欧盟数字综合法案:欧盟数据、网络及人工智能规则将如何演变
简介
形势:2025年11月19日,作为其一揽子数字监管制度的组成部分,欧盟委员会发布了两项“数字综合法案”提案:(i)《数字立法综合法案》,该项提案对包括《通用数据保护条例》、《电子隐私指令》和关键网络安全法律(特别是《网络和信息系统安全指令2.0》(“NIS2指令”)、《数字运营弹性法案》、《关键实体弹性指令》和《数字身份条例》)在内的欧盟现行数字监管规则的大部分内容做出了修订和整合;以及(ii)单独的《关于人工智能的数字综合法案》,该提案旨在简化欧盟《人工智能法案》并部分延迟其相关规定的施行时间。
结果:若获得通过,上述一揽子法案将缩窄和澄清“个人数据”的范围,为使用欧盟个人数据进行人工智能训练提供便利,对cookie同意规则进行合理化改革,提高数据泄露和安全事件通报的标准并延长报告期限,以及推迟多种高风险人工智能系统的合规时限。此外,综合法案还将整合欧盟《数据法案》中数据访问和数据共享框架的部分内容,减轻部分云切换负担。
展望:《数字综合法案》本质上还是一项谨慎的、有选择性的调整举措,而非范围广泛的全面改革,其主要目的是为了解决相关规则之间的不一致以及经实践证明无效的监管规定。尽管部分修正案可能会在特定领域减轻企业的合规负担,但整体而言,这些变更仍具有针对性而非全面性。对于相关实体而言,这意味着合规环境不太可能出现根本性转变。
《数字综合法案》中与《通用数据管理条例》、《电子隐私指令》及欧盟主要网络安全法律最为相关的内容
《数字综合法案》拟通过若干有针对性的修订,简化和澄清《通用数据管理条例》的相关条款,同时对《电子隐私指令》中的“cookie规则”做出全面改革,并为安全事件相关报告义务建立统一受理点。具体而言,该拟议《数字综合法案》:
- 修改了个人数据的定义。提出了更具“相对性”的个人数据的概念。明确信息仅在当前持有者能够通过其合理可用的方式识别数据主体时,才构成个人数据。后续接收者识别数据主体的能力(使其成为个人数据)并不导致该数据对当前持有者而言成为个人数据。
- 特殊类别数据的处理引入豁免情形。针对《通用数据保护条例》第9条所规定的特殊类别数据处理,引入豁免条款,允许在以下情形处理特殊类别数据:(i)为开发与运行人工智能系统或模型所必需的残余数据处理;以及(ii)仅在用户自主控制下,为身份识别目的处理生物识别数据。
- 认可为人工智能开发和运行而进行的数据处理属于合法利益(《通用数据管理条例》第6 (1) (f) 条),但同时规定欧盟成员国法律仍可要求取得数据主体同意。
- 限制数据主体滥用数据访问权限。明确《通用数据保护条例》第15条(数据主体的访问权)不得被滥用于与保护其个人数据无关的目的(例如,仅为寻求赔偿或造成损害)。
- 扩大《通用数据保护条例》第13条(信息提供义务)的豁免范围。即在数据处理不太可能造成高风险,且有合理理由推定数据主体已经获知数据控制者的身份、详细联络信息和处理目的的情况下,可以免予履行相关信息提供义务。
- 确认为存档、科学研究或统计目的而进行的数据处理符合《通用数据保护条例》第5条第1款b项的兼容性要求。即在满足《通用数据保护条例》第89(1)条规定的保障措施(包括在可能的情况下进行匿名化或假名化处理)的前提下,存档、科学研究或统计目的可以与其原始收集目的兼容。此外,“科学研究”的定义也得到了澄清。
- 简化了数据泄露和网络安全事件的报告流程。具体措施包括提高数据泄露通报标准(仅限于高风险事件),将报告期限从72小时延长至96小时,以及将欧盟网络安全局(ENISA)作为欧盟的试点统一报告门户,受理《通用数据保护条例》以及NIS2指令、《数字运营弹性法案》、《电子身份识别、验证和信任服务条例》(eIDAS)和《关键实体弹性指令》范畴下的安全事件。该报告门户将在《数字综合法案》生效后18个月内启用。
- 简化cookie规则。将《电子隐私指令》中的相关规则纳入《通用数据保护条例》框架。将使用涉及个人数据的cookie的法律依据与《通用数据保护条例》的法律依据统一。虽然征得同意仍是存储或访问终端设备信息(包括cookie)的默认要求,但《数字立法综合法案》将引入一个封闭式清单,列出低风险目的,出于这些目的进行的此类存储或访问及任何后续处理可豁免同意要求。这将用《通用数据保护条例》规范逻辑内部的框架,取代当前基于《电子隐私指令》的更为分散的处理方式。创建一个技术框架,使同意、拒绝和反对能够通过自动化的、机器可读的信号来表达,且控制者必须遵守这些信号,并要求非中小型企业的浏览器提供商支持这些信号。
《数字综合法案》中与人工智能最为相关的内容
对《人工智能法案》提出的拟议修订包括:
