让 GDPR 真正“跑起来”:从 2025 年 6 月三方临时协议看欧盟跨境数据保护执法加速机制

来源:那一片数据星辰

文章摘要
欧盟理事会与欧洲议会在 2025 年 6 月 16 日宣布,就《补充GDPR执法程序规则条例》(以下简称“程序规则”)达成政治层面的临时协议。

欧盟理事会与欧洲议会在 2025 年 6 月 16 日宣布,就《补充GDPR执法程序规则条例》(以下简称“程序规则”)达成政治层面的临时协议。该新闻由理事会波兰轮值主席国发布,虽然正式协调文本尚未公开,但核心框架和折中条款已基本定型,距离立法终点只差法律语言校订与两机构的形式性表决。对于自 2018 年 GDPR 生效以来久拖未决的跨境大案来说,这一里程碑被视为“GDPR 2.0 的程序加速器”,将重塑监管机关、企业与公民在跨境执法中的互动方式。(consilium.europa.eu)
一、跨境案件为何屡遭诟病?
按照 GDPR 现行第60 条“单一机构机制”(One-Stop-Shop,OSS),一家在爱尔兰设欧洲总部、同时向多国用户提供服务的互联网平台,其违规调查由爱尔兰数据保护委员会(DPC)作为主导监督机构(LSA)启动,再与德国、法国、意大利等“利益密切相关的监督机构”(CSA)协作。但实践中,各国对“可受理投诉”的要件、资料完整度、听证节点以及送达方式缺乏统一标准,导致申请材料与质证意见在多国间来回往返;同时,GDPR 只对部分阶段设有时间限制,却未给出调查“总周期”的硬性上限。高知名度的 Meta、TikTok、Amazon 等案件经历动辄三至五年的拉锯,不仅令投诉人怨声载道,也让企业难以评估合规风险并及时纠正问题——GDPR 在“权利落地速度”上的短板愈发突出。(consilium.europa.eu, consilium.europa.eu)
二、欧盟委员会“程序规则”提案的出炉
为回应各国监督机构、欧洲议会及民间组织(如 NOYB)的批评,欧盟委员会于 2023 年 7 月 4 日发布 COM(2023) 348 final 提案,明确提出“补充而不修改 GDPR 实体权利义务”的立场:所有改动仅聚焦程序层面,包括统一投诉表单最低信息字段、规定关键节点的意见征询义务、为 LSA 与 CSA 之间的信息交换设置时限,以及引入法律语言清晰的争议解决流程。委员会同时附上一份技术性“附录 A”,列明投诉必须包含的数据字段与格式,意在从源头减少“材料缺漏”造成的程序延宕。(eur-lex.europa.eu, astrid-online.it)
三、从提案到三方谈判:立法轨迹的关键节点
进入 2024 年,欧洲议会司法自由委员会(LIBE)率先完成意见审查,并在 4 月 10 日的全会一读中通过议会立场。议会在支持委员会框架的同时强调“调查时效性”与“投诉人参与权”,要求引入调查总时限以及对被调查企业出具“初步调查结论”的强制义务。同年 6 月 13 日,理事会司法与内政部长会议通过“一般立场”(General Approach),增补了“早期解决机制”(Early-Resolution) 与“双轨协作模式”(simple / enhanced cooperation) 等概念。三方立场在部分条款上存在温差,例如时限设定、各阶段暂停时钟的条件以及早期解决能否暂停时限等,但框架已趋于收敛。(europarl.europa.eu, consilium.europa.eu)
2025 年 6 月,在波兰轮值主席国主持下,理事会、议会与委员会经过数轮闭门协商,最终就核心分歧达成“临时政治协议”。根据理事会新闻稿,主要妥协集中在五个维度:统一受理标准、当事人程序权利、调查时限、早期解决机制以及关键问题摘要制度。这一协议尚需交由法律语言专家组完成 24 种官方语言的校订,生成带有“PE-CONS”编号的协调文本,并分别提交议会二读及理事会 A-point 通过,但一般不会再对政策要点做实质变更。(consilium.europa.eu)
四、临时协议的五大制度创新
第一,统一受理标准。无论公民在哪个成员国提交跨境投诉,监督机构都必须按照同一信息清单判断“可受理性”。这一信息清单源自委员会附录 A,被进一步转化为法规附件,具有直接适用效力。对于个人或 NGO 而言,只需一次性准备标准化材料,即可在 OSS 框架内畅通流转,免去反复补件的挫败感。(consilium.europa.eu)
