【域外动态】欧盟委员会发布数字综合监管改革提案

近几年，欧盟围绕数据、隐私、网络安全、平台经济和人工智能陆续出台多部重要数字立法，形成了覆盖广泛且结构复杂的监管体系。随着立法数量的增加，不同法规在适用范围、程序要求和概念定义上出现一定程度的重叠与不一致，导致规则碎片化、条款重复、适用关系不清等问题。企业在多部法规之间切换时需要满足不同的程序和义务，合规路径不够明确，监管和行政压力也随之增加。

在此背景下，欧盟委员会对现行数字规则体系开展系统性压力测试（stress-testing），评估现行立法对创新、竞争力和监管效率的整体影响。数字综合监管改革提案作为第一阶段的优化成果，在保持既有监管目标和基本权利保护标准不变的前提下，通过集中修订若干关键法律，对体系中存在的重复、矛盾和不协调之处进行澄清、整合和简化。

提案的目标包括：通过优化涉及数据流通、数据治理与开放数据的相关规定，使 GDPR 与Data Act构成欧盟数据监管体系的核心结构，从而减少制度重叠与适用冲突；通过建立统一的事件报告入口、协调不同法规中的程序性要求、优化数据保护规则等措施，降低企业特别是中小企业（SMEs）和中小市值企业（SMCs）的合规负担；明确数据使用以及人工智能（AI）模型训练的数据处理基础，以提升数据要素的可用性，支持AI的发展；同时废除已被更新立法覆盖的过时规则，以提高各法律之间的衔接性与透明度。整体改革旨在构建更加一致、清晰且可操作的数字监管框架。

除数字综合监管改革提案外，委员会还同步提出《欧洲企业数字钱包条例》草案，为企业在欧盟范围内的身份验证、数字签署和文件交换提供统一的数字化工具。同时，委员会将启动“数字适应性审查”（Digital Fitness Check），通过对主要数字法规开展阶段性评估，系统梳理不同法律的适用关系及其累积影响，为后续优化数字规则体系奠定基础。

数字综合监管改革提案主要从六个方面提出针对性修订，旨在统一分散的数字法规框架、减少制度重叠、提升法律的协调性与可操作性。委员会预计，这些改革将通过大幅精简监管要求和削减重复义务，每年为企业、公共部门及公民节省逾10亿欧元的合规成本，并显著改善数字规则的整体执行效果。

（一） 将相关规则统一纳入Data Act

提案拟废除《非个人数据自由流动条例》（Free Flow of Non-Personal Data Regulation, FFDR）中除欧盟内部禁止数据本地化要求以外的规定，将DGA中关于数据利他主义、数据中介服务的制度予以整合，并将其关于受保护数据再利用的规则与《开放数据指令》（Open Data Directive, ODD）合并，统一纳入Data Act，从而构建公共部门数据再利用的单一制度框架。同时，提案允许公共部门对特大型企业，尤其是《数字市场法案》（Digital Markets Act, DMA）界定的“守门人”（Gatekeepers），设定更严格的再利用条件并收取更高费用，以防止其凭借市场力量削弱竞争。通过此次整合，《数据自由流动条例》（Free Flow of Data Regulation）、DGA与ODD将被废止，实现数据规则体系的统一化与明晰化。

（二） 修订Data Act四项关键制度

提案将原先用于协助中小企业（SMEs）遵守数据法规的便利措施扩展至中小市值公司（SMCs），并在保持Data Act结构与目标稳定的基础上，对四项关键制度提出精准修订：一是加强强制性物联网数据共享中关于商业秘密向第三国泄露风险的防护；二是澄清企业向政府共享数据（B2G）义务的适用范围；三是明确智能合约用于执行数据共享协议的基本要求；四是针对高度定制化服务以及由中小企业或中小市值公司提供的数据处理服务，调整数据处理服务切换规则，以避免不当增加相关主体的合规负担，同时不削弱防止供应商锁定的制度目标。

