公众号文章 2026-06-21

企业出海数据合规之(15)巴西

巴西通用数据保护法在适用范围、主体权利、处理原则及跨境传输安排上与欧盟条例高度相似,完成欧盟合规后基本可适配。中国投资者须界定自身为控制者或操作者,公开负责人信息,恪守目的限制、最小化、安全保障与禁止歧视原则,及时响应访问、更正、删除请求。跨境传输优先选充分保护国家,否则采用标准合同或集团约束性规则,违规最高可处年营业额百分之二、单项五千万雷亚尔罚款。

公众号文章 2026-06-21

企业出海数据合规之(14)-美国

美国采取联邦与州双层数据隐私监管。联邦以联邦贸易委员会法为底线,辅以儿童在线隐私保护法、生物识别信息隐私法等专项规则。州层面以加州消费者隐私法及其修正案为代表,达年营收两千五百万美元等门槛的企业须保障知情、访问、删除、选择退出四大权利,须在四十五天内响应。生物识别违规每条记录可罚一千至五千美元,企业须落实数据最小化并购买网络责任保险。

公众号文章 2026-06-21

企业出海数据合规之(13)欧盟

欧盟通用数据保护条例自二零一八年生效后成为全球数据合规基准,长臂管辖延伸至所有处理欧盟居民数据的境外主体,依据目标标准而非数据量判断。中国企业须从组织、制度、技术三方面搭建合规体系,因未获充分性认定,跨境传输主流路径为签订标准合同条款并备案。须七十二小时内上报泄露,一个月内响应用户请求,违规最高可处全球年营业额百分之四或两千万欧元罚款。

公众号文章 2026-06-21

Cookie合规之(2):CNIL与Cookie指南

法国国家信息与自由委员会作为欧盟数据执法急先锋,依托一站式机制对TikTok、SHEIN等开出累计逾十亿欧元罚单。其二零二零年发布的Cookie指南将设备指纹、硬件标识符纳入监管,要求同意须满足自由、特定、知情、明确四原则,禁止Cookie墙、预勾选与默示行为,须独立点击并告知处理者身份、目的及撤回方式,拒绝难度须与同意一致。开发者须分类管理Cookie并提供偏好设置选项。

公众号文章 2026-06-21

Cookie合规之(1):刚刚,谷歌又被罚了3.25亿欧

谷歌六年来第五次因个人信息保护违规被欧盟处罚,本次罚款三点二五亿欧元,累计已达六点三五亿欧元,多数源于Cookie不合规。Cookie是网站存储于用户设备的小型文本文件,用于身份识别、偏好记录与定向广告。欧盟通过电子隐私法令、通用数据保护条例及隐私和电子通信条例规制,二零零九年将同意规则由选择退出改为选择加入。法国数据保护局指南要求非必要Cookie须主动点击同意,禁止默认勾选。

公众号文章 2026-06-21

企业出海数据合规之(12)英国

英国通用数据保护条例与二零一八年数据保护法约束境内控制者与处理者,亦约束向境内主体提供产品服务或监控其行为的境外组织。处理须具备同意、合同必需、法定义务等合法基础,遵循最小化与默认隐私设计;处理特殊类型数据须明示同意。除豁免外,控制者须在信息专员办公室注册并缴费,未足额最高可罚应缴费用百分之一百五十。跨境传输须确保接收地具有充分保护或签署标准合同条款。

公众号文章 2026-06-21

企业出海数据合规之(11)沙特

沙特个人数据保护法具有域外效力,企业即便无境内实体,处理境内个人数据即受约束。隐私政策须涵盖组织信息、处理详情、主体权利与安全措施。该国无一般本地化要求,跨境传输须符合特定目的且最少必要,可通过白名单、标准合同条款、约束性公共规则或认证机制开展。主体享有访问、更正、删除、限制处理及可移植性等权利,简单请求七十二小时内回应。数据泄露须在二十四小时内通知监管机构及受影响主体。

公众号文章 2026-06-21

企业出海数据合规之(10)阿联酋

阿联酋作为联邦制国家,各酋长国与自由贸易区立法存在差异。迪拜国际金融中心适用其数据保护法,迪拜健康城适用健康数据保护条例,区域外适用联邦个人数据保护法。企业须遵循最小必要原则收集数据,以清晰方式取得明确同意,保障主体随时撤回,并回应获取、更正、删除请求。从金融中心向无充分保护地区传输,须采用专员批准的标准合同条款。企业须指定数据保护责任人,违规将面临罚款乃至停业。

公众号文章 2026-06-21

企业出海数据合规之(9)墨西哥

墨西哥以联邦消费者保护法、联邦个人数据保护法构建数据保护体系。处理须遵循合法、同意、告知、质量、目的、诚信、比例与可问责八项原则,敏感与金融数据须明示同意。企业须尊重主体的访问、更正、删除与反对处理等ARCO权利,查询二十个工作日内、更正删除十五个工作日内完成。安全保障须建立行政、物理、技术三重体系。国际转移仅限同等保护水平地区或合同约定,违规可被罚款、整改、通报甚至追究刑责。

公众号文章 2026-06-21

企业出海数据合规之(8)韩国

韩国数据三法包括个人信息保护法、信息通信网络利用和信息保护法、信用信息利用和保护法,二零二零年完成重要修订。云计算须通过云服务安全认证,二零二六年实施的人工智能基本法将对数据共享提出新要求。向境外传输国民个人信息须单独取得书面同意,海外企业须指定国内代理人。数据泄露须在二十四小时内报告科学部。虚拟资产须遵循特别金融法牌照制度并按月报告跨境交易。