欧盟的竞争力危机：技术主权 、GDPR简化与数字法改革 | 治理研究

本文为Fungimind研究 基于2025年7月10日国际隐私协会IAPP的圆桌研讨会而撰写的报告。

其中涉及到欧盟行政体系的基础概念，特此提前做出解释，以帮助非专业读者更好地理解圆桌内容。

理解欧盟机构运作周期

欧盟机构大致按照五年一个周期运作，核心变更通常围绕欧洲议会选举展开。每五年举行一次欧洲议会选举，新一届议会成立后，各成员国再共同提名欧盟委员会委员，经议会听证和批准，组成新一届欧盟委员会。

这一过渡过程通常发生在选举年的下半年。例如在2024年，议会选举于6月完成，随后展开委员会组建，新一届委员会于2024年12月正式就职，任期五年（2024–2029）。

上一届欧盟委员会（2019–2024）任内，推动完成了包括《人工智能法案》（AI Act）、《数字服务法案》（DSA）、《数字市场法案》（DMA）等一系列标志性数字治理立法，为新一届委员会奠定了政策基础。

为什么要在此时进行立法盘点？

当前正值新一届欧盟委员会履职满六个月的关键节点。此时政策轮廓初步明朗，是观察委员会优先事项与政策走向的理想窗口。

欧盟新一届委员会在前几个月通常聚焦于确定战略优先级、组建执行团队、制定五年工作计划。六个月后，初步的立法提案与政策倡议逐步出台，为观察其与前任期政策的延续性或转向提供了依据。

对于企业与组织而言，这是审视新政策可能对其治理、合规与战略规划产生影响的关键时点。例如，一些领域已经从理念设计转向具体立法提案，部分政策执行路径也开始明确。

什么是“委员会议程”？

欧盟委员会议程是指新一届委员会制定的五年工作计划，包括计划推出的新法案和法规；政策目标：如提高竞争力、推进数字化转型、加强战略自主等；以及时间安排，如各项倡议的推出时间表。

同时，大家也会坐下来一同商讨跨部门的协调机制，如不同委员会部门之间的合作机制。

当前委员会的核心议程围绕“竞争力、简化、韧性”三大支柱展开，这与前任期相比体现了新的政策重点。

欧盟数字政策面临战略转型

主持人Isabelle Roccia：新一届欧盟委员会履职数月后，未来五年的政策愿景逐渐清晰。各种新倡议正在启动，治理专业人士需要关注的重点也日渐明确。

在这个关键的六个月节点，我们需要盘点最可能影响我们行业的政策倡议，解读重点关注方向，特别是它们对企业治理项目和战略定位的具体影响。

当前政策有三大驱动力：竞争力、简化、韧性。有多条工作线并行推进。一些建立在上届任期基础上，如AI法案、数据法案（9月生效）等传承项目。

委员会还拥有DSA、DMA等法律的监督执法权。同时，一些现有法律的审查条款可能带来重大政策变化。除此之外，新委员会还有相当繁忙的全新议程。

今天重点关注对数据数字政策影响最大的倡议，这些与企业治理实践直接相关。我们还将单独举办AI专题讨论。

马里奥·德拉吉的欧盟竞争力报告和Enrico Letta的单一市场报告都指出，欧盟面临严重的竞争力挑战。单一市场存在不足，规则体系的复杂性是关键障碍，在数字经济领域尤为突出。

简化需求直接源于竞争力危机。韧性考量则来自复杂的国际背景——乌克兰局势、与美国关系变化、部分成员国内政不稳——促使欧盟重新定义主权，加强战略自主。

Laura Pliauskaite：新委员会的数字事务分散在不同部门，主要包括人工智能、网络安全、云数据政策等主题。

执行副主席Hanna Kekäläinen负责技术主权、安全、民主、数字和前沿技术，承担数字事务的核心任务：制定应用AI战略、准备欧盟云和AI发展法案、提出欧洲数据联盟战略。

