（一）GDPR

GDPR是欧盟针对个人数据保护的核心法规，它对欧盟境内的数据处理行为进行严格规范，要求数据控制者与数据处理者在收集、存储、处理个人数据时，必须获得数据主体的明确同意，并确保数据的透明性和安全性。GDPR为数据主体提供一致且高水平的保护，保障数据主体的基本权利与自由，例如访问、修正、删除、限制处理与可移植权等，并对违反数据保护规定的数据控制者和数据处理者实施重罚。GDPR具有直接适用性，是欧盟境内现行个人数据保护的统一规则，无需各成员国的国内立法转化即可生效，对所有欧盟成员国适用。GDPR于2016年通过，并于2018年5月25日生效。

（二）《执法指令》（Law Enforcement Directive,下称“LED”）

LED是与GDPR并行的专门性法律，专门适用于刑事犯罪预防、调查、侦查、起诉及执行刑罚过程中的个人数据处理，主要针对警察、司法机构等执法部门。LED与GDPR的原则相似，但LED针对执法领域的特殊性和必要性设置了特定的规则和例外。LED于2016年通过并生效,与“直接适用”的GDPR不同，它需要经过欧盟成员国立法转化后才能在各国内具体适用。

（三）《欧洲议会与理事会第2018/1725号条例》

第2018/1725号条例规定了适用于欧盟机构、团体、办公室和其他机构处理个人数据的规则。该条例于2018年12月11日生效，并与GDPR及LED保持协调一致。

（四）《电子隐私指令》（ePrivacy Directive）

电子隐私指令专门规范电子通信领域的隐私保护，包括通信内容保密、流量数据处理、垃圾邮件控制、Cookies使用等。该指令于2002年颁布，后于2009年修订。2017年，欧盟委员会提出将指令升级为《电子隐私条例》（ePrivacy Regulation），以更好地与GDPR协调，但在2025年2月，欧盟委员会撤回该条例提案，理由是：条例的内容已无法适应当前的技术发展和法律需求，并且，在当前的政治和法律背景下，各利益相关方难以在短期内达成共识。

（五）《数据治理法案》（Data Governance Act,下称“DGA”）

DGA致力于增强数据共享的可信度，完善数据流通机制，提升数据可用性，并消除数据再利用过程中面临的技术障碍。DGA既适用于个人数据，也适用于非个人数据。若涉及个人数据处理，则同时遵循GDPR的相关规定。此外，DGA还支持在健康、环境、能源、农业、交通、金融、制造业、公共管理及技能培训等重点领域，推动建立由私营公司与公共部门共同参与的欧盟共同数据空间。该法案于2022年6月23日正式生效，并经过15个月过渡期后，于2023年9月起开始实施。

（六）《数据法案》（Data Act）

该法案重点关注联网产品生成的数据，明确赋予用户访问、使用和共享自身数据的权利，并制定了一系列保障数据共享公平性与安全性的措施，包括保护商业秘密、防止合同滥用、建立合理补偿与争议解决机制，以及推动数据处理服务提供商切换自由，提升数据互操作性的效率。该法案于2023年12月发布，2024年1月生效，并于2025年9月12日起开始实施。

（七）《人工智能法案》（EU AI Act）

人工智能法案是全球首个全面监管AI系统的法规，通过为人工智能开发者和部署者针对特定应用场景制定一套清晰的规则体系，管控AI模型的风险，促进欧盟开发和应用安全可信的AI系统，保障基本权利、安全与伦理原则的遵守。该法案于2024年7月12日正式颁布，2024年8月1日生效，随后逐步实施。

以上法律和政策工具共同构成了欧盟严格且系统的个人数据保护框架，既注重基本权利保障，也兼顾数字经济和创新发展的需求。在这一体系中，GDPR无疑是最具基础性和广泛影响力的规则，它不仅是欧盟内部数据保护的核心依据，更因其跨境适用条款而成为影响全球企业行为的关键法律。下文将重点分析GDPR对中国企业合规经营所提出的要求与挑战。

在欧盟层面，EDPB是GDPR的核心监管机构，发挥着关键作用。EDPB依据GDPR设立，其主要职责是协调各国数据保护机构（Data Protection Authority,下称“DPA”）的工作、发布通用指南、提供立法建议，以确保GDPR和LED在整个欧盟范围内得到一致应用。

