據香港《文匯報》報道，令全球企業聞風喪膽的歐盟《通用數據保障條例》(GDPR)5月25日正式生效，今后全球企業無論大小或者是否在歐盟設立機關，只要業務可能涉及處置歐盟人士個人資料，或者向歐盟人士提供服務，便必需受條例監管。

GDPR早于2016年已完成立法程序，經過兩年過渡期后今日正式生效，并代替1995年的《數據掩護指令》。新條例規定所有實用企業向客戶收集資料前，必需提供不長于一頁、用通俗語言寫成的表格，解釋收集數據的方法和征得客戶批準，并重新征求現有客戶批準。

種族信仰納用戶數據領域

新條例亦拓展了有關網絡用戶數據的定義，除了姓名、證件號碼、地址和網絡IP地址等常規個人資料外，還將反映種族、宗教信仰甚至性取向的資料，都納入保障規模。條例更賦予客戶“被遺忘權”、數據“可攜帶權”和“刪除權”等權力，企業亦有任務採取一切合理辦法，刪除或改正不準確的個人資料。

科技巨擘天價罰則

GDPR不但“管得嚴”，更是“管得廣”、“罰得狠”。條例規定任何未有採取辦法避免或降低侵占私隱風險的企業，最高可罰款1,000萬歐元(約9,204萬港元)或全球營業額的2%(以較高者為準);違背個人資料收集和使用基礎原則，以及沒有保障客戶權力的企業，最高可罰款2,000萬歐元(約1.84億港元)或全球營業額4%(以較高者為準)。對于Google或facebook等跨國科網企業而言，一旦被裁定違例，罰款將動輒以十億歐元計。

法例一刀切歐小企呻苦

GDPR更擁有壯大歐盟域外管轄權，不僅注冊地或總部在歐盟的企業受規管，所有“地理上”位于歐盟外的企業，只要向歐盟人士提供產品、服務，或持有、處置歐盟人士的數據，都必需遵照條例。換言之，一家香港的網上商店如果接受歐盟人士訂單，便會受到條例監管。

近兩星期以來，Google等跨國企業已先后向用戶發信，提示新私隱條例生效，但不少人手相對不足的小企業卻疲于奔命，相干法律開支大增。奧地利律師施雷姆斯批駁，歐盟一刀切對所有企業推行新規例，未有豁免中小企，只會制作大批灰色地帶，獲益的將是大企業。