欧盟《数字综合法案提案》立法背景、主要修订内容及对我国出海企业的启示
知识产权研究院
2025年11月19日,欧盟委员会(European Commission)发布了《数字综合法案提案》(Digital Omnibus Regulation Proposal,下称“提案”)1。“Omnibus”含义为“综合的、汇编的“,在立法中意为单一法律或条例将充当同时修订多项现行立法的载体。
提案旨在修订一系列现行欧盟数字立法,正如其全名2,提案如通过,将修改欧盟在数字市场领域内耳熟能详的《通用数据保护条例》(GDPR)、《电子隐私指令》(ePrivacy Directive)、《数据法案》(Data Act)及《人工智能法案》(AI Act)等指令(Directive)或条例(Regulation)。
全文共5311字
阅读时间约7分钟
一、 立法背景
2024年9月,前欧洲央行行长马里奥·德拉吉(Mario Draghi)受欧盟委员会主席冯德莱恩委托,发布了题为《欧洲竞争力未来》(The Future of European Competitiveness)的重磅报告3。
报告指出,欧盟在先进技术领域已经与美国和中国存在差距(First – and most importantly – Europe must profoundly refocus its collective efforts on closing the innovation gap with the US and China, especially in advanced technologies)。德拉吉在报告中强调,欧盟企业面临着高昂的能源成本和碎片化的单一市场(Fragmented Single Market),但最为致命的是“监管过度”(Regulatory Burden)。
与此对应的是,提案的解释性备忘录(Explanatory Memorandum)中提到,欧洲议会强调,有必要通过简化(立法框架)便利企业合规,同时不损害欧盟的核心政策目标。提案整体体现了欧盟数字立法从“严苛监管”向“促进创新与竞争力”的重大战略回调:
一方面,正如提案名称,欧盟希望通过一部单一法案替代现在零散的、冲突的数十部数字相关法案,降低企业的合规负担;
另一方面,欧盟显然也意识到过去十年间,尽管欧盟的《通用数据保护条例》(GDPR)、《数字市场法案》(Digital Market Act)和《数字服务法案》((Digital Services Act))等一系列立法,确立了全球数字监管的“黄金标准”,形成了所谓的“布鲁塞尔效应”(Brussels Effect)。然而,随着生成式人工智能(Generative AI)的爆发式增长以及全球数字经济竞争格局的剧变,欧盟当局逐渐意识到,过度追求规则的严密性和权利的绝对保护,导致其在与中美的科技博弈中逐渐落后。
在这一背景下,冯德莱恩领导下的欧盟委员会将“简化”(Simplification)确立为2024-2029任期的核心政治任务。《数字综合法案》(Digital Omnibus Regulation Proposal)正是这一战略转向的直接产物。
无独有偶,本公众号近期也发布了对美国总统唐纳德·特朗普签署的《确保人工智能国家政策框架》(Ensuring a National Policy Framework for Artificial Intelligence)行政命令的解读。从解读中可看出,美国政府也在试图解决各州碎片化的AI监管法规,意图通过联邦层面的“抢占立法权”(Federal Preemption),建立一个统一、弱监管、去意识形态化的全国性AI监管法律体系:
上篇:
https://mp.weixin.qq.com/s/zZQo1YYSuTfZ6kghJDtHGQ?scene=1&click_id=45
下篇:
https://mp.weixin.qq.com/s/soThB2aO7L4_K3-kkdhNGA
二、《提案》主要修改内容及对我国产业界的合规启示
《提案》包括了对一揽子法案合并的提议及单独法案的修正案,其触角延伸至欧盟多部数字法案。根据欧盟《数字手册》的介绍4,提案对欧盟数字法案做出重大调整:
所有网络安全事件和数据泄露报告的单一入口点;
