《通用数据保护条例》（GDPR）生效时间：2018 年 5 月实施，欧盟数据隐私保护的基础性立法。核心目标：以自然人权利为核心，构建个人数据全生命周期保护框架。关键要点：仅规制可识别自然人的 “个人数据”；赋予数据主体访问、删除、更正等权利；违规最高罚全球营业额 4% 或 2000 万欧元。

《数据法案》（Data Act）生效时间：2024 年 1 月生效，2025 年 9 月全面适用，欧盟激活数据经济的核心工具。核心目标：规范数据访问与共享规则，打破垄断，释放数据要素价值。关键要点：覆盖非个人数据与个人数据（需兼容 GDPR）；赋予用户数据访问、云迁移等权利；禁止不公平数据条款。

GDPR 与《数据法案》在数据获取共享、迁移、紧急调取等场景中，围绕数据主体权益、处理规范及效率形成协同。GDPR 核心聚焦数据主体权益与安全，要求操作前验证用户身份、履行通知义务，处理个人数据需采取加密、匿名化等安全措施，避免泄露或识别自然人。《数据法案》侧重流通标准化与效率，明确数据提供、迁移需遵循标准化接口和行业格式，限定数据迁移、紧急调取的完成时限，同时禁止收取不合理费用、限制用户授权第三方访问。

GDPR 与《数据法案》构成欧盟 “隐私保护 - 价值释放” 的二元治理体系：前者以 “权利优先” 守住数据使用的底线，后者以 “流通公平” 打开数据价值的天花板。两者并非替代关系，而是通过 “GDPR 优先、场景互补、执法协同” 的规则设计，既防范数据滥用风险，又破除数据流通壁垒。