欧盟数据隐私保护法律框架及欧盟数据隐私保护监管机构现状-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

一、欧盟数据隐私保护法律框架

目前在全球范围内，欧盟拥有最丰富的数据隐私保护立法。相较于各国的立法，欧盟的数据隐私立法呈现更复杂的层级结构。由于立法众多，在此仅对部分重要立法做出列举。

a）数据隐私保护核心立法

2018年5月25日生效的《通用数据保护条例》（以下简称“GDPR”），适用范围广，如对于设立在境外的控制者和处理者对欧盟内数据主体的个人数据进行处理也适用GDPR，包括向欧盟数据主体提供商品或服务、对数据主体发生在欧盟境内的行为进行监控。GDPR强调了企业对其处理的数据的严格保护义务。

b）汽车行业数据隐私保护立法

目前欧盟可适用于汽车行业的数据隐私保护立法，既有专门性立法，还有一部分体现在欧盟数据隐私保护的普遍性立法中。专门性立法有《车联网个人数据保护指南》，聚焦联网车辆和出行相关应用背景下的个人数据处理，揭示了此场景下的隐私和数据保护风险。在普遍性的立法中，GDPR规定人脸识别技术商业应用的必要前提条件是“数据主体已明确表示同意”；预计将于2025年初生效《人工智能法案》（,以下简称“AI Act”）将人脸识别等远距离生物识别系统认定为“高风险”级别；《隐私和电子通信指令》（,以下简称“ePD”）中规定，如要存储或访问存储于终端设备中的用户数据，该等存储或访问行为原则上均需要获得用户的同意，除非是基于通讯传输或提供信息社会服务所必需，且该等服务是由用户明确地自主选择。

二、欧盟数据隐私保护监管机构现状

整体来看，欧盟的主要数据监管机构分为两个层级：欧盟和欧洲各国。

欧盟设立了欧洲数据保护委员会（European Data Protection Board，以下简称“EDPB”）是欧盟数据保护的总领性监管机构，由欧洲数据保护监管局（European Data Protection Supervisor，以下简称“EDPS”）和欧盟各国数据监管机构、数据保护机构（Data Protection Authorities，以下简称“DPAs”）组成。

EDPB依据GDPR的规定成立，主要负责与立法释法相关的工作。旨在确保在整个欧盟范围内有效且一致地应用数据保护的系列规则；EDPS是欧盟层面的数据保护监管机构，负责监督欧洲各机构、组织、办事处和机关对个人数据的处理。数字化转型网www.szhzxw.cn

根据GDPR，每个欧盟成员国都应当设立一个数据监管机构，对本国数据保护问题提供专家建议，并处理针对违反数据保护法（包括GDPR和相关国家法律）的投诉。