来源:卓纬律师事务所,作者:李诘、方云竹。
一、Digital Omnibus简介
2025年9月16日,欧盟委员会发布有关《数字综合法案》(“Digital Omnibus”或“提案”)的声明[1],拟对现有数字监管框架进行系统性简化,重点聚焦数据治理、网络安全与人工智能等核心领域。该项工作旨在回应近年来欧盟数字立法体系规则叠加、制度碎片化所带来的合规复杂性上升与企业负担加重问题。2025年11月19日,欧盟委员会进一步公布两项简化提案文本,分别涉及《通用数据保护条例》(“GDPR”)[2]与《人工智能法》(“AIA”)[3]的修订方向。
总的来说,Digital Omnibus并非监管放松,而是试图通过精简程序、统一规则与比例化义务,从而实现更低成本的合规路径;其本质亦并非一部全新的超级法案,而是一揽子横向修订与协调提案,涉及GDPR、AIA,并与DSA、DMA等数字立法形成制度背景呼应。
本文将从Digital Omnibus的形成背景与政策动因出发,梳理其在GDPR与AIA两部核心法规中的主要简化方向,并进一步评估该提案可能带来的制度影响及合规实践变化。最后,针对全球化企业(特别是出海欧盟市场的中国企业),结合数据密集型与人工智能相关行业的现实需求,本文将对Digital Omnibus的未来走向及其潜在的跨境合规挑战作出初步分析与提示。
二、Digital Omnibus为何形成
在理解Digital Omnibus的具体制度设计之前,有必要首先回到其形成背景与政策语境本身。该提案并非孤立的立法修补,而是欧盟数字治理体系在持续高密度运行多年后,对自身监管结构、执行成本与竞争力影响进行反思和调整的结果。无论是数字立法的快速叠加,还是人工智能监管在实践中暴露出的问题,均为简化议题走向制度中心奠定了现实基础。
(一)简化的背景:高度密集的欧盟数字监管体系
过去八至十年间,欧盟在数字治理领域持续推进系统性立法,逐步构建起全球范围内最为密集、覆盖面最广、同时也最为复杂的数字监管体系。围绕数据、平台、人工智能与数字市场运行规则,欧盟形成了被广泛称为“数字规则手册”(Digital Rulebook)[4]的一整套法律框架。
在核心数字立法层面,自2018年《通用数据保护条例》(GDPR)生效以来,欧盟相继出台《数字服务法》(DSA)、《数字市场法》(DMA)、《数据治理法》(DGA)、《数据法》(Data Act)以及《人工智能法》(AIA)等多部重要法规,分别从个人数据保护、平台责任、竞争秩序、数据流通与人工智能风险治理等不同维度,对数字经济活动施加规范性约束。与此同时,传统法律制度亦在持续经历数字化重构:消费者保护、合同法、电子隐私、支付与金融服务等既有制度,均在适用范围、义务设计与执法机制上不断被纳入数字化情境加以调整,使企业在合规实践中需要同时应对横向叠加的多重规则体系。在此基础上,欧盟拟进一步叠加以技术主权与系统安全为导向的新型战略性立法,例如芯片法案、网络韧性法案、网络安全相关法规,以及拟议中的数字公平法。
这种持续扩张的监管版图,虽然在制度设计上体现了欧盟对高标准保护的坚持,但也逐渐暴露出规则重叠、适用主体复杂、执行难度上升等结构性问题。随着合规成本显著增加,“简化”不再仅是企业层面的现实诉求,更是欧盟自身在制度可执行性与竞争力之间必须正面回应的治理议题。
(二)简化的成因:从政策信号到制度转向的五个关键节点
Digital Omnibus的提出并非偶然,而是在欧盟面临多重结构性压力背景下逐步形成的政策选择,其形成过程可沿时间脉络加以理解:
- 2023年10月12日,法国与德国在联合政策文件中[5]提出,在不削弱欧洲高标准监管的前提下系统性减少法规与行政负担,特别是跨境合规与报告义务,并倡议在欧盟层面整体降低25%的行政负担,同时对中小企业给予额外减负支持。这一政治信号被普遍视为欧盟数字立法开始进行制度性校准的重要起点。
- 在2023年下半年AIA立法协商阶段,随着通用大模型的快速发展,原有风险分级监管框架受到冲击,欧盟委员会、理事会与议会之间围绕生成式人工智能监管范围与义务强度产生显著分歧[6]。最终通过的法案在一定程度上依赖模糊条款与分级义务维持政治妥协,但也客观增加了规则不确定性与未来合规成本。
- 2024年9月发布的《欧洲竞争力的未来》[7](“Draghi报告”)将监管简化正式提升为欧洲竞争力战略议题。报告指出,GDPR与AIA等复杂监管体系已对企业创新与全球竞争力产生实质影响,并呼吁对既有数字法规进行系统性简化。
- 欧盟委员会于2025年1月发布《竞争力指南针》[8],在战略层面确立通过综合性立法(Omnibus proposals)减少行政负担、提升规则一致性与可执行性的路径,并提出总体减少行政负担25%、中小企业35%的量化目标。
