歐盟委員會於 2025 年 11 月 19 日正式推出「數碼綜合法案(Digital Omnibus Package)」,對運行七年的《通用數據保障條例》(GDPR)及剛生效一年的《人工智能法案》進行重大修訂。這項改革容許企業更便捷地使用匿名及仿匿名數據進行 AI 模型訓練,將高風險 AI 系統合規期限延後至 2027 年 12 月,並簡化繁複的 cookie 視窗機制。此舉預計每年能為歐洲企業節省高達 50 億歐元(約港幣 424 億元)合規成本,但也引發民權組織與私隱倡議者強烈反彈,指責歐盟向美國大型科技公司妥協,削弱用戶基本權利。
政策大轉彎:從嚴格監管轉向重視競爭力
歐盟本次改革標誌其數碼政策重大轉向,從過去對科技巨頭強硬監管,轉為更注重產業創新與經濟競爭力。改革背後動力來自多方壓力,包括德法兩國政府、美國前總統特朗普政府,以及歐洲央行前行長 Mario Draghi 提交的競爭力報告。Draghi 在 2024 年報告中警告,歐盟面臨「逐漸衰退」風險,其中數碼技術投資不足,是導致歐美生產力差距擴大關鍵因素。報告指出過去數十年來,數碼技術一直是歐美生產力差距擴大主要驅動因素,歐洲目前看來將進一步落後。這份報告成為推動本次法規簡化重要催化劑,迫使歐盟委員會重新審視監管策略帶來的經濟代價。
歐盟技術主權執行副主席 Henna Virkkunen 強調,改革核心目標是「為創新創造空間,同時堅守歐洲價值」。她指出歐盟擁有成功創新所需條件,但中小企經常被繁瑣規則拖累,簡化法律、開放數據存取能夠推動歐洲市場化。然而這種「簡化即非削弱」說法遭私隱權倡議者質疑,認為是對現實的美化包裝。
AI 法規延遲執行:產業喘息空間還是監管倒退?
高風險 AI 系統監管延遲是本次改革最具爭議部分。原定於 2026 年 8 月生效的高風險 AI 規範,現推遲到 2027 年 12 月,延長 16 個月寬限期。所謂「高風險」AI 系統包括用於關鍵基礎設施、教育評分、就業決策、執法和生物認證等領域 AI 應用。這項延遲是在德法兩國強烈要求下作出,兩國政府認為需要更多時間讓產業準備相關標準及支援工具。歐洲 AI 生態系統不滿情緒在 2025 年中期已廣為人知,超過 30 位創始人和風險投資者簽署公開信,主張該法案可能「創造一個碎片化、不可預測的監管環境,將削弱創新、阻礙投資,最終讓歐洲落後」。
對於歐洲初創企業而言,AI 法案合規成本確實構成重大挑戰。一項針對初創企業調查顯示,50% 受訪者擔心 AI 法案會「減緩歐洲 AI 創新」,16% AI 初創企業甚至考慮停止開發 AI 或遷移到歐盟以外地區。雖則歐盟預估合規成本在 16 萬至 33 萬歐元(約港幣 135 萬至 280 萬元)之間,但有 19% 初創企業預期成本會更高。這些數據突顯監管與創新之間緊張關係,也解釋為何產業界如此積極遊說延遲執行。然而批評者認為這種延遲是向大型科技公司妥協,犧牲公共安全與權利保護。
GDPR 修訂爭議:私隱保護與商業便利取捨
GDPR 修訂內容同樣引發激烈辯論。新提案將在 GDPR 中新增第 88a 條,定義四種不需要明確同意即可處理個人資料的狹義用途,包括純粹數據傳輸、用戶明確要求的服務提供、僅供內部使用的聚合受眾測量,以及維護服務或用戶裝置安全。這意味購物車等會話 cookie 或用於測量網站自身流量的聚合數據將不再需要用戶同意,但任何涉及第三方分析、追蹤或廣告技術,特別是跨服務分析用戶技術,仍需獲得同意。新法案引入具法律約束力的自動化、機器可讀同意和拒絕訊號支援,容許瀏覽器、作業系統或歐盟數碼身份錢包等平台作為用戶私隱代理,以標準化格式直接向網站傳輸用戶偏好。
