迈向更简化、更可行的数字监管
2025年11月,欧盟委员会提出了《数字综合法案》,旨在使欧盟的部分数字监管规则更易于操作。该提案涉及多项关键法律,包括《通用数据保护条例》和《人工智能法案》,并致力于简化规则,减轻企业不必要的行政负担。
过去几年,欧盟出台了大量的数字规则。尽管总体目标得到广泛支持,但许多企业却因要求重叠、概念模糊及多重报告义务而陷入困境。在实践中,这导致了更高的合规成本和法律不确定性,特别是对于跨境经营的企业。
通过《数字综合法案》,欧盟委员会转变了监管思路,重点从出台新规则转向改进现有法律的运作方式。欧盟委员会明确表示,该提案并非旨在降低对个人数据、消费者或基本权利的保护水平,而是要使规则更加一致、更加清晰,且更易于遵守。
改革重点聚焦于对竞争力至关重要的领域,例如数据共享、人工智能发展及更高效的合规流程。
以下是一些可能对企业影响最深的提案。
"个人数据"的新定义:一项更切合实际的修订涉及"个人数据"的定义。提案明确指出,若某一组织在综合考虑其现有技术手段后仍无法合理识别相关个人,则该信息对其不应被视为个人数据。
需强调的是,不能仅因其他方可能识别出该个人,就自动认定该信息对任何一方都构成个人数据。此项澄清将有效帮助企业更准确地判断数据共享和内部使用的合规边界。
数据泄露通知: 该提案还对个人数据泄露通知流程进行了修改。目前,除非泄露事件不太可能对个人构成风险,否则通常必须上报。根据该提案,只有可能导致高风险的泄露事件才需要上报。上报期限也将从72小时延长至96小时。为了确保更统一的执行,欧洲数据保护委员会(EDPB)将制定一份具有约束力的上报模板并提供实际操作指南。
人工智能数据处理条款解析:对于从事人工智能工作的公司,该提案明确指出,在满足特定条件时,可基于"合法利益"法律基础处理个人数据,用于AI系统的训练与使用。这需经过标准的利益平衡测试并采取适当的保障措施,此项澄清旨在为许多企业长期面临合规困境的领域减少法律不确定性。
Cookie同意:最后,欧盟委员会提议简化关于Cookie和类似技术的规则。部分条款将从《电子隐私指令》移入《通用数据保护条例》,同时简化同意要求以减轻所谓的“同意疲劳”。例如,用户应能更便捷地表达选择,且无需反复征求同意。这些变更仅适用于涉及个人数据的情形。
关于《人工智能法案》,《数字综合法案》提议将高风险人工智能系统的合规要求生效日期推迟16个月(原定2026年8月2日)。旨在确保相关标准、指南和技术工具就绪后,再要求企业全面合规。
此外,若提供者经评估认定其人工智能系统不属于高风险类别,则无需再将此评估结果在欧盟级数据库中进行登记注册。该评估仍需在内部形成书面记录,并在监管机构要求时予以出示,但行政负担将得以减轻。
《数字综合法案》目前仍只是一项提案,但它清晰表明了欧盟委员会旨在使欧盟数字监管在实践中更具可操作性的意图。在立法程序推进的同时,欧盟委员会已就该法案启动公众咨询,邀请利益相关方及广大公众提交意见。咨询期将持续开放至2026年2月4日。预计相关谈判将于2027年初完成。
未来几年,预计将对《数字市场法案》、《数字服务法案》和《数据法案》等主要数字法案进行进一步修订。
作者:Frida Holmer,律师,罗思国际,邮箱:fholmer@rouse.com
中文校对:曹喆,律师助理,路盛律师事务所,邮箱: lcao@lushenglawyers.com
