欧盟数据隐私法:GDPR、《人工智能法案》与2025至2026年数字改革

(EU) 2016/679号条例,即GDPR,在全部27个欧盟成员国确立了统一的数据保护标准,并约束全球任何处理身处欧盟个人之个人数据的组织。根据第83条,违规行为的罚款最高可达2000万欧元或全球年营业额的4%。
欧盟已建立起全球最为全面的数据保护框架。其核心是《通用数据保护条例》(GDPR),这是一套适用于所有欧盟国家的统一规则。围绕这一核心,还叠加了涵盖电子通信、人工智能、数据市场、在线平台以及算法"看门人"等领域的专项立法。
本页是欧盟数据隐私法的枢纽页面,介绍该框架的整体构成、主要法律文书及其现行状态,并链接至各欧盟成员国及GDPR各分项主题的详细指南。
本文仅供参考,不构成法律意见。如需针对具体情况获取指导,请咨询合格的数据保护律师或隐私专业人士。
简要解答
GDPR是欧盟旨在保护个人数据的法律,适用于全球范围内任何处理身处欧盟个人之个人数据的组织。违规罚款最高可达2000万欧元或全球年营业额的4%。每个欧盟成员国都通过本国的数据保护机构(DPA)执行该法,并由欧洲数据保护委员会(EDPB)统筹协调。
GDPR并非欧盟唯一的数据相关法律。ePrivacy指令规范Cookie和电子通信;欧盟《人工智能法案》规范人工智能系统;《数据法》《数据治理法》《数字服务法》和《数字市场法》共同构成了更广泛的数字规则体系。2025年的GDPR程序条例简化了跨境执法流程,而2025年的《数字综合法案》提案目前正同时对其中多部法律进行简化。
GDPR:欧盟核心数据保护法
《通用数据保护条例》((EU) 2016/679号条例)于2016年4月14日通过,并于2018年5月25日生效,取代了此前造成各国立法参差不齐的1995年《数据保护指令》(95/46/EC号指令)。
由于GDPR是一部条例而非指令,其核心条款无需经过国内转化程序即可在所有成员国直接适用。在GDPR将裁量权保留给成员国的领域,例如儿童数据同意年龄、雇佣数据的附加条件或特定豁免情形,则由各国的实施性法律加以补充。

域外适用范围(第3条)
GDPR适用于三种情形:第一,在欧盟境内设有机构、并在该机构业务范围内处理个人数据的任何组织,无论实际处理行为发生在何地;第二,向欧盟境内个人提供商品或服务的任何欧盟境外组织;第三,监测欧盟境内个人行为的任何欧盟境外组织。
这种广泛的域外适用效力意味着,只要一家位于美国、印度或澳大利亚的企业以欧盟客户为目标群体或在线追踪其行为,就必须遵守GDPR。EDPB第3/2018号域外适用范围指南对第3条作出了详细解释。
七项基本原则(第5条)
每一项处理活动都必须遵循七项原则:合法、公正与透明原则;目的限制原则;数据最小化原则;准确性原则;存储限制原则;完整性与保密性原则;以及问责原则。问责原则要求组织切实证明其合规情况,而不仅仅是口头声明。
处理的六项合法依据(第6条)
只有建立在以下六项合法依据之一的基础上,处理行为才具有合法性:同意、合同履行、法定义务、维护重大利益、公共利益或官方职权,以及合法利益。组织必须在处理开始前确定并记录其所依据的合法基础,且事后不得溯及既往地予以变更。
同意必须是自愿作出的、具体的、知情的且明确无误的,撤回同意应与给予同意同样便捷。预先勾选的复选框和捆绑式同意,均不符合GDPR对同意的标准。
数据主体权利(第15条至第22条)
GDPR赋予个人八项可强制执行的权利:访问权、更正权、删除权("被遗忘权")、限制处理权、数据可携带权、反对权,以及与自动化决策(包括画像)相关的权利。组织必须在一个自然月内予以回应,情况复杂时可延长两个月。
控制者与处理者的义务
