欧盟委员会第四个简化综合包:重新定义中小企业标准与GDPR义务减免的法律革新

来源:那一片数据星辰

文章摘要
欧盟委员会于2025年5月21日正式发布第四个简化综合包(Fourth Omnibus Simplification Package),这一里程碑式的立法提案标志着欧盟在平衡企业竞争力与监管合规之间寻

欧盟委员会于2025年5月21日正式发布第四个简化综合包(Fourth Omnibus Simplification Package),这一里程碑式的立法提案标志着欧盟在平衡企业竞争力与监管合规之间寻求新的均衡点。该综合包预计将为欧盟企业每年节省4亿欧元的行政成本,同时创建了一个全新的企业分类标准——"小型中等市值公司"(Small Mid-Caps, SMCs),并对《通用数据保护条例》(GDPR)的合规义务进行了重要调整。这一系列改革不仅体现了欧盟在后疫情时代提升经济竞争力的迫切需求,也反映了在数字化转型背景下重新审视监管框架适应性的深层思考16。
政策背景与立法动因
当前欧盟面临的监管负担问题已成为制约企业发展的重要因素。根据BusinessEurope的调查数据,超过60%的欧盟公司将监管视为投资的障碍,55%的中小企业将监管障碍和行政负担标识为其面临的最大挑战。欧盟委员会主席冯德莱恩在2023年3月首次承诺减少企业报告义务,并在其使命信中明确要求各委员将报告要求至少减少25%(对中小企业减少35%)作为优先目标6。
这一政策转向的理论依据源于恩里科·莱塔和马里奥·德拉吉两位前意大利总理的高层报告,这些报告将监管负担和欧盟法律简化确定为新一届欧盟任期的重中之重。德拉吉报告特别强调,欧盟必须修复其碎片化的单一市场以充分发挥经济效益,而简化监管框架正是实现这一目标的关键路径。欧盟经济事务专员瓦尔迪斯·东布罗夫斯基斯表示,该综合包将进一步削减4亿欧元的欧盟经营成本,这一数字反映了改革的实质性影响16。
小型中等市值公司新标准的确立
第四个简化综合包的核心创新在于建立了"小型中等市值公司"这一全新的企业分类标准。根据欧盟委员会官方提案文件(COM(2025) 501 final),SMCs的定义为员工人数少于750人,且年营业额不超过1.5亿欧元或总资产不超过1.29亿欧元的公司。这一标准的设立填补了传统中小企业(员工少于250人)与大型企业之间的监管空白地带15。
统计数据显示,欧盟境内约有38000家公司符合SMCs标准,这些企业将能够享受到之前仅适用于中小企业的某些简化措施或豁免规定。这一分类的建立具有重要的政策意义,因为当中小企业增长超过250名员工时,它们就被归类为大型企业,面临合规义务的急剧增加,这种现象往往会抑制企业的增长动力并限制其竞争力。通过创设SMCs类别,欧盟试图为这些处于成长期的企业提供更为渐进式的监管过渡,避免因监管门槛的突然提升而产生的"成长陷阱"效应68。
欧盟工业事务专员斯蒂芬·塞若尔内强调,这些措施的目标是帮助中小企业实现增长,而SMCs标准的确立正是为了确保企业在扩张过程中不会因为监管负担的突然增加而面临发展瓶颈。这种分级监管理念体现了欧盟在监管设计上的精细化思考,认识到不同规模企业在资源配置、合规能力和市场地位方面的显著差异15。
GDPR合规义务的重要调整
在数据保护领域,第四个简化综合包对GDPR第30条关于处理活动记录的义务进行了结构性修订。根据欧盟委员会官方提案文件(COM(2025) 501 final)第8-10条,修订包含以下核心内容:
豁免范围的三重扩展
员工人数阈值从250人提升至750人,覆盖新定义的SMCs企业。风险判断标准从"可能对数据主体权利和自由造成风险"限缩为GDPR第35条定义的"高风险"情形,即涉及系统性评估、自动化决策或大规模处理特殊类别数据等场景18。
敏感数据处理的精准豁免
修订后的GDPR第30条第5款明确规定:为履行就业、社会保障或社会保护法定义务而进行的特殊类别数据处理可免于记录。此豁免援引GDPR第9条第2款(b)项,其适用范围包含三大领域:就业法(如职业病监测与劳动合同管理);社会保障法(如养老金缴纳与失业保险处理);社会保护法(如残疾人福利发放与儿童保护服务)148。
认证或行为准则考量中小企业
《通用数据保护条例》(GDPR)第40条规定,成员国、监管机构、委员会等必须鼓励行业协会或其他代表数据控制者或处理者的组织制定行为准则,同时考虑各处理领域的特定特征以及微型、小型和中型企业的特定需求。应将这一条款的适用范围扩展至小型中型企业(SMCs),以确保在制定行为准则时也能考虑其特定需求。GDPR第42条规定,成员国、监管机构、委员会等必须鼓励(特别是在联盟层面)认证机构或主管监管机构建立数据保护认证机制以及数据保护印章和标识,并在此过程中考虑中小企业(SMEs)的特定需求。应将这一条款的适用范围扩展至小型中型企业(SMCs),以确保在颁发认证时也能考虑其特定需求。
各方评价与反应分析
商界对第四个简化综合包普遍表示欢迎,认为这是欧盟回应企业界长期诉求的积极信。BusinessEurope在其官方声明中支持冯德莱恩主席减少报告要求的承诺,并赞同所谓的"综合包"方法,认为这种做法能够通过一个或几个有针对性的步骤解决多项立法中的报告要求。Eurochambres(欧洲商会网络)也表达了类似观点,欢迎委员会减少报告义务25%(对中小企业减少35%)的承诺68。
然而,商界团体也提出了更为深入的期望。Eurochambres强调,报告义务仅占企业整体合规成本的一小部分,呼吁采取更加激进的方法来消除不必要的官僚主义,使欧洲成为具有吸引力的商业和投资目的地。该组织还主张建立明确的战略和方法论,引入易于获取的信息和指标,以实现透明的监测和进展咨询68。
在数据保护领域,欧洲数据保护委员会(EDPB)和欧洲数据保护监督员(EDPS)在5月8日致专员迈克尔·麦格拉思的联合信函中对GDPR简化提案表达了初步支持,但同时敦促欧盟委员会评估这些变化对数据保护和小企业的影响。这两个监管机构强调需要采取平衡和基于风险的方法,并呼吁委员会进行详细的影响分析48。
学界和民间组织的观点则更为谨慎。Tech Policy Press的评论文章警告称,GDPR"简化"改革可能会削弱来之不易的保护措施,认为这些改革虽然以简化为名,但实际上是更广泛的去监管趋势的一部分。该文章批评欧盟过度迷恋所谓的"竞争力"概念,认为这种叙述要求更多数据以促进进步,这种议程有可能既损害人权,也损害旨在保护这些权利的监管结构8。
2025年5月19日,欧洲数字权利组织(EDRi)联合Access Now、国际特赦组织、Mozilla、Proton等108家公民社会组织、学术机构与企业签署公开信,对GDPR修订提出系统性批评。该联署行动创造了欧盟数字政策领域最大规模的公民社会联合响应记录。公开信指出,将记录义务豁免与企业规模挂钩的做法根本性背离GDPR的风险导向原则21
