2026年GDPR合规检查清单:分步骤指南

根据《(欧盟)2016/679号条例》,GDPR合规要求组织在十四个相互关联的领域采取有记录的行动,从数据映射和合法依据识别,到泄露响应和持续的员工培训。第5条第2款确立的问责原则要求控制者随时能够证明其合规状态,这使得系统化、以证据为基础的方法成为最基本的义务。
GDPR合规并非一次性项目。《通用数据保护条例》((欧盟)2016/679号条例)要求提供合规的书面证据,且处理活动的每一次变化都可能触发新的义务。本检查清单涵盖每个核心合规领域,并引用了相关GDPR条款、EDPB官方指南以及近期最重要的动态。
信息最后核实于2026年5月19日。本文提供一般性法律信息,不构成法律建议。具体情况请咨询具备资质的数据保护律师或隐私专业人员。
管辖范围: 本检查清单适用于欧盟《通用数据保护条例》((欧盟)2016/679号条例)在欧盟和欧洲经济区成员国的合规适用情况,不涉及英国脱欧后有所分化的英国GDPR或各国实施法律。相关比较请参见GDPR与英国GDPR对比。关于该条例的基础性概述,请参见什么是GDPR。
GDPR合规检查清单概览
GDPR合规要求在十四个相互关联的领域采取行动。以下各章节将逐一说明。请从数据映射入手,因为其他每一步都取决于了解您持有哪些数据及其原因。
| 步骤 | 合规领域 | 关键条款 | 优先级 |
|---|---|---|---|
| 1 | 数据映射与处理记录 | 第30条 | 基础 |
| 2 | 合法依据识别 | 第6条 | 关键 |
| 3 | 隐私声明与透明度 | 第12、13、14条 | 关键 |
| 4 | 同意管理 | 第7、8条 | 以同意为合法依据时 |
| 5 | 数据主体权利处理程序 | 第15至22条 | 关键 |
| 6 | DPO任命 | 第37至39条 | 依要求 |
| 7 | 数据保护影响评估 | 第35条 | 高风险处理开始前 |
| 8 | 处理者合同(DPA) | 第28条 | 关键 |
| 9 | 安全措施 | 第32条 | 关键 |
| 10 | 泄露响应计划 | 第33、34条 | 关键 |
| 11 | 国际传输保障 | 第五章 | 数据流出欧盟/欧洲经济区时 |
| 12 | 设计和默认的数据保护 | 第25条 | 持续性 |
| 13 | 员工培训与问责 | 第39条第1款(b)项 | 持续性 |
| 14 | 供应商管理与持续审查 | 第24、28条 | 持续性 |
第一步:数据映射与处理活动记录(第30条)
组织在能够遵守GDPR之前,必须先了解自身收集哪些个人数据、数据来源、去向以及处理目的。数据映射是所有其他合规活动的基础。第30条随后要求将这些信息以书面处理活动记录(RoPA)形式正式化。
数据清单应记录哪些内容
针对每项处理活动,须记录:
- 个人数据类别(姓名、电子邮件地址、IP地址、健康数据、财务记录、生物识别数据)
- 数据主体类别(客户、员工、网站访客、求职者)
- 每项处理活动的目的
- 处理的法律依据(见第二步)
- 存储地点和系统
- 谁拥有访问权限(内部角色和外部接收方)
- 保留期限,或确定保留期限的标准
- 数据是否流出欧盟/欧洲经济区,若是,采用何种传输机制
控制者依第30条第1款须记录的内容
第30条第1款要求控制者保存包含以下内容的书面记录:
- 控制者名称和联系方式(如适用,还包括DPO联系方式)
- 处理目的
- 数据主体和个人数据的类别
- 接收方类别,包括第三国接收方
- 国际传输的详情及法律机制
- 拟定的保留期限
- 技术和组织安全措施的一般性说明
处理者依第30条第2款负有相应义务:须记录代表每个控制者开展的处理类别。
中小企业豁免与拟议的《数字综合法案》变化
第30条第5款目前对员工人数少于250人的组织免除完整RoPA的维护义务,前提是相关处理不太可能对个人造成风险、仅属偶发性质,且不涉及特殊类别数据。实践中,多数组织的数据处理频率较高,该豁免很少能够完整适用。
2025年11月的《数字综合法案》提案拟将该门槛提高至员工人数少于750人(并附加财务标准),并保留相同的高风险除外情形。EDPB与EDPS在其《2/2026号联合意见》中欢迎简化目标,同时建议该豁免应与法定的中小企业(SME)和中型企业(SMC)定义相挂钩,以确保清晰度。截至本文撰写之日,该提案尚未生效。

