编者按

欧盟数字监管框架近年来迅速扩张,但也带来了法规碎片化、合规负担重等问题。2025年11月19日,欧盟公布多项数字综合监管改革提案,以Digital Omnibus Package的形式启动一揽子数字监管制度改革,引发广泛关注。改革内容涵盖多项关键立法,包括人工智能监管、数据使用规则、数字身份认证等多个方面,旨在通过合规简化提升欧洲数字竞争力。本文将聚焦其中对欧盟《人工智能法案》和《通用数据保护条例》(GDPR)的具体修订内容,梳理其变化与争议焦点。

AI法案修订部分

延迟高风险AI合规义务标准的施行时间[1]

这一调整旨在等待配套技术标准和监督机构准备就绪,延长期限给予企业和监管机构更充分的准备时间。欧盟委员会强调这并非放松监管,而是确保有标可依再执法,以免企业盲目猜测导致不必要的合规成本。然而,民间团体担忧这实际上为高风险AI系统争取了额外的灰色运转期。[2]尤其值得注意的是,提案还拟取消《人工智能法案》要求的高风险AI系统登记备案制度,不再强制提供者将其高风险AI系统录入欧盟数据库。批评者认为,这可能削弱监管机关对高风险应用的监管透明度,使一些潜在高危AI系统在延长期内无需报告即可部署。[3]综上,延迟生效为产业赢得喘息空间,但如何在确保降低合规成本与风险防控机制真空的平衡,将成为立法审议的焦点之一。

扩大适用AI监管宽缓措施的中小型企业范围[4]

此举旨在激励欧洲中型科创企业发展。高风险AI的合规成本对初创和中型企业而言相对沉重,案明确将小型中型高成长企业(SMCs)纳入相对宽松合规标准的适用范畴,这一优惠政策适用主体的扩张可减少这些企业在技术创新初期的顾虑。不过,有观点指出这可能在客观上进一步拉大不同规模企业的合规义务差异:大型科技公司往往资源充裕,本就能应对严格义务;中小企业因诸多豁免规则而适用的合规标准较为宽缓;而处于750人以上的大中型企业反而可能陷入既非巨头又无豁免的尴尬境地。立法者需评估这样的范围界定是否合理,防止监管套利或不公平竞争的隐患。

取消人工智能企业的员工AI素养培训义务

AI素养培训义务在执行中容易流于形式且难以统一衡量,通过取消该要求,将该义务交由官方履行,这一修改大大减轻了人工智能企业的人力资源合规压力。目前不少欧洲企业对如何有效培训员工亦感茫然,此调整在业界获得欢迎。

高风险AI系统标识义务的宽限

宽限期反映出监管层面对技术实现难度的体谅。内容水印涉及底层模型和输出处理,现有AI系统需要时间升级改造才能符合要求,延后6个月可让开发者有充裕时间完善水印技术、减少性能影响。此举对公众权益影响相对较小,因AI生成内容标识延迟半年并不会严重侵害用户知情权,但对业界却提供了实实在在的缓冲。

强化欧盟人工智能办公室(AI Office)集中监管职能

扩大欧盟AI Office管辖范围被视为强化大模型和大型平台AI监管的关键一步。由于通用AI往往跨越国界,传统由各国监管可能效率低下、标准不一。赋权AI Office统一执法,有望实现“一个欧洲,一个标准”,对Open AI、Google等大模型提供者实施跨欧盟的全面监督,这也与《数字服务法案》对超大平台集中监管的思路相衔接。不过,此举也引发成员国数据保护和市场监管机构的关注:欧盟监管范围扩张是否会冲击成员国管辖权?如何避免监管真空或重复?此种监管方式能否兼顾各行业特征?总体而言,增强AI Office监管权限有助于欧盟在AI治理上减少跨国合规不确定性,但仍需进一步立法明确权责边界,确保新旧监管体系衔接。

其他值得关注的《人工智能法案》修订

除上述修订外,提案还提出若干细化调整:一是删除高风险AI系统事先注册义务,减轻企业行政负担;二是扩大部分义务豁免,如对附录IV所列技术的适用范围进行澄清,对某些AI在沙盒环境下的测试提供更灵活条件等;三是完善与其他法规的衔接,例如明确《人工智能法案》与《网络弹性法案》(Cyber Resilience Act)及数据保护法规的关系,以消除潜在冲突。[5]欧盟委员会强调,若无法在2026年8月前通过本次修订,《人工智能法案》关于高风险系统的原定合规要求将如期开始施行——这给立法谈判施加了一定时限压力。[6]可以预见,在《人工智能法案》的合规要求施行,上述提案修订内容在欧盟议会和理事会被仍将存在争议。

