社区
教程
Wiki
注册
登录
创作新主题
社区所有版块导航
Python
python开源
Django
Python
DjangoApp
pycharm
DATA
docker
Elasticsearch
分享
问与答
闲聊
招聘
翻译
创业
分享发现
分享创造
求职
区块链
支付之战
aigc
aigc
chatgpt
WEB开发
linux
MongoDB
Redis
DATABASE
NGINX
其他Web框架
web工具
zookeeper
tornado
NoSql
Bootstrap
js
peewee
Git
bottle
IE
MQ
Jquery
机器学习
机器学习算法
Python88.com
反馈
公告
社区推广
产品
短视频
印度
印度
一周十大热门主题
凯利公式(Kelly Criterion)仓位管理深度解析与Python实现
ChatGPT、Grok、Gemini免费使用次数介绍
【AI】人工智能70年:从图灵测试到ChatGPT的进化史
又一个超实用的Python打包神器!
Python 跨目录导入难题破解:5 种方法 + 实战指南
Python爬虫超详细讲解(零基础入门,老年人都看的懂)
Nginx 配置文件生成器,一健生成!不用愁了!
NotebookLM 开源平替,暴涨 12000+ GitHub Star!
月之暗面前产品负责人王冠创业,像与 ChatGPT 对话那样制作-20251205201751
机器学习学术速递[12.5]
关注
Py学习
»
Git
为什么Digital Omnibus应该被否决
数据何规
• 6 天前 • 26 次点击
来源:真是火力全开
https://www.techpolicy.press/the-eus-digital-omnibus-must-be-rejected-by-lawmakers-here-is-why/
这是
欧盟《数字综合法案》理应被立法者否决:缘由剖析
作者:
ITXASO DOMÍNGUEZ DE OLAZÁBAL
欧盟委员会于上月发布了《数字综合法案》。早期部分媒体报道(包括部分评论称欧盟委员会与公民社会均误解了该法案)将争议焦点置于产业竞争力与合规成本之上,但这一视角忽略了该提案的核心实质。法案关键条款弱化了《通用数据保护条例》(GDPR)与电子隐私框架——这两部法律不仅是欧洲基本权利的重要支柱,更是欧盟数字规则体系的核心基石。
法案发布前流传的泄露草案显示,其中存在大幅修改上述两部法律的危险尝试。迫于公众批评压力,欧盟委员会撤销了部分争议内容。最终版本虽规避了极端条款,但仍埋下结构性削弱权利的隐患。部分观察人士将其解读为务实的政策调整,却忽视了该提案背后的放松监管趋势及其出台的政治背景。删除最恶劣的条款并不能解决法案在实质内容与立法程序上存在的深层问题。雪上加霜的是,欧盟委员会在推出《数字综合法案》的同时启动了“数字合规审查”,这意味着所有涉数字内容的法律均可能被修订。
欧洲数字权利组织(EDRi)及欧洲各国公民社会组织均明确反对《数字综合法案》,反对其削弱数据保护与隐私权利的做法。具体缘由如下:
1. 法案缺乏实证支撑,未开展权利影响评估
修改隐私与数据保护领域的核心规则,必须以明确实证为依据并进行严谨分析,但欧盟委员会两者皆未做到。其既未发布基本权利影响评估报告,也未提供数据证明现行规则对合规企业造成不利影响,更未解释为何执法层面的挑战可以成为削弱公民权利的理由。
即便立法程序合规,部分修改内容依然不可接受。欧盟《基本权利宪章》第7条(私人生活与家庭生活保护)与第8条(个人数据保护)相关法律,为公民抵御国家与企业的非法侵扰提供了坚实保障,在任何情况下均不应被降低标准。
2. 未能切实助力中小微企业发展
法案宣称旨在保护中小微企业,但这些企业已投入大量资源以遵守《通用数据保护条例》(GDPR)的要求。它们真正需要的是实用支持,例如合规模板、标准化表格、统一指导文件以及可预期的执法标准,而非新的法律依据、额外豁免条款或更为狭隘的概念定义。中小微企业渴求的是规则明确与执法一致,而非新增豁免或扩大解释空间。
