2025年11月19日,欧盟委员会发布了《关于简化数字立法框架的提案》(Proposal for Regulation on simplification of the digital legislation,简称Digital Omnibus,“《数字综合法案》”)和《关于简化人工智能规则的提案》(Proposal for Regulation on simplification for AI rule)。我们在此前的文章《欧盟拟为其数字监管“松绑”——AI篇》已对两份提案的出台背景,以及《关于简化人工智能规则的提案》对欧盟《人工智能法案》(AI Act)的松绑提案要点进行了介绍,本篇文章将主要介绍《数字综合法案》拟对欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)的松绑要点。
01
提案背景及主要内容
1. 提案背景
欧盟委员会(European Commission)在《数字综合法案》的解释性备忘录(Explanatory Memorandum)中阐明,GDPR在欧盟范围内建立了统一的个人数据处理标准、规则与保障措施、明确了数据主体的权利、并为处理个人数据的实体提供了通用的法律框架;但与此同时,GDPR的合规要求为部分数据处理频率低、风险小的企业带来了过重的合规成本,一些重要的定义及适用规则也待明确,以及诸如cookies“同意疲劳”和提示框泛滥等问题也亟需解决。
基于此,《数字综合法案》拟在保持高水准数据保护的同时,通过对GDPR进行针对性的修订、澄清特定定义及规则的适用以提供法律的确定性,并为涉及数据处理的实体减负[1]。
2. 主要内容
《数字综合法案》对GDPR松绑的提案主要规定在该法案第3条,对GDPR多处条款进行补充和修改。其中,主要的修改包括对个人数据定义的澄清;增加处理敏感个人数据的豁免情形;简化和统一数据安全事件报告相关的义务等。以下我们将就《数字综合法案》对GDPR的主要修改内容进行介绍和分析。
02
Digital Omnibus对GDPR的主要修改提案内容
1. 澄清个人数据的概念
GDPR将个人数据定义为,任何与已识别或可识别的自然人(数据主体)相关的信息。可识别的自然人是指能够被直接或间接识别的自然人,特别是通过参考诸如姓名、身份证号码、位置数据、网络标识符,或参考该自然人的身体、生理、基因、心理、经济、文化或社会身份的一项或多项特定因素而得以识别[2]。在认定某一自然人是否具有可识别性时,上述定义要求考虑所有被用于直接或间接识别该自然人的合理可能的方法[3]。
根据GDPR,在判断自然人是否可被识别时,应综合考虑控制者或他人在合理可能情况下采用的一切方法,包括通过直接或间接方式单独识别该自然人的方法。为确定相关方法在合理情况下是否可用于识别自然人,需考虑所有客观因素,例如识别所需成本与时间,并兼顾数据处理时的现有技术及技术发展[4]。
2025年9月4日,欧盟法院(Court of Justice of the European Union, CJEU)就欧洲数据保护监督机构(European Data Protection Supervisor, EDPS)诉欧盟单一处置委员会(Single Resolution Board, SRB)一案(案件编号 C-413/23)作出判决。该案中,欧盟法院认为,个人数据的概念具有相对性,假名化数据能否构成个人数据,需根据处理主体是否具有识别数据主体的可能性进行判断。若处理数据的实体不能在其控制的数据处理过程中识别数据主体,则该等数据对于该实体而言无法被识别或不具有可识别性,即对于该实体而言该等数据不构成个人数据[5]。
《数字综合法案》采取了与CJEU在EDPS诉SRB案件中相似的观点,强调个人数据的界定应采取主观化的标准。《数字综合法案》拟在GDPR个人数据定义部分增加“当某一实体在考虑到其合理可能采用的一切方法后,仍无法识别信息所涉及的自然人时,该信息对该实体而言不应被视为个人数据。此类信息并不因潜在后续接收方可能具备合理识别相关自然人的方法,而对该前一实体构成个人数据。”
