据香港《文汇报》报道，令全球企业闻风丧胆的欧盟《通用数据保障条例》(GDPR)5月25日正式生效，今后全球企业无论大小或者是否在欧盟设立机关，只要业务可能涉及处置欧盟人士个人资料，或者向欧盟人士提供服务，便必需受条例监管。

GDPR早于2016年已完成立法程序，经过两年过渡期后今日正式生效，并代替1995年的《数据掩护指令》。新条例规定所有实用企业向客户收集资料前，必需提供不长于一页、用通俗语言写成的表格，解释收集数据的方法和征得客户批准，并重新征求现有客户批准。

种族信仰纳用户数据领域

新条例亦拓展了有关网络用户数据的定义，除了姓名、证件号码、地址和网络IP地址等常规个人资料外，还将反映种族、宗教信仰甚至性取向的资料，都纳入保障规模。条例更赋予客户“被遗忘权”、数据“可携带权”和“删除权”等权力，企业亦有任务採取一切合理办法，删除或改正不准确的个人资料。

科技巨擘天价罚则

GDPR不但“管得严”，更是“管得广”、“罚得狠”。条例规定任何未有採取办法避免或降低侵占私隐风险的企业，最高可罚款1,000万欧元(约9,204万港元)或全球营业额的2%(以较高者为准);违背个人资料收集和使用基础原则，以及没有保障客户权力的企业，最高可罚款2,000万欧元(约1.84亿港元)或全球营业额4%(以较高者为准)。对于Google或facebook等跨国科网企业而言，一旦被裁定违例，罚款将动辄以十亿欧元计。

法例一刀切欧小企呻苦

GDPR更拥有壮大欧盟域外管辖权，不仅注册地或总部在欧盟的企业受规管，所有“地理上”位于欧盟外的企业，只要向欧盟人士提供产品、服务，或持有、处置欧盟人士的数据，都必需遵照条例。换言之，一家香港的网上商店如果接受欧盟人士订单，便会受到条例监管。

近两星期以来，Google等跨国企业已先后向用户发信，提示新私隐条例生效，但不少人手相对不足的小企业却疲于奔命，相干法律开支大增。奥地利律师施雷姆斯批驳，欧盟一刀切对所有企业推行新规例，未有豁免中小企，只会制作大批灰色地带，获益的将是大企业。