GDPR欧盟通用数据保护条例详解:核心要求、合规流程与实践要点
2026/7/8 5:27:55 网站建设 项目流程

一、法规背景

GDPR(General Data Protection Regulation,通用数据保护条例),法规编号(EU)2016/679,是欧盟于2016年4月27日通过、2018年5月25日正式施行的个人数据保护基础性法规。该条例取代了此前施行逾20年的《数据保护指令》(Directive 95/46/EC),统一了欧盟各成员国的数据保护标准。

GDPR的立法目标包含两个维度:保护自然人的基本权利与自由,特别是个人数据保护权;促进个人数据在欧盟内部的自由流动,消除各成员国之间因数据保护标准差异形成的贸易壁垒。


二、适用范围

GDPR采用"属地+属人"的双重管辖原则,其适用范围不限于在欧盟境内设立的企业。

管辖原则适用情形法规依据
设立地原则在欧盟境内设有机构,且数据处理发生在该机构活动范围内第3(1)条
目标指向原则不在欧盟设立,但面向欧盟数据主体提供商品或服务(无论是否收费)第3(2)(a)条
监控行为原则不在欧盟设立,但对发生在欧盟境内的数据主体行为进行远程监控第3(2)(b)条

说明:即使企业在欧盟境外运营,若面向欧盟数据主体提供服务或收集其行为数据(如网站分析、行为画像),同样受GDPR管辖。这一设计使GDPR成为具有事实性域外效力的法规。


三、核心概念

3.1 个人数据的分类

根据GDPR第4(1)条,个人数据是指与已识别或可识别的自然人(数据主体)相关的任何信息。可识别的自然人是指可以通过姓名、身份证号、位置数据、在线标识符等直接或间接识别身份的个体。

数据类别定义法规依据处理原则
一般个人数据姓名、地址、邮箱、IP地址、Cookie标识等第4(1)条满足第6条任一法律依据即可处理
特殊类别数据种族、宗教信仰、基因数据、生物识别数据、健康数据、性生活/性取向数据第9条原则上禁止处理,仅限特定豁免情形
刑事定罪数据与刑事定罪和犯罪相关的个人数据第10条仅官方机构或受权机构可处理

特殊类别数据的豁免情形包括:数据主体明示同意、保护数据主体或他人重大利益、数据主体已使其数据公开、出于重大公共利益等(第9(2)条)。

3.2 数据处理的六项法律依据

GDPR第6条规定了数据处理合法性的六项依据,任何处理活动须至少满足其中一项:

编号法律依据典型适用场景限制条件
a数据主体同意营销邮件订阅、Cookie追踪同意须自由作出、具体、明确、可撤回
b合同履行必需订单配送需处理收货地址限于合同必需范围
c法定义务雇主依法代扣税款须依据欧盟或成员国法律
d保护重大利益紧急救护中处理健康数据限于数据主体无法表示同意时
e公共利益政府统计部门人口普查须有法律基础并遵循比例原则
f正当利益企业内部网络安全防护须经必要性测试,不损害数据主体权利

四、数据主体权利

GDPR赋予数据主体八项核心权利,构成数据保护的主体框架。以下对照法规条款梳理各项权利的内容与响应要求。

权利名称核心内容响应时限法规依据
知情权数据收集时获知处理目的、依据、保存期限等信息收集时第13–14条
访问权确认其数据是否被处理,并获取数据副本1个月内第15条
更正权要求更正不准确的个人数据1个月内第16条
删除权(被遗忘权)要求删除其个人数据1个月内第17条
限制处理权在特定情形下限制数据处理活动1个月内第18条
数据可携带权以结构化通用格式获取数据并转移至其他控制者1个月内第20条
反对权反对基于正当利益或直接营销的数据处理收到后停止处理第21条
免于自动化决策权不受仅基于自动化处理(含画像)的决策约束视具体情况第22条

