欧盟拟为其数字监管“松绑”——AI篇

2025年11月19日，欧盟委员会发布了《关于简化数字立法框架的提案》（Proposal for Regulation on simplification of the digital legislation，简称Digital Omnibus，“《数字综合法案》”）和《关于简化人工智能规则的提案》（Proposal for Regulation on simplification for AI rules，简称Digital Omnibus on AI，“《人工智能数字综合法案》”），旨在修订一系列现行欧盟数字立法，从而实现更为灵活、务实的欧盟数字监管体系。

本文旨在介绍《数字综合法案》和《人工智能数字综合法案》针对欧盟人工智能监管的主要提案以及对欧盟人工智能监管体系的影响。

一、欧盟两项数字综合法案提案出台背景

（一）《数字综合法案》出台背景

根据德拉吉报告（Draghi Report）和莱塔报告（Letta Report）的研究发现，欧盟数字保护法规的累积效应已对企业竞争力产生负面影响，造成显著的行政与技术负担。[1]在此背景下，欧盟委员会发布《数字综合法案》旨在统一协调欧盟数字立法，并减轻企业的合规负担和行政成本，从而实现更为灵活、务实的欧盟数字监管体系。[2]

《数字综合法案》还对欧盟现行严格的数据保护法律框架对人工智能技术的快速发展提出的挑战进行了回应。欧盟《通用数据保护条例》（Regulation (EU) 2016/679，“GDPR”）对个人数据处理设定了严格的合规要求。《数字综合法案》通过提议对GDPR的修订，对人工智能系统和模型开发、运营过程中的数据处理进行了一定程度的松绑，为人工智能创新提供更加灵活的数据处理路径。

该法案目前处于提案阶段，尚未正式生效。

（二）人工智能数字综合法案》出台背景

人工智能技术发展迅速，而欧盟《人工智能法案》（Regulation (EU) 2024/1689，“《人工智能法案》”）相关的关键标准尚未完全出台。缺乏统一且可操作的指南和标准导致企业无法确定明确的合规路径，同时使监管机构难以评估人工智能系统是否符合相关合规要求。虽然《人工智能法案》要求各成员国指定市场监管机构，但各成员国相关监管机构的设立、人员配置及执行程序尚未完全成熟，影响执法效率和统一性。[3]

《人工智能法案》对高风险人工智能系统的合规要求给中小企业带来较重的行政与技术负担。据有关调研结果，中小企业在部署高风险人工智能系统时可能面临数十万欧元的合规成本，这对资源有限的中小企业构成明显压力，可能抑制其创新能力和市场参与度。[4]

在此背景下，欧盟委员会发布《人工智能数字综合法案》，旨在维持基本权利保护底线的前提下，为人工智能产业发展松绑减负。该法案亦处于提案阶段，尚未正式生效。

二、《人工智能数字综合法案》对欧盟《人工智能法案》的松绑提案要点

（一）合规义务豁免范围扩大：从SME扩展至SMC

微型、小型和中型企业（Micro, small and medium-sized enterprises, “SME”）是指，职工人数少于250人，且年营业额不超过0.5亿欧元或年度资产负债表资产总额不超过0.43亿欧元的中小型企业。中小企业（Small mid-cap enterprises, “SMC”）是指，职工人数少于750人，且年营业额不超过1.5亿欧元或年度资产负债表资产总额不超过1.29亿欧元的中小型企业。[5]

在《人工智能法案》的实施过程中，企业合规负担的大小直接影响到技术创新的步伐。与SMEs相比，SMCs往往表现出更高的增长速度以及创新和数字化水平。SMCs在面对法案规定的合规义务时，会遇到与SMEs类似的负担问题。这些负担可能会抑制其创新和市场竞争力。因此，在执行《人工智能法案》时，需要根据比例原则提供有针对性的支持，以避免对SMCs过度监管造成负面影响。[6]

《人工智能法案》在原本规定的豁免措施中，已为SMEs提供了一定的豁免措施，减少了SMEs在行政和财务上的负担。考虑到SMCs也面临类似的挑战，《人工智能数字综合法案》扩展了该等豁免措施，适当降低SMCs的合规负担。尤其对于那些正在发展阶段且具有较强创新能力的SMCs，将其纳入豁免范围，能够为其提供更有利的成长环境。[7]