数据控制者决定处理的目的和方式,数据处理者则依照控制者的指示行事。控制者与处理者之间的每一项关系都必须以书面合同加以规范。控制者须在规定情形下任命数据保护官(DPO),在开展高风险处理之前进行数据保护影响评估(DPIA),并保存处理活动记录。
数据泄露通知(第33条至第34条)
控制者须在知悉个人数据泄露事件后72小时内通知其监管机构。若该泄露事件对个人构成高风险,控制者还须在不无故拖延的情况下通知受影响的个人。
罚则(第83条)
GDPR采用两档罚款结构:较低档罚款最高可达1000万欧元或全球年营业额的2%,较高档罚款最高可达2000万欧元或全球年营业额的4%,均以较高者为准。自2018年5月以来,欧盟各国数据保护机构已通过超过2,700起执法行动,累计开出逾68亿欧元的罚款。
关于各主题的详细内容,请参阅下文所列的GDPR分项页面。
GDPR在27个成员国的适用情况
GDPR在每个欧盟国家都是同一部法律,但各国的实施性立法、本国数据保护机构以及本国法院的判决,共同塑造了该法在实践中的具体运作方式。

国内实施性法律针对GDPR将裁量权保留给成员国的相关议题作出规定。德国的《联邦数据保护法》(BDSG)对员工监控和职工委员会设定了严格规则;法国的《信息与自由法》自1978年起施行,并已更新以与GDPR保持一致;爱尔兰《2018年数据保护法》将儿童同意的最低年龄设定为16岁。每个成员国均制定了各自的补充规则。
各国数据保护机构负责调查投诉、开展审计并作出罚款决定。由于多数美国大型科技公司将其欧盟总部设在爱尔兰,爱尔兰数据保护委员会(DPC)是这些公司的主要监管机构。爱尔兰DPC通过"一站式"机制累计开出的GDPR罚款总额约达40亿欧元,是各国中金额占比最高的。
"一站式"机制允许在多个成员国设有机构的组织,就跨境处理事务仅与一家主导数据保护机构对接。其他成员国的相关数据保护机构可提出异议,争议将上报EDPB作出具有约束力的裁定。下文将要讨论的GDPR程序条例,通过引入自2027年4月起生效的具有约束力的办案期限,进一步强化了该机制。
下文的成员国指南部分链接至本站针对每个欧盟国家实施性法律及其数据保护机构的专门页面。
ePrivacy指令与已撤回的ePrivacy条例草案
ePrivacy指令(2002/58/EC号指令)规范电子通信中的隐私保护,是欧盟Cookie同意规则的法律渊源。该指令第5条第3款要求在存储或访问用户设备上的信息之前必须取得用户同意,这正是几乎每个欧洲网站上都会出现Cookie提示横幅的法律依据。
ePrivacy指令是一部指令而非条例,因此各成员国将其转化为国内法的方式各不相同。德国、法国、西班牙等国依据各自的国内转化立法,对于何为有效的Cookie同意得出了不尽相同的结论。
ePrivacy条例草案于2017年1月提出,原本旨在以一部可直接适用的条例取代ePrivacy指令,并使Cookie和通信隐私规则与GDPR更加接轨。该草案在欧盟理事会搁置多年,各方始终未能就数据留存和基于合法利益的处理达成一致。
2025年2月11日,欧盟委员会在其《2025年工作计划》中正式撤回了ePrivacy条例草案,理由是预计共同立法机关无法达成一致,且鉴于后续立法的出台,该草案已显过时。因此,现行的ePrivacy指令及各国的转化立法将无限期继续有效。
2025年11月提出的《数字综合法案》提案,承接了这一未竟事项的部分内容,拟将Cookie同意规则从ePrivacy指令移入GDPR,并扩大无需同意即可进行处理的活动清单。关于现行规则的详细介绍,请参阅我们的ePrivacy指令说明文章。
欧盟《人工智能法案》((EU) 2024/1689号条例)
欧盟《人工智能法案》是全球首部全面性的人工智能监管框架,于2024年7月12日在《欧盟官方公报》上公布,并于2024年8月1日生效。