- 在2024年美国大选后的跨大西洋政治经济环境变化中,欧盟数字监管也承受来自美国政府与科技企业关于“监管过重抑制创新”的外部压力,进一步推动欧盟在坚持高标准监管的同时,通过制度简化调整监管节奏与强度[9]。
总体而言,Digital Omnibus的提出,并非单纯意味着欧盟放弃其一贯坚持的高标准数字监管取向,而是在监管密集化、技术快速演进与外部竞争压力交织的背景下,对既有治理模式所做出的结构性调整。
三、Digital Omnibus核心简化内容
(一)GDPR的修订
1、个人数据定义的相对化重构
Digital Omnibus中最受关注的调整之一,是对GDPR下“个人数据”定义的相对化重构。提案拟引入一种以特定接收者为中心的判断路径,即某一信息是否构成个人数据,不再仅依据其在抽象意义上是否“可能”识别自然人,而是取决于特定数据处理主体在具体、现实条件下,是否合理可能(reasonably likely)使用其可获得的识别手段识别出相关自然人。
在现行GDPR框架下,个人数据的认定标准具有高度宽泛性与防御性:即便数据已经过假名化、加密或技术隔离处理,只要在理论上仍存在再识别的可能性,通常仍会被纳入个人数据的监管范围。这一设计在最大化保护数据主体权利的同时,也在实践中显著抬高了数据流通、共享与二次利用的合规门槛,尤其对涉及多主体协作的数据处理活动形成制度性约束。
Digital Omnibus拟通过引入明确的“接收者视角”,对当前这一边界进行重塑:若某一数据接收主体在其现实条件下并不具备合理可获得的识别能力,则相关信息对该主体而言不构成个人数据,即便同一数据在其他主体手中可能仍具有可识别性。
该修改路径在一定程度上吸收了欧盟法院既有判例所体现的裁判立场,尤其是EDPS v. SRB一案[10]中关于个人数据可识别判断的分析思路,并将其进一步明确和制度化。然而,与上述判例中相对审慎、以具体情境为核心的分析方法不同,Digital Omnibus在制度设计上进一步明确区分不同主体之间的数据法律属性,试图避免因潜在的下游再识别可能性而导致GDPR适用范围的扩张。这一立场相较既有判例显然走得更远,并可能与法院在Scania案[11]中所体现的整体风险考量逻辑相悖。需要注意的是,在多方参与、数据频繁流转的复杂生态中,这种处理方式是否会弱化对整体再识别风险的统筹考量,仍有待后续立法协商与执法实践进一步检验。以下表格总结了Digital Omnibus与欧盟经典判例逻辑的比较,便于读者速览。
2、将AI训练中的个人数据处理纳入“合法利益”
另一项具有实质影响的调整,是明确将人工智能系统的开发、训练与测试活动纳入GDPR认可的“合法利益”处理路径。提案拟通过引入GDPR第88c条作为新增条款,确认在人工智能系统开发与运行语境下,基于控制者合法利益处理个人数据,可构成第6条第1款(f)项意义上的合法依据。
在现行实践中,AI模型训练是否可以被视为数据控制者的合法利益,一直存在较大争议。部分数据保护机构倾向认为,AI训练应以数据主体同意或充分匿名化数据为前提。但对于依赖大规模公开数据进行训练的大模型而言,该路径在实践中往往难以实现。与此同时,美国、中国等主要AI发展地区普遍为模型训练提供了更大的制度弹性,也进一步放大了欧盟在该问题上的制度压力。Digital Omnibus通过制度层面回应这一现实困境,承认人工智能发展本身具有正当的商业与社会利益。不过,该放宽并非无条件:草案同时要求控制者采取适当的保障措施,例如数据最小化、假名化处理,并在使用公开数据时为数据主体提供有效的退出机制(opt-out)。
值得注意的是,实践中欧盟法院在解释GDPR第6条第1款(f)项时,一贯强调合法利益处理需要经过严格的三步审查,包括合法利益的存在、处理的必要性以及与数据主体权利之间的利益平衡(例如Meta案[14])。相比之下,将人工智能训练活动制度性纳入合法利益路径,可能在一定程度上弱化这一以个案评估为核心的审查逻辑。
总体来看,这一修改显著拓宽了AI训练中个人数据使用的法律空间,并在一定程度上可能提升了监管机构在评估合法利益平衡测试以及相关技术保障措施时的技术门槛。但是,这一修改与GDPR既有原则体系和欧盟法院判例之间的衔接,仍有待未来执法与司法实践进一步检验。
3、限制数据主体访问权的边界
Digital Omnibus还对GDPR下的数据主体访问权(Data Subject Access Request, “DSAR”)提出重要调整,旨在为数据控制者应对滥用型访问请求提供更明确的法律依据。根据提案文本,当数据主体明显将访问权用于“非数据保护目的”时,例如在劳动争议、民事诉讼或谈判中获取证据,数据控制者可以拒绝请求或收取合理费用。该修改旨在应对实践中所谓“滥用型DSAR”的问题。
