對違法企業的最高罰款可達2000萬歐元(約合654.38+0.5億元人民幣)或其全球營業額的4%,以較高者為準。網站經營者必須事先向客戶說明,會自動記錄客戶的搜索和購物記錄,並征得用戶的同意,否則未告知就記錄用戶的行為是違法的。企業不能再用含糊不清、難以理解的語言或冗長的隱私政策從用戶那裏獲取數據使用許可。明確規定了用戶的“被遺忘權”,即用戶可以要求責任方刪除關於自己的數據記錄。歐洲議會於2016年4月14日通過的《通用數據保護條例》(簡稱“GDPR”)將於2018年5月25日在歐盟成員國生效。該條例的適用範圍極其廣泛,所有歐盟成員國境內任何收集、傳輸、保留或處理個人信息的組織都受該條例約束。例如,即使主體不是歐盟成員的公司(包括免費服務),只要滿足以下兩個條件之壹:(1)為了向歐盟內部可識別的自然人提供商品和服務而收集和處理他們的信息。(2)為了監測可識別的自然人在歐盟的活動,收集和處理他們的信息屬於GDPR的管轄範圍。