《人工智能法案》采用基于风险的分级方法,将人工智能系统划分为四个等级:不可接受风险(完全禁止)、高风险(须履行严格的合规义务)、有限风险(须履行透明度要求),以及最小风险(无强制性义务)。处理个人数据的人工智能系统,往往须同时适用《人工智能法案》和GDPR。

分阶段实施时间表
《人工智能法案》分阶段适用:
- 2025年2月2日 , 被禁止的人工智能行为及人工智能素养义务开始适用。自该日期起,使用潜意识操纵手段的系统、公共机构实施的社会评分,以及绝大多数在公共场所进行的实时生物特征识别均被禁止。
- 2025年8月2日 , 通用人工智能(GPAI)模型提供者的义务开始适用。各成员国须指定国家主管机关并颁布本国处罚立法。欧盟层面的治理机构(人工智能委员会、科学小组及咨询论坛)已投入运作。
- 2026年12月2日 , 透明度义务及人工智能生成内容标注义务开始适用(该日期已根据2026年5月《数字综合法案》政治协议,从2026年8月2日延后)。禁止人工智能系统生成未经同意的私密图像的新规定,也将自该日期起适用。
- 2027年12月2日 , 附件三所列独立型高风险人工智能系统的合规截止日期(经《数字综合法案》政治协议,已从2026年8月2日延后)。
- 2028年8月2日 , 附件一所列受监管产品中嵌入的高风险人工智能的合规截止日期。
《数字综合法案》对《人工智能法案》的简化(2026年5月)
2026年5月7日,欧洲议会与欧盟理事会就《数字综合法案》框架下修改《人工智能法案》达成了临时性政治协议。除上述时间表调整外,该协议还将原适用于中小企业的监管豁免扩大至"小型中型市值企业",缩小了部分高风险分类的适用范围,并强化了人工智能办公室的监督权力。预计该协议将于2026年8月2日前正式通过。
GDPR程序条例((EU) 2025/2518号条例)
多年来,GDPR的"一站式"机制一直存在程序不一致的问题:各国数据保护机构适用不同的受理标准,调查往往历时数年却没有具有约束力的期限,而规模较小成员国的投诉人对其跨境案件的进展知之甚少。
GDPR程序条例,即(EU) 2025/2518号条例,于2025年通过,旨在解决上述问题,已于2026年1月1日生效,并将自2027年4月2日起适用。
主要规定包括:
- 统一受理标准:无论投诉在哪个成员国提出,判断该投诉是否可受理均适用相同标准。
- 具有约束力的15个月调查期限:主导数据保护机构须在15个月内完成调查,对于特别复杂的案件可延长12个月。
- 早期解决机制:主导数据保护机构可在正式合作程序启动之前就投诉予以解决,从而减轻行政负担并加快处理进度。
- 强化的程序性权利:被调查方和投诉人均有权在最终决定作出前,获知初步调查结论并就此发表意见。
2025年11月《数字综合法案》提案
2025年11月19日,欧盟委员会发布了《数字综合法案》,作为"数字一揽子计划"的一部分,与《数据联盟战略》和《欧洲商业钱包》同步推出。《数字综合法案》是一项单一立法提案,旨在简化和修改多部现行数字法律,包括GDPR、《人工智能法案》、ePrivacy指令、《数据法》、《网络安全法》等。
与GDPR相关的主要提案内容包括:
- 简化Cookie同意:Cookie同意规则将从ePrivacy指令移入GDPR,扩大无需同意即可进行的活动清单,并支持一键式同意偏好设置(有效期六个月),或以浏览器/设备层面保存的同意状态。
- 统一DPIA清单:EDPB将编制适用于全欧盟的处理活动清单,明确哪些活动需要或不需要开展DPIA,经欧盟委员会批准的清单将取代与之冲突的各国清单。
- 单一事件报告窗口:建立统一机制,用于报告GDPR、NIS2指令及其他法律文书项下的网络安全事件和个人数据泄露事件。
