欧盟GDPR（又称《通用数据保护条例》）的制定为欧盟范围内的个人数据处理活动提供了明确的依据。但同时，欧盟各成员国之间的实际情况千差万别，不同行业中基于不同目的对个人数据进行的处理活动也不尽相同，单纯依靠欧盟GDPR统一的标准显然无法执行。因此，欧盟GDPR在条例中明确了各成员国、监管机构以及数据保护委员会等有关部门在内，根据不同企业的不同需求，应当制定相应的行为准则以供实施。

为防止行为准则制定过程中出现过于混乱的情形，欧盟GDPR中对行为准则的制定也明确了相应的要求。

首先，欧盟GDPR明确了起草行为准则的考量范围。根据该条例的规定，欧盟范围内各成员国、数据监管机构、欧盟数据保护委员会以及欧盟委员会鼓励各企业、协会就数据处理问题进行行为准则的起草。在起草行为准则的过程中，需要考量的因素包括数据处理过程中不同部门的行为特征，微型、小型以及中型经济主体的特定需求，以促进欧盟GDPR更好的实施为目的，进行行为准则的制定。

其次，欧盟GDPR中明晰了可以制定行为准则的主体，为能够代表数据控制者或者处理者的协会或者其他实体。因数据处理行为准则的约束对象对数据处理的实际操作者，即数据控制者或者数据处理者，因此欧盟GDPR考虑到实际可操作性的需求，明确将细化欧盟GDPR的行为准则制定权交由数据控制者及处理者进行。但考虑到一定范围内统一性的要求，欧盟GDPR明确行为准则的制定应由协会或者具有代表性的实体进行，并由数据监管机构及委员会进行监督，以确保行为准则的恰当制定及实施。

再者，根据欧盟GDPR的规定，并未一切事项均可由行为准则进行细化，欧盟GDPR对可以制定行为准则的范围也给予了明确的划定。行为准则中可以涉及到的事项主要包括：透明化及合理化的数据处理行为，特定情形下数据控制者被允许追求的正当利益，这里的正当利益既包括数据控者自身的正当利益，也包括数据控制者所追求的满足其他自然人需求的正当利益。此外，对个人数据的收集以及匿名化处理，作为数据处理过程的基础内容，由于行业以及目的的不同其差异性往往较大，因此也需要在行为准则中予以具体规定。

另外，提供给公共以及数据主体的信息，由于可能涉及到对作为数据主体的自然人的侵犯，因此也必须在行为准则中根据具体的需求予以明确规定。此外，数据主体权利的规定、将收集到的个人数据转移到第三国或者国际组织的行为、需要使用该个人数据所进行的诉讼行为以及保护儿童个人数据的特殊需求等，都需要在行为准则中予以进一步明晰，以期实现不同行业、不同层次的具象规定。

当然，行为准则制定的权利是欧盟GDPR赋予的，因此其无论怎样制定，必须遵循欧盟GDPR中对于个人数据处理及保护的原则性规定，从根本上实现对个人数据处理及保护的高度统一。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。