《一般数据保护条例》（GDPR）（（EU）2016/679）在立法目的中便开宗明义地指出其旨在解决保护自然人的权利和数据自由流通这两大问题。GDPR作为“条例”（regulation），为欧盟成员国提供了一套与时俱进的、可直接适用的一般规则，它有助于促进欧盟成员国之间个人数据的自由流通，并增强消费者的信任和安全，为欧盟内部市场的统一提供了不可或缺的法律基础，同时也为国际数据传输获得制定了更明确的规则。

GDPR在2016年5月4日正式颁布，并定于20天后生效。但考虑到GDPR所要求的保护水平的达成和各类机制的准备都需要一定准备时间，因此GDPR同时规定了2年的宽限期，允许公务机关、民间企业和团体在此期间进行准备。

欧盟在其报告中指出，GDPR将为欧盟带来更强大的保护和崭新的机遇（stronger protection, new opportunities）。欧盟进一步指出，GDPR将在以下几个方面特别对欧盟产生积极影响：

首先，欧盟认为，在个人数据处理方面对自然人的保护是一项“基本权利”，尽管其并非绝对权。数据处理应当是为人类服务的，数据保护的原则和规则应当尊重自然人的基本权利和自由。将数据保护的权利与人权的结合，是欧盟个人数据保护立法的出发点。GDPR对个人数据的保护因此也兼具私法和公法性质。个人数据保护方式具有的“混合性”，对于理解GDPR的脉络具有重要意义。

其次，名为“General Data Protection Regulation”的GDPR在国内有不同译法。这主要源于对“General”一词的不同理解。许多人将GDPR理解为一部“通用条例”，通行于整个欧洲，通用于各类数据处理。然而，如果加以观察便可发现，GDPR仅是欧盟内部数据保护的基础性框架。

另外，从适用范围到处罚规则，GDPR在各方面较之过去的数据保护立法都有巨大的实质性革新。其域外适用效力将给世界各国的跨国企业的组织架构和经营模式带来影响深远的冲击，而其严厉的罚则更让企业将个人数据保护作为企业合规的重点内容。

实体适用范围

实体适用范围

GDPR保护的“个人数据”是有关已识别（identified）或可识别（identifiable）的自然人（“数据主体”）的任何信息，包括姓名、身份识别编号、位置数据、网络标识码等标识（identifier），或身体、生理、基因、心理、经济、文化或社会身份等特征要素（specific factors）。

若将个人数据指向特定数据主体的额外信息分别储存，则数据也被视为是匿名化的。

对特殊类别的个人数据处理、刑事定罪和犯罪有关的个人数据处理、无需识别的数据处理，GDPR均作出了特殊规定。特殊类别的个人数据包括揭示种族或民族出身、政治观点、宗教或哲学信仰，或工会成员资格的个人数据，以及用以识别特定自然人的基因数据、生物特征数据，有关健康或有关自然人的性生活或性取向的个人数据。

GDPR规定了六种数据处理的合法性依据，即：数据主体已同意为一个或多个特定目的而处理其个人数据；处理是为履行数据主体为一方当事人的合同所必需，或在订立合同前应数据主体的要求采取措施所必需；处理是数据控制者为遵守一项法定义务所必需；处理是为保护数据主体或另一自然人的重大利益所必需；处理对为公共利益执行职务或数据控制者受托行使公权力所必需；处理是为数据控制者或第三方追求正当利益的目的所必需，需要个人数据保护的数据主体的利益或基本权利和自由优先于该利益的除外，特别是数据主体为儿童时。

GDPR特别规定了“同意”的方式是“通过声明或明确的积极行为”，从而解决了原先“单纯的沉默”是否能构成对同意的“默许”的争议：在GDPR下，沉默、默认勾选的选项或不作表示不构成同意。不过，有关同意的形式，仍然可以是书面声明、电子声明或口头声明等方式。同意应涵盖全部处理活动。数据处理具有多个目的时，应就全部目的取得同意。

GDPR对“同意条件”的规定是其一大特色，体现了GDPR对自然人和数据控制者之间的不平等地位的调和。首先，对同意的请求应以与其他事项明确区分、明晰且方便获取的形式，用清晰且简明的语言呈现，且不构成对使用服务的不必要的阻碍。这主要是为了防止数据控制者将对同意的请求隐藏于其他使用条款或说明中，造成自然人在未加注意的情况下作出同意。其次，数据主体有权随时撤回其同意，且数据主体应被告知可以撤回同意。撤回同意和作出同意应一样容易。这进一步保障了自然人的意志自主权。一些企业当前为了保持用户粘性，将撤回同意的选项隐藏在复杂的设置界面中，或为撤回同意设置了其他条件的，都将在GDPR下被视作违法行为。此外，GDPR还规定了判断同意是否是自由作出的规则。当履行合同并不以同意个人数据处理为条件时，将作出同意与履行合同或提供服务绑定，同意应被推定为是非自由作出的。如果不允许对不同个人数据处理行为分别作出同意，同意也是无效的。在数据主体与数据控制者的地位明显不平衡时，GDPR直接规定，同意不能为个人数据处理提供法律依据。