然而《数字综合法案》非但未简化规则,反而增加了合规复杂性。这将导致中小微企业面临合规不确定性,而大型企业则获得更大的规则解释权。此举与法案宣称的“支持欧洲企业发展”目标背道而驰,同时忽视了欧盟产业竞争力不足的多重根本原因。
3. 缩小个人数据范围,导致保护体系碎片化
《通用数据保护条例》(GDPR)采用客观认定标准:若任何人通过合理手段可识别出特定个人,则相关信息即为个人数据。该标准有效规避了主观判断,确保了数据保护的统一基准。
《数字综合法案》过度扩大了欧盟法院近期某一裁决的适用范围,将个人数据认定转向“控制者特定视角”。这意味着,即便第三方可识别数据主体,企业只要声称自身无法识别,即可将相关信息排除在个人数据范畴之外。不同企业可能对同一数据作出不同分类,而监管机构又难以对企业内部认定流程进行全面审计。此外,法案还赋予欧盟委员会重新界定特定假名化数据集属性的权力,允许其将部分假名化数据归类为非个人数据。
这一修改不仅造成数据保护体系的碎片化,还允许企业将行为信号、假名化标识等高价值数据视为非个人数据处理,大幅缩减了《通用数据保护条例》(GDPR)的适用范围,破坏了其旨在建立的规则确定性。同时,该修改并未简化规则,反而增加了数据分类的复杂性,引发规则解释的分歧。
4. 为使用个人数据和敏感数据进行AI训练开辟新路径
法案扩大了“合法利益”在人工智能领域的适用范围。现行法律对该条款限制严格,难以适用于大规模数据处理场景,但提案将人工智能的开发与运营界定为企业可基于自身利益主张的行为,并新增条款允许个人数据和敏感数据留存于AI训练数据集中。
这一修改使“合法利益”成为人工智能训练的便捷路径,远超《通用数据保护条例》(GDPR)的立法初衷。法案还规定,只要移除敏感数据被认定为“付出不成比例的代价”,即可允许其留存于训练数据中,这实质上使敏感数据留存成为默认规则,同时弱化了公民的反对权。
这些修改为数据抓取与复用打开了方便之门。用户往往并不知晓自身数据被纳入AI训练流程,即便知晓也难以及时行使反对权,且数据一旦融入训练模型便几乎无法移除。此举严重侵蚀了“数据使用目的限制”原则,削弱了用户对敏感信息的控制权,不仅未解决执法难题,反而拆除了限制人工智能系统滥用个人数据和敏感数据的防护屏障。
5. 削弱信息获取权与透明度,限制公众监督
信息透明度与获取权是基础性权利,既能帮助公民了解企业的数据处理行为,也能助力记者、劳动者、诉讼当事人及研究人员揭露不公平或非法行为。《数字综合法案》新增了信息获取拒绝事由,包括声称用户已知悉相关信息或用户诉求动机不当等。这些主观模糊的标准为企业规避监督提供了便利,既破坏了企业的问责机制,也与将透明度视为数据保护核心要素的判例法相冲突。
6. 扩大自动化决策的适用范围
自动化系统已广泛影响信贷审批、就业招聘、保险服务及公共服务等领域的资源分配。《通用数据保护条例》第22条对此设置了严格限制,明确禁止在无实质人工干预的情况下,仅凭自动化系统作出影响个人权益的重大决策。
《数字综合法案》重构了第22条的立法精神,将其转变为对自动化决策的宽泛授权。这使得企业在需人工审核的敏感场景中更易部署自动化系统,削弱了防范不公平决策的保障机制。同时,法案降低了“实质人工干预”的认定标准,将“原则禁止、例外允许”的立法模式转变为“附条件授权”模式,导致自动化决策成为默认选项,而用户对影响自身权益的决策提出质疑的难度则大幅增加。
7. 重新定义“科学研究”,弱化数据使用目的限制原则
《通用数据保护条例》(GDPR)为科研活动提供了特定灵活性,因其具有公共利益属性,但这一灵活性的前提是明确区分科学研究与一般产品开发的边界。《数字综合法案》大幅扩大了“科学研究”的定义范围,将大量工业和商业活动纳入其中,模糊了科研与商业开发的界限。这使得企业无需进行全面的合规性评估,即可凭借科研名义大规模复用数据,严重削弱了数据使用目的限制原则,同时让大型企业得以规避严格的科研标准,滥用科研名义进行数据复用。
8. 引发数字规则体系内部冲突
欧盟数字法律体系具有高度关联性:《数字服务法案》依赖《通用数据保护条例》(GDPR)规范定向推送行为;《数字市场法案》依赖明确的跨服务画像限制条款;《人工智能法案》依赖敏感数据保护与自动化决策监管规则;《网络韧性法案》则依赖设备完整性保护标准。《数字综合法案》对《通用数据保护条例》(GDPR)核心原则的削弱,导致整个欧盟数字规则体系陷入矛盾,既降低了法律确定性,也削弱了执法效力。
