一分钟定义
GDPR = General Data Protection Regulation(欧盟通用数据保护条例),2018-05 生效。
- 覆盖:处理欧盟自然人数据的任何组织
- 罚款:最高 €2000 万 或 全球营业额 4%(取高)
- 核心权利:用户 access / rectify / delete / portability / object 自己的数据
常见误解
误解 1:「我不在欧洲不用管 GDPR」
真相:错。GDPR 第 3 条「territorial scope」covers 任何向欧盟用户提供商品 / 服务的实体。Wyoming LLC 卖 SaaS 给德国用户 = 触发 GDPR。
误解 2:「我用 Stripe / Vercel 他们处理了」
真相:Stripe / Vercel 处理他们 part 的合规,但你是 controller,仍要自己做 Privacy Policy / Cookie consent / 用户权利响应。
误解 3:「Solopreneur 没钱做 GDPR」
真相:Solopreneur 的合规 baseline 工具 $20-50/月(Iubenda 或 Termly),加自己 4 小时配置足够。不必雇 DPO 或律师。
误解 4:「不被发现就没事」
真相:GDPR 投诉条件低,欧盟用户随时可投诉 supervisory authority。监管会向你公司发函要求 30 天回复,不回复触发罚款。
实际应用场景
场景 1:Solopreneur 单人 SaaS 月 ARR $1K-5K
合规清单:
- Privacy Policy:用 Termly / Iubenda 生成 + 嵌入网站 footer
- Cookie consent banner:用 CookieYes / Iubenda(免费档够用)
- vendor DPA:Stripe / Vercel / Resend / OpenAI / Anthropic 各签一份(dashboard 一键)
- 用户数据权利:在 dashboard 加「下载我的数据」+「删除账户」按钮
- incident response:写好 72 小时通知模板
月成本 $20-50(工具)+ 一次性 2-4 小时。
场景 2:Solopreneur AI SaaS 月 ARR $5K+
加:
- DPIA(Data Protection Impact Assessment):如果用 AI 做用户分级
- SCC 检查:每个非 adequacy 国 vendor 都有 SCC 附在 DPA
- 数据保留策略:明确数据多久删除
- 季度 vendor review:每季度 review vendor DPA 是否更新
场景 3:Solopreneur 启用「subprocessor 透明度」
如果你用 OpenAI / Anthropic 处理用户数据,需要:
- Privacy Policy 列出 subprocessors
- 用户能 opt out 某些 subprocessors
- Subprocessor 列表变更前通知用户
国内访问欧盟监管网站的环境准备
ico.org.uk / dpc.ie / cnil.fr 等欧盟监管网站在国内访问可能明显延迟。提交合规文档或回复监管 inquiry 时建议预留稳定网络环境,避免关键时刻掉线。
Iubenda / Termly 等合规工具 dashboard 在国内访问基本稳定,但更新 cookie banner 时需要稳定的网络连接。