verified_user
Standardful
首页chevron_right标准chevron_rightGDPR(通用数据保护条例)
有效国际标准update 标准更新:2018年5月fact_check 事实核查:2026年6月28日

GDPR(通用数据保护条例)

通用数据保护条例(EU)2016/679

apartment发布组织:欧盟

标准简介

《通用数据保护条例》(GDPR)是欧盟于 2018 年 5 月 25 日生效的全面数据隐私法。它规范组织如何收集、使用、存储、共享和保护欧盟和欧洲经济区(EEA)内个人的个人数据。尽管是欧盟法规,GDPR 具有域外效力——全球任何处理欧盟居民个人数据的组织都必须遵守。该法规从根本上改变了全球数据隐私方法,赋予个人对其个人信息前所未有的控制权,并对数据控制者和处理者施加严格的问责要求。

GDPR 建立在七项核心原则之上:合法性、公平性和透明度;目的限制;数据最小化;准确性;存储限制;完整性和保密性;以及问责制。组织必须有合法的处理依据(如同意、合同、法律义务或合法利益),实施适当的技术和组织措施以确保数据安全,对高风险处理进行数据保护影响评估(DPIA),在需要时任命数据保护官,并在 72 小时内向监管机构报告数据泄露事件。不合规可能导致最高 2000 万欧元或全球年营业额 4% 的罚款,以较高者为准。该法规还赋予个人权利,包括访问权、更正权、删除权(被遗忘权)、数据可携带权以及反对处理权。

public

域外适用

适用于全球任何处理欧盟/欧洲经济区居民个人数据的组织,无论公司总部位于何处。

person

数据主体权利

赋予个人访问、更正、删除、携带和限制处理其个人数据的权利。

gavel

执法与罚款

监管机构可处以最高相当于全球年营业额 4% 或 2000 万欧元(以较高者为准)的罚款。

list_alt 核心原则

  • 合法性、公平性与透明度
  • 目的限制
  • 数据最小化
  • 准确性
  • 存储期限限制
  • 完整性与保密性
  • 问责制

谁需要合规?

groups

全球任何收集、处理或存储欧盟/欧洲经济区居民个人数据的组织——包括在欧洲没有实体存在的公司。

关键要求

1

处理的合法性依据

组织在处理任何个人数据之前,必须确立有效的合法性依据(同意、合同、法律义务、重大利益、公共任务或正当利益)。

2

数据保护影响评估

针对高风险处理活动必须开展影响评估。组织必须在处理开始前评估对个人的风险并实施缓解措施。

3

违规通知

数据泄露必须在 72 小时内报告给监管机构。若泄露对个人构成高风险,还必须通知受影响的个人。

4

数据保护官(DPO)

对于公共机构以及开展大规模系统性监控或处理特殊类别数据的组织,必须设立数据保护官。

5

跨境数据传输

向欧洲经济区以外传输数据需要充分的保障措施,如标准合同条款(SCC)、有约束力的公司规则或充分性决定。

实施路线图

1
Phase 1schedule 预计周期: 2-4 周

准备与建立问责机制

取得高管支持,在必要时任命数据保护负责人或 DPO,并商定职责清晰的治理模式。建立处理活动记录(ROPA)模板与数据清点方法,使每个业务部门都清楚自身应做的事。

2
Phase 2schedule 预计周期: 4-8 周

数据梳理与差距分析

梳理跨系统、供应商与司法辖区的所有个人数据流,并依据第 30 条完成 ROPA。对照 GDPR 要求(合法性基础、留存、安全与跨境传输)评估每项活动,形成按优先级排序的整改清单。

3
Phase 3schedule 预计周期: 6-10 周

落实合法性基础、告知与 DSAR 流程

为每项处理活动确定并记录合法性基础,更新隐私告知,并建立可在一个月 DSAR 期限内响应的数据主体权利操作流程。凡依赖同意之处(如 Cookie、营销),须实现自由给予、细分且可撤回的同意采集机制。

4
Phase 4schedule 预计周期: 6-12 周

跨境传输、DPIA 与数据泄露响应

落实传输机制(依据 2021/914 决定的 SCC 并配套传输影响评估,或依赖欧盟-美国数据隐私框架),并对大规模画像或 AI 模型训练等高风险活动开展 DPIA。部署可在 72 小时内检测、评估并通报的数据泄露响应手册。

5
Phase 5schedule 预计周期: 持续进行

审计、监控与持续改进

建立定期审计、供应商重新评估与 DPIA 复审机制,并跟踪不断演进的监管指引(EDPB、各国 DPA)。持续开展培训、维护指标与管理层报告,使问责机制可随时得到证明。

