走出去智库(CGGT)观察
当地时间11月19日,欧盟委员会在新闻发布会上介绍了其即将推出的数字化简化方案——“数字综合法案”,通过对现有法规的修订,旨在降低监管强度,促进科技合作,释放创新活力,以使欧盟在全球数字经济竞争中保持领先地位。
走出去智库(CGGT)观察到,“数字综合法案”对用户同意规则进行了重大调整。新规将Cookie同意纳入主要数据保护框架,用户可通过浏览器或操作系统一次性设置偏好,有效期达6个月,避免反复的同意授权。同时,允许企业以“合法利益”处理个人数据用于AI训练,用户仅享有“选择退出”权。此举虽然减少了“弹窗”干扰,但是降低了用户主动控制权,引发隐私保护争议。
欧盟“数字综合法案”改革如何有效实施?今天,走出去智库 (CGGT) 编译布鲁盖尔国际经济研究所Paul Richter和Tillman Schenk的文章,供关注数据合规的读者参阅。
要点
1、平台实施GDPR和电子隐私指令的方式,主要由强有力的利润激励驱动,以结构化同意选项以提高用户接受率。这通常表现为“暗黑模式”——误导性和控制性的网站设计和配置,旨在引导用户泄露更多个人数据。
2、欧委会应采取更积极主动的措施,例如资助创新同意工具的研究,或为可信同意工具创建欧盟认证。
3、数字综合法案中提出的改革旨在简化同意流程,并包含一些有前景的提案。然而,这些变革的效果最终取决于在激励机制保持不变的环境中如何具体实施。
正文
现状
在大多数网站上,用户的个人数据通过涉及信息平台、第三方供应商、分析提供商和广告技术的复杂系统流动,使得大规模数据共享成为在线商业模式的常规组成部分。例如,零售网站Zalando将用户个人数据分享给许多不同的第三方供应商,包括Facebook Pixel、Google Ads、Pinterest、Snapchat和TikTok。
欧盟规则,特别是通用数据保护条例(GDPR,欧盟条例2016/679)和电子隐私指令(指令2002/58/EC及其修订的指令2009/136/EC),旨在赋予用户对其个人数据的实质控制权。对于许多类型的数据处理,这些法规要求在线实体在处理个人数据或在设备上存储Cookie及其他追踪技术前,必须获得用户同意。这一要求通常通过用户经常遇到的在线同意banner(弹窗)来实现。
这种管理同意的方式往往未能达到监管要求,也未能真正支持用户的利益。在排名前10,000的欧洲网站中,不到15%部署完全符合GDPR的同意banner(Nouwens 等,2025)。透明与同意框架的内部审计——这是在线广告行业的一项倡议——同样也揭示了许多广泛采用的行业标准下的同意管理解决方案未能达到合规要求。
持续的监管执行不足导致了这种零散的合规;确保同意banner符合欧盟法律的责任由各国数据保护机构承担,这些机构中许多长期资源不足,且对规则的解释各不相同(FRA,2024)。
然而,这些模式的更深层原因是企业的商业利益。平台实施GDPR和电子隐私指令的方式,主要由强有力的利润激励驱动,以结构化同意选项以提高用户接受率。这通常表现为“暗黑模式”——误导性和控制性的网站设计和配置,旨在引导用户泄露更多个人数据。
即使完全合规,“同意系统”仍给用户带来重大实际问题。访客每次访问网站都会面临众多同意决策,导致用户疲劳(Martens,2025)。因此,人们常常做出的选择未能反映他们权衡隐私成本与共享数据收益的方式。
Farronato等人(2025)显示,许多用户有细致入微的偏好,但二元捷径却促使他们分享比理想中更多或更少的个人数据。他们发现,如果消费者能够设置统一隐私偏好,减少反复同意负担,帮助用户做出真正符合他们想要的数据处理方式的选择,将会更好。全局偏好设置让用户只需一次配置所有内容,方便地完成其他任务,而不是在尝试完成其他任务时进行。这使他们更有可能花时间做出更符合自己隐私偏好的明智选择。
同意规则拟议变更
在此背景下,欧盟委员会于2025年11月19日提出了一项数字综合法案草案——一项旨在修订多项欧盟数字法律的草案,作为简化推动的一部分,旨在增强欧盟竞争力(欧盟委员会,2025a)。根据随提案附带的文件,预计减少消费者和企业负担的很大一部分将来自对GDPR和电子隐私指令的修订,以简化在线同意管理。这些变化影响了从需要用户同意的情境,到浏览器层面的控制以及同意banner的设计等方方面面。
减轻同意弹窗的负担