（二）欧洲数据保护监督机构（European Data Protection Supervisor,下称“EDPS”）

EDPS是欧盟独立的监督机构，专门负责监督欧盟机构、机关和办事处在处理个人数据时的合规情况，并负责调查投诉。EDPS通过提供合规指导来支持其履行责任，并确保规则正确实施，具体监管措施包括：调查投诉、回复欧盟机构咨询以及开展数据保护审计。EDPS既负责对欧盟机构内部的数据处理行为进行监管，也在立法和政策制定过程中提供独立咨询意见。

（三）DPA

各个欧盟成员国都设有独立的DPA，负责本国范围内的GDPR实施和监管。例如法国的国家信息与自由委员会（CNIL）、爱尔兰的数据保护委员会（DPC）等。GDPR赋予DPA调查、矫正、授权和建议等权力，其职能涵盖审查数据处理活动、受理投诉、进行案件调查及实施处罚。DPA通过一站式合作机制，在国家层面和跨境层面共同负责数据保护法的执法工作。对于无法达成共识的跨境案件，EDPB可作出具有约束力的决定。

（一）地域范围

GDPR的管辖范围尤为广泛，根据GDPR第三条规定，该条例适用于：

（1）数据控制者或处理者在欧盟内设立机构所进行的个人数据处理活动，无论该处理行为是否发生在欧盟境内；

（2）为欧盟内的数据主体提供商品或服务（不论是否要求数据主体支付对价）；或对数据主体在联盟内发生的行为进行监控的个人数据处理行为（即使数据控制者或处理者未设立于欧盟内）；以及

（3）未设立于欧盟境内但受国际公法规定适用成员国法律的数据控制者所进行的个人数据处理。

因此，GDPR不仅适用于欧盟境内的所有数据控制者或处理者，还覆盖全球所有处理欧盟居民个人数据的数据控制者或处理者。例如，若中国企业在中国境内处理欧盟公民的数据，只要其目标市场包括欧盟，该企业也需遵守GDPR。GDPR域外适用的“目标指向”标准解释空间大，几乎将所有与欧盟有任何联系的线上业务纳入管辖范围，这种跨境效力确立了欧盟在全球范围内的“数据保护长臂管辖”，显著扩大了其在全球范围内的影响力。在跨境案件的执行层面，GDPR通过一站式机制和EDPB协调权力，提升了跨境案件处理的效率，也确保了欧盟法律体系在跨境场景下的统一适用。

（二）适用主体

GDPR的适用对象涵盖所有处理个人数据的相关主体，其中，“数据控制者”是指能单独或共同决定个人数据处理目的与方式的组织或个人；“数据处理者”则指代表控制者实际处理数据的组织或个人；“数据主体”则为能够通过姓名、识别码、在线标识等特定标识符或其生理、遗传、经济、文化等一项或多类社会身份因素被直接或间接识别的自然人。

（三）适用的数据类型

GDPR保护的是“个人数据”，即任何已识别或可识别的数据主体相关的信息。经过去识别化、加密或假名化后但可用于重新识别个人身份的数据仍属于“个人数据”，依然属于欧盟GDPR约束的范围。已匿名化处理、无法识别个人身份的数据不被视为“个人数据”。同时，要真正实现匿名化，匿名化过程必须是不可逆的。

（四）适用的数据处理行为

数据处理是指对个人数据执行的任何操作。它包括个人数据的收集、记录、组织、结构化、存储、调整或修改、检索、查阅、使用，以及通过传输、传播或其他形式的公开、对齐或组合、限制、删除或销毁。无论采用何种技术处理数据，GDPR均对个人数据提供保护。

（五）豁免适用的情形

GDPR不适用于以下情形的个人数据处理：

（1）在欧盟法律适用范围外的活动中进行的处理；

（2）成员国执行《欧洲联盟条约》第五编第二章范围内活动时进行的处理；

（3）自然人在纯粹个人或家庭活动中进行的处理；

（4）对于已故人员的个人数据处理；以及

（5）主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚之目的进行的处理，包括防范和预防公共安全威胁。

（一）个人数据处理原则

为确保在收集或使用数据主体的个人数据时受到保护，GDPR第二章规定了数据控制者或处理者在处理个人数据时必须遵守的七项关键原则：

（1）合法、公正、透明原则：以合法、公正、透明的方式对数据进行处理；

（2）目的限制原则：为特定、明确、合法的目的而收集，且不得以与该等目的不相符的方式进一步处理；但为公共利益、科学或历史研究目的或统计目的而进行的归档处理，不视为与初始目的不相符；