民主、司法、法治和消费者保护专员Michael McGrath负责开发数字公平法案，确保GDPR与其他欧盟数字政策的一致性。

一些委员从部门角度参与数字政策。内政和移民专员Magnus Brunner负责加强欧盟网络安全方法，更新数据保留规则。健康和动物福利专员Oliver Varhelyi负责制定医院和医疗保健提供者网络安全的欧洲行动计划。

这种布局意味着大量的跨部门合作。

从时间表看，新委员会任期伊始就撤回了一些前期立法文件，包括电子隐私法规和AI责任指令，认为它们不再适用。

履职七个月后，一些新倡议开始浮现：执法部门有效合法访问数据的路线图，以及首个立法提案——第四综合简化包，涉及部分GDPR简化事项。

大部分重要立法将在今年年底推出：欧盟云和AI发展法案、期待已久的数字简化综合法案、网络安全法修订。还有一些非立法项目，如欧洲数据联盟战略。委员会目前正就这些倡议进行公众咨询。

数字公平法案将在2026年第三季度提出，时间相对较晚。

技术主权是2025年科技政策关键词

Isabelle Roccia：执行副主席Kekäläinen的职务包含“技术主权”，这个概念在布鲁塞尔和整个欧盟并不新鲜，上届任期一直在讨论。但现在我们看到这一概念正从讨论转向实际行动，在多个领域产生具体影响。

主权概念的实际表现有几个方面：

首先是数据本地化和传输限制。一些此前不采取此类措施的成员国今年开始转向这一方向，这是一个重要信号。

其次是网络安全法修订。该法案今年将完成修订，核心争议是在云认证方案中纳入主权要求。这意味着云服务提供商需要满足特定的主权标准。

此外，公共采购规则也可能发生政策转变，更多向欧洲本土供应商倾斜。

这些例子表明，主权作为一个概念正在渗透到不同政策领域，对企业治理、运营和数字责任产生实质性影响。

Joe Jones：技术主权无疑是今年数字政策领域的关键词。这一概念在不同背景下呈现出不同形态，有些是我们熟悉的传统做法，有些则是全新的挑战。

传统与新变化过去我们在数据传输和本地化方面就听过主权概念，目的是在信息流动和数字技术共享方面建立秩序。但现在情况变得更加复杂。

许多企业都有复杂的全球化供应链、技术架构和风险敞口。他们需要理解主权要求在整个法规体系中的含义，而不仅仅是单一法规的要求。

从防御到攻击最具挑战性的变化是，主权不再仅仅是“防御性边界”，而是被当作“攻击武器”使用。我们今年春季调研了600名全球数字政策和业务领导者，三分之一的人认为数字技术领域的经济竞争和对抗已成为重大风险。

主权正在以更具竞争性、对抗性的方式被运用，表现在网络安全攻击、贸易关税和贸易中断等方面。

企业的巨大挑战虽然许多企业有政府事务团队跟踪这些变化，但建立内部应对机制极具挑战性，需要大量时间、精力和资金投入。

TikTok案例今天爱尔兰数据保护委员会刚刚宣布对TikTok向中国传输数据启动新调查。TikTok为应对地缘政治主权紧张局势，在欧洲推出“三叶草项目”，计划10年内投资120亿欧元实现数据本地化。

核心问题应对全球主权复杂性需要三方面能力：跟踪政策发展的能力、实施最新法规要求的专业知识，以及大量资本投入（包括数据中心等基础设施）。

问题是，主权和数字技术发展的速度远超企业适应能力。

数字公平法案：消费者保护的新篇章

引入DFA话题，DFA为Digital Fairness Act的缩写，即"数字公平法案"。

Isabelle：数字公平法案已经引发广泛期待。虽然提案要到一年多后才会发布，但它被定位为本届委员会的旗舰倡议之一。Laura，能否介绍一下我们目前了解的DFA可能的具体内容？

