2026年4 月3日,国家网信办发布《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》,为小型个人信息处理者大幅降低数据合规门槛,目的是支持中小微、降低线下/ 小微商户成本、兼顾安全与发展。

而欧盟数字法案系统性简化改革已经拉开序幕,在2025 年11 月发布了Digital Omnibus 法案提案,其中对GDPR的针对性修订,统一、澄清并简化部分条款,意在降低中小企业合规疲劳、支持AI / 数字创新。

我们先各自看一下大概有哪些简化,再讨论两个问题:

  • 当监管开始“简化”,合规到底是在变轻,还是在被重新分配?

  • 从严格到简化,这是否意味着监管在“后退”?

一、小型处理者核心简化要点

1. 适用门槛

  • 定义:处理个人信息规模不满10 万人的个人信息处理者(例如,小微企业、个体工商户、线下商户、小型平台)

  • 仅适用于低风险、常规场景,高风险(敏感数据、对外提供个人信息)仍按个保法来。

2. 告知与规则极简

  • 无需长篇隐私政策:线下可张贴、线上嵌入、平台统一规则即可

  • 依托平台/ 园区统一规则:入驻合规平台、遵守统一规则,可免单独制定规则、免单独告知

  • 必需、不外流、非敏感信息:公开规则+ 用户主动提供,即可完成告知与同意,无需单独弹窗

3. 核心义务大幅简化

  • 个人信息保护影响评估(PIA):使用简易表格,留存3 年即可,无需复杂报告

  • 合规审计(PIPCA):周期从1 年延长至5 年,采用简易自查表,将复杂的专业评估转化为勾选式自查

  • 跨境传输:符合条件(非敏感、低风险)可免安全评估、免标准合同

4. 执法宽严相济

  • 轻微违规、及时整改、无危害:不予处罚

  • 初次违规、主动纠正:从轻/ 减轻处罚

  • 禁止“一刀切” 重罚,优先指导、帮扶、整改

二、Digital Omnibus 中提议的GDPR 核心要点

1. 适用范围与主体分层

  • 新增SMC(中小型企业)分类:员工≤750 人、年营业额≤1.5 亿欧元,低风险处理可豁免大量义务

  • 明确假名化数据安全港:符合条件的假名化数据不视为个人数据,降低AI / 科研合规成本

  • 收窄个人数据定义:仅控制者可识别的信息才纳入,避免过度覆盖

2. 告知与同意(解决“同意疲劳”)

  • 简化隐私政策:低风险场景只需核心信息,无需长篇大论

  • 重构Cookie 规则:非必要Cookie 可默认关闭、减少强制弹窗,区分必要/ 非必要

  • 低风险处理可豁免单独同意,依托公开规则即可

3. 核心合规义务减负

  • 处理活动记录(第30 条):SMC 低风险处理豁免记录义务,无需留存全量台账

  • 数据保护影响评估(DPIA):统一欧盟清单,低风险场景直接豁免,无需重复评估

  • 数据泄露通知:从72 小时延长至96 小时,给企业合理处置时间

  • 数据主体权利:对滥用、过度的权利请求,允许拒绝或收取合理费用

4. 跨境与创新支持

  • 简化集团内部跨境数据传输,统一标准、减少重复审核

  • 明确AI 训练、科研可基于合法利益处理数据,增设敏感数据偶发处理豁免

5. 执法导向

  • 强化比例原则:优先整改、警示,减少对小微的高额罚款

  • 统一欧盟监管口径,消除成员国差异带来的合规壁垒

三、当监管开始“简化”,合规到底是在变轻,还是在被重新分配?

一方面,《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》尝试为小规模数据处理者降低合规负担;另一方面,欧盟通过Digital Omnibus 对既有数字法律体系进行整合与协调,明确提出减少企业,尤其是中小企业的合规复杂度。表面上看,这是一个很清晰的方向——监管在“减负”。但一个更值得追问的问题是:这种“减负”,是真的减少了负担,还是只是换了一种承担方式?