截至2026年年中,《数字综合法案》正处于欧盟委员会、欧洲议会与欧盟理事会之间的三方谈判阶段。若获得通过,相关GDPR修正案将正式更新(EU) 2016/679号条例。
EDPB与一致性机制
欧洲数据保护委员会(EDPB)是负责确保GDPR在所有成员国得到一致适用的独立欧盟机构,由各国数据保护机构负责人及欧洲数据保护监督官(EDPS)组成。
其主要职能包括发布指南、建议和最佳实践;就"一站式"机制下的争议作出具有约束力的裁定;以及依据"协调执法框架"(CEF)开展协同执法行动。
EDPS负责监督欧盟自身机构对个人数据的处理情况,并就涉及数据保护内容的欧盟立法提供咨询意见。
一致性机制:当某国数据保护机构拟采取的措施可能影响其他成员国的数据主体时,该机构须将决定草案提交EDPB。若相关数据保护机构提出具有相关性和合理理由的异议,而主导数据保护机构不予采纳,则由EDPB作出具有约束力的裁定。正是通过该机制,EDPB推翻了爱尔兰DPC此前提议的较低罚款金额,最终促成了2023年对Meta开出的12亿欧元罚款,这是迄今为止金额最高的GDPR罚款。
2026年协同执法行动:EDPB2026年的CEF行动聚焦于GDPR的透明度和信息告知义务,各国数据保护机构均就同一主题同步开展调查。2025年,CEF的重点则是删除权。
更广泛的欧盟数字规则体系
GDPR是基础,但欧盟数据法所涵盖的范围远不止于此,还有若干配套法律文书专门针对特定行业或数据活动类型作出规定。
《数据治理法》(DGA) , (EU) 2022/868号条例,自2023年9月起适用。DGA为企业之间以及公私部门之间的自愿数据共享建立了信任框架,创设了经认可的数据中介机构,并授权设立数据利他组织。凡涉及个人数据的部分,GDPR将与其并行适用。
《数据法》 , (EU) 2023/2854号条例,自2025年9月12日起适用。《数据法》赋予联网产品(智能设备、工业机械、车辆)用户访问和共享其使用过程中所产生数据的权利,规范企业对企业以及企业对政府的数据共享。凡涉及个人数据的部分,GDPR将同时适用。
《数字服务法》(DSA) , (EU) 2022/2065号条例。DSA规范在线中介机构和平台,对内容审核、透明度和研究人员数据访问设定了义务,超大型在线平台(VLOP)和超大型在线搜索引擎(VLOSE)须承担额外义务。2025年7月2日,欧盟委员会公布了一项授权法案,允许符合资质的研究人员访问超大型在线平台的内部数据,以研究系统性风险。
《数字市场法》(DMA) , (EU) 2022/1925号条例。DMA针对Google、Meta、苹果、亚马逊、微软、字节跳动等"看门人"平台,设定了互操作性、数据可携带性和同意方面的义务。2025年4月,欧盟委员会首次作出违规认定:苹果因App Store引导限制被处以5亿欧元罚款,Meta则因未能向用户提供数据密集程度较低的替代服务被处以2亿欧元罚款。
NIS2指令 , (EU) 2022/2555号指令。NIS2对基本服务运营者和数字服务提供者设定了网络安全和事件报告义务。同时构成网络安全事件的数据泄露事件,可能同时触发GDPR和NIS2的通知义务,这一复杂局面正是《数字综合法案》"单一报告窗口"提案所要解决的问题。
充分性认定与国际数据转移
个人数据从欧盟向第三国转移的行为,受GDPR第五章规范。欧盟委员会作出的充分性认定,允许数据自由流向目的地国家,无需采取额外保障措施。
截至2026年5月,已获得充分性认定的国家和地区包括:安道尔、阿根廷、巴西(2026年)、加拿大(商业组织)、法罗群岛、根西、以色列、马恩岛、日本、泽西、新西兰、大韩民国、瑞士、英国、美国(仅限通过欧盟-美国数据隐私框架认证的组织)、乌拉圭,以及欧洲专利组织(2025年)。