为了更好地保护SMEs和SMCs的利益，《人工智能数字综合法案》提出：

将《人工智能法案》第1(2)条第(g)点调整为：支持创新的措施，特别关注SMCs以及SMEs，包括初创企业[8]；
在《人工智能法案》第99条增加有关处罚的规定：成员国在实施处罚时应考虑到SMCs和SMEs的利益及其经济可行性，确保处罚措施的公平性与可行性[9]。

上述修订体现了《人工智能数字综合法案》对中小企业特殊情况的考虑，同时也为未来的合规执行提供了更加灵活和适应市场环境的空间。

（二）对人工智能系统提供者和部署者不执行人工智能素养强制义务

《人工智能法案》第4条规定了人工智能系统提供者和部署者应确保其员工具备人工智能素养（AI literacy）的义务。然而，相关方分享的经验表明，一刀切的解决方案并不适用于所有类型的人工智能系统提供者和部署者，尤其对于不同规模和领域的企业而言，这种强制性要求可能难以实现预期的目标，同时可能会增加合规负担。特别是对于中小型企业，这一义务可能成为其额外负担，限制了它们在快速发展的人工智能技术领域中的竞争力。[10]

事实上，无论监管义务与潜在处罚如何，人工智能素养都应成为战略性优先事项。因此，《人工智能数字综合法案》提议对《人工智能法案》第4条进行修订，要求欧盟委员会和欧盟成员国在不损害各自权限的前提下，鼓励人工智能系统提供者和部署者采取措施，鼓励其工作人员和其他代表他们处理人工智能系统的运行和使用事宜的人员具有足够的人工智能素养，包括提供培训机会、提供信息资源，以及促进良好实践和其他不具有法律约束力的举措。[11]

具体而言，《人工智能数字综合法案》提议删除《人工智能法案》第4条原有的人工智能素养强制义务，改为“鼓励”。[12]这样，企业在确保员工具备基本人工智能素养时将拥有更多的灵活性，尤其是针对不同员工的技术知识、经验、教育和培训程度以及人工智能系统的使用背景和使用人群，可以根据实际情况进行适当的调整。需要注意的是，对于高风险人工智能系统的部署者，仍保留其对员工的培训义务。

（三）不再强制使用上市后监测计划模板

“统一上市后监测计划”是《人工智能法案》针对高风险人工智能系统设立的一项核心持续合规性义务，要求高风险人工智能系统的提供者在将系统投放市场或投入服务后，持续跟踪、收集、记录和分析其性能与运行数据。[13]

《人工智能数字综合法案》提议为了减少市民、企业和公共管理部门的实施挑战，只有在非常必要时，才应采取统一的实施条件。因此，提议删除《人工智能法案》赋予委员会通过实施细则设定统一条件的权限。[14]

具体而言，《人工智能数字综合法案》将《人工智能法案》第72(3)条修改为：“上市后监测系统应基于上市后监测计划。上市后监测计划应是附件四所述技术文件的一部分。委员会应通过关于上市后监测计划的指南。”[15]原法条要求委员会通过实施细则规定强制模板，而提议修订后的条款将实施细则降级为发布指南。这一修订取消了强制统一的模板要求，允许企业根据自身情况设计上市后市场监测计划，从而减少了尤其是中小企业在执行合规性义务时面临的难度。

（四）减轻“边缘高风险”人工智能系统提供者的登记负担

“边缘高风险”人工智能系统提供者是指属于高风险领域但最终判断不属于高风险人工智能系统的提供者。此类系统在特定条件下不会对人身健康、安全或基本权利构成重大风险（包括不实质性影响决策结果），因此不被视为高风险。[16]

鉴于此类系统在特定条件下不被视为高风险，强制登记要求将构成不成比例的合规负担，《人工智能数字综合法案》提议，该等人工智能系统提供者无需再将该等系统按照《人工智能法案》第49(2)条的规定在欧盟数据库中进行登记。[17]

《人工智能数字综合法案》具体提议修订的内容包括：

删除《人工智能法案》第49(2)条的规定：“在将人工智能系统投放市场或投入使用之前，若提供者根据第6(3)条认定该系统不属于高风险类别，该提供者或其授权代表（如适用）应将自身及该系统在第71条所述的欧盟数据库中进行登记”[18]，即删除针对该等“边缘高风险”人工智能系统强制登记的要求；
将《人工智能法案》第6(4)条修改为“若服务提供方认为附件III所列人工智能系统不属于高风险，则应在该系统投放市场或投入使用前完成评估并形成书面记录。应国家主管机构要求，服务提供方须提交评估文件”[19]，即将强制登记要求转变为文件记录和备查义务，减轻了特定人工智能系统提供者的合规负担。

