2018年5月25日，欧盟《通用数据保护条例》（GDPR）正式实施生效，内容共计11章99条，被称作史上最严格的数据保护法律。作为个人信息立法领域具有里程碑意义的法律，GDPR在个人数据保护方面做出了相对完善的规定，内容涵盖适用范围、数据权利、义务履行、数据传输、惩罚及监管等多方面举措，值得深入思考与研究。随着互联网产业的迅猛发展，我国在个人数据治理中出现了法律缺位、个人数据滥用、保障程度不高等问题，亟须解决。我国的个人数据立法与GDPR在敏感信息范围认定、数据主体权利、跨境传输及执行与实施效果等方面存在区别，也正是基于上述差异，需要我们结合GDPR的革新性内容和国内实际，在学习GDPR个人数据保护先进做法和理念的同时，也要注意立足国情，防范GDPR带来的冲击与挑战，继而建立和完善我国个人信息保护机制，推进个人数据治理。