文章总结： GDPR实施十周年在提升企业隐私保护意识和文化变革方面成效显著，但国际数据传输、同意机制疲劳、AI技术适配等挑战依然存在。专家指出需完善法律适用一致性、简化合规流程，并适应生成式AI等新技术场景。未来应加强数据治理、明确责任分配，避免合规成为大企业特权。 综合评分： 78 文章分类： 政策法规,数据安全,应用安全,网络安全,AI安全

GDPR十年回首：成就与挑战并存 AI时代亟待进化

原创

安全419 安全419

安全419

2026年5月13日 17:31 四川

在小说阅读器读本章

去阅读

今年是欧盟通过《通用数据保护条例》十周年，该条例自2018年5月25日起对所有公司强制执行。

GDPR的目标简单而重要：增强个人对其个人数据的控制权。该条例取代了第95/46/EC号指令，其明确目的是统一欧盟的数据保护法规、加强公民权利并简化监管环境。

为此，《ComputerWorld Spain》采访了多位专家和分析师，审视这项法规如何改变了商业运营，以及GDPR在实际执行中的现状和组织为遵守这一里程碑式法规所做的持续努力。

安全419现将采访内容整理如下，以供国内同仁参考。

企业文化不可或缺的变革

Foundry Spain首席分析师Fernando Maldonado认为，GDPR迄今为止的遗产是“喜忧参半的”。

“GDPR是世界上最具影响力的数字法规之一，它改变了公司谈论隐私的方式，提高了标准，并赋予了公民更多权利。但它并未完全实现许多人希望的目标：让人们对自身数据拥有真正且便捷的控制。”

他还认为，GDPR“最显著的成就是文化上的。”

“在其实施之前，在许多组织中，数据保护不过是网站上的法律文本、与供应商的一些合同以及在审计期间才会翻阅的文件夹，如今，至少在欧洲，隐私已成为公司、公共行政部门和数字服务日常运营的一部分。我们谈论法律框架、影响评估、数据最小化、通过设计保护隐私、数据保护官和安全漏洞。这听起来可能很技术性，但其背后是一个重大变化：组织不能再仅仅声称合规。他们必须能够证明合规。”

他说，GDPR“既简单又苛刻，一直是GDPR的最大贡献之一。”

“该法规使得必须了解正在处理哪些数据、出于什么目的、处理多长时间、与谁共享以及采取了什么保障措施，”他指出。“它还要求在行动之前进行思考，尤其是在处理可能影响基本权利的情况下。从这个意义上说，它实现了一项看似困难的事情：将隐私从法律领域带入管理决策。”

灰色地带依然存在

然而，如果说自生效以来的十年间有什么被证明的话，那就是GDPR仍有很长的路要走。

西班牙隐私专业协会主席Miguel Recio认为，该法规暴露的一些局限性涉及充分的合法性基础，以及源自个人数据概念或控制者和处理者定义的限制。

“在合法性基础方面，必须分析同意或合法利益在实践中可能受到的限制，以避免GDPR应用中的不安全状况。”

关于个人数据的概念，Recio认为，如果严格应用，可能导致不成比例的情况——即要求繁重的合规性，但这有时并不能充分保护个人。

“而且数据控制者和数据处理者的概念在某些情况下可能被超越，”他补充道。“这需要明确的GDPR应用标准，使我们能够克服疑虑或不确定性。”

国际层面

GDPR一直处于持续紧张状态的领域之一是国际数据传输。

Osborne Clarke Spain合伙人Rafael García del Poyo认为，自GDPR生效以来，个人数据的国际传输一直是其“阿喀琉斯之踵”。

“在此问题上，欧洲法院经历的一系列曲折（Schrems I、Schrems II等）清楚地表明，只要数字商业模式是全球性的，而法律框架是国家或区域性的，法律不确定性就将普遍存在，”他承认。

根据García del Poyo的说法，另一个非常明显的局限性是在数字环境中偏好将同意作为合法性的基本基础。

“理论上，它被配置为处理个人数据最强大的法律基础，但在实践中，它已退化为让公民产生‘疲劳感’或‘自动点击’的体验，cookie弹窗就是明证。以这种方式构想的同意不会形成知情决策，而是产生厌烦，”他指出。

García del Poyo还认为，数字平台上的数据治理现实超出了GDPR的监管逻辑，需要额外的法律工具来实现其既定目的。

“欧洲法律借助DSA或DMA等工具的发展，可以被理解为对空白的回应，这不是因为GDPR无效，而是因为该条例无法独自承担数字环境的全部治理，”他说。

威慑性制裁

GDPR的罚款持续存在，且远非微不足道。

Foundry Spain首席分析师Alberto Bellé重点介绍了其中一些：“如果我们只看数字，结果令人印象深刻：自2018年以来罚款71亿欧元，仅2025年就达12亿欧元，欧洲每天有443起违规通知。在西班牙，西班牙数据保护局在2025年将罚款提高了14%，涉及299起案件，总计4000万欧元，其中对Aena因未经影响评估使用面部识别而处以的1000万欧元罚款是典型例子。初步印象是它有效。然而，仔细观察，缺陷就会显现出来。”