第二,当事人程序权利被体系化。新闻稿明确写入两项刚性义务:其一,若 LSA 拟驳回投诉,必须在做出决定前书面征询投诉人意见;其二,被调查企业须在案件关键节点收到 preliminary findings,并获合理期限进行陈述。该设计不仅回应了企业对“程序性防御权”的呼声,也让投诉人免于“被动旁观”,有助于提升行政程序的可接受度。(consilium.europa.eu)
第三,首次设定调查“硬时限”。普通跨境案件需在 15 个月内完成全部调查与协调流程;若案件因技术复杂或涉及大规模数据而确属“高度复杂”,LSA 可以一次性申请最长 12 个月的延长期。对事实争议有限、法律问题清晰的小型案件,可走“简单协作程序”,其总时限被压缩至12 个月。这意味着 OSS 机制终于告别“无限拉长”的灰色地带,企业与投诉人都能据此安排资源与预期。(consilium.europa.eu)
第四,引入早期解决机制。若企业在立案后已及时纠正所有被指控的违规行为,且投诉人无异议,LSA 可在与 CSA 共享信息后、正式启动协作前直接结案。早期解决被视为“案件分流阀”,允许监督机构把有限的执法资源集中投入重大、系统性风险案件,同时给合规积极的企业留出“改错窗口”,减少不必要的罚款与公共对抗。(consilium.europa.eu)
第五,关键问题摘要与双轨协作。LSA 必须在调查早期向其他 CSA 发送 summary of key issues,列明事实范围、潜在法理争议及拟采取的调查措施,CSA 有固定期限发表意见。在此基础上,若各方认为案情简单且无结构性分歧,可共同同意走简单协作程序;反之则进入“增强协作程序”,并预留 EDPB 强制决议的可能。此举旨在将分歧前置、减少尾声阶段的“火车对撞”式仲裁。(consilium.europa.eu)
五、与 2023 委员会草案的对比与妥协轨迹
与委员会最初版本相比,三方协议在调查时限与早期解决两大方面作了显著强化:一方面,委员会草案仅对某些阶段(如意见征询)设“阶段时限”,对调查总周期保持弹性;议会与理事会则要求给出“15+12 个月”的硬性上限,以回应公众对“迟到的正义”的不满。另一方面,草案鼓励非正式和解,但未提供暂停程序时钟的明确规则;理事会在 2024 年一般立场中首次提出“早期解决”并将其制度化,议会经过谈判同意将该机制写入法条,并限定四周异议期,确保程序公开透明。(consilium.europa.eu)
六、对不同利益相关方的影响
对公民而言,统一表单让投诉门槛与流程可预测;调查时限压缩意味着更快拿到结果;听取意见与知情权得以加强,减少“黑箱作业”担忧。对企业特别是大型跨国平台来说,程序骨架被固化:何时会收到 preliminary findings、多久需提交陈述、何时可能触发 EDPB 强制决议,都有明确节点可依;同时,早期解决与简单协作程序为积极配合合规的企业打开“快速结案”通道。对于各国监督机构,统一受理标准和关键问题摘要有助于降低行政摩擦,强制时限则倒逼内部流程再造与资源调度;但也对人力、技术和翻译能力提出更高要求,部分中小监管机关或需欧盟层面的经费与培训支持。(consilium.europa.eu, iapp.org)
七、仍待观察的挑战
首先,监督机构的资源差距可能成为新时限的“木桶短板”。一些成员国 DPA 原本人手就不足,若无法按 15 个月完成高技术复杂度案件,可能频繁诉诸延长期,从而削弱规则初衷。其次,早期解决是否会被企业滥用于“快速漂白”亦受关注,未来需观察 LSA 对“实质整改”与“投诉人无异议”如何作证据审查。再次,关键问题摘要将大量信息前置分享,虽然有助于形成共识,但也可能在尚未查清事实时就将企业关键信息暴露于多国 DPA,增加数据安全与保密风险,需要平衡透明度与商业秘密保护。(iapp.org)
八、下一步程序与正式文本发布时间表
根据普通立法程序惯例,临时协议达成后,法律语言专家组需对 24 种官方语言进行一致化校订;随后在 Consilium 网站生成“PE-CONS xx/25”协调文本(约 2025 年第三季度可公开)。欧洲议会全会预计在 2025 年 10 月左右进行二读表决;理事会则作为 A-point 无讨论通过。正式法规将在《欧盟官方公报》(OJ L) 刊登后第20 天生效。委员会原草案为 DPA 和企业预留了 6 个月过渡期,三方文本是否调整需等最终条文确认。(consilium.europa.eu)
九、企业合规路线图:四个“提前量”
