2025年11月下旬，欧盟委员会发布《数字综合法案》（Digital Omnibus）立法提案。该提案旨在通过精简化、一体化立法改革，整合分散于不同法律文件的规则，消除内在矛盾并统一标准要求，在平衡数字治理有效性与市场发展便利性的同时，为企业营造清晰友好的数字营商环境，助力提升欧洲数字经济整体竞争力。过去十年，欧盟密集出台《通用数据保护条例》《人工智能法案》《数据法案》等多部重要法规，确立了全球数字治理的欧洲标准。但这些立法在实施中出现体系庞杂、规则交织、程序不统一等问题，权威报告指出，复杂的合规要求已制约欧洲企业创新能力与市场活力，加重企业负担。这一监管碎片化现象引发欧盟高度关注，在成员国政府与商业界简化数字规则的呼吁下，欧盟启动了此次系统性立法改革。
　　主要改革举措
　　欧盟本次立法改革聚焦规则适用范围、合规要求、权利边界，核心涵盖数据、AI等四大板块，旨在打破部门立法壁垒，构建全链条统一的综合规则体系。
　　系统性整合数据领域法规，精准"校准"数据保护规则
　　将《数据治理法案》《开放数据指令》《非个人数据自由流动条例》三部现行法规的核心规则合并纳入修订后的《数据法案》，同时废除原单行法案，仅保留"禁止欧盟境内数据本地化要求"这一核心原则。整合后形成"欧洲数据经济单一综合工具"，解决过去对主要概念定义不一致、流程碎片化的问题。从具体规则上看，个人数据定义收窄，不再将"第三方可识别"纳入判断标准，仅以数据控制者的"合理识别手段"为依据。敏感数据保护范围缩小，仅对用户"明确提供"的健康、宗教信仰等信息保留特殊保护，通过算法推断、交叉比对得出的敏感信息被排除在外。同时新增GDPR第88条，允许企业基于"合法权益"处理个人数据用于AI系统开发，仅在侵害用户核心权利时才启动该权限。
　　适配性优化AI监管框架，灵活性放宽AI监管要求
　　针对《人工智能法案》实施中的实操难点，推出定向修订措施，包括明确中小企业（SME）和中小市值企业（SMC）的差异化合规要求，建立比例化的质量管理体系。整合跨法规合格评定程序，对同时受《人工智能法案》与其他欧盟协调立法约束的高风险AI系统，实行"单一申请、单一评估"，避免重复合规。优化执法协同机制，明确欧盟AI办公室对通用目的AI模型的监督权限，涉及超大型在线平台的AI系统由欧盟委员会统一监管，避免成员国执法碎片化。可以看到，高风险AI系统迎来实质性松绑，不仅设置1年整改宽限期，还取消了"非高风险AI系统"的强制注册义务。AI素养要求从"强制义务"转为"鼓励性措施"，由欧盟委员会和成员国通过培训、信息共享等方式支持企业提升相关能力，不再硬性约束。此外，扩大沙盒外真实世界测试的适用范围，允许嵌入式高风险AI系统通过自愿协议开展测试。
　　协同调整网络安全与电子隐私规则，大幅简化合规流程与义务
　　一方面，统一网络安全事件报告渠道，要求企业通过NIS2指令设立的"单一入口"系统通报，替代过去各成员国分散的报告流程。将长期悬而未决的《电子隐私条例》核心条款并入GDPR，集中规范Cookie及终端设备数据追踪行为，解决"合规多头管"的问题。统一NIS2和DORA中的事件报告义务，为企业建立了一套跨领域的标准化安全事件响应流程。另一方面，显著降低跨法规合规成本，如高风险AI系统若已符合欧盟网络安全法规（2024/2847）的基本要求，可直接推定满足《人工智能法案》的网络安全条款，无需重复认证。Cookie监管机制从"选择加入"转向"选择退出"，低风险场景下企业可默认收集数据，用户需主动拒绝，缓解"弹窗疲劳"问题。
　　平衡调整市场公平与创新支持，对创新主体与中小企业定向减负
　　一方面，强化超大型企业的约束，授权公共部门向《数字市场法案》认定的"守门人"企业收取更高数据再利用费用，防止其滥用市场力量挤压中小企业空间。简化云服务切换规则，为中小企业提供的"量身定制"数据处理服务豁免部分切换义务。删除《数据法案》中对智能合约的强制性要求，为区块链等创新商业模式消除法律不确定性。另一方面，围绕"降低行政成本25%、中小企业减负35%"的目标，推出一系列针对性措施：为SMC和SME提供合规简化表单、罚款裁量从宽对待；优化欧盟数字身份框架，衔接"欧盟企业钱包"以降低身份核验成本；建立欧盟级AI监管沙盒，为中小企业提供优先准入通道，支持其在受控环境中测试创新技术。
　　改革动因解析