法律影响与未来展望
第四个简化综合包的推出反映了欧盟在面对全球竞争压力下对监管理念的重要调整。这种调整体现在从传统的"一刀切"监管模式向更加精细化、分层次的监管框架转变。SMCs标准的确立不仅是技术性的分类调整,更是监管哲学从规模导向向能力导向转变的体现16。
从GDPR的角度来看,记录保存义务的调整虽然在条文上有所放宽,但其实际影响需要在具体实施中进一步观察。正如多位专家所指出的,现代企业的数据处理活动往往具有复杂性和规模性特征,很多仍将被归类为"高风险"处理,因此仍需遵守记录保存义务。这种现象表明,技术发展与法律条文之间存在着动态的互动关系,单纯的法条调整可能无法完全解决企业面临的合规挑战4814。
值得注意的是,这一改革还面临着来自不同利益相关方的平衡压力。一方面,企业界持续呼吁更大幅度的简化措施;另一方面,数据保护倡导者担心过度简化可能会削弱个人权利保护。欧盟需要在这两种诉求之间找到适当的平衡点,既要维护其在全球数据保护标准制定中的领导地位,又要确保欧洲企业在数字经济竞争中的活力48。
结论
欧盟委员会第四个简化综合包代表了欧盟在新时代背景下重新审视监管与竞争力关系的重要尝试。通过创设SMCs标准和调整GDPR义务,该综合包试图为欧洲企业,特别是中等规模企业,提供更为适宜的发展环境。然而,这一改革的成效最终将取决于其在实践中的具体实施效果,以及各成员国在转化和执行过程中的统一性和一致性。未来几年,随着这些措施的逐步实施,其对欧盟经济竞争力和数据保护水平的实际影响将成为评价这一改革成败的关键指标168。
Citations:
1.https://single-market-economy.ec.europa.eu/document/download/d88a75de-b620-4d8b-b85b-1656a9ba6b8aen?filename=Proposal+for+a+Regulation+-+Small+mid-caps.pdf
2.https://www.eu.dk/samling/20251/kommissionsforslag/KOM(2025)0501/forslag/2141533/3025651.pdf
https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing
en
3.https://digitalpolicyalert.org/event/29823-european-data-protection-board-and-european-data-protection-supervisor-adopted-joint-letter-to-european-commission-concerning-the-draft-proposal-on-the-simplification-of-record-keeping-obligation-under-regulation-eu-2016679-general-data-protection-r
4.https://single-market-economy.ec.europa.eu/document/download/539ed995-b244-4ce5-a501-9d1d4a37f56een?filename=SWD+Proposal+for+a+Regulation+and+a+Directive+-+Small+mid-caps.pdf
5.https://www.reneweuropegroup.eu/news/2025-05-21/single-market-omnibus-more-sizes-fit-all
6.https://ec.europa.eu/newsroom/article29/item-detail.cfm?item
id=611236
7.https://www.hunton.com/privacy-and-information-security-law/edpb-and-edps-support-gdpr-record-keeping-simplification-proposal
8.https://wisconsindot.gov/rdwy/stndspec/ss-05-01.pdf
9.https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/
10.https://www.dpcolo.org/wp-content/uploads/2023/11/Acronym-Guide.pdf
11.https://www.autoriteitpersoonsgegevens.nl/en/themes/basic-gdpr/gdpr-in-practice/data-protection-impact-assessment-dpia
12.https://www.imo.org/en/About/Conventions/Pages/Amendments-to-IMO-instruments.aspx
13.https://www.edpb.europa.eu/sites/default/files/decisions/ukicoarticle354listforedpb.pdf
14.https://www.smchealth.org/general-information/2025-ems-policies
15.https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/ciplcommentsonnationaldpalistsofhighrisk_processing.pdf
16.https://www.iso.org/standard/86994.html
17.https://natlawreview.com/article/european-commission-proposes-expansion-records-processing-derogation
18.https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
19.https://natlawreview.com/article/edpb-and-edps-support-gdpr-record-keeping-simplification-proposal
20.https://edri.org/wp-content/uploads/2025/05/Final-EDRI-letter-against-GDPR-simplification.pdf

技术驱动法律,专业成就未来