经过近四年的讨论以及两年的过渡期，5月25日，欧盟《通用数据保护条例》在欧盟全体成员国正式生效。这一新条例被认为是“世界史上最严格的个人数据保护条例”，将给欧盟公民的个人数据保护带来革命性的变化。

https://v.qq.com/txp/iframe/player.html?vid=l0665grfuad&width=500&height=375&auto=0△视频：欧盟“最严”数据保护新规生效

“最严”新规大幅拓展“个人数据”定义

《通用数据保护条例》以欧盟法规的形式确定了个人数据保护原则和监管方式，以取代欧盟1995年出台的《个人数据保护指令》，具有更强的法律效力。

据悉，欧盟《通用数据保护条例》大幅拓展了对于“个人数据”的定义，除了姓名、住址、身份证号码以及网络IP地址这些常规信息外，还包括了指纹、虹膜这些生物识别数据，以及种族和宗教信仰等信息。

新条例全面加强了对个人数据的保护，并大幅提升了企业的数据保护责任。企业和机构在收集或使用个人数据之前，必须用通俗的语言向用户说明用途，并取得用户的授权。如用户年龄在16岁以下，则必须征得其家长的同意，否则就被视作违法行为。一旦发生数据泄露，企业必须在72小时内向政府报备。舆论普遍认为，欧盟《通用数据保护条例》的实施，使得欧盟对于个人数据的保护及监管达到了前所未有的高度。

与欧盟企业有业务往来者皆受条例管辖

条例生效后，违规企业将可能会面临高额的罚款，最高罚款金额可达到2千万欧元，或者企业全球营业收入的4%，并以其中较高者为准。这也是该条例被称为史上最严数据保护法规的另一个原因。

业内人士特别提醒，无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都在该条例的管辖范围之内。

专家：推动有关企业实现思维转换

毛里齐奥·门西在罗马路易斯大学教授信息通信法已有十多年，他曾在欧盟总部的法务部门工作，还担任过7年的意大利通信行业监管协会法务部门主管。门西教授在接受央视记者采访时表示，欧盟《通用数据保护条例》生效，能够让民众更加充分掌握个人隐私数据的处理方式，以及享有由其衍生的各项数据主体权利。

从整个欧盟层面来看，门西教授认为制订此条例的主要目的是在欧盟统一市场内创建通用的、适用于所有企业及组织机构的个人信息处理规则，避免了多个国家在该领域的法律监管上各自为政。

毛里齐奥·门西

条例的意义是使法律变得更加“隐私友好”，旨在更好地保障公民个人信息处理权，这些不仅仅是一系列精确的条款，更是让企业在风险控制及核定上实现思维的转换。

《通用数据保护条例》生效后，门西教授认为对企业而言最为敏感复杂的便是对违反条例的高额处罚。相比之前的有关条例，大大提高了企业在处置个人数据方面的违法成本。但在他看来，虽有两年的适应期，在意大利占绝大多数的中小企业完全了解并对此条例进行合规调整仍将需要一定的时间。

毛里齐奥·门西

在我看来，主要是中小企业可能在适应此条例上会有一些问题，尽管他们对这个条例都很重视，但是调整和适应是需要调动资源的，中小企业对此并不一定有充足的储备，所以最重要的是让中小企业去了解这个条例的内涵，及时去适应。我观察到，为了应对这个迫切需要，各个层级的企业也已经行动起来了，例如很多企业在不间断地进行培训工作等等。

此外，欧盟针对信息安全领域的一揽子法律条例，例如《网络及信息安全指令》，与此次颁布的《通用数据保护条例》互为补充，有助于构建一个覆盖更为全面的网络安全监管体系。

针对此条例是否会被欧盟以外的地区大范围采用及实施，门西教授认为，虽然在2018年才正式生效，但是条例历经的制订、协商、过渡期，旷日持久，并不与当下的网络环境保持完全同步。在当前飞速发展的网络时代，欧盟外的国家可以仔细研究其条款，与时俱进，根据自身具体情况加以借鉴。

中国是如何保护个人数据的？

在中国，《全国人民代表大会常务委员会关于加强网络信息保护的决定》于2012年12月发布并生效，《中华人民共和国网络安全法》于2017年6月1日生效，以上两种法规均包含对数据隐私保护的要求。2018年1月24日，《信息安全技术个人信息安全规范》全文在国家标准全文公开系统上线，5月1日正式实施。该规范属于推荐性国家标准，对个人信息的收集、保存、使用、转让等环节进行了规定。

网络安全专家指出，数据的所有权应该归用户所有。互联网公司只是对这些数据进行临时托管，用户应有知情权和选择权。互联网公司应该告知用户，采集了什么数据，怎么使用这些数据，这是知情权。而用户在享受互联网公司服务的时候，可以接受，也可以拒绝，这是有选择权；互联网公司同时应保护好用户的数据，有责任把数据很好地存储和传输，并进行加密，不应该做出超出范围的采集、存储、传输以及使用。否则用户无论打车、叫外卖，还是看视频，甚至是上传照片，消费者都有可能泄露自己的信息。

专家表示，目前信息泄露时有发生，但相应的技术安全规范和要求仍未出台，公民的个人信息仍处于“危险期”。因此，无论是网络平台、电信运营商、立法部门还是执法机关，都应该努力协作，利用新技术架起一道防火墙。

▌本文来源：央视新闻、东方网