然而,欧盟法院既有判例(例如Pankki S案[15]、FT案[16]以及Brillen Rottler案[17])普遍认为,访问权的行使不取决于数据主体的请求目的或具体情境,以下表格对欧盟典型案例进行了总结,显示本次提案可能与既有判例形成冲突。
从更广泛的宪法层面来看,GDPR第15条实际上落实了《欧盟基本权利宪章》(“Charter”)第8条第2款所确立的个人数据访问权。欧盟法院在既有判例中通常将该权利视为一项“独立性权利”(free-standing right),其行使并不附带特定目的限制。因此,如果Digital Omnibus最终引入以“数据保护目的”为前提的访问权限制,相关规定的合宪性可能需要接受Charter第52条所要求的比例性审查。
在以上背景下,该提案与欧盟法院既有判例之间的协调关系,未来仍有待进一步观察。
(二)AIA的修订
1、延后高风险AI系统合规期限
提案针对AIA中高风险人工智能系统的合规生效时间做出关键调整,通过延后合规期限并明确倒计时触发条件,回应当前技术标准缺位所带来的制度不确定性。原定于2026年8月开始适用的高风险AI系统合规义务,将整体推迟至2027年12月之后,部分涉及医疗器械、航空等高度敏感领域的产品型AI系统,合规期限甚至可能延至2028年8月。
在现行AIA框架下,高风险AI系统的合规路径在很大程度上依赖于协调标准(harmonised standards)或通用规范(common specifications)。一旦企业能够证明其系统符合相关技术标准,即可推定其满足法案的实质性要求,从而避免逐项论证各项合规义务。然而,截至目前,上述协调标准尚未正式发布,企业在实践中面临无标可依的现实困境,难以有效开展合规准备。
为解决这一问题,Digital Omnibus提案拟将高风险AI系统义务的适用时间与技术规范的可获得性直接挂钩。提案明确,只有在欧盟委员会通过决定确认相关协调标准、通用规范或指导文件已经制定并足以支持遵守AIA第三章(高风险AI系统)的要求时,相关合规义务的倒计时才会正式启动。通过这一机制,立法者试图在保障监管目标的同时,为企业提供更具可预测性的合规过渡期。
2、减轻中小企业合规负担
提案在AIA既有框架基础上,进一步系统性地减轻中小企业在人工智能合规方面的负担,通过简化文档义务、风险管理要求及部分配套规则,为中小企业释放更多创新空间。根据欧盟委员会的评估,该系列措施预计可为中小企业每年节省至少2.25亿欧元的持续合规成本,并减少约15亿欧元的一次性合规投入。
在具体制度设计上,提案通过修订AIA第1条相关条款,明确将促进创新的政策重点扩展至微型、小型和中型企业(micro, small and medium-sized enterprises, SMEs)、小型中型企业(small mid-cap enterprises, SMCs)以及初创企业[18]。同时,在处罚机制方面,提案要求成员国在实施制裁时充分考虑中小企业的经济可行性与承受能力,以确保执法在有效性与公平性之间取得适当平衡。
相较于传统意义上的SMEs,SMCs通常具备更强的增长潜力与数字化能力,但在面对AIA所设定的复杂合规义务时,其所承受的制度压力在结构上并不明显低于SMEs。基于这一现实考量,Digital Omnibus在保留原有针对SMEs的支持机制基础上,将部分扶持措施有针对性地扩展至SMCs,尤其是处于成长阶段且具有较强创新潜力的企业。该调整在一定程度上体现了比例原则在AI监管中的进一步落实,旨在避免过高的合规成本抑制具有潜在竞争力的技术主体进入或扩展市场,从而在监管与创新之间寻求更为合理的平衡。
3、扩大AI办公室的权力
提案拟进一步扩大欧盟人工智能办公室(AI Office)的职权,以强化欧盟层面的集中监管能力。在现行制度框架下,AIA的执法主要由成员国主管机构负责,欧盟委员会则侧重于协调与指导。本次修订在特定情形下赋予欧盟层面更为直接的监管权限,从而在一定程度上改变当前以成员国执法为主导的监管结构。
根据提案,除已受特定行业立法规制的产品外,欧盟人工智能办公室将对通用人工智能模型(GPAI)及基于同一模型开发的系统,以及集成于超大型在线平台或搜索引擎中的人工智能系统,行使更为集中的监管权力。AI Office不仅可以要求相关主体提交合规文件,还将负责监督上市前合规评估,并在必要时实施执法与处罚措施。该制度安排意味着,大型人工智能开发者及主要数字平台在未来将更多直接面对单一的泛欧层级监管机构,从而在形式上提升监管的一致性与可预期性。
然而,需要注意的是,此类“简化”措施在实践中也可能伴随着更高强度的监管要求。尤其是在通用人工智能系统的监管权力由执法资源相对有限的成员国机构集中至欧盟人工智能办公室之后,其监管深度与执法能力可能显著增强。因此,该项调整是否在整体上构成真正意义上的监管简化,仍有赖于未来制度运行效果及具体执法实践的进一步观察。
