GDPR 介绍
一、什么是 GDPR
GDPR——General Data Protection Regulation,即《通用数据保护条例》——是欧盟于 2016 年 4 月通过、2018 年 5 月 25 日正式生效的数据保护法律,正式编号为 Regulation (EU) 2016/679。
GDPR 取代了 1995 年的《数据保护指令》(95/46/EC),是当今全球最具影响力的数据保护法律,被誉为"数据保护的黄金标准"。许多国家的数据保护立法(包括中国《个人信息保护法》、巴西 LGPD、加州 CPRA 等)均以 GDPR 为蓝本。
核心目标:
保护自然人的个人数据与隐私权
统一欧盟成员国的数据保护规则
强化数据主体的控制权
增强企业的责任与透明度
二、适用范围
属地与属人原则(域外效力)
GDPR 的适用范围远超欧盟领土:
1. 在欧盟设立的组织无论数据处理在何处进行,只要组织在欧盟设有机构。
2. 欧盟境外的组织——满足以下任一即适用:
向欧盟居民提供商品或服务(无论是否收费)
监测欧盟居民的行为(如网站追踪、定向广告)
对中国企业意味着:只要有欧盟用户、客户、员工,或网站针对欧盟市场,即使在中国境内运营也直接受 GDPR 管辖。
适用对象
| 角色 | 定义 | 责任 |
|---|---|---|
| 数据控制者(Controller) | 决定处理目的与方式的实体 | 主要责任方 |
| 数据处理者(Processor) | 代表控制者处理数据 | 辅助责任 |
| 数据主体(Data Subject) | 个人数据所属个人 | 权利持有人 |
三、核心概念
什么是"个人数据"
任何可识别自然人的信息均属个人数据,包括:
直接标识:姓名、身份证号、护照号
联系信息:电话、邮箱、地址
在线标识:IP 地址、Cookie ID、设备 ID、用户名
位置数据:GPS、定位记录
生物识别:指纹、人脸、虹膜
经济信息:账户、消费记录
健康数据
行为数据:浏览历史、点击记录
特殊类别数据(敏感数据)
GDPR 第 9 条对以下数据严格保护,原则上禁止处理:
种族或民族
政治观点
宗教或哲学信仰
工会成员资格
基因数据
生物识别数据
健康数据
性生活或性取向
仅在明示同意或法定例外情形下可处理。
四、七大基本原则(GDPR 第 5 条)
| 原则 | 含义 |
|---|---|
| 1. 合法、公平、透明 | 处理必须有法律依据,方式公平,对数据主体透明 |
| 2. 目的限制 | 只能用于明示、特定、合法的目的 |
| 3. 数据最小化 | 只收集必要数据,不可"先收集再说" |
| 4. 准确性 | 保持准确、及时更新,错误数据须更正 |
| 5. 存储限制 | 超过必要期限须删除或匿名化 |
| 6. 完整性与保密性 | 适当安全措施防止泄露、丢失、未授权访问 |
| 7. 问责制(Accountability) | 控制者须能够证明已遵守上述原则——这是 GDPR 的核心特征 |
关键变化:与之前法律相比,GDPR 强调"能证明合规"——不仅要做到,还要有文档与证据。
五、六项合法处理依据(GDPR 第 6 条)
处理个人数据必须有以下至少一项法律依据:
| 依据 | 适用场景 |
|---|---|
| 同意(Consent) | 用户明示同意,需可撤回 |
| 合同必要 | 履行与数据主体的合同(如订单配送) |
| 法定义务 | 遵守法律要求(如税务记录) |
| 重大利益 | 保护生命安全 |
| 公共利益 | 公共职责执行 |
| 合法利益 | 控制者或第三方的合法利益,需平衡测试 |
同意的有效性要求:必须是自由、特定、知情、明示的——预先勾选、捆绑同意、不平等条款均无效。
六、数据主体的八项权利
GDPR 赋予数据主体强大的控制权:
| 权利 | 内容 | 响应时限 |
|---|---|---|
| 1. 知情权 | 在收集时被告知处理目的、方式等 | 即时 |
| 2. 访问权 | 获取被处理数据的副本 | 1 个月 |
| 3. 更正权 | 要求纠正不准确数据 | 1 个月 |
| 4. 删除权 / 被遗忘权 | 在特定情形下要求删除数据 | 1 个月 |
| 5. 限制处理权 | 暂停数据处理 | 1 个月 |