（三） 对GDPR进行定向修订

法案在保持GDPR核心框架稳定的前提下，针对低风险处理主体和中小企业提出定向优化措施，包括：明确“个人数据”等关键法律概念；提供判断假名化数据是否仍属于个人数据的可执行标准；完善信息告知义务和数据泄露通知流程；澄清AI训练、测试与开发过程中的数据处理规则；界定“科学研究”的概念并确认其与原始处理目的的相容性，使科研活动能够以合法利益为基础开展；同时扩大信息告知义务的豁免范围，并在必要时参照《2018/1725号条例》以确保解释的一致性。

（四） 将终端设备处理规则整合至GDPR

为解决《电子隐私指令》（ePrivacy Directive）下cookie同意弹窗引发的同意疲劳及重复监管问题，法案拟将所有涉及终端设备的数据处理统一纳入GDPR调整，并在GDPR中明确需取得用户同意及可豁免同意的具体情形，包括为提供用户请求的服务所必需或风险较低的场景。法案同时引入机器可读的用户隐私偏好信号，网站在遵循该信号时将被视为符合法规要求；并对媒体服务提供商设立例外，使其能够继续以直接沟通方式向用户获取同意。

（五） 建立单一事件申报入口

为减少企业在多部法规下的重复申报义务，法案拟建立由ENISA开发的“单一事件申报入口”，使实体可通过一次提交同时履行《网络与信息系统安全指令》（NIS2）、GDPR、《数字运营弹性法案》（DORA）、《电子身份认证与信任服务条例》（eIDAS）与《关键实体韧性指令》（CER）等法规下的事件通报要求，并在后续立法中逐步将其他行业性报告机制纳入统一体系。与此同时，法案授权对通用申报模板进行精简，参考DORA的共同模板经验减少需填报的数据字段，从而显著降低企业在事件报告中的行政负担。

（六） 废止 P2B 条例部分内容

为避免与DMA和DSA形成重叠，法案拟废止《平台对企业条例》（P2B Regulation）的多数条款，仅保留仍需在其他法规中被引用的部分，以进一步简化在线平台监管框架，提升规则体系的协调性与清晰度。

本部分将对提案涉及的修订内容进行分类呈现。其中，GDPR的修订将作为重点予以详细说明，其余相关法规的修改将以概括方式进行介绍。

（一） GDPR修订（Amendments to Regulation (EU) 2016/679）

本次对GDPR的修订属于数字综合监管改革提案中最核心的部分之一，主要集中在澄清个人数据范围、简化程序性义务、统一终端设备访问规则、调整数据泄露报告流程、完善自动化决策与风险评估制度，并为AI模型开发提供更明确的处理依据等方面。修订内容均属于定向技术性修改，不改变GDPR的基本框架。

1、 关键法律概念的进一步明确

修订首先对GDPR中的核心法律概念进行补充，尤其是关于“个人数据”的定义适用标准进行了重要澄清。修订规定，判断信息是否属于个人数据，应以某实体能否识别相关自然人为标准；若某实体自身无法识别，即便其他潜在接收方能够识别，该信息对该实体而言不构成个人数据。修订同时新增若干术语的定义，包括“终端设备”、“电子通信网络”、“Web 浏览器”、“媒体服务”、“在线接口”等，用于与其他欧盟数字法规保持术语一致性。

此外，本次修订首次在GDPR中正式界定“科学研究”的含义，将其扩展为包含支持创新的研究活动，包括技术开发、技术展示等具有促进知识增长和社会福祉目标的活动，同时要求符合相关伦理标准。这些新增定义确保数据处理者在科研场景下可适用更明确的规则体系。

2、 放宽科研再利用个人数据的合规门槛

本次修订进一步确认了科研活动与原始数据处理目的之间的目的相容性。按照修订后的第 5条，数据在最初目的之外，为公共利益、科学研究、历史研究或统计目的进行的进一步处理，可以被视为与最初目的相容且无需重新取得法律基础，独立于第6条第4款的兼容性评估限制条件。这意味着科研目的本身可以被视为独立的合法利益基础，使研究机构、大学及开发创新技术的企业在使用原始数据时具备更明确的合规路径。修订中对“科学研究”的明确界定与伦理要求，使科研例外具备更可操作的法律框架，同时确保其与《2018/1725号条例》的科研例外保持一致性

