(一)GDPR 立法背景及进程
欧盟的个人信息保护起源于传统隐私保护,发展至今先后历经以《1981 年个人数据保护公约》、《1995 年个人数据保护指令》(以下简称“95 指令”)以及
2016 年《通用数据保护条例》(英文简称“GDPR”)为主要表现形式的三个阶段。在互联网和大数据崛起的新环境下,欧盟认为 95 指令不能切实保护数据主体的
权利和自由,也不能对成员国之间的个人数据保护法加以协调。因此,自 2009 年开始,欧盟启动个人数据保护框架的改革工作。此次数据保护改革的宗旨在于强化数据主体权利的保护,并统一欧盟各成员国的数据保护立法。经过公众意见咨询、利益相关者对话和备选政策的影响效果评估,欧盟委员会最终决定以条例形式取代 95 指令,并于 2012 年 1 月正式发布 GDPR 草案。经过长达四年的立
法程序,2016 年 4 月,欧盟理事会和欧洲议会表决通过了 GDPR,并随后在 2016
年 5 月 4 日正式在欧盟官方公报发布。根据 GDPR 第 99 条关于生效和适用的规
定,GDPR 自官方公报发布满 20 日,即 2016 年 5 月 24 日生效,并自其生效后
满两年,即 2018 年 5 月 25 日直接适用于欧盟全体成员国,以“一个大陆、一部
法律”实现在欧盟 28 个成员国内部建立起统一的个人信息保护和流动规则。由于 GDPR 的域外适用效力,被称为史上最严数据保护法的 GDPR 在全球范围内引起广泛关注。
(二)GDPR 制度要点概述
相较于 95 指令 GDPR 在地域适用范围、权利义务配置、监管体系设计等方面进行了较大调整。
1、扩张域外适用效力
相较于 95 指令依据传统管辖权原则确认适用范围,为应对网络空间无国界的特征和数据跨境流动常态