《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation,簡稱GDPR）為歐洲聯(lián)盟的條例,前身是歐盟在1995年制定的《計算機(jī)數(shù)據(jù)保護(hù)法》。

2018年5月25日,歐洲聯(lián)盟出臺《通用數(shù)據(jù)保護(hù)條例》。

歐盟議會于2016年4月14日通過的《通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulations）》（“GDPR”）將于2018年5月25日在歐盟成員國內(nèi)正式生效實施。

該條例的適用范圍極為廣泛,任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機(jī)構(gòu)組織均受該條例的約束。

比如,即使一個主體不屬于歐盟成員國的公司（包括免費(fèi)服務(wù)）,只要滿足下列兩個條件之一：。

（1）為了向歐盟境內(nèi)可識別的自然人提供商品和服務(wù)而收集、處理他們的信息。

（2）為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息,其就受到GDPR的管轄。

GDPR的地域適用范圍。

歐洲隱私法律的地域適用范圍正在通過GDPR不斷擴(kuò)大。

而正是由于這種適用范圍的擴(kuò)大,位于歐盟境外、不受現(xiàn)行歐洲隱私法律規(guī)制的許多組織也將隨著GDPR的實施而不得不適用歐盟隱私法律。

GDPR要求這些組織及時對GDPR的“合規(guī)”要求作出回應(yīng)。

第一,GDPR適用于在歐盟境內(nèi)設(shè)有業(yè)務(wù)機(jī)構(gòu)（establishment）的組織,只要這些組織在業(yè)務(wù)機(jī)構(gòu)在歐盟境內(nèi)的活動中處理個人數(shù)據(jù)（而不論此類處理行為是否實際發(fā)生在歐盟境內(nèi)）。

對“場地（location）”這一概念的解釋必須寬泛、靈活。

要求是通過可持續(xù)場地進(jìn)行有效、真實的活動（小型活動即可）。

法律形式（例如分公司或具有法人資格的子公司）并不是決定性因素。

因此,在歐盟境內(nèi)設(shè)有唯一代表即足以符合適用條件。

并不要求個人數(shù)據(jù)處理行為必須由該業(yè)務(wù)機(jī)構(gòu)自身進(jìn)行。

但是要求此類處理行為必須是在業(yè)務(wù)機(jī)構(gòu)的活動中發(fā)生的（通常是同時具備上述兩個特點(diǎn),但必須始終滿足此句所述條件）。

如果業(yè)務(wù)機(jī)構(gòu)的活動與母公司的活動密不可分（例如,業(yè)務(wù)機(jī)構(gòu)存在的目的就是為了母公司的經(jīng)濟(jì)效益）,則相關(guān)的個人數(shù)據(jù)處理行為就應(yīng)當(dāng)受到GDPR的規(guī)制。

因此,如果業(yè)務(wù)機(jī)構(gòu)（例如分公司或聯(lián)絡(luò)代理）的活動與位于歐盟境外的組織進(jìn)行的個人數(shù)據(jù)處理密不可分,則應(yīng)當(dāng)適用GDPR。

第二,如某一組織雖不在歐盟境內(nèi)設(shè)立業(yè)務(wù)機(jī)構(gòu),但卻處理歐盟境內(nèi)個人的個人數(shù)據(jù),并且此類處理行為與向歐盟境內(nèi)個人提供商品或服務(wù)相關(guān),無論該等商品或服務(wù)是否收費(fèi),則也應(yīng)當(dāng)適用GDPR。

如果非歐盟組織機(jī)構(gòu)意圖向歐盟境內(nèi)個人提供商品或服務(wù),則其將被視為在歐盟境內(nèi)提供商品或服務(wù)。

僅僅是能從歐盟境內(nèi)訪問網(wǎng)站或其聯(lián)系方式或使用該組織設(shè)立國家常用的語言原則上不足以被視為有上述意圖。

使用一個或多個成員國的語言和/或貨幣、來自歐盟客戶（例如在網(wǎng)站上）的推薦、使用搜索引擎中針對一個或多個成員國的廣告和/或使用頂級域名（例如.eu或.nl）可能導(dǎo)致商品或服務(wù)被視為在歐盟境內(nèi)提供。

第三,GDPR適用于非歐盟組織處理歐盟境內(nèi)個人的個人數(shù)據(jù),只要此類處理行為涉及對這些個人的行為進(jìn)行監(jiān)控,且該處理行為發(fā)生在歐盟。

如果（尤其是）為了作出與這些個人有關(guān)的決定或者為了分析或預(yù)測其個人喜好、行為和態(tài)度,而在互聯(lián)網(wǎng)上追蹤這些個人,且在此過程中使用了處理技術(shù)來形成畫像等,則構(gòu)成監(jiān)控行為。

目前尚不清楚監(jiān)控行為到何種程度才適用GDPR。

原則上,使用所謂的“追蹤cookies”和監(jiān)控使用的應(yīng)用程序的網(wǎng)站在GDPR的適用范圍內(nèi)（只要該等網(wǎng)站處理個人數(shù)據(jù)）。

歐洲法院最近裁定,在某些情況下,動態(tài)IP地址也可視為個人數(shù)據(jù)。

因此,存儲動態(tài)IP地址日志數(shù)據(jù)的網(wǎng)站的所有者也可能受GDPR的規(guī)制。