术语“个人数据”是适用《通用数据保护条例》（GDPR）的入口。只有当数据处理涉及个人数据时，《通用数据保护条例》才适用。该术语在第4条第1款中定义。个人数据是指与已识别或可识别的自然人相关的任何信息。

如果数据主体能够被直接或间接识别，尤其是通过引用标识符（例如姓名、身份证号码、位置数据、在线标识符）或表达自然人身体、心理、生理、遗传、精神、商业、文化或社会身份的某些特殊特征，则他们是可识别的。在实践中，这也包括所有已经或可能以任何方式关联到个人的数据。例如，个人的电话号码、信用卡号、员工编号、账户数据、车牌号、外貌、客户编号或地址等都是个人数据。

由于定义中包含“任何信息”，因此应假设“个人数据”这一术语应尽可能广泛地解释。欧洲法院的判例法也表明了这一点，它将不太明确的信息也视为个人数据，例如包含员工开始和结束工作时间、休息时间或非工作时间信息的工作时间记录。同样，考生在考试中的书面答案以及考官对这些答案的评语，如果考生理论上可以被识别，也是“个人数据”。同样的情况也适用于IP地址。如果数据控制者有法律手段要求提供商提供额外信息以识别IP地址背后的用户，那么IP地址也是个人数据。此外，还必须注意，个人数据不一定是客观的。主观信息，例如意见、判断或估计也可以是个人数据。因此，个人的信用评估或雇主对员工工作表现的评估也属于个人数据。

最后但同样重要的是，法律规定，人员参考信息必须与自然人有关。换句话说，数据保护法不适用于关于法人实体（如公司、基金会和机构）的信息。对于自然人而言，保护从其具备法律行为能力时开始，并在其失去法律行为能力时终止。基本上，一个人在出生时获得法律行为能力，死亡时失去。因此，数据必须可归属于已识别或可识别的在世自然人，才能被视为个人数据。

除了普通的个人数据外，还必须特别考虑个人数据的特殊类别（也称为敏感个人数据），因为这些数据受到更高程度的保护。这些数据包括基因数据、生物识别数据和健康数据，以及揭示种族和民族出身、政治观点、宗教或意识形态信仰或工会会员身份的个人数据。

参考欧盟《通用数据保护条例》（GDPR）链接 https://gdpr-info.eu