《欧盟通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）已经欧洲议会通过并将于2018年5月25日实施。届时这一条例将会在所有欧盟成员国内直接适用，取代先前的《数据保护指令》(Data Protection Directive)，成为欧盟个人信息保护的核心法律。

 

在我国个人信息保护领域，于2018年5月1日开始实施的GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称“《规范》”）是目前在个人信息保护方面最细致的官方文件。虽然《规范》性质上属于推荐性国家标准不具有法律强制力，但其由全国信息安全标准化技术委员会提出并归口，一定程度上反映了我国监管机关的态度，对企业合规具有指导意义。

 

因此，为帮助企业更好地理解和运用《规范》，我们将GDPR和《规范》及《网络安全法》（以下简称“《网安法》”）相关规定作了如下对比。由于篇幅的限制，我们仅摘取了GDPR中与个人信息保护有关的部分，省略了GDPR中与跨境传输相关的部分。通过对比可以看出，《规范》一方面借鉴了GDPR等国外立法，另一方面，《规范》基于《网安法》中与个人信息保护有关的法律框架（比如根据《网安法》的要求规定了安全事件应急预案制度[1]、申诉管理制度[2]等），并结合我国个人信息保护现状，进行了调整和创新（比如规定了“明示同意”格式和展示方式上的要求、规定了企业内部劳动关系处理的细节[3]，个人信息公开披露规则[4]等）。

 

以下对比栏目中，左栏灰色背景的是GDPR条文[5]，右栏为我们以GDPR为参照对《规范》的评注。