3、 AI系统中的数据处理规则与限制

修订对人工智能系统开发、测试和运营过程中的数据处理作出专门规定。根据第9条第2款新增项，涉及AI系统的数据处理须符合《EU 2024/1689 号条例》对AI系统的定义，并在处理生物识别数据用于身份确认时仅限于数据主体单独控制的情形。修订新增的第5款要求，控制者在AI系统或模型的开发与使用过程中应采取技术和组织措施避免收集特殊类别个人数据；如在数据集中发现此类数据，应删除，或在删除需付出过度努力时确保其不用于模型输出、对外披露或向第三方提供。

新增第88c条进一步规定，AI系统中的个人数据处理可基于合法利益进行，但必须采取措施实现数据最小化、保护隐私、增强透明度，并赋予数据主体反对该处理的权利。

4、 信息告知义务的完善与豁免范围的扩展

修订对GDPR第12条和第13条的信息告知规则进行了调整。根据修订后的第12条第5款，控制者在提供信息、与数据主体沟通以及采取相应措施时应免费进行；但若数据主体的请求明显无理或过度（包括重复请求），控制者可收取合理费用或拒绝处理，并由控制者承担证明该请求无理或过度的责任。

修订后的第13条第4款明确，若数据主体与控制者之间存在清晰明确的关系，且控制者开展的活动不属于数据密集型，并有合理理由表明数据主体已具备相关信息的情况下，第13条第1、2、3款的信息提供义务可不适用；但若控制者向其他接收者提供数据、将数据转移至第三国，或进行自动化决策（包括分析）等高风险处理时，该豁免不适用。

此外，第13条新增第5款规定，若数据处理用于科研目的且逐一提供信息会导致不成比例的努力或无法实现，控制者可不向个体提供信息，但需采取适当措施保护数据主体的权利、自由和合法利益，包括通过公开信息的方式进行告知。

5、 自动化决策、数据泄露与DPIA的程序规则更新

修订对GDPR第22条关于自动化决策的适用条件作出调整。根据修订后的第22条第1款和第2款，完全基于自动化处理（包括分析）作出的决定仅可在以下情形下进行：该决定为履行合同所必需；该处理受到欧盟或成员国法律授权并附有保护数据主体权利、自由和合法利益的适当保障措施；或该决定基于数据主体的明确同意。

修订对第33条的数据泄露通知义务进行了修改。控制者在发生可能对数据主体权利和自由造成高风险的个人数据泄露时，应在知悉后尽快，并在可行情况下不超过96小时向主管当局报告；若未能在该期限内报告，应说明延迟原因。在《EU 2022/2555号指令》第23a条规定的单一报告入口建立之前，控制者继续向主管当局直接报告。修订新增要求欧洲数据保护委员会制定数据泄露通知的标准模板以及高风险情况下的泄露情形清单，并每三年对其进行审查和更新。

修订还对第35条的数据保护影响评估（DPIA）程序作出补充。欧洲数据保护委员会需向欧盟委员会提交应开展DPIA的处理类型清单、可免除DPIA的处理类型清单，以及DPIA的标准模板和统一方法。上述清单和模板需在条例生效后九个月内提交，并由委员会根据需要通过实施法案予以采纳。修订同时规定，这些清单和模板须每三年进行审查和更新；在委员会发布实施法案之前，监督机构已制定的DPIA清单继续有效。

6、 假名化数据法律地位的判断标准与执行机制的建立

为了回应实践中长期存在的“假名化数据是否仍属于个人数据”的争议，修订案新增第41a条，授权欧盟委员会制定可执行的技术与组织标准，用以判断特定实体处理的假名化数据是否仍然具有可重新识别性。委员会拟通过实施法案设定一套方法体系，包括对最新技术水平的评估、制定评估重新识别风险的类别与标准，并在EDPB的参与下完成标准的审查与更新。