将《数据治理法案》(Data Governance Act)、《开放数据指令》(Open Data Directive)和《非个人数据自由流动条例》(Free Flow of Non-Personal Data Regulation)的条款合并为一部单一的经过重组的《数据法案》(Data Act);
废除《平台对企业监管条例》(P2B Regulation,该条例的部分条款已被《数字服务法》取代而失效)
对于具体法案,其主要修订的法案大致包括:
(一) 《通用数据保护条例》(GDPR)的修订
1. 个人数据(Personal Data)定义的“相对化”重构
《提案》广受关注的核心是引入“(是否)具有合理手段识别”作为特定实体持有的数据是否属于个人数据的判断标准。在现行GDPR下,“个人数据”的定义极为宽泛,只要数据在理论上“可被识别”(identifiable)即属于管辖范围,而无论数据控制者是否有能力识别。这导致大量经过假名化(Pseudonymization)甚至加密处理的数据在法律上仍被视为个人数据,从而极大地限制了数据的流通和利用。
修正案建议在GDPR中增加条款:如果某实体持有的信息本身可用于识别个人,但该实体无法通过合理的、可获得的手段(does not have the means reasonably likely to be used to identify)将其与特定个人关联,则对此实体而言该信息不被视为个人数据。
2. 确认“合法利益”(Legitimate Interests)作为AI训练的法律基础
AI大模型的训练需要海量数据,而这些数据往往包含个人信息。根据GDPR第6条1款(f)项,个人数据的处理者必须对此具有合法利益;在此前实践中,是否可将AI模型训练视为持有者的合法利益一直存在争议,许多数据保护机构倾向认为训练AI需征得数据主体同意或利用匿名数据,但显然这对于使用互联网公开数据进行训练的LLM(大型语言模型)来说是不可能的。无独有偶,在LLM(大型语言模型)方面目前领先的美国和中国,都有放松模型训练监管的趋势。
提案通过增加GDPR第88c条的方式,明确确认:为了开发、训练和测试人工智能系统而处理个人数据,可以基于“合法利益”(Legitimate Interest)进行 - Where the processing of personal data is necessary for the interests of the controller in the context of the development and operation of an AI system such processing may be pursued for legitimate interests within the meaning of Article 6(1)(f) of Regulation (EU) 2016/679。这实际上是承认了AI发展本身就是一种正当的商业利益和社会利益,也即无需再额外征得个人数据主体的同意。
但同时,这种豁免并非无条件。提案要求控制者必须采取“适当的保障措施”,例如数据最小化、假名化,以及即使是公开数据也需提供“退出”(Opt-out)机制。此外,对于特殊类别数据(敏感数据),提案也试图在特定条件下(如为了科学研究、重大公共利益等)通过修订GDPR第9条来寻找突破口。
(二) 《电子隐私指令》(ePrivacy Directive)的修订
提案对电子隐私指令(ePrivacy)的修订主要包括:
“Cookie同意弹窗疲劳”与“一次性表达偏好”:提案通过简化设计来缓解Cookie横幅疲劳,并支持用户通过浏览器或操作系统的集中设置(centralized settings)来表达隐私偏好。这确实类似于“Do Not Track”或“Global Privacy Control”的升级版,要求网站读取并尊重这些自动化信号。
关于“通过浏览器和操作系统中的集中设置保存偏好”:提案提出,用户可以通过浏览器或操作系统一站式设定隐私偏好,一旦设定,网站必须尊重该信号,从而大幅减少弹窗次数。
关于“拒绝追踪后至少六个月内不得再弹出”:提案明确规定,如果用户选择了拒绝(或通过浏览器信号表达了拒绝),网站必须在至少六个月(at least six months)内尊重用户的这一选择,不得在此期间再次请求同意。
(三) 人工智能法案(AI Act)的修订
尽管《人工智能法案》刚刚生效,提案已建议对其进行微调,以确保其可适应性和执行性:
