大数据时代,个人数据以前所未有的方式自由流动,由此也引发了个人数据保护的法律问题。为了弥补以往个人数据保护法的局限,欧盟进行了个人数据保护立法改革,出台了 2016年《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)。该条例虽然整体上遵循了先前的立法路径,但是在适用范围、数据主体权利、数据控制者和处理者义务以及监管和救济机制上有了新的突破。其中关于被遗忘权、数据可携权以及高额罚金的规定,甚至引发了全球的激烈讨论。本文旨在研究GDPR的基础上,探讨其对中国个人数据保护立法的启示。本文分为五部分,主要内容分述如下:第一部分为绪论,主要阐述了本文的研究背景、研究意义、国内外学者对于GDPR的研究现状、研究内容、研究方法(包括文献研究法、规范分析法、历史研究法以及比较研究法)以及创新之处。第二部分探讨了欧盟个人数据保护的理论基础和立法变迁。欧盟个人数据保护的价值理念很大程度上遵循了德国严谨审慎的理念,一系列公约和条约的相关规定也为其奠定了坚实的法律基础。在GDPR出台之前,欧盟的个人数据保护立法随着时代的发展越来越暴露其局限性。GDPR对《个人数据保护指令》从立法宗旨到立法内容,既有承袭又有发展,并在立法形式上有明显的突破。第三部分主要围绕GDPR在个人数据保护方面的新发展而展开。该部分通过GDPR与《个人数据保护指令》以及GDPR草案的对比,凸现了 GDPR在四个独立领域的显著变化:在适用范围方面,GDPR规定了个人数据保护的域外适用;在数据主体权利方面,GDPR增设了撤销同意、被遗忘权和数据可携权的规定;在数据控制者和处理者义务方面,GDPR增加了一系列技术性和非技术性新规则,从而对数据控制者和处理者进行更严格的规制;在监管和救济机制方面,GDPR通过“一站式”服务机制和高额的行政罚金来强化其监管和救济机制。第四部分着重于对GDPR主要变化的评价。GDPR适用范围的扩大、数据可携权的提出、对数据控制者和处理者义务的规定都顺应了互联网时代的发展,在某种程度上对于营造公平的市场竞争环境有所助益。此外,GDPR立足于具体问题具体分析,一改往日“一刀切”的模式,提升了数据保护的协调和监管水平,也有利于欧盟各成员国在个人数据保护方面的协作。当然,GDPR也存在问题和争议,制度性的缺陷、条文的模糊性、执行效果问题以及与其他相关利益的平衡,成为GDPR的软肋。第五部分阐述了 GDPR对中国个人数据保护立法的启示。一方面,受制于GDPR的域外效力,中国企业也有受其约束的可能;另一方面,我们所处的大数据时代迫切需要加强个人数据的保护,加上个人数据保护立法的缺位,因此,中国可以借鉴GDPR效果原则的立法思路,合理地引入“撤销同意”模式,确立场景化和技术化的数据保护理念,效仿GDPR的事前监管和救济机制。在其他方面,则不必盲从,真正做到有的放矢。