但是,对于《数字综合法案》提议的前述对个人数据定义的修订,欧洲数据保护委员会(European Data Protection Board, EDPB)和EDPS持不同意见。根据2026年2月11日EDPB与EDPS就 《数字综合法案》草案通过的《EDPB-EDPS 2026 年第 2 号联合意见 关于数字立法框架简化条例提案(数字综合法案)》(EDPB-EDPS Joint opinion 2/2026 on the Proposal for a Regulation as regards the simplification of the digital legislative framework (Digital Omnibus))(以下称“《联合意见》”)[6],EDPB和EDPS在《联合意见》中强烈呼吁欧盟立法者不要采纳拟议中对个人数据定义的修改,因为该等修改超出其宣称的对 GDPR 等的“有针对性”或“技术性”的修订。
具体而言,《联合意见》核心理由与考量在于:一方面,该等修改未能准确反映CJEU的判例且明显超出其范畴,将导致个人数据概念被显著限缩;另一方面,若判定经假名化处理后的数据不再属于个人数据,将对欧盟数据保护的基本权利产生不利影响。EDPB主席阿努・塔卢斯(Anu Talus)认为简化监管“不能以牺牲基本权利为代价”且个人数据定义修改“可能大幅削弱个人数据保护”;欧洲数据保护监督员沃伊切赫・维维奥罗斯基(Wojciech Wiewiórowski)认为对于个人数据的定义修改“不符合欧洲法院判例,且会大幅限缩个人数据概念”,需确保对于GDPR等的任何修改“都能切实厘清义务、带来法律确定性,同时维护信任与对个人权利和自由的高水平保护”[7]。
2. Cookies 获取同意的提案
《数字综合法案》明确提出需要解决cookies同意提示框泛滥和用户“同意疲劳”的问题。目前欧盟网站使用的cookies技术往往受到双重监管:欧盟《电子隐私指令》(ePrivacy Directive)及GDPR。
当cookies的使用并非技术存储所必需,亦非仅为在电子通信网络上进行或促进通信传输所必需,或非严格为用户明确请求的信息社会服务所必需时,ePrivacy要求网站在使用cookie等技术访问用户终端设备时必须获得同意,GDPR则对cookies技术后续对个人数据的使用进行约束[8]。
然而,这些获取用户同意的信息往往复杂且难以理解,不仅未能有效保护用户隐私,反而给互联网用户带来困扰,同时也给在线服务提供商带来了高昂的合规成本。为解决这些问题,欧盟提出了简化方案:将终端设备上的个人数据处理统一纳入GDPR管辖,同时明确规定某些低风险或服务必需的情况下无需获得用户同意[9]。
具体而言,《数字综合法案》明确,访问或存储用户终端设备中的个人数据原则上需要获得用户同意,但在如下四种情形下无需取得同意:
(1)通过电子通信网络进行电子通信传输;
(2)提供数据主体明确请求的服务;
(3)创建关于在线服务使用情况的汇总信息以衡量该服务的受众,前提是该活动由在线服务的控制者仅为自身使用而进行;
(4)维护或恢复控制者提供且由数据主体请求的服务或用于提供此类服务的终端设备的安全性。
此外,《数字综合法案》还规定了同意机制的具体要求,包括用户必须能够通过单击按钮等简单方式拒绝同意,数据控制者在获得同意后不得就同一目的重复请求,而在用户拒绝后至少六个月内不得再次请求[10]。
在《联合意见》中,EDPB与EDPS对《数字综合法案》关于前述修改提议表示支持与欢迎,其“强烈支持通过监管方案解决cookie ‘同意疲劳’与提示框泛滥问题”,比如《数字综合法案》要求采用自动化、机器可读方式呈现个人对其数据处理的选择,并且EDPB与EDPS认为“技术手段可简化控制者合规流程,并帮助个人有效行使在线选择权”[11]。
3. 数据泄露报告的提案
欧盟委员会在《数字综合法案》指出,目前欧盟存在多部横向或部门性的法规,要求使用不同的技术手段和渠道向不同的监管机构报告数据安全事件[12]。
为减轻控制者负担,同时确保监管机构能获取相关信息并对违规行为采取行动,《数字综合法案》认为应使GDPR规定的向监管机构报告个人数据泄露事件的标准与向数据主体通知泄露事件的标准保持一致。对于不太可能对自然人权利与自由造成高风险的数据泄露事件,不应要求控制者向主管监管机构报告。提供数据控制者向监管机构报告数据安全事件的标准,并不影响数据控制者履行记录义务以及自证合规的义务[13]。
此外,《数字综合法案》指出,应要求EDPB制定事件报告的通用模板,并列明“何种情形通常构成高风险”的通用清单[14]。