（五）强化欧盟人工智能办公室集中监管

为解决企业面对多头监管的难题，《人工智能数字综合法案》提议在特定情形下赋予欧盟人工智能办公室获得专属管辖权，企业只面对一个监管者。

具体而言，《人工智能数字综合法案》提议将《人工智能法案》第75(1)条修改为：当人工智能系统基于通用人工智能模型（不包括《人工智能法案》附件I所列欧盟协调立法涵盖产品的相关系统），且该模型和系统由同一提供者开发时，欧盟人工智能办公室将独立负责该系统的监督与执行，并确保其遵守《人工智能法案》的相关义务。欧盟人工智能办公室还将负责监督和执行与《人工智能法案》相关的义务，特别是涉及构成或集成于指定超大型在线平台或超大型在线搜索引擎（根据欧盟法规2022/2065-DSA（《欧盟数字服务法案》）-定义）的人工智能系统。欧盟人工智能办公室在行使监督和执行任务时，将拥有市场监管当局的所有权力，并能够采取适当措施来执行这些职能。执行过程中，相关监管机构应积极合作，确保法规在各成员国的有效执行。[20]

需要注意，此项拟议修订不包括由欧盟机构、机关、办事处或机构投放市场、投入使用或使用的人工智能系统，此类系统根据《人工智能法案》第74(9)条受欧盟数据保护监管机构EDPS监管。[21]

（六）更广泛使用人工智能监管沙盒和真实世界测试

《人工智能数字综合法案》提议的相关修订旨在加强欧盟层面人工智能监管沙盒的合作，促进人工智能监管沙盒治理的清晰性和一致性，并将监管沙盒之外的真实世界测试范围扩展至《人工智能法案》附件I所列欧盟协调立法涵盖的高风险人工智能系统。为实现程序简化，当人工智能监管沙盒监管的项目包含真实世界测试时，真实世界测试计划应整合到提供者或潜在人工智能系统提供者与主管机构商定的沙盒计划中。此外，应赋予欧盟人工智能办公室建立欧盟层面人工智能监管沙盒的可能性，用于《人工智能法案》第75(1)条所涵盖的人工智能系统（即受欧盟人工智能办公室专属监管的人工智能系统）。[22]针对《人工智能法案》附件I B部分所列欧盟协调立法涵盖的高风险人工智能系统的特殊情况，建议允许欧盟委员会与成员国之间达成自愿协议，以便在真实世界条件下测试此类高风险人工智能系统。[23]

《人工智能数字综合法案》提议的具体修订内容包括：

《人工智能法案》第57条新增段落，规定欧盟人工智能办公室可为第75(1)条涵盖的人工智能系统建立欧盟层面的人工智能监管沙盒，该等沙盒应与相关主管机构密切合作实施，并为SMEs提供优先准入；[24]
替换《人工智能法案》第57条部分条款，以促进人工智能系统进入欧盟市场，特别是SMCs和SMEs（包括初创企业）提供的系统；强调人工智能监管沙盒的设计和实施应便利国家主管机构之间的跨境合作；规定国家主管机构应在委员会框架内协调活动并开展合作，支持在不同部门间联合建立和运营人工智能监管沙盒；[25]
修订《人工智能法案》第58(1)条，明确为避免欧盟内部碎片化，欧盟委员会应通过实施法案明确监管沙盒的建立、发展、实施、运营、治理和监督的详细安排。该实施法案应包括以下事项的共同原则：参与人工智能监管沙盒的资格和遴选标准；申请、参与、监控、退出和终止监管沙盒的程序；适用于参与者的条款和条件；适用于第57条涵盖的人工智能监管沙盒治理的详细规则，包括主管机构任务的行使以及国家和欧盟层面的协调与合作；[26]
修订《人工智能法案》第60条，将真实世界测试范围从《人工智能法案》附件III所列高风险人工智能系统扩展至《人工智能法案》附件I A部分所列欧盟协调立法涵盖的高风险人工智能系统。提供者或潜在提供者可在将前述人工智能系统投放市场或投入使用前的任何时间，自行或与一个或多个部署者或潜在部署者合作，进行此类系统的真实世界测试；[27]
新增《人工智能法案》第60a条专门规定《人工智能法案》附件I B部分所列欧盟协调立法涵盖的高风险人工智能系统在监管沙盒之外的真实世界测试。此类人工智能赋能产品的提供者或潜在提供者可根据自愿真实世界测试协议进行测试。该自愿协议应由感兴趣的成员国与欧盟委员会以书面形式达成，以明确此类产品真实世界测试的要求。成员国、欧盟委员会、市场监督机构和负责管理和运营《人工智能法案》附件I B部分所列基础设施和产品的公共机构应密切合作，以成功实施自愿真实世界测试协议。协议签署方应明确真实世界测试条件，并为《人工智能法案》附件I B部分涵盖的人工智能系统制定真实世界测试计划的详细要求。[28]

