據(jù)香港《文匯報》報道，令全球企業(yè)聞風(fēng)喪膽的歐盟《通用數(shù)據(jù)保障條例》(GDPR)5月25日正式生效，今后全球企業(yè)無論大小或者是否在歐盟設(shè)立機(jī)關(guān)，只要業(yè)務(wù)可能涉及處置歐盟人士個人資料，或者向歐盟人士提供服務(wù)，便必需受條例監(jiān)管。

GDPR早于2016年已完成立法程序，經(jīng)過兩年過渡期后今日正式生效，并代替1995年的《數(shù)據(jù)掩護(hù)指令》。新條例規(guī)定所有實用企業(yè)向客戶收集資料前，必需提供不長于一頁、用通俗語言寫成的表格，解釋收集數(shù)據(jù)的方法和征得客戶批準(zhǔn)，并重新征求現(xiàn)有客戶批準(zhǔn)。

種族信仰納用戶數(shù)據(jù)領(lǐng)域

新條例亦拓展了有關(guān)網(wǎng)絡(luò)用戶數(shù)據(jù)的定義，除了姓名、證件號碼、地址和網(wǎng)絡(luò)IP地址等常規(guī)個人資料外，還將反映種族、宗教信仰甚至性取向的資料，都納入保障規(guī)模。條例更賦予客戶“被遺忘權(quán)”、數(shù)據(jù)“可攜帶權(quán)”和“刪除權(quán)”等權(quán)力，企業(yè)亦有任務(wù)採取一切合理辦法，刪除或改正不準(zhǔn)確的個人資料。

科技巨擘天價罰則

GDPR不但“管得嚴(yán)”，更是“管得廣”、“罰得狠”。條例規(guī)定任何未有採取辦法避免或降低侵占私隱風(fēng)險的企業(yè)，最高可罰款1,000萬歐元(約9,204萬港元)或全球營業(yè)額的2%(以較高者為準(zhǔn));違背個人資料收集和使用基礎(chǔ)原則，以及沒有保障客戶權(quán)力的企業(yè)，最高可罰款2,000萬歐元(約1.84億港元)或全球營業(yè)額4%(以較高者為準(zhǔn))。對于Google或facebook等跨國科網(wǎng)企業(yè)而言，一旦被裁定違例，罰款將動輒以十億歐元計。

法例一刀切歐小企呻苦

GDPR更擁有壯大歐盟域外管轄權(quán)，不僅注冊地或總部在歐盟的企業(yè)受規(guī)管，所有“地理上”位于歐盟外的企業(yè)，只要向歐盟人士提供產(chǎn)品、服務(wù)，或持有、處置歐盟人士的數(shù)據(jù)，都必需遵照條例。換言之，一家香港的網(wǎng)上商店如果接受歐盟人士訂單，便會受到條例監(jiān)管。

近兩星期以來，Google等跨國企業(yè)已先后向用戶發(fā)信，提示新私隱條例生效，但不少人手相對不足的小企業(yè)卻疲于奔命，相干法律開支大增。奧地利律師施雷姆斯批駁，歐盟一刀切對所有企業(yè)推行新規(guī)例，未有豁免中小企，只會制作大批灰色地帶，獲益的將是大企業(yè)。