四、未来走向与对全球化企业的可能影响
(一)对提案后续发展的预测
从立法进展来看,Digital Omnibus提案目前仍停留在欧盟委员会内部定稿与反馈阶段[19],但在不同政策领域呈现出明显不同的推进节奏。
就人工智能监管而言,相关修订已取得较为实质性的进展。2026年2月5日,欧洲议会内部市场与消费者保护委员会(IMCO)和公民自由委员会(LIBE)联合发布了关于Digital Omnibus on AIA的Draft Report[20],并在普通立法程序的一读阶段形成了议会初步立场。该报告围绕AIA的实施问题提出了一系列技术性调整,例如将部分高风险人工智能系统义务的适用日期分别推迟至2027年12月和2028年8月,并对人工智能办公室在通用目的人工智能(GPAI)系统监管中的角色作出进一步强化。这类修改总体上被视为对AIA实施阶段现实问题的“制度性修补”,主要回应协调标准尚未出台、企业合规准备不足等实际困难,因此在成员国和产业界之间较容易形成政策共识。
相比之下,涉及GDPR及数据保护框架的修改则面临更大的制度争议和政治不确定性。相关提案触及个人数据定义、数据主体访问权范围以及人工智能训练中的合法利益基础等核心制度问题,这些内容不仅关系到GDPR所确立的基本权利保护结构,也直接涉及《欧盟基本权利宪章》所保障的隐私与数据保护权利。在成员国层面,各国对数据治理与创新之间的平衡本就存在明显差异,而在欧洲议会层面,这类调整也更容易引发来自数据保护机构、学界及公民社会组织的集中审议。由于这些问题涉及欧盟数据保护体系的基础原则,相关条款在后续立法协商中很可能面临较为深入的讨论与多轮修订,甚至不排除在法规通过或实施之后引发司法审查或诉讼挑战的可能性。因此,与相对技术性的AIA调整相比,GDPR相关修改在未来立法过程中的不确定性显然更高。
(二)对全球化企业的可能影响
从企业影响的角度看,不同类型企业可能面临差异化的合规环境:
对于欧盟本土企业及美国在欧运营的科技企业而言,提案中的部分“简化”安排,可能在合法利益论证、数据分类界定及合规流程上提供更大的灵活空间;而对于中国等非欧盟企业,尤其是从事人工智能和数据密集型业务的出海企业而言,合规挑战则更可能集中在欧盟“去风险”导向下的额外要求和更严格的隐性监管,例如数据本地化、训练数据来源审查以及跨境数据流动中新旧规则的衔接问题,如何在制度尚未完全定型的背景下,应对这种结构性分化,将成为跨境数据合规实践中的核心议题。
(三)中国出海企业的特别提醒——欧盟“内松外紧”的合规新格局
需要警惕的是,欧盟当前推动的数字监管“简化”,在对内简化的同时,正在逐步形成一种对外更具选择性和安全化取向的监管结构,对中国企业极有可能产生不利影响。例如,在数据处理合法性、AI系统风险评估以及跨境数据流动等领域,监管机构的裁量空间和执法工具正在扩大。同时,高风险AI规则的阶段性调整以及监管资源配置的变化,也可能在市场竞争结构和合规实践中产生新的影响。
整体而言,欧盟数字治理正在由市场逻辑向安全逻辑转向,中国出海企业应清醒认识这一趋势,主动在制度尚未完全定型的阶段提前布局合规体系,以应对未来可能更加严格和集中化的监管环境。以下表格总结了重要的潜在风险点以及建议应对措施。
五、结语
总体来看,Digital Omnibus可以被视为欧盟数字法2.0时代的重要开端。在数字监管高密度运行数年之后,欧盟尝试通过制度重组与规则精简,重新平衡基本权利保护、产业竞争力与技术创新之间的关系。考虑到欧盟仍然是我国众多数字企业和人工智能企业的重要目标市场,其数字法体系的任何结构性调整,都直接关联着巨大的经济价值与长期商业布局。
尽管两项简化提案目前尚未正式通过,但其所释放的政策信号已经十分清晰:欧盟正在尝试在维持基本权利保护框架的同时,为本土人工智能产业的发展提供更多制度弹性。这一监管调整,不仅关乎欧盟自身的数字主权与产业竞争力,也将对全球人工智能治理模式产生重要影响。从更宏观的角度看,该提案亦反映出欧盟在产业竞争与地缘政治压力下,对“布鲁塞尔效应”单向规则输出模式的现实修正,其数字监管正在进入更强调战略缓冲与可执行性的再平衡阶段。
在此背景下,对于出海欧盟、并可能触发GDPR和AIA适用的中国企业而言,持续关注并理解这一轮简化提案的走向,并据此提前调整合规策略,已不再只是短期合规问题,而是长期竞争策略的一部分。“简化”绝不等于“放松”,相反,及早识别规则变化、主动参与合规路径设计,既是降低法律风险的关键,也是在全球数字市场竞争中抢占先机的重要机会。
注释:
[1]https://digital-strategy.ec.europa.eu/en/news/commission-collects-feedback-simplify-rules-data-cybersecurity-and-artificial-intelligence-upcoming
