術語“個人數據”是適用《通用數據保護條例》（GDPR）的入口。隻有當數據處理涉及個人數據時，《通用數據保護條例》才適用。該術語在第4條第1款中定義。個人數據是指與已識別或可識別的自然人相關的任何信息。

如果數據主體能夠被直接或間接識別，尤其是通過引用標識符（例如姓名、身份證號碼、位置數據、在線標識符）或表達自然人身體、心理、生理、遺傳、精神、商業、文化或社會身份的某些特殊特征，則他們是可識別的。在實踐中，這也包括所有已經或可能以任何方式關聯到個人的數據。例如，個人的電話號碼、信用卡號、員工編號、賬戶數據、車牌號、外貌、客戶編號或地址等都是個人數據。

由於定義中包含“任何信息”，因此應假設“個人數據”這一術語應盡可能廣泛地解釋。歐洲法院的判例法也表明了這一點，它將不太明確的信息也視為個人數據，例如包含員工開始和結束工作時間、休息時間或非工作時間信息的工作時間記錄。同樣，考生在考試中的書麵答案以及考官對這些答案的評語，如果考生理論上可以被識別，也是“個人數據”。同樣的情況也適用於IP地址。如果數據控製者有法律手段要求提供商提供額外信息以識別IP地址背後的用戶，那麽IP地址也是個人數據。此外，還必須注意，個人數據不一定是客觀的。主觀信息，例如意見、判斷或估計也可以是個人數據。因此，個人的信用評估或雇主對員工工作表現的評估也屬於個人數據。

最後但同樣重要的是，法律規定，人員參考信息必須與自然人有關。換句話說，數據保護法不適用於關於法人實體（如公司、基金會和機構）的信息。對於自然人而言，保護從其具備法律行為能力時開始，並在其失去法律行為能力時終止。基本上，一個人在出生時獲得法律行為能力，死亡時失去。因此，數據必須可歸屬於已識別或可識別的在世自然人，才能被視為個人數據。

除了普通的個人數據外，還必須特別考慮個人數據的特殊類別（也稱為敏感個人數據），因為這些數據受到更高程度的保護。這些數據包括基因數據、生物識別數據和健康數據，以及揭示種族和民族出身、政治觀點、宗教或意識形態信仰或工會會員身份的個人數據。

參考歐盟《通用數據保護條例》（GDPR）鏈接 https://gdpr-info.eu