这些负面影响具有全球性传导效应:全球多国均以《通用数据保护条例》(GDPR)为蓝本制定了本国数据保护法。若欧盟降低自身标准,不仅会削弱其在国际数字治理领域的话语权,还将传递出“基于权利的数字治理模式可妥协”的错误信号,让那些意图削弱全球数据保护标准的势力有机可乘。
9. 产生多米诺骨牌效应
该法案的风险并非源于单一条款,而是各项修改相互叠加后对数据处理模式产生的系统性改变。单独来看,每条修改似乎仅涉及技术细节,但综合作用下,它们彻底重塑了数据进入人工智能系统的路径,以及用户质疑数据滥用行为的渠道。
以敏感数据在人工智能领域的应用为例:法案新增的《通用数据保护条例》第9条第2款k项规定,只要移除敏感数据的成本“不成比例”,企业即可将其留存于训练或测试数据集;同时修改《人工智能法案》,新增第4a条并删除第10条第5款,赋予企业基于“公共利益”的广泛法律依据,可在各类系统(而非仅高风险系统)中使用敏感数据进行偏见检测。此外,人工智能训练仍可援引“合法利益”条款,并受益于扩大化的“科学研究”定义。这些修改相互配合,不仅降低了敏感数据在人工智能全流程中的复用门槛,还将监管权从严格的数据保护机构转移至职权范围更窄的人工智能治理机构。
其综合影响显而易见:更多敏感数据将被纳入人工智能模型,数据移除难度进一步加大;基于种族、健康状况、宗教信仰或性取向等敏感特征的用户画像将愈发普遍,而用户质疑这类系统的手段却被大幅削弱。
10. 削弱隐私权(注:在欧盟法律体系中,隐私权与数据保护权是两项独立的基本权利!)
电子隐私框架的核心是保护通信隐私,禁止企业与国家在未经用户明确同意的情况下,监控用户的设备使用情况、通信对象及服务交互行为,其保护范围涵盖联系人信息、通信时间等元数据。即便不查看通信内容,这些元数据也能泄露用户的生活轨迹与敏感信息。
《数字综合法案》削弱了上述保护,将部分电子隐私规则纳入《通用数据保护条例》(GDPR)管辖范围。两者的立法目标截然不同:电子隐私框架规制的是设备访问行为,而《通用数据保护条例》(GDPR)规制的是数据获取后的使用行为。这一调整不仅取消了严格的同意要求,代之以宽松的义务性规定,还新增豁免条款允许企业在未经同意的情况下获取设备数据,使得企业更容易追踪用户的设备使用、应用操作及联网设备行为。
许多人误以为电子隐私框架仅与Cookie弹窗相关。这些弹窗实则是追踪行业为维持用户画像模式而设计的工具,其目的是诱导用户快速点击同意、干扰浏览体验,并设置繁琐的拒绝流程。问题的核心并非Cookie本身,而是其背后跨网站追踪用户、构建行为画像的技术体系。但《数字综合法案》并未解决这一根本问题:用户的同意疲劳依然存在,弹窗骚扰并未消失,而新增的豁免条款反而扩大了未经同意获取设备数据的空间,进一步削弱了用户对在线追踪行为的控制权。不过,法案中也存在一处值得肯定的内容。
10.唯一亮点
法案中唯一真正体现规则简化的内容是提及“隐私信号”机制。该机制通过设备或浏览器层面的单一标准化选择,替代了碎片化的海量同意交互场景。用户无需在每个网站面对弹窗、横幅或诱导式设计,而是通过机器可读信号即可实现全域拒绝追踪,其核心价值在于具备强制性与可执行性。当前浏览器或设备端的隐私信号功能已证明,无需弹窗即可实现全球范围的追踪拒绝,既能强化用户控制权,也能降低执法难度。但《数字综合法案》对隐私信号的规定存在适用范围不明确、实施时间滞后等严重缺陷,亟待修正。此外,该机制无法抵消新增豁免条款带来的负面影响——例如媒体豁免条款就与隐私信号的立法初衷直接冲突,允许部分主体绕过用户同意进行追踪。
隐私信号机制为规则简化提供了正确方向:它赋予用户全域拒绝追踪的统一权利,同时为数据控制者设定了明确义务。尽管法案对其规定不够完善,但这一理念清晰展现了以权利为核心的数字治理路径。相比之下,法案其余条款均因削弱权利保护、扩大既得利益者优势而显得格格不入。
Python社区是高质量的Python/Django开发社区
本文地址:
http://www.python88.com/topic/190074
登录后回复