制裁力度很大，但在执行时其影响会减弱。“例如，自2018年以来，爱尔兰当局已对大型科技公司处以40.4亿欧元的罚款。实际上，它收回了约2000万欧元。这仅占0.5%。其余部分正在上诉或暂缓执行。”

其次，GDPR是在AI出现之前实施的。“现在，当AI竞赛已变得地缘政治化时，欧洲意识到，与监管较少或较晚的美国和中国相比，GDPR使AI部署成本更高、速度更慢。这就是为什么欧盟委员会正在推出《数字综合法案》，并将《AI法案》高风险部分的实施可能推迟到2027年12月。”

第三，现在已经形成了一座法规山，使合规变得不可能。“GDPR被用作后续法规的模板：NIS2、DORA、DSA、DMA、数据法案、AI法案。这些法规各自都有道理。但放在一起，对CIO来说，合规几乎是不可能的。该法规最初的成功引发了一场需要重新思考的监管雪崩。”

据Miguel Recio称，“这个问题仍在不断发展，因为如果从所有欧盟国家的角度来看，仍然没有完全一致的应用。”

在处罚方面，2026年的开局并不乐观。根据金融平台Finbold汇编的最新数据，在2026年1月1日至3月31日期间，罚款总额达6818万欧元。换句话说，在今年头三个月，违反GDPR规定的公司每天支付约757,600欧元。第一季度有几个根据GDPR开出的重大罚款。法国和英国占了其中大部分。

违规最严重的是法国电信公司Free Mobile，因用户数据安全问题，于1月13日被法国国家信息与自由委员会处以2700万欧元的罚款。

第二高的罚款是，2月23日Reddit因未能保护未成年用户数据被英国信息专员办公室罚款1600万欧元。

第三和第四高的罚款由法国开出。1月8日，Free Mobile的母公司Free因技术及组织措施不足被罚款1500万欧元。1月22日，政府机构France Travail因未能保护求职者信息被罚款500万欧元。

“制裁是显著的，并且确实发出了非常明确的信息，尤其是在大公司受到影响的情况下，”García del Poyo说。

但在García del Poyo看来，不在于制裁的明显威慑效果，而在于成员国不同国家当局在解释和适用《GDPR》所载原则时的必要一致性，这是GDPR仍需解决的最紧迫问题。

AI挑战

如今，考虑到数据面临的新挑战，如生成式AI、数据主权和全球数字经济，即使不进行改革，也需要进化。

“与其‘抛弃并重写’GDPR，不如对其进行完善，并辅以在必然会出现的新技术场景中行之有效的解释和机制，”García del Poyo说。

Maldonado明确表示，GDPR是在生成式AI兴起之前制定的，其原则仍然很重要：透明度、法律依据、最小化、特定目的、安全性和通过设计保护。

“而问题在于，AI将这些原则带入了更困难的境地，你如何清晰报告用于训练大规模模型的数据？当数据已经影响了一个系统，你如何删除它？当某些模型恰恰是用海量信息构建的，只使用必要数据意味着什么？当自动化决策依赖于甚至许多专家都不清楚的技术链条时，你如何解释？这些问题将定义下一个十年。如果GDPR能够有效应用于AI，它将继续作为欧洲隐私的支柱。如果不能，它就有可能成为针对一个已经改变的世界的、过于精细的法规，”Maldonado警告说。

García del Poyo认为，有必要澄清一些问题，例如：当个人数据用于训练AI时处理这些数据的适当法律基础；当公民知道个人数据的处理不易追溯时，他们如何行使自己的权利；甚至在AI提供商、集成商和用户之间复杂业务协作的背景下，组织如何分配GDPR中概述的责任。

数据主权方面

关于数据主权，García del Poyo提醒我们，如果其公民和企业沉浸在使更换供应商变得不可行的数字环境中，它就无法在全球数字经济中竞争。

“重要的是要记住，GDPR承认了数据可移植权。然而，在实践中，它一直是利用最少的权利之一，不是由于用户缺乏兴趣，而是因为该法规本身留下了未解决的技术问题：具体用什么格式？用什么标准？通过什么接口？现在，自2025年9月《数据保护法》生效以来，可移植性已成为提供数字服务的公司的设计义务，因为它要求向其他公司访问和传输个人数据在技术上可行，”他说。

“如果数字监管框架变得越来越密集，与新规则重叠，并且我们未能简化一些强加的义务——例如，那些可归类为低风险或专门针对中小企业的义务，我们就有可能使合规成为大型组织的奢侈品，而不是对公民的有效保护标准，”García del Poyo解释说。

展望未来

技术挑战是真实的，GDPR将不得不适应新的现实。

“我们首先要记住的是，我们已经从数据管理转向数据治理，并且这是在遵守基本权利的框架内进行的，”Recio说。

第二，有必要加强数据保护专业人士的作用，如果公司希望实现合规以最小化制裁风险，就必须重视和推动这一点。

“第三，需要使GDPR适应技术演进本身，从而防止不确定性情况出现或可能出现。关键在于能够应用于新场景和技术发展的原则。”Recio补充道。

参考链接：

https://www.csoonline.com/article/4167584/ten-years-later-has-the-gdpr-fulfilled-its-purpose.html

END

✦

推荐阅读

✦

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全419 安全419 安全419《GDPR十年回首：成就与挑战并存 AI时代亟待进化》