泄露的《数字综合法案》草案显示欧盟理事会拒绝修改 GDPR“个人数据”定义

在欧洲数字政策的一次重大转向中，一份泄露的欧盟理事会折衷文本表明，成员国正倾向于阻止对《通用数据保护条例》（GDPR）中“个人数据”定义的拟议修改。这份日期为 2026 年 2 月 20 日、由塞浦路斯轮值主席国分发的文档表明，相比欧盟委员会更具扩张性且充满争议的修订方案，各方坚决倾向于维持现状。

这份在布鲁塞尔高级别外交会议前夕流出的草案，标志着所谓《数字综合法案》（Digital Omnibus）的关键时刻。该立法方案旨在简化欧盟的数字规则手册，并使其适应先进人工智能和无处不在的边缘计算时代。然而，删除“个人数据”修订定义的决定表明，成员国对重新开启基本隐私定义的“潘多拉魔盒”持谨慎态度。

维持现状的稳定性

近十年来，个人数据的定义一直是欧洲隐私法的基石。根据现行 GDPR，个人数据被定义为与已识别或可识别的自然人相关的任何信息。欧盟委员会最初对《数字综合法案》的提议试图完善这一概念，潜在地扩大范围，以包含更多由 AI 系统日益生成的细微元数据类别和行为标识符。

理事会取消这些修订的决定反映了“安全第一”的策略。通过坚持现有文本，成员国避免了新定义可能引发的巨大法律不确定性。对于企业而言，定义的改变意味着必须重新评估目前所有的数据库、每一份同意书以及每一份数据处理协议。理事会似乎将监管稳定性置于委员会对技术精确性的追求之上。

为什么定义至关重要

要理解这一举动为何如此重要，可以将个人数据的定义视为 GDPR 的“管辖钩子”。如果一条信息属于该定义范围，那么欧盟隐私法的全部效力都将适用。如果它不属于该范围，则数据的移动、销售或分析所受的限制要少得多。

拟议扩张的批评者认为，更广泛的定义会无意中捕捉到目前用于医学研究和基础设施规划的“匿名化”数据。另一方面，隐私倡导者担心，通过保留旧定义，欧盟未能应对现代机器学习带来的“重新识别”风险，在这些风险中，看似匿名的数据点可以被拼接起来以揭示个人身份。

塞浦路斯轮值主席国的平衡之举

目前担任理事会轮值主席国的塞浦路斯承担着一项艰巨任务，即在数字优先事项各异的 27 个成员国之间寻找中间地带。泄露的折衷文本表明，塞浦路斯团队正专注于“程序和谐”而非“定义改革”。

通过删除备受争议的个人数据修订内容，主席国可能正试图为《数字综合法案》的其余部分扫清障碍。该方案包括关于跨境执法以及国家数据保护机构（DPA）之间合作的重要更新。如果个人数据的定义仍摆在桌面，可能会使整个立法进程停滞数年。

对科技行业的影响

对于科技行业而言，这次泄露很大程度上被视为一种缓解。行业长期以来一直认为 GDPR 的操作已经足够复杂。其最基本术语定义的变动将创造一个“合规变动目标”。

接下来的进展？

据报道，成员国外交官已于 2月 27 日对该草案进行了讨论。如果理事会维持这一立场，下一阶段将是理事会、欧洲议会和欧盟委员会之间的“三方斡旋”谈判。议会在历史上一直更倾向于保护数据主体权利，并可能争取重新引入委员会最初构想的一些更广泛的保护措施。

然而，理事会在这一问题上的统一战线发出了一个强烈信号：欧洲各国政府目前并无意对隐私基本原则进行激进的重新设计。他们希望规则运行得更好，而不一定要管得更宽。

组织的实用建议

虽然个人数据的定义可能保持不变，但执法环境仍在发生变化。随着《数字综合法案》的推进，组织应重点关注以下几点：

• 审计您的数据映射： 即使定义没有改变，法院（如欧盟法院 CJEU）的解释也在不断演变。确保您的数据清单是最新的。
• 关注程序合规性： 《数字综合法案》可能会引入更严格的回复 DPA 查询的时间表。审查您的内部报告工作流程。
• 监控三方斡旋： 最终文本尚未定稿。在未来几个月内密切关注欧洲议会对这份理事会草案的反应。
• 投入匿名化技术： 无论法律定义如何，降低风险的最佳方法是确保使用抗重新识别的最先进技术对数据进行真正的匿名化。

来源

• European Council: Council of the European Union Overview
• Euractiv: Digital & Media Policy Reports
• Politico Europe: Tech and Data Protection Coverage
• European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
• Official Journal of the European Union: GDPR Text and Definitions