GDPR是什么

2023年，爱尔兰数据保护委员会对Meta开出了12亿欧元的GDPR罚款，原因是把欧盟用户数据传输到美国服务器处理。这不是针对大公司的特例，GDPR对任何触达欧盟用户的业务都适用，包括中国跨境卖家。
做独立站、APP、Facebook广告，只要内容触达欧盟境内的用户，就必须了解GDPR。它不是可以选择性遵守的建议，是有执行力的法规。
基本定义
全称：《通用数据保护条例》（General Data Protection Regulation），欧盟制定，2018年5月25日正式生效。
适用范围：不限于在欧盟设立公司。只要你的网站、APP或业务向欧盟境内的个人提供商品/服务，或者监控他们的行为，就必须合规，中国跨境卖家做欧洲市场同样适用。
保护哪些个人数据
GDPR里"个人数据"的范围很广：姓名、地址、邮箱等基础身份信息；IP地址、Cookie记录、设备指纹、地理位置等网络标识符；种族、宗教信仰、生物识别数据、健康状况等敏感数据。
罚款标准（来源：GDPR官方法规文本）
违规级别 罚款上限 典型情形
一般违规 1000万欧元 或 年营业额2%，取高者 数据处理记录缺失、未履行通知义务
严重违规 2000万欧元 或 年营业额4%，取高者 未经授权处理数据、违反核心原则
最低合规三件事
个人觉得，出海企业至少要把这三件事做到位：
网站隐私政策：写清楚收集哪些用户数据、用来做什么、保留多久、如何联系数据保护官（DPO）
Cookie同意管理：用户进网站必须看到弹窗，可以选择接受或拒绝，不能默认全部接受——违反ePrivacy指令是各国DPA的重点执查对象
DPA数据处理协议：和服务器服务商签署，界定双方对用户数据的处理责任，缺少此协议违反GDPR第28条
跨境数据传输要注意
如果把欧盟用户数据传回国内，或存储到香港、美国节点，必须确保目标地有足够的保护水平，或签署标准合同条款（SCCs）。直接把数据导出欧盟是违规操作。

两个常见误区
把服务器放在欧洲就自动合规——不对，服务器位置只是条件之一，隐私政策、Cookie弹窗、DPA协议三件事缺一不可，光买了欧洲服务器根本不够。
只有大公司才被查——欧盟多国DPA对中小型网站同样执法，用户投诉是主要触发机制。举报的人不需要是当地人，任何欧盟居民都可以投诉。
把服务器放在欧洲但缺少隐私政策和Cookie弹窗，GDPR处罚风险同样存在。三件事缺一不可。

恒讯科技提供欧洲节点服务器，可申请测速IP购前验证，支持支付宝付款，需要了解GDPR合规配置的客户可以咨询技术顾问。

审核编辑 黄宇