第一,提前量化内部案件管理节奏。企业法务与隐私团队应依据“15 + 12 个月”倒排时间表,预留证据收集、内外部法律审核、管理层批示等缓冲,避免在质证期限内仓促作答。第二,尽快搭建“早期解决”预案:包括违规自查清单、整改完结证明模板以及与投诉人沟通的标准协议文本,一旦触发立案即可迅速评估早期解决可行性。第三,升级跨境投诉接口与隐私声明,将委员会附录 A 的字段映射到企业客服或 DPO 通道,减少因信息缺失导致的立案延迟。第四,跟踪 PE-CONS 文本与法律语言修订,特别是附录表单、关键问题摘要格式等技术细节,以便及时调整内部工作流。(consilium.europa.eu)
十、结语:程序升级背后的治理哲学
GDPR 作为全球最具影响力的数据保护法规,其立法者在 2016 年就对跨境案件的复杂性有所预见,却低估了数字平台爆炸式增长所带来的案件量与技术难度。历经七年运行,OSS 机制“复杂案越拖越久、简单案也难快结”的顽疾已影响到 GDPR 的公信力。三方临时协议通过“同一把操作手册”统一受理门槛、通过强制时限压缩周期、通过早期解决与双轨协作优化资源分配,体现出欧盟在数据治理领域“先实体后程序、再用程序促实体”的迭代思路。它不会立即解决所有争议,但为监管机关和市场主体提供了更清晰、对称和可预测的游戏规则,也向全球释放出“制度本身也需要持续迭代”的信号。随着正式文本在 2025 年底前后塵埃落定,企业若能抓住“提前量”窗口完成合规升级,或许可以把握住下一个数字市场竞争的节奏;而公民也有望在更短周期内看到 GDPR 权利的真正兑现。
附:新闻稿全文翻译
数据保护:理事会与欧洲议会达成协议,提升跨境GDPR执法服务公民
欧盟理事会(由波兰担任轮值主席国)和欧洲议会就一项新法律达成了临时协议,该法律将改善各国数据保护机构在执行《通用数据保护条例》(GDPR)跨境案件时的协作。
“我们在提升各国数据保护机构在执行GDPR下公民权利方面的协作上迈出了重要一步。我们的目标是加快处理公民或组织提交的跨境GDPR投诉的流程。”
——Krzysztof Gawkowski,波兰副总理兼数字事务部长
欧洲共同立法者就一系列规则达成一致,这些规则将简化与申诉人权利或案件可受理性等相关的行政程序,从而提升自2018年5月25日生效的GDPR的执法效率。
可受理性
一旦通过,该法规将加快处理公民或组织提交的跨境GDPR投诉及其后续调查的流程。这主要得益于对跨境行动可受理性要求的统一。无论欧盟公民在哪个成员国提交与跨境数据处理相关的投诉,可受理性都将基于相同的信息进行判断。
申诉人及被调查方的权利
新法规将统一申诉人在投诉被驳回时获得听证的要求和程序,并就申诉人在程序中的参与制定共同规则。
被调查企业或组织在程序关键阶段的陈述权也将得到保障。
申诉人和被调查的公司或组织将有权在最终决定前收到初步调查结论,以便对其发表意见。
时限
新规则为调查完成设定了时限。共同立法者同意,常规调查的总时限为15个月,最复杂案件可延长12个月。对于各国数据保护机构之间的简单协作程序,调查应在12个月内完成。
更快的投诉解决机制
理事会和欧洲议会同意设立一项机制,以更快地解决投诉。该“早期解决机制”允许数据保护机构在启动处理跨境投诉的标准程序之前(即在涉及其他国家机构之前)解决案件。如果相关公司或组织已纠正违规行为,且申诉人未对早期解决提出异议,则可适用此机制。
简化协作程序
为避免各数据保护机构在具体案件上进行旷日持久的讨论,新法规引入了促进共识的措施。其中一项措施是,主导机构有义务向欧盟其他同行发送“关键问题摘要”。这将确保各方能在早期获得表达意见所需的全部信息。
最终文本保留了理事会提出的“简化协作程序”建议,即在案件较为简单时,可以不适用所有附加规则。这使数据保护机构能够避免行政负担,迅速处理无争议案件,并在更复杂调查中充分利用新增的协作规则。
下一步
今天达成的临时协议需经理事会和欧洲议会确认。新规则将在两机构最终通过后生效。
背景
GDPR作为欧盟具有里程碑意义的数据保护法,统一了欧洲的数据保护权利,并建立了各国数据保护机构之间的协作体系。这些机构负责执行GDPR,在涉及跨境数据处理的案件中有义务协作。例如,当申诉人居住在与被调查公司不同的成员国时,就属于此类跨境案件。
在此类跨境案件中,一个国家的数据保护机构将作为主导机构负责调查,但必须与其他成员国的同行协作。
原文链接:Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens
https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/

技术驱动法律,专业成就未来