（七）允许在采取适当保障措施的前提下处理特殊类别个人数据用于偏见检测与纠正

偏见检测和纠正构成重大公共利益，因为其保护自然人免受偏见和歧视的不利影响。除高风险人工智能系统外，其他人工智能系统中的偏见也可能导致歧视。《人工智能法案》已为高风险人工智能系统提供者处理特殊类别个人数据（含敏感个人数据）提供了法律依据，《人工智能数字综合法案》建议《人工智能法案》还应为其他人工智能系统的提供者、部署者以及高风险人工智能系统的部署者处理特殊类别个人数据提供法律依据。[29]

具体而言，《人工智能数字综合法案》提议在《人工智能法案》第一章中新增第4a条，规定了为偏见检测和避免之目的处理特殊类别个人数据的条件：

1、为确保根据《人工智能法案》第10条第(2)款(f)项和(g)项对高风险人工智能系统进行偏见检测与纠正，在严格必要且用合成或匿名数据无法有效实现时，此类系统的提供者可例外处理特殊类别个人数据，但须对自然人基本权利和自由采取适当保障措施。除GDPR等法规中已列举的保障措施外，还应满足以下条件：

偏见检测和纠正无法通过处理其他数据（包括合成或匿名化数据）有效完成；
特殊类别个人数据须受到再利用的技术限制，并采用最先进的安全和隐私保护措施，包括假名化；
特殊类别个人数据须采取措施确保其安全、受保护，并受到适当保障，包括严格的访问控制和记录，以避免滥用，确保只有授权人员在适当保密义务下访问这些数据；
特殊类别个人数据不得传输、转移或以其他方式被其他方访问；
一旦偏见得到纠正或个人数据达到保留期限结束（以较早者为准），应删除特殊类别个人数据；
应根据GDPR等法规进行处理活动记录，包括记录处理特殊类别个人数据对检测和纠正偏见必要性的理由，以及为何无法通过处理其他数据实现该目标。

2、前款规定可适用于其他人工智能系统和模型的提供者和部署者以及高风险人工智能系统的部署者，但处理行为须出于本款所述目的，并且在遵守本款所列保障措施。[30]

（八）延迟高风险人工智能系统合规义务的施行时间

根据《人工智能法案》原定计划，高风险人工智能系统相关条款将于2026年8月开始适用。企业如能证明其人工智能系统完全符合协调标准，即自动被视为符合人工智能法案相应条款的要求，无需逐条证明合规性。然而，目前协调标准尚未发布，企业面临无标可依的困境。

《人工智能数字综合法案》提议对《人工智能法案》第113条进行修订，以明确合规义务倒计时的触发条件。只有当协调标准、通用规范或欧盟委员会指南已经可用且足以用于遵守第三章要求（高风险人工智能系统相关规定）时，才会正式触发遵守相关合规义务的倒计时。

《人工智能数字综合法案》提议在《人工智能法案》第113条第3段增加(d)项，具体内容包括：

第三章第1、2、3节的适用需满足前提条件，即欧盟委员会通过决定确认已具备支持遵守第三章的充分措施，包括相关协调标准、通用规范或指南已经可用且足以用于遵守第三章；
在满足该前提条件后，对于根据第6条第2款和附件III归类为高风险的人工智能系统，自该决定通过之日起6个月后适用；对于根据第6条第1款和附件I归类为高风险的人工智能系统，自该决定通过之日起12个月后适用；
若欧盟委员会未通过相关决定，或以下日期早于该决定通过日期，则第三章第1、2、3节按以下时间表适用：对于根据第6条第2款和附件III归类为高风险的人工智能系统，自2027年12月2日起适用；对于根据第6条第1款和附件I归类为高风险的人工智能系统，自2028年8月2日起适用。[31]