第二步:识别每项处理活动的合法依据(第6条)
GDPR第6条要求每项处理活动都须建立在六种合法依据之一的基础上。合法依据必须在处理开始前确定;事后更换依据是不允许的。
六种合法依据
| 合法依据 | 适用情形 | 关键条件 |
|---|---|---|
| 同意(第6条第1款(a)项) | 个人自愿选择加入 | 须自由给予、具体、知情、无歧义;可随时撤回 |
| 合同(第6条第1款(b)项) | 处理是履行与个人所签合同所必需的 | 须为必要,而非仅为便利 |
| 法定义务(第6条第1款(c)项) | 处理系欧盟或成员国法律所要求 | 须明确具体的法定要求 |
| 重大利益(第6条第1款(d)项) | 处理是保护某人生命所必需的 | 范围狭窄;不可常规使用 |
| 公共任务(第6条第1款(e)项) | 处理是履行公共利益任务所必需的 | 通常适用于公共机构 |
| 合法利益(第6条第1款(f)项) | 处理是控制者或第三方合法利益所必需的 | 须进行有记录的利益衡量测试 |
对于第9条项下的特殊类别数据(健康、生物识别、基因、种族或民族出身、政治观点、宗教信仰、工会成员身份、犯罪定罪),既须具备第6条的合法依据,也须满足独立的第9条条件。
许多组织在合法利益或合同必要性更为适宜的情形下,默认选择同意作为依据。同意会带来持续的管理义务,包括追踪、撤回机制以及可能需要的重新取得同意。详细指南请参见GDPR同意要求。
第三步:撰写清晰的隐私声明(第12、13、14条)
第13条和第14条要求组织向数据主体提供透明的信息。EDPB 2026年协调执法行动专门针对第12、13和14条项下的透明度和信息义务,这意味着今年所有欧盟成员国的数据保护机构都在积极审查隐私声明。
GDPR合规隐私声明的必备内容
合规的隐私声明必须包括:
- 控制者身份和联系方式,如适用还包括DPO联系方式
- 每项处理活动的目的和合法依据
- 所收集个人数据的类别
- 接收方或接收方类别
- 国际数据传输的详情及所采取的保障措施
- 保留期限,或确定保留期限所用的标准
- 全部八项数据主体权利
- 向监管机构投诉的权利
- 提供数据是否为法定或合同要求
- 有关自动化决策(包括用户画像)及所涉逻辑的信息
若数据直接从个人处收集(第13条),须在收集时提供通知。若数据从第三方获取(第14条),须在一个月内提供通知。第12条要求使用清晰、简明、透明且易于获取的通俗语言;采用分层方式(简要摘要加链接指向详细章节)效果良好。
第四步:建立同意管理流程(第7、8条)
若同意为所选的合法依据,第7条施加了具体要求。不符合这些要求的同意为无效,相应处理即缺乏合法依据。
有效GDPR同意的要求
"控制者应能够证明数据主体已就其个人数据的处理表示同意。" (GDPR第7条第1款)
第7条项下的有效同意须满足:
- 自由给予: 不得以同意进行不必要的处理作为提供服务的条件;不存在阻碍真实选择的权力不对等
- 具体明确: 须就每一项独立的处理目的分别取得同意;捆绑式同意无效
- 知情: 个人须知悉数据收集方是谁、目的为何,以及其可以撤回同意
- 无歧义: 须有明确的肯定性行为;预先勾选的复选框、沉默和不作为均不构成同意
- 可撤回: 撤回须与给予同意同样便捷;撤回后继续处理是不允许的
对于处理儿童个人数据,第8条要求16岁以下儿童须取得父母同意;成员国可将该年龄下调至13岁。
同意管理基础设施要求
- 为每位个人记录取得同意时的时间、方式以及展示的文本内容
- 支持撤回同意,并在所有系统中触发相应的下游停用
- 标记同意的取得时间及其是否仍然有效
- 在处理目的发生变化时支持重新取得同意的工作流程
- 以可供监管机构应要求查阅的格式保存同意记录
第五步:建立数据主体权利处理程序(第15至22条)
GDPR赋予个人对其个人数据的八项权利。关于每项权利的详细说明,请参见GDPR数据主体权利。
八项权利一览
| 权利 | 条款 | 核心义务 |
|---|---|---|
| 访问权 | 第15条 | 在一个月内提供数据副本及规定信息 |
| 更正权 | 第16条 | 毫不迟延地更正不准确或补全不完整的数据 |
| 删除权 | 第17条 | 在数据不再必要、同意被撤回或反对成功时删除数据 |