GDPR修订部分

澄清“个人数据”定义适用范围

这次拟议的GDPR个人数据定义修订,其核心是引入“合理可获得手段”作为判断特定实体持有的数据是否为个人数据的关键门槛。这一改动将数据保护的责任重心从数据本身的固有性质转移到数据处理者的主观能力和客观环境,使合规标准变得更加具象化。修订将极大促进假名化数据的再利用,因为它为满足严格技术和隔离措施的数据提供了法律豁免的可能性,从而降低创新成本。然而,这项修订最大的挑战和争议点在于如何定义“合理可获得手段”:这要求监管机构不仅要考虑数据持有者的规模和经济能力(可能导致不同规模企业合规标准不一),更要持续追踪去匿名化技术的快速发展,从而确保在去匿名化技术进步背景下,进行“合理可获得手段”判断时仍能有效保障数据主体的权利,避免企业通过此条款规避合规义务。

新增“科研”定义与例外规定

这些更改被科研界视为解开束缚之举。统一定义有助于各方明确哪些活动属于GDPR认可的科研,从而适用特殊规则。透明度义务的豁免使研究者不必因为逐一告知或响应请求而中断研究进程,特别是在大数据和医学研究中,此类要求可能极为繁琐甚至干扰实验结果。不过,“不成比例的努力”“研究目的难以实现”等标准如何把握,应警惕此类标准被科研机构滥用为不公开数据用途或拒绝提供个人副本的借口,防止以研究之名行侵犯隐私之实。可以预见,EDPB(欧洲数据保护委员会)和欧盟各国将在后续指导中进一步细化科研例外的适用标准,以确保科研与隐私保护的平衡。

确认AI模型训练可基于“合法利益”

此项修改被舆论称为“为AI松绑”,从合法性层面解数据来源对AI训练的束缚。对于欧盟AI产业来说,这是一个重要利好,因为获取大规模高质量数据进行训练是AI发展的基石,而严格的同意要求往往难以满足大模型训练需求或导致偏见数据。欧盟数据保护委员会此前对此问题莫衷一是,现在提案将该行为直接定性为满足数据持有人的“合法利益”,结束对于上述问题长期的争议。然而,隐私维权者对此强烈反对,认为此举偏离GDPR立法初衷,使得大型科技公司可不经用户同意大规模收集利用数据训练AI,况且“合法利益”本就宽泛难测,此处将数据持有人使用数据进行大模型训练定性为“合法利益”,是为个人信息保护的重大倒退。可以预料,未来立法过程中围绕这一条款的争议仍将继续:一方强调数据利用便利与欧洲AI竞争力,另一方捍卫用户知情同意的基本权利。该条款能否保留、如何措辞,将很大程度影响欧盟数字法将以创新为中心或以个人信息保护为中心这一核心问题。

数据主体权利请求的滥用防范

此项修改为“滥用访问权限”的界定提供了比GDPR更为明确的法律依据。“滥用数据权限”界定不清可能导致部分数据控制者滥用此条款,损害数据主体正当行使访问和删除等权利。因此,未来监管机构应建立更明确的判定滥用标准和程序,从而对数据控制者请求拒绝或收费行为进行公正审查,以确保新规能够有效地平衡企业合规成本与数据主体的隐私权保护。

直接收集场景下隐私通知义务的豁免

这一修订体现出对用户体验和实际需要的考虑。反复的隐私通知会造成所谓提示疲劳,用户厌倦冗长条款且企业徒增合规成本,在用户已经知情的情况下再发通知,既无助于进一步保障用户权利,反而给用户造成提示疲劳。提案中数据持有者告知义务的豁免条件相对严格,既能一定程度保障用户知情权,也能减轻企业的重复告知负担。整体而言,此修订聚焦通知义务的必要性认定,增强GDPR数据持有人使用数据时隐私通知义务的灵活性和针对性。

自动化决策规则的微调

这一调整为企业部署自动决策系统(如贷款审批、求职筛选)提供了更大空间。在数字时代,许多决策虽可人工完成但效率远不如算法。提案不要求“唯有机器才能实现”作为“合同约定自动化决策”的必要条件,可避免监管者过度干预企业采用自动化技术的意愿。同时,对用户而言,其知情和申诉权并未受影响,因为GDPR仍要求企业在适用豁免时提供相应知情权与隐私权保障措施。

