近几个月，脸书公司因为被揭发在用户数据大规模泄露之后长时间隐瞒不报，遭到广泛批评。

5月25日在欧盟全体成员国正式生效的《通用数据保护条例》被认为是欧盟有史以来最为严格的网络数据管理法规，其最大的特点在于限制企业对个人用户数据的使用权。换言之，未来大企业，尤其是互联网公司在使用用户个人数据前必须先征得用户的同意。

而在欧盟新规下，企业一旦发现用户数据泄露，必须在72小时内向监管机构报告。

严格地说，受该条例管辖的不仅仅是传统意义上的互联网公司。欧盟这一新条例赋予了欧盟域外管辖权。

德国资深法律顾问罗伯特·费希纳认为，欧盟《通用数据保护条例》会让企业有很强的危机感，而且基本上所有的企业都会被牵涉其中。他说:“之所以推行欧盟《通用数据保护条例》，主要是为了保护公民或者个人用户的数据与隐私权，所以该条例对企业应如何处理以及更好地保障隐私数据作出了严格规定。至于说哪些企业会受到该条例的约束，答案是所有在欧洲运营业务的公司，不论业务范围是什么领域或者是以什么样的形式。中国企业当然也会被涉及，比如那些卖东西到欧洲的网站都需要收集和处理用户的一些基本信息。”

一段时间以来，欧盟地区网民纷纷收到互联网公司修改“用户政策”的提示。

记者注意到，以Google、Facebook、Airbnb为首的全球性互联网企业已经纷纷修订了隐私政策，并上线了相关的隐私控制工具，帮助用户更便捷地了解自己的权利。

在欧盟层面，增设欧洲数据保护理事会这一新机构;在欧盟成员国层面，各国数据监管机构的检查、执法、处罚以及司法机制安排也得到了明确界定。

纳入新规保护范围的用户数据种类全面细致。除了姓名、地址、证件号码、网络IP地址等通常意义上的个人信息，以及指纹、虹膜等生物识别数据、医疗记录等十分隐私的个人信息，新规还涵盖了例如用户的种族、宗教信仰甚至性取向等多方面信息。

对于跨国网络巨头而言，一旦在欧盟违规，很可能将面临“天价”处罚。条例规定，对未采取技术或管理措施来避免、降低隐私侵权损害风险的互联网公司，最高可罚款1000万欧元或全球营业额的2%（以较高者为准）;对违反个人信息收集和使用基本原则以及没有保障数据主体权利的互联网公司，最高可罚款2000万欧元或全球营业额的4%（以较高者为准）。

根据条例，用户可以要求掌握其数据的企业删除其个人数据、避免个人信息传播。而可携带权将使用户有权向企业索取本人数据，并自主决定用途，这意味着用户将能够像管理金融资产一样对个人数据信息进行“搬家”。

新规还确立了被遗忘权、删除权、可携带权等一系列用户权利。

对于用户而言，欧盟新规还允许他们有权要求监管机构在规定时限内对违规行为进行调查。

在明确赋予用户权利、大幅强化企业责任之外，这一条例还规范了监管安排机制。如数据监管机构调查不力，用户则有权向法院提起诉讼，以更好地保护用户权利。