7、 与欧盟整体数字监管体系的协调与一致性提升

修订案删除了部分条款（如第57条、第64条及第70条部分内容），以确保GDPR与其他欧盟数字法规（包括《AI法案》、《数字服务法》、《数字市场法》等）之间的规则一致性。与此同时，新条款要求EDPB提供多个清单、方法和模板，统一成员国间的数据保护标准，使GDPR的解释框架更接近《2018/1725号条例》下对欧盟机构的约束方式，从而提升欧盟层面的统一应用效果。

8、终端设备（cookies等）中的个人数据处理与用户选择机制

修订新增第88a与第88b条，建立针对终端设备中个人数据存储、访问与处理的规范体系。根据第88a条，在终端设备中存储或访问个人数据原则上需取得数据主体同意；但若处理仅用于电子通信传输、应数据主体请求提供服务、生成服务使用的汇总信息，或用于维护与恢复服务安全，则无需同意。控制者在以同意作为依据时，应确保数据主体能够轻松拒绝，并在数据主体拒绝后至少六个月内不得就相同目的再次请求同意。

第88b条规定，控制者应确保在线界面能够支持数据主体通过自动化、机器可读的方式表达同意或拒绝，并行使反对权。欧盟委员会将邀请欧洲标准化组织制定相关指示的技术标准。第88a条自条例生效六个月后适用，第88b条自生效二十四个月后适用。

（二）Data Act修订（Amendments to Regulation (EU) 2023/2854）

本次对Data Act的修订对欧盟数据规制体系进行了结构性整合与技术性调整：将DGA、FFDR和ODD中有关公共部门数据再利用、数据中介服务和数据利他组织的内容纳入Data Act框架，统一数据再利用与共享规则；将数据中介服务的强制注册改为自愿注册，并调整相关定义与监管要求；对公共部门和公共事业机构持有数据的再利用条件进行统一，并允许在客观、透明和非歧视基础上对经济实力较强的企业施加更高条件；在商业秘密跨境披露方面新增可拒绝共享的情形，以应对第三国法律保护不足的风险；对云服务切换义务作出修订，包括允许特定定制化服务豁免切换要求、明确合同提前终止安排，并将豁免扩大至中小市值企业；删除原第36条有关智能合约强制性技术要求的规定，并授权委员会未来制定统一标准，同时补充若干术语定义并调整适用范围，以维持与被吸收法规内容的一致性。

（三） 《单一数字门户条例》修订（Amendments to Regulation (EU) 2018/1724）

修订对《单一数字门户条例》附件II中的“生活事件与程序”进行了更新，扩展了“开办、经营和关闭企业”类别，涵盖雇主注册、公司税务申报、社会保障计划通知及企业活动许可申请等与企业经营相关的程序，使其可通过门户以在线方式提供并跨境访问。此次修订旨在提升企业办理各类行政手续的可获得性与便利性，并促进公共部门数据和程序的标准化呈现。

（四） EUDPR修订（Amendments to Regulation (EU) 2018/1725）

修订对《欧盟2018/1725号条例》进行了系统性更新，包括：在第3条中明确“个人数据”的识别标准，并新增“电子通信网络”、“移动应用”、“在线接口”、“科学研究”等术语定义；在第4条中修订目的限制规则，确认为公共利益、科学、历史研究或统计目的进行的进一步处理视为与初始目的相容；在第10条中新增与AI系统开发和运营相关的数据处理条件，并要求采取措施避免处理特殊类别个人数据；在第14条和第15条中更新信息提供和请求处理的要求，并在科研场景下增加不成比例努力时的告知豁免；在第24条中修订基于自动化处理作出决定的适用条件；在第34条中将个人数据泄露的报告时限设定为“尽快且不超过96小时”；在第37条中新增一系列关于终端设备中个人数据存储、访问、例外情形、同意机制、自动化选择指令和适用时间的规定；在第39条中将GDPR第35条第6a款下采用的清单、模板和方法引入本条例适用，并删除原第5、6款；同时新增第45a条，将GDPR第41a条下由欧盟委员会制定的通用标准适用于本条例范围内的个人数据处理。