對於 AI 企業而言,最重大改變是只要符合 GDPR 其他要求,即可合法使用個人資料進行模型訓練。私隱權倡議組織 noyb 創始人 Max Schrems 強烈批評這一變化,稱其為「多年來對歐洲數碼權利最大的攻擊」。Schrems 指出:「絕對沒有公眾支持讓 Meta 或 Google 將歐洲人的個人資料納入其演算法。多年來我們被告知不用擔心,因為個人資料只會用於『連結』我們,或充其量用於針對性廣告。現在所有資料都被塞進 Meta、Google 或 Amazon 演算法中。這讓 AI 系統更容易了解最私密細節,進而操縱人們。這主要有利於從我們個人詳細資料建構基礎模型的萬億美元美國產業。」
經濟代價與競爭力困局:數據背後真相
支援改革一方提出有力經濟論據。根據 Bocconi 大學研究,自 2018 年 GDPR 實施以來,歐洲企業平均利潤下降 8.1%、銷售額減少 2.2%。研究發現對利潤影響遠大於對銷售額影響,意味大部分負面影響來自調整以符合 GDPR 成本。更重要是這種影響對中小企打擊尤為嚴重,小型 IT 企業利潤下降 12%,而大型 IT 企業僅下降 4.6%。一項歐盟委員會 2020 年調查發現,75% 歐盟中小企在實施 GDPR 合規措施時面臨困難,法律諮詢、IT 升級和意識培訓成本被列為主要障礙。這些數據支援改革支持者論點,即過度合規成本正在扼殺歐洲創新能力,特別是對資源有限的中小企而言。
然而批評者指出這些經濟論據忽略 GDPR 帶來的正面效益。法國國家資訊與自由委員會(CNIL)研究指出,GDPR 提升用戶透明度及安全性,成功實施合規的中小企顯示出客戶信任度提升和競爭力改善。Schrems 直言不諱指出:「數碼綜合法案主要有利於大型科技公司,卻無法為普通歐盟公司提供任何實質好處。這項擬議改革是對塑造歐洲數碼未來感到恐慌的跡象,而非領導力表現。」他警告:「對已建立法律的改變只會增加市場佔有率集中度、引發更多法律不確定性、產生新訴訟並需要更昂貴法律意見。這裡唯一真正受益者是大型科技公司和律師事務所。」
歐洲在全球 AI 競賽處境尷尬
改革背後更深層焦慮是歐洲在全球 AI 競賽中落後地位。在全球 AI 領域,歐洲鮮有具競爭力企業,市場主要由美國和中國公司主導。然而 2025 年數據顯示歐洲資金格局已經轉向 AI 主導,所有募集資金的 31% 都投向 AI 或機械學習公司。歐洲最大單筆投資來自法國 AI 公司 Mistral AI,籌集 20 億歐元(約港幣 169.6 億元),其次是數據中心初創公司 Nscale 籌集 9.52 億歐元(約港幣 80.7 億元)。報告指出為保持發展步伐,歐洲必須繼續招募全球頂尖 AI 人才,該地區人才基礎自 2016 年以來每年擴大 22%。
歐盟委員會主席 Ursula von der Leyen 在 2025 年人工智能行動峰會上表示:「我們只是在開始階段。尖端領域不斷推進。全球領導地位仍然有待爭奪。」許多專家和政治家認為 AI 是縮小創新差距和加強歐洲競爭力最大機會。但要實現目標,歐洲需要在競爭力與權利保護之間找到平衡點,而這正是當前改革爭議核心所在。
前路未明:平衡創新與權利保護漫長征途
數碼綜合法案接下來需提交歐盟議會及 27 個成員國表決,並需獲得「合格多數」通過,過程可能歷時數月,其間或有重大修改。民權組織與超過 108 個公民團體、企業及學術界已聯合發函反對,指改革將引發 GDPR 核心責任弱化,一旦放寬或修改將難以再恢復強度。產業界則普遍支援改革,認為是恢復歐洲競爭力必要步驟。無論最終結果如何,這場辯論已揭示歐洲數碼政策面臨根本困境:如何在保護公民權利與促進經濟創新之間找到可持續平衡點?
資料來源: 歐盟委員會 noyb 歐洲數位權益組織 Gibson Dunn 法律事務所 Tech Monitor Euronews