（3）数据最小化原则：处理的个人数据应充分、相关且限于处理目的所必需的范围；

（4）准确性原则：个人数据应当是准确的且在必要时保持更新；必须采取一切合理措施，确保就处理目的而言不准确的个人数据得以及时删除或更正；

（5）存储限制原则：个人数据以可识别数据主体形式保存的时间不得超过实现处理目的所必需的期限；个人数据可延长保存期的情况仅限于：为公共利益、科学或历史研究目的或统计目的进行归档处理，且已采用GDPR要求的适当技术与组织措施以保障数据主体权利与自由；

（6）完整性与保密性原则：需采用适当技术或组织措施进行处理，确保个人数据的安全性，包括防止未经授权或非法的处理以及意外丢失、销毁或损坏；

（7）问责制原则：对遵守上述所有原则负责并能对此进行举证。

（二）数据主体的权利

根据GDPR第三章规定，数据主体有以下权利：

（1）知情权：数据主体有权在其数据被收集或使用时，获得清晰、易懂且充分的信息，包括数据控制者身份、数据处理目的、合法基础、保存期限、权利救济途径等；

（2）访问权：数据主体有权向数据控制者申请确认其个人数据是否正在被处理，并获得一份数据副本，以及相关处理情况说明（目的、类别、接收者、保存期限、跨境传输情况等）；

（3）更正权：当个人数据存在不准确或不完整时，数据主体有权要求数据控制者及时更正或补充；

（4）删除权：在以下情形下，数据主体可要求删除个人数据——处理目的已不复存在、数据处理非法、数据主体撤回同意、或数据不再具备合法基础；

（5）限制处理权：在数据准确性存疑、处理违法但不希望删除、或权利主张期间，数据主体可要求数据控制者暂停处理，仅限存储；

（6）数据可移植权：数据主体有权以结构化、常用、机器可读的格式接收其提供给数据控制者的个人数据，并可要求直接转移给另一数据控制者；

（7）反对权：数据主体有权随时反对基于“公共利益”或“正当利益”进行的数据处理，尤其是出于直接营销目的的处理；

（8）不受自动化决策约束的权利：数据主体有权不受仅基于自动化处理所作出的、对其产生重大法律或类似影响的约束。

（三）特殊数据类型的处理原则

（1）敏感个人数据

以下类别个人数据被GDPR认定为“敏感数据”并享有特殊保护：揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份的数据，以及基因数据、用于唯一识别自然人的生物识别数据、健康数据、涉及个人性生活或性取向的数据。这些敏感数据因涉及自然人核心隐私与基本权利，受到较一般个人数据更为严格的处理限制和保护要求。此外，GDPR将“与刑事定罪及犯罪相关的数据”单独列出，要求额外保护，仅在官方机构或法律授权的前提下处理。

GDPR的基本立场是禁止处理该类别数据，除非满足明确的合法例外情形。这种制度设计体现了风险防控思路，即对敏感数据设定“更高的保护门槛”。

（2）儿童个人数据

根据GDPR第8条规定，儿童不满16周岁的，必须获得其具有父母监护责任的主体同意或授权，相关数据处理行为方为合法。针对儿童年龄的界定，GDPR第8条第2款规定对于年满13周岁的，成员国的法律可以降低年龄要求。

（一）数据主体权利

GDPR对数据主体的权利保护也体现了其严格性。GDPR明确赋予个人访问、删除、更正和数据可移植等权利（见上文4.2部分），并要求数据控制者在数据主体提出请求后1个月内作出回应或者通知，保障数据主体能够切实掌握其数据的使用情况。对数据控制者而言，这意味着必须建立完善的数据管理机制、技术流程和解决方案，以满足数据主体的权利请求，否则将面临监管问责。GDPR通过“问责制原则”将责任压实到数据控制者身上，数据控制者不仅需要履行义务，还必须能够证明其合规行为。一旦数据控制者未能在时限内履行数据主体权利，或缺乏足够的合规记录，就可能触发数据保护机构的调查与处罚。

相比之下，PIPL同样赋予个人访问、更正、删除、复制和撤回同意等权利，但在执行层面的细化不足，例如对“数据可移植权”和“自动化决策反对权”并未提出具体的要求，也没有明确个人信息处理者的回应时限，仅要求其“及时处理”，在权利实现的保障机制方面仍有完善空间。

此外，GDPR规定其不直接适用于已故人员个人信息，但PIPL第49条明确规定：“自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。” PIPL明确将死者个人信息纳入保护范围，并提供了基本的行权路径，体现了立法的前瞻性与中国特色。