欧盟-美国数据隐私框架(DPF):欧盟委员会于2023年7月10日通过了DPF充分性认定,取代了此前被裁定无效的"隐私盾"框架。该框架依赖美方作出的限制情报机构数据获取权限的行政承诺,并以数据保护审查法院(DPRC)作为救济机制。截至2026年年初,共有超过2,800家组织持有有效的DPF认证。2025年9月3日,欧盟普通法院驳回了一项法律挑战(T-553/23号案),但针对该判决向欧盟法院提起的上诉(C-703/25 P号案,2025年10月31日提起)目前仍在审理中。
在不存在充分性认定的情形下,数据转移可采用标准合同条款(SCCs,2021年6月更新)、有约束力的公司规则(BCRs),或特定的例外情形。采用标准合同条款的组织,还须开展转移影响评估(TIA)。
本站GDPR分项页面
以下页面对GDPR各主要主题作了深入介绍:
- 什么是GDPR?欧盟数据保护完整指南
- GDPR同意要求:什么才算有效同意
- GDPR数据主体权利:访问权、删除权与可携带权
- GDPR数据泄露通知:72小时规则解读
- GDPR罚款与处罚:完整清单及指南
- 企业GDPR合规清单
- 中小企业GDPR指南:简化版合规指南
- 欧盟Cookie法(ePrivacy指令)解读
欧盟成员国指南
每个欧盟成员国都制定了本国的实施性法律,并设有独立的数据保护机构。以下页面介绍GDPR在各国的具体适用情况、国内法新增的内容,以及当地数据保护机构的执法方式:
- 奥地利数据隐私法(DSG)
- 比利时数据隐私法
- 保加利亚数据隐私法
- 克罗地亚数据隐私法
- 塞浦路斯数据隐私法
- 捷克数据隐私法
- 丹麦数据隐私法
- 爱沙尼亚数据隐私法
- 芬兰数据隐私法
- 法国数据隐私法(CNIL)
- 德国数据隐私法(BDSG)
- 希腊数据隐私法(HDPA)
- 匈牙利数据隐私法(NAIH)
- 爱尔兰数据隐私法(DPC)
- 意大利数据隐私法(Garante)
- 拉脱维亚数据隐私法
- 立陶宛数据隐私法(VDAI)
- 卢森堡数据隐私法(CNPD)
- 马耳他数据隐私法
- 荷兰数据隐私法(AP)
- 波兰数据隐私法(UODO)
- 葡萄牙数据隐私法(CNPD)
- 罗马尼亚数据隐私法(ANSPDCP)
- 斯洛伐克数据隐私法
- 斯洛文尼亚数据隐私法
- 西班牙数据隐私法(AEPD / LOPDGDD)
- 瑞典数据隐私法(IMY)
通过《欧洲经济区协定》适用GDPR的非欧盟EEA成员:
深度指南
Frequently Asked Questions
GDPR是否适用于欧盟以外的公司?
是的。GDPR适用于全球范围内任何向欧盟境内个人提供商品或服务、或监测欧盟境内个人行为的组织。企业无需在欧洲设有实体存在,即可落入GDPR的适用范围。第3条确立了这一广泛的域外适用范围,EDPB的第3/2018号域外适用范围指南对该条如何适用于非欧盟组织作出了澄清。
GDPR下的最高罚款是多少?
最高罚款为2000万欧元或组织上一财政年度全球总营业额的4%,以较高者为准。该档最高罚款适用于违反核心处理原则、数据主体权利和国际转移规则的情形。迄今为止金额最高的单笔罚款为12亿欧元,由爱尔兰数据保护委员会于2023年对Meta开出,原因是其将欧盟用户数据非法转移至美国。
ePrivacy条例是否仍会出台?
不会了。欧盟委员会已于2025年2月在其《2025年工作计划》中正式撤回ePrivacy条例草案,该草案自2017年起便一直处于搁置状态。现行的ePrivacy指令(2002/58/EC号指令)及其各国转化立法依然有效。部分ePrivacy相关议题正通过2025年11月提出的《数字综合法案》提案加以处理,该提案拟将Cookie同意规则纳入GDPR框架。
什么是GDPR程序条例?