此外,鉴于多部欧盟横向/行业法规对同一事件要求向不同机构、以不同渠道报告,《数字综合法案》推动建立事件报告“单一入口”(single entry point for incident reporting),使相关实体可通过单一入口履行多部法规项下的报告义务[15]。
《数字综合法案》提出了对GDPR具体的修改内容,将控制者向监管机构报告数据安全事件的标准明确为“可能导致对自然人权利与自由的高风险”;控制者应立即且不迟于知悉数据安全事件后的96小时(可行时)内通过单一入口向主管机构报告,逾期须说明理由。在单一入口设立前,控制者继续按照GDPR的现有规定向主管机构报告数据泄露事件[16]。
4. 对个人数据处理及特殊类别数据处理合法性基础的提案
《数字综合法案》针对使用个人数据用于AI训练的相关个人数据处理合法性基础也提出了相关修订提案,这部分的内容请见我们此前的文章《欧盟拟为其数字监管“松绑”——AI篇》。
此外,针对特殊类别数据中的生物识别数据(biometric data),欧盟委员会认为在适用GDPR关于特殊类别数据处理的禁止性规定时,也应在某些情况做出例外规定。委员会认为生物识别数据的概念主要包括两种不同的功能:(1)识别,即一对多的检索;(2)核验,即一对一的比对。在数据控制者为实现其目的而必须验证数据主体所声称的身份,且已采取适当保障措施以确保数据主体能完全掌控验证过程的情况下,应允许控制者处理生物识别数据[17]。
5. 数据主体权利滥用的应对
根据GDPR的规定,数据主体有权从控制者处获得确认其个人数据是否正在被处理,以及如果正在处理,有权访问该个人数据及某些额外信息[18]。访问权应使数据主体能够了解并核实处理的合法性,并保证数据主体能够行使GDPR赋予其的其他权利[19]。
但在特定情况下,数据主体为追求其他目的,可能会滥用访问权。例如, 数据主体故意提出请求并期待控制者拒绝,以此为由索要赔偿金或威胁提起诉讼;数据主体过度、反复行使访问权以期给控制者造成损害或增加运营负担;数据主体提出请求后表示愿意以获得某种利益(如金钱或其他好处)作为交换条件撤回请求。这些行为偏离了访问权保护个人数据的本来目的,实质上是将其作为获利或报复的工具[20]。
目前GDPR明确,当数据主体行权请求明显无根据或者过度,特别是请求性质重复时,数据控制者可以对数据主体行权收取合理费用或拒绝响应行权。《数字综合法案》在此基础上进一步补充,当数据主体滥用GDPR赋予的权利用于保护其数据以外的目的时,数据控制者也可以对数据主体的行权收取合理费用或拒绝响应[21]。
6. 告知义务豁免的提案
GDPR要求数据控制者必须向数据主体提供关于处理其个人数据的信息,若数据主体已经掌握相关信息,则告知义务在响应范围内不再适用。为了在不削弱数据主体行使权利的前提下进一步降低数据控制者的合规成本,《数字综合法案》拟将告知义务的豁免扩展至低风险、低数据密集度与低复杂度的处理场景,且结合数据收集情景与数据主体及控制者间的双方关系“有合理理由推定”数据主体已知悉至少控制者身份与联系方式、以及处理目的等关键信息。该豁免不影响控制者响应数据主体访问请求的独立义务[22]。
相应地,《数字综合法案》拟对GDPR进行修订,若数据主体与控制者间的关系明确且范围有限,且控制者活动非数据密集型,并有理由推定主体已知悉控制者的身份信息、联系方式、处理目的及数据处理的合法性基础,则控制者的数据处理告知义务可豁免;但若控制者向其他接收者披露数据、向第三国转移数据、或使用数据进行自动化决策/画像或处理可能数据构成对数据主体的高风险,则数据处理活动不适用告知义务的豁免[23]。
7. 自动化决策相关提案
GDPR规定了数据控制者仅基于自动化处理作出对数据主体产生法律效力或类似重大影响决定的适用前提,其中包括自动化决策系对于数据主体与数据控制者之间订立或履行合同是必要的[24]。
《数字综合法案》拟对该条进行修改,以便提供更大的法律确定性和适用性,即无论自动化决策是否可以通过自动化手段以外的方式作出,只要自动化决策对于数据主体与数据控制者之间订立或履行合同是必要的,该等适用前提即可成立[25]。
8. DPIA简化提案
GDPR规定,当个人数据处理可能对自然人的权利与自由构成高风险时,控制者必须进行数据保护影响评估(DPIA)。根据GDPR设立的监管机构有义务制定并公布需进行此类评估的处理操作类型清单。此外,该条例允许监管机构制定并公布无需进行评估的处理操作类型清单[26]。