| 限制处理权 | 第18条 | 在准确性或合法性存在争议期间暂停处理 |
| 数据可携权 | 第20条 | 以结构化、机器可读格式提供数据 |
| 反对权 | 第21条 | 停止基于合法利益或直接营销目的的处理 |
| 自动化决策 | 第22条 | 不受完全自动化的、对个人产生重大影响且未经人工审查的决定约束 |
权利处理程序操作清单
- 指定团队或个人处理数据主体访问请求
- 建立接收渠道,并及时确认收到请求
- 建立身份验证程序,防止未经授权的披露
- 梳理所有包含个人数据的系统,以便快速定位并汇编数据
- 记录每类权利的处理方式,包括部分答复和拒绝的情形
- 追踪截止日期:标准期限为一个自然月;复杂请求可延长至三个月,但须在第一个月内通知个人
- 培训面向客户的员工,使其能够识别权利请求,即使个人未使用法律术语表达

第六步:依要求任命数据保护官(第37条)
GDPR第37条规定,在三种情形下必须任命DPO。
何时强制任命DPO
出现以下情形时须任命DPO:
- 控制者或处理者为公共机构或团体(法院以司法身份行事的除外)
- 核心活动需要对个人进行大规模、定期和系统的监控
- 核心活动涉及大规模处理特殊类别数据(第9条)或犯罪定罪数据(第10条)
"核心活动"是指组织的主要业务活动,而非所有雇主都通用的辅助性人力资源或IT处理。"大规模"没有固定的数字门槛;EDPB的DPO指南综合考虑数据主体数量、数据量、地理范围以及处理持续时间。
第38至39条项下的DPO要求
DPO须具备数据保护法律方面的专业知识,须直接向最高管理层汇报,须独立运作、不得就履职方式接受指示,并须获得充足的资源和处理操作的接触权限。DPO不得因履行职责而被解雇或受到处罚。DPO的联系方式必须公开并通知监管机构。
EDPB 2023年关于DPO的协调执法报告发现,许多组织仍未能赋予DPO真正的独立性和充足资源,且分配相互冲突的任务从而制造利益冲突。
第七步:开展数据保护影响评估(第35条)
在任何可能对自然人权利和自由造成高风险的处理活动之前,均须开展DPIA。该义务在处理开始之前即已附加;事后补做的DPIA不满足第35条要求。
何时始终须开展DPIA
以下情形须强制开展DPIA:
- 对个人产生重大影响的系统性、广泛性用户画像
- 大规模处理特殊类别数据或犯罪定罪数据
- 大规模系统性监控公共可访问区域
各国监管机构会公布各自要求开展DPIA的处理操作清单,请查阅主导监管机构发布的清单。
人工智能系统与DPIA
欧盟《人工智能法案》((欧盟)2024/1689号条例)已于2024年8月1日生效,并在人工智能系统处理个人数据的场合与GDPR并行适用。CNIL和EDPB已确认,对于《人工智能法案》附件三所列的高风险人工智能系统,应推定须依GDPR第35条开展DPIA。《人工智能法案》第10条和第11条针对高风险人工智能系统的技术文档和数据治理要求,可为DPIA提供输入,但前提是DPIA须涵盖GDPR第35条第7款所要求的全部要素。
DPIA依第35条第7款须包含的内容
- 对处理操作及其目的的系统性描述
- 对处理必要性和相称性的评估
- 对数据主体权利和自由所面临风险的评估
- 拟采取的应对风险的措施
若DPIA显示存在无法缓解的高剩余风险,控制者必须在开展处理前咨询监管机构(第36条事先咨询)。每当处理发生重大变化时,均须重新审查DPIA。
第八步:签订处理者合同(第28条)
若第三方服务提供商代表您处理个人数据,第28条要求在处理开始前签订书面数据处理协议。
第28条数据处理协议的强制性条款
每份处理者合同都必须规定处理者:
- 仅依据控制者的书面指示处理个人数据
- 确保所有经授权人员均受保密义务约束
- 实施适当的技术和组织安全措施(第32条)
- 协助控制者响应数据主体权利请求
- 协助开展DPIA、事先咨询、泄露通知和安全义务
- 在合同结束时,按控制者的选择删除或返还全部个人数据
- 提供证明遵守第28条所需的全部信息,并允许接受审计
- 仅在获得控制者事先书面授权后,方可聘用次级处理者
供应商评估清单
- 审计所有涉及处理个人数据的现有供应商合同
- 确认已签订数据处理协议,且包含全部第28条强制性条款
- 通过问卷调查、认证(ISO 27001、SOC 2 Type II)或审计权评估供应商的安全措施