考虑到对儿童的特殊保护，GDPR对未满16周岁的儿童进行了特别保护。在取得儿童的同意时，应当获得监护人的同意或授权，并且数据控制者有义务核实儿童监护人作出的同意或授权。

GDPR规定，个人数据处理是依据数据控制者应当遵守的法定义务，或是为公共利益执行职务或行使公权力所必需的，该处理应当有欧盟或欧盟成员国法律的依据，而处理的目的也应由欧盟或欧盟成员国法律确定。因此，援引上述合法性依据，必需有明确的欧盟或欧盟成员国法律，而不能是抽象地主张“公共利益”或“法定义务”进行数据处理。法律依据或立法措施，不必需是议会通过的立法法案，但应清晰、明确、有可预见性，并符合欧盟法院和欧洲人权法院的判例法。

GDPR规定，数据控制者或第三方的正当利益可以作为数据处理的法律依据，但不得忽视数据主体的利益、基本权利和自由，且需要考量数据主体基于其与数据控制者之间的关系产生的合理预期。无论如何，正当利益的存在应当经过审慎评估，包括数据主体是否能合理预期该数据处理。若个人数据处理是在数据主体无法合理预期其数据将被进一步处理的情况下进行的，数据主体的利益和基本权利应当显著优先于数据控制者的利益。

在GDPR中，数据控制者的正当利益包括但不限于直接营销、防范欺诈的绝对需要、企业集团内部管理、网络与信息安全、报告犯罪行为或对公共安全的潜在威胁等。

GDPR还规定了其他种类的“利益平衡”条款，如一般公共利益（货币、预算、税收、公共卫生、社会保障等），国家安全，防卫，预防、调查、侦查或起诉刑事犯罪或执行刑事处罚，公共卫生领域的公共利益，为了公共利益的存档、科学或历史研究、统计，确立、行使或抗辩法律请求，司法独立，言论和信息自由，政府信息公开等。

包括知情权、访问权、更正权、删除权、限制处理权、可携权、拒绝权、反自动决策权等。

知情权和访问权在很大范围内有重合，相比于知情权，访问权更侧重于数据主体一方主动获取信息的过程。与知情权不同的是，访问权还包括数据控制者应当提供正在处理的个人数据的副本。通过允许用户获取企业向自己收集的数据，进一步保障了用户对自身数据的控制并为用户提供了便利。企业则可能需要提前准备好上述数据的副本，尽早建立对用户请求的相应机制，避免潜在的风险。

GDPR将个人数据分为直接收集和间接收集（即非从数据主体处直接收集个人数据）。针对间接收集的情形，GDPR规定了较多的例外条款。无论是直接收集还是间接收集个人数据时，GDPR都将告知事项分为两大类。一类是数据控制者应当向数据主体告知的“基本信息”，另一类则是“为保证处理的公正和透明”的“附加信息”。前者包括数据控制者的身份和详细联系方式、数据保护官的详细联系方式、拟处理的个人信息的处理目的和处理的法律依据等，后者包括个人数据的储存期间、数据主体相关数据的权利、撤回同意的权利、向监管机关提起申诉的权利等。

有关知情权的规定，是GDPR中典型的概括性条款、准用性和委任性条款结合，辅之以众多不确定法律概念的条文。想要理解“简洁、透明、明晰”（concise, transparent, intelligible）、“清晰且简明的语言”（clear and plain language）、“书面形式”“免费”“不成比例的投入”（disproportionate effort），仅阅读GDPR条款和立法背景引言是无法获得明确解答的。此时，无论是作为数据主体的自然人，还是作为数据控制者的企业和其他组织，应首先查找欧盟官方对此发布的指引，若没有相关指引或指引仍不明确，可以查阅欧盟法院的判例、欧盟GDPR网页上“其他资源”中第三方机构发布的指引，以及咨询相关监管机关。

