臺灣對於個人資料的保護主要以個人資料保護法來規範，而近來全球最為關注的則是歐洲議會及歐盟理事會於2016年4月27日所通過的《歐盟一般資料保護規範》（General Data Protection Regulation，GDPR），並已於2018年5月25日開始施行。

我國駐德國代表處經濟組表示，（德國）目前僅有少數公司能夠完全執行GDPR的規範，大多數公司是選擇先執行基於風險管理明顯可見之措施，譬如任命資料保護人員、網站上的隱私聲明、完成資料處理協議等。

依據我國駐德國代表處經濟組所提出德國Avocado律師事務所及CPC企業管理公司所提供的GDPR白皮書（White Paper EU General Data Protection Regulation – Situation in 2019），重點如下：

1.依據GDPR所明定新的個人資料保護義務，各公司不僅需要依法遵守，更應該在有必要時能具體證明其遵守GDPR的作為。但大多數的組織仍然在個人資料保護機制的建置階段。所以現在階段必須多加關注其他組織的建置經驗及相關風險的變化。

2.德國企業間的下階段建置重點在於：留存使用資料的活動紀錄、實施有組織的資料保護方案、進行資料保護影響評估的程序、在所有資訊系統設計資訊的刪除機制、實行有效且自動化的個人資料處理程序、在公司內部訂定違反個人資料保護的處置作法等。

3.GDPR的真正風險在於高額罰款。在2019年初，Google便於法國被開罰歐元5000萬元罰款，但德國主管機關的情況則是人手不足、忙於調查，目前僅有歐元8萬元的罰款案例發生。而其中，調查的部分最主要集中在資料隱私的侵害、GDPR的義務遵從、非法Email廣告的使用等。根據Allianz於2018年發布的報告顯示，肇因於網路事件的全球損害總額即達到5000億歐元，因此對任何企業而言均形成經營上的最大風險之一。

4.有鑑於GDPR的高風險，各企業均有必要持續性地推動GDPR的建置工作，包括有賴各企業的董事會的全力支持、願意付出相當地時間與耐性建置相關制度。企業也必須明瞭資料安全保護並非僅單純仰賴嚴格的技術立場，而是需要進行組織架構以及進行方式的調整改變，並且具永續性的解決方案是需要所有成員的參與、認知與行動。

5.各企業在面對GDPR主管機關時，請知曉主管機關也需要各企業間的相互配合與合作，包括各企業適度接受較低額的行政罰鍰，另外目前而言，主管機關的工作已經超過現有人員所能處理的工作量，但這樣的問題卻可以透過增加編制內人員即可快速解決。

6.對於一個成功的建置作法，首先需要進行一次資料保護的稽核行動，以審視企業現行制度中不合於GDPR之處，故包括現行架構、契約簽署與保管流程、IT制度、企業文化、員工相關因素等均應納入分析評估。其次則為設計並建置制度，譬如訂定每週的處理計畫，如此可以有效且有進展地推動相關機制的建置。長遠而言，資料保護機制的建置並不需要複雜，反而應該是能夠日復一日地有效施行，並透過團隊綜效共同處理，才是有價值的建置目標及方式。