- 核实供应商是否将数据传输至欧盟/欧洲经济区之外,并确认所采用的法律传输机制
- 审查次级处理者名单及次级处理者变更的相关程序
- 建立定期供应商审查周期(至少每年一次,或在发生重大变化时)
第九步:实施技术和组织安全措施(第32条)
第32条要求采取与风险相适应的适当技术和组织措施,以确保安全。措施须结合技术水平、实施成本,以及处理的性质、范围、背景和目的,并考虑对个人造成风险的不同可能性和严重程度予以校准。
第32条明确提及的措施
- 个人数据的假名化和加密
- 确保处理系统持续保密、完整、可用和具有韧性的能力
- 在发生事件后及时恢复个人数据的可用性和访问权限的能力
- 定期测试、评估安全措施有效性的流程
除上述法定示例外,组织通常还会实施:基于角色的访问控制及最小权限原则;多因素认证;网络分段;漏洞管理和补丁计划;终端防护;数据泄露防护控制;物理安全;以及供应商安全评估。
组织性措施包括制定书面的信息安全政策、数据分类方案、明确的职责分工、安全事件管理,以及第三方风险管理程序。
第十步:建立并测试泄露响应计划(第33、34条)
GDPR就泄露通知设定了严格的时限。未能按时报告可能招致与基础安全失效本身的罚款相独立的重大罚款。关于通知要求的详细说明,请参见GDPR泄露通知72小时规则。
第33条项下的72小时通知义务
根据第33条第1款,控制者必须"毫不迟延地,并在可行情况下不迟于知悉"个人数据泄露后72小时内,通知有管辖权的监管机构。EDPB将"知悉"解释为控制者对已发生影响个人数据的安全事件具有合理确定程度之时。
第33条第3款项下的通知须包括:泄露的性质及受影响数据主体和记录的大概数量;DPO联系方式;泄露可能造成的后果;以及已采取或拟采取的应对措施。
第34条通知受影响个人的义务
若泄露可能对受影响个人造成高风险,控制者必须毫不迟延地通知这些个人。第34条第3款规定了有限的例外情形:数据已加密或不可理解、后续措施已使高风险不再可能发生,或个人通知需要付出不成比例的努力(此时可改为公开通报)。
处理者须在知悉泄露后毫不迟延地通知控制者(第33条第2款)。处理者合同应规定合同性的通知时限,通常为24至48小时。
泄露响应操作清单
- 实施技术检测控制:入侵检测、日志监控和异常警报
- 建立泄露响应团队,明确职责、升级路径以及组织"知悉"的清晰定义
- 建立泄露评估模板,评估对数据主体的风险
- 为监管机构和受影响个人准备通知模板
- 维护记录所有事件(包括未达通知门槛的事件)的泄露登记册
- 至少每年通过桌面演练测试泄露响应程序
第十一步:建立国际数据传输保障措施(第五章)
只有在符合第五章规定机制之一的情况下,才允许将个人数据传输至欧盟/欧洲经济区以外的国家。
传输机制
| 机制 | 适用情形 |
|---|---|
| 充分性认定(第45条) | 传输至委员会已认定具备充分保护水平的国家(例如日本、韩国、英国、依欧美数据隐私框架的美国) |
| 标准合同条款(第46条第2款(c)项) | 针对无充分性认定的国家最常用的机制;委员会于2021年6月通过修订版SCC |
| 具有约束力的公司规则(第47条) | 适用于跨国组织内部经批准的集团内传输机制 |
| 特定豁免情形(第49条) | 针对无其他可用机制的偶发性传输的狭窄例外 |
传输影响评估
在依赖SCC或BCR时,EDPB《01/2020号建议》要求开展传输影响评估,以评估接收国法律是否提供与欧盟法律实质等同的保护水平。评估须考虑监控法律、政府访问权限、可用的法律救济,以及目的地国公共机构的执法记录。应持续关注充分性认定的动态:欧盟法院此前曾宣告充分性认定无效,欧美《数据隐私框架》目前仍面临持续的法律挑战。
第十二步:嵌入设计和默认的数据保护(第25条)
第25条要求控制者从任何新处理活动或系统的最早阶段起即落实数据保护原则(设计层面),并确保每项目的仅处理最低限度必要的数据(默认层面)。
设计层面数据保护的实践
- 在项目管理或产品开发流程中,将数据保护审查设为强制关卡
- 从一开始就将访问控制、加密和假名化融入系统架构
- 选择能够最小化数据暴露的技术
- 记录设计决策及所考量的隐私权衡因素
默认层面数据保护的实践
默认设置须为可用范围内隐私保护程度最高的选项。实际措施包括:字段最少化的数据收集表单;非必要处理默认采用选择加入而非选择退出;保留期限届满后自动删除;基于角色的访问控制;以及分析和追踪配置中隐私保护型的默认设置。
