Privacy Statnive Live · Parhum Khoshbakht

欧盟数字综合法案与第88a条第3款c项:2026年运营者须知

欧盟委员会2025年11月19日提出的数字综合法案包含受众测量豁免条款。这将带来哪些变化,以及目前尚未改变的是什么。

本文为数据保护研究内容,不构成法律建议。完整免责声明请参见文末。

摘要

  • 第88a条第3款c项一旦获得采纳,将在欧盟范围内对自有受众分析(访客统计)豁免同意要求 — 这将是在全部27个成员国实现无横幅网站分析的最清晰法律路径。
  • 这是委员会提案,不是法律。 欧洲议会尚未就 COM(2025) 837 进行全会表决(2026年3月26日的全会表决针对的是独立文件 AI 相关数字综合法案)。
  • EDPB 与 EDPS 于2026年2月11日联合发布第2/2026号意见,对个人保护水平与法律确定性表达了严重关切。
  • 该提案是层级转移,而非并行新增 — 涉及个人数据时,Cookie 规则将从 ePrivacy 指令转入 GDPR;两个框架按顺序适用,而非同时适用。
  • 立即为两种情境进行架构设计。 无 Cookie 的自有部署能够满足成员国现行最严格的规定,且若第88a条原文获得采纳,第一天即可符合资格。

所有人都想解读的提案

2025年11月19日,欧盟委员会发布 COM(2025) 837 final数字综合法案 — 机构间档案编号为 2025/0360(COD)。EUR-Lex 在 eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52025PC0837 存有合并文本,委员会专页为 digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal。该方案包含拟议新增的 GDPR 第88a条,若按原文通过,将使欧盟范围内最常被问及的分析场景无需同意即可运营(委员会提案英文原文,具有法律约束力):

「creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use」

第88a条第3款c项的这句话,正是饱受横幅疲劳困扰的运营者等待了6年的内容。此前的 ePrivacy 法规草案(本应统一各国 Cookie 法规)在经历8年理事会谈判失败后,于2025年2月11日最终撤回。数字综合法案是委员会更小、更快、更务实的回应:直接修订 GDPR,引入无需同意目的的有限列表,并设置一键拒绝机制。

本文为运营者视角的解读:文本实际说了什么、2026年5月的立法进程现状、原文通过后将带来哪些变化,以及最重要的——如何立即为两种情境进行架构设计。

第88a条第3款将规定什么

委员会文本引入了一份有限列表,列明无需同意即可处理个人数据的目的。对网站分析运营者而言,相关的是第88a条第3款c项,允许为以下目的进行处理(委员会提案英文原文,具有法律约束力):

「creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use」

四个短语承担了法律职责。

「Aggregated information(汇总信息)」 — 不含个人层面的事件流。按访客区分的标识符、会话 Cookie 和逐用户会话回放仍需单独同意依据。豁免针对计数、分布、漏斗等汇总数据。

「The audience of such a service(该服务的受众)」 — 受众测量,而非行为广告。重定向、相似受众建模、第三方 ID 共享,以及业务目的为下游营销的流程,均不在此列。

「The controller of that online service(该在线服务的控制者)」本站点自有分析。与广告平台的联合控制关系,或分析服务商将数据用于自身目的的处理,不适用该豁免。

「Solely for its own use(仅供自用)」 — 运营者自有分析,而非跨多个客户汇集数据或与合作伙伴生态系统共享的工具。若该文本保持原样,这一表述将终结 Google Analytics 4 是否符合受众测量豁免的长期争议(CNIL 的现行立场是不符合;Garante 在2022年6月9日的 Caffeina Media 裁决中得出了相同结论)。

拒绝机制 — 第88a条第4款

该提案不仅在抽象层面许可无需同意的分析,还规定了用户体验。拟议的第88a条第4款要求运营者以**「in an easy and intelligible manner with a single-click button or equivalent means」的方式提供拒绝选项。拒绝后,运营者至少6个月内**不得重新询问。已授予同意的,在有效期内不得重新询问。

