什么是GDPR?欧盟数据保护完整指南(2026)

《通用数据保护条例》(《条例(EU)2016/679》)是欧盟具有约束力的数据保护法律,自2018年5月25日起可强制执行。它赋予个人对其个人数据的各项权利,对处理数据的机构施加合规义务,并适用于全球任何以欧盟居民为目标或对其进行监控的机构。
通用数据保护条例,通常简称GDPR,是全球最具影响力的数据保护法律。它以《条例(EU)2016/679》的形式于2016年5月4日刊登于《欧盟官方公报》,经过两年过渡期后,自2018年5月25日起可强制执行。该条例直接适用于每一个欧盟成员国,并通过第3条,将其适用范围扩展至全球任何处理身处欧盟人员个人数据的机构,无论该机构位于何处。
本指南从基础开始全面解读GDPR:其起源、地域适用范围、七项核心原则、关键定义、六项合法处理依据、数据主体权利概览、执法主体、处罚方式、与各国国内法的关系,以及2024至2026年间的最新动态。有关具体主题的详细论述,请参阅正文中链接的配套指南。
有关更广泛的欧盟法律背景,请参阅我们的欧盟数据隐私法律概览。
本文仅供参考,不构成法律意见。请就您的具体情况咨询具备相应资质的数据保护律师或隐私专业人士。
快速解答:什么是GDPR?
GDPR是一部直接适用的欧盟条例,为收集、存储、使用及共享身处欧盟及欧洲经济区个人的个人数据设定了统一规则。"条例"一词是关键所在:与欧盟指令不同,条例无需成员国另行通过实施立法。它在同一天自动成为全部27个欧盟成员国具有约束力的法律。
从本质上看,GDPR完成了三件事。它赋予个人("数据主体")对其个人数据享有可执行的权利。它对处理该数据的机构("控制者"和"处理者")施加义务。它还在每个成员国设立独立的监管机构,负责调查投诉,并在出现问题时处以罚款。
GDPR取代了《95/46/EC号指令》,即1995年数据保护指令,该指令曾在长达二十余年间规范欧盟的数据保护事宜。

历史与立法目的
1995年数据保护指令
欧盟第一部主要的数据保护框架是1995年10月通过的95/46/EC号指令。指令不具有直接适用效力,每个成员国须各自通过本国的实施立法。结果形成了28套彼此不同的国内成文法拼图。在欧洲各国开展业务的企业,须在每个国家分别应对不同的合规制度。
该指令在拨号上网时代尚能勉强适用,但随着2000年代到2010年代初社交媒体平台、云服务及智能手机以前所未有的规模产生个人数据,该指令日益显得力不从心。
从提案到通过
据欧洲数据保护监督员(EDPS)记录,欧盟委员会于2012年1月首次提出以条例取代该指令的方案。选择制定条例而非新指令,解决了拼图化问题:单一规则体系将在所有成员国统一适用。
欧洲议会、欧盟理事会与欧盟委员会之间的谈判历时四年,涉及超过3,000项议会修正案。理事会于2016年4月8日通过其立场。欧洲议会于2016年4月14日批准最终文本。该条例于2016年5月4日刊登于官方公报,并将2018年5月25日定为生效执行日期,为各机构预留两年准备时间。
生效后的演进
GDPR并未使数据保护法律在2018年就此定格。欧洲数据保护委员会(EDPB)已发布数十份指南,对具体条款作出解释。欧洲各地法院已就同意、合法利益及国际数据传输作出多项具有里程碑意义的判决。截至2026年初,GDPR累计罚款总额已超过71亿欧元,其中仅2025年一年即处罚约11.5亿欧元。
2026年4月标志着GDPR自2016年4月通过以来已满十年。欧洲数据保护委员会指出,该条例建立了首个覆盖整个大陆的全面数据保护框架,并已直接影响了150多个国家的隐私立法。
地域适用范围:谁须遵守?(第3条)
作为一部国家或区域性法律,GDPR第3条的适用范围异乎寻常地宽泛。它确立了两项主要的适用性标准。
机构设立标准(第3条第1款)
GDPR适用于在欧盟境内"设有机构且在该机构活动背景下"处理个人数据的任何控制者或处理者。此处的"机构"并不要求正式注册成立,分支机构、子公司或任何形式的稳定安排均符合条件。