Laura：数字公平法案是欧盟委员会的立法提案，是为了加强数字领域的消费者保护。具体而言，委员会试图解决在线安全与消费者保护交叉领域的空白和不一致问题。

政策背景和发展历程这些问题最初在2024年10月发布的欧盟委员会数字公平适应性检查中被识别。

在这项检查中，委员会评估了现有欧盟消费者法律的有效性，包括不公平商业实践指令、消费者权利指令以及不公平合同条款指令。

委员会得出结论认为，这些法律为消费者保护奠定了坚实基础，但也发现了一些执法薄弱、缺乏澄清或新数字风险未得到充分解决的领域。这就催生了数字公平法案的构想。

今年晚些时候，欧盟委员会将发布2025年至2030年消费者议程以及配套的单一市场消费者行动计划。我们期待在这些文件中看到数字公平法案的更多详细信息。立法提案本身预计将在明年第三季度发布。

法案的核心内容目前构想中的数字公平法案将是一个综合性文件，解决多个关键问题，如下：

暗模式治理：根据欧盟委员会统计，约97%最受欧盟消费者欢迎的网站和应用程序至少包含一种暗模式。针对这个问题，委员会希望制定更具决定性和针对性的禁令。委员会将此视为系统性问题，认为现有规则的执法力度不够。

成瘾性设计实践和游戏：委员会计划改善控制机制，包括给予消费者更多控制权，可能采用默认保护方案。这里将特别关注面向儿童的服务和设计。

个性化和社交媒体影响者：在个性化方面，委员会旨在关注针对脆弱群体的定向、缺乏透明度和消费者控制，以及个性化定价等问题。在影响者方面，委员会计划解决未披露的商业合作以及有害产品推广问题。

数字订阅模式：针对一些网站让消费者难以行使取消权的问题，委员会可能将“一键取消”规则作为解决方案。

Joe分析DFA的挑战：数字公平法案涵盖的内容很多，我认为这个领域的许多人都热切期待看到其具体内容。关键问题有两个：

• 第一个问题是，在现有立法体系中存在哪些空白，DFA将如何填补这些空白？

   

• 第二个问题是，数字公平法案将如何处理与现有规则体系的重叠问题？在消费者和在线消费者体验方面，欧盟确实已有完整的立法框架。

   

我们有GDPR关于同意和透明度的规则，有DMA和DSA的新规则。实际上，我们正在看到这些不同法规如何在在线平台领域发挥作用。

一个很好的例子是目前正在进行的关于GDPR、DMA和DSA框架下交易实践的“付费同意”调查。

这为我们提供了一个现实世界的案例研究，让我们看到是否存在空白、是否有重叠，甚至可能在哪里存在监管冲突或不一致，以及对合作协调的需求。DFA将在其中发挥什么作用？

然后还要考虑国家层面和泛欧盟层面的许多其他消费者保护法律。因此，在消费者保护范围内对暗模式的监管和执法将具有一定的相关性。

我认为这将是一个非常好的案例研究时刻，让我们看到欧盟机构将如何应对数字法规的重叠性质和可能存在的空白问题。

   简化数字议程：减负增效的努力

Isabelle介绍简化议程：关于技术模式或脆弱性概念，在消费者保护意义上已有一些判例和指导原则。这些不同概念的交叉协调，对于如何在实践中实施和执行将非常重要。

数字公平法案目前正在制定中，有一些公众咨询正在进行。我们将跟踪其进展并及时更新，这绝对值得在接下来几个月重点关注。

现在转到第三个重点议题——简化，特别是数字简化综合法案。这里涉及很多内容。

简化是新任期的核心重点。这体现了欧盟委员会真正努力理解规则体系在实践中的运作方式，识别存在的摩擦和复杂性。这种认识本身就是我们以前在欧盟层面从未真正见过的。

作为总体优先事项，委员会早在2月就开始推出综合简化包，涉及不同规则、尽职调查、行政负担，旨在促进整个欧盟的商业便利化。委员会还宣布将在年底前提出数字简化综合法案。

