密级：内部

GDPR vs Directive 95
1.扩大了适用范围
GDPR 欧盟通用数据保护条例适用于欧盟境内的数据控制方、数据处理方，以及欧盟境外的
数据控制方、数据处理方，只要其数据处理活动与向欧盟境内的数据主体提供商品、服务
（无论免费与否）有关，或其数据处理活动涉及到监测欧盟境内数据主体的行为。

2.增强了数据主体的权利
GDPR 既包含了指令中数据主体已经拥有的权利，还赋予数据主体额外的权利 ：数据可携
带权、被遗忘权、限制数据处理的权利、知情权、访问权、修正权、拒绝权共七项权能，
一系列权利促使数据控制者面临更强的透明度要求。

3.严格规定了个人同意的条件
个人同意仍然作为个人信息收集和使用的前提，但相对于 95 指令，GDPR 对何为有效的个
人同意的前提，做出了更加严格的要求。核心的变化是数据主体做出声明，或者做出清晰
的肯定性动作，同意被认为才有效。个人沉默、提前勾选的选项、静止等状态，不足以认
定个人表达了同意。GDPR 还明确了何种情况下，同意不是由数据主体自由地做出的。数据
控制方还应当告知数据主体撤回同意的权利。

4.对数据处理者责任的规定更详细
对数据处理方赋予新的合规要求，是 GDPR 最重要的变化之一，共八项要点：一，数据控
制方、数据处理方的定义没有改变。二，GDPR 直接对数据处理

方课以义务，而且不履行这些义务时，将会直接问责。三，数据处理方负有几项主要义务
采用合适的技术和组织方面的措施，以保证一定的数据安全水平；详细记录数据处理活动
如果数据处理方位于欧盟境外，在某些情形中，数据处理方应在欧盟境内任命一位数据保
护官和一位代表；履行与数据控制方一样的数据跨境流动合规要求；就数据安全事件，强
制通知数据控制方。四，如不合规，数据处理方将直接受监督机构的管辖。五，GDPR 适用
的范围（第一点已详述）。六，数据控制方和数据处理方应当签署详细的数据处理协议 。
GDPR 详细地规定了协议的条款。七，数据处理方只有在获得数据控制方的事先同意后，才
能使用次一级数据处理方。次一级数据处理方与上一级数据处理方应当签署数据处理协议
协议中规定的义务，和上一级数据处理方与数据控制方签署的协议的内容相同。八，数据
处理方在数据控制方允许的范围外开展的数据处理行为，将被 GDPR 认定为数据控制方，
同时应履行数据控制方相同的责任。

5.数据处理记录文档化
数据控制方和数据处理方应保留关于数据处理活动的详细记录，并随时应监督机构的要求
提供。

6.通过设计实现隐私保护和通过默认设置实现隐私保护
数据控制者应采用合适的技术和组织方面的措施，以实现默认的情况下，仅仅处理为实现
目的而最少必需的个人数据。此义务适用于收集到的个人数据、数据处理的范围、数据存
储周期，以及数据被访问的程度。特别是这些措施应保障在默认情况下，在个人没有作出
同意时，个人数据不会被不限定的自然人访问。
 密级：内部

7. 数据保护影响评估
如果处理个人信息可能导致个人权益有较高的风险被侵害时（特别是采用新技术时），数
据控制方应当进行数据保护影响评估。

8．问责原则
应当保证采取合适的技术和组织方面的措施，以保证合规，同时具备向外界客观地展现合
规的能力。

9. 数据保护官
部分私营部门机构和大多数公共部门机构将被要求任命一名数据保护官，以监督数据处理
活动，具体包括以下几种情形：公共部门处理数据的情形；数据控制方和处理方的核心活
动如果包含对数据主体开展常态、系统、大规模的监测时；数据控制方和处理方的核心活
动如果包含对特定类别的数据开展大规模处理时；成员国法律有所要求时。

10．数据跨境流动机制的重构
GDPR 保留了 95 指令关于数据跨境流动的机制，同时增加了新的制度安排，例如认证机制 、
行为守则、以及基于正当目的偶尔为之的数据传输时可一定程度上免除相关义务。

11. 数据安全事故通知
在数据安全事故发生之后，数据控制方应当及时向监督机构报告，在可行时，应当在 72 小
时内，除非数据安全事故不太可能导致数据主体权益受损。如果未能在 72 小时内报告，应
当提供合理的解释。如果安全事件对个人权益造成损害的可能性高，则数据控制方应当及
时通知受影响的数据主体。

12. 执法和处罚
GDPR 将会统一各成员国监督机构的权力和任务，并大幅增加处罚标准。为重大违规事件，
罚款可高达 2000 万欧元或前一财年全球收入的 4%。