推迟高风险AI系统合规义务的生效时间:由于对于AI系统的技术要求尚未明确,针对用于执法或教育的高风险AI系统原定于2026年8月生效的合规义务,将推迟至委员会就其技术要求作出决定后的6个月生效;针对所有其他用途的高风险AI系统,将推迟至委员会作出决定后的12个月生效。
扩大AI办公室(AI Office)的权力: 除特定行业受管制的产品外,AI办公室将拥有独家权限,负责监管和执行以下两类对象:(i)通用人工智能模型(GPAI models)及其同一提供者开发的任何基于该模型的系统;(ii)集成到指定的超大型在线平台(VLOP)或超大型在线搜索引擎(VLOSE)(根据《数字服务法》定义)中的AI系统。AI办公室将有权要求提供文件、监督上市前的合规性评估并实施处罚。这意味着大型AI开发者将面临单一泛欧监管机构更集中、更严格的审查。
(四) 降低中小企业(SMEs)及中小市值企业(SMCs)的合规负担
《欧洲竞争力未来》报告数据显示,欧盟中小企业(SMEs)和初创公司在合规上消耗了大量资源,导致创新乏力,难以扩大规模(Scale-up)。为此,提案建议的内容包括:
将赋予中小型企业(SMEs)的部分简化措施扩展至中小市值企业(SMCs);
采纳更多的合规技术措施,让更多创新主体可利用监管沙盒,包括2028年推出欧盟层面的监管沙盒,并增加真实场景测试(尤其在汽车等核心行业);
强化人工智能办公室(AI Office)的职权,并同时将监管重点集中于通用人工智能模型构建的人工智能系统,减少治理碎片化问题。
三、 出海企业合规启示
我们在《解读美国联邦政府〈确保人工智能国家政策框架〉行政令(下篇)》中指出:尽管特朗普政府目前的政策旨在建立一套统一的、较为宽松的联邦AI监管体系,但出海企业仍需保持高度的战略定力与警惕,这是因为美国政治体制决定了联邦与州权的长期博弈,且执政党更迭带来的政策的更迭现象日益频繁。因此,我们建议企业不要对美国AI监管“终将统一”抱有幻想,而应当搭建一套灵活可变的合规架构,以便随时根据当地法规的变化进行调整。
与此相反,欧盟数字立法及监管却可能朝着统一、标准化方向发展。欧盟几乎在所有的数字法案的前言部分(Recitals)均强调欧盟内部市场的统一有助于经济发展:为维护并提升内部市场的运行效能,应在欧盟层面制定一套有针对性的、统一、有效且相称的强制性规则。(Recital 4 of Digital Services Act: Therefore in order to safeguard and improve the functioning of the internal market, a targeted set of uniform, effective and proportionate mandatory rules should be established at Union level.)
尽管提案整体上旨在降低企业在欧盟运营的合规负担,但结合我们实务经验,我们提出几点建议供出海欧盟的企业参考:
(一) 对所有出海欧盟的企业:“个人数据”定义的相对化重构带来合规新路径
“个人数据”(Personal Data)定义的重构,这一修改实际上降低了“匿名化”的门槛。对于不掌握“密钥”的第三方(如中国的数据接收方),数据可能直接被视为“非个人数据”而完全脱离GDPR管辖,这比以往的GDPR解释更为宽松:
对于数据控制者(如平台):由于拥有解密密钥或关联表,对其而言该数据仍属于个人数据。
对于数据接收方(如AI开发者):如果其接收的是经过去标识化的数据,且在法律上承诺不尝试复原,在技术上也不具备复原能力,那么这组数据对其而言就是“非个人数据”,从而在原则上豁免于GDPR的管辖。
中国企业应加大边缘/端侧计算(Edge Computing)和本地化匿名处理的技术投入 – 如新能源汽车的隐私计算通过车载计算机完成,无需传回服务器。如果数据传回中国前已经过严格的去标识化,且密钥留在欧洲,引入欧盟本地第三方进行密钥托管(Key Escrow),则该传输行为可能不再触发GDPR跨境传输限制。在数据传输协议中,中国企业应明确作出“不尝试重识别”(Non-reidentification)的法律承诺,并要求欧方确认数据交付时的去标识化。
由于中国《个人信息保护法》大量借鉴GDPR的定义和规定,我们认为今后中国监管当局也可能适时参考提案的内容对我国个人信息定义进行调整,但企业当前仍需遵守我国《个人信息保护法》对“匿名化”的绝对严格标准。