第十三步:员工培训与问责(第39条第1款(b)项)
第39条第1款(b)项将员工意识培训列为DPO的强制性任务之一。第5条第2款确立的问责原则同样要求没有强制性DPO的组织展示培训情况。执法决定中经常将员工培训不足列为加重情节。
培训计划要求
- 在开始处理个人数据之前,向所有接触个人数据的员工提供基础GDPR培训,并至少每年更新一次
- 针对高风险职能(人力资源、市场营销、IT和开发、客户服务)提供岗位专项培训
- 就组织特定的隐私声明、合法依据、保留政策和泄露报告程序对员工进行培训
- 记录全部培训情况:参加人员、日期、形式和内容
- 评估掌握程度,而不仅仅是出勤情况
在监管审计中持续表现良好的组织,往往通过可见的领导层承诺、各部门的隐私倡导者、清晰的隐私问题升级路径,以及定期强化隐私意识的内部沟通,将数据保护融入组织文化。
第十四步:供应商管理与持续审查(第24、28条)
第24条要求控制者实施适当措施,并能够持续证明合规。合规计划需要定期的审查周期,而非仅仅是初次实施。
持续合规审查框架
- 年度合规审计: 每年至少审查一次RoPA、隐私声明、同意记录、数据处理协议和安全措施,或在处理发生重大变化时进行审查
- DPIA审查: 每当处理的性质、范围、背景或目的发生重大变化时,重新审查DPIA
- 供应商审查: 定期重新评估处理者;审查次级处理者名单、认证和传输机制;监测供应商安全事件
- 立法动态跟踪: 追踪EDPB指南、各国数据保护机构指导、欧盟法院判决,以及包括《数字综合法案》立法进程在内的最新动态
- 事件复盘: 每起安全事件发生后,开展事后复盘并相应更新程序、控制措施和培训
问责文件
维护一份合规档案,包含:RoPA;DPIA及其审查历史;数据处理协议合同;同意记录和撤回日志;员工培训记录;安全评估;泄露登记册;以及DPO任命文件。这些记录构成监管机构启动调查时的证据基础。
近期动态:欧盟《人工智能法案》与2025年11月《数字综合法案》
欧盟《人工智能法案》与GDPR合规
欧盟《人工智能法案》((欧盟)2024/1689号条例)于2024年8月1日生效,并分阶段适用。对不可接受风险人工智能系统的禁止性规定自2025年2月2日起适用。通用人工智能模型提供商的义务自2025年8月2日起适用。高风险人工智能系统的大部分义务自2026年8月2日起适用。
《人工智能法案》第2条第7款明确确认,欧盟数据保护法律在人工智能系统生命周期内对个人数据的所有处理活动中,继续完全适用。EDPB在第3/2024号声明中确认,即使《人工智能法案》创设了并行义务,数据保护机构依然保留其在GDPR项下的完整监管职能。
对于开发或部署处理个人数据的人工智能系统的组织:
- 为训练人工智能模型而处理个人数据,须依据GDPR第6条(涉及特殊类别数据时还须依据第9条)具备合法依据
- 处理个人数据的高风险人工智能系统(《人工智能法案》附件三)应被视为须依GDPR第35条开展DPIA;《人工智能法案》的技术文档可为DPIA提供输入,但须确保第35条第7款的全部要素均已具备
- 《人工智能法案》第10条针对高风险人工智能系统的数据治理要求(涉及数据质量和偏见审查)与GDPR的数据最小化和准确性原则相辅相成
CNIL已发布关于人工智能系统开发GDPR合规的详细建议,涵盖训练数据的合法依据、模型开发中的数据最小化、训练数据所涉个人的数据主体权利,以及模型架构中的隐私设计。
2025年11月《数字综合法案》提案
2025年11月19日,欧洲委员会公布了《数字综合法案》一揽子提案,拟修订GDPR、《电子隐私指令》、NIS2指令、《数据法》以及欧盟《人工智能法案》。拟议的GDPR修订正处于欧盟立法程序之中,尚未生效。
《数字综合法案》中拟议的主要GDPR变化包括:
- 第30条第5款门槛提高: 中小企业RoPA豁免门槛拟从员工人数少于250人提高至少于750人(并附加财务标准),前提是处理不构成高风险
- 将人工智能训练列为合法利益: 明确为开发和部署人工智能系统而处理个人数据,在符合必要性、相称性和适当保障措施的前提下,可构成第6条第1款(f)项项下的合法利益
- 修订个人数据的定义: 对于没有合理可能用于识别个人的手段,或识别在法律上被禁止或需要付出不成比例努力的实体而言,相关信息将不再构成个人数据
