经过近四年讨论及两年过渡期，欧盟《通用数据保护条例》（以下简称《条例》）5月25日在欧盟全体成员国正式生效。这一新条例被认为是“世界史上最严格的个人数据保护条例”，最大特点在于限制企业对于个人用户数据的使用权。未来，大企业尤其是互联网公司在使用用户个人数据和隐私前必须先征得用户的同意。

对此，欧盟委员会负责司法、消费者权益等事务的委员朱洛娃表示：“我们需要新规则来应对新风险，这是我们立法的初衷。”

新生效的《条例》内容主要有三方面特点。首先，《条例》的管辖范围大幅提升，不仅适用于设立在欧盟境内的企业，也适用于在欧盟境外从事与欧盟公民信息相关的企业。而对业务流程的限制，则覆盖了收集、记录、存储、修改、使用、传播等与个人数据有关的几乎所有环节。随着大数据的发展，用户个人信息早已超出了姓名、年龄、职业等基本内容范畴。目前企业的每个用户一般有2000个左右的参数，新规将把所有这些个人信息参数纳入保护范围。

其次，《条例》的监管水平大大增强。根据《条例》，欧盟层面须设立数据保护委员会，用于处理涉及跨成员国的企业违规案件；欧盟成员国则将分别成立数据保护局，对企业的商业行为进行监管；企业必须任命数据保护官确保企业行为合规。此外，《条例》要求企业必须向监管机构提供处理个人信息的记录，包括目的、分类、时效等，一旦发现个人数据泄露，必须在72小时内向相关机构报告。

第三，《条例》的惩罚力度空前提高。新规规定，根据企业的违规程度，最高可处以2000万欧元（1欧元约合7.5元人民币）或企业上一年度营业额4%的罚金（以金额高者为准）。这也是该条例被称为史上最严数据保护法规的另一个原因。

业内人士特别提醒，无论企业是否在欧盟境内，只要与欧盟企业发生业务往来，或涉及存储、处理、交换任何欧盟公民的数据，都在该条例的管辖范围之内。