从形式上看,这一轮监管调整确实降低了一部分合规成本。例如在中国,这个《征求意见稿》允许小型个人信息处理者在特定条件下通过平台规则或统一规则履行部分义务,不再需要单独构建完整的隐私政策体系,把部分合规责任转移给了平台;在欧盟,Digital Omnibus通过统一定义、减少重复义务等方式,缓解了多部数字法律并行所带来的合规压力。

这些变化共同指向一个结果:企业在文档准备、流程执行以及重复性合规工作上的投入,正在减少。但如果从另一个角度来看,这种“简化”并没有改变一个更基本的前提:企业仍然需要对其数据处理行为的合规性负责。

另外,在简化措施引入之后,一部分原本由规则明确要求的内容被放松或替代,使得企业需要自行判断:在何种情况下可以适用简化路径,以及采取何种方式仍然可以被认为是充分的合规。因此,规则越来越精细,在具体如何实现合规这一层面上,需要做出更多判断。例如,依赖用平台规则是否“足够”?不单独做隐私政策是否合理?简化后是否仍然“充分告知”?这些问题都需要企业自己判断,因为监管往往是“事后评价”的。

总的来说,是有形式合规简化,也有一部分责任转移,更重要的是企业需要承担更多判断责任。

四、从严格到简化,这是否意味着监管在“后退”?

如果这种变化并非简单的“减负”,那就引出另一个问题:为什么监管会从一开始的严格设计,走向后来的简化?

如果只看这两年的变化,其实挺容易产生一种感觉:一开始规则很严,什么都要做,后来又不断在简化、豁免,好像在“往回收”。合规专业人士忍不住担心:是不是数据合规工作不重要了,以后如何开展工作?

但如果把时间拉长一点,这种变化反而没那么意外。很多制度在刚出现的时候,都会先走一段“比较硬”的路。因为一开始的时候最重要的,是先把边界立住。什么可以做,什么不能做,大家先有一个大致一致的理解。用一套统一、甚至有点“过于统一”的标准,把秩序建立起来,这往往是最直接、也最容易执行的方式。

但问题是,规则一旦真正开始运转,就会慢慢显出“摩擦”。我们慢慢发现,有些要求对大公司来说是基本配置,但对小企业来说几乎不可行;有些机制看起来很严谨,但用户其实并不关心,企业也只是照做一遍流程。时间一长,就会出现:规则还在,但大家未必真的在按“它本来的目的”使用它。

这个时候,如果继续维持“一刀切”,反而会越来越吃力。要么规则被普遍弱化执行,要么成本把一部分主体直接挤出去。所以后面的“简化”,更像是一种顺着现实做出的调整:开始区分哪些是真的高风险,哪些是可以放一放的;哪些主体需要严格要求,哪些可以用更轻的方式处理。

这种路径,其实在很多法律领域都出现过。比如金融监管:从所有机构同一套规则,到系统重要性机构严管、小微简化。做过环评的人会有感觉,早期很多项目都是一套完整流程,但后来逐渐开始分级,一些低风险项目可以直接简化甚至豁免。所以,如果从这个角度看,不管是欧盟还是国内数据合规从严格走向简化,并不是什么“推翻重来”,也谈不上“丢脸”。更像是一个制度逐渐从“能用”,走向“好用”的过程。

顺便再提一下,某个外企跨境数据违规,但并没有被处罚所隐含的监管趋势,笔者理解处罚本身也在变得更“克制”。

这其实会让不少合规从业者有点不安。很多人习惯把“有牙齿”理解为严格处罚,因为在实践中,只有当违规有明确后果时,合规才更容易被重视。

但如果换一个角度看,处罚的作用本身也在发生变化。

在制度刚建立的时候,更强的处罚往往是必要的——用来快速划清边界、形成威慑。但当规则逐渐进入日常运行之后,如果对所有行为都维持同样强度的处罚,反而容易带来新的问题:轻微违规被过度惩罚,企业更关注“避免被罚”,而不是“真正做好”。因此,将处罚更多集中在高风险、影响大的行为上,而对低风险或可纠正的问题,给予更多空间。

这让我想到一个现实生活里的例子——为什么不对拐卖儿童的行为都一律判极刑?直觉上,好像处罚越重越能威慑,但实际情况往往更复杂。对于已经被拐卖的孩子,如果过于激烈的打击可能反而增加受害人的危险,比如罪犯杀害被拐卖儿童。

同样的道理放在数据合规上:监管的目标不是“让企业害怕违规”,而是让数据得到真正的保护,同时让制度可持续运作。处罚越严格,未必能让规则更有效;有选择、有针对性的处罚,反而更容易达到保护目的,也让合规成为长期可执行的行为。

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。