（二）同意机制

在数据处理的合法基础中，GDPR对“同意”的认定尤为严格。数据主体的“同意”指通过声明或明确确信的行动作出自由的、自愿的、具体的、知情的且明确的意愿表示，数据主体通过该表示同意与其相关的个人数据处理。数据控制者必须能够证明数据主体已给予同意，不能通过预先勾选、默认设置或强制捆绑来获取。同时个人还拥有随时撤回同意的权利，且撤回与给予同意一样便捷。这一同意机制大幅提升了数据控制者的数据处理门槛，要求其在透明告知和实际选择权上做到充分保障，防止形式化授权或“被迫同意”削弱数据主体的自主权。

与GDPR类似，PIPL同样强调“知情同意”原则，并赋予数据主体“撤回同意”的权利。但在同意标准的细化程度上，PIPL与GDPR存在差异。例如PIPL没有明确禁止预勾选或强制捆绑的条款，也未对撤回同意的便捷性提出具体要求。这意味着在实践中，个人信息处理者有更大的灵活性和自主解释空间。

（三）跨境数据传输限制

GDPR的一大核心特征在于其对欧盟以外的数据传输实施严格限制。第五章明确规定，个人数据只有在“确保同等保护水平”的前提下才能被传输至第三国或国际组织。这一机制的目标是防止数据一旦流向第三国，就失去与欧盟境内相同水平的保护。

（1）充分性认定（Adequacy Decision）

欧盟委员会可以评估某一第三国或地区的法律框架和执法实践，若其被认定为提供了“基本等同”的数据保护水平，则允许个人数据自由流动。充分性决定无需额外合同或批准，换句话说，向相关国家的传输将被视为欧盟内部的数据传输。目前，阿根廷、日本、韩国、瑞士、英国等国已获得此认定。

（2）适当保障措施（Appropriate Safeguards）

如果目的国尚未获得充分性认定，数据传输仍可进行，但数据控制者或处理者需通过额外的法律工具确保数据保护水平，例如：

（a）标准合同条款（Standard Contractual Clauses,下称“SCCs”）

由欧盟委员会制定的合同模板，为受GDPR约束的数据控制者或处理者向不受GDPR约束的数据控制者或处理者传输数据提供保障。2021年6月4日，欧盟委员会发布最新版本SCCs，后又制定《问答指南》，通过具体场景阐释条款适用要件，为采用SCCs提供实务指引。

（b）具有约束力的公司规则（Binding Corporate Rules,下称“BCRs”）

CRs是在欧盟成立的企业集团为向欧盟境外传输个人数据而制定并遵循的数据保护政策体系。此类规则须全面涵盖GDPR确立的通用数据保护原则及可执行性权利，以确保跨境数据传输具备充分保障机制。企业必须向成员国DPA提交具有约束力的BCRs，经批准后生效。

（c）公共机构之间的协议或行政安排

在确保数据主体的权利不被削弱，并且能够获得法律救济的前提下，欧盟成员国及第三国的政府或公共机关之间签订的具有法律约束力和可执行性的合作协议，也可作为数据跨境传输的合法路径之一。

（3）例外情形（Derogations）

在无充分性认定或适当保障措施的情况下，GDPR允许在特定例外情况下进行跨境传输，例如数据主体明确同意、履行合同所必需、出于重大公共利益、法律请求或保护数据主体生命健康等。这些例外被视为“最后手段”，只能在特殊且有限的情况下使用。

欧盟数据跨境传输的合法路径仅限于上述情形，对未能满足这些要求的数据流动，监管机构可以直接裁定违规并实施高额处罚。跨境传输机制不仅要求数据控制者具备法律合规安排，还必须辅以技术与组织措施（如匿名化和加密等），否则很容易成为高风险合规环节。

与之相比，PIPL也在第38条中确立了跨境数据传输机制，包括国家网信办组织的安全评估、标准合同以及认证机制。PIPL的严格性主要体现在政府事前批准或备案的行政把关上，强调国家安全与数据主权。然而，由于PIPL的实践历程相对较短，其监管框架在现阶段呈现出以行政审批为主要抓手的特点，目前中国在跨境数据流动领域尚未建立起成熟的国际互认机制，司法体系也尚需时间通过具体案例对规则适用性进行持续验证与调适。因此，对于跨境业务活跃的企业而言，GDPR的合规挑战不仅源于其规则本身的复杂性，更在于其基于大量判例而动态演进、要求企业持续跟踪应对的合规负担。

（4）数据保护官（DPO）

GDPR规定在特定情况下数据控制者必须任命DPO，尤其当其核心业务涉及大规模监控或敏感数据处理时。DPO既可为内部人员，也可为外部顾问，其职责包括监督合规、提供数据保护建议、培训员工以及作为企业与监管机构的主要沟通窗口。DPO应具备数据保护专业知识，并直接向高层汇报，独立履职，不因履行任务受惩罚。