数据泄露通报机制的改革

上述调整显著缓解了企业在报告时限、多头报告、重复填报方面的压力。同时,报告时限放宽至96小时给企业更多时间调查事实、准备材料,提高报告质量。不过,批评者指出统一门户的建设也面临各法规标准不一的问题,若不进一步统一各法实质要求,一个入口可能仍对应不同判断标准,企业需要分别填写不同板块,未必真正简化企业报告义务。此外,将所有个人数据泄露事件报告集中在一个系统也引发网络安全风险集中的顾虑。总体而言,数据泄露报告机制的改革体现了减轻企业负担和提高效率的实用主义导向,但如何在精简流程的同时确保不降低整体安全监管水平,仍需在实施细则上精心设计。

统一数据保护影响评估(DPIA)要求与模板

这一举措被视为GDPR实施后协同性提升的重要一步。统一DPIA清单可以消除目前各成员国标准不一的问题,降低跨境合规的不确定性。统一DPIA模板将提高报告评估质量和可比性,让监管者更容易审查评估内容。当然,各国特殊国情和风险偏好可能有所不同,在制定统一标准时需要兼顾。可以预期,统一DPIA清单和模板的推出将使GDPR更具可操作性。

结语

从整体来看,欧盟本次多项数字综合监管改革提案并未改变欧盟长期坚持的数字监管价值取向——透明度、问责性与基本权利保护仍然是制度核心。真正发生变化的,是监管如何在这些原则之下落地:

AI法案通过分级义务、条件触发生效与监管集中化,试图把原本过于原则性条款转化为具有可行性的治理框架;GDPR通过重新划定个人数据的边界、统一DPIA与个人数据泄露通报程序、开放科研与AI大模型训练通道,使数据保护体系从“高墙”转向“可穿越但受控的栅栏”。

对于企业而言,这是罕见的制度性松绑窗口;对于监管者和支持隐私保护社会组织团体而言,这也是一次原则与现实的再平衡。

未来数年,真正决定改革成败的将不再是条文本身,而是三项能力的建设:一是欧盟内部能否按期完成标准、模板、指南等监管工具的编制;二是AI Office及各国监管机关能否在集中化与本土化执法之间取得稳定协同;三是科研机构、大模型公司与平台能否在新规路径下建立可审计、可验证的合规标准。

在监管与创新的赛跑中,立法总是落后于技术,但可以通过不断调整制度,使技术创新重回可治理轨道。欧盟此次改革正是一次针对制度可行性的集中修补,随着后续法案与标准体系陆续生效,欧洲数字治理框架也将逐步重塑成形并步入下一阶段。届时,AI Act与GDPR将不再是两部独立运作的法规,而是欧洲数字秩序的双轴结构,共同促进数字技术创新与个人权利之间的新平衡。

PDF原文下载链接如下:

Digital Omnibus Regulation Proposal

Proposal for Regulation on simplification for AI rules

AI ACT

GDPR

注:

[1]https://www.cooley.com/news/insight/2025/2025-11-24-eu-ai-act-proposed-digital-omnibus-on-ai-will-impact-businesses-ai-compliance-roadmaps

[2]https://www.onetrust.com/blog/eu-digital-omnibus-proposes-delay-of-ai-compliance-deadlines/#:~:text=1,and%20guidance

[3]https://euperspectives.eu/2025/11/digital-omnibus-splits-eu/#:~:text=Critics%20argue%20this%20grants%20an,won%20EU%20digital%20protections

[4]https://www.onetrust.com/blog/eu-digital-omnibus-proposes-delay-of-ai-compliance-deadlines/#:~:text=The%20EU%20also%20proposes%20removing,Combined%2C%20these

[5[https://www.gibsondunn.com/eu-digital-omnibus-package-a-first-look-at-the-commission-draft-proposals/#:~:text=adaptation,compliance%20with%20data%20protection%20laws

[6]https://www.hoganlovells.com/en/publications/top-10-proposed-changes-in-the-eus-digital-omnibus#:~:text=It%20is%20important%20to%20note,become%20effective%20from%20that%20date

参考来源:

1.https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal

2.https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal

本文所含内容仅供学术研究与市场分析交流使用。文中所述观点和分析均基于公开信息,不代表任何公司、机构或组织的官方立场。如需转载本文内容,请注明来源并保持文章完整性。未经授权,不得对文章内容进行任何形式的修改或删减。如有侵权,请联系删除。

网络法理论与实务前沿编辑 | 魏佳彤、钟芷馨

排版 | 赵盼盼

声明:本文来自网络法理论与实务前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。