2014年12月4日，欧盟司法部长们齐聚布鲁塞尔参加部长理事会会议，讨论新的《一般数据保护条例》（GDPR）的计划。2012年1月，欧盟委员会以“达成共识后才能一致通过”原则提出了GDPR，部长们此次对GDPR的有些章节达成一致，他们之前对GDPR的其他领域也达成了类似的一致。

　　但是，欧盟各成员国在如何使它们相信新制定的用于规范数据保护的“一站式”机制将发挥作用方面存在巨大差异。

　　英国司法部长克里斯。格雷林（ChrisGrayling）在讨论时说部长理事会主席起草的一站式体制提案如果通过，这将让监管框架与所希望的精简系统截然相反。

　　主席建议数据保护案例可根据三种监管体系中的一种来处理，这取决于案例是地方性的案件，还是监管者能就处理方式达成一致意见的跨境案例，亦或是监管者无法就处理方式达成一致意见的跨境案例。

　　为Out-Law.com网站提供支持的品诚梅森律所的数据保护专家凯瑟琳。温（Kathryn Wynn）说：“主席提案的问题是在案件是否依据正确的监管程序处理问题上创造了卫星诉讼的可能。这些纠纷只是延长了案件的审理结果，同时剥夺了消费者迅速获得救济的权利以及使企业无法获得创新所需的法律确定性。”

　　规范数据保护的“一站式”机制的想法包含在欧盟委员会原有的GDPR草案中。委员会推出一个新框架，让企业避免与每个处理消费者个人数据的欧盟国家的数据保护机构交涉。它想创造一个新体系，让企业在欧盟境内只需应对一个数据保护机构--一般来说是其主营地所在的国家的数据保护机构。

　　欧盟委员会的计划包含一个一致的合作机制，企业主营地以外的数据保护机构在个人受所涉企业活动的影响时有自己的发言权。但是，根据这些计划，主导机构还是有必要采取监管行动。

　　但是，德国等国家强烈反对这些计划。主要是担心企业为了避免数据保护机构实施的最严格的数据保护规则而在欧盟选择其主营地方面会“不知何去何从”。

　　另外，部长理事会的律师去年警告称欧委会构想的“一站式”体制可能并没有适当认识到个人在欧盟法律下获取有效救济的权利。部长理事会主席一直在重建一站式提案，目的是让地方数据保护机构在影响其国内消费者权利的案件中有更多话语权。

　　根据最新的一站式提案，会根据不同的情况对数据保护事项进行不同的监管。如果数据保护问题只影响一个国家的消费者，那么一站式机制就不适用。这些案件将只能由当地的数据保护机构来处理。

　　按计划，一站式机制适用于“重要的跨境案件”。在这些案件中，企业主营地所在国的数据保护机构会带头进行调查，但欧盟其他司法管辖区的相关数据保护机构也会参与进来，条件是所涉企业在该国设有办公室或企业的个人数据处理严重影响了相关司法管辖区的消费者。

　　如果要对跨境案件中的企业采取行动，不同的数据保护机构不得不合作达成一致意见。对一致裁定产生法律效力要么是牵头的数据保护机构的工作亦或是当地数据保护机构，这将视情况而定。主席计划为企业或消费者制定一个让其将数据保护机构的裁决上诉至法院的机制。

　　但是，主席在提案中还设想了第三种判定数据保护案件结果的方式。如果数据保护机构彼此之间无法根据一站式机制对跨境案件中的企业采取行动达成一致，那么这些案件将交由争端解决机制处理。

　　该机制指的是一个新的欧盟数据保护委员会（EDPB），由欧盟所有的国家数据保护机构的代表组成，他们扮演着仲裁人的角色，可通过2/3的多数票采纳一项具有法律约束力的解决纠纷的裁决。根据计划，提交到EDPB的案件可上诉至欧洲法院（CJEU）或国家法院。

　　英国司法部长格雷林对主席提案的评价与爱尔兰司法部长的相同。他警告称有可能任何一件或每一件跨境案件都会提交到EDPB，其结果是案件会积压在监管机构或等待欧洲法院的最终判决。

　　格雷林表示欧盟国家应停止实施错误的一站式机制，不要仅仅为了在数据保护问题达成一致意见而这么做。他说赋予EDPB“具有法律约束力的权利”将使数据保护监管机制失去作用。

　　格雷林还表示主席的提案也没有符合近因判断标准，这是因为提案要求“在欧盟层面处理数据保护问题。”近因判断标准是欧盟法律所需的，目的是确保影响个人的法律裁定尽可能由本地做出。

　　其他商定的变革包括公共机构不得通过“合法权益”这一理由在未经个人许可的情况下处理个人数据。根据商定的提案，如果数据处理是企业或第三方为了追求合法权益所必须的，那么企业有权处理个人数据，除非这些权益被数据主体的权益或基本权利与自由推翻，尤其当数据主体为儿童时。

　　出于新的处理目的而使用个人数据的新规则也被认可。根据这些计划，企业应根据五大标准弄明白进一步处理数据的目的是否与最先收集数据的目的相符。

　　商定的提案指出：“数据管理者应考虑数据收集目的以及计划进一步处理的目的之间的关系；数据收集的环境；个数数据的性质；拟定的深加工对数据主体可能带来的影响；所存在的适当的保护。”

　　司法部长们同意一经推出，相关规则可阻止企业依据“合法权益”规则实施新的与个人数据收集目的不符的处理活动。这意味着企业在开展其新计划的活动时不得不获得新的许可，或依据GDPR中数据处理的另一个法律基础。

　　温表示：“主席有关‘合法权益’规则的提案反应了现有数据保护体制的行进方向，这在私营监管机构‘第29条工作组’之前发布的指南中可见一斑，指南思考了欧洲法院在谷歌搜索引擎一案中的裁定，指出在‘物联网’时代企业不能再依赖‘合法权益’规则处理个人数据。”

　　温说：“这是因为在物联网时代企业可从各种来源找出个人详细数据并拼凑在一起，最终创立人物简介，结果是企业以合法权益为由处理数据的要求可能被个人的权利推翻。因此，当组织利用物联网或大数据分析并创建非常详细的个人档案时，就很难以合法权益为由处理数据，这意味着许可才是符合要求的唯一途径。”

　　部长们还在与具体的个人数据处理活动有关的规范上达成一致，这包括记者和研究人员从事的活动或雇佣情况下的活动。

　　在对上述三种方式开展谈判前，部长理事会至少需要就数据保护改革事宜达成广泛一致，欧洲议会和委员会将负责GDPR的最后措辞。议会成员曾在今年早期发布的一个版本上达成一致。