GDPR 通用数据保护条例 General Data Protection Regulation

GDPR（Regulation EU 2016/679）于 2018 年 5 月 25 日正式实施，取代 1995 年的数据保护指令。它适用于在欧盟境内处理个人数据的任何组织，包括欧盟外向欧盟用户提供服务的实体（域外效力）。核心原则有目的限制、数据最小化、用户同意、可携权、被遗忘权与 72 小时数据泄露通报。最高罚款为全球年营业额 4% 或 2000 万欧元，取高者。与美国的分散式立法不同，GDPR 是统一框架，并已被多国模仿（巴西 LGPD、英国 UK GDPR、韩国 PIPA 等）。截至目前累计开出罚款数十亿欧元，亚马逊、Meta 均收到 7 亿欧元以上罚单。