当前认知和挑战委员会认识到，数字规则体系虽然在欧盟和欧洲经济区带来了协调统一，但确实造成了挑战和摩擦。当前工作重点是识别这些具体问题。

关于数字简化综合法案的官方信息仍然有限，但一些工作文件显示了可能的优先方向。减少所谓“使能工具”（enabling instruments是欧盟委员会使用的术语，指的是那些为其他政策和业务活动提供基础支撑的核心法律法规）的行政负担是核心优先事项。

这些使能工具包括即将出台的AI和云发展法案、GDPR、数字服务法案、数字市场法案、AI法案、欧盟网络安全法等。

委员会特别希望简化报告要求，尤其是网络安全背景下的要求。在过去，欧盟数字法律的事件通知流程复杂性极高。

欧洲数据联盟战略的关联数字简化综合法案可能与欧洲数据联盟战略讨论相关。这一策略专注于数据政策，委员会重点关注数据访问、人才获取、计算设施和资本获取四个在欧洲仍面临挑战的领域。

目标是在前任期欧洲数据战略基础上，解决数据访问、数据共享、数据政策公共重用等各领域的复杂性。这将建立在数据法案（9月生效）和已经实施的数字治理法案基础上。

实施方式的多样性委员会正在考虑多种实施简化的方式。根据几周前发布的数字DCA报告，可能的选择包括：使用数字工具促进简化、创建统一数字规则手册、建立合规平台等。

关于数字简化综合法案的具体内容仍有很多未知，实施方式也存在问号。

关于简化的实际影响，Joe：我来分析一下法律监管复杂性对组织的挑战，以及这在不同领域和背景下如何产生。

监管复杂性的挑战每当有新法律出台时，无论是否涉及数字技术，组织都需要了解其适用性、范围和合规要求。我们定期询问欧洲和全球的IPP成员如何应对这些新法律，是否有信心能够遵守。

今年我们获得了关于欧盟组织对AI法案、数字服务法案、DMA、DGA合规信心水平的数据，结果是复杂的：很少有组织完全有信心，大部分组织要么有些信心，要么完全没有信心。

多维度监管的挑战当监管变得多维化，涉及跨法律的重复主题或义务时，挑战更大。以事件报告为例，我们有很好的资源来跟踪不同法律下的事件响应义务映射。

但“透明度”等概念也类似——这个术语出现在许多法律中，但含义、义务和职责各不相同，个人权利也有差异。映射、跟踪并建立组织应对机制具有挑战性。

法律原则的潜在冲突法律条款之间有时存在潜在冲突。例如，数据保护法长期坚持的数据最小化原则要求尽可能少地收集数据。

但在AI治理或DSA框架中，几乎有监管鼓励或要求收集更多数据，因为这有助于合规和治理责任。在AI治理背景下收集更多数据，可以确保算法不会在有偏见的数据集上训练，获得更具代表性的样本。

如何为组织调和这些潜在冲突确实困难。

组织层面的现实挑战从组织运营角度看，面临财政压力、预算削减、带宽有限的现实。如果组织有多个深度专业团队分别处理这些问题和法律，问题是如何整合并做出决策。但大多数公司没有这种多专业、多团队配置的条件。

许多个人不得不承担额外工作。这些额外工作意味着什么？如何与其他义务平衡？

我们讨论的是新法律，但GDPR并没有变得平静——我们看到大量调查、执法和案例法正在塑造GDPR的持续解释和发展。

第三方复杂性另外两个复杂因素：首先是第三方组成部分。尽管组织可以安排好自身合规事务，但在数字经济中，组织需要与第三方解决方案合作、整合。这是一个非常复杂的动态供应链。

在合同上处理这种情况、进行尽职调查、确保必要披露、在复杂第三方生态系统中处理陈述和担保，以及责任分配都很复杂。

技术发展的加速影响最后一点是技术发展速度极快，以无法预见的方式发展。这成为监管风险的加速器，加剧了许多风险。

新技术不断涌现，新的运作方式层出不穷。我们在深度搜索公告中看到了这一点，它暴露了许多我们都知道存在的监管问题和担忧，但确实加速了这些问题的时机和严重性，导致欧洲出现大量快速调查和执法行动。

