欧盟《通用数据保护条例》(GDPR)作为全球数据保护立法的标杆性文本,其11章99条的完整体系构建了以个人数据主权为核心的全流程规制逻辑。本文从合规律师的专业视角,系统拆解GDPR的章节架构、核心制度逻辑与规则细节,对比分析其与中国《个人信息保护法》的立法差异与适用边界,结合2025年最新修订动态与典型案例,为企业构建双法域合规体系提供一些思考。
文 | 吴迪
GDPR采用“总-分-责”的三级立法结构,11章内容形成了从原则到规则、从权利到义务、从监管到救济的完整闭环。
第一章“一般条款”明确了立法目的、适用范围与核心定义,其中第3条的长臂管辖规则奠定了其全球适用的基础。
第二章“原则”确立了合法性正当性透明性、目的限制、数据最小化、准确性、存储限制、完整性与保密性、问责制七项核心司法原则,是所有数据处理活动应遵循的基本司法原则。
第三章“数据主体权利”系统规定了知情权、访问权、更正权、删除权、限制处理权、数据可携权、反对权、自动化决策拒绝权八项可执行权利,构建了个人对数据全生命周期的控制权体系。
第四章“控制者与处理者的义务”是规则核心,明确了企业的合规义务体系,包括合法性基础要求、隐私设计与默认保护、数据保护影响评估、数据泄露通知、数据保护官任命等核心制度。
第五章“个人数据向第三国或国际组织的传输”构建了跨境数据传输的完整规则体系(我国企业涉及境外数据传输需重点予以关注),确立了充分性认定、标准合同条款、绑定公司规则等合法传输路径。
第六章“独立监管机构”、第七章“合作与一致性”规定了欧盟各成员国数据保护机构的职权与协作机制,确保规则适用的统一性。
第八章“救济、责任与处罚”、第九章“特定处理场景的特别规定”、第十章“委托法案与实施法案”、第十一章“最终条款”分别规定了救济途径、处罚机制、特殊场景适用规则、立法授权与过渡安排,形成了完整的制度落地体系。
GDPR的11章99条结构看似复杂,本质上是围绕“数据处理全生命周期”展开的规则设计:从数据收集的合法性基础,到存储、使用的过程合规,再到跨境传输、删除销毁的全流程管控,每一个环节都有对应的权利义务规则。GDPR合规有其内部规则可循,只要沿着数据从产生到消亡的全链路梳理,就能精准定位每个节点的合规要求。这种“全生命周期管控”的立法思路后来被包括中国《个人信息保护法》在内的全球多数国家数据立法直接借鉴,成为当前数据治理的通用范式。
GDPR的规制体系建立在三大制度支柱之上,三者共同构成了其“史上最严数据保护法”的制度基础,每一项制度都有明确的适用场景与判断标准,而非抽象的原则性规定。
(一)长臂管辖规则的适用标准:依据密切联系原则的“靶向性”判断是核心
GDPR第3条规定的长臂管辖规则包含三个层级的适用场景:一是属地适用,即设立在欧盟境内的控制者或处理者的所有数据处理活动,无论数据是否在欧盟境内处理,均适用GDPR;二是属人适用,即设立在欧盟境外的控制者或处理者,只要向欧盟境内的数据主体提供商品或服务(无论是否收费),或者监控欧盟境内数据主体的行为,也适用GDPR;三是国际公法适用,即根据国际公法适用欧盟成员国法律的场景。
在司法实践中,判断是否构成“向欧盟境内提供商品或服务”的核心标准是“靶向性”,即企业是否明确以欧盟用户为目标市场。
【判断依据】欧盟数据保护委员会(EDPB)在2020年发布的指南中明确了判断靶向性的参考因素:是否使用欧盟国家的语言或货币、是否针对欧盟用户投放广告、是否提供欧盟境内的配送服务、是否使用欧盟国家的顶级域名、是否提及欧盟用户的评价或反馈等,可以理解为对欧盟区域作为最密切联系点的应用。如果企业仅偶然被欧盟用户访问,没有任何针对欧盟市场的营销行为,一般不会被认定为适用GDPR。
(二)合法性基础的适用规则:六个选项的边界与适用场景
GDPR第6条规定了六项合法性基础,任何数据处理活动必须至少满足其中一项,这是GDPR合规的第一道门槛。六类基础的适用场景有明确的边界:
(1)同意(或理解为被许可):适用于没有其他更合适合法性基础的场景,特别是营销类、非必要的数据处理活动,同意必须满足自由、具体、知情、明确四个要件,默认勾选、捆绑同意、模糊表述等均属无效(参考格式条款限制权益的角度理解);
(2)合同履行(履行契约所必须的紧迫合理性):适用于为订立或履行与数据主体之间的合同所必需的数据处理,简要理解为因合同履行必要性所使用的数据,例如电商平台处理用户收货地址用于配送商品;
(3)法定义务:适用于控制者为履行欧盟或成员国法律规定的义务所必需的数据处理,例如企业履行税收申报义务处理员工涉税信息;