合规检查清单

0 / 20

checklist 治理与问责

checklist 数据主体权利

checklist 安全与泄露响应

checklist 跨境传输

GDPR 与 ISO 27001、SOC 2 对比

GDPR 是隐私法律,而 ISO 27001 与 SOC 2 是可支撑但不能替代它的安全框架。

AspectGDPRISO 27001SOC 2
性质/类型具约束力的数据保护法律国际信息安全管理标准基于 AICPA 信任服务准则的鉴证框架
主要范围个人数据的处理与个人的权利覆盖全组织的信息安全管理体系(ISMS)服务组织在安全性(及可选的可用性、保密性、隐私性)方面的控制
是否强制?在适用范围内具法律强制性自愿性,但常被合同要求自愿性,常被企业客户所要求
地域重点面向 EU/EEA 数据主体,具域外效力全球通用,与司法辖区无关主要面向美国市场,全球使用
认证/鉴证无官方认证;须证明问责机制针对该标准的经认可认证独立审计师报告(Type I 或 Type II)
如何相互补充确立必须满足的法律隐私义务提供满足 GDPR「适当措施」的安全控制向客户证明这些控制的运行有效性

常见误区

cancel
误区

正当利益是随意处理任何数据的通行证。

check_circle
事实

正当利益需要有据可查的平衡测试,一旦个人权利压倒你的利益即告失败;它不适用于侵入式追踪、特殊类别数据或人们无法合理预期的处理。

cancel
误区

GDPR 只适用于设立在欧盟的公司。

check_circle
事实

第 3 条将 GDPR 延伸至全球任何面向或监控 EU/EEA 境内个人的组织,因此在欧盟没有据点的公司仍可能完全在适用范围内,并可能需要任命欧盟代表。

cancel
误区

处理个人数据总是需要同意。

check_circle
事实

同意只是六项合法性基础之一;合同、法律义务与正当利益往往更为合适,在其他基础更契合时依赖同意会带来不必要的摩擦与撤回风险。

cancel
误区

GDPR 只是一项 IT 安全要求。

check_circle
事实

安全只是其中一部分——GDPR 还规范合法性基础、透明度、目的限制、数据主体权利、跨境传输与问责,因此技术上安全的系统仍可能严重不合规。

cancel
误区

小型企业与初创公司可获豁免。

check_circle
事实

不存在基于规模的豁免;核心原则、权利与泄露义务适用于任何处理适用范围内个人数据的组织,只有诸如部分 250 名员工以下企业可减少记录义务等狭窄宽免。

cancel
误区

网站上有隐私政策就意味着我们合规了。

check_circle
事实

隐私告知只是所需产物之一,而非合规证明——问责要求为每项活动确立合法性基础、维护 ROPA、建立可运转的数据主体流程、传输保障以及文字背后可证明的安全控制。

处罚与执行

warning

罚款最高可达 2000 万欧元或全球年营业额的 4%(以较高者为准)。监管机构还可下达处理禁令和数据删除令。

常见问题解答

GDPR 是否适用于欧盟以外的公司(例如美国或亚洲的公司)?

expand_more

适用。根据第 3 条,无论设立于何处,只要组织向欧盟/EEA 境内的个人提供商品或服务,或监控其行为,即受 GDPR 约束。在欧盟没有办公室的美国或亚洲公司仍可能完全在适用范围内,并可能需要依第 27 条任命欧盟代表。

什么是合法性基础?何时可依赖正当利益?

expand_more

每项处理活动都需要第 6 条规定的六项合法性基础之一(同意、合同、法律义务、重大利益、公共任务或正当利益)。当你有真实业务需要且未被个人权利所压倒时可依赖正当利益,但必须记录正当利益评估(LIA)的平衡测试。它不能用于证明人们无法合理预期的处理,通常也不适用于敏感数据或侵入式追踪。

何时需要开展 DPIA?

expand_more

当处理可能对个人造成高风险时,数据保护影响评估(DPIA)是强制性的——例如大规模画像、对公共区域的系统性监控、大规模处理特殊类别数据,以及许多 AI 与自动化决策系统。各国 DPA 会公布始终需要 DPIA 的操作清单。若 DPIA 显示存在你无法缓解的残余高风险,则须在开始前咨询监管机构。

我是否需要任命数据保护官(DPO)?

expand_more

如果你是公共机构、核心活动涉及经常性的系统性大规模监控,或大规模处理特殊类别或犯罪记录数据,则必须任命 DPO。许多组织出于良好实践自愿任命。DPO 必须保持独立、向最高管理层报告,且不得因履行该职责而受到处罚。

如何处理数据主体访问请求(DSAR)?