　　欧盟此次改革是其数字监管的关键迭代，并非颠覆现有框架，而是在承继核心原则的基础上整合修正，以解决法规重叠、执行不一、新兴技术监管滞后等问题，进而巩固数字主权、激发经济活力、提升监管效能、保障公民权利与国家安全。
　　战略层面：从规则制定者转向效率提升者，巩固数字主权
　　欧盟推动"数字综合法案"的核心战略动因，标志着其数字战略进入了新阶段：从通过立法确立规则领导力，转向通过整合与简化来强化其数字主权的实际效能。初期，欧盟通过《通用数据保护条例》《人工智能法案》等单行立法，成功树立了全球数字规则的标杆，但也造成了法规林立、体系复杂的"布鲁塞尔效应"副作用。如今，面对内部企业因合规负担过重导致竞争力受损的风险，以及外部全球科技竞争日益激烈的态势，欧盟意识到一个低效、碎片化的法律体系本身就会侵蚀其数字主权。因此，本次改革旨在通过"简化议程"，将分散的规则整合为统一、清晰、可预测的"数字法规体系2.0"，这并非放弃领导权，而是通过提升内部市场的运行效率和创新活力，来巩固和强化其数字主权的根基，确保其规则模式不仅"高标准"，而且"可执行、有吸引力"。
　　经济层面：直接减轻企业行政负担，激发欧洲发展活力
　　经济动因此次表现得极为直接和迫切。欧盟委员会明确测算出该方案将带来每年10亿欧元的节省，以及截至2029年累计40亿欧元的经济效益，这清晰地指向了改革的核心驱动力——挽救欧洲数字经济竞争力。过度的监管叠加、重复的报告义务以及法律间的不一致性，给企业带来了巨大的合规成本和法律不确定性。德拉吉与莱塔关于欧洲竞争力的报告均已明确指出，这是阻碍创新与增长的关键壁垒。该改革通过整合数据框架、建立事件报告一站式系统、废止冗余条例等具体措施，系统性消除义务重叠、精简合规流程，实质性地提升欧洲在全球数字经济中的竞争地位。
　　社会与治理层面：提升监管效能与法律确定性，保障权利与安全
　　这一改革同样源于提升社会治理效能和保障公民基本权利的内在需求。复杂的法规不仅困扰企业，也降低了监管机构的执法效率和协同能力。建立由欧盟网络安全局管理的统一事件与数据泄露通报平台，实现了"一次报告，多方共享"，这不仅减轻企业负担，更促进监管机构间的协调，提升整体网络安全事件响应和数据保护的效能。同时，法案通过澄清《人工智能法案》与《通用数据保护条例》中关于个人数据用于AI训练的合法路径等模糊地带，为技术创新提供了更高的法律确定性。这并非降低权利保护标准，而是在保障《欧盟基本权利宪章》确立的高标准前提下，通过明晰规则来平衡创新与隐私保护，回应社会对技术进步与权利保障的双重期待。
　　改革尚存争议
　　质疑方聚焦"权利倒退""程序瑕疵"与"标准稀释"，反对改革方案
　　质疑方以欧洲数字权利中心（NOYB）、欧洲数字权利倡议（EDRi）等隐私保护组织为核心，联合学界、欧洲议会左翼议员以及爱沙尼亚、奥地利等部分成员国，坚决反对改革方案。一是质疑改革会削弱公民数据权利，背离欧盟基本权利宪章。质疑方认为改革对数据保护规则的关键调整严重侵蚀GDPR核心原则。如个人数据定义以"控制者合理识别手段"为标准，直接缩小了GDPR适用范围，与欧盟基本权利宪章第8条保障的隐私权相悖。敏感数据保护仅限定"用户明确提供"的信息，算法推断的健康状况、种族特征等数据不再受到特殊保护，可能加剧歧视风险。而Cookie监管从"事前同意"转为"事后拒绝"，将用户从主动掌控者变为被动接受者，剥夺了用户对个人数据的知情权与选择权。二是质疑程序的仓促缺乏民主参与，存在合规性缺陷。质疑方认为改革采用"数字综合一揽子修订"快速通道，仅设置30天公众咨询期，远低于欧盟重大立法常规的60天以上咨询要求，违反《欧盟行政程序法》"充分参与"原则。NOYB创始人施雷姆斯直言，欧盟委员会试图"暗中碾压其他势力"，绕过充分协商直接推进规则修改。三是质疑监管标准稀释将引发"逐底竞争"，损害欧盟数字治理公信力。质疑方认为AI高风险系统1年宽限期、非高风险AI豁免注册等调整，实质为企业提供"合规真空期"，可能增加算法歧视、安全漏洞等风险。数据泄露通报门槛从"一般性风险"提升至"极有可能导致高度风险"，将导致大量轻微泄露事件逃脱监管，削弱用户信任。部分欧洲学者担心，如果在训练数据、设备访问、高风险分类等关键点上让步过多，将加剧欧洲对美国平台和基础模型的技术依赖，难以形成真正的自主能力。前GDPR主要设计者阿尔布雷希特指出，这种"为创新让步"的调整会让欧盟失去全球数字保护标杆地位，引发全球隐私标准"逐底竞争"。
