← 返回博客

全部文章

EO 14117 生效一周年:举报激励与私人诉讼补位执法
跨境数据

EO 14117 生效一周年:举报激励与私人诉讼补位执法

EO 14117 实施细则生效一周年,DOJ 国家安全司尚未公开重大执法,但两条路径已在收紧:FinCEN 2026年4月1日发布举报人激励拟议规则,把违反数据安全计划列入 TCR 举报表、最高分成30%制裁金;私人原告与州检察长在集体诉讼中援引 EO 14117。

·5 分钟
Lenovo、Temu、Google 涉华数据传输诉讼解读
跨境数据

Lenovo、Temu、Google 涉华数据传输诉讼解读

2026年2月起,Lenovo、Temu(PDD)、Google 相继在美国卷入涉华数据传输诉讼。私人原告与州检察机关借助州隐私法、消费者保护法与 ECPA,将 EO 14117 的国家安全议题转化为可主张高额赔偿的民事与州级责任,形成对跨境数据合规的多维围剿。

·8 分钟
EO 14117 被集体诉讼引用,AdTech 生态面临新威胁
跨境数据

EO 14117 被集体诉讼引用,AdTech 生态面