一、立法背景

最初的前身是《1981年个人数据保护公约》、之后它发展成为《1995年个人数据保护指令》(以下简称“95指令”)，最后在2016年，产生了《通用数据保护条例》(英文简称“GDPR”)。

在2009年开始，欧盟启动个人数据保护框架的改革工作。2012年1月正式发布GDPR草案。经过长达四年的立法程序，2016年4月，欧盟理事会和欧洲议会表决通过了GDPR，并随后在2016年5月4日正式在欧盟官方公报发布。根据GDPR第99条关于生效和适用的规定，GDPR自官方公报发布满20日，即2016年5月24日生效，并自其生效后满两年，即2018年5月25日直接适用于欧盟全体成员国，以“一个大陆、一部法律”实现在欧盟28个成员国内部建立起统一的个人信息保护和流动规则。

二、要点概述

2.1、扩张域外适用效力

管辖范围：所有涉及欧盟地区数据主体个人数据处理的行为均纳入了管辖范围。GDPR在第3条中规定了“属人”、“属地”、“保护”、“国际公法”等多种管辖权适用依据。

第3条（1）规定：GDPR适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实际数据处理行为是否在欧盟内进行。

第3条（2）规定：即便数据处理者、控制者以及数据处理行为均不发生在欧盟境内，但为了保护欧盟及欧盟境内居住的数据主体的合法权益，只要向欧盟数据主体提供产品或服务或监控其行为的个人数据处理行为，均应受到GDPR的拘束。

第3条（3）规定：虽然数据控制者设立在欧盟境外，但依据国际公法，其所在地区适用欧盟成员国法律时，其行为也受到GDPR拘束。

2.2、扩张数据主体权利

GDPR第三章专章(第12条-第23条)规定了数据主体的权利，包括透明度及模式、知情与对数据的访问、更正与删除、反对权和自动化决策、权利限制等五个部分的内容。相较于95指令所规定的数据主体权利，GDPR在以数据主体“知情——同意”为基本框架，保留、细化并拓展了95指令中已有的查询、更正、删除、反对、免受完全自动化决定权等数据主体权利体系，并新增了被遗忘权、限制处理权和数据可携带权。

第12-15条构成数据主体的知情权体系；第16条-第20条规定了数据主体的更正权和删除权体系；第21-22条规定了数据主体的反对权和自动化决策相关内容；第23条则规定了数据主体权利的限制。

2.3、强化数据控制者、数据处理者问责

GDPR在引入一站式监管机制降低数据控制者等企业日常合规负担的同时，也要求数据控制者、数据处理者内部建立完善的问责机制，更多地以企业内部合规性义务规定推进GDPR的落地。

具体来说，主要体现在设置数据保护官、对数据处理活动实现文档化管理、实行数据保护影响风险评估制度、对高风险数据处理活动向监管机构事先咨询、向监管机构和数据主体进行数据泄露事件的报告和通知、强调匿名化与假名化安全保障措施等等。

同时，在大多数情况下明确了数据处理者与数据控制者负有同等义务，并且明确数据处理者在数据安全、数据泄露、数据保护影响风险评估等方面对数据控制者负有协助义务，以及数据处理服务终止时的数据删除或返还义务。

2.4、丰富数据跨境流动机制

形成了基于充分性决定、有拘束力公司规则、标准合同条款、经批准的行为准则、经批准的认证机制或标志等构成的多元数据跨境流动监管路径，实现用户隐私、数据安全与数据跨境流动需求之间的协调与平衡。

2.5、改革数据保护监管体制

设立欧盟数据保护委员会，负责代表整个欧盟层面发布有关个人数据保护的相关意见、指南，协调一站式监管机制并促进交流等，以确保GDPR在欧盟各成员国内适用的统一性。

GDPR新增监管一致性机制，以应对跨境数据流动场景下涉及多个成员国监管机构的情形，减轻监管成本和企业合规成本，力图实现一站式管理服务。

三、执法行动及评估

3.1、GDPR执法行动

欧盟数据保护委员会(“EDPB”)是整个欧盟层面的数据保护机构，旨在保证欧盟整体数据保护规则的统一适用，以及促进各成员国数据保护监管机构之间的合作，其主要政策工具为出台指南、建议、意见以及有约束力的决定。

