随着现代信息技术的飞速发展，互联网、云计算、大数据、人工智能、物联网、区块链、边缘计算、量子计算等新兴技术为人类社会的数据生成、采集、整合、存储、调用等各类处理提供了极大的便捷。信息技术的发展一方面实现了从数据向价值的巨大转变，推进了社会发展进步；而另一方面，其也威胁到了人类自由与人格尊严最神圣的净土——个人隐私权。

个人隐私权最早于1890年由美国法学界提出，最初被定义为“关于私生活不公开和私人领域不被他人侵扰的自由”。经过了一个多世纪的发展，隐私权在世界各国已发展为宪法保障的基本权利，全球130多个国家相继出台了专项法律法规；隐私权被扩展解释为“得以决定个人信息何时、何地、何种方式、何种程度传达给他人的决定权或者控制权”。当今信息化时代，隐私权赋予了自然人控制、管理、披露和保护自己个人信息的权利。

2016年5月，欧盟发布《通用数据保护条例》（GDPR），2018年5月25日全面实施，被称为“人类史上最严隐私法”，同时也成为了全球隐私与数据保护立法及相关工作的参照典范。

GDPR保障了《欧盟基本权利宪章》（第8条）和《欧盟运作条约》（第16条）中规定的个人数据保护基本权利，也是欧盟《欧洲绿色政纲》和数字化转型中技术使用的“指南针”。在2020年2月由欧盟发布的《欧洲数据战略》中亦再次强调了GDPR的作用与地位。GDPR不但对欧洲经济区(EEA)成员国影响重大，也因以下特点而对全球各国个人数据保护监管以及组织机构的运营产生深远影响。

域外适用效力广泛。虽然GDPR适用于EEA的30个国家(英国脱欧后已不在其中)，但因其遵循“属人”“属地”“国际公法”等多种“长臂管辖”原则，而对全球范围涉及欧洲业务的组织机构产生了广泛的影响。

数据主体权利全面。GDPR专门规定了全面的数据主体权利，包括信息透明度、知情权以及对数据的访问、更正、删除、反对自动化决策、限制处理等权利。

数据控制者、处理者问责机制。GDPR要求在数据控制者、数据处理者内部建立完善的问责机制，更多地以组织机构内部合规性义务推进GDPR的落地。

数据跨境流动机制多样。GDPR形成了基于充分性决定、有约束力公司规则、标准合同条款、经批准的数据传输、经批准的认证机制的多元数据跨境流动路径。

数据保护监管一站式服务。GDPR新增数据保护监管一致性机制，通过识别主导监督机构以应对涉及多个成员国监管机构的情形，减轻监管成本和组织机构合规成本；同时规定了组织机构设立数据保护官(DPO)的条件、数据泄露上报规范、对组织机构违规的记录等机制，建立组织机构与监管机构的密切联系。

GDPR的全面实施促进了隐私与数据保护全球大趋势的兴起，各国监管和立法举措不断出台，世界各地越来越多的组织机构做出了响应行动以满足GDPR要求，或是以GDPR作为对标基线开展个人信息保护的合规建设。

总部位于欧洲的EXIN国际信息科学考试学会于2016年(即GDPR发布当年)便推出了基于GDPR的系列认证体系——EXINDataProtectionOfficer认证，该认证体系亦为国内首个系统性介绍GDPR的课程体系。本书则因其内容精炼且具有一定的实践启示作用，被EXIN指定为该认证体系中隐私和数据保护基础(PDPF)课程的备考文献。

本书译者：王彦博

（来源：Agan智投的财富号 2021-05-18 07:11） [点击查看原文]