5月25日，在欧盟成员国陆续完成本国法律修订之后，欧盟《一般数据保护条例》（GeneralDataProtectionRegulation,GDPR）开始正式生效，以取代1995年的《数据保护指令》。GDPR自2012年制订时起就引发了全球的关注和争议，如今正式实施，更是牵动了全球跨境企业的心弦。

新《条例》的目标与特点

随着大数据、云计算等技术的发展和广泛应用，“如何平衡个人数据隐私保护与数据利益”成为摆在各国政府和企业面前的一个重要命题。GDPR在此背景下应运而生，其主要目标和特点有：

强化数据保护。GDPR虽然沿用了《数据保护指令》在数据处理方面的“合法性”、“公平性”、“透明性”等核心原则，但又有所加强。比如在问责制度上严格了很多。从地域上看，不仅欧盟内部设立数据控制和处理企业受到管辖，对于欧盟以外的企业，只要从事与欧盟个人数据有关的业务，都在其保护范围之中。因此，其管辖范围极其广泛，不仅微软、谷歌、Facebook、阿里云这样的跨国企业受到影响，一些小企业也难以幸免。小米生态链公司智能灯具品牌Yeelight就暂时下线了其产品。

重视数据主体的控制权。GDPR大大增加了企业在数据控制与处理方面的义务，增强了个人对数据的控制权。比如，增加了数据主体的“同意”条件，只有经过其自愿做出具体、明确的同意才能进行数据处理。在适用范围上也非常广泛，“全自动、半自动，以及形成或旨在形成用户画像的非自动个人数据处理”，都在其保护范围之内。还有个人对数据的“访问权”、“限制处理权”、“拒绝权”、“可携带权”、“被遗忘权”等规定，都充分证明了欧盟这一里程碑式的立法对个人权利的尊重和保护。

相关报道: