由于过去几年欧洲一直处于监管狂潮之中，争论大量新的互联网和数据相关立法，重要的是要记住，其最具代表性的数据相关立法之一GDPR实际上已经大幅提升。削弱了对欧盟公民的隐私保护。事实证明，美国公司也正在利用GDPR中的另一条规定：它不适用于与欧盟没有直接业务联系的美国公司，使其能够大规模收获，重新包装和转售欧盟的数据访问美国的公民。虽然被吹捧为一项重大的隐私突破，但事实上，GDPR已经适得其反，令欧洲公民以前享受的许多最神圣的隐私保护措施得以回归。

最着名的是，经过多年以前禁止面部识别的法规，GDPR最终授予Facebook在整个欧盟推出其面部识别算法的权利。之前的法律禁止Facebook在欧盟部署其自夸的面部识别系统，但GDPR撤回了所有这些保护措施，使该公司最终能够在欧盟范围内不受限制地部署其工具。

GDPR还授予公司广泛的自由度，以解释其对自身业务需求的少数真正保护。Facebook在去年利用这些条款将GDPR的72小时通知规则解释为仅在公司决定开始倒计时之后申请。因此，该公司在确定严重违约后三天内没有通知其客户，而是等待了两个多月才决定最终适用72小时规则。

在研究过去一年美国公司如何管理其客户数据时，在GDPR合规方面出现了一个有趣的趋势。当被问及他们如何处理访问美国的欧盟公民的私密私人数据时，迄今为止所访问的每家公司都是美国，并且在欧盟没有办事处，广告或直接商业利益，因此注意到GDPR不适用于他们。

例如，康卡斯特指出，美国欧盟公民对其客户服务电话号码的录音等生物识别数据不受GDPR的约束，因为该公司不在欧盟提供服务。同样，Target指出，在美国各地的Target商店购物的欧盟公民被剥夺了GDPR提供的所有保护，因为它不适用于Target。

在Tar​​get的案例中，该公司保留了大量有关其客户的数据，包括他们在商店和在线进行的每次购买，从数据经纪人处购买的数据以及从客户与其网站的互动中收集的数据。所有这些数据都是由公司与第三方共享的，尽管该公司拒绝提供其共享客户数据的所有公司的列表，并引用了专有商业机密。当被问及欧盟公民是否有权检查或限制此收集时，该公司指出GDPR不适用于没有欧盟商业利益的美国公司。

没有欧盟存在，建立和部署面部识别的美国公司同样指出，访问美国的欧盟公民可以将所有生物识别技术收获，重新包装和出售而没有任何权利或追索权，因为GDPR不适用于他们。

访问美国的欧盟公民可能会与不受GDPR影响的大量企业进行互动或被其捕获，从小型本地商店到大型全国性企业集团。所有这些公司都可以从他们在美国的这些欧盟公民那里收集他们喜欢的任何东西，从收获他们的生物识别技术到为他们建立广泛的心理和行为概况。所有这些数据都可以自由共享和转售永久性，就像任何美国人一样。

综上所述，GDPR经常被错误地描绘成一种保护欧盟公民的隐私保护。实际上，GDPR并未直接向欧盟公民提供任何保护。相反，它只是将一套数据管理法规应用于与欧盟有联系并与欧盟公民互动的企业。因此，没有欧盟联系的企业可以自由地收集，挖掘，操纵和货币化欧盟公民的内心。

由于欧盟公民在世界各地旅行，他们可能不会完全意识到，通过这样做，他们可能会失去对GDPR的保护，因为他们与那些与欧盟无关的企业进行互动。虽然这对于当地小企业来说可能是显而易见的，但即使是一些全国最大的零售商和电信公司也不受GDPR的影响，这一事实提醒我们，它在实践中的确有多么有限。

最终，随着时间的推移，欧盟公民将发现自己与世界其他地区一样收获，开采，操纵和货币化，因为GDPR的空头承诺与现代世界的全球现实相冲突。