(4)保护核心利益(“紧急避险”):适用于为保护数据主体或其他自然人的重大利益所必需的数据处理,例如疫情期间处理健康信息用于医疗救治;
(5)公共利益:适用于为了公共利益或行使公权力所必需的数据处理,例如政府部门处理人口普查信息;
(6)合法利益(弹性条款):适用于控制者或第三方追求的合法利益,且该利益未凌驾于数据主体的权利和自由之上,这是唯一的弹性条款,适用时需要进行利益平衡测试。
实务中很多企业容易走入一个误区,认为所有数据处理都需获得用户同意,这其实是对GDPR的误解。六项合法性基础是并列关系,没有优先顺序,企业应当根据处理场景选择最适合的基础。比如支付机构处理用户交易数据,本质是履行反洗钱等法定义务,不需要再额外获取用户同意;电商平台处理用户收货地址是履行合同的必要环节,也不需要单独同意。盲目要求用户同意反而会增加合规负担,而且一旦同意被用户撤回,相关处理活动就必须停止。我们建议企业在做合法性基础设计时,优先考虑合同、法定义务等更稳定的基础,减少对“同意”的依赖,这样能大幅降低合规风险,也减少企业的合规成本。
(三)处罚机制的层级适用:违规程度的判断标准
GDPR第83条规定的层级化处罚机制,并非简单按照“一般违规”和“严重违规”一刀切,监管机构在决定处罚金额时需要综合考量以下因素:违规的性质、严重程度和持续时间;违规的故意或过失程度;为减轻损害采取的措施;之前的违规记录;与监管机构的合作程度;违规行为的类型,涉及的数据类型、数量和敏感程度;受影响的数据主体数量;对数据主体造成的损害程度;为发现、调查和纠正违规行为所采取的措施;违规行为的发生是否由于控制者或处理者已经实施的组织和技术措施;其他加重或减轻情节。
从近年的执法案例来看,监管机构在决定处罚金额时,重点关注违规行为的主观过错程度和对用户权利的影响程度。比如Meta在2023年被处12亿欧元罚款,核心原因是其在欧盟法院已经明确认定跨大西洋数据传输机制违法的情况下,仍然持续违规传输用户数据,属于明知故犯的故意违规,因此被处以接近顶格的处罚。而一些中小企业的无意违规,且没有造成实际损害的,通常只会被要求整改,很少被处以高额罚款。
中国《个人信息保护法》作为我国首部系统性的个人信息保护立法,在立法框架和核心原则上大量借鉴了GDPR的制度设计,但基于我国数字经济发展阶段和监管目标,也做出了很多本土化调整,二者的核心差异主要体现在六个方面:
对比维度 | GDPR | 中国《个人信息保护法》 |
管辖 原则 | 属地管辖+属人管辖,只要向欧盟用户提供商品/服务或监控欧盟用户行为,无论主体所在地均受管辖,适用“靶向性”判断标准 | 以属地管辖为主,境外主体处理境内自然人个人信息或向境内自然人提供产品/服务的也受管辖,目前尚未出台明确的适用判断标准 |
合法性基础 | 6类:同意、合同履行、法定义务、保护核心利益、公共利益、合法利益,“合法利益”为弹性条款,可通过利益平衡测试适用 | 7类:同意、合同履行、法定义务、保护自然人生命健康安全、公共利益、合理处理已公开信息、订立/履行合同所必需,无“合法利益”弹性条款,适用标准更严格 |
敏感信息范围 | 种族、政治观点、宗教信仰、工会成员身份、基因数据、生物识别数据、健康数据、性生活/性取向数据,各成员国可补充扩大范围 | 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息,采用“列举+概括”的定义模式 |
同意 要求 | 需自由、具体、知情、明确,禁止默认勾选、打包同意,敏感信息需单独明示同意,同意可随时撤回,撤回不影响撤回前处理的合法性 | 需自愿、明确、知情,敏感个人信息、向第三方提供、公开、跨境传输、处理不满14周岁未成年人个人信息等场景需单独同意,禁止默认同意,同意撤回后应当停止处理 |
跨境传输规则 | 可通过充分性认定、标准合同条款(SCCs)、绑定公司规则(BCRs)、行为准则、认证等多种路径,欧盟委员会定期更新充分性认定国家名单 | 核心数据必须境内存储,一般个人信息出境可通过安全评估、认证、标准合同等方式,关键信息基础设施运营者和处理个人信息达到100万人的个人信息处理者出境需通过国家网信部门安全评估 |
处罚 力度 | 严重违规最高处2000万欧元或全球年营业额4%,按较高者处罚,处罚主体包括控制者和处理者,责任区分明确 | 严重违规最高处5000万元人民币或上一年度营业额5%,按较高者处罚,情节特别严重的可责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照 |