《数字综合法案》指出,为了促进个人数据的自由流动、提高法律确定性、便于控制者遵守规定并确保对“对数据主体的权利和自由构成高风险”这一概念的统一解释,应在欧盟层面制定一份统一的处理操作清单,以取代现有的各成员国层面的清单。此外,目前可选择的“无需进行数据保护影响评估的处理操作”清单的公布应强制执行[27]。
具体而言,《数字综合法案》拟规定,由EDPB向欧盟委员会提交两份清单,包括必须进行DPIA的清单以及无需进行DPIA的清单,并另行提交DPIA统一模板与统一评估方法[28]。
03
Digital Omnibus就GDPR的修改提案对欧盟个人数据合规监管的整体影响
《数字综合法案》意在使欧盟数字监管框架适应多变的世界,通过新一轮简化、澄清和完善欧盟既有法律体系,提升欧盟的竞争力。《数字综合法案》对GDPR的修订提案是2018年GDPR生效以来,欧盟个人数据监管框架最主要的修订提案之一。通过前述提及的简化举措,旨在减轻企业的合规负担,提高法律确定性,亦为欧盟人工智能的发展助力,实现“一个更简单、更快捷的欧洲(A simpler and faster Europe)”[29]。
EDPB和EDPS的《联合意见》反映了其就《数字综合法案》对于GDPR修改的相关态度。总体而言,EDPB与EDPS一方面支持该提案的核心目标;另一方面,也表达了对提案相关内容的担忧(如对个人数据定义的限缩)。
在《数字综合法案》最终文本通过之前,有关对GDPR的修改提案仍可能会出现较大修改。涉及欧盟市场的中国企业应密切关注《数字综合法案》的进展,为即将到来的欧盟个人数据监管变化做好准备。
脚注:
[1] 《数字综合法案》鉴于条款第(27)段
[2] 《通用数据保护条例》Article 4
[3] 《数字综合法案》鉴于条款第(27)段
[4] 《通用数据保护条例》鉴于条款第(26)段
[5] EDPB v SRB JUDGMENT OF THE COURT第77段:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62023CJ0413
[6] https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22026-proposal_en
[7] https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
[8] 《数字综合法案》Explanatory Memorandum
[9] 《数字综合法案》鉴于条款第(47)段
[10] 《数字综合法案》Article 3第15项
[11] https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
[12] 《数字综合法案》鉴于条款第(49)段
[13]《数字综合法案》鉴于条款第(39)段
[14]《数字综合法案》鉴于条款第(39)段
[15]《数字综合法案》鉴于条款第(49)段
[16]《数字综合法案》Article 3第8项
[17] 《数字综合法案》鉴于条款第(34)段
[18] 《通用数据保护条例》Article 15
[19] 《数字综合法案》鉴于条款第(35)段
[20] 《数字综合法案》鉴于条款第(35)段
[21] 《数字综合法案》Article 3第4项
[22] 《数字综合法案》鉴于条款第(36)段
[23] 《数字综合法案》Article 3第5项
[24] 《数字综合法案》鉴于条款第(38)段
[25] 《数字综合法案》Article 3第7项
[26] 《通用数据保护条例》Article 35
[27] 《数字综合法案》鉴于条款第(40)段
[28] 《数字综合法案》Article 3第9项
[29] 《数字综合法案》Explanatory Memorandum
本文作者
赵新华
合伙人
公司业务部
atticus.zhao@cn.kwm.com
业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
单文钰
资深律师
公司业务部
徐虹宇
律师
公司业务部
感谢实习生姜洹钰、张婧怡对本文做出的贡献。
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
