歐盟公佈「數位綜合法案」 對個人資料保護法令提出重要變革

(中央社訊息服務20251231 16:13:38)2025年11月19日歐盟公佈「數位綜合法案」（Digital Omnibus）草案。該法案旨在簡化人工智慧法案（AIA） 以及資料保護相關規則促進新興科技之產業發展，使企業得以更容易利用歐洲居民之個人資料，其中可能包括企業處理種族或宗教等敏感個資之措施，確保最大限度減少偏見。

今年年初歐盟委員會提出「競爭力指引」（Competitiveness Compass）中表示，歐洲於過去20年間發展速度一直落後於其他主要經濟體。為使歐洲扭轉局勢，提出三大核心行動以及五大橫向競爭力推動因素，其中簡化監管及行政負擔為首要推動因素，目標係簡化歐盟行政決策之審批流程，目標將企業之行政負擔降低25%，尤其是針對中小企業之行政負擔降低至少35%。

基於上述背景，數位綜合法案草案研擬修訂或整併多項現行法規，包括資料法（Data Act）、一般資料保護規則（General Data Protection Regulation，下稱GDPR）及人工智慧法（AI Act，AIA）3部分之修正，其核心是建立數位綜合框架，以簡化人工智慧（AI）、網路安全和數據方面的規則，並輔以資料聯盟戰略，以釋放高品質資料用於人工智慧，並簡化合規流程。其中針對GDPR之修訂更造成了重要變革，相關重點包括：

釐清假名化之於個人資料之定位。該草案針對個人資料定義之規定似乎試圖限縮原GDPR對於個人資料之定義，其引入「相對性」概念，一份資料並不一定被一致性的認定為本法所保護之個人資料，應視該資料控制者是否可識別該資料之特定當時人而定。這意味著是否符合GDPR所規範假名化之標準，會因為不同控制者所處情況，而產生不同的判斷結果，因此雖屬Cookie這類無法直接識別特定個人的資料，亦非絕對不受GDPR之保護。

資料主體權利與自動化決策調整。原GDPR不得限制資料主體權利。然該草案似將資料主體權利限制在「資料保護目的範圍內」，若用於保護其資料以外之目的行使資料存取權、更正或刪除權，則將有可能構成「濫用」而無法行使該權利。

資料外洩通報機制變更。在資料發生外洩時，原於72小時內須向監管機關通報資料外洩之期限延長至96小時。並將通報門檻提升至可能對自然人權利及自由造成高度風險時才需通報監管機關。

本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明「作者：資策會科法所創智中心，來源出處：中央社訊息平台」。

【新聞來源】Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal, last visited 2025.12.29.