期待的解决方案许多组织希望看到的不仅是条文的监管协调，还有实际应用中的监管协调和法律的一致执行。关于技术和工具方面的评论很有意思——如何超越仅仅阅读法律条文？

可能的技术解决方案包括：立法者和监管者提供的工具、数字信息交换中心、一站式问询服务、监管者协调回应等。

我们可能会看到其中一些。私营部门的供应商也可能开发工具来协助应对这种复杂的多维度环境。

GDPR简化：传承与创新的平衡

Isabelle介绍GDPR简化：GDPR作为一个非常活跃的立法，已经伴随我们近10年，但仍在合规和治理方面带来很多思考和挑战。

Laura详细说明GDPR简化措施：符合总体简化议程，委员会已推出涉及特定GDPR要求的简化包——第四综合简化包，于今年5月21日推出。

包裹的总体目标该包旨在简化规则，减少整个欧盟企业的行政负担，特别针对中小企业和小型中等资本公司。

具体而言，提议将某些适用于中小企业的缓解措施扩展到小型中等资本公司。

还引入了小型中等资本公司的定义，解决公司从SME定义成长出来但尚未被视为大企业时的空白。

GDPR的具体修正提议修正案中有一些专门针对GDPR的内容，最重要的是对第30条第5段的修改。该段落目前为SME（定义为最多250名员工的企业）提供有限的记录保存要求豁免。

综合法案提议将此豁免扩展到少于750名员工的小型中等资本企业，并仅在处理活动可能对数据主体权利和自由造成高风险时，才对基本企业强制记录保存。

这也改变了当前GDPR措辞——原来是处理活动“可能呈现风险”时豁免不适用，现在改为“高风险”。

其他相关要求还有提议要求委员会促进行为准则和数据保护认证机制的创建，同时考虑微型、小型和中型企业的特定需求。提议修正案要求除SME外，还要考虑各处理部门的具体特征和小型中等资本企业的特定需求。

监管机构的反应欧洲数据保护委员会（EDPB）和欧洲数据保护监察员（EDPS）已就此倡议发布两个评论：提案正式发布前的联合信函，以及昨天的联合意见，提供了对GDPR简化提案的深入评估。

虽然两次沟通都支持减少SME和小型中等资本公司行政负担的总体目标，但也提出了担忧并要求澄清。

具体关注点在初步反应中，EDPB和EDPS支持将例外限制在不太可能导致高风险的案例，同时强调对可能从事高风险处理的小实体进行稳健风险评估的重要性。

在昨天发布的联合意见中，监管机构强调记录保存义务不仅是独立要求，还是证明符合其他GDPR义务（如问责制和透明度）的工具。

监管机构建议委员会澄清涉及特殊类别数据的记录保存例外偏离，即仅需保存可能导致高风险的特殊类别数据处理记录。

联合意见的另一个重要点是要求对750名员工门槛进行明确合理化，并建议在GDPR第35条中引用新的小型中等资本定义，确保GDPR要求与新定义保持一致。

相关发展另一个与GDPR发展相关但不特别与综合包相关的是GDPR程序法规。欧洲理事会和欧洲议会最近就该法规达成临时协议，旨在通过改善数据保护当局间合作来简化跨境执法。

这是一个重要发展，与第四综合或未来数字综合中的简化分开。

Joe分析GDPR简化的含义：改革的复杂考量我有些困惑，因为在英国政府的前工作中，我们也认真考虑过是否以及如何改革GDPR。顺便说一句，英国刚刚颁布了相关立法。

英国当时考虑的一个重大问题，是如何以及是否用简化和改变但不熟悉的内容替换现在近10年历史、熟悉和已知的内容。

虽然可能有利益相关者认为可以简化或改变，但权衡点在哪里？许多人会记得2016年GDPR文本最终确定时，许多公司投资大量时间、资源和资本为GDPR做准备和遵守的时刻。

