公众号文章 2026-06-20

数据法案合规自查(附程序)

欧盟《数据法案》将于2026年9月12日全面实施,要求联网设备采集的数据可由用户自行导出。为帮助出海企业、设备厂商及云服务商快速识别合规缺口,卓建数据合规团队推出轻量化自查小程序,将法案条文转化为可勾选的业务问题,业务风控与法务人员无需精通法条即可上手。程序提供录入界面、合规评分页面与每项问题的PDF格式解析说明,原则上须达一百分方为达标,法规条文可下载。关注公众号输入DA即可进入。

公众号文章 2026-06-21

《数据法案》全面实施倒计时3个月,数据不能导出可能会面临巨额处罚

欧盟《数据法案》将于2026年9月12日全面落地,要求所有联网设备数据可由用户自行导出,距离强制合规仅剩三个月。法案具备域外效力,覆盖数据持有者、设备制造商、数据接收方与云服务商四类主体,违规可面临全球年营业额百分之四或两千万欧元取高的顶格罚款,并叠加下架、召回、民事赔偿及GDPR并行处罚。2025年11月亚马逊欧洲站已对未达透明度声明的IoT商品大规模下架。合规须经角色判定、盘点、整改、技术验证多步推进。

公众号文章 2026-06-21

跨境电商的数据合规路径,境外销售-境外存储-境内处理

拼多多近期因欧盟《数字服务法》被处两亿欧元罚款,跨境电商合规警钟敲响。典型架构为通过亚马逊等平台销售并在德国部署自建售后系统,境内总部跨境访问。合规责任分平台与商家共同义务、商家独立全生命周期义务及跨境传输义务三部分。商家作为独立控制者须适用GDPR、CCPA、LGPD及个保法。最复杂的是跨境场景,含平台到德国、消费者所在国到德国、德国回中国等多链路,需用标准合同、单独同意等路径交织适配。

公众号文章 2026-06-21

起草隐私政策,是下载模板、程序生成还是定制?

隐私政策是数据合规的门槛与门面,对规模化、出海或数据密集型企业具有极强法律刚性。当前普遍存在模板套用、与系统脱节、跨地区不适配问题。撰写要点是与系统真实一致、多法域适配、权责清晰、风险闭环。模板修改属高风险伪合规,AI生成只能作为底稿且须专业人员审核。定制并非文本服务而是合规流程,需经需求尽调、数据梳理、法域研判、专项撰写、多层校验、客户沟通、定稿释义、售后迭代八环节。

公众号文章 2026-06-21

软件产品的GDPR合规改造,要点和流程

企业出海几乎必然伴随软件出海,产品官网、App或订单售后系统都承载大量个人信息,面临严苛监管。GDPR作为合规标杆,可作为软件改造基准,再在不同国家差异化适配。核心要求覆盖合法基础、告知同意、用户权利、数据安全、跨境传输、DPO与RoPA。软件层面需全生命周期落实隐私设计、字段加密、日志留痕、权限管控与权利响应。独立站重Cookie与同意管理,App重权限与SDK,SaaS重处理者义务。改造工程量不亚于重建,需多部门组建专项团队。

公众号文章 2026-06-21

隐私政策的形式合规和实质合规

隐私政策合规分形式与实质两层。形式合规如同中考作文阅卷,监管与上架审核只看条款齐全、结构清晰、入口显著,清单含独立政策、显著入口、禁止默认勾选、主体信息、信息清单化、SDK与Cookie清单、保存期限、跨境条款、用户权利路径、未成年保护、变更通知等。实质合规要求与系统真实一致、法规适配、权责清晰、风险闭环。一旦遭遇监管专项执法、数据泄露事件或NOYB等公益组织诉讼,纸糊的形式合规便会被烧穿。

公众号文章 2026-06-21

数据存储期限合规:员工离职后系统中的个人数据要留存多久?

依据个保法第十九条与第四十七条,个人信息保存期限应为实现处理目的的最短时间,目的达成或撤回同意时须主动删除。劳动合同法与工资支付暂行规定要求合同与工资记录至少留存两年,农民工三年;考虑竞业禁止仲裁与民事时效最长二十年的举证需求,业内通常将员工离职后留存五年视为合理期限。实际删除需经数据梳理、生命周期划分、期限配置、触发机制、物理删除或匿名化、备份清理六步推进。

公众号文章 2026-06-21

APP隐私政策需要改版了,要素式的合规要求

2026年1月网信办发布《互联网应用程序个人信息收集使用规定(征求意见稿)》,覆盖App、SDK、分发平台与终端,强化告知同意。隐私政策须以加粗放大异色显著展示处理者主体与DPO邮箱。个人信息收集须以表格或列表结构化呈现,列明目的、方式、种类、调用权限、采集频度、必要性及对权益影响。SDK须列包名、版本、功能、运营者与规则链接。存储期限须明确而非含糊。九项用户权利须给出App内可达的操作路径,形式合规将不再蒙混过关。

公众号文章 2026-06-21

容易忽视的必备合规项:数据处理活动记录(RoPA),要求和示例

RoPA即数据处理活动记录,是GDPR第三十条强制要求的核心合规台账,雇员二百五十人以下企业原则上豁免,但涉及高风险、敏感或刑事数据的仍须建立。控制者与处理者记录内容不同,须以书面或电子形式留存供监管调阅。个保法虽未使用该字样但要求等同。它是监管检查第一必查项与举证倒置下的核心凭证,也是数据地图、DPIA与留存清理的输入基础,须于业务上线前建立并定期复核,区别于数据库增删日志。

公众号文章 2026-06-21

金融行业数据合规自查(附程序)

金融行业数据合规涉及个保法、数据安全法、网络安全法以及人民银行、银保监会、证监会的多层级监管文件,对客户身份资料、交易记录、征信信息的收集、存储、加密、留存与跨境提供均有专门要求。卓建数据合规团队据此设计了面向银行、保险、证券及非银行支付机构的轻量化自查程序,用户按机构类型勾选回答即可获参考评分,并对不合规选项自动生成问题解析与法规对照。关注公众号输入jrhgzc即可进入小程序。