上述修订意味着，相较于原定的2026年8月，部分附件I类产品（如医疗器械、汽车中嵌入的人工智能系统）的合规时间最多可能延迟到2028年8月2日。欧盟委员会强调，这一修订并非放松监管，而是确保有标可依后再执法，通过提供明确的合规依据，避免企业在标准缺失情况下进行盲目猜测，从而减少不必要的合规成本，实现更加科学合理的监管。

三、《数字综合法案》对 GDPR适应人工智能发展的松绑提案要点

（一）为开发和使用人工智能模型可以基于合法利益处理数据

可信人工智能是促进经济增长和支持创新并产生社会效益的关键。人工智能系统和底层模型（如大型语言模型和生成式视频模型）的开发和使用在人工智能生命周期的各个阶段（如训练、测试和验证阶段）都依赖于数据，并且在某些情况下这些数据可能被保留在人工智能系统或模型中。在此背景下处理个人数据可以基于GDPR第6条规定的合法利益目的进行，但需符合适当条件。这不影响控制者确保在特定情境或特定目的下开发或使用（部署）人工智能应符合其他欧盟或国家法律的义务，或在法律明确禁止使用时确保合规的责任，同时亦不影响其确保满足GDPR下的相关义务。[32]

《数字综合法案》为此提议在GDPR增设第88c条（人工智能开发和运营背景下的数据处理）。该条款明确规定：当个人数据的处理对于控制者在开发和运营人工智能系统（如《人工智能法案》第3条第(1)款所定义）或人工智能模型过程中所追求的利益而言确有必要时，此类处理可依据GDPR第6(1) (f)条规定的合法利益进行，除非其他欧盟或国家法律明确要求征得同意，且除非数据主体的利益或基本权利和自由高于上述利益（特别是当数据主体为儿童时）。

任何此类处理均应采取适当的保障措施，以保障数据主体的权利和自由，例如在选择数据来源阶段以及对人工智能系统或模型进行训练和测试时，确保遵守数据最小化原则；防止人工智能系统或模型中残留数据的泄露；确保向数据主体提供更高的透明度；并赋予数据主体无条件反对处理其个人数据的权利。[33]

（二）允许为开发人工智能系统的目的处理特殊类别个人数据

某些人工智能系统和模型的开发可能涉及收集大量数据，包括个人数据及特殊类别个人数据。尽管这些特殊类别个人数据并非处理目的所必需，但其可能残留于训练、测试或验证数据集中，或被保留在人工智能系统或模型中。为避免不成比例地阻碍人工智能的开发与运行，并考虑到控制者识别和移除特殊类别个人数据的能力，《数字综合法案》提议在此场景下对GDPR第9条第2款关于禁止处理特殊类别个人数据的规定引入豁免机制。[34]

《数字综合法案》提议的具体修订内容包括：

1、在GDPR第9条第2款增加第(k)项，规定在人工智能系统或模型的开发和运行过程中进行处理作为允许处理特殊类别个人数据的新豁免情形，但须符合第9条第5款所述条件；[35]

2、在GDPR第9条新增第5款，明确豁免的适用条件，包括：

应采取适当的组织和技术措施，避免收集和以其他方式处理特殊类别的个人数据；
若控制者在实施此类措施后，仍发现用于训练、测试或验证的数据集中，或人工智能系统/模型中存在特殊类别的个人数据，则控制者应删除此类数据；
若删除该等数据需付出不成比例的努力，控制者应在任何情况下确保该等数据不被用于生成输出结果，不被披露或以其他方式提供给第三方，且须采取有效保护措施且不得无故拖延。[36]

