正在与欧盟做生意的中国企业都准备好了吗?因为欧盟《通用数据保护条例》(General Data Protection Regulation，简称GDPR，)已于5月25日正式生效了。

据了解，GDPR此前历经了长达四年的讨论，于2016年4月在欧洲议会上正式通过，将完全替代1995年的《欧盟数据保护指令》(Directive 95/46/EC)。该条例被称为“史上最严”，主要体现在：首先，设定了天价罚款，至少1000万欧元或企业上一财年全球营业总额的2%-4%，并以较高者为准;其次，大幅拓展了对于“个人数据”的定义，除了姓名、住址、身份证号码以及网络IP地址这些常规信息外，还包括了指纹、虹膜这些生物识别数据，以及种族和宗教信仰等信息。最后，全面加强了对个人数据的保护，并大幅提升了企业的数据保护责任。

当然，GDPR从颁布到正式生效，期间存在一定的过渡时间，方便企业对自己相关隐私条款进行必要的修改。截至目前，包括华为、阿里巴巴、腾讯在内的中国企业都已经在GDPR生效前修改了各自的隐私条款，而且与国外其他企业一样通过电子邮件等形式将更新后的条款告知于用户。

但是这远远不够。随着全球化日渐加深，中国与欧盟之间的合作范围也在不断地扩展，比如终端、电子商务、互联网服务、金融等领域都有涉及，特别是手机终端、支付宝、微信等软硬件无时无刻不在收集用户的个人数据。前不久爆发的Facebook用户数据泄露事件恰恰就是这一方面的典型案例。

因此对于中国企业而言，尤其是继续在欧盟国家开展业务的公司，在GDPR生效之后，要严格执行修订后的隐私保护条例，形成用户使用、保护机制，及时发现和反馈公司运营期间遇到的一系列情况，避免触及GDPR的监管红线。在这方面，国外网站的做法具有一定的参考价值，即在网站首页设置警告，提示用户该网站如何收集和使用Cookie信息。不过遗憾的是这一做法国内效仿者寥寥，特别是那些在欧盟国家开展业务的中小型民营企业，甚至这些企业连隐私条款都不全面，显然这存在着一定的风险，需引起相关企业的注意。

事实上，不仅是欧盟，全世界其他国家和地区均有相关法例用以保护用户的网络数据和隐私安全。就在GDPR生效之前，中国已于5月1日正式实施了《信息安全技术个人信息安全规范》，该规范属于推荐性国家标准，对个人信息的收集、保存、使用、转让等环节进行了规定。而去年生效的《中华人民共和国网络安全法》也包含对数据隐私保护的要求。

不过值得注意的是，尽管中国已经立法保护用户隐私，但是互联网企业涉嫌违规使用用户数据的报道时常见诸报端，最近一起就是国内某些App利用大数据“杀熟”的事情。为此，网络安全专家指出，数据所有权归用户所有，互联网公司有义务在获得用户许可之下，合法合规的使用相关数据，并告知用户这些数据的使用情况。与此同时，互联网公司有责任保护好用户数据的安全，防止数据泄露。

GDPR是镜子，反映的是企业保护用户隐私的力度;是借鉴，为全球其他国家相关法律法规的修订提供有益的参考，更为那些对用户数据和隐私保护不够重视的企业敲响了警钟。