《欧盟个人数据保护制度：<一般数据保护条例>》对欧盟《一般数据保护条例》（GDPR）的具体适用做了全面、系统的介绍和评述，包括GDPR的适用范围、个人数据的隐私权内涵、个人数据处理的主要原则和法律基础，数据主体的权利、数据控制者的义务和数据保护官的职责，以及诸如广告营销、刑事案件、雇佣关系、产品设计保护、数据跨境流动等特殊场景的个人数据保护问题。
　　对从事欧盟个人数据保护实务及研究的企业、律师和学者而言，《欧盟个人数据保护制度：<一般数据保护条例>》及时提供了欧洲数据保护机构多年来针对个人数据保护问题的众多判例法、指南和新实践。我国理论界和实务界也可以借之更好地理解GDPR相关规则的历史源流和具体适用，确定适当的数据合规策略，或开展对应的研究。

　　★欧盟的《一般数据保护条例》（GDPR）在个人数据保护的成文法上为世界各国做出了表率，也成为各国相关法律制定的参考。本书作者深度剖析了GDPR的制定背景、个人数据保护的法理基础以及对主要内容的解读，更加有利于读者全面客观认识和理解GDPR。感谢本书译者的专业精神和精彩翻译，及时将这部专著呈现给读者。特别是我国《个人信息保护法》的制定和实施都有借鉴这部条例，社会各界更应该多角度、多方位了解对GDPR的深度评析，本书值得研读。
　　——张平北，京大学法学院教授、博士生导师
　　
　　★欧盟《一般数据保护条例》是当今世界上影响极大的个人数据保护立法，其关于管辖范围、个人数据处理的法律基础、数据主体的权利、处理者的义务、跨境数据传输等内容的规定都极具特色，对很多国家的相关立法产生了重要影响。我国《民法典》《个人信息保护法》也充分吸收借鉴了该条例的不少优秀立法成果和经验。张韬略教授翻译的《欧盟个人数据保护制度》是由欧盟学者独著的、全面分析研究《一般数据保护条例》的佳作，值得推荐给每一位想学习研究该条例的读者！
　　——程啸，清华人学法学院副院长、教授、博士生导师

　　《欧盟个人数据保护制度：<一般数据保护条例>》：
　　如果数据控制者没有根据数据主体的请求采取行动，则必须立即、毫不延迟地告知数据当事人，并且最迟应在收到请求之后的一个月内，告知数据主体其不采取行动的原因，同时告知数据主体向监管部门提起投诉并寻求司法救济的可能性（第12条第4款）。
　　《一般数据保护条例》在提出和回应请求的形式要求方面非常灵活：它们可以采取书面或其他形式（包括口头形式，前提是该请求的性质证明了这种形式是合理的，在这种情况下必须通过其他方式确认数据主体的身份）。在采用电子形式的情况下，除非有操作的可能性以及除非数据主体另有要求（第12条第1款和第3款），否则数据控制者也必须以电子形式答复。但是，数据控制者有义务采取程序，防止向无权获得信息但正在使用数据主体身份者，例如正从数据主体使用其名称设置的电子邮件地址向外发送请求的人，提供信息或应其请求采取行动。根据表面上是由数据主体提出的请求，就提供相关信息或轻率地采取其他行动，不仅可能导致个人数据泄露，而且可能使犯罪分子窃取到数据主体的身份，方便其网络欺诈（也即使用数据主体的数据，冒充其身份并获得他/她的电子邮件或电子银行登录凭据），或造成其他的伤害。
　　由于这个原因，数据控制者只有在确定所涉邮件地址是属于数据主体之后，才可以回复该电子邮件地址，例如，该地址是由身份已经核实的数据主体在数据控制者办公室签署数据协议时所给出的。同样的原则也适用于口头答复，如果数据主体提出过口头答复的要求，并且已确认了数据主体的身份，则允许口头答复。
　　《一般数据保护条例》第12条第2款提到了这种情况。根据该规定，在数据控制者无权识别数据主体的情况下，针对数据主体提出的行使根据该条例第15-22条享有的权利的请求（尽管实质上，仅当该请求不会导致数据泄露给未经授权的人或将数据主体的邮件重定向到未经授权的地址的风险，或其他类似风险时），数据控制者不得拒绝采取行动。然而，如果存在侵犯数据主体权利的风险，并且数据控制者证明无法识别数据主体（尽管如果数据控制者对请求者的身份有合理的怀疑，可以要求提供其他必要信息以确认该人的身份），那么面对数据主体访问数据、更正数据或采取其他行动的请求，数据控制者可以拒绝采取行动。
　　但是，就反对为营销而处理数据而言，我认为一律否认从未经验证的地址所发出的反对意见的效力，是没有道理的。依我之见，如果在特定情况下不存在泄露顾客信息的风险，并且没有理由怀疑该请求是欺诈行为的组成部分，那么就应该遵守该反对意见。如果无法确认提出请求的人，那么《一般数据保护条例》第11条第2款可以免除该条例第15-20条的适用，但并不排除该条例第21条的适用。这意味着身份未确定的请求人可能无法访问数据主体的个人数据或纠正此类数据。这是有道理的，否则的话，未经授权的接收者将可以访问受保护的信息，或者更改数据主体的联系地址，然后接收发给该数据主体的信息。但是，《一般数据保护条例》第21条没有规定这种豁免。因此，如果（身份未确定的请求人）只是表示反对出于营销目的进行数据处理，而且这样做不会带来个人数据泄露的风险，并且情况表明并无故意的违法犯罪行为，那么应当是允许的。
　　《一般数据保护条例》序言第63条建议，通过安全的信息技术系统为数据主体提供其个人数据的直接远程访问。该解决方案已经被银行、电信或学校广泛使用。实践中，它还包括由数据控制者的消费者自行编辑个人数据或管理自己的付款的可能性。这不仅确保了透明度，而且还减轻了数据控制者进行某些操作的负担，因为这种情况下直接向数据控制者发出数据访问请求就变得多余了。但是，必须考虑到，允许消费者编辑自己的数据会带来一定的风险。修改联系人的详细信息（尚未以任何方式验证过，但被接受为交流信息之用）并不会带来重大风险；另一方面，更改身份证号码可能会导致错误或安全漏洞。
　　……