政治效果是:将横幅从常设界面变为每位用户每半年一次的单次决定——对于豁免范围内的情形,可能根本不需要在一开始就显示。

浏览器层面的信号 — 第88b条

该方案还提议新增第88b条,要求数据控制者让数据主体能够通过**「automated and machine-readable means(自动化且机器可读的方式)」给出或拒绝同意。相关技术标准确立后,控制者须在6个月过渡期**结束后遵守这些信号;遵守的控制者享有合规推定。

这是全球隐私控制(GPC)期待已久的法律依托。若第88b条原文通过,GPC 信号在欧盟司法管辖区将具有推定约束力——加利福尼亚州 CCPA 及多项美国州法已采用该立场,但欧盟迄今仍将其留给运营者自行决定。第46考虑事项为媒体服务提供商设置了不受自动信号约束的豁免,这是重要的限缩。

目前进展 — 2026年5月

这是对等待放行的运营者而言不那么令人满意的部分。

截至2026年5月中旬,数字综合法案是委员会提案,不是法律。该文件正在经历普通立法程序,并在欧洲议会多个委员会设有联合文件:

  • ITRE(工业、研究与能源委员会),报告员:Aura Salla(EPP/芬兰)— 因其在 Meta 的前游说职务存在潜在利益冲突,7个公民社会组织呼吁撤回其任命 — 以及
  • LIBE(公民自由、司法与内政委员会),报告员:Marina Kaljurand(S&D/爱沙尼亚)。

欧洲经济社会委员会于2026年3月18日通过了意见书。理事会工作组协商正在进行 — 2026年3月19日的文件 WK 3736/2026 INIT 显示,荷兰、爱沙尼亚、芬兰代表团正在积极讨论第88a条第3款c项的确切范围。

欧洲议会尚未就 COM(2025) 837 进行全会表决。 2026年3月26日的全会表决批准了议会在独立文件 AI 相关数字综合法案上的谈判立场——这是同一数字简化方案中的另一提案。本文涉及的数据/隐私文件截至2026年5月中旬仍处于委员会审议阶段。现实的采纳窗口——假设文件不在三方谈判中陷入僵局——是2026年底至2027年,生效可能在2027年至2028年。拟议的第88a条在生效后6个月开始适用,第88b条在24个月内适用。

对运营者而言,这意味着:数字综合法案是路线图,不是当前的法律依据。 朝着它设计是正确的,向客户传达它是正确的。将其作为2026年上线的合规策略的赌注是错误的。

该文件还面临严峻的政治阻力。

EDPB 与 EDPS 于2026年2月11日联合发布第2/2026号意见 — 这是欧洲数据保护委员会(汇集全部27个国内监管机构)与欧洲数据保护监督官的协调立场。联合意见指出,拟议修改「可能对个人享有的保护水平产生不利影响」、制造「法律不确定性」,并使数据保护法「更难适用」。NOYB 于 2026年2月24日发布报告 V3,以*「欧盟数据保护机构拒绝许多 GDPR 拟议修改」*为核心论点进行补充。

ITRE 报告员任命存在争议。 7个公民社会监督组织——包括 Transparency International EU、Corporate Europe Observatory 和 The Good Lobby——以 Aura Salla 在 Meta Platforms 担任高级游说职务(2020年5月至2023年4月)可能构成欧洲议会行为守则第3条下的利益冲突为由,联合致信 ITRE 委员会协调员,呼吁撤回其任命。截至2026年5月,Salla 仍是被任命的报告员;争议悬而未决。

媒体行业联盟认为第88a条第3款c项范围过窄。 2026年5月的欧洲广播联盟(EBU)联合声明——由 egta 及其他欧洲媒体协会联署——认为,按现有草案,受众测量豁免将排除欧洲媒体行业通行的联合行业委员会(JIC)第三方受众测量。「solely for its own use」是媒体行业游说修改的焦点。