(二) AI企业:合规预期暂时松绑但不应松懈
从整体来看,提案提出推迟高风险AI系统的合规义务的生效时间(即“暂停时钟”,直到欧盟发布统一技术标准),将给中国“出海”到欧盟的企业暂时降低合规义务,但这并不意味着合规压力的消失。
中国企业更应该妥善利用延长的“窗口期”,建立敏捷合规机制,密切关注行业先进的国家标准,如CEN/CENELEC(欧洲标准化组织)的标准草案,提前进行技术对标,确保产品架构具有足够的灵活性以适应最终标准。这不仅能在欧盟技术标准明确后迅速合规化,甚至能较其他未合规化企业取得先机。
对于GDPR合法利益(Legitimate Interests)的引用,伴随着更强的透明度义务(Transparency)。中国AI企业出海必须准备好可对外发布的技术文档,以解释模型训练数据来源(特别是是否使用了受版权保护的欧盟数据),防止被指控侵犯知识产权或未履行告知义务。
(三) 面向欧盟用户的网站:Cookie Banner的统一及行业格局的变化
Cookie是服务器发送至用户浏览器的小型文本文件,用于记录用户登录状态、用户偏好、个性化设置等内容,能有效改善用户网页浏览体验。目前,大多网页的“cookie”偏好设定仅针对某一特定网页,而非用户(以浏览器来判断);其痛点在于,用户每次访问一个新的网站都需要重新勾选并确认Cookie政策,从而导致了极差的用户体验。
(示例:用户每次访问一个新的网站都需要重新勾选并确认Cookie政策)
提案针对“Cookie横幅疲劳”提出了改革方案,即通过浏览器/操作系统信号一次性拒绝,且6个月内不得再次请求同意。欧盟新规实际上赋予了浏览器(如Chrome, Safari)和操作系统(如Windows、Mac OS、iOS、Android)更大的“守门人”权力。
这一方面赋予浏览器和操作系统开发者更大的行业话语权,有可能带来新一轮行业洗牌,但也赋予其“守门人”的义务。另一方面,如果用户在浏览器层面设置了“拒绝追踪”,中国企业的网站将无法弹出Cookie横幅获取同意,导致广告精准度下降,整体营收可能受到影响。此时,出海企业可能需加速探索不依赖第三方Cookie的替代性营销技术(如上下文广告、基于第一方数据的营销),以降低对追踪技术的依赖。
需要提示的是,Cookie机制的设定可能还存在技术上的壁垒。不仅浏览器要增加相应的功能,网站服务端也必须能够解析并自动响应这些信号。如果出海企业的网站无视浏览器信号继续弹窗,将构成违规。
(四) 缔约陷阱:谨防欧盟企业以保护“商业秘密”为借口拒绝披露数据
根据《数据法案》(Data Act),拒绝分享数据通常需要具体的证据证明会造成严重经济损失。但另一方面,提案允许欧盟数据持有者在证明存在“被非法获取或泄露给保护力度较弱的第三国的高风险”时,拒绝共享数据(包括商业秘密),这与《数据法案》的宗旨背道而驰。(......allows data holders to refuse disclosure of trade secrets to a user when there is a high risk of unlawful acquisition, use, or disclosure to third countries, or entities under their control, that are subject to jurisdictions with weaker protections than those available in the Union.)
在当前的地缘政治环境下,该条款可能遭到滥用。欧盟企业或者部分政治势力可能利用这一条款,以“中国数据保护水平不足”或“存在政府获取数据风险”为借口,拒绝向中国企业(作为下游服务商或平台用户)提供必要的接口数据或互操作性支持,违背双方合同约定以及《数据法案》赋予的义务。这实际上可能形成一道“非关税壁垒”,阻碍中国企业融入欧洲数字生态。
中国企业在欧洲运营时,需建立更高的个人信息和数据保护标准,例如获得欧盟级别的认证,以证明合规性。同时,在商业合同谈判中,应预先设定数据交付的违约条款的具体情形,防止欧方滥用“商业秘密例外”进行断供。
感谢实习生韩明清对本文资料整理及编写做出的贡献
注释
上下滑动查看更多
文章作者
YENLEX
