按：

GDPR实施一周年之际，5月28日在贵阳举办的2019年中国国际大数据产业博览会“人工智能产业与数据跨境业务的法律监管国际论坛”上，中国信息通信研究院安全研究所联合北京大学、对外经济贸易大学、奋迅律师事务所、科文顿∙柏灵律师事务所、京东集团，共同发布《欧盟GDPR合规指引》，为深入理解GDPR提供了有益思路。

《指引》按时间线梳理了GDPR的立法背景和施行进展，详细阐述了GDPR相较于95指令在扩张域外适用效力、扩张数据主体权利、强化数据控制者和处理者问责、丰富数据跨境流动机制、改革数据保护监管体制等五大方面的新增制度要点。《指引》主体部分重点梳理了GDPR的合规体系，涉及风险评估、组织架构保障、合规体系设立与执行、合规培训及宣讲、合规体系执行的监督和审计等五个维度。

此外，《指引》也格外关注了GDPR与我国法律的内容比较及冲突应对，详细解答了GDPR的疑难问题并给出了实用的合规建议。

公号君很荣幸能够为《欧盟GDPR合规指引》撰写前言，现将前言贴出来供大家批评指正。以下是前言正文：

前  言

如何把握欧盟的《通用数据保护条例》（GDPR）？如果不拘泥于具体条文的话，我总觉得答案其实就蕴含于这座烧毁断残的雕像之中。

这座雕塑位于荷兰乌特勒支大学学术大厅的走廊。保留至今为的是纪念二战期间五名荷兰学生的英雄之举。1942年12月12日深夜，Gijs den Besten、Frits Lordens、Geert Lubberhuizen、Anne Maclaine Pont和Rutger Marthijsen潜入这座雕像背后的学生管理部，将大学当时保存的学生档案一把火全部烧毁，避免了当时占领荷兰的德国纳粹通过详尽的学生档案锁定并杀害犹太学生。

“即便在最黑暗的时刻，我们仍然知道存在着永恒的原则”（In de zwartste uren bleven wij weten, dat ereeuwige beginselen zijn）。乌特勒支大学教授dr. P. C. A. Geyl这句总结，连同焦黑断裂的雕像，给每个驻足探究的人，包括当时即将博士论文答辩的我，深深的震撼和思考。如果德国纳粹掌握了这些学生档案（其实就是学生的个人数据），会有多少人将因此而丧生；但当时欧洲范围内又有多少人像乌特勒支大学中的犹太学生那般幸运，能够有机会销毁自己的个人数据······

二战血和泪的经历显然在欧洲人的心中刻下了一个教训：人人都应当享有个人数据受保护这项基本人权；个人数据泄露或滥用所造成的危害，绝非财产上的损失，而是事关个人的尊严和人格，乃至生命。

就此，我们不难理解GDPR这样严格的个人数据处理活动法律框架，为什么会诞生于欧洲。从本质上来说，GDPR代表了欧盟所作出的价值判断：个人数据无论是为政府还是企业所掌握，难免出错；GDPR不仅是为了最大程度降低“重蹈覆辙”的风险，更是面对未来科技迅猛发展的基本立场——人是科技的主人，科技应当在尊重人类福祉的框架中发展进步。

沿着这样的脉络，我们就能掌握GDPR所设立的基本原则和具体的制度设计，例如开展个人数据处理活动首先需要一个合法性基础；对处理活动非常高的透明性和文档化要求：事先明确数据处理的目的；仅能收集目的所需的最小化的个人数据；个人数据的存储不应超过实现目的所必需的时间；开展高风险的个人数据处理活动前应当开展影响评估；产品或服务在开发设计阶段就应落实数据保护的要求；对违法处理活动施加高额的罚款等等。

除了“不信任”对开展个人数据处理活动的组织，GDPR还赋予了个人在个人数据方面的前所未有权利。在经典的查询、更正、删除权利的基础上，个人还拥有更强的反对、免受系统完全自动化决定的权利，以及崭新的被遗忘权、限制处理权和数据可携带权。在这些权利的“武装”之下，个人不再是被动地“受制于”控制其数据的组织，而能及时、简便、深入地参与、介入，甚至于干预组织所开展的数据处理活动。除非有法定事由等少许例外情形，组织无法将个人拒之门外。

一边给开展个人数据处理活动的组织带上了沉重的“镣铐”，一边大幅度给个人赋权，GDPR通过上述“双保险”，以管控个人数据处理活动对个人合法权益可能带来的负面风险。这样的设计是欧盟国家集体作出的抉择，是欧盟价值观的逻辑展开。

反观中国，个人信息保护法的立法工作已经吹响了号角。我们与欧洲有着不同的历史和传统，处于不同的发展阶段，形成了不同的政治、社会和经济结构。显然，中国无需追随欧盟的步伐，但这并不意味着将GDPR“掰开揉碎”搞清楚没有意义。至少，GDPR针对普适性问题提出的解决方案，我们可以批判、借鉴，并在此基础上创新。

本着这样的根本目的，同时为满足在欧盟运营的我国企业的实际需求，一群来自于高校、政府智库、企业、律所等方面的专家在中国信息通信研究院安全研究所提供的平台上齐聚一堂，根据自己的研究和实践经验，并经过长达半年的准备、讨论、撰写、修改、审校，集体创作出这份《GDPR合规指引》。

这份指引共分四章，分别包括GDPR概述、合规体系、疑难点及合规建议，以及GDPR与我国法律的比较及冲突应对。指引还在附录中给出了符合GDPR要求的隐私政策范本。我们希望能为有合规需求的企业指明方向，更希望能为关心个人信息保护的同仁提供一份针对GDPR准确、客观、扎实的介绍，进而为我国开展个人信息保护工作贡献绵薄之力。

下载《欧盟GDPR合规指引》，请点击文末左下角的“阅读原文”。【提取码: 2ptc】

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）
    

28. 从“布拉格提案”看美国政府的策略

29. 对《网络安全审查办法（征求意见稿）》的几点观察