欧盟发布《数字综合法案》提案

摘要

2025年11月19日，欧盟委员会发布《数字综合法案》提案（以下简称“该提案”），旨在通过简化现有规则促进数字经济发展。该提案核心包括五方面修订：创新友好的AI规则、简化网络安全、优化隐私框架、更新Cookie规则以改善用户体验、改善数据获取。配套措施包括发布《数据联盟战略》和推出“欧洲企业钱包”以降低行政成本。然而，该提案因被批评为“系统性削弱GDPR”而引发争议，民间组织NOYB指出，提案可能侵犯隐私和个人权利，并指出这一修改缺乏欧盟内部的支持。

核心内容

一、创新友好型AI规则

欧盟委员会建议，将高风险AI系统规则的生效时间，与相关支持工具及必备标准的“到位情况”相关联。该规则设定了最长16个月的过渡期，其具体生效日期将以欧盟委员会确认所需标准与支持工具已准备就绪为前提。

欧盟委员会同时提出对《人工智能法案》进行针对性修订，具体包括：

1、扩大简化条款适用范围：将适用于中小型企业的简化条款延伸至中小市值公司，其中包括简化技术文档要求;

2、扩大监管沙盒使用：扩大合规措施的适用范围，让更多创新者能够运用监管沙盒。具体措施包括自2028年起设立欧盟级沙盒，并增加在汽车等重点行业的实际场景测试;

3、强化AI办公室职权：集中监管基于通用AI模型构建的AI系统，以减少治理碎片化现象。

二、简化网络安全报告

该提案引入了一个统一呈报门户，企业可通过该平台履行所有的网络安全事故报告义务。这一门户旨在解决当前企业需要依据多项法律（包括《NIS2指令》、《通用数据保护条例》（GDPR）以及《数字运营韧性法案》（DORA）等）重复报告网络安全事件的问题。该平台的开发将配备健全的安全防护措施，并将经过全面测试，以确保其可靠性与有效性。

三、创新友好型隐私框架

针对《通用数据保护条例》（GDPR）的修正案旨在协调统一、明确阐释并简化部分现有规定，以期在坚守GDPR核心原则和维持最高标准的个人数据保护的前提下，激发创新并助力机构合规。

四、更新Cookie规则以改善用户的在线体验

修正案将减少Cookie弹窗的弹出频率，允许用户一键表示同意，并可通过浏览器及操作系统的统一设置保存其Cookie偏好。

五、改善数据获取途径

该方案通过以下方式简化数据规则，使其更切合消费者与企业的实际应用：

1、通过《数字综合法案》整合欧盟数据规则，将四项立法合并为一，提升法律清晰度；

2、中小型企业及中小型上市公司，在《数字综合法案》的云服务切换规则中引入定向豁免，预计可带来约15亿欧元的一次性成本节约；

3、发布数据访问与使用的示范合同条款及云计算合同的标准条款，为《数字综合法案》的合规操作提供新指引；

4、开放高质量实时数据集供AI使用，助力欧洲AI企业发展，增强欧盟企业的整体创新潜力。

配套措施

一、数据联盟战略

《数据联盟战略》概述了多项补充措施，旨在通过拓展数据实验室等途径扩大数据访问范围，为AI释放更多高质量数据。该战略设立了《数据法案》法律帮助平台，并配套推出其他措施以支持法案落地。此外，战略还通过国际数据政策的系统性布局强化欧洲数据主权：包括构建防泄漏工具箱、制定非个人敏感数据保护措施，以及发布评估欧盟数据在境外是否受到公平对待的指南。

二、欧洲企业钱包

这项提案将为欧洲企业及公共部门机构提供统一的数字工具，使其能够将目前仍需线下完成的业务办理与交互流程全面数字化。企业将能够以数字方式签署文件、加盖时间戳和电子印章；安全地创建、存储和交换经过验证的文件；并与其本国及其他26个成员国境内的企业或公共行政部门进行安全通信。在欧盟其他成员国扩展业务、缴纳税款以及与公共部门沟通将变得比以往更加便捷。若该方案得到广泛采用，欧洲商业钱包将帮助欧洲企业简化行政流程、降低管理成本，从而每年为企业节省最高可达1500亿欧元的开支。

NOYB声明

该提案遭到了民间组织“无隐私”（NOYB）的强烈反对。NOYB批评称，此修订是对《通用数据保护条例》的系统性削弱，将导致欧盟公民的数据保护水平出现严重倒退。

一、重大隐私权削弱

NOYB认为欧盟委员会提出的数字综合改革将大幅降低欧盟用户的数据保护水平。

1、“个人数据”的定义被缩窄

提案计划改变GDPR中“个人数据”的客观定义，转而采用一种主观标准，即如果一家公司声称自己没有能力或意图去识别数据对应的个人，那么该数据对其而言就不算个人数据，GDPR也不再适用。

2、允许远程访问终端设备上的数据

通过修改电子隐私条款，拟设立“白名单”制度，为企业远程访问用户设备数据提供权限豁免。此举实质上合法化了过度访问行为，可能导致用户设备隐私屏障形同虚设。

3、AI训练使用个人数据

提案授权科技公司使用个人最深层次的敏感数据来训练AI模型。尽管设置了“选择退出”机制，但其复杂的操作流程为用户行使权利设置了较高的门槛，导致其隐私在实践中极易被侵犯。

4、用户权利大幅削弱

提案拟响应德国政府要求，将用户的数据访问权限缩至仅限“数据保护目的”。这意味着，用户若为劳动纠纷、新闻调查或学术研究等正当用途索要自身数据，将可能被拒绝。NOYB指出，此举直接违反了欧盟法院的判例法和《欧盟基本权利宪章》第8条，实质上架空了这项核心数据权利。

二、权利保护失效

NOYB进一步指出，这些修订标志着欧盟在战略上从长期坚持的“反商业监控”立场全面后撤，将公民的隐私权与个人自主权置于商业利益之下。该组织直指，提案背后是来自成员国（如德国）的政治压力与大型科技公司的产业游说，其结果是牺牲了欧盟用户的基本权利，却未给本土中小企业带来实质好处，反而为Google、Meta等美国科技巨头量身定制了新的法律漏洞。

三、改革缺少支持

虽然多数欧盟成员国早已明确表示不愿重新开启对 GDPR的修订，但欧盟委员会仍强行推进大幅度修改。委员会似乎放弃了原定于2026年进行、旨在减轻行政负担的“数字适应性检查”，而选择了某种“硅谷式”的路径——“快速行动、打破常规”。在“快速通道”程序下推进核心规则的改革，意味着完全舍弃了影响评估、证据收集等欧盟立法一贯遵守的最低程序标准，呈现出一种近乎“特朗普式”的反复无常。结果便是法案质量严重堪忧，最终出台的法律既难以经受审查，也无法真正回应实际需求。

来源：欧盟委员会官网

声明：本文来自三所数据安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。