欧盟 GDPR 与《数据法》双轨合规：中国出海企业实操清单

## 一、双法规监管框架

| 法规 | 适用范围 | 核心义务 | 违规罚款上限 |
|------|---------|---------|------------|
| GDPR（2018） | 处理欧盟居民个人数据 | 合法性基础、数据主体权利、数据泄露通报 | €2,000万或全球营业额4% |
| 数据法（2024） | 物联网数据、B2B数据共享 | 数据访问权、数据可携带权、公共紧急情况数据共享 | €1,000万或全球营业额2% |

## 二、中国出海企业常见合规缺口

1. **法律基础缺失**：未为每类数据处理活动建立合法性基础（同意/合同/合法利益）。
2. **跨境传输未合规**：将欧盟用户数据传输至中国服务器未签署标准合同条款（SCC）。
3. **隐私政策不达标**：中文隐私政策直接翻译，未符合GDPR透明度要求。
4. **数据主体权利响应缺失**：无法在30天内响应访问、删除、更正请求。

## 三、分步合规路线图

1. **数据映射**：梳理所有涉及欧盟用户的数据流，建立数据处理活动记录（ROPA）。
2. **法律基础评估**：为每类数据处理活动评估并记录合法性基础。
3. **跨境传输合规**：签署欧盟标准合同条款（2021版SCC），或考虑在欧盟境内部署服务器。
4. **隐私政策更新**：重写符合GDPR要求的多语言隐私政策，并在App/网站显眼位置披露。
5. **响应机制建立**：建立数据主体权利请求处理流程，确保30天响应时限。

> 💡 关键提示：2024年以后进入欧盟市场的中国企业需同时满足GDPR与数据法要求，建议委托欧盟本地DPO（数据保护官）提供持续合规支持。

> ⚠️ 重要提示：欧盟数据保护机构（DPA）对中国企业的执法关注度显著上升，2023-2024年已有多起针对非欧盟企业的重大罚款案例。