删除权作为“被遗忘权”，在中国引发了热烈的讨论。前述西班牙Google案中欧洲法院第一次深入探讨了该权利，而GDPR对删除权的要件、程序和除外条件作出了进一步规定。与中国法院将被遗忘权认定为是一般人格权不同, GDPR中的删除权是一项独立的权利。特别应当指出的是，应当将删除权和“被遗忘权”予以区分。尽管GDPR在该条款标题中将被遗忘权标注于括号内，但二者的侧重点并非完全一致。删除权是在个人数据对收集目的已无必要、数据主体撤回同意、数据主体拒绝处理、个人数据被非法处理等情况下将数据完全删除的权利。无论个人数据由一个数据控制者还是能被不特定多数人访问，数据删除权都有适用的余地。而“被遗忘权”则更多侧重于已公开的个人数据。数据主体行使被遗忘权时，可以要求这些数据控制者删除该个人数据的任何链接、副本或复制件。在搜索引擎广泛运用的情况下，实践中的被遗忘权往往针对的是“链接”而非数据本身。事实上，只有搜索引擎中删除了相关链接，才有真正被遗忘的可能。

数据可携权是GDPR规定的新权利。数据可携权可以强化数据主体对个人数据的控制，支持个人数据在欧盟内的自由流通，避免个人数据的“锁定”，并鼓励公司之间的竞争。让用户在不同服务提供商之间更便捷地切换。可携权的对象是数据主体提供的，在同意之下进行自动化处理的数据，包括数据主体主动提供的信息和因使用相关设备或服务而被采集的信息，但经过分析处理的信息不属于数据主体提供的信息。该权利同样不应适用于数据控制者为遵守其法定义务、为公共利益执行职务或数据控制者受托行使公权力所必需进行的个人数据处理。欧盟发布的数据可携权指引中还进一步规范了数据控制者的及时应答义务、免费提供义务、采用合理的提供方式以及可携数据的安全等。

拒绝权也属于GDPR中利益平衡条款的典型。在为公共利益执行职务、数据控制者受托行使公权力或基于正当利益而处理个人数据时，数据主体仍应有权拒绝任何与其特定情况有关的个人数据处理，除非数据控制者能证明其重大正当利益（compelling legitimate interest）压倒性地优先于（override）数据主体的利益或基本权利和自由。考虑到举证能力等地位的不平衡，GDPR似乎更偏向于数据主体的利益。

反自动决策权是数据主体有权不受仅依据自动化处理作出的而对其产生法律效果或类似重要影响的决定的拘束，包括对个人特征进行的评估，例如全自动的网络贷款申请或网络招聘等，除非在例外情况下，如为履行合同所必需或基于数据主体的明确同意时，才能被允许。自动化决策有利于降低成本、快速筛选结果，但难免导致对数据主体的错误判断。如果在贷款和招聘过程中仅依据自动化决策，可能使一些人处于严重不利的地位。中国近期探讨的“大数据杀熟”也源于自动化决策。GDPR对此规定了数据主体拥有的人为干预权、表达观点权、获取对依评估作出的决定的解释权以及对决定的异议权等一系列权利。且该措施不得涉及儿童。

GDPR为数据控制者和数据处理者规定了较多义务，数据控制者和数据处理者应当采取各类适当技术性和组织性措施以确保并证明处理符合GDPR的规定。有关适当措施的实施、遵守规范的证明、数据处理所涉风险的识别等，都将通过欧盟发布具体指引或推荐进行规范，尤其是GDPR新增的数据泄露“72小时通知义务”、数据保护影响评估等，都需要数据控制者建立专业化、标准化的流程。企业应当在GDPR之外及时参阅欧盟最新的指引，并做好预案。

一项较容易引起歧义的制度是设计和默认数据保护（Data protection by design and by default）。这项义务指的是数据控制者和数据处理者应当在开发、设计、选择和使用应用程序、服务和产品时，就应当考虑数据保护，并确保数据控制者和数据处理者能履行其数据保护义务。默认数据保护意味着，向数据主体提供的商品或服务的默认设置应当符合隐私保护要求，而不能默认收集用户数据。当个人数据在系统中可能有多种权限时，默认的选项必须是最符合数据保护的选项——如禁止处理。在未经允许时，Cookie记录也应当是默认关闭的。数据控制者应当确保并能证明，从设计的早期阶段开始关注数据保护。如果在产品研发后期甚至是上市阶段才关注GDPR合规，不仅可能会导致不必要的成本，还可能有违规风险。

在欧盟领域内没有设立机构的数据控制者或数据处理者应当在欧盟内指定代表，以便数据主体行使权利和监管机关进行监管和执行。

数据控制者和数据处理者应当保证处理系统和服务持续保密、完整、可用和自我修复的能力，及时恢复个人数据的可用性和访问的能力等，还应当定期测试、评估，以确保处理过程安全的技术性和组织性措施的有效性。但即使采取了各类措施，仍不免会发生个人数据泄露。

