2018年被称为“世界数据治理元年”。在这一年的5月25日，《通用数据保护条例》（GDPR）在经过两年的缓冲期后正式步入执法阶段。作为全球首部全面的个人数据保护法，它的出台极大地影响了欧洲乃至全世界的数据保护立法进程。

出海欧洲的中国企业队伍日益壮大，而另一方面，入局欧洲的准入门槛也越来越高。随着GDPR的执法模式日益成熟，企业也迫切需要提升自身的数据保护合规水平，以应对更加制度化的监管。

【风控Law School】此前已围绕GDPR的适用范围、数据主体权利、数据跨境传输、数据处理原则以及企业义务五个主题展开详细解读。

适用范围篇

地域适用范围也是GDPR一直以来较大的争议点，其提出的域外管辖权将GDPR的适用范围直接延伸至全球范围内任何面向欧盟提供产品、服务、监控的企业。

判断企业数据处理业务是否受GDPR管辖需要关注两点：1. 企业是否在欧盟境内设立实体；2. 若企业实体设立在欧盟外，其是否以面向欧盟提供商品、服务或以监控为目的。（点击下方图片阅读文章，获取更多详细内容）

数据主体权利篇

GDPR的推出对数字时代个人数据保护具有重要意义，它赋予数据主体七项数据权利，极大地保障了个人对其数据的控制权。GDPR第三章规定，数据主体享有的七项数据权利分别是：访问权、更正权、删除权（“被遗忘权”）、限制处理权、可携带权、反对权，以及不受制于自动化决策的权利。（点击下方图片阅读文章，获取更多详细内容）

数据跨境传输篇

对国际贸易和国际合作而言，与欧盟以外的国家之间的数据流动是不可或缺的，但日益增多的数据跨境流动也给个人数据保护带来了新的挑战与顾虑。当数据在欧盟与非欧盟国家间流动时，也应接受欧盟内同等力度的保护。GDPR规定，在任何情况下，向第三国或国际组织传输数据必须要满足相关规定。（点击下方图片阅读文章，获取更多详细内容）

数据处理原则篇

GDPR规定，适用GDPR的所有数据处理活动均需遵守七项数据处理原则，分别是：（1）公平、透明和合法；（2）目的限制；（3）数据最小化；（4）准确；（5）存储限制；（6）完整与保密；（7）问责与合规。这七项数据处理原则写在GDPR的第二章，是GDPR隐私保护精神的核心体现，也是企业合规体系的重要组成部分。数据控制者和处理者必须严格遵循这些原则，否则将会构成严重违规行为，可处以2000万欧元或4%全球营业额的最高罚款。（点击下方图片阅读文章，获取更多详细内容）

企业义务篇

GDPR规定，数据控制者有义务采取适当的技术和组织措施来保护数据主体权利，确保数据处理原则得到贯彻执行，这也是控制者的核心义务。GDPR并没有要求企业必须实行某项具体的“技术和组织措施”，而是要求这些措施必须是根据数据保护原则而制定。（点击下方图片阅读文章，获取更多详细内容）

如果你的企业正在制定出海计划，想了解详细内容，可以点击下方“出海企业合规指南-欧盟篇下载地址”，下载独家完整版GDPR合规指南。

如需了解“出海企业合规指南”第一册北美篇，可点击下方“出海企业合规指南-北美篇下载地址”，免费获取独家完整版CCPA合规指南。

出海企业合规指南-欧盟篇下载地址

出海企业合规指南-北美篇下载地址