作者介绍

IT Governance隐私小组，是全球IT治理、风险管理和合规方面内容的领先供应商，在隐私、数据保护、合规和信息安全方面积累了大量的经验。基于对欧盟《通用数据保护条例》背景信息的详尽理解，结合自身的实践经验，以及讲师和咨询顾问团队的多方努力，出版了《欧盟通用数据保护条例（GDPR）的实施与合规指南》。

译者介绍

刘合翔，北京大学博士，EXIN专家组成员，DPO 2019最佳授权讲师，DPO 网络论坛主理人。曾参与国内相关立法的意见征求，培训了国内早期一批获数据保护官认证的领域从业者，曾任国家政府研究机构的研究员和互联网上市公司高管。现任职于杭州电子科技大学，从事大数据治理有关的科研与实践工作。

本书内容涵盖了涉及GDPR合规有关的法律要点、隐私合规框架、数据保护的组织和技术手段以及风险管理和事故响应等核心主题内容，是一部兼具理论性与实操性的合规实践指南。

本书系统性地阐述了隐私保护的实践体系，也是企业DPO的实践指南，这使得企业在践行隐私保护的各个环节真正做到有法可依，有技可循。

——张伟（IBM Consulting大中华区安全与隐私服务总监）

优秀的DPO要懂法律、懂技术和懂管理，利用技术措施、管理措施实现数据保护符合法律要求。EXIN DPO-PDPP认证指南作为DPO认证官方指定教材，系统阐述数据保护体系、数据保护组织化，还提供了数据保护实践，是帮助DPO构建数据保护法律体系的最佳教材。EXIN DPO-PDPF与EXIN DPO-PDPP形成理论与实务的完美结合，帮助DPO快速搭建法律、技术和管理，令我受益匪浅。

——胡海斌（深信服科技股份有限公司法务总监）

公司业务涉及公共数据开放与行业应用，即如何在合规框架下更好地成为公共数据与社会数据融合应用的窗口，促进大数据产业发展，形成更多的创新融合应用。经过两年的成长，我现在成为厦门大数据公司的副总经理兼首席数据官，DPO体系课程从理论到实践一直都伴随着我的成长。这本书作为EXIN DPO-PDPP官方指定参考教材，给我的工作带来了极大的帮助，包括给政府类App做隐私保护体系。现在国内《网络安全法》《数据安全法》《个人信息保护法》的落地实践也是按照这套体系方法论去实施的。

——姜山（厦门大数据有限公司副总经理兼首席数据官）

我是2021年初的EXINDPO数字化转型官认证学员。过年公司放假，我带着一群同学在总部大楼会议室学习隐私和数据保护从业者认证（PDPP），外加看窗外的风景。每当面对GDPR甚至其他个人信息保护的问题有疑问时，我都会翻翻这本书。后来，我推荐公司的其他小伙伴去学习这个课程。对于学习，我们是认真的；对于数据合规，我们是专业的；认证是对学习结果最好的检验。

——Camille Chen（美的集团DPO、高级合规官）

我曾在一家欧洲企业担任亚太区数据保护官的工作。作为EXIN-DPO的指定教材，本书一直是我日常工作的案头工具书之一。将复杂的法律条文及合规要求转化为可落地和具有操作性的数据保护实践，是本书重大的特色。

——蔡俊磊（万向区块链首席安全官）

EXIN DPO作为全球第一个基于GDPR人员岗位认证，除了能够帮助企业风险、合规、法务、信息安全等工作人员快速全面地了解并构建隐私合规管理体系，还可以帮助管理人员提升对隐私文化的理解。本书作为DPO认证官方指定的材料，全面地介绍了GDPR核心概念、隐私合规框架、风险评估、跨境传输等知识领域，适合各行业隐私与数据保护人员快速掌握相关知识点，特此推荐！

——温略淦（某全球加密虚拟资产独角兽企业数据安全与隐私专家）

我是2020年10月的EXIN DPO和ISO（信息安全官）双认证学员。本书对GDPR进行全面阐释，不仅有助于认证考试，同时对出海企业的合规落地和律师如何履行DPO职责具有非常重要的实践指导意义。通过本书的学习，我打开了国际化视野，发现了新的服务蓝海，从传统律师转型为科技律师，在我20余年的职业生涯中起着非常重要的作用。

——李兰兰律师（卓建律师事务所高级合伙人、最高人民检察院民事和行政诉讼监督案件咨询专家）

我是2019年5月份的EXIN数据保护官DPO认证学员，学完后当年就做了第一个500万元标的的出海企业GDPR合规项目，到现在身兼六家企业的DPO，这本书一直都伴随着我的成长。从一开始接到出海项目没有任何资料可供参考，这本书作为EXIN DPO-PDPP官方指定参考教材，给了我极大的启示，例如，为企业建立信息安全隐私保护管理体系（PIMS），我就参考了此书的流程。现在国内《网络安全法》《数据安全法》《个人信息保护法》的落地实践也是按照这套体系方法论去实施的。

——顾源（上海傲彤信息技术服务有限公司首席安全顾问）

作为国内较早一批从事个人信息保护从业者，又有幸接触并学习了EXIN DPO数据保护官课程后，我成为国内EXIN DPO授权机构的CEO，致力于EXIN DPO课程在国内的推广以及数据合规的落地实践。非常感谢EXIN亚太区总经理孙振鹏先生、刘合翔博士为这本书做出的努力与贡献，让我们的学习不再困难。DPO讲师、同学们和我都是这本书的学习者、实践者、受益者，现将这本书推荐给国内更多的数据合规从业者，相信大家可以从中受益。

——向丽（珠海山竹科技有限公司创始人及CEO、中国DPO早期布道者）

《欧盟通用数据保护——GDPR合规实践：EXIN数据保护官（DPO）认证》就像一座“灯塔”，在国内《个人信息保护法》出台之际，为我们这些在合规实践中摸爬滚打的一线律师提供了极其宝贵的指引，让我们能在数据的航海中找到参照系，是难能可贵的国际经验和底层数据合规的治理理念。EXIN DPO作为国际前沿的数据合规实战课程认证体系，在应对当下纷繁复杂、瞬息万变的数字时代的合规保护层面发挥着“排头兵”的作用，在国内法律法规政策下实践层面具有重大影响力和深远意义。

——高亚平（德恒上海律师事务所合伙人、专职新经济合规平台）

引言

第一部分 GDPR的核心考量

第一章 范围、控制者和处理者

第二章 六项数据处理原则

第三章 数据主体权利

第二部分 建立合规

第四章 隐私合规框架

第五章 信息安全作为数据保护的一部分

第六章 合法性及同意

第七章 主题查阅请求

第八章 数据保护官的角色

第九章 绘制数据地图

第三部分 数据保护影响评估与风险管理

第十章 数据保护影响评估的要求

第十一章 风险管理与DPIA

第十二章 执行

第四部分 国际传输与事故管理

第十三章 跨国管理个人数据

第十四章 事故响应的管理与通报

第五部分 执法与合规过渡

第十五章 执法

第十六章 合规过渡与证明

附录一 条例索引

附录二 欧盟/欧洲经济区各国的监管机构

附录三 实施问答

附录四 认证备考指南

附录五 考试样卷