2025 年 11 月 19 日,歐盟執行委員會(European Commission)公布了《數位綜合法案》(Digital Omnibus)提案,旨在修改歐洲數位資料治理制度的部分內容。
該提案旨在透過減輕企業的行政及合規負擔、簡化法律及監管架構,以及支持創新,以促進歐洲整體的競爭力及經濟成長。
數位綜合法案的主要提案
主要建議變更包括:
- 將歐盟資料保護相關法規整合至《資料法》(Data Act)及《一般資料保護規則》(GDPR)架構內,藉此簡化企業的法規遵循要求。
- 可能修改「個人資料(Personal Data)」的定義,使資料僅於相關資料控制者(Controller)能夠依據該資料識別特定個人時,方被視為個人資料。
- 擴大處理個人資料的合法依據(Lawful Bases),納入為開發人工智慧(AI)系統而使用個人資料的情形。
- 資料當事人存取請求(Data Subject Access Requests,DSARs)——若 DSAR 被認定為過度、重複,或其目的並非保護資料當事人的個人資料,資料控制者可收取合理費用或拒絕處理該請求。
- 資料外洩(Data Breach)——若資料外洩可能對自然人的權利及自由造成高度風險,資料控制者必須於 96 小時內透過新的單一通報管道通知其主管監管機關(Supervisory Authority)。
- Cookies 管理制度將更加簡化,透過一鍵式中央偏好設定(One-click Central Setting),減少 Cookie 橫幅(Cookie Banner)造成的使用者疲勞。
為《數位綜合法案》變革做好準備
目前上述提案尚未定案,但企業可開始規劃,以便於相關修法正式生效時順利完成過渡。
- 檢視現行 GDPR 及 ePrivacy(電子隱私)政策,確保其內容完善並符合現行法規要求。
- 處理資料外洩或網路安全事件時,事前準備至關重要,因此建議企業建立完善的資料外洩應變計畫(Breach Response Plan)。
- 企業亦應充分了解如何回應資料當事人存取請求(DSAR),並確保相關員工接受適當培訓。
建議修法後續時程
截至 2026 年 5 月,歐洲議會(European Parliament)、歐盟理事會(Council)及歐盟執行委員會(Commission)仍持續就《數位綜合法案》涉及的資料隱私內容進行討論,目前尚未完成任何法規或法律修訂。
然而,視後續協商進展而定,其中部分變更仍有可能於今年年底前正式實施。
3CS 如何提供協助
我們建議您檢視現有的資料處理文件、治理制度及實務作業,以評估是否需要因應上述變更而進行修訂或更新。
我們具備協助客戶了解其資料隱私義務的豐富經驗,並協助企業依據 GDPR 及 UK GDPR 等法規採取適當措施以確保合規,因此可協助您完成相關評估。
我們亦定期為企業提供員工教育訓練及工作坊,進行隱私法規遵循稽核,並協助擬定各項文件,包括隱私政策及隱私聲明、資料處理活動紀錄(Records of Processing Activities)、個人資料跨境移轉合約及 Cookies 政策。
此外,我們亦提供資料外洩事件管理及資料當事人存取請求(DSAR)回應相關法律建議。
如需進一步建議或指引,歡迎與我們聯絡。




