欧盟委员会公布了一项全面修订《通用数据保护条例》(GDPR)的提案,旨在简化合规流程,同时对个人数据、AI处理、假名化和同意机制等关键概念引入技术层面的细微调整。
2025年11月19日发布的官方草案是布鲁塞尔在不损害核心隐私原则的前提下精简监管的更广泛努力的一部分。隐私与网络安全研究员、长期担任GDPR顾问的Lukasz Olejnik发表了对该提案的详细评估,称这些变化既“合理”又“影响深远”。其中一项最具影响力的修订重新定义了个人数据的范畴,将其从一个通用标准转变为一个实体相对概念。
GDPR自2018年5月实施以来,管辖着整个欧盟的数据保护,并已成为全球基准。虽然最初的法规给各种规模的公司带来了沉重的合规负担,但最新提案试图重新平衡这些义务。
根据对第4(1)条的拟议修正,信息只有在相关实体能够使用其自身手段合理识别数据主体的情况下,才会被视为个人数据。这种实体相对模型与欧盟法院(CJEU)目前维持的解释不同,后者认为可识别性包括直接和第三方手段。
例如,如果一家广告科技公司收到的哈希电子邮件地址无法自行解析回个人,即使其合作伙伴可以,该公司现在可以辩称这些数据对其而言不是个人数据。这可能会在某些情况下显著缩小数据保护的范围,为数据驱动的商业模式在更少的监管审查下运作提供了更大的余地。
另一关键改革领域涉及在AI模型开发中使用特殊类别数据,如政治信仰、健康状况或性取向。该提案承认,此类数据可能在大规模数据集中偶然或残留存在。根据新的第9(2)(k)条,控制者在满足以下条件时可以进行处理:
- 他们做出技术和组织努力以避免收集此类数据;
- 他们在识别出此类数据时将其删除;
- 如果删除需要不成比例的努力,他们必须保护这些数据不影响输出或被共享。
这种方法允许AI开发者在保持保障措施的同时拥有一定的灵活性,与目前的全面限制有显著不同。
第41a条引入了期待已久的关于假名化数据的明确规定。它授权委员会定义何时此类数据可被视为非个人数据,为采用隐私保护技术的控制者提供了潜在的缓解措施。这一规定可能会在不损害可识别性保护的前提下,为数据分析和研究解锁新的用例。
第9(2)(l)条下的一个单独条款明确允许在手段完全由数据主体控制的情况下进行生物特征验证,例如设备上的指纹或面部识别认证。这确认了本地生物特征处理的合法性,与移动和物联网生态系统中的现有做法一致。
也许最明显和最实际的变化在于同意的收集和管理方式。该提案为用户设备上的操作引入了严格的基于目的的制度,现在由第88a条中的封闭式列表管辖。只有四种情况允许在没有同意的情况下进行处理:
- 通信传输,
- 用户明确请求的服务,
- 第一方受众测量,
- 安全维护。
在所有其他情况下,都需要用户同意,但在此,获取同意的机制发生了根本性转变。委员会要求,同意必须能够通过一键式界面授予或拒绝,并且必须在六个月内得到尊重,不得再次提示。它还要求支持机器可读的同意信号,这可能通过网络浏览器、操作系统或数字身份钱包实现。
这些变化直接回应了对“同意疲劳”和欺骗性界面模式的长期批评。一旦标准形成,网站将被法律要求识别这些自动化信号,使长期被遗弃的提案如W3C的“请勿跟踪”或加州的GPC重新具有相关性,尽管欧盟可能更倾向于本土技术标准。
值得注意的是,媒体服务提供商在提供服务时暂时免于遵守机器可读同意信号的义务,这在隐私期望与依赖广告收入的经济模型之间引发了潜在摩擦。
虽然该提案仍需通过立法程序,但其清晰度和技术精确性标志着与GDPR有时模糊的解释的重大背离。Olejnik评论说,小企业尤其将从“个人数据”范围的缩小和更清晰的同意要求中受益。
发表评论
您还未登录,请先登录。
登录