（五） ePrivacy Directive修订（Amendments to Directive 2002/58/EC）

修订对ePrivacy Directive的终端设备存储与访问规则进行了调整，主要是将原本有关终端设备访问信息（如cookies）及相关同意机制的核心规则系统性转移至更新后的GDPR，以形成统一的数据保护与电子通信规则体系。该修订属于衔接性调整，删除了原第4条，并对第5条作出补充。在第5条第3款之后新增规定：当订阅者或用户为自然人，且对其终端设备中信息的存储或访问行为构成或导致个人数据处理时，该终端设备规则不适用。这意味着，在涉及自然人且行为属于个人数据处理的情况下，相关处理将直接受GDPR的约束，而不再适用ePrivacy Directive第5条第3款的机制。

（六） NIS2指令修订（Amendments to Directive (EU) 2022/2555）

修订对NIS2指令进行了更新，重点在于引入统一的事件报告入口。新增的第23a条规定，由ENISA开发和维护一个供欧盟法律项下事件和相关事件履行报告义务使用的单一入口点，并要求ENISA采取技术、操作和组织措施保障该入口点的安全性，同时与委员会、CSIRTs网络及主管部门共同制定确保入口点建立、运行和互操作性的技术要求。在入口点正式启用前，ENISA需对纳入的每项欧盟法律开展试点测试，并在委员会确认其满足正常运行、可靠性、完整性和机密性要求后予以公告。修订同步修改第23条，明确重要和关键实体需通过单一入口点报告对其服务产生重大影响的事件，并补充规定：若制造商按照《2024/2847号条例》第14条第3款提交的严重事件报告已包含第23条所需的信息，可视为满足相关报告要求。修订还修改第30条，使重要和关键实体可通过单一入口点自愿报告事件、网络威胁和接近失误，并允许不属于本指令适用范围的其他实体自愿提交同类报告。

（七） eIDAS修订（Amendment of Regulation (EU) 910/2014）

本次修订对eIDAS进行了技术性更新，重点在于将其现有的通知义务与NIS2中新设的事件单一入口点对接。修订分别对第19a条、第24条和第45a条作出补充，增加规定：依各条所要求向监管机构、相关主管机关或欧盟委员会提交的通知，应通过NIS2第23a条设立的统一报告入口完成。通过这一调整，eIDAS下的通知程序与网络安全事件的跨法规报告机制实现了技术层面的对齐。

（八） DORA修订（Amendments to Regulation (EU) 2022/2554）

修订对DORA中第19条的事件报告机制进行了更新，使其与NIS2中新设的单一报告入口保持一致。修订明确，金融实体在报告重大ICT相关事件时，应通过NIS2第23a条设立的统一入口提交，并符合该条第4款关于报告内容的要求。同时，金融实体可自愿通过同一入口点报告认为与金融体系、服务用户或客户相关的重要网络威胁，并授权主管机关根据需要将该等信息分享给其他相关主管部门。通过这一调整，DORA下的强制性与自愿性报告程序被纳入统一的跨法规事件报告渠道。

（九）CER指令修订（Amendments to Directive (EU) 2022/2557）

修订对CER指令第15条的事件通报机制进行了更新，要求关键实体在发生影响或可能影响基本服务提供的事件时，应通过NIS2第23a条设立的单一入口点向主管机关进行及时通报。修订同时在第15条中新增授权条款，允许欧盟委员会通过实施法案进一步明确事件通知所需的信息类型与格式，该实施法案将按照第24条第2款规定的程序通过。

编译|李可心

排版|李钰璐

审核|裴   轶