[2]《关于简化数字立法框架的提案》(Proposal for Regulation on simplification of the digital legislation):针对个人数据保护和数据权属的法律,特别是《通用数据保护条例》(GDPR)的修改提议。https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
[3]《关于简化人工智能规则的提案》(Proposal for Regulation on simplification for AI rules):针对《人工智能法》(AIA)的修改提议。https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
[4]https://digital-strategy.ec.europa.eu/en/policies/digital-rulebook
[5]https://presse.economie.gouv.fr/12102023-reducing-bureaucracy-in-these-unprecedented-times-french-german-paper-on-better-regulation-and-modern-administration-in-europe/
[6]AIA的最初提案于2021年由欧盟委员会提出,当时文本并未专门涉及通用人工智能(GenAI)或基础模型(foundation models)的监管要求。然而,随着ChatGPT等通用大模型的快速发展,在三方会谈阶段,围绕GenAI的监管争论逐渐升温,并成为议会、理事会和委员会之间的主要分歧点之一。不同机构在如何定义、分级和施加义务方面存在显著分歧,使得谈判进程一度陷入僵局。
https://iapp.org/news/a/fate-of-eu-ai-act-faces-critical-moment-in-trilogue-negotiations
[7]https://commission.europa.eu/topics/competitiveness/draghi-report_en
[8]https://ec.europa.eu/commission/presscorner/detail/en/ip_25_339
[9]https://www.theguardian.com/world/2025/nov/07/european-commission-ai-artificial-intelligence-act-trump-administration-tech-business
[10]C-413/23 P, European Data Protection Supervisor v Single Resolution Board, §77:
“As regards Deloitte, to which the SRB transmitted pseudonymised comments, the technical and organisational measures referred to in Article 3(6) of Regulation 2018/1725 may, as the SRB essentially submits, have the effect that, for that company, those comments are not personal in nature. However, that presupposes, first, that Deloitte is not in a position to lift those measures during any processing of the comments which is carried out under its control. Second, those measures must in fact be such as to prevent Deloitte from attributing those comments to the data subject including by recourse to other means of identification such as cross-checking with other factors, in such a way that, for the company, the person concerned is not or is no longer identifiable.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62023CJ0413
