公众号文章 2026-06-21

GDPR与个人信息保护法敏感信息合规要求的对比

中国《个人信息保护法》虽参考GDPR但敏感信息规则差异显著。GDPR范围窄,偏重种族、政治、宗教、基因、生物识别等人格平权类别,禁止处理但列十种例外。个保法范围更宽,涵盖身份证号、金融账户、行踪轨迹等生命财产安全相关数据,未禁止但要求单独同意与前置评估。GDPR对敏感信息跨境无特殊要求,仍用充分性认定、SCCs、BCRs;个保法则触发评估、认证、标准合同三件套。个保法将敏感违规视为严重违规,但GDPR实际执法力度更高。

公众号文章 2026-06-21

智能设备出口欧盟的合规要求

中国智能设备在欧盟市占率优势明显,须应对四大法规。GDPR要求隐私默认设计、AES加密存储、TLS加密传输、七十二小时泄露通报。《数据法案》二零二五年九月生效,强制以机读格式开放设备数据,关键基础设施数据优先本地存储。《无线电设备指令》禁止通用默认密码,强制Wi-Fi支持WPA3、蓝牙采用LE安全连接,高危漏洞十四日内修复。《数字服务法》对第三方应用数据共享设可视化公示要求,违规最高罚全球营收百分之六。

公众号文章 2026-06-21

车企出海欧盟的数据合规要求

二零二四年中国汽车出口六百四十万辆,倒逼车企应对欧盟数据合规。须遵循GDPR的数据最小化、明示同意、跨境合规及七十二小时泄露通报。《数据法案》二零二五年九月生效,要求联网汽车以机读格式开放运行数据。《电子隐私指令》将智能网联汽车视为终端设备,访问车载数据须明示同意。《人工智能法案》将自动驾驶列为高风险AI,强制透明度与人工监督。《NIS2指令》违规最高罚七百万欧元或营业额百分之一点四。

公众号文章 2026-06-21

欧盟GDPR监管机构如何知道你不合规?

暂无简介

公众号文章 2026-06-21

企业内部数据出境场景的界定

依据《个人信息保护法》《数据出境安全评估办法》《网络数据安全管理条例》,数据出境核心判定标准是实际存储处理服务器是否跨越中国国境,而非访问者位置或传输发起地。文章梳理企业内部数据交流、远程访问国内系统、跨境业务传输、第三方合作、争议场景的合规处理。实务中传输不等于跨境,关键看传输后存储状态;港澳台属不同法域须参照跨境合规;金融、医疗、电信等行业另有专项规定。

公众号文章 2026-06-21

欧盟《人工智能法案》(AI Act)核心内容及企业合规要求

欧盟《人工智能法案》针对AI风险与全球治理主导权出台,比中国二零二三年八月施行的生成式AI暂行办法晚约半年。采取基于风险的四级分类监管,对通用AI和基础模型设专属规则,训练算力超十的二十五次方浮点运算视为系统性风险。具长臂管辖效力,违反禁止性条款最高罚三千七百九十万美元或全球营收百分之七,高风险违规最高两千万欧元。设监管沙盒鼓励创新,中国出海AI须按风险等级合规。

公众号文章 2026-06-21

GDPR处罚的几个统计指标及合规启示

截至二零二五年十一月GDPR公开处罚案例已逾两千九百起,罚金总额约六十八亿欧元。西班牙、意大利、罗马尼亚案件量合计近六成;爱尔兰仅三十五件却罚款四十亿欧元,平均单案一点一五亿,对Meta、TikTok重拳出手。最高罚十二亿、最低二十八欧元,平均值远超中位数七千五百欧元。第五、六、三十二条违规最多,提示企业须重视处理合法性、数据安全与用户权利响应,业务覆盖爱尔兰法国地区尤需强化合规。

公众号文章 2026-06-21

欧盟《数字服务法》核心内容及合规要求

欧盟二零二二年通过的《数字服务法》二零二四年二月全面生效,打破避风港原则,确立线下违法线上同样违法。要求平台搭建非法内容举报机制,二十四小时内删除明显违法内容,规范算法与广告透明度,禁止基于敏感信息定向投放。对速卖通、TikTok等超大型平台要求年度风险评估、任命合规官、开放数据访问。员工少于五十人且营收不超千万欧元的中小企业可豁免多项附加义务,仅须履行基础合规责任。

公众号文章 2026-06-21

十个GDPR处罚案例:访问权、处理目的、敏感数据、存储期限和系统安全

梳理十个GDPR典型处罚案例:西班牙国航因拒绝数据访问被罚四万欧元,匈牙利电信冗余数据库未删被罚二十八万欧元,挪威电信语音信箱漏洞被罚十三万欧元,荷兰指纹打卡未获同意被罚七十二万欧元,德国住房归档未删被罚一千四百五十万欧元,万豪与英航因泄露分别被罚一点一亿与二点零四六亿欧元。涉及第五、六、十五、三十二条等条款,提示软件须落实加密存储、访问控制与数据最小化。

公众号文章 2026-06-21

GDPR 软件产品开发合规指南

国产软件出海面临严格欧盟监管,法国CNIL开发者指南覆盖软件开发全流程十六个主题。要点包括精准识别个人数据并区分匿名化与假名化、设计阶段融入保护原则并完成PIA、保障开发环境与密钥管理安全、源代码与敏感信息隔离、提前评估服务器地理位置与跨境风险、强制启用TLS1.2以上版本、最小化采集、严控访问权限、审计第三方依赖、支持用户行使访问更正删除权、设定明确留存期限,据此建立全周期检查清单。