即便第88a条实质性获得采纳,三个摩擦点仍将使运营者保持谨慎。

其一,该提案是层级转移,而非并行新增。 根据 Taylor Wessing 的分析「个人数据被处理时,ePrivacy 规则将不再适用。在这些情况下,仅适用 GDPR。两个框架按顺序运作,而非并行。」换言之:对终端设备上个人数据的访问(Cookie 的绝大多数场景,因为 Breyer 判决下大多数 Cookie 都处理个人数据),适用 GDPR 第88a条,ePrivacy 指令第5条第3款停止适用于这些操作。对终端设备上非个人数据的访问(纯技术性残余类别),ePrivacy 第5条第3款仍通过各国转化法(法国第78-17号法律第82条、德国 TDDDG §25、荷兰 Telecommunicatiewet 第11.7a条)继续适用。对运营者的实际影响形式相同:无 Cookie 的自有服务器端架构绕过两个层级,但穿越它们的法律路径会发生变化。

其二,各成员国的实施将有所不同。 CNIL 花了近十年时间将”第16号信息单”打造成具有特定有效期限制、保留期要求和汇总要求的详细国内豁免。Garante 和 AEPD 也建立了各自的版本。数字综合法案在全联盟范围内引入了一个底线;国内监管机构是否会从更严格的立场退步、围绕新文本进行协调,或对豁免进行狭义解释,将决定运营者从第一天起的实际负担。

其三,反对意见声势浩大、协调有力、层级较高。 如上所述:2026年2月11日的 EDPB-EDPS 联合意见第2/2026号、2026年2月24日的 NOYB 报告 V3,以及公民社会呼吁撤回 ITRE 报告员任命,均反对更广泛的方案包。受众测量豁免本身获得了 DPA 相对广泛的支持;议会能否剥离单独条款,或作为整体对方案投票,将决定最终文本。含有最后一刻修正案的整体方案投票,相比对第88a条的清洁通过,对法律确定性更为不利。

若第3款c项原文获得采纳,运营者的哪些情况会改变

与2026年现状的快速比较。

自有汇总分析的欧盟范围同意豁免。 单一配置即可同时满足法国、德国、意大利、西班牙、荷兰和其余成员国——无需各国的豁免测试。由于第88a条是层级转移——Cookie 规则针对个人数据场景从 ePrivacy 移入 GDPR——GDPR 第88a条规则将覆盖德国 TDDDG §25 在个人数据 Cookie 方面设置的”无豁免”门槛。更窄的残余 ePrivacy 第5条第3款层级仍将覆盖纯非个人数据的终端设备访问,但这在实践中是较窄的类别。

拒绝变为6个月的退出选项,而非每次会话的摩擦。 第88a条第4款规则——一键拒绝,至少6个月内不重新询问——使 Cookie 横幅的用户体验成为每位用户每半年一次的决定。对目前因 CMP 默认30天有效期而逐次会话重新询问的运营者而言,这是显著的用户体验提升。

浏览器层面的信号(GPC)获得合规推定。 第88b条为遵守机器可读同意信号的数据控制者提供合规推定。运营者的合理举措是立即遵守 GPC,而非等待标准采用。

IAB Europe TCF 争议范围收窄。 若汇总受众测量无需 TC 字符串,TCF 争议的攻击面(已催生2024年3月7日的 CJUE IAB Europe 判决 C-604/22)将缩小。依赖纯正当利益的受众分析运营者将获得清晰的 GDPR 依据,而无需 IAB-TCF 的纠缠。

发生变化的:非个人数据场景下 Cookie 和 localStorage 的 ePrivacy 第5条第3款层级;任何 SaaS 分析服务商的第28条数据处理者关系;第33条的违规通知时钟;高风险处理的第35条 DPIA 触发条件;以及第15/17条的数据主体权利——这些均在新的无需同意豁免之外继续适用。

立即为两种情境进行架构设计

运营者当前的稳健立场是开发出同时能够满足2026年现行拼凑式规定和拟议数字综合法案文本的配置,使第88a条适用之日,分析技术栈无需任何调整。

两种情境均可适用的配置:

