work Programme），将简化和有效实施欧盟法律的举措纳入了2025年目标之中。既2月推出可持续发展领域的“综合方案”后，预计数字政策领域也将出现类似的发展。

欧盟委员会工作计划提出“数字政策领域立法成果适用性检查”和“数字一揽子计划”，均计划于2025年第四季度推出。根据《委员会关于实施和简化的说明》（Commission communication on implementation and simplification），数字一揽子计划将包括审查网络安全立法及其相关报告义务，以及数字政策领域立法成果适用性检查认为有必要修订的其他数字立法。

（1）数字政策一揽子计划（Digital Package）

一揽子计划致力于建立统一、公平、创新的数字规则体系，确保技术主权。

欧盟委员会计划在法律设计之初就将数字化融入政策制定，确保从一开始就将后续监管等过程中所需要的数字化因素纳入最初的考量。同时，欧盟委员会将利用监管沙盒等创新工具与欧洲企业界在初期共同“测试”数字政策实施效果。委员会还将提高公共行政部门之间的跨境互操作性，扩大诸如单一数字网关（Single Digital Gateway）等电子平台的使用范围，并促进现有数据的再利用，如通过预填表格降低企业合规成本。

（2）数字政策领域立法适用性检查（Fitness check）

作为一揽子计划的组成部分之一，立法适用性检查对欧盟现有数字领域法律法规的实际效果、效率和适应性进行评估，判断是否需修订或废除。该工作计划将主要对网络安全立法等数字立法领域的法案进行评估、检查，一般认为包括《通用数据保护条例》（GDPR）、《数据治理法案》（Data Governance Act）、《数据法案》（Data Act）、《网络安全法案》（Cybersecurity Act）、《网络弹性法案》（Cyber Resilience Act）、《欧盟芯片法案》（EU Chips Act）及《人工智能法案》（Artificial Intelligence Act）等。评估的内容是数字法规是否充分反映了中小企业和小型中型企业的需求和限制，而不仅仅是已提供必要的指导和标准以促进合规。此为，欧洲数据联盟战略（European Data Union Strategy）将解决现有的数据规则，以确保规则简化、清晰，且为企业和政府机构提供一套连贯的法律框架，使其能够无缝且大规模地共享数据，同时严格遵守高隐私和安全标准。

（3）行政负担削减与简化合规

2025年，欧盟委员会已设定目标，即在不损害政策目标的前提下，将所有企业的报告负担至少减少25%，将中小企业的报告负担至少减少35%。委员会将与企业合作，最大限度地利用委员会的在线反馈工具，以了解实施过程中出现的问题和简化的突破路径。通过依托高级别专家小组所搭建的“适应未来平台”(Fit for Future Platform)，从中获取各国行政部门、企业、社会伙伴、民间社会、地区委员会和经济与社会委员会对简化工作的重要意见。此为，欧盟委员会将与国家、地区和地方当局以及相关欧盟机构合作，结合“默认数字化”（digital by default）和“只提交一次”（once-only）原则，减轻企业报告负担和合规成本。

（4）中小企业专项支持

大多数企业（尤其是中小企业）认为监管要求及其累积影响是其在欧盟开展业务和实现发展的最大挑战。这需要在未来立法过程中，在拟议的新立法出台前，加强对该立法对竞争力、中小企业、初创企业和小型中型企业影响的审查。竞争力审查考虑四个关键方面：成本/价格竞争力、国际竞争力、创新能力以及对中小企业竞争力的影响。从具体措施来看，中小企业可通过无纸化工作一揽子计划（Mid-caps and Paperless Requirements Package）而简化合规要求，取消产品法规中对纸质格式文件的低效要求。另一方面，为中小型上市公司提供适应性监管要求，比如简化信息披露规则，又如取消产品立法中对纸质格式的无谓要求，推动电子化申报和存档；也可以利用数字化工具支持，如数据重用于预填表单，通过数字化工具实现数据自动预填，减少中小企业重复提交信息的负担，又如采取跨部门数字解决方案，在许可审批、报告提交等流程中推广数字工具，加速行政流程。

注：

[1]https://www.insideprivacy.com/gdpr/european-commission-confirms-plans-to-simplify-gdpr/

[2]https://www.politico.eu/article/eu-gdpr-privacy-law-europe-president-ursula-von-der-leyen/

[3]2023年7月4日，欧盟委员会发布了一项法规提案，旨在制定与《GDPR》执行相关的补充程序规则。该拟议法规旨在澄清和协调欧盟监管机构调查基于投诉和依职权跨境案件时适用的程序规则（即，当控制者或处理者进行的相关处理跨越多个成员国时，产生一个“牵头”机构和其他“相关”机构）。一旦获得通过，该法规将与《GDPR》并行，补充《GDPR》第七章规定的现有合作与一致性机制。GDPR 建立了跨境案件执法的“一站式”机制。根据该机制，由一个“牵头”监管机构进行调查，并与其他“相关”监管机构合作，就最终决定达成共识。自 GDPR 实施以来的五年里，监管机构对该机制提出了各种各样的担忧。见https://www.insideprivacy.com/data-privacy/european-commission-proposes-gdpr-enforcement-procedure-regulation/

参考资料：

1.https://complydog.com/blog/eu-to-simplify-gdpr

2.https://commission.europa.eu/document/download/f80922dd-932d-4c4a-a18c-d800837fbb23_en?filename=COM_2025_45_1_EN.pdf（2025年欧盟委员会工作计划）

3.https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead_en#paragraph_47059.（德拉吉报告：2024年马里奥·德拉吉关于欧洲竞争力未来的报告）

4.https://commission.europa.eu/strategy-and-policy/strategy-documents/commission-work-programme/commission-work-programme-2025_en#:~:text=The%202025%20Work%20Programme%20sets%20out%20the%20key,to%20build%20a%20strong%2C%20secure%20and%20prosperous%20Europe.

5.https://eutechloop.com/eu-announces-plans-to-include-gdpr-in-simplification-efforts-what-do-european-startups-actually-need/

本文所含内容仅供学术研究与市场分析交流使用。文中所述观点和分析均基于公开信息，不代表任何公司、机构或组织的官方立场。如需转载本文内容，请注明来源并保持文章完整性。未经授权，不得对文章内容进行任何形式的修改或删减。

网络法理论与实务前沿编辑 | 林佳萱

排版 | 赵盼盼

声明：本文来自网络法理论与实务前沿，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。