- 高风险人工智能系统将适用新的欧盟规则合规时限。《人工智能法案》附件三所列高风险人工智能系统将在2027年12月2日之前履行合规义务。对于附件一中适用特定行业产品法规的高风险人工智能系统,其合规截止日期为2028年8月2日。但是,如果欧盟委员会认定相关必要标准、通用规范或指导文件均已就绪,相关规则可提前生效:对于附件三高风险人工智能系统而言,生效时间为前述决定做出六个月后;对于附件一高风险人工智能系统而言,生效时间为决定作出十二个月后。
- 取消附件三中非高风险人工智能系统的注册要求。目前,企业即使判定其系统不属于高风险类别,也必须在欧盟数据库中进行注册。
- 允许处理《通用数据保护条例》第9条中规定的特殊类别个人数据,以消除AI系统偏见。《关于人工智能的数字综合法案》将消除偏见的豁免适用范围从高风险人工智能系统扩展至其他类型的人工智能系统和模型。
- 将人工智能素养义务从企业转移至欧盟委员会和欧盟成员国,取消了针对人工智能提供方与部署方的直接义务规定。
- 强化欧盟人工智能办公室对符合下列条件的基于通用模型的人工智能系统的监管权限:模型与系统由同一提供商提供,且人工智能系统已被整合在特大型在线平台和特大型在线搜索引擎中,但其中不包括与附件一产品相关的人工智能系统。
- 扩大人工智能监管沙盒的使用,具体措施包括授权人工智能办公室针对在其监督管理范围内的人工智能系统设立欧盟层面的监管沙盒,以及强化成员国沙盒间的跨境合作要求。同时扩展现实环境测试框架,允许对更多类别的高风险系统进行此类测试。
《数字综合法案》中与《数据法案》最为相关的内容
《数据法案》的拟议修订案旨在为实体制定更强有力的保障措施,并提高数据治理的透明度。当存在重大的商业秘密滥用风险时,特别是在保护力度较弱的司法辖区,相关企业将有权拒绝共享数据。企业向政府提出数据请求的情形将从“特殊需求”收窄至严格界定的“公共紧急状态”,微型企业和小型企业将有权享受合规成本补偿。同时,三套现行法规,即《非个人数据自由流通条例》、《数据治理法案》和《开放数据指令》,将整合纳入《数据法案》,为公共部门信息再利用建立一套统一、协调的框架。
此外,数据中介服务的强制认证制度将转为自愿认证体系,并建立欧盟认可数据中介服务提供商及认可数据利他组织的登记册。通过移除对智能合约提供商必须遵守特定核心要素的义务要求,消除智能合约的法律不确定性。
最后,《数字综合法案》还降低了定制化服务及中小企业供应商的云切换负担,但前提是相关合同已在2025年9月12日或之前签订。亟需采取行动
《数字综合法案》仍需获得欧盟委员会、欧洲议会及欧盟理事会的批准。企业应预期到,该法案旨在做出细化调整而非根本性变革。但是,企业最好评估自身相关流程,以降低和缓解相应的不合规风险及监管风险。
四项要点
- 《通用数据保护条例》与人工智能训练正在重新平衡,而非放松监管。提案明确了欧盟个人数据(包括某些特殊类别数据)将如何用于开发和运行人工智能系统,并为部分特定主体收窄了“个人数据”的概念。这既带来了机遇(人工智能开发将更为便捷),也提出了新的合规要求。
- 高风险人工智能赢得了更多的准备时间,但监管标准依然严苛。合规期限的延后和义务要求的放宽虽争取到了更多时间,但并不意味着免除监管。面向欧盟市场的供应商和部署方应持续推进《人工智能法案》合规计划,利用额外时间优先处理高风险系统,并完善文档记录与测试流程。
- 事件报告、cookie管理及数据保护影响评估(“DPIA”)制度终将趋于可控。从中期来看,统一的事件报告受理点、协调一致的DPIA触发机制以及更加务实的cookie规则应该可以减少一些阻碍,但过渡期复杂性在所难免。企业应预判相关系统及流程变化,以充分利用这些简化措施。
- 欧盟此举旨在打造更具“竞争力”的数字监管规则体系,而非放弃执法。《数字综合法案》虽定位为提升竞争力与简化流程的举措(尤其涉及人工智能领域),但现行数字法规(特别是《通用数据保护条例》、《人工智能法案》、《数据法案》、《网络和信息系统安全指令2.0》和《数字运营弹性法案》)的执法工作仍将继续。尤其对于在欧盟境内或面向欧盟运营的境外企业,应将此转变视为优化其欧盟合规体系的战略契机,而非停滞不前的借口。
众达出版物不应被视为针对某事件或情形发表的法律意见。众达出版物旨在为读者提供一般信息。未经众达书面同意,任何人不得在其它出版物或诉讼中引用或引述众达出版物的内容。众达保留批准他人引用或引述众达出版物内容的权利。如需申请众达出版物的转载许可,请使用众达网站(www.jonesday.com)上的“联系我们”表格。众达发表出版物的目的并非试图与读者建立律师和客户的服务关系;读者收到众达出版物也不表示律所与读者之间会构成律师和客户的关系。众达出版物中的观点仅属于作者的个人观点,并不一定代表律所的观点。
