1.1适用范围及于面向欧盟市场的中国跨境旅游企业
GDPR适用范围极为广泛。第一，适用于中国旅游企业在欧盟境内设立的业务机构或合作者的个人数据处理行为，不论实际数据处理行为是否发生在欧盟境内。业务机构的形式不必是分公司或具有法人资格的子公司，在欧盟境内设有唯一代表即符合主体适用条件。
第二，中国旅游企业虽不在欧盟境内设立业务机构，但却在向欧盟境内自然人提供商品或服务的过程中处理其个人数据，无论该商品或服务是否要求数据主体支付对价，也适用GDPR。根据欧盟《布鲁塞尔条例》带来的在消费者合同中为消费者提供特别保护的一贯做法以及欧盟法院判决实践来看，判断是否在欧盟境内提供商品或服务要看销售者或服务提供者是否有“指向行为”，关键在于其是否“意图”以欧盟成员国的消费者为目标，而不是仅仅通过向消费者提供“可进入的提供货物或服务的网址”。如果一个非欧盟组织提供其分支机构或代理机构在欧盟的位置、在网站上使用的搜索引擎中有针对欧盟成员国的广告或使用与欧盟相关的顶级域名、使用欧盟成员国的语言或货币、在线支付程序便于欧盟成员国的消费者等，即使不实际发生业务，也被视为“意图”向欧盟境内自然人提供商品或服务。
第三，中国旅游企业对发生在欧盟境内数据主体的活动进行监控而做出的个人数据处理行为，应受GDPR规制。如，在网站上使用具有追踪和监控功能的应用程序处理个人数据的行为，包括用户画像技术的后续使用，尤其是为了做出关于该自然人的决定或者为了分析其旅游偏好、行为和态度而在互联网上追踪个人的行为；通过旅游服务APP持续收集欧盟成员国境内用户信息；智慧旅游平台通过移动计算、移动定位等技术准确判定消费者的移动位置和潜在目的地等个人数据处理行为。
1.2数据主体权利升级加重了企业的数据保护责任
1.2.1数据主体授权的要件使企业处理数据的依据更严格
GDPR规定“数据主体授权”必须是数据主体被告知情况下自愿给出的特定的明确表示，并明确了“授权”的要件：①数据控制者必须保证授权是用于特定目的；②必须区分数据主体的书面授权与其他事项授权；③授权可撤回；④在数据控制者和数据主体地位显著不平衡时，授权不能作为处理数据的合法依据。可见，数据主体的缄默或不回应不能构成授权，企业不能推定数据主体的授权，更不能以“霸王条款”强获授权。并且，企业要保证授权与授权目的对应及授权可随时撤销。