ROPA 是 Records of Processing Activities，即 “个人数据处理活动记录”。它不是普通的数据资产清单，也不是隐私政策，而是 GDPR 下控制者和处理者用于证明其数据处理活动合规的“数据台账”。

一、证明问责制的抓手

GDPR 不只要求企业合规，还要求企业能够证明自己合规。ROPA 是 Article 5(2) accountability 的基础证据。

二、记录所有个人数据处理活动

包括处理目的、数据主体类别、个人数据类别、接收方、跨境传输、保存期限、安全措施等。

三、支持监管检查

Article 30 明确要求，监管机构要求时，控制者或处理者应提供 ROPA。

四、支撑 DPIA、数据出境、供应商管理、删除保留、数据主体权利响应

没有 ROPA，很难判断哪些处理活动需要 DPIA，哪些数据出境，哪些供应商接收数据，哪些数据应删除。

五、区分 Controller ROPA 与 Processor ROPA

数据控制者记录的是自己责任范围内的处理活动；数据处理者记录的是代表每个控制者实施的处理类别。

六、不是一次性文档，而是持续更新的运行机制

新系统上线、新增字段、新供应商、新目的、新跨境传输、保存期限变化、算法/画像变化，都应触发 ROPA 更新。