PIPL第52条也规定了类似要求:“处理个人信息达到国家网信部门规定数量的个人信息处理者”应指定个人信息保护负责人。其职能与GDPR中的DPO类似，但触发条件模糊，且职责及独立性要求不如GDPR明确。

（5）数据保护影响评估（DPIA）

GDPR规定，当数据处理活动可能对个人权利和自由造成高风险时，数据控制者必须事先开展DPIA。典型情形包括：大规模监控、自动化画像、敏感数据或刑事数据的广泛处理等。DPIA报告需说明处理目的与必要性、评估风险，并提出缓解措施。若DPIA表明，数据处理活动会带来高风险，则数据控制者必须事先咨询和上报DPA。

PIPL第55条同样要求在特定场景下进行个人信息保护影响评估，例如处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等。PIPL的要求与GDPR在内容上相似，但区别在于：GDPR将DPIA与DPA的监管互动紧密结合，而PIPL更强调个人信息处理者内部自我评估和书面记录，未设定“必须报批”的前置机制。这表明GDPR的DPIA在外部监管联动方面更严格，而PIPL在自主管理上更灵活。

（6）数据泄露通报机制

GDPR规定，“个人数据泄露”指导致意外或非法销毁、丢失、篡改、未经授权披露或访问传输、存储或以其他方式处理的个人数据的安全漏洞。一旦发生个人数据泄露，数据控制者必须在72小时内向DPA报告，并在必要时通知受影响的个人。报告需包含泄露的性质、可能后果、联系人以及采取的补救措施。若数据处理者发现泄露，必须立即告知数据控制者，由数据控制者决定是否上报。

PIPL第57条规定，发生个人信息泄露、篡改、丢失等情形时，应立即采取补救措施，并向相关部门和数据主体报告，但PIPL并未设定明确的时限，更多需要依赖于事后行政审查和个人信息处理者的自我约束。

（7）处罚机制

GDPR第83条规定了行政处罚机制，DPA可根据违规性质、严重程度和持续时间等因素，决定罚款额度：

（a）较轻处罚（最高1000万欧元或企业全球年营业额2%）

例如未履行内部记录义务、未满足儿童同意的条件、未报告数据泄露等。

（b）严重处罚（最高2000万欧元或企业全球年营业额4%）

例如违反数据处理基本原则、缺乏合法处理基础、侵犯数据主体权利、非法跨境传输等。

GDPR通过极具震慑力的罚款制度强化执行力。一旦违反，可能面临高达2000万欧元或其全球年度营业额4%的罚款，以更高者为准。例如，中国某企业海外子公司因违反欧盟数据传输规定，未能证明其向中国传输的欧盟用户数据能得到与欧盟同等的保护，且在隐私政策中未充分披露数据传输情况，于2025年被DPA罚款约5.3亿欧元，被责令在六个月内整改。这种与企业规模直接挂钩的惩罚方式使无论中小企业还是跨国巨头，都无法通过“罚款成本化”来忽视合规义务。同时，DPA还可发布整改令、暂停或禁止数据处理活动，使违规企业在经济和业务层面均面临沉重压力。

PIPL第66条同样规定了严厉的处罚标准，情节严重的违法行为，不仅没收违法所得，还处人民币五千万元以下或者上一年度营业额百分之五以下罚款，即最高5000万人民币或上一年度营业额的5%。从比例上看，GDPR与PIPL在罚款上限都具有足够威慑力。PIPL的上限甚至更高，但鉴于PIPL仍处于实践的早期阶段，相较于GDPR，具有国际影响力的超大额处罚案例尚未广泛出现。此外，除个人信息处理者外，PIPL特别强调对直接负责的主管人员和其他直接责任人员的个人责任，可对其进行人民币10万-100万元罚款，甚至可能禁止其在一定期限内担任董事、监事、高管和个人信息保护负责人。

GDPR作为欧盟数据保护体系的核心，不仅塑造了欧盟内部的统一标准，也通过域外适用与跨境监管机制影响了全球数据治理的格局。对于中国企业而言，遵守GDPR不应仅被视为消极的合规义务，而应被理解为赢得市场信任与塑造长期竞争优势的积极战略。随着全球数字经济的加速演进，企业能否在合规与创新之间实现动态平衡，将在很大程度上决定其在国际市场的可持续地位与话语权。在这一过程中，经验丰富的律师团队能够帮助企业准确解读监管要求、设计切实可行的合规方案，并在风险防控与商业目标之间实现最佳平衡，从而让合规成为企业全球化战略的核心竞争力之一。

特别声明：大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。