欧盟委员会拟简化中小企业的 GDPR 合规义务

2025 年 5 月 22 日，欧盟委员会发布一揽子措施，旨在简化单一市场规则、减少行政负担，降低企业合规成本，增强中小企业（SMEs）和中型企业（SMCs）竞争力，其中涉及优化《通用数据保护条例》（GDPR）对企业的适用效果，拟修订第 30 条（处理活动记录）、第 40 条（行为守则）及第 42 条（认证机制）。

一、新企业类别 “中小型企业（SMC）”

• 划分标准：员工人数≤750 人，且营业额≤1.5 亿欧元或总资产≤1.29 亿欧元。

• 原标准对比：原中型企业员工人数门槛为 250 人，新类别扩大了中型企业规模上限。

二、GDPR 合规义务简化要点

（一）处理活动记录豁免（第 30 条修订）

• 原规定：员工＜250 人的企业，仅在处理非偶尔性且可能对数据主体权利构成风险，或涉及特殊类别数据时，需保留处理活动记录。

• 修订后：

• • 豁免范围扩大至员工＜750 人的中型企业（SMCs）。

  • 仅当处理活动可能对数据主体权利和自由造成 “高风险” 时，才强制要求保存记录。

（二）行为守则制定纳入中型企业考量（第 40 条修订）

• 原规定：行为守则制定需考虑微型、小型企业需求。

• 修订后：明确将中型企业（SMCs）纳入考量范围，要求在起草准则时同步考虑其具体需求。

（三）认证机制设计纳入中型企业考量（第 42 条修订）

• 原规定：认证机制需考虑微型、小型企业需求。

• 修订后：将中型企业（SMCs）纳入适用范围，要求在发放数据保护认证时，充分考虑其特殊需求。

三、政策目标与影响

• 核心目标：通过简化合规流程、降低行政成本，减轻中小企业在数据保护领域的负担，助力其聚焦业务增长。

• 潜在影响：为员工规模在 250-750 人之间的企业提供合规灵活性，同时通过扩大行为守则和认证机制的覆盖范围，推动欧盟范围内数据保护标准的一致性与可操作性。

浙江望安科技提供信息技术安全评估标准CC EAL1-EAL7级安全保障级别、IEC 61508、ISO 26262、GM/T国密以及FIPS等高等级安全认证咨询与技术服务，已与国内外多个认证/检测机构建立联合实验室、签署合作协议等。公司拥有自主知识产权的软件源码形式化测试与验证工具W-AVC、基础软硬件形式化建模与验证工具W-Cert、CC安全认证全周期实施平台W-CaaS等工具平台。公司核心技术和工具已应用于载人航天工程、中航工业集团、航天科技集团、航天科工集团、中国信科、小米科技、中国移动、中科海微、元心科技等，覆盖国家重点行业及企业。