关键在于,处理行为无需实际发生在欧盟境内。一家总部设于柏林的公司,即便其在美国的服务器上处理客户数据,仍须遵守GDPR,因为该处理行为是在其欧盟机构活动的背景下发生的。
定向标准(第3条第2款)
在欧盟境内未设机构的组织,若存在以下情形,仍须遵守GDPR:
- 向欧盟境内个人提供商品或服务,无论是否需要付费;或
- 对身处欧盟的个人的行为进行监控,包括通过网站分析、行为广告、位置追踪及基于Cookie的画像分析等方式。
欧洲数据保护委员会《指南3/2018》(关于第3条地域适用范围)明确指出,仅仅网站可从欧盟境内访问并不足够。必须存在意图针对欧盟居民的证据:接受欧元付款、提供欧盟语言内容,或明确提及欧盟客户等,均属相关指标。
欧盟代表要求(第27条)
因适用定向标准而受GDPR管辖的非欧盟组织,必须以书面形式指定一名欧盟境内代表。该代表作为监管机构及数据主体的联系点。

七项数据保护原则(第5条)
GDPR第5条确立了适用于每一项处理活动的七项原则。违反这些原则将触发更高档次的罚款(最高2000万欧元或全球营业额4%)。第5条第2款规定的问责原则,将证明其符合全部七项原则的举证责任置于机构一方。
1. 合法性、公平性与透明度
处理活动必须具有第6条规定的有效合法依据。其实施方式须符合人们的合理预期,且不得造成不正当的损害。机构必须通过易于理解的隐私声明,明确告知个人其数据将如何被处理。
2. 目的限制
个人数据只能为特定、明确和合法的目的而收集,且不得以与该原始目的不符的方式作进一步处理。为发送订单确认而收集电子邮件地址,随后在没有另行合法依据的情况下将其用于营销,即违反了该原则。存档、科学研究及统计目的存在有限的例外。
3. 数据最小化
只能处理与既定目的相适应、相关且严格必要的个人数据。机构不应以"以防将来有用"为由收集数据。
4. 准确性
个人数据必须准确并保持最新。机构必须采取一切合理措施,及时删除或更正不准确的数据。英国ICO关于数据保护原则的指南指出,准确性意味着数据在具体情境下不得具有误导性,而不仅仅是技术层面的正确。
5. 存储限制
数据只能以可识别形式保存至处理目的所需的期限。一旦目的已经实现,机构必须删除该数据或将其匿名化。留存时间表必须以书面形式记录;不允许无限期存储。
6. 完整性与保密性(安全性)
个人数据的处理必须采取适当的技术与组织安全措施,以防止未经授权的访问、意外丢失、破坏或损害。该原则是第33条和第34条数据泄露通知义务的基础。
7. 问责制
控制者须对上述六项原则的合规负责,并须能够证明该合规状况。这是一项积极义务:包括保存处理活动记录、在要求时开展数据保护影响评估、在须强制设立时任命数据保护官,以及向监管机构提供合规证据。
关键定义(第4条)
GDPR第4条包含26项定义。以下六项在每一次合规分析中都会反复出现:
个人数据
任何与已识别或可识别的自然人("数据主体")相关的信息。该定义有意设计得十分宽泛且技术中立,涵盖姓名、电子邮件地址、电话号码、IP地址、Cookie标识符、位置数据、基因数据、生物特征数据、照片,以及任何能够直接或间接识别某人的数据组合。
欧盟委员会强调,无论数据是以数字形式存储、以纸质形式保存,还是通过视频监控采集,GDPR均予适用。
处理
"处理"几乎涵盖对个人数据实施的任何操作:收集、记录、组织、结构化、存储、改编、检索、使用、披露、组合、限制、删除或销毁。该定义有意设计得极为宽泛;只要您以任何方式经手个人数据,即构成对其的处理。
控制者
数据控制者是决定处理目的和方式的自然人、法人、公共机构、代理机构或其他团体。控制者决定为何收集数据以及如何使用数据。控制者承担主要的GDPR合规责任。
处理者