(EU) 2025/2518号条例是一部新的欧盟条例,旨在简化"一站式"机制下的跨境GDPR执法流程,已于2026年1月1日生效,并将自2027年4月2日起适用。该条例引入了具有约束力的15个月调查期限、适用于所有成员国的统一投诉受理标准、早期解决机制,以及为当事方和投诉人强化的程序性权利。
什么是欧盟《数字综合法案》?它对GDPR有何影响?
《数字综合法案》是欧盟委员会于2025年11月19日发布的一项提案,属于"数字一揽子计划"的一部分。就GDPR而言,主要提案内容包括:将Cookie同意规则从ePrivacy指令移入GDPR、在欧盟层面统一DPIA要求清单,以及为数据泄露和网络安全事件建立单一报告窗口。该提案还建议延长《人工智能法案》的部分时间表,并为中小企业和小型中型市值企业提供简化措施。截至2026年年中,该提案正处于三方谈判阶段。
哪些国家可以在无需额外保障措施的情况下接收欧盟个人数据?
截至2026年5月,欧盟委员会已对以下目的地作出充分性认定:安道尔、阿根廷、巴西、加拿大(商业组织)、法罗群岛、根西、以色列、马恩岛、日本、泽西、新西兰、大韩民国、瑞士、英国、美国(仅限通过欧盟-美国数据隐私框架认证的组织)、乌拉圭,以及欧洲专利组织。个人数据可以流向这些目的地,无需采用标准合同条款或其他额外机制。
欧盟《人工智能法案》与GDPR之间是如何相互作用的?
欧盟《人工智能法案》和GDPR会同时适用于处理个人数据的人工智能系统。《人工智能法案》为人工智能的提供者和部署者设定了风险分类、透明度、日志记录和合格评定等义务。只要人工智能系统处理个人数据,GDPR的相关要求(包括合法依据、数据最小化、目的限制,以及针对高风险处理的DPIA)也将同时适用。EDPB与欧盟委员会正就这两部法律文书之间的相互关系制定联合指南,预计将于2026年通过。
Sources and References
- GDPR全文 (EU) 2016/679号条例(eur-lex.europa.eu).gov
- 欧盟委员会 欧盟数据保护(commission.europa.eu).gov
- EDPB第3/2018号指南 域外适用范围(第3条)(edpb.europa.eu).gov
- EDPB第1/2024号指南 合法利益(edpb.europa.eu).gov
- 欧盟委员会 国际数据转移充分性认定(commission.europa.eu).gov
- 欧盟-美国数据隐私框架充分性认定(2023年7月)(ec.europa.eu).gov
- 欧洲数据保护委员会(EDPB)(edpb.europa.eu).gov
- EDPB 对Facebook开出12亿欧元罚款(具有约束力的裁定)(edpb.europa.eu).gov
- EDPB CEF 2026 关于透明度的协同执法行动(edpb.europa.eu).gov
- GDPR执法追踪 罚款与处罚数据库(enforcementtracker.com)
- ePrivacy指令2002/58/EC号 全文(eur-lex.europa.eu).gov
- 欧盟《人工智能法案》(EU) 2024/1689号条例全文(eur-lex.europa.eu).gov
- 欧盟《人工智能法案》 欧盟委员会数字战略(digital-strategy.ec.europa.eu).gov
- 欧盟理事会 《人工智能法案》简化政治协议(2026年5月)(consilium.europa.eu).gov
- 欧盟数字一揽子计划 委员会概览(digital-strategy.ec.europa.eu).gov
- 欧盟《数据法》(EU) 2023/2854号条例(digital-strategy.ec.europa.eu).gov
- 《数据治理法》(EU) 2022/868号条例(digital-strategy.ec.europa.eu).gov
- 《数字服务法》 欧盟委员会(commission.europa.eu).gov
- 《数字市场法》 欧盟委员会(commission.europa.eu).gov