个人数据泄露可能造成自然人身体、物质或非物质损害。GDPR要求，数据控制者意识到个人数据泄露发生后应立即向监管机关无不当迟延地通报该个人数据泄露，且一般情况下不超过发现个人数据泄露起72小时。未在72小时内向监管机关发出通知的，通知应当同时附有对迟延原因的解释。信息可以分阶段提供，不得有进一步不当迟延。

当个人数据泄露可能给自然人的权利和自由带来高度风险时，数据控制者应无不当迟延地将个人数据泄露告知数据主体，以使其可以采取必要防范措施。告知时应描述个人数据泄露的性质和所涉当事人降低潜在不利影响的建议。向自然人的告知应在合理可行范围内尽快进行，并与监管机关密切合作，并遵守监管机关或其他相关机关发布的指引。

数据保护影响评估（Data protection impact assessment , DPIA）制度是GDPR的另一亮点。《个人数据保护指令》规定了向监管机关通知个人数据处理的一般义务，但该义务造成了大量的行政和财政负担。因此，GDPR废除了这一未加区别的一般通知义务。GDPR从抽象的角度规定了数据保护影响评估的条件，即在使用新技术时，考量处理的性质、范围、背景和目的，可能给自然人的权利和自由带来高度风险的数据处理。

除了抽象规定，GDPR还类型化了三种需要评估的情况：对自然人进行系统性和广泛性的个人情况评估并且基于该评估作出对该自然人产生法律效果或类似重要影响的决定、大规模处理特殊类别的数据或有关刑事定罪和犯罪的个人数据、对公共区域的大规模系统性监控。并且监管机关应当建立并公布需要进行数据保护影响评估的处理行为类型清单。相比上述类型化条款，普通企业或许更关注“可能带来高度风险”的其他处理行为。欧盟同样对这一概念专门发布了指引进行解释，其中还详细地规定了必要措施和推荐措施。例如，尽管GDPR并未要求数据处理者公开数据保护影响评估的结果报告，但是欧盟推荐企业或其他组织将其要点公开，以助于赢得社会信任。欧盟以及合作的数据库中也有数据保护影响评估应当考虑的要点和报告文本，我们将在后续研究中持续予以关注。

如果数据处理将导致高风险，数据控制者应当在处理前咨询监管机关。作为咨询过程的一部分，对有关处理进行的数据保护影响评估结果可向监管机关提交。涉及多个监管机关的，主要监管机关应无迟延地将事项的相关信息告知其他相关监管机关，以听取它们的意见并充分考虑其观点。

GDPR要求，在公务机关或机构进行数据处理（但法院行使司法权的除外）时，数据控制者或数据处理者的核心活动需要对数据主体进行定期大规模系统性监控时，以及数据控制者或数据处理者的核心活动需要大规模处理特殊类别的数据或有关刑事定罪和犯罪的个人数据时，应当设立数据保护官（data protection officer, DPO）。欧盟发布的指引对上述“公务机关或机构”、“核心活动”、“大规模”、“定期和系统性”等概念进行了解读，例如“核心业务”是指数据处理应当是工作内容“不可分离的组成部分”（inextricable part），如医院无法不处理患者的数据而进行医疗服务。而即使一些活动对业务起必需、关键的作用，但仅是支持性工作的，仍然不属于核心活动，如公司的薪酬福利或内部IT系统管理。指引进一步对GDPR所规定的数据保护官的任命、专业技能、地位、职权等作出了一系列说明。当企业考虑是否及如何设立数据保护官时，应当在GDPR的基础上同时参阅欧盟的数据保护官指引。

数据控制者和数据处理者应当确保数据保护官独立行使职务。数据保护官应当免于接收任何有关其执行职务的指令。数据保护官不得因执行其职务被数据控制者或数据处理者解雇或处罚，且应直接向数据控制者或数据处理者的最高管理层报告工作。一个企业集团可以仅设立一个数据保护官，但要确保各分支机构与数据保护官联系畅通。数据保护官还应与监管机构以及数据主体保持有效合作和联系。欧盟指引建议将数据保护官的工作地点安排在欧盟境内，但当数据处理者在欧盟内没有机构时，数据保护官可能在欧盟外更能有效工作，该种情况也是允许的。尽管数据保护官将负责数据保护的核心问题，但这并不意味着数据保护官需要对GDPR的不合规承担个人责任。GDPR的合规仍然是数据控制者或数据处理者的责任。

