欧盟《一般数据保护条例》: 演进、要点与疑义

2018年,欧盟《一般数据保护条例》（GDPR）的实施使全球数据治理格局发生变革。欧盟域内、外个人数据保护水平的实质等同是GDPR允许数据跨境流动的前提。民航业个人数据因其天然的全球流动属性成为GDPR的重要适用对象。目前,GDPR已实施5年有余,与《PNR指令》及相关协议之间的实质矛盾日益突出,《PNR指令》及相关协议的合规性受到质疑。多笔巨额罚款案件也在证实全球民航业面临着严峻的GDPR合规挑战。但是,未来中国民航业应当如何应对执法日趋严苛的GDPR尚不明确。根据对GDPR一般执法路径的实证总结,GDPR在民航领域的欧盟域外执法或将基于承诺和合作开展。未来,中国民航业在防范因违反GDPR而面临处罚风险的同时,也要借助GDPR加强民航数据的域外保护,促进PNR数据交换多边框架的建立,在求同存异的基础上与欧盟加强合作,构建中欧数据传输路径,探索数据跨境联合监管执法机制,推动全球数据治理中国方案的实现。