2023年，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)對(duì)Meta開(kāi)出了12億歐元的GDPR罰款，原因是把歐盟用戶數(shù)據(jù)傳輸?shù)矫绹?guó)服務(wù)器處理。這不是針對(duì)大公司的特例，GDPR對(duì)任何觸達(dá)歐盟用戶的業(yè)務(wù)都適用，包括中國(guó)跨境賣家。
做獨(dú)立站、APP、Facebook廣告，只要內(nèi)容觸達(dá)歐盟境內(nèi)的用戶，就必須了解GDPR。它不是可以選擇性遵守的建議，是有執(zhí)行力的法規(guī)。
基本定義
全稱：《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation），歐盟制定，2018年5月25日正式生效。
適用范圍：不限于在歐盟設(shè)立公司。只要你的網(wǎng)站、APP或業(yè)務(wù)向歐盟境內(nèi)的個(gè)人提供商品/服務(wù)，或者監(jiān)控他們的行為，就必須合規(guī)，中國(guó)跨境賣家做歐洲市場(chǎng)同樣適用。
保護(hù)哪些個(gè)人數(shù)據(jù)
GDPR里"個(gè)人數(shù)據(jù)"的范圍很廣：姓名、地址、郵箱等基礎(chǔ)身份信息；IP地址、Cookie記錄、設(shè)備指紋、地理位置等網(wǎng)絡(luò)標(biāo)識(shí)符；種族、宗教信仰、生物識(shí)別數(shù)據(jù)、健康狀況等敏感數(shù)據(jù)。
罰款標(biāo)準(zhǔn)（來(lái)源：GDPR官方法規(guī)文本）
違規(guī)級(jí)別 罰款上限 典型情形
一般違規(guī) 1000萬(wàn)歐元 或 年?duì)I業(yè)額2%，取高者 數(shù)據(jù)處理記錄缺失、未履行通知義務(wù)
嚴(yán)重違規(guī) 2000萬(wàn)歐元 或 年?duì)I業(yè)額4%，取高者 未經(jīng)授權(quán)處理數(shù)據(jù)、違反核心原則
最低合規(guī)三件事
個(gè)人覺(jué)得，出海企業(yè)至少要把這三件事做到位：
網(wǎng)站隱私政策：寫(xiě)清楚收集哪些用戶數(shù)據(jù)、用來(lái)做什么、保留多久、如何聯(lián)系數(shù)據(jù)保護(hù)官（DPO）
Cookie同意管理：用戶進(jìn)網(wǎng)站必須看到彈窗，可以選擇接受或拒絕，不能默認(rèn)全部接受——違反ePrivacy指令是各國(guó)DPA的重點(diǎn)執(zhí)查對(duì)象
DPA數(shù)據(jù)處理協(xié)議：和服務(wù)器服務(wù)商簽署，界定雙方對(duì)用戶數(shù)據(jù)的處理責(zé)任，缺少此協(xié)議違反GDPR第28條
跨境數(shù)據(jù)傳輸要注意
如果把歐盟用戶數(shù)據(jù)傳回國(guó)內(nèi)，或存儲(chǔ)到香港、美國(guó)節(jié)點(diǎn)，必須確保目標(biāo)地有足夠的保護(hù)水平，或簽署標(biāo)準(zhǔn)合同條款（SCCs）。直接把數(shù)據(jù)導(dǎo)出歐盟是違規(guī)操作。

兩個(gè)常見(jiàn)誤區(qū)
把服務(wù)器放在歐洲就自動(dòng)合規(guī)——不對(duì)，服務(wù)器位置只是條件之一，隱私政策、Cookie彈窗、DPA協(xié)議三件事缺一不可，光買了歐洲服務(wù)器根本不夠。
只有大公司才被查——?dú)W盟多國(guó)DPA對(duì)中小型網(wǎng)站同樣執(zhí)法，用戶投訴是主要觸發(fā)機(jī)制。舉報(bào)的人不需要是當(dāng)?shù)厝耍魏螝W盟居民都可以投訴。
把服務(wù)器放在歐洲但缺少隱私政策和Cookie彈窗，GDPR處罰風(fēng)險(xiǎn)同樣存在。三件事缺一不可。

恒訊科技提供歐洲節(jié)點(diǎn)服務(wù)器，可申請(qǐng)測(cè)速IP購(gòu)前驗(yàn)證，支持支付寶付款，需要了解GDPR合規(guī)配置的客戶可以咨詢技術(shù)顧問(wèn)。

審核編輯 黃宇