数据保护官可以是内部的，也可以是外部的。实务中，通过委托合同任命外部数据保护官可能在成本上更为经济。但考虑到数据保护官将负责一切数据保护方面的工作，难免涉及商业秘密。此时即使有保密协议、竞业禁止协议等协议，是否任命外部数据保护官仍然需要企业权衡利弊。

行为准则和认证机制，是贯穿GDPR全文的一项机制。GDPR不仅屡次强调鼓励起草、遵守行为准则和认证，更在多处明文规定了遵守经批准的行为准则或经批准的认证机制可以作为数据控制者遵守数据保护义务的证明要素。

行为准则是代表某一类别数据控制者或数据处理者的协会或其他组织订立的一类统一数据控制者和数据处理者的义务的规范，这类准则吸纳了不同的领域的数据处理的具体特点，以及小微企业和中等规模企业的特殊需求，有着行业自律的特征。而认证机制则是为提高GDPR的透明度和遵守程度的产物，由认证机构发布的认证和数据保护标章和标志，允许数据主体能快速评估相关产品和服务的数据保护水平。数据保护标章和标志可能和CE标志一样，成为想要成功赢得欧洲市场的商品或服务必备的认证。

在《个人数据保护指令》中，个人数据的跨境传输就受到严格的限制。尽管严格控制数据流出可以确保欧盟内的数据主体得到良好保护，但有违数据自由流通的必然趋势。欧盟也意识到了这一点，并承认个人数据在欧盟内外的国家和国际组织流出或流入是国际贸易和国际合作的扩张所必需的。

因此，尽管GDPR中的跨境传输机制的架构基本上与《个人数据保护指令》相同，但改革澄清和简化了一些传输的方式，并引入了新的传输工具。关于充分决定，该条例引入了一个精确而详细的要素目录，欧盟委员会在评估外国系统是否充分保护个人数据时必须考虑到这些要素。该条例还正式规定并扩大了替代传输方式的数量，如标准合同条款和有约束力的公司规则。GDPR在数据跨境传输机制方面尽管依旧严格，但并非像许多人认为的那样存在收紧的趋势。GDPR与《个人数据保护指令》相比，实际上更充分地考虑到了数据自由流通的需求，在确保对自然人的保护水平的前提下，尽量为数据传输提供便捷的途径。

欧盟和获得充分决定认可的国家、地区或国际组织之间的数据传输不需要获得任何特别授权。

GDPR允许对第三国、第三国一定区域或第三国内的一个或多个特定领域、或国际组织分别进行充分性评估，这样一来就大大增加了充分决定适用的可能性。

进行充分决定的评估时，欧盟将会考虑数十项因素，包括法治、对人权与基本自由的尊重、相关的一般法与部门法、独立监管机关及其有效运作、加入的国际协定等等，欧盟委员会还会对获得充分决定的国家、地区或国际组织的数据保护情况进行定期复审，以保证动态名单中的对象均能维持稳定的数据保护水平。

GDPR将提供适当安保措施的途径又分为两种：不需要监管机关特别授权的方式和需要监管机关进行特别授权的方式。对数据控制者来说，显然利用前者更能节约成本。

不需要监管机关特别授权的方式包括，公务机关或机构之间有法律约束力和执行力的法律文件；有约束力的公司规则（binding corporate rules, BCR）；欧盟委员会或监管机关通过的标准数据保护条款；经批准的行为准则或认证机制，同时第三国的数据控制者或数据处理者应当发出有约束力和执行力的承诺。

值得关注的一点是，在没有上述措施的情况下，也并非完全不可能进行跨境数据传输。在解读GDPR时，其例外情形往往更值得关注。

在计划阶段，相关负责人应先整理所有利益相关事项和合作伙伴，着手组建内部数据保护人员队伍，识别和自身相关的处理和第三方活动，整理当前的数据库，清理不必要的数据减少负担，建立内部的数据处理政策和风险对冲机制（如购买相关保险），并考虑是否需要采纳ISO27001信息安全标准。

在执行操作阶段，减少无关人员对数据的访问，建立数据泄露风险防范机制，审核用户的同意是否合规并及时处理用户的各类请求，寻找适合自身的数据传输合法性依据，收集证明数据保护合规的证据，建立紧急情况汇报演习和预警机制。

后期维护阶段，进一步对相关人员进行培训，在业务扩展时及时进行数据保护影响评估，在合适时申请相关认证或采纳行为准则，定期对合规情况进行复审，如有需要及时寻求咨询公司或律师事务所的意见，并与监管机关建立良好的沟通等。