欧委会的提案将显著减少信息平台必须征求同意的情况。首先,欧委会提议将电子隐私指令的部分内容整合进GDPR,涉及用户设备上存储信息的处理。同时,它提议通过定义一套低风险的数据使用目的来修订这些条款,这些目的将不再需要同意。此外,委员会还提议缩小“个人数据”的定义,从而缩小GDPR适用的范围。通过这些拟议的范围缩减,欧委会声称50%的私人网站和80%的公共网站将不再依赖同意和使用cookie banner。
原则上,将低风险活动排除在GDPR之外,减少不必要的同意提示,是解决用户同意横幅疲劳问题的自然第一步。然而,仍有疑问是,公司在实际中是否会对这些例外解释过于宽泛,从而削弱用户的控制权。虽然这些减少可能减轻合规负担,但委员会必须确保由此产生的再平衡不会过度削弱个人保护(Mariniello,2025)。
全球同意管理技术研究
在信息平台和供应商仍需同意的情况下,欧委会的提案旨在将同意管理从网站级banner转向集中、用户控制的设置。用户可以通过浏览器设置各种数据处理的隐私偏好,浏览器会自动响应同意提示。
这将为用户提供一种集中且易于访问的方式接受或拒绝数据处理,显著减少与同意banner的反复互动。然而,将具体操作授权给浏览器提供商引发了担忧。许多浏览器通过个人数据共享获利,因此商业激励有限,难以促进此类用户友好机制。例如,他们可能设计令人困惑且难以导航的界面,以阻止用户拒绝个人数据共享。
欧委会还明确鼓励替代技术解决方案,包括可能使用人工智能系统,处理用户偏好及公司在代表用户管理同意决策时所宣称使用个人数据的信息。然而,如果没有更明确的期望或实质支持,提案中简短提及的人工智能系统不太可能推动此类解决方案。业界几乎没有动力去构建赋权用户的同意工具,而为数不多的有前景的解决方案往往难以获得认可。欧委会应采取更积极主动的措施,例如资助创新同意工具的研究,或为可信同意工具创建欧盟认证。
最后,有一个重大例外降低了综合建立一致且以用户为中心的同意框架的更广泛目标:信息平台无需尊重自动同意信号,可继续依赖传统的同意banner。欧委会认为,这一豁免是为了保护独立新闻业的财务基础。但将这一豁免限制在媒体机构似乎是武断的:虽然支持独立新闻是合理的目标,但同样的逻辑也可以延伸到同样依赖数据驱动收入的其他行业。通过强制全球同意信号包含行业特定的偏好,用户可以根据新闻媒体等行业选择不同的隐私设置,从而实现类似的效果。
应对“暗黑”模式
最后,欧委会的新提案直接打击了在同意收集中常用的几种“暗黑”模式。首先,规定用户必须通过单击机制给予或拒绝同意,简化了同意选择。此外,禁止网站在用户拒绝同意后反复要求同意,期望最终获得用户同意。根据拟议规则,信息平台在六个月内不得再次请求用户同意。
这些步骤可能有助于解决一些黑暗模式,但它们是被动反应的,主要针对症状而非根本原因。只要同意banner设计主要受网站和平台偏好影响,新的“暗黑”模式就会不断出现,实际做法也将无法达到监管意图。如果设计同意界面的公司能通过与用户“偏好对齐”设计选择而受益,“暗黑”模式自然会消失。
结论
综合来看,数字综合法案中提出的改革旨在简化同意流程,并包含一些有前景的提案。然而,这些变革的效果最终取决于在激励机制保持不变的环境中如何具体实施。受益于大量数据收集的平台将继续对模糊规则进行广泛解读,并战略性地设计界面,在灵活范围内寻找鼓励用户接受同意的新方法。
为了使改革有效,欧委会应直接关注迄今限制同意规则有效性的市场动态,并使激励措施与用户利益保持一致。这可能包括补贴或认证基于用户偏好而非广告目标的同意工具。另一种做法是用户选择同意管理系统,让平台与系统提供商协商获取用户访问权限。这样,同意管理平台将获得物质激励,使其系统对用户更具吸引力。
除了协调平台激励措施外,欧委会还应采取进一步措施。例如,必须就全球同意信号的实施提供更明确的指导。尽管提案提到了标准化信号,但描述仍然过于有限,无法确保部署的一致性和以用户为中心。如果没有更详细的技术路线和用户表达偏好的界面规范,信号的设计很可能受到依赖大量数据收集的商业模式公司的影响。明确且规范性的要求有助于确保信号反映用户选择,而非商业优先事项。
如果改革要实现预期效果,执法必须得到加强。欧委会应鼓励成员国确保其数据保护机构拥有足够资源,持续监控合规情况、调查违规行为并采取纠正措施。加强监管对于发现组织何时擅长或纵规则、削弱用户自主权至关重要,并确保此类行为能及时解决,而非在市场中根深蒂固。
归根结底,欧盟在线同意规则的任何变更能否成功,取决于改革是否得到确保实施一致、可靠和公正的监管和市场环境的支持。如果没有更明确的激励、更强有力的指导和可信的执法,设计良好的调整可能不会被地主动应用,甚至削弱监管意图。