对一些公司来说，这是数百万欧元的投资——重新架构数据、雇用人员、提升治理地位，以及今天在隐私培训、意识和工具技术方面的持续投资。

企业可能的反应重大问题是，如果欧盟简化GDPR规则，组织将如何回应？许多组织实际上可能坚持现有治理计划，即使标准更高，因为他们已经投资建立了这些体系。

消费者期望，甚至拥有该标准的竞争优势可能会继续。其他组织可能希望利用更简化、流线化甚至放松管制环境的感知好处。

我们将看到这在实践中如何发展。我怀疑许多组织会说在欧盟采用某种标准，甚至在全球范围内都处于这个水平。即使立法者在较低水平采用法律，仍会在GDPR水平运营。

我们在2016年和2018年确实看到了这一点，公司说要在全球范围内实施GDPR。即使在有不同较低标准的国家运营，仍将在GDPR水平运营。从拥有统一治理模型的便利性角度，这对公司很有意义。

关键在于简化程度这个等式很大程度上取决于简化的性质。仅仅是我们在记录保存方面看到的吗？我们会在过去几年最有争议、最复杂的主题上看到更多吗？例如广告技术的法律基础、数据传输、数据安全网络安全事件等。

很多将取决于具体情况，我们必须等待观察。

以上为本次圆桌的关键内容，智幻时刻Fungimind认为，技术主权政策的双重性质值得特别关注。

一方面，它作为“防护盾”保护欧洲的技术基础设施和数据安全；另一方面，它也被用作“竞争武器”，在全球技术标准制定中争取话语权。

这种双重性质使得技术主权不仅仅是一个防御性概念，更是一个积极的地缘政治工具。当欧盟要求其技术标准成为全球标准时，技术主权便从内向型政策转变为外向型影响力工具。

数字公平法案的提出则标志着欧盟在数字治理领域的战略重心正在发生微妙但重要的转变。

与以往主要关注平台权力和市场竞争的立法不同，该法案将焦点转向了更为基础但同样重要的消费者体验问题。我们在此前的反垄断对话中也谈到了这个问题。

这种转变反映了欧盟对数字治理复杂性的更深层理解：技术创新的最终受益者应该是普通用户，而非技术提供商。

暗模式设计的普遍性为这一立法提供了强有力的事实支撑。当委员会的研究显示97%的热门网站和应用包含至少一种暗模式时，这一数据不仅仅是统计结果，更是对整个数字产业设计哲学的深刻质疑。

暗模式的本质在于利用用户的认知偏误和行为惯性来实现商业目标，这种做法虽然在技术上合法，但在伦理上却存在明显争议。数字公平法案试图解决的正是这种合法性与合理性之间的鸿沟。

然而，数字公平法案面临的最大挑战可能不在于其政策目标，而在于如何与现有监管框架实现有效协调。

GDPR的同意机制、DMA的守门人义务、DSA的内容治理要求，这些不同法律框架在用户保护方面存在重叠但又不完全一致的要求。如何避免监管套利和执法冲突，如何确保不同法律框架的协同作用而非相互掣肘，这些都是数字公平法案设计过程中必须考虑的关键问题。

最后，GDPR作为欧盟数字治理的基石性立法，其改革讨论触及了一个深刻的政策哲学问题：在既有框架已经成为全球标准的情况下，如何在保持领导地位的同时进行必要的调整？

记录保存义务的调整是这一演进最直观的体现。将豁免门槛从250名员工提高到750名员工。这种调整承认了一个重要现实：并非所有数据处理活动都具有相同的风险水平，也并非所有企业都具备相同的合规能力。通过引入“高风险”标准来限制豁免适用，GDPR改革试图在风险管理与行政效率之间找到新的平衡点。

GDPR已经不仅仅是欧盟的法律，而是全球数据保护的实质标准。全球数百家企业已经投入数十亿欧元来建设GDPR合规体系，这些投资不仅包括技术系统的改造，更包括组织流程的重塑和企业文化的转变。

在这种背景下，任何对GDPR的修改都需要考虑其全球影响，避免因为局部调整而破坏整体框架的一致性和可预测性。

我们接下来会在2025年的周期中重点关注科技法的动向。