2025年8月,欧盟委员会发布《通用数据保护条例》(GDPR)修订草案,拟新增“数据主权保障”“AI数据治理”等章节,同时强化对跨境数据流动的管控力度。据毕马威测算,若草案正式实施,全球跨国企业的欧盟区域数据合规成本将平均增加30%,其中科技、金融行业受影响最大。
修订草案的核心变化体现在三个方面:一是扩大数据主权管辖范围,将“在欧盟境内拥有5000名以上用户的境外企业”纳入监管,较此前“境内设立机构”的标准大幅放宽;二是对AI数据处理提出特殊要求,明确使用个人数据训练AI模型需获得“明示同意”,并建立模型数据溯源机制;三是提高罚款上限,针对严重违规行为的罚款金额从全球营业额的4%提升至6%,单次罚款最高可达2亿欧元。
草案对跨境数据流动设置了更严格的“充分性认定”标准,要求合作国家的数据保护水平需“实质性等同于欧盟”,目前仅美国、日本等12国通过认定。对于未通过认定的国家,企业需采用“标准合同条款+独立合规评估”的双重保障措施,这使得数据出境流程较此前增加3个环节,平均耗时从1个月延长至3个月。
中国企业面临的合规挑战尤为突出。目前我国有超2万家企业在欧盟开展业务,其中80%为中小企业。某跨境电商企业法务总监表示,为应对草案要求,企业已投入800万元升级数据合规系统,重点搭建欧盟区域数据本地化存储节点。商务部国际贸易经济合作研究院建议,我国企业应加快建立“欧盟区域数据安全管理体系”,同时借助中欧数据保护合作机制争取合规便利。业内预计,2025年全球GDPR合规服务市场规模将突破80亿欧元,中国相关服务提供商迎来出海机遇。
