伴随互联网的纵深发展，社交媒体、大数据、云计算等将带来越来越多的隐私保护、数据资产管控、信息安全等问题，因此如何在保护用户数据隐私、善用数据资产、维护信息安全方面实现数据善治或是社交媒体涉及的各个主体共同考虑法律与伦理议题。从现行世界各国各地区的法律法规来看，于2018年5月25日开始实施的欧盟通用数据保护条例（简称GDPR⑤）或为我们进一步思考作为隐私与作为资产的个人数据保护提供了法律和伦理方面的参照与启示。
（一）隐私保护：个人数据保护与“底线伦理”原则的坚守
2016 年 4 月，欧盟就数据保护法律框架作出重大改革，以新颁布的《通用数据保护条例》取代已经沿用 20 多年的《1995 数据保护指令》，从原来 34 个条款扩展到 99 条，被视为欧盟强化数据保护立法的重要里程碑（鞠辉，2018）。
GDPR界定了个人数据保护的范畴，其第4条规定，条例保护的仅是“个人数据”（personal data），不涉及个人数据以外的其他数据。个人数据是指，与一个已被识别（identified）或者可被识别（identifiable）的自然人相关的任何信息。可被识别的自然人是指，其可以被直接或者间接识别，尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识，或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据，不包括死者、胎儿等。同时，个人数据的保护不涉及匿名信息，或者经过匿名化处理以至于不再具有可识别性的个人数据。对于表征人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等事项的特殊类别的个人数据（个人敏感数据）。就个人数据处理行为，该法第3条规定，“处理”是指针对个人数据或个人数据集合的任何一个或一系列操作，诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用，排列、组合、限制、删除或销毁，无论此操作是否采用自动化的手段。
在对个人数据的保护之上，GDPR序言中称，个人数据的保护并不绝对，应当平衡新闻自由、表达自由、商业自由等权利，符合比例原则、法益平衡原则等法律的基本原则。这与《欧盟基本权利宪章》⑥有54项关于公民权利的条款（包括人性尊严、自由、平等、团结、国民的权利、司法权利等）相符。由此看来，在坚守欧盟宪章底线伦理的原则下，GDPR将数据主体的隐私保护放在了极为重要的位置，为社交媒体时代如何严格保护个人数据隐私划定了法理层面的界限。