達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

歐盟《數位綜合法案》提案：全面簡化資料、隱私與AI治理框架，提升企業競爭力

歐盟委員會(European Commission)於2025年11月19日發布數位綜合法案(Digital Omnibus, COM(2025) 837 final)之提案。該提案旨在透過修正多部既存數位法規，簡化、澄清並整合歐盟的數位立法框架，進而降低企業、公務機關和公民的行政負擔與合規成本，並增強歐盟的全球競爭力。以下將摘要該提案於資料、資安及AI相關法案之修正重點：

一、對《資料法》（Data Act）的修正提案摘要：

• 雲端服務轉換規則之鬆綁：針對中小企業 (SMEs)、小型中階市值公司(SMCs)以及提供客製化數據處理服務的業者，提供雲端服務轉換規則的豁免。
• 簡化資料中介服務：取消對資料中介服務提供者的強制註冊與標示規定，藉此降低市場進入門檻，促進資料中介服務市場的發展。
• 優化資料利他框架：降低「資料利他主義框架」的複雜度，讓基於公共利益目的的資料共享行為能更為簡便。
• 統一公部門資料規範：整合並統一公部門所持有資料的相關規範，以利支持歐盟的資料驅動型創新。
• 釐清B2G資料共享界線：限制並釐清「企業對政府(B2G)」資料共享規定的適用範圍，確保政府僅在緊急狀況（如重大水災或疫情）下才能取得所需資料，避免企業在非緊急時承擔額外的共享義務。歐盟委員會預期這項修訂每年能為企業節省約2,000萬歐元，並減少法規的不確定性與合規成本。

二、對GDPR的修正提案摘要：

（一）定義釐清

1. 個人資料：若某一資料控制者（controller）以其「合理可行的手段」無法識別特定自然人，則該資料對該控制者而言不構成個人資料。即使其他主體能識別該自然人，對於控制者而言，也不會使該資料自動成為個人資料。
2. 科學研究：係指任何足以支持創新的研究，例如技術發展。這些行爲必須對既有的科學知識有所貢獻，或以新穎的方式應用既有知識；進行研究的目的必須是為了提升社會的整體知識和福祉，並且要遵守相關研究領域的倫理規範。其中亦包含同時以追求商業利益為目標之研究。

（二）對控制者規範之釐清與簡化

1. 假名化資料：歐盟委員會與歐洲個人資料保護委員會EDPB得制定判斷標準，用以確定何種情況下假名化資料非屬個人資料。
2. 資料保護影響評估(DPIA)規範一致化：透過授權EDPB制定統一的DPIA清單、共同範本及方法論，簡化並統一歐盟各成員國對於高風險資料處理活動之認定標準，減少企業在不同成員國的合規差異和負擔。
3. EDPB須提出統一的資料外洩通報表範本。

（三）新增涉及AI訓練目的的個資保護規範

1. 明定科學研究屬於GDPR第6條第1項(f)款所稱的合法利益（legitimate interest）：確立科學研究係GDPR中處理個人資料之合法利益，然資料控制者不能因此免除遵守GDPR中規定的其他責任和保護原則（例如，確保資料處理的必要性、實施適當的保障措施、進行利益衡量等）
2. AI訓練資料集中「意外殘留」的特殊類別個人資料，可被例外允許：由於AI資料集可能意外包含敏感的特殊類別個人資料，為了避免GDPR規定扼殺AI創新，建議在符合特定條件下（例如考慮控制者移除資料的能力），允許例外可對這些資料進行處理。

（四）Cookie規定重大變革

1. 將傳統上由《電子隱私指令》處理的終端設備存取數據（如Cookie）的同意要求，明確納入GDPR，以統一規範（Article 88a）。​​​
2. 讓使用者能透過瀏覽器設定等方式，以機器可讀的方式統一表達其隱私偏好（例如拒絕或接受 Cookie），網站則必須自動識別並遵守這些偏好（Article 88b）。

​​​​​​​三、對AI法的修正提案摘要

（一）導入簡化措施

• 將履行法定義務（如簡化技術文件）的簡化方式，適用範圍從中小型企業（SMEs）擴大到小型中階市值公司（SMCs）。​​​​​​​
• 要求委員會和成員國應提升AI素養並提供持續支援，而非要求業者執行不明確或過度抽象的義務。
• 若AI系統使用於高風險領域中「非高風險任務」，該系統可豁免於高風險AI系統的嚴格合規要求，僅需履行簡化的註冊義務。

​​​​​​​（二）強化治理體系​​​​​​​

• 針對基於大模型（GPAI）的AI系統，監管將集中於AI Office，減少跨國、跨主管機關的不一致。
• 大型線上平台與搜尋引擎內部使用的AI監管亦集中由AI Office主管，提升一致性與效率​​​​​​​。

​​​​​​​（三）擴大創新與合規支援

• ​​​​​​​允許在適當保護措施下，處理特殊類別個人資料，以進行偏差偵測和校正。
• 擴大AI監管沙盒和實際環境測試的使用，並計畫從2028年設立歐盟層級的監管沙盒。

​​​​​​​（四）改善作業流程與程序

• 釐清AI Act 與其他歐盟法規的關係。
• 簡化相關程序，使市場上能更快有足夠的合格評估機構提供認證服務​​​​​​​。

​​​​​​​資料來源：

• https://digital-strategy.ec.europa.eu/en/faqs/digital-package
• https://digital-strategy.ec.europa.eu/en/news/simpler-eu-digital-rules-and-new-digital-wallets-save-billions-businesses-and-boost-innovation