GDPR延伸歐洲資料保護法的領域至所有處理歐盟住民的境外公司。^[8] GDPR使通行歐盟的資料保護規章一致，因此使歐洲以外的公司能夠更容易地遵守這些規章；然而代價是嚴格的資料保護規定，且有著公司全球收益4%或兩千萬歐元（擇高者）的高額罰款。^[9]

OECD 發表“個人数据隱私和跨境流動保護指南”，這是歐盟和美國批准的一系列建議，旨在保護個人数据和隱私的基本人權。最初於1980年9月23日通過法律，並且基於以下八大原則^[10]產生出後來的 GDPR 、95/46/EC。

取得限制 (Collection Limitation Principle)

個人資料的收集應存在適當的限制，進而以合法且公平的方式取得，並且透過適當的方法知會資料來源或者主體，再進一步取得同意。

資料品質 (Data Quality Principle)

個人資料應與其使用目的相關，並且在必要的範圍內，確保資料的準確性以及完整性，並隨時更新。

目的明確 (Purpose Specification Principle)

資料取得的目的應於收集資料時就清楚說明，並且在使用資料時，如果沒有通知來源主體，不得應用在和當初目的不相關的用途上

使用限制 (Use Limitation Principle)

除非經資料主體或法律授權，否則不得將個人資料用於原始或者特定目的以外之目的

安全防護 (Security Safeguards Principle)

個人資料應受到合理的安全保護措施之保障，以防止丟失或未經授權的訪問，破壞，使用，修改或披露数据等風險。

開放原則 (Openness Principle)

關於個人資料開發、應用方法，應有一個通用的開放政策去規範。並且資料主體可以輕鬆得取得關於其本身資料的細節，例如資料使用者的身份以及目的等等。

個體參與 (Individual Participation Principle)

資料主體擁有資料的取用權，也有資料的拒絕被使用權。此外也能夠質疑資料的正確性，並作出合理的處置(刪除、修改等)。

責任原則 (Accountability Principle)

資料持有者應對上述原則負責。

儘管歐盟在1995年制定了個人資料保護指令（Data Protection Directive），但當時網路並不普及，為了因應當前資料導向的潮流以符合現代時空環境，2016年通過 GDPR 取代了先前的法規，而主要變動如下:

增加管轄範圍、加強罰則

正因為網路無遠弗屆的特性，在以往指令的區域適用性含糊不清的情況下，常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍，不管公司所在位置為何，現在只要有使用到歐盟人民所擁有的資料，或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道，例如沒有足夠的客戶同意來處理数据或違反隱私設計概念的企業組織，將會被歐盟處以高達年度全球營業額的4％或2000萬歐元（以較高者為準）。值得注意的是這些規定同時適用於決策者以及「機器」，這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求資料使用權時，須以提供於理解且明確的說明，並且也要讓使用者易於要撤回同意。

適用對象

下列適用對象握有其客戶或成員相關資料，皆受 GDPR 管轄。

保護範圍

只要是一個人所能產生出的任何資料，幾乎都被重新定義為個人資料並受到保護。

1. 個人身份 - 電話號碼、地址、車牌等
2. 生物特徵 - 歷資料、指紋、臉部辨識、視網膜掃描、相片等
3. 電子紀錄 - Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄

法規基礎

GDPR的法规基础有：^[11]

1. 被遺忘權 (Right to be forgotten)：可以要求控制資料的一方，刪除所有個人資料的任何連結、副本或複製品。
2. 取用權 (Right to Access)：可向資料控制方，尋求關於使用者本身的資料之使用方法、地點及目的等等。此外控制方也應以電子形式提供資料的副本供擁有者參考。
3. 資料可攜權 (Right to data portability)：意思是用戶可以以通用、機器可讀的形式取得某一服務的資料，進而轉移到另外一個服務上
4. 隱私始於設計（英语：Privacy by design） (Privacy by design)：組織需要採納隱私設計的架構，在最初階段就對隱私及資料保護問題進行預測及因應，並且應對裝置及應用程式實施嚴格的身分驗證及授權機制。

企業責任

知悉個資遭侵害，需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。

由於 GDPR 大大擴展了其涵蓋範圍，因此受到了全球的廣泛關注，因為從以往地域上的限制，轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
受到影響的產業非常廣泛，影響甚大的產業有幾項:

醫療資訊

為了有效推動智慧醫療，許多病患的醫療資訊必須電子化，透過各種深度學習演算法去訓練模型，進而達成各種需求。而電子病歷所衍生的隱私問題，在高度安全的區塊鏈技術尚未普及的情況下，雖然可以透過去識別化（英语：Data de-identification）初步的過濾掉個人資訊，然而在以往尚無法律強制性的時期，卻也無從確實地在使用醫療資料上保障個人隱私。現在，基於 GDPR 的規定，取得醫療資料的前提是有取得病患的同意，雖然增加了一些程序，但資料安全與隱私的保障所帶來的益處，不僅能夠保障病患的基本權利，也能提升資料使用上的正當性。

網路零售

這是一個會處理大量個人可識別資訊之產業，包括跨境電商、連鎖商店、旅遊服務、餐飲，只要是替歐盟顧客服務，掌握信用卡資料、地址、基本個資，都屬於 GDPR 規範中。再加上網路服務隨之產生的資料之大，使其更首當其衝，這也正是為何蘋果等網路服務公司 也推出了個資管理系統，以因應 GDPR 修訂。

金融

金融機構持有大量個人可識別資訊，每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務，都可能受到影響。再加上歐盟在世界經濟中佔有第二大位，金流來往頻繁，更不用說近年區塊鏈技術的興起，資料隱私安全議題更是影響甚大。

航空運輸

航空運輸主宰當今人口移動的方式，旅客往返的機票、出入境資料也都涉及個人隱私。以台灣為例，華航、長榮兩家國營航空業者來說，目前在歐洲都有航點，不僅在海外設有辦公室，也需要頻繁處理大量旅客資料。

• 2012年1月25日: GDPR的提案发布。^[12]
• 2013年10月21日: 欧洲议会公民自由委员会（英语：European Parliament Committee on Civil Liberties, Justice and Home Affairs） (LIBE)进行了意向投票。
• 2015年12月15日: 欧洲议会、理事会和委员会之间的谈判(三部曲会议（英语：Formal trilogue meeting）)产生了一项联合提案。
• 2015年12月17日: 欧洲议会的LIBE委员会投票支持三部曲会议的谈判结果。
• 2016年4月8日: 欧洲联盟理事会通过^[13]。唯一投反对票的成员国是奥地利，该国辩称，与1995年的指令相比，数据保护水平在某些方面有所下降^[14][15]。
• 2016年4月14日: 欧洲议会通过。^[16]
• 2016年5月24日: 该条例在《欧盟官方公报》发布政府公报（英语：Government gazette）20天后生效。^[17]
• 2018年5月25日: 条例生效两年后，其规定直接适用于所有会员国。^[17]
• 2018年7月20日: 在欧洲经济区联合委员会（英语：EEA Joint Committee）和三个国家同意遵循该条例后，GDPR在欧洲经济区国家(冰岛、列支敦士登和挪威)^[18]生效。^[19]

引用

• Regulation (EU) 2016/679 of the European Parliament and of the Council （页面存档备份，存于互联网档案馆） 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
• GDPR簡介 （页面存档备份，存于互联网档案馆）（繁體中文）
• 帶你搞懂GDPR （页面存档备份，存于互联网档案馆）（繁體中文）
• 國家發展委員會歐盟GDPR法規 （页面存档备份，存于互联网档案馆）（繁體中文）