响应时限说明:控制者收到请求后须在一个月内予以响应。必要时可延长两个月,但须在一个月内向数据主体说明延期理由。上述时限自控制者收到请求之日起计算。


五、数据控制者与处理者义务

5.1 基本义务清单

义务类型具体要求法规依据
透明度义务以清晰、简明的语言提供隐私政策第12条
目的限制仅用于收集时声明的明确目的第5(1)(b)条
数据最小化仅收集实现目的所必需的最少数据第5(1)©条
准确性确保数据准确并及时更正第5(1)(d)条
存储限制设定合理的数据保存期限第5(1)(e)条
安全保障采取适当的技术和组织措施(如加密、 pseudonymization)第32条
数据泄露通知知悉后72小时内向监管机构报告第33条
数据保护影响评估(DPIA)高风险处理活动前进行评估第35条
记录处理活动维护处理活动记录第30条

5.2 数据保护官(DPO)

GDPR第37条规定了须任命数据保护官(DPO,Data Protection Officer)的三类情形:

  • 公共机构或机关进行大规模数据处理
  • 核心活动涉及大规模定期系统化地监控数据主体
  • 核心活动涉及大规模特殊类别数据或刑事定权数据处理

DPO的职责包括:向组织提供数据保护建议、监督GDPR合规、担任与监管机构联络的联系人。DPO须独立履行职责,控制者不得因履行职责而对其解雇或处罚(第38条)。


六、合规实践流程

以下流程图展示了企业GDPR合规评估的核心步骤:

启动合规评估

数据资产盘点

是否涉及欧盟
数据主体?

不适用GDPR

识别处理活动法律依据

评估数据主体权利保障

是否属于高风险
处理活动?

制定安全保障措施

开展数据保护影响
评估 DPIA

建立数据泄露响应机制

形成合规文档

持续监控与定期更新

数据主体权利请求的处理流程:

访问/更正

删除

可携带

无保留事由

有保留事由

收到权利请求

验证数据主体身份

请求类型判断

1个月内响应

评估是否存在
合法保留事由

结构化格式导出

书面说明
拒绝理由

记录处理日志


七、常见问题

Q1:企业在欧盟境外运营,是否受GDPR管辖?

若企业面向欧盟数据主体提供商品或服务,或对欧盟境内用户行为进行远程监控(如网站分析、行为画像),则适用GDPR第3(2)条,即使企业没有任何欧盟境内的实体机构。判断"面向欧盟"的因素包括:使用欧盟语言或货币、域名使用.eu后缀、提供向欧盟的物流等。

Q2:Cookie是否属于个人数据?

GDPR序言第30段及第4(1)条明确,在线标识符(包括Cookie标识符、IP地址、RFID标签、设备指纹等)在可关联到特定自然人的情况下,属于个人数据。Cookie的设置须获得数据主体同意(依据ePrivacy指令与GDPR第6(1)(a)条)。

Q3:数据主体行使被遗忘权时,控制者是否必须删除所有相关数据?

并非所有情形都必须删除。GDPR第17(3)条设定了豁免事由,包括:言论自由行使、法定义务履行、公共健康利益、科学或历史研究目的、法律诉求的设立、行使或抗辩等。控制者须逐案评估删除请求是否存在合法保留事由。

Q4:DPIA在什么情况下是强制性的?

GDPR第35条规定,以下高风险处理活动须进行数据保护影响评估:大规模系统性画像、处理特殊类别数据或敏感数据的大规模处理、公共场所大规模监控、处理涉及个人健康数据的遗传数据等。欧盟各成员国监管机构可公开清单列明须进行DPIA的具体处理类型。

Q5:数据泄露后必须在多长时间内报告?

GDPR第33条规定,数据控制者在知悉数据泄露后,应在72小时内向主管监管机构报告。若未在72小时内报告,须在报告中说明延迟理由。此外,若泄露可能对数据主体权利与自由造成高风险,还须在合理时间内通知数据主体(第34条)。处理者知悉泄露后,须不得无故延迟地通知控制者。

Q6:GDPR与欧盟《数据法案》(Data Act)是什么关系?

GDPR聚焦于个人数据保护,规范的是个人数据的处理活动;而《数据法案》(EU Regulation 2023/2854)于2024年1月11日生效,聚焦于非个人数据(如物联网设备生成的数据)的共享与使用。二者在适用对象上互补,企业须同时关注两套法规的合规要求。


本文依据欧盟官方公报公布的(EU)2016/679法规原文及欧盟数据保护委员会(EDPB,European Data Protection Board)公开发布的指南文件整理。相关法规如有更新,以官方发布版本为准。

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询