　　支持方聚焦"合规减负""竞争力提升"与"标准适配"，认为改革十分必要
　　支持方由欧盟委员会、德国等成员国、欧洲AI产业界（Mistral、AlephAlpha等）及跨国科技企业组成，认为改革是对现有监管体系的必要优化而非倒退。一是主张简化规则是摆脱合规困境、激活产业活力的关键。支持方的核心依据是欧盟数字法规碎片化已成为发展桎梏。数据显示，欧盟中小企业数字合规成本占营收比例超5%，跨境企业需应对多法规重复报告义务，仅高风险AI系统就需同时满足GDPR与AIAct的双重评估要求。法国、德国2023年联合文件已明确指出，繁杂的行政流程阻碍了数字转型，而改革通过"单一申请、单一评估""统一报告入口"等措施，可实现企业合规成本降低25%、中小企业减负35%的目标，为创新释放空间。二是主张改革未降低核心保护标准，仅优化实施路径。支持方强调，改革是技术性修订而非原则性改变。AI监管宽限期仅适用于整改指导阶段，企业仍需留存合规记录，核心安全与权利保护要求未放松；数据保护规则调整是为解决"定义模糊导致的合规不确定性"，而非削弱保护。欧盟委员会副主席维尔库宁明确表示，改革旨在"让高标准监管更易落地"，而非降低标准。三是主张顺应全球竞争态势，维护欧盟数字主权。支持方的关键依据是全球数字领域竞争格局的现实压力。德拉吉报告直接指出，欧盟在AI领域的融资规模不足美国的1/3，数字经济占比仅8%，远低于中美水平。同时，特朗普政府将欧盟AI法视为"歧视性规则"，威胁贸易报复，而英国已率先放宽数据监管吸引企业。若不及时优化规则，欧盟企业将持续外流，数字主权面临进一步侵蚀。
　　对我国的启示
　　欧盟本次改革对于正处于数据要素市场化与人工智能发展关键阶段的我国而言，具有重要的治理借鉴价值。
　　主动参与塑造数字治理国际规则
　　当下，全球数字治理规则主导权面临激烈博弈。我国应抓住这一窗口期，在人工智能治理、数据跨境流动、数字贸易等关键议题上，更加主动、深入地参与联合国、WTO、G20等多边框架下的数字治理，系统总结"技术与规则双轮驱动"的算法治理体系等在国内实践中证明行之有效的治理经验，通过"数字丝绸之路"、双多边合作机制、国际智库交流等渠道，向广大发展中国家乃至全球进行推介，在全球数字治理中贡献更多"中国方案"。例如，推动基于"风险分级"的跨境数据流动规则，倡导发展中国家的数字发展权。将欧盟规则的"变量"转化为我国参与全球数字合作的"机遇"，推动中欧在可信AI、数据空间等领域的标准互认与合作。
　　强化数字监管规则的可执行性设计
　　欧盟改革直面企业，尤其是中小企业提出的"合规负担过重"问题，其解决方案并非简单地降低标准，而是通过简化程序、统一模板、整合渠道来提升规则的可执行性。我国在推进数据要素市场化进程中，亟须解决各类标准、规范"政出多门""交叉重叠"的问题。可以借鉴欧盟"单一入口、统一模板"的思路，推动构建国家级的数字合规综合服务平台。该平台应为企业提供一站式的合规指南、标准化的数据报送与影响评估模板，以及清晰的权利响应流程。通过将分散在网络安全、数据保护、算法伦理等不同领域的合规要求进行技术性整合与流程性优化，能够显著降低市场的制度性交易成本，使企业将更多资源投向技术创新与业务发展，从而实现"严监管"与"促发展"的有机统一。
　　探索适应技术快速迭代的动态监管机制
　　欧盟此次改革的核心启示是必须摒弃"一劳永逸"的立法思维，转向构建能够与技术演进同步的动态监管体系。欧盟本次以"综合立法包"形式改革，体现了其追求规则敏捷性的努力。我国在构建数据基础制度和AI治理框架时，应高度重视制度的弹性与适应性。建议建立法规的定期评估与动态修订机制，例如设定法律生效后的"三年评估期"，系统审视其实施效果与技术适应性。同时，拓展监管沙盒的应用深度与广度，将其从单纯的创新测试场升级为政策工具的"压力测试区"，允许在受控环境中对新兴业态试行豁免条款、简化程序等柔性监管措施，并将成功经验及时固化为普适性规则，从而形成"试点—评估—推广"的良性循环，确保监管既不缺位也不越位。
　　（《中国电信业》2026年第2期，中国信息通信研究院 王娟娟；苏州大学 刘汗青；中国海洋大学 杨永兴；中南财经政法大学 张炎坤）