| 6. 数据可携权 | 以机器可读格式导出并迁移数据 | 1 个月 |
| 7. 反对权 | 反对基于合法利益或直接营销的处理 | 即时停止营销 |
| 8. 自动化决策反对权 | 反对仅靠自动化做出的重大决策(如 AI 评分) | 即时 |
响应要求:
通常 1 个月内回应
复杂情形可延长至 3 个月(须说明理由)
原则上免费(明显无依据或过度的可收费或拒绝)
七、企业核心义务
1. 隐私设计与默认(Privacy by Design & Default,第 25 条)
设计阶段就嵌入隐私保护
默认设置即为最隐私友好状态
例:默认关闭精准定位、默认最小数据收集、默认匿名化
2. 数据处理活动记录(ROPA,第 30 条)
员工 ≥250 人或处理活动有风险时强制:
处理目的与法律依据
数据类别与数据主体类别
接收方
跨境传输情况
保留期限
安全措施
3. 数据保护影响评估(DPIA,第 35 条)
强制进行 DPIA 的情形:
系统性大规模处理特殊类别数据
大规模监控公共区域
自动化决策对个人产生重大法律或类似重大影响
新技术应用(AI、人脸识别、IoT、基因检测)
4. 数据保护官(DPO,第 37–39 条)
强制任命 DPO 的情形:
公共机构(除法院外)
核心活动涉及大规模、系统化监测数据主体
核心活动涉及大规模处理特殊类别数据
DPO 职责:监督合规、培训员工、与监管机构联络、提供咨询。
5. 欧盟代表(EU Representative,第 27 条)
欧盟境外的控制者/处理者,若适用 GDPR,必须在欧盟任命一名代表:
作为监管机构与数据主体的联系点
通常是欧盟境内的专业服务公司
豁免:处理偶发、非大规模、不涉及特殊类别数据可免
对中国企业出海几乎是强制要求。
6. 数据处理者管理(第 28 条)
控制者与处理者之间须签订数据处理协议(DPA),明确:
处理对象、期限、性质、目的
数据类别与数据主体
处理者的义务(保密、安全、协助、删除/返还)
控制者的审计权
7. 数据泄露通报(第 33、34 条)
发生个人数据泄露后:
72 小时内通报相关监管机构(除非泄露不太可能对权利造成风险)
高风险情形额外通知数据主体
通报内容须包括:泄露性质、影响范围、可能后果、已采取或拟采取措施。
8. 跨境数据传输(第五章)
向欧盟外传输个人数据须采用以下机制:
| 机制 | 说明 |
|---|---|
| 充分性决定(Adequacy Decision) | 欧盟认定该国保护水平充分——目前包括英国、瑞士、日本、韩国、加拿大商业部门、新西兰、阿根廷、乌拉圭、安道尔、法罗群岛、根西、马恩岛、泽西、以色列、美国(DPF 框架,2023) |
| 标准合同条款(SCCs) | 2021 版新模板,企业间签署 |
| 约束性公司规则(BCRs) | 跨国集团内部认证规则 |
| 认证或行为准则 | 经批准的认证机制 |
| 特定情形例外 | 明确同意、合同必需、法律请求等 |
重要:中国不在充分性决定国家列表,从欧盟传输数据至中国必须使用 SCCs 等机制,且自 Schrems II 判决(2020 年)后需进行 Transfer Impact Assessment(TIA)——评估接收国法律对欧盟数据主体权利的影响。
八、违规处罚
GDPR 是全球罚款最重的数据保护法之一:
| 违规类型 | 罚款上限 |
|---|---|
| 轻微违规 | €10,000,000 或全球年营业额 2%(取高者) |
| 严重违规 | €20,000,000 或全球年营业额 4%(取高者) |
轻微 vs 严重违规分类:
轻微:ROPA 缺失、DPIA 未做、DPO 未任命、数据处理协议不规范等
严重:违反基本原则、违反数据主体权利、违反跨境传输规则、违反同意要求等
重大处罚案例
| 年份 | 公司 | 罚款 | 原因 |
|---|---|---|---|
| 2023 | Meta(Facebook) | €12 亿 | 跨境数据传输(Schrems II 后违规) |
| 2021 | Amazon | €7.46 亿 | 同意机制问题 |
| 2024 | Uber | €2.9 亿 | 向美国传输司机数据 |
| 2023 | TikTok | €3.45 亿 | 儿童数据保护不足 |
| 2023 | Criteo | €4,000 万 | 同意管理违规 |