数据处理者代表控制者、并依据其指示处理个人数据。为某零售商存储客户数据库的云托管公司即扮演处理者角色。处理者必须遵循控制者的指示,实施适当的安全措施,并依第28条签订书面数据处理协议。欧洲数据保护委员会《指南07/2020》就角色认定提供了详细指引。
数据主体
数据主体是指其个人数据正被处理的自然人。数据主体是GDPR第三章项下权利的享有者。
特殊类别个人数据
第9条明确了尤为敏感、须获得额外保护的数据类别:种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份、基因数据、用于唯一识别的生物特征数据、健康数据,以及涉及性生活或性取向的数据。处理这些类别的数据在默认情况下被禁止;只有第9条第2款所列的特定例外方可允许处理。
六项合法处理依据(第6条)
每一项处理行为都必须依据第6条所列六项合法依据之一。控制者必须在处理开始之前,确定并记录所适用的依据。事后不得更换依据。
| 合法依据 | 适用情形 | 典型示例 |
|---|---|---|
| 同意 | 数据主体作出自愿、具体、知情且明确无误的同意表示 | 通过明确的选择加入复选框订阅通讯 |
| 合同必要性 | 处理为履行与数据主体的合同、或应其要求采取订约前措施所必需 | 使用配送地址完成在线订单 |
| 法律义务 | 处理为遵守欧盟或成员国法律规定的法律义务所必需 | 因税务目的保留工资记录 |
| 重大利益 | 处理为保护数据主体或他人生命所必需 | 紧急情况下共享医疗数据 |
| 公共利益/官方职权 | 处理为履行公共利益任务或行使官方职权所必需 | 政府机构开展的公共卫生监测 |
| 合法利益 | 处理为控制者(或第三方)的合法利益所必需,且未被数据主体的利益或基本权利所压倒 | 欺诈预防、网络安全、(谨慎适用的)直接营销 |
同意常被误认为默认依据。欧洲数据保护委员会《指南1/2024》(关于合法利益)明确指出,合法利益依据须经过权衡测试,不能用于明显压倒个人权利的处理活动。
有关何时需要同意及有效同意的构成要件的详细指引,请参阅我们的GDPR同意要求指南。
数据主体权利概览(第三章)
GDPR第三章赋予数据主体八类权利。控制者必须不得无故拖延地回应权利请求,并须在一个月内完成回应(复杂请求可再延长两个月)。回应必须免费提供。
| 权利 | 条款 | 含义 |
|---|---|---|
| 知情权 | 第13、14条 | 通过隐私声明获得有关处理活动的清晰信息 |
| 访问权 | 第15条 | 获得关于处理情况的确认及所持个人数据的副本 |
| 更正权 | 第16条 | 更正不准确或不完整的数据 |
| 删除权("被遗忘权") | 第17条 | 在数据已不再需要、同意被撤回或处理不合法时删除数据 |
| 限制处理权 | 第18条 | 在争议解决期间,依特定情形限制处理 |
| 数据可携权 | 第20条 | 以结构化、机器可读格式获得个人数据,并将其转移至另一控制者 |
| 异议权 | 第21条 | 对基于合法利益的处理或直接营销提出异议 |
| 与自动化决策相关的权利 | 第22条 | 不受完全依赖自动化决策(产生重大法律或类似影响)的约束 |
这些权利均非绝对。GDPR规定了控制者可以拒绝或限制请求的具体依据。有关每项权利及机构应如何回应的完整论述,请参阅我们的GDPR数据主体权利指南。
执法:GDPR如何被监督执行

各国监管机构(数据保护机构)
每个欧盟成员国至少设有一个独立的数据保护机构。依第58条,数据保护机构拥有三类权力:
- 调查权: 审计、进入场所、责令提供信息,以及开展数据保护审计。
- 纠正权: 警告、训诫、责令合规命令、临时或永久性处理禁令,以及行政罚款。
- 授权与咨询权: 批准有约束力公司规则、发布意见,以及授权标准合同条款。
较为知名的数据保护机构包括爱尔兰数据保护委员会(DPC)、法国国家信息与自由委员会(CNIL)、德国各州的数据保护专员机构、意大利数据保护局(Garante),以及西班牙数据保护局(AEPD)。