四、两项数字综合法案提案对欧盟人工智能监管的整体影响以及市场评价

（一）对企业合规成本的影响

《数字综合法案》和《人工智能数字综合法案》通过提议多项措施旨在降低企业符合欧盟人工智能监管的合规成本：

首先，提议将合规豁免范围从SMEs扩展至SMCs，并要求成员国在处罚时考虑其经济可行性。
其次，提议取消特定强制性义务，包括删除人工智能素养强制要求改为“鼓励”机制，仅对高风险人工智能系统部署者保留培训义务；取消上市后监测计划的强制统一模板，改由委员会发布指导方针；取消特定人工智能系统提供者的欧盟数据库登记义务，转变为文件记录和备查义务。
同时，在数据处理层面，提议人工智能系统和模型的开发与运营可基于合法利益处理个人数据；允许为开发人工智能系统的目的处理特殊类别个人数据，若删除系统中特殊类别数据需付出不成比例努力，控制者可在满足特定条件（包括确保数据不被用于生成输出或披露，采取有效保护措施等）的情况下保留该等数据。
最后，延迟高风险人工智能系统合规义务施行时间，确保企业有具体可依的标准、指引后再执法。

然而，也有评论质疑合规成本节约的真正受益者，指出真正受益的将是拥有大规模数据业务的科技巨头，弱化的数据保护规则使科技巨头公司能够以更低成本提取和处理海量个人数据用于人工智能训练。[37]

对于删除《人工智能法案》规定的特定人工智能系统提供者在欧盟数据库中的登记要求，有评论认为这是《人工智能数字综合法案》提案中较大的漏洞，将让不良人工智能系统提供方单方面豁免自己的义务而不受监督。[38]

（二）对监管权力配置的影响

《人工智能数字综合法案》的提案旨在强化欧盟人工智能办公室的集中监管权力。特别是提议修订后的《人工智能法案》第75(1)条规定，当人工智能系统基于通用人工智能模型且模型和系统由同一提供者开发时，欧盟人工智能办公室将独立负责该系统的监督与执行，拥有市场监管当局的所有权力；欧盟人工智能办公室还将专属监管构成或集成于超大型在线平台或搜索引擎的人工智能系统。相关提案标志着人工智能合规从成员国分散监管向欧盟层面集中监管的转变，可以解决企业面对多头监管的难题。

有评论认为，欧盟人工智能办公室更集中的监管可能会使大型人工智能系统提供者受到更集中的审查，但同时也为行业与欧盟监管机构的简化接洽提供了更为便捷的联系点。[39]

（三）对基本权利保护体系的影响

在基本权利保护方面，两项法案提案呈现松绑与保障并存的特征。一方面，提案通过提议在《人工智能法案》第一章增加4a条，并在GDPR新增第88c条和修订GDPR第9条，为人工智能系统开发提供了更灵活的数据处理路径，包括在采取适当保障措施的前提下处理特殊类别个人数据用于偏见检测与纠正，为开发和使用人工智能模型可以基于合法利益处理数据，允许在符合特定条件的情况下为开发人工智能系统的目的处理特殊类别个人数据。

另一方面，提案亦明确这些处理活动须在保障措施框架下进行，旨在平衡人工智能创新与基本权利保护：

就处理特殊类别个人数据用于偏见检测与纠正而言，相关保障措施包括受到再利用的技术限制，采用最先进的安全和隐私保护措施（包括假名化），采取严格的访问控制和记录，不得传输、转移或以其他方式允许其他方访问特殊类别数据，一旦偏见得到纠正或个人数据达到保留期限结束（以较早者为准）应删除特殊类别个人数据等；
就为开发和使用人工智能模型基于合法利益处理数据而言，相关保障措施包括遵守数据最小化原则，防止残留数据泄露，向数据主体提供增强的透明度以及赋予数据主体无条件反对其个人数据被处理的权利等，旨在平衡人工智能创新与基本权利保护；
就为开发人工智能系统的目的处理特殊类别个人数据而言，相关保障措施包括采取适当的技术和组织措施以避免处理此类数据，一旦识别出特殊类别数据即予以删除，但当删除行为需要付出“不成比例的努力”时，控制者必须及时采取有效保护措施，确保该等数据不被用于生成输出结果，不被披露或以其他方式提供给第三方。

然而，有评论认为，仍有许多问题仍有待澄清，例如如何实质提供更高的透明度，以及实践中个人如何有效行使对此类训练的反对权。[40]

结语

欧盟《数字综合法案》与《人工智能数字综合法案》的出台，标志着欧盟在人工智能监管领域进入务实调整阶段。两项提案直面《人工智能法案》实施困境与GDPR适用难题，通过扩大中小企业豁免范围、简化行政程序、延迟合规时限、放宽数据处理限制等措施，试图在创新激励与基本权利保护之间寻求新的平衡点。

