伴随欧盟GDPR（又称《通用数据保护条例》）的实施，数据保护的力度再一次得到加强。其中，数据保护机制的建立对于个人数据保护而言意义重大，其通过运作模式的合理化，使数据处理程序启动之前的数据保护得到进一步加强，起到了良好的预防作用。

数据保护机制的建立，主要针对数据控制者而言，其需要通过构建合理的运作模型达到对数据主体提供的个人数据的合理保护。根据欧盟GDPR的规定，数据保护机制主要分为两类——通过设计的数据保护以及默认的数据保护。此两类数据保护机制以不同的侧重点，通过一般与特殊相结合的方式，尽可能达到对于个人数据在处理过程中的全面保护。

一、数据保护机制之默认的数据保护

所谓默认的数据保护，是指控制者通过对自己现有技术以及组织措施的操控，达到在所有对个人数据处理的过程中，操作系统能够自动辨别，默认仅对实现该特定目的所必须的个人数据进行处理。即该操作系统能够自动将处理的个人数据的种类固定，将处理的个人数据的数量降到最低。同时，此种满足最低标准的数据筛选不是通过人为判断或者操控进行，而是通过特定的程序设置，使得系统能够自动对实现目的所必须的个人数据进行准确判断，尽量避免人为主观因素的介入，将客观性最大化。

当然，此种默认的数据保护机制并非适用于所有对于个人数据进行处理的过程，根据欧盟GDPR规定，此类默认的数据保护，主要应用于对于个人数据的收集数量、处理限度、储存期限以及可访问性的确认。前述几种情形往往具有较为明确的分界点，且通常情形下不同种类的个人数据处理中对于前述几项内容的处理差别往往并不大，因此通过默认的数据保护机制能够较好地达到数据保护的目的。同时，欧盟GDPR还特别强调，默认的数据保护机制中必须格外留意，此种措施必须确保在默认情形下，若无特殊介质的介入，例如内部人员对于系统的授权或者程序的更改等，该系统内的个人数据不得为不特定数量的自然人进行访问，以确保将接触该待处理或者正在处理的个人数据的人数降到最低，将风险置于可控范围之内。

二、数据保护机制之通过设计的数据保护

相较于默认的数据保护，通过设计的数据保护就更类似于一般与特殊关系中的特殊类型。在此种情形下，数据控制者往往需要根据数据处理情形的不同进行特定的调整，通过现阶段数据处理水平等相关技术的发展情形进行及时的改进，以确保该数据保护机制的完善性。

根据欧盟GDPR规定，在通过设计的数据保护中，必须结合该次数据处理的目的、语境、范围、性质，该次处理行为实施的成本、最新发展水平等诸多因素，还要兼顾此次处理可能对该个人数据主体造成的不利影响，在对处理方式作出决定时，采取恰当的技术及组织措施，并在处理过程中结合该次处理的实际情况不断进行调整，更好地符合欧盟GDPR对于数据保护的要求，同时也能够更好地保护数据主体的权利。通过设计的数据保护更侧重于在默认的数据保护之上，具体结合每次数据处理的特殊情形进行针对性补充，以达到双重保护的良好效果。

数据保护机制的构建作为数据控制者承担数据保护责任的有效方式，通过兼顾共性与个性的方式，实现对于个人数据的全方位保护，这也是欧盟GDPR对于个人数据保护的有效创新。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。