- Cookie与追踪规则变化: 修订电子隐私规则,以减少cookie横幅带来的同意疲劳
EDPB和EDPS发布了《2/2026号联合意见》,对记录保存的简化表示欢迎,同时对个人数据的重新定义及其与欧盟《基本权利宪章》的兼容性表示关切。多个隐私倡导组织已对若干条款提出批评。组织应持续关注该进程,但在其正式生效之前,不应据此调整合规计划。
免责声明
本文提供截至2026年5月19日《通用数据保护条例》((欧盟)2016/679号条例)及相关欧盟立法的一般性法律信息,不构成法律建议,也不产生律师与委托人关系。合规要求取决于您的具体处理活动、所属行业、规模以及所在成员国。在作出合规决策前,请咨询相关司法辖区具备资质并持牌的数据保护律师或认证隐私专业人员。本文提及的2025年11月《数字综合法案》提案属于立法提案,尚未生效。
关于作者
[占位:作者名单待定]
引用权威来源
- 通用数据保护条例,欧洲议会和理事会2016年4月27日通过的(欧盟)2016/679号条例。https://eur-lex.europa.eu/eli/reg/2016/679/oj
- 欧洲数据保护委员会(EDPB)。https://edpb.europa.eu/edpb_en
- 欧洲委员会,欧盟数据保护。https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en
- 欧洲委员会,何时须开展DPIA?https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_en
- 欧洲委员会,DPO要求。https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/data-protection-officers/does-my-companyorganisation-need-have-data-protection-officer-dpo_en
- EDPB,关于DPIA与高风险处理的指南。https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- EDPB,第30条处理活动记录。https://www.edpb.europa.eu/gdpr-articles/article-30-records-processing-activities_en
- EDPB,第33条向监管机构的泄露通知。https://www.edpb.europa.eu/gdpr-articles/article-33-notification-personal-data-breach-supervisory-authority_en
- EDPB,DPO协调执法报告(2024年1月)。https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf
- 欧洲委员会,什么是个人数据泄露?https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
- ICO,我们何时需要开展DPIA?https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
- ICO,我们应如何记录处理活动?https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/documentation/how-do-we-document-our-processing-activities/
- 欧洲委员会,GDPR原则。https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/principles-gdpr_en
- 欧盟《人工智能法案》,(欧盟)2024/1689号条例。https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
- 欧洲委员会,《人工智能法案》生效(2024年8月1日)。https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