然而，改革亦伴随争议。两项提案尚未正式通过，最终是否能通过以及通过的文本会有哪些修改仍存在较大不确定。尽管如此，其释放的信号十分明显，欧盟正尝试在维持基本权利保护底线的前提下，为人工智能产业发展松绑减负。这场监管实验的成败，不仅关乎欧盟数字主权与产业竞争力，更将为全球人工智能治理提供重要参考。

同时，对于出海欧盟涉及触发《人工智能法案》的中国人工智能企业，建议密切关注前述“松绑”提案的进展，以确保落实相应的合规要求。

脚注：

[1] 《数字综合法案》第1页

[2] 《数字综合法案》Legislative Financial And Digital Statement第1.3条

[3] 参见Why delaying AI Act enforcement is essential for European SMEs (https：//www.digitalsme.eu/why-delaying-ai-act-enforcement-is-essential-for-european-smes)

[4] How Much Will the Artificial Intelligence Act Cost Europe? (https：//www2.datainnovation.org/2021-aia-costs.pdf)

[5] 《人工智能数字综合法案》Article 1第(3)段

[6]《人工智能数字综合法案》鉴于条款第(4)段

[7] 《人工智能数字综合法案》鉴于条款第(4)段；正文Article 1第(1)段

[8] 《人工智能数字综合法案》Article 1第(1)段

[9] 《人工智能数字综合法案》Article 1第(29)(a)段

[10] 《人工智能数字综合法案》鉴于条款第(5)段

[11] 《人工智能数字综合法案》鉴于条款第(5)段

[12] 《人工智能数字综合法案》Article 1第(4)段

[13] 《人工智能法案》第72条

[14] 《人工智能数字综合法案》鉴于条款第(23)段

[15] 《人工智能数字综合法案》Article 1第(24)段

[16] 《人工智能法案》第6(3)条

[17] 《人工智能数字综合法案》鉴于条款第(9)段

[18] 《人工智能数字综合法案》Article 1第(14)段

[19] 《人工智能数字综合法案》Article 1第(6)段

[20] 《人工智能数字综合法案》Article 1第(25)(b)段

[21] 《人工智能数字综合法案》鉴于条款第(14)段

[22] 《人工智能数字综合法案》鉴于条款第(10)段

[23] 《人工智能数字综合法案》鉴于条款第(11)段

[24] 《人工智能数字综合法案》Article 1第(17)段

[25] 《人工智能数字综合法案》Article 1第(17)段

[26] 《人工智能数字综合法案》Article 1第(18)段

[27] 《人工智能数字综合法案》Article 1第(19)段

[28] 《人工智能数字综合法案》Article 1第(20)段

[29] 《人工智能数字综合法案》鉴于条款第(6)段

[30] 《人工智能数字综合法案》Article 1第(5)段

[31] 《人工智能数字综合法案》Article 1第(31)段

[32] 《数字综合法案》鉴于条款第(30)段

[33] 《数字综合法案》Article 3第15条

[34] 《数字综合法案》鉴于条款第(33)段

[35] 《数字综合法案》Article 3第3条

[36] 《数字综合法案》Article 3第3条

[37] Corporate Europe Observatory: Article by article, how Big Tech shaped the EU’s roll-back of digital rights (https://corporateeurope.org/en/2026/01/article-article-how-big-tech-shaped-eus-roll-back-digital-rights)

[38] Corporate Europe Observatory: Article by article, how Big Tech shaped the EU’s roll-back of digital rights (https://corporateeurope.org/en/2026/01/article-article-how-big-tech-shaped-eus-roll-back-digital-rights)

[39] PWC: EU’s Digital Omnibus offers AI regulatory relief, but questions remain (https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/tech-regulatory-policy-developments/eu-digital-omnibus.html)

[40] The “Digital Omnibus”: Ten Key Changes to the GDPR (https://www.stephensonharwood.com/media/4oajo5bu/styled-digital-omnibus-article-nov-2025.pdf)

来源：金杜研究院，https://www.kwm.com/cn/zh/home.html

作者：

赵新华，金杜律师事务所、合伙人；业务领域：公司并购、外商直接投资、公司重组、数据及隐私保护：联系方式：邮箱：atticus.zhao@cn.kwm.com
单文钰，金杜律师事务所、公司业务部、资深律师
司马丹旎，金杜律师事务所、公司业务部

特别声明：本篇文章的所有内容仅供参考与交流，不代表金杜律师事务所的法律意见以及对法律的解读。