从实务操作的角度,二者最核心的差异集中在两个方面:一是合法性基础的弹性空间,GDPR的“合法利益”条款给企业留下了灵活适用的空间,很多无法通过其他合法性基础处理的场景,可以通过利益平衡测试适用合法利益,比如企业的安全审计、反欺诈、产品改进等场景。而我国《个人信息保护法》删除了这一弹性条款,所有处理活动必须严格符合列明的七类基础,没有模糊空间,这对企业的合规精细化程度提出了更高要求。二是跨境传输的监管强度,GDPR的跨境传输路径更多元,标准合同条款适用场景广泛,而我国对跨境传输采取更严格的监管,特别是达到一定规模的企业出境必须通过安全评估,流程更复杂,周期更长,开展中欧业务的企业需要同时满足两边的传输要求,避免出现“一边合法、一边违法”的情况。
2025年欧盟委员会提出的《数字综合法案》提案,是GDPR实施以来最重大的一次修订,核心调整包括三个方面:一是拟引入“数据主体相对性”标准,即如果企业在现有技术条件下无法通过合理成本识别具体数据主体,则相关数据不被视为个人数据,这将大幅降低中小企业处理匿名化数据的合规负担;二是简化低风险数据处理场景的合规要求,对员工数据处理、家庭或私人活动处理等场景豁免部分合规义务;三是强化对AI自动化决策的监管要求,要求高风险AI系统的个人数据处理必须开展额外的算法影响评估(该条将对目前AI发展形势下的数据处理提出更高要求,需保持关注)。目前该提案仍在欧洲议会审议阶段,预计2026年底前会正式通过实施。
从律师实务角度,企业构建GDPR合规体系应当采取“分层分级”的实施路径:首先开展全面的数据资产梳理,建立数据清单,明确所有个人数据的来源、处理目的、存储位置、传输路径、留存期限等基础信息,这是所有合规工作的基础;其次开展差距评估,对照GDPR的规则要求,识别现有数据处理活动中的合规风险点,按照风险等级排序,优先整改高风险问题;第三建立合规管理体系,包括用户同意管理机制、数据主体权利响应机制、数据泄露应急响应机制、定期合规审计机制等,将合规要求嵌入业务全流程;最后针对跨境业务场景,建立跨境数据传输合规机制,根据数据流向选择合适的传输路径,定期评估传输的合法性。
对于同时开展中欧业务的企业,建议构建“双法域一体化”合规体系,在数据收集、存储、使用等基础环节采取“就高不就低”的标准,满足更严格的合规要求;在跨境传输、数据出境等差异环节分别制定符合两边监管要求的专项方案,避免出现合规冲突。需要特别注意的是,不要试图用一套合规方案同时满足两边的要求,二者在很多规则上存在实质性差异,比如合法性基础、跨境传输、敏感信息范围等,必须分别制定针对性的合规策略。
GDPR实施八年来,其制度价值已经得到全球范围的广泛认可,以个人数据主权为核心、全生命周期管控为路径、高威慑力处罚为保障的规制模式,已经成为全球数据治理的主流范式。尽管不同国家的立法基于本土国情存在具体规则差异,但核心原则正在逐步趋同,这为跨国企业构建一体化合规体系提供了基础。
随着数字经济的全球化发展,数据跨境流动的需求与日俱增,全球数据监管的协同性也在不断提升。对于企业而言,数据合规已经从边缘性的法律问题,转变为核心的战略议题。深入理解GDPR的框架体系与规则逻辑,不仅是开展欧盟业务的必备前提,更能为企业构建全球统一的合规体系提供参考范本,帮助企业在日益收紧的全球监管环境中获得竞争优势,实现商业发展与合规风险的平衡。
BOSS & YOUNG
律师介绍
wudi@boss-young.com
上海邦信阳(杭州)律师事务所管理委员会执行主任、高级合伙人、邦信阳人工智能与数字经济全国业务委员会执行主任、青年律师工作委员会执行主任。擅长领域:公司相关领域(股权并购投融资)、金融类(不良资产处置;基金类相关)、民商事领域、医疗领域疑难复杂案件、建设工程(土建、非标类特种设备)、行政争议解决、刑事案件-刑民交叉、人工智能-算力。
担任杭州市行政复议监审员、杭州市钱塘区人民政府法律顾问工作(原复议/诉讼)律师服务团负责人、杭州市钱塘区农村土地承包仲裁委员会仲裁员、浙江省杭州市钱塘新区工商联法律专家服务团专家律师、浙江省杭州市律师协会钱塘区律工委副秘书长、浙江财经大学全日制专业学位硕士研究生社会导师、浙江工商大学本科生实务导师(法学院)。曾代理某建设工程施工合同纠纷,一审胜诉后,经高院二审、最高院再审后仍维持原判。吴迪律师兼有丰富的非诉讼和诉讼业务经验,除了代理多起股权投资过程中产生的对赌协议纠纷、公司股东决议纠纷外,还代表杭州市某区政府处理杭州某区群体性复议、诉讼事件并获得胜诉,其中建设工程相关案件载入了最高人民法院指导案例(150 号)。
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。