[11]C-319/22, Gesamtverband Autoteile-Handel e.V. v Scania CV AB, §49:
“As the Advocate General observed in points 34 and 41 of his Opinion, where independent operators may reasonably have at their disposal the means enabling them to link a VIN to an identified or identifiable natural person, which it is for the referring court to determine, that VIN constitutes personal data for them, within the meaning of Article 4(1) of the GDPR, and, indirectly, for the vehicle manufacturers making it available, even if the VIN is not, in itself, personal data for them, and is not personal data for them in particular where the vehicle to which the VIN has been assigned does not belong to a natural person.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62022CJ0319
[12]C-582/14, Patrick Breyer v Bundesrepublik Deutschland, §47:
“Although the referring court states in its order for reference that German law does not allow the internet service provider to transmit directly to the online media services provider the additional data necessary for the identification of the data subject, it seems however, subject to verifications to be made in that regard by the referring court that, in particular, in the event of cyber attacks legal channels exist so that the online media services provider is able to contact the competent authority, so that the latter can take the steps necessary to obtain that information from the internet service provider and to bring criminal proceedings.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62014CJ0582
[13]C-604/22, IAB Europe v Gegevensbeschermingsautoriteit., §48:
“Moreover, it is apparent from the documents before the Court, and in particular from the decision of 2 February 2022, that the members of IAB Europe are required to provide that organisation, at its request, with all the information allowing it to identify the users whose data are the subject of a TC String.