expand_more

先核实请求者身份,然后在一个月内提供其个人数据副本及所需的背景信息(目的、接收方、留存、来源),多数情况下免费。对于复杂或数量众多的请求,在告知个人的前提下可再延长两个月。应建立可跨所有系统定位数据的可重复流程,并适当遮蔽第三方信息。

Schrems II 之后跨境传输有哪些规则?

expand_more

Schrems II 使隐私盾失效,并确认标准合同条款(SCC)仅在数据于目的地获得实质等同保护时方为有效。向非充分性国家传输时,须使用 2021 版 SCC(2021/914 决定),开展传输影响评估,并在当地法律削弱保障时增加补充措施(如加密)。向已认证的美国组织传输现可依赖 2023 年通过的欧盟-美国数据隐私框架。

个人数据泄露后 72 小时内我必须做什么?

expand_more

除非泄露不太可能对个人造成风险,否则你必须在知悉泄露后 72 小时内通报主管监管机构。通报应说明泄露性质、受影响的类别与大致人数、可能后果以及已采取的措施。若泄露可能造成高风险,还须及时通知受影响个人;无论是否需要上报,都必须在内部登记该事件。

GDPR 如何适用于 AI 与大规模数据处理(包括模型训练)?

expand_more

GDPR 适用于用于训练、微调或运行 AI 系统的任何个人数据,因此训练数据需要有据可查的合法性基础,并须遵守目的限制与数据最小化。高风险 AI 与大规模画像通常需要 DPIA,且你必须对所涉逻辑保持透明。当 AI 作出具有法律或类似重大影响的完全自动化决策时,第 22 条赋予个人要求人工介入并对结果提出异议的权利。

Cookie 与追踪的同意要求是什么?

expand_more

非必要 Cookie 及类似追踪技术通常需要事先、自由给予、具体、知情且明确的选择性同意——预先勾选的选项以及强制接受的 Cookie 墙均无效。用户拒绝应与接受一样便捷,且你须能证明已取得同意。ePrivacy 规则与 GDPR 并行适用,因此广告或分析类 Cookie 通常无法以正当利益为基础。

个人数据可以保留多久(留存限制)?

expand_more

GDPR 未设定固定留存期限;相反,存储限制原则要求你仅在实现采集目的所必需的期间内保留数据。你应按数据类别定义、记录并执行留存期限,以业务需要或法律义务为依据,随后安全删除或匿名化。书面留存计划是证明合规的实用方式。

GDPR 罚款如何计算?最高可达多少?

expand_more

分为两档:对较低级别的违规(如记录、安全)最高可达 1000 万欧元或全球年营业额的 2%;对更严重的违规(如核心原则、合法性基础、数据主体权利)最高可达 2000 万欧元或全球年营业额的 4%——以较高者为准。监管机构会权衡违规的性质、严重程度与持续时间、是否故意、缓解努力以及配合程度等因素。罚款并非自动施加,但不合规还可能触发停止处理的命令,其破坏性往往更大。

控制者与处理者有何区别?

expand_more

控制者决定个人数据处理的目的与方式,而处理者仅按控制者的书面指示行事。控制者承担主要问责责任,但处理者也负有直接义务——包括安全、次级处理者管控、向控制者通报泄露,以及协助落实数据主体权利。双方关系须由书面数据处理协议(第 28 条)约束。

小型企业或非营利组织是否豁免于 GDPR?

expand_more

不豁免。无论组织规模或盈利与否,只要处理适用范围内个人的个人数据,GDPR 即适用。小型组织可获有限宽免——例如 250 名员工以下者可免于部分记录义务,除非处理并非偶发、属高风险或涉及特殊类别数据——但核心原则、权利与泄露规则仍然适用。

官方文档

查看全部

实施时间线

description
2012年1月
European Commission proposes replacing the 1995 Data Protection Directive with a directly applicable EU regulation
gavel
2016年4月
Regulation (EU) 2016/679 (GDPR) formally adopted by the European Parliament and Council
check_circle
2018年5月
GDPR becomes applicable across the EU/EEA, replacing national laws transposing the 1995 directive
warning
2020年7月
CJEU Schrems II (Case C-311/18) invalidates the EU-US Privacy Shield and tightens international transfer rules
sync
2021年6月
Commission Decision 2021/914 publishes updated Standard Contractual Clauses for international transfers
public
2023年7月
EU-US Data Privacy Framework adequacy decision adopted, restoring a streamlined transfer mechanism
smart_toy
2024年7月
EDPB clarifies legitimate-interest basis for AI training; DPC and noyb actions force consent-flow changes for generative AI
handshake
2025年5月
Political agreement on the GDPR Procedural Regulation harmonising cross-border cooperation between supervisory authorities
update
2026年
Procedural Regulation enters into force alongside continuing enforcement at the GDPR / EU AI Act intersection

相关分类