欧洲数据保护委员会(EDPB)
欧洲数据保护委员会是由各国数据保护机构及欧洲数据保护监督员组成的独立欧盟机构。它在GDPR生效时取代了第29条工作组。该委员会就跨境争议作出具有约束力的决定,发布解释性指南,并协调各成员国之间的执法工作。
单一窗口机制
对于在多个欧盟成员国开展业务的机构,GDPR的单一窗口机制指定一个单一的"牵头监管机构":通常为该机构在欧盟主要机构所在成员国的数据保护机构。其他"相关"数据保护机构可对决定草案提出异议,未能解决的争议将升级至欧洲数据保护委员会作出具有约束力的决定。
由于众多大型科技公司(Meta、谷歌、苹果、TikTok、领英、X)的欧洲总部均设于都柏林,爱尔兰数据保护委员会已成为按罚款金额衡量最具主导地位的执法机构。
处罚(第83条和第84条)
GDPR确立了两档行政罚款:
较低档次(第83条第4款):最高可处1000万欧元或全球年营业额2%,以较高者为准。适用于违反第8、11、25至39、42及43条规定的控制者和处理者义务(包括数据保护官要求、设计层面的数据保护及泄露通知)。
较高档次(第83条第5款):最高可处2000万欧元或全球年营业额4%,以较高者为准。适用于违反基本原则(第5条)、合法依据(第6条)、同意条件(第7条)、特殊类别规则(第9条)、数据主体权利(第三章)及国际传输规则(第五章)的行为。
成员国还可依第84条施加额外处罚,包括刑事制裁。
值得关注的执法案例:
- 爱尔兰数据保护委员会于2025年对TikTok处以5.3亿欧元罚款,原因是其将欧盟用户数据非法传输至中国。
- 爱尔兰数据保护委员会于2023年对Meta处以12亿欧元罚款,原因是其通过标准合同条款向美国进行非法数据传输。
- 爱尔兰数据保护委员会于2024年12月对Meta处以2.51亿欧元罚款,原因是其在2018年"以他人身份查看"漏洞事件中存在泄露通知及数据安全方面的失职。
- 领英于2024年因在缺乏有效合法依据的情况下使用行为广告而被处以3.1亿欧元罚款。
截至2026年初,GDPR累计罚款总额已超过71亿欧元。有关罚款计算方式的完整说明及主要执法行动的完整清单,请参阅我们的GDPR罚款与处罚指南。
GDPR与各国国内实施法律
尽管GDPR是一部直接适用的条例,但其中包含超过50项"开放条款",允许或要求成员国在国内法层面对特定条款作出补充、限制或调整。其结果是,德国的GDPR合规要求与法国或爱尔兰的GDPR合规要求并不完全相同。
常见的国内差异领域包括:
未成年人数据的同意年龄。 第8条将默认年龄设定为16岁,但允许成员国将其降至不低于13岁。英国(脱欧前适用GDPR时)将该年龄设定为13岁。
特殊类别数据。 第9条第4款允许成员国对处理健康数据、基因数据及用于识别目的的生物特征数据施加额外条件。
雇佣数据。 第88条允许成员国就员工数据(包括入职前背景审查及职场监控)制定专门规则。
表达自由与新闻自由。 第85条要求成员国协调数据保护与表达自由的关系,包括新闻、学术及艺术目的。
刑事定罪数据。 第10条将私营主体处理刑事犯罪记录的条件问题留待成员国自行规定。
在多个成员国开展业务的机构,不仅需要核查GDPR本身,还须核查每个相关成员国适用的国内实施法律。
近期动态:2024至2026年
GDPR程序性条例(《条例(EU)2025/2518》)
对GDPR一直存在的一项批评是,跨境执法案件耗时过长。单一窗口机制要求牵头数据保护机构与相关数据保护机构之间进行大量协作,且不存在具有约束力的期限。
欧盟通过《条例(EU)2025/2518》,即GDPR程序性条例,对此作出回应。该条例于2025年12月12日刊登于官方公报,自2026年1月1日起生效,并将自2027年4月2日起适用(附有保护正在进行中调查的过渡规则)。
主要变化:
- 为牵头数据保护机构的调查设定具有约束力的15个月期限,复杂案件可延长12个月。
