欧盟《数字综合条例》对《通用数据保护条例》中个人数据定义的影响

11月19日，欧盟委员会提出一项名为《数字综合条例》（Omnibus Regulation）的法规草案，旨在简化并整合欧盟内部各项数字法规。其中最重大的拟议修订之一，涉及欧盟《通用数据保护条例》（GDPR）第4条第1款中个人数据的定义。

《综合条例》当前草案提议在《通用数据保护条例》的个人数据定义中增补三项内容。这三项拟议条款强化了《通用数据保护条例》序言部分已载明的原则，同时呼应了欧盟法院关于何种信息不属于《通用数据保护条例》所指个人数据（因而不在该条例适用范围）的司法判例。 

所提议的三句补充内容如下：

• “与自然人相关的信息，并非仅因其他实体能够识别该自然人，就必然构成对所有其他个人或实体而言的个人数据。” 此项修订明确指出：若某处存在能够识别数据主体的实体，该信息仍不足以构成个人数据。唯有实际处理个人信息的实体（控制者或处理者）能够识别数据主体时，相关信息才构成个人数据。其他主体识别个体的可能性与之无关。
• “对于特定实体而言，若该实体无法通过其合理可能采用的手段识别与信息相关的自然人，则该信息不应被视为个人数据。” 该表述自然承接前文，核心在于：信息是否构成个人数据，取决于实体可能掌握的其他信息及其合理可能采取的其他手段。 换言之，仅凭实体可能采取极端手段识别个人，信息并不构成个人数据。唯有当处理信息的实体具备获取补充信息的手段，且合理可能使用这些手段时，该信息才构成个人数据。其适用范围尚待观察，但这可能意味着合同限制已足够有效。 例如，若实体对个人数据进行假名化处理，且合同禁止其提供可重新识别身份的密钥或其他信息，接收假名化数据的一方可能将其视为非个人信息。值得注意的是，该概念始终是《通用数据保护条例》第26条序言部分的内容，但在数据保护及类似协议中常被签约方忽视。
• “此类信息不会仅因潜在后续接收方具备合理可能用于识别信息所涉自然人的手段，就成为该实体的个人数据。” 这一修订再次明确：个人数据的认定本质上取决于"观察者的视角"（或者说数据持有者的视角）。 简言之，若某实体无法依据其持有的信息识别数据主体，但将信息提供给具备识别能力的第三方，则该信息对原始实体而言不构成个人数据，却成为接收实体的个人数据。这意味着个人数据可能随持有者身份的转换，在个人数据与非个人信息的状态间动态转换。 

对企业的影响

尽管这些修订在很大程度上重申了《通用数据保护条例》序言部分的既有内容，但若获采纳，拟议修订仍可能影响数据传输方与接收方之间的合同谈判——这些谈判原本就受《通用数据保护条例》约束。 尽管许多组织声称经适当匿名化或假名化处理的信息在接收方手中仍属个人数据——尽管此观点与说明条款相悖——但该表述将明确指出：若接收方无法识别数据主体，且不具备合理手段或获取可实现此类识别的信息，则此类信息可能不构成个人数据。 若信息持有者向可能重新识别该信息使其成为个人数据的对象传递非个人数据，该信息对发送方而言仍不构成个人数据。 

实际上，这些修订若获采纳，将明确规定：对于无法合理利用匿名化及假名化信息识别个人的组织，其相关义务低于《通用数据保护条例》对个人数据设定的要求，这有助于减少将有限资源投入于现已明确属于非个人数据领域的必要性。 

若这些变更获得采纳，其影响范围可能更为广泛。因为这意味着匿名化或假名化信息（前提是接收方无法合理识别个人身份）在特定情况下可不受限制地使用（例如用于人工智能训练），甚至在数据进口方仍无法识别个人身份时，无需采用标准合同条款或其他数据保护措施即可向欧盟境外转移。 

11月19日，欧盟委员会发布了一项旨在简化并整合多项欧盟数字法律的法规草案，即所谓的《数字综合条例》。 其中最具影响力的拟议修订涉及《欧盟通用数据保护条例》第4条第1款中个人数据的定义。个人数据的界定不仅决定了GDPR的适用范围，还对欧盟数字法规体系中的其他法律文件产生实际影响，例如《人工智能法案》或《数据法案》。

查看参考文章