2025 年 11 月 19 日,欧盟委员会公布了《数字综合法案》一揽子提案,拟对欧洲数字数据治理的多个方面作出调整。
这些提案旨在通过减轻企业的行政及合规负担、简化法律和监管框架,并支持创新,进一步促进欧洲市场的竞争力和经济增长。
《数字综合法案》的主要提案
拟议的主要变更包括:
- 将欧盟现有的数据法律整合至《数据法案》和《通用数据保护条例》框架下,以简化企业的监管合规要求。
- 调整个人数据的定义,仅当相关数据控制者能够依据该数据识别出自然人时,该数据才被视为个人数据。
- 扩大个人数据处理的合法依据,新增允许为开发人工智能系统而处理个人数据的合法基础。
- 数据主体访问请求(DSARs)- 如 DSAR 被认为属于过度、重复,或并非以保护数据主体个人数据为目的,数据控制者可收取合理费用,或拒绝处理该请求。
- 数据泄露 - 如数据泄露可能对自然人的权利及自由造成高风险,数据控制者必须在 96 小时内,通过新的统一数据泄露报告渠道向主管监管机构进行报告。
- Cookies 管理将进一步简化,拟引入一键式集中偏好设置功能,以减少用户频繁处理 Cookie 横幅所带来的困扰。
为《数字综合法案》的变化做好准备
虽然上述提案尚未最终确定,但企业可以从现在开始规划,以便在相关变更正式实施后能够顺利过渡。
- 审查现有的 GDPR 及电子隐私政策,确保其在现行法律框架下仍然健全且符合相关法规要求。
- 在应对数据泄露或网络安全事件时,充分准备至关重要,因此建议企业制定完善的数据泄露应急响应计划。
- 企业还应全面了解如何处理数据主体访问请求,并确保相关员工接受相应培训。
拟议变更的后续时间安排
截至 2026 年 5 月,欧洲议会、欧盟理事会及欧盟委员会仍在继续讨论《数字综合法案》中有关数据隐私的内容,目前尚未正式通过任何法律或监管修订。然而,根据后续谈判进展,其中部分变更仍有可能在今年年底前正式实施。
3CS 如何为您提供协助
我们建议企业审查现有的数据处理文件、数据治理制度及相关实践,以评估是否需要因上述变更而进行修订或更新。我们拥有丰富经验,协助客户理解其在 GDPR 及 UK GDPR 等数据保护法规下所承担的数据隐私义务,并采取相应措施确保合规,因此能够协助企业完成相关评估工作。
此外,我们亦定期为企业员工提供培训及专题研讨会,开展数据隐私合规审计,并协助起草各类数据保护文件,包括隐私政策及隐私声明、处理活动记录、跨境个人数据传输协议以及 Cookies 政策等。同时,我们亦可就数据泄露事件的处理及数据主体访问请求的应对提供专业法律意见。
如需进一步法律意见或指导,欢迎随时与我们联系。