- 为投诉人及被调查方设立标准化程序。
- 加强关于执法时间线的透明度义务。
- 明确投诉人在执法过程中的参与权利。
该条例并不改变GDPR的实体性义务;它规范的是各数据保护机构之间的协调方式,以及各方所享有的程序性权利。
数字综合一揽子法案提案(2025年11月)
2025年11月19日,欧盟委员会通过了一项内容广泛的"数字综合一揽子法案",提议对包括GDPR、《数据法》、《电子隐私指令》、NIS2指令等在内的多部欧盟数字立法进行修订。截至2026年5月,该数字综合一揽子法案仅是一项立法提案,尚未获得正式通过,目前正处于涉及欧洲议会与欧盟理事会的标准欧盟共同立法程序中。
拟议中针对GDPR的主要修订内容包括:
- 缩小第30条项下记录保存义务的适用范围,员工人数少于750人的机构除非处理活动构成高风险,否则可豁免。
- 修订第13、14及15条,在特定情形下对信息权利的范围施加限制。
- 调整第5条第1款(b)项的目的限制规则。
- 依新设的第33a条,为数据泄露通知引入"单一入口"机制。
- 完善第22条有关自动化决策的规定。
欧洲数据保护委员会与欧洲数据保护监督员于2026年初联合发布了一份意见,对部分简化措施表示支持,但对拟议中关于个人数据定义的修改表达了严重关切,认为该修改已超出欧盟法院既有判例法的范围,并将显著缩小该概念的适用范围。在任何修订完成立法程序并正式公布之前,现行GDPR文本将继续保持有效。
欧盟AI法案与GDPR
欧盟AI法案自2024年至2026年按阶段性时间表分批开始适用。欧洲数据保护委员会已确认,为开发或部署AI系统而处理个人数据的行为,须遵守GDPR义务,该委员会正与欧盟委员会人工智能办公室合作,就AI法案与GDPR之间的相互关系制定联合指南,预计将于2026年通过。核心原则十分明确:遵守AI法案不能替代遵守GDPR。
GDPR的全球影响力
自2018年以来,GDPR已影响了150多个国家的隐私立法。巴西《通用数据保护法》(LGPD)、日本修订后的《个人信息保护法》(APPI)、韩国《个人信息保护法》(PIPA),以及印度2023年《数字个人数据保护法》,均纳入了源自GDPR的概念。美国加州的CCPA及CPRA则将GDPR风格的数据主体权利引入了美国法律。
欧盟委员会的充分性认定框架进一步强化了这种影响力:寻求自由接收欧盟个人数据的国家,必须证明其保护水平与GDPR"基本相当",这实际上使GDPR合规成为一项全球性基准。
Frequently Asked Questions
GDPR代表什么?
GDPR代表"通用数据保护条例"。它是欧洲议会与欧盟理事会于2016年4月14日通过的《条例(EU)2016/679》,自2018年5月25日起可强制执行。该条例在所有欧盟成员国及欧洲经济区范围内统一了数据保护法律,取代了1995年数据保护指令。
GDPR是否适用于欧洲以外?
适用。第3条赋予GDPR域外效力。全球任何以商品或服务为目标面向欧盟居民、或对欧盟居民行为进行监控(例如通过网站分析、行为广告或追踪)的机构,无论其所在地何处,均须遵守GDPR。一家位于美国、加拿大或日本的公司,若在上述情境下处理欧盟居民的个人数据,即须遵守GDPR。
GDPR的七项原则是什么?
第5条规定的七项原则分别是:(1)合法性、公平性与透明度;(2)目的限制;(3)数据最小化;(4)准确性;(5)存储限制;(6)完整性与保密性(安全性);以及(7)问责制。这些原则适用于所有个人数据处理活动。问责原则将证明遵守其余六项原则的举证责任置于控制者一方。
数据控制者与数据处理者有何区别?
控制者决定个人数据处理的目的和方式,并承担主要的GDPR合规责任。处理者则代表控制者、依据其指示处理个人数据。例如,某零售商(控制者)使用某云托管服务商(处理者)存储客户数据。控制者与处理者必须依第28条签订书面数据处理协议。
六项合法处理依据是什么?
