这一条例全面加强了欧盟所有网络用户的数据隐私权利,明确提升了企业的数据保护责任,并显著完善了有关监管机制。
新条例拓展了有关网络用户数据的定义范围,除了姓名、证件号码、地址和网络IP地址等常规个人信息,还将反映种族、宗教信仰甚至性取向的信息都纳入了保护范围。条例赋予了用户“被遗忘权”、数据“可携带权”等权利,大幅增强了对个人数据的保护。
条例还要求企业必须以合法、公平和透明的方式收集处理信息,必须用通俗的语言向用户解释收集数据的方式,且企业有义务采取一切合理措施删除或纠正不正确的个人数据。
条例将不仅对位于欧盟内的企业发生效力,对于欧盟域外企业,无论企业在欧盟境内有无分支机构,只要它们存储、处理、交换任何欧盟个人的数据,也在这一条例的管辖范围之内。
针对违规行为,新条例的处罚力度极大。理论上,违规企业最高可能受到2000万欧元或全球营业额4%(以较高者为准)的罚款。欧盟各成员国监管机构的检查权、执法权、处罚权以及司法诉讼权等内容,以及欧盟层面的监管机构等,都在条例中得以明确界定。
《通用数据保护条例》于2016年在欧洲完成立法程序,在两年的过渡期后将于5月25日正式生效,并将取代1995年的《数据保护指令》。近期,欧盟网络用户已纷纷收到各大互联网公司基于这一新条例修改后的用户协议。