- EDPB第3/2024号声明:数据保护机构在《人工智能法案》框架下的职能。https://www.edpb.europa.eu/news/news/2024/edpb-adopts-statement-dpas-role-ai-act-framework-eu-us-data-privacy-framework-faq_en
- 欧洲委员会,《数字综合法案》条例提案(2025年11月19日)。https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- EDPB与EDPS,关于《数字综合法案》的第2/2026号联合意见。https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
- EDPB与EDPS,GDPR的定向修订:记录保存简化。https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en
- EDPB,2026年协调执法框架:透明度与信息义务的协调执法。https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CNIL,人工智能系统开发:GDPR合规建议。https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
- EDPB,关于《数字服务法》与GDPR相互作用的指南。https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_en
相关文章
- 什么是GDPR:该条例的全面概述
- GDPR数据主体权利:全部八项个人权利的详细指南
- GDPR同意要求:有效同意标准及管理义务
- GDPR泄露通知72小时规则:泄露报告要求全解
- 面向中小企业的GDPR:中小企业专项指南,含拟议《数字综合法案》变化
- 欧盟数据隐私法律:欧盟数据保护完整中心
最后更新:2026年5月19日。所引用法规和指南均以2026年5月19日的有效版本为准。文中提及的《数字综合法案》提案为截至2025年11月19日的立法提案,尚未生效。
Frequently Asked Questions
GDPR合规的第一步是什么?
第一步是开展数据映射工作,并依据第30条建立处理活动记录。您需要识别组织收集的每一类个人数据、其来源、处理方式、访问权限,以及存储位置。若不能完整掌握数据流向,就无法正确识别合法依据、撰写准确的隐私声明,或实施适当的安全措施。
所有组织都需要数据保护官吗?
不是。只有公共机构、核心活动需要对个人进行大规模定期和系统监控的组织,以及大规模处理特殊类别数据(健康、生物识别、犯罪定罪数据)的组织,才须强制任命DPO(GDPR第37条)。许多组织会自愿任命DPO。无论是依法要求还是自愿任命,一旦指定DPO,有关独立性、资源和免受解雇保护的全部GDPR规则均予适用。
GDPR合规应多久审查一次?
GDPR合规需要持续维护。处理记录应在处理发生变化时随之更新。当处理的性质、范围或目的发生重大变化时,须重新审查DPIA。引入新处理活动时应更新隐私声明。员工培训应至少每年更新一次。多数组织每年开展一次全面合规审计,并在发生重大运营变化时启动临时审查。
何时须开展数据保护影响评估?
在任何可能对个人权利和自由造成高风险的处理活动之前,均须开展DPIA(GDPR第35条)。对于产生重大影响的系统性用户画像、大规模处理特殊类别数据,以及大规模系统性监控公共区域,始终须开展DPIA。各国监管机构还会公布须开展DPIA的其他操作清单。对于部署欧盟《人工智能法案》下高风险人工智能系统的主体,CNIL和EDPB已确认应推定须开展DPIA。
GDPR隐私声明必须包含哪些内容?
隐私声明必须包括控制者身份和联系方式、如适用的DPO联系方式、处理的目的和合法依据、所收集数据的类别、接收方、保留期限、国际传输详情、全部八项数据主体权利、向监管机构投诉的权利,以及有关自动化决策的信息。声明必须使用清晰、通俗的语言(GDPR第12条)。EDPB 2026年协调执法行动专门聚焦第12、13和14条项下的隐私声明。
GDPR违规的处罚是什么?
对于核心原则、数据主体权利和国际传输规则的违规,GDPR罚款最高可达2000万欧元或全球年营业额的4%(以较高者为准)。对于未维护第30条记录或未任命required的DPO等行政性违规,适用最高1000万欧元或营业额2%的较低档罚款。监管机构还可发出警告、训诫,并禁止处理活动。有关执法数据和案例详情,请参见GDPR罚款与处罚。
第28条对处理者合同有何要求?
第28条数据处理协议须规定:处理的主题事项、期限、性质和目的;个人数据的类型及数据主体的类别;处理者仅依据控制者书面指示行事的义务;员工保密义务;安全措施;协助响应数据主体权利请求和泄露通知;合同结束时删除或返还数据;审计权;以及须经事先书面授权的次级处理条件。
欧盟《人工智能法案》如何影响GDPR合规?
欧盟《人工智能法案》((欧盟)2024/1689号条例)在人工智能系统处理个人数据的场合与GDPR并行适用。该法案第2条第7款明确保留GDPR义务的完整适用。对于附件三所列的高风险人工智能系统,部署方应将GDPR第35条项下的DPIA视为推定必需。2025年11月《数字综合法案》提案包含一项澄清,即为人工智能开发而进行的处理可构成合法利益,但该提案尚未成为法律。
2025年11月《数字综合法案》提案对GDPR做出了哪些改变?
2025年11月19日发布的《数字综合法案》提议将第30条第5款中小企业记录保存豁免门槛从少于250人提高至少于750人;明确人工智能训练可构成第6条第1款(f)项下的合法利益;缩小对无法识别个人的实体而言个人数据的定义范围;并调整在线追踪同意规则。这些均为正在立法谈判中的提案,尚未生效。
什么是传输影响评估,何时须开展?
传输影响评估(TIA)是对第三国法律框架是否提供与欧盟法律实质等同保护的分析,在依据GDPR第五章使用标准合同条款或具有约束力的公司规则进行国际数据传输时须予开展。EDPB《01/2020号建议》提供了相应方法论。TIA须审查监控法律、政府访问权限、可用的法律救济,以及目的地国公共机构的执法记录。
Sources and References
- GDPR,欧洲议会和理事会(欧盟)2016/679号条例(eur-lex.europa.eu).gov
- 欧洲数据保护委员会(EDPB)(edpb.europa.eu).gov
- 欧洲委员会:欧盟数据保护(commission.europa.eu).gov
- 欧洲委员会:何时须开展DPIA?(commission.europa.eu).gov
- 欧洲委员会:DPO要求(commission.europa.eu).gov
- EDPB:关于DPIA与高风险处理的指南(edpb.europa.eu).gov
- EDPB:第30条处理活动记录(edpb.europa.eu).gov
- EDPB:第33条向监管机构的泄露通知(edpb.europa.eu).gov
- EDPB:2023年DPO协调执法报告(edpb.europa.eu).gov
- 欧洲委员会:什么是数据泄露?(commission.europa.eu).gov
- ICO:我们何时需要DPIA?(ico.org.uk).gov
- ICO:处理活动的记录方法(ico.org.uk).gov
- 欧洲委员会:GDPR原则(commission.europa.eu).gov
- 欧盟《人工智能法案》,(欧盟)2024/1689号条例(eur-lex.europa.eu).gov
- 欧洲委员会:《人工智能法案》生效(2024年8月)(commission.europa.eu).gov
- EDPB第3/2024号声明:数据保护机构在《人工智能法案》框架下的职能(edpb.europa.eu).gov
- 欧洲委员会:《数字综合法案》条例提案(2025年11月)(digital-strategy.ec.europa.eu).gov
- EDPB与EDPS关于《数字综合法案》的第2/2026号联合意见(edpb.europa.eu).gov
- EDPB:GDPR的定向修订,记录保存简化(edpb.europa.eu).gov
- EDPB:2026年协调执法框架,透明度与信息义务(edpb.europa.eu).gov
- CNIL:人工智能系统开发的GDPR合规建议(cnil.fr).gov
- EDPB:关于《数字服务法》与GDPR相互作用的指南(edpb.europa.eu).gov