与EDPB相对，各国监管机构的职能与权限由本国数据保护法赋予，其权限主要包括调查权和矫正权。具体而言，监管机构可通过发出违规警告、开展审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款等行使其权力。

2019年2月，EDPB发布GDPR实施情况首次概述，对各国相关监管机构的合作机制与一致性机制的实施与执行情况进行总结。合作机制指利用一站式合作机制、互助、联合执法等工具支持跨境案件的执行。一致性机制涵盖EDPB为确保GDPR在各监管机构间适用与执行的一致性而出台的一般指南，以及意见、决定、争议解决与紧急决定等。

3.2、GDPR执法行动评估

GDPR所详尽规定的基础权利和义务的实际遵守效果也很难证实。此外，尽管有EDPB的协调和监督，鉴于各国执法路径与社会文化的不同，欧洲各国的数据保护执法水平不均衡的现状短期内很难得到较大改善。

安全合规/GDPR--22--研究：GDPR的立法背景、要点概述、执法行动及评估相关推荐

安全合规/GDPR--25--研究：GDPR合规的培训宣讲与监督审计
一.合规培训及宣讲定期对企业的董事.高管.雇员和第三方开展多元化的GDPR培训是企业进行有效的GDPR合规的重要环节,也是监管机构在评估企业内部GDPR合规制度有效性的主要关注点之一.可以针对不同的 ...
安全合规/GDPR--23--研究：GDPR风险评估与组织架构保障
一.风险评估风险评估贯穿于企业GDPR合规制度的建立.实施以及更新完善的每一步,也是企业判断GDPR合规制度是否必要以及如何建设的首要步骤.合规初期,企业进行GDPR风险评估的重点主要为: (1) ...
安全合规/GDPR--24--研究：GDPR合规体系设立与执行
企业实施GDPR合规业务,除进行整体合规风险的评估以及组织架构的搭建之外,更为关键的是如何在企业的具体事项上落实GDPR的具体要求. 一.GDPR合规制度的设立与健全 1.1 保障个人数据主体的权利 ...
安全合规/GDPR--26--研究：GDPR疑难点及合规建议
1.中国境内的欧盟个人数据管不管? GDPR不适用于欧盟国家公民在欧盟范围外接受服务时提供自己的个人信息的情况.在欧盟境外,只需要遵守服务提供地的法律即可. 2.GDPR中的个人数据指的是哪些数据? ...
GDPR数据保护合规问题分析
文章目录一.引言二.GDPR颁发机构三.GDPR适用范围四.数据特征五.合规流程六.豁免途径 6.1 合同履行 6.1.1 适用条件和限制 6.2 法律义务 6.2.1 适用条件和限制 6 ...
学习国家颁布的三部信息安全领域法律，理解当前工作中的信息安全合规要求
目录三部信息安全领域的法律文件三部法律的角色定位与联系三部法律的适用范围三部法律的主要履职部门三部法律条文章节结构中的共性三部法律中的一些次重点章节网络安全法的重点章节数据安全法的重点 ...
app获取个人信息是否合法_APP隐私合规介绍和实施方案
近期咨询app隐私合规的人有点多,正好借这个机会把相关内容整理一下供大家学习参考. 一.背景目前,大量的移动app在使用过程中,涉及个人隐私信息和敏感信息.在个人信息处理.共享.转让.公开披露过程中 ...
共建“医疗合规科技实验室”，美创科技实力护航医疗数据安全
11月15日-17日,由工业和信息化部.深圳市人民政府主办,中国互联网协会.广东省通信管理局.深圳市工业和信息化局等单位承办的2022中国互联网大会隆重召开. 在互联网医疗健康合规发展论坛上,医疗合规 ...
《星岛日报》专访：欧科云链AML，助力数字资产合规及风险防控
6月1日,香港<适用于虚拟资产交易平台营运者的指引>及<打击洗钱指引>正式施行,香港虚拟资产发牌制度正式生效.作为深耕香港市场多年的Web3科技企业,欧科云链OKLink也正式 ...

安全合规/GDPR--22--研究：GDPR的立法背景、要点概述、执法行动及评估