第6条规定了六项合法依据:(1)数据主体的同意;(2)合同必要性;(3)遵守法律义务;(4)保护重大利益;(5)履行公共利益任务或行使官方职权;以及(6)控制者或第三方的合法利益。每一项处理活动在开始处理之前,均须依据其中一项予以证成。
GDPR的最高罚款是多少?
GDPR罚款的最高档次为2000万欧元或上一财政年度全球年营业额4%,以较高者为准。适用于违反核心原则、合法依据、数据主体权利及国际传输规则的行为。较低档次为1000万欧元或2%,适用于更偏程序性的违规行为。迄今为止,单笔最高GDPR罚款为12亿欧元,由爱尔兰数据保护委员会于2023年因非法数据传输对Meta处以。
什么是GDPR程序性条例?
《条例(EU)2025/2518》,即GDPR程序性条例,于2025年12月公布,并自2026年1月1日起生效,自2027年4月2日起适用。该条例为跨境执法案件引入了具有约束力的期限(15个月的调查期限,复杂案件可延长12个月),为投诉人及被调查方设立了标准化的程序权利,并提升了透明度。该条例不改变GDPR本身的实体性义务。
什么是欧盟数字综合一揽子法案?它对GDPR有何影响?
数字综合一揽子法案是欧盟委员会于2025年11月19日通过的立法提案,拟对包括GDPR在内的多部欧盟数字立法进行修订。截至2026年5月,该法案仍处于欧洲议会与欧盟理事会之间的共同立法协商阶段,尚未正式通过。针对GDPR的拟议修订包括:缩小小型机构的记录保存义务、调整信息权利、修改泄露通知规则,以及完善自动化决策规则。在任何修订正式通过并公布之前,现行GDPR文本将继续保持有效。
GDPR何时生效?
GDPR于2016年4月14日通过,2016年5月4日公布,经过两年过渡期后,于2018年5月25日起生效。它取代了1995年数据保护指令(95/46/EC号指令)。GDPR于2016年4月14日通过,并于2018年5月25日起开始适用。2026年5月25日标志着GDPR开始适用满八周年。
Sources and References
- GDPR全文——《条例(EU)2016/679》(eur-lex.europa.eu).gov
- 95/46/EC号指令——1995年数据保护指令(eur-lex.europa.eu).gov
- GDPR整合文本(EUR-Lex)(eur-lex.europa.eu).gov
- 欧洲数据保护委员会(EDPB)(edpb.europa.eu).gov
- 欧洲数据保护委员会《指南3/2018》(第3条地域适用范围)(edpb.europa.eu).gov
- 欧洲数据保护委员会——第5条原则(edpb.europa.eu).gov
- 欧洲数据保护委员会《指南1/2024》(第6条第1款(f)项合法利益)(edpb.europa.eu).gov
- 欧洲数据保护委员会《指南07/2020》——控制者与处理者(edpb.europa.eu).gov
- 欧洲数据保护委员会中小企业指南——数据控制者与数据处理者(edpb.europa.eu).gov
- 欧洲数据保护委员会中小企业指南——尊重个人权利(edpb.europa.eu).gov
- 欧洲数据保护委员会与欧洲数据保护监督员关于数字综合一揽子法案的联合意见(2026年)(edpb.europa.eu).gov
- 欧洲数据保护委员会——GDPR十周年纪念(2026年)(edpb.europa.eu).gov
- 欧洲数据保护监督员——GDPR历史(edps.europa.eu).gov
- 欧盟委员会——GDPR原则(commission.europa.eu).gov
- 欧盟委员会——控制者与处理者(commission.europa.eu).gov
- 欧盟委员会——数据保护解读(commission.europa.eu).gov
- 欧盟委员会——充分性认定(commission.europa.eu).gov
- 欧盟委员会——欧盟数据保护(commission.europa.eu).gov
- 英国ICO——数据保护原则指南(ico.org.uk).gov
- GDPR第3条——地域适用范围(gdpr-info.eu)
- GDPR第5条——原则(gdpr-info.eu)
- GDPR第6条——处理的合法性(gdpr-info.eu)
- GDPR第三章——数据主体权利(gdpr-info.eu)