It therefore appears, subject to the verifications which are for the referring court to carry out in that regard, that IAB Europe has, in accordance with what is stated in recital 26 of the GDPR, reasonable means allowing it to identify a particular natural person from a TC String, on the basis of the information which its members and other organisations participating in the TCF are required to provide to it.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62022CJ0604
[14]C-252/21, Meta Platforms Inc and Others v Bundeskartellamt, §106:
“As the Court has already held, that provision lays down three cumulative conditions so that the processing of personal data covered by that provision is lawful, namely, first, the pursuit of a legitimate interest by the data controller or by a third party; second, the need to process personal data for the purposes of the legitimate interests pursued; and third, that the interests or fundamental freedoms and rights of the person concerned by the data protection do not take precedence over the legitimate interest of the controller or of a third party (judgment of 17 June 2021, M.I.C.M., C-597/19, EU:C:2021:492, paragraph 106 and the case-law cited).”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62021CJ0252
[15]C-579/21, Proceedings brought by J.M., §88:
“As regards, secondly, the fact that J.M. was both a customer and an employee of Pankki S, it should be noted that, having regard not only to the objectives of the GDPR but also to the scope of the data subject’s right of access, as recalled in paragraphs 49 and 55 to 59 above, the context in which that data subject requests access to the information referred to in Article 15(1) of the GDPR cannot have any influence on the scope of that right.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CJ0579
[16]C-307/22, FT v DW., §38 & §43:
“It must be pointed out that neither the wording of Article 12(5) of the GDPR nor that of Article 15(1) and (3) thereof make the provision, free of charge, of a first copy of personal data conditional upon data subjects putting forward reasons to justify their requests. Therefore, those provisions do not give the controller the possibility of demanding that reasons be given for the request for access submitted by the data subject.”
“Given that, as can be seen from paragraph 38 of the present judgment, the data subject is not required to state the reasons for the request for access to data, the first sentence of recital 63 of the GDPR cannot be interpreted as meaning that that request must be rejected if it concerns an objective other than that of becoming aware of the processing of data and verifying the lawfulness of that processing. That recital cannot restrict the scope of Article 15(3) of that regulation as recalled in paragraph 35 of the present judgment.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62022CJ0307
[17]C-526/24, Brillen Rottler GmbH & Co. KG v TC, §55:
“In the light of the foregoing considerations, I propose that the answer to the first, second, third and seventh questions referred should be that the second sentence of Article 12(5) of the GDPR should be interpreted as meaning that:
- an initial access request, made under Article 15 of the GDPR to a controller, can be characterised as ‘excessive’ when the controller demonstrates, taking into account all the relevant circumstances of the case, an abusive intention on the part of the data subject, such an intention being found when that person has consented to the processing of his or her personal data to be able to submit that access request and then claim compensation;
- the mere fact that it appears from publicly available information that, in the event of infringement of the law relating to the right to protection of personal data, the data subject has asserted in a large number of cases his or her right to compensation against the controller, is not sufficient to characterise such a request as ‘excessive’.”
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62024CC0526&qid=1773127853879
[18]在欧盟监管框架下,微中小企业(SMEs)通常指职工人数少于250人,且年营业额不超过5000万欧元或年度资产负债表总额不超过4300万欧元的企业;而中小企业(SMCs)则一般指职工人数少于750人、且年营业额不超过1.5亿欧元或资产负债表总额不超过1.29亿欧元的企业。
[19]https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14855-Simplification-digital-package-and-omnibus_en
[20]https://www.europarl.europa.eu/doceo/document/CJ40-PR-782530_EN.pdf
来源:卓纬律师事务所
作者:
- 李诘,合伙人;执业领域:跨境投资与并购、政府事务与合规、数据安全与隐私保护、知识产权;联系方式:8621 6859 0516,joseph.j.li@chancebridge.com
- 方云竹,律师助理;执业领域:公司治理与跨境投资、政府事务与合规、网络安全与数据保护;联系方式:8621 6859 0516,yunzhu.fang@chancebridge.com
特别声明:本微信公众号的文章仅供交流之用,不代表北京卓纬律师事务所或其律师的正式法律意见或建议。