  • 无 Cookie、无 localStorage、无指纹识别(Fingerprinting)。 满足德国 TDDDG §25(根本不发生终端设备存储或访问);层级转移后,同一架构满足 GDPR 第88a条处理任何残余个人数据的要求。
  • 在运营者自有域名上进行自有数据采集。 符合 CNIL 第16号信息单的自有条件;符合第88a条第3款c项「该在线服务的控制者」的表述。
  • 汇总汇总数据,无个人层面事件流。 符合 CNIL 汇总建议(四舍五入至最近的10)以及第88a条第3款c项的「汇总信息」表述。
  • 不跨客户汇集数据。 符合 CNIL 第16号信息单禁止服务提供商跨客户共享原始数据的规定;符合「solely for its own use」表述。
  • 在数据摄入层遵守 GPC 和 DNT。 符合拟议第88b条的「自动化且机器可读的方式」——并在监管机构今天询问时提供「我们已遵守浏览器信号」的可信回应。
  • 有限的保留期。 CNIL 的25个月上限是欧洲现行最严格的基准;第88a条未直接规定保留期,但存储限制原则(GDPR 第5条第1款e项)仍然适用。现在就遵从 CNIL 上限,提供最大限度的前向兼容性。
  • 依据 GDPR 第6条第1款f项记录的正当利益评估(LIA)。 由于存储/访问层(ePrivacy 第5条第3款)被绕过,运营者处理假名标识符(IP 地址、哈希 Cookie ID),GDPR 第6条依据今天和明天都将是开放的问题。EDPB 第1/2024号指南的三步测试(利益识别→必要性→利益平衡)是持久的模板。

这也是 Statnive Live 默认提供的架构。其**consent-free网站策略预设禁用 Cookie 和 localStorage,生成在盐轮换时自毁的每日轮换 BLAKE3-HMAC 访客签名,在服务器端截断 IP,将 User-Agent 缩减至主版本,并仅存储引荐来源的主机部分。hybrid**预设为希望先收集匿名汇总指标、在访客同意后再进行完整归因的运营者,添加了服务器端强制执行的升级路径——Google 2024年3月以「Consent Mode v2」推出的模式,但 Statnive Live 采用服务器端强制执行而非客户端信任。

Statnive Live 提供的11个司法管辖区网站策略枚举型——DEFRITESNLBEIEUKOTHER-EUIROTHER-NON-EU——有一个强制规则验证器,阻止德国运营者选择permissive模式(TDDDG §25 禁止),以及在没有有效同意集成的情况下选择consent-required。同一枚举型可以干净地映射到未来的第88a条世界:今天派生到consent-free的每个格子继续适用;运营者的负担不会改变。

2026至2027年需要关注的事项

追踪该文件的运营者的简短观察清单:

  1. ITRE 报告员争议的解决。 ITRE 委员会协调员是否回应公民社会的撤回呼吁——以及替换、委托起草角色或不作改变将是结果——将塑造文件的政治基调。
  2. ITRE 和 LIBE 报告员报告。 这些将决定三方谈判立场。Aura Salla(EPP)和 Marina Kaljurand(S&D)的政治出发点不同,受众测量豁免可能从两侧吸引修正案。媒体行业游说认为第3款c项过于狭窄(排除 JIC 第三方测量);隐私 NGO 对目前的狭义范围更为满意。
  3. 理事会工作组关于第88a条第3款c项范围的讨论。 工作文件 WK 3736/2026 INIT 表明,荷兰、爱沙尼亚、芬兰代表团正在探究「solely for its own use」在实践中意味着什么。关注理事会是否缩窄或扩大该范围。
  4. EDPB 和 EDPS 的后续立场。 2026年2月11日的联合意见第2/2026号是三方谈判前最具权威性的 DPA 立场。任何后续——补充意见、个别国内 DPA 声明,或协调的替代文本——都将是有力信号。
  5. NOYB 报告 V4 和诉讼策略。 2026年2月24日的报告 V3 以明确的评论对联合意见书进行了补充,扩展了 V1 和 V2。NOYB 本身并未反对受众测量豁免,但可能对实施提出质疑:TC 字符串式纠缠、基于暗模式的拒绝界面,或将受众测量与重定向混淆的运营者。
  6. 国家监管机构的抢先行动。 CNIL、Garante 和 AEPD 可能在采纳前发布指南,表明各自在本国法律秩序内对第88a条的解读。尤其关注 CNIL;其2026年1月1日后的受众测量自评估指南是所有欧盟监管机构中最面向运营者的,通常会最先更新。
  7. 三方谈判日程。 若文件于2026年底进入三方谈判,关注对第88a条第3款c项的实质性修正。过往的 ePrivacy 法规经验表明,委员会最清晰的文本往往在理事会与议会达成协议时被稀释。