| 2019 | €5,000 万 | 透明度与同意问题 |
九、监管机构
各成员国数据保护机构(DPA)
每个欧盟成员国设有独立的 DPA,知名机构:
CNIL(法国)——执法活跃
ICO(英国,脱欧后仍执行 UK GDPR)
DPC(爱尔兰)——监管多数美国科技巨头
BfDI(德国联邦)+ 各州 DPA
AEPD(西班牙)——处罚案例数量最多
Garante(意大利)——AI 监管活跃
欧盟数据保护委员会(EDPB)
由各成员国 DPA 组成
发布指南与意见统一欧盟解释
处理跨境争议
主导新立法相关讨论
"一站式机制"(One-Stop-Shop)
跨境处理时,企业主要营业地所在国 DPA 担任主导监管机构,其他 DPA 协同。这是 GDPR 简化合规的重要设计。
十、与其他主要数据保护法的对照
| 维度 | GDPR | 中国 PIPL | 加州 CPRA |
|---|---|---|---|
| 生效时间 | 2018.5.25 | 2021.11.1 | 2023.1.1(CCPA 修订) |
| 域外效力 | 是 | 是 | 是 |
| 合法依据数量 | 6 项 | 7 项(无"合法利益") | 类似但简化 |
| 同意要求 | 严格 | 更严格(敏感信息单独同意) | 较宽松(默认收集、用户可退出) |
| 数据主体权利 | 8 项 | 类似 + 中国特色 | 5 项 + Opt-out 销售 |
| 跨境传输 | SCCs / BCRs / 充分性 | 安全评估 / 标准合同 / 认证 | 较少限制 |
| DPO 任命 | 部分强制 | 部分强制 | 不强制 |
| 泄露通报 | 72 小时 | 立即(无明确时限) | 视情形 |
| 最高罚款 | €20M / 4% 全球营业额 | RMB 5,000 万 / 5% 年营业额 | USD $7,500 / 违规 |
十一、对中国企业的实务影响
谁会被 GDPR 管辖?
✅ 几乎所有出海企业:
跨境电商(向欧盟消费者销售)
App / 游戏出海
SaaS 与云服务(欧盟客户)
智能硬件 / IoT(欧盟用户)
跨境物流与支付
代工厂(处理欧盟品牌数据时作为 Processor)
HR / 招聘(欧盟员工/求职者)
不合规风险
巨额罚款——最高欧盟年营业额 4%
欧盟用户诉讼——集体诉讼日益常见
业务中断——监管机构可命令停止处理或传输
品牌信誉损害
合作伙伴拒绝合作——欧盟 B2B 客户严格审查供应商合规
最低合规清单
✅ 任命欧盟代表(EU Representative)✅ 制定符合 GDPR 的隐私政策(多语言) ✅ 部署 Cookie 同意管理(CMP) 工具 ✅ 建立数据主体权利响应机制 ✅ 签署 2021 版 SCCs + 完成 TIA✅ 建立数据泄露应急响应预案(72 小时通报) ✅ 与处理者签署 DPA(数据处理协议)✅ 任命 DPO(如适用) ✅ 员工 GDPR 培训✅ 建立 ROPA(处理活动记录)
十二、GDPR 时间线与未来
| 时间 | 节点 |
|---|---|
| 1995 年 | 欧盟数据保护指令 95/46/EC |
| 2016 年 4 月 | GDPR 正式通过 |
| 2018 年 5 月 25 日 | GDPR 正式实施(2 年过渡期结束) |
| 2020 年 7 月 | Schrems II 判决——废除 Privacy Shield |
| 2021 年 6 月 | 新版 SCCs 发布 |
| 2023 年 7 月 | EU-US Data Privacy Framework(DPF) 生效——取代 Privacy Shield |
| 2024 年 8 月 | 欧盟 AI 法案生效——与 GDPR 协同 |
| 2025 年起 | Data Act、Data Governance Act、DSA、DMA 等配套法规陆续实施 |
| 持续 | EDPB 指南持续更新;执法力度加强 |
未来趋势
AI 与 GDPR 交叉监管——AI 法案下生成式 AI 数据治理
同意疲劳改革——欧盟在讨论简化 Cookie 同意机制
儿童数据保护强化——TikTok 等大额罚款引领
执法日趋严格——单笔罚款金额持续上升
第三国充分性评估——动态调整名单