【国外网安政策简评】欧盟委员会发布第四个综合简化方案，拟减轻企业面临的GDPR等合规负担

近日欧盟委员会发布。此次综合简化一揽子方案（Omnibus Simplification Package，以下简称Omnibus）引入了一个“小型中等市值公司”类别（Small and Medium-sized Companies，SMCs），并通过提供简化措施减少这些企业的行政负担。方案包含对《通用数据保护条例》（GDPR）部分条款的修订，涉及扩大处理活动记录保存义务的豁免范围、行为守则制定和认证机制设计的考量范围等方面。

Omnibus是一个涵盖多个法规文本修订的提案，是欧盟委员会为实现法规简化目标而推出的一项核心工具。它旨在通过简化欧盟规则，为企业创造一个更加宽松和有利的商业环境，进而推动欧盟整体的可持续发展目标的实现。目前，欧盟委员会已先后发布了四份Omnibus提案，其中Omnibus I和II分别针对可持续报告领域和投资领域的立法提出简化和修订方案，每年将提供约63亿欧元的行政减免；Omnibus III侧重于简化农业领域立法，每年将为农民节省高达15.8亿欧元，为国家管理部门节省2.1亿欧元；Omnibus IV则重点关注中小型企业的针对性立法修订措施，可为欧盟企业每年额外节省4亿欧元的行政成本。

本次综合简化一揽子方案，包括对GDPR进行了针对性的修订，主要涉及第30条（处理活动记录）、第40条（行为守则）及第42条（认证机制）。修订措施主要体现在以下三个方面：

一是引入“小型中等市值公司”类别（SMCs）。该类别是指员工人数不超过750人、年营业额不超过1.5亿欧元或总资产不超过1.29亿欧元的公司。这一新类别扩大了中小企业（SmallandMedium-sizedEnterprises，SMEs）的定义范围（员工人数不超过250人），使更多中小企业能够享受合规减负的新政策。

二是扩大关于“处理活动记录保存义务”的豁免范围。GDPR第30条第5款规定了对中小型企业以及员工人数少于250人的组织的豁免条款，即只要满足特定条件，这些实体便无需保留此类记录。修订后，豁免范围扩大至员工人数少于750人的中小型公司（SMCs），且仅当处理活动可能对数据主体权利和自由造成“高风险”时，才强制要求保存记录。

三是将SMCs纳入“行为守则制定”和“认证机制设计”的考量范围。GDPR第40、42条分别要求行为守则制定和认证机制设计主要考虑微型、小型企业需求。修订后，明确将SMCs纳入考量范围，要求在起草准则和发放数据保护认证时同步考虑其具体需求。

欧盟委员会对GDPR的简化修订有效减轻了中小企业的合规负担，缓解了“成长断崖”问题，使企业能将更多资源投入核心业务，提升了其竞争力，同时促进了数据保护标准的一致性与可操作性，为中小企业营造了更为有利的发展环境。

此次修订延续了欧盟近来对数据信息领域优化监管和适度宽松的思路特点。在当前复杂的国际经济大环境下，这对于提振中小企业发展信心无疑将产生积极的促进作用。