应该做什么,不应该做什么

应该做不应该做
将第88a条第3款c项视为路线图——设计今天的架构,以便文本一旦原文通过,第一天就符合资格。将第88a条第3款c项视为当前的法律依据。这是委员会提案;议会尚未投票。
针对有流量的成员国中最严格的现行制度(德国的 TDDDG §25)进行设计,使配置具有前向兼容性。针对最宽松的未来文本进行设计,结果在三方谈判中发现理事会缩窄了豁免范围。
随着文件推进,将 EDPB-EDPS 联合意见第2/2026号(2026年2月11日)并排阅读——DPA 的定位将决定最终范围。将第88a条呈现为确立的法律。对第88a条的每次引用都应注明「提案,尚无全会表决」。
在每个监管更新页面上标注获取日期,让读者知道他们在读哪个快照。将欧洲议会2026年3月26日关于 AI 文件的全会表决与 COM(2025) 837 混淆——这些是不同的文件。
订阅 Legislative Train Schedule 以跟踪 COM(2025) 837 的状态变化。将产品发布押注于数字综合法案的采纳时间表。现实的生效时间为2027至2028年。

运营者的核心要点

第88a条第3款c项是2018年以来最有利于运营者的欧盟 Cookie 改革文本。若原文获得采纳,将废除各国受众测量合规的拼图,以单一欧盟范围的规则取而代之。但这是提案,不是法律;文件尚未见过全会表决;2027年之前不太可能获得采纳;ePrivacy 第5条第3款的终端设备层级在非个人数据场景下仍并行适用。

稳健的立场是为当前最严格的制度(德国 TDDDG §25)和拟议文本同时设计——无论数字综合法案原文通过、经稀释通过还是陷入僵局,运营者的分析配置都能继续正常运行,无需更改。这是我们建设 Statnive Live 的设计意图:一个不依赖数字综合法案通过、但若通过则第一天就符合资格的配置。

各成员国豁免背后的详细操作指南——法国 CNIL 第16号信息单深度解析、德国 TDDDG §25 纯服务器端约束和逐国地图——请参见本系列的相关文章。委员会文本将允许运营者标准化的架构,请参见主干文章 2026年欧盟无需同意网站分析指南

本文为数据保护研究内容,不构成法律建议。 所述配置在依据记录在案的正当利益评估(LIA)和相关国家自评估进行部署时,符合监管机构指引的要求。每位 Statnive 客户仍然是数据控制者,对其自身配置和数据保护影响评估(DPIA)负有责任。发布前请向贵司法管辖区的合格法律顾问进行咨询。

监管参考状态(截至2026年5月13日):数字综合法案 COM(2025) 837 final — 2025年11月19日委员会提案;ITRE 和 LIBE 联合文件;ITRE 报告员 Aura Salla EPP/芬兰(2026年2月起7个公民社会组织对其任命提出异议)和 LIBE 报告员 Marina Kaljurand S&D/爱沙尼亚;EESC 意见书于2026年3月18日采纳;理事会工作组文件 WK 3736/2026 INIT 2026年3月19日;2026年2月11日 EDPB-EDPS 联合意见第2/2026号(对个人保护及法律确定性的关切);2026年2月24日 NOYB 报告 V3;2026年5月欧洲媒体协会联合声明(第88a条第3款c项范围过窄);COM(2025) 837 尚无欧洲议会全会表决(2026年3月26日全会表决针对独立文件 AI 相关数字综合法案)。ePrivacy 指令 2002/58/EC(经2009/136/EC 修订)— 现行有效;按数字综合法案提案,个人数据场景下 Cookie 规则层级转入 GDPR 第88a条。EDPB 第2/2023号指南 v2.0(2024年10月7日)和 EDPB 第1/2024号指南(2024年10月8日)— 现行有效。CJEU C-621/22 KNLTB(ECLI:EU:C:2024:857)— 2024年10月4日判决。此前的 ePrivacy 法规草案已于2025年2月11日由委员会撤回。

免费获取 Statnive