欧盟通用数据保护条例（GDPR）

定义

通用数据保护条例（GDPR, General Data Protection Regulation）是欧洲联盟（EU）通过的一项具有里程碑意义的法律，旨在规范组织如何收集、处理、存储和保护欧盟境内居民的个人数据。 

该条例自 2018 年 5 月 25 日起生效，它取代了过时的 1995 年《数据保护指令》，并为数字时代的数据隐私设定了全球最高的标准之一。 

GDPR 的主要目标包括：

• 增强个人控制权： 赋予欧盟公民对其个人数据更多的控制权和权利（如访问权、删除权即“被遗忘权”、数据可携权等）。

• 统一法规： 在整个欧盟范围内建立统一的数据保护法律框架，简化跨国企业的合规流程。

• 问责制与透明度： 要求处理个人数据的组织提高透明度、明确告知数据收集目的，并对数据处理活动负责。

• 严格的处罚： 对违规行为处以严厉罚款，最高可达 2000 万欧元或公司全球年营业额的 4%（以较高者为准），具体取决于违规严重程度。 

适用范围

GDPR 具有“长臂管辖”效力，其适用范围非常广泛。无论公司注册地在哪里，只要它满足以下任一条件，就必须遵守 GDPR： 

• 在欧盟境内设有分支机构。

• 向欧盟境内的居民提供商品或服务（无论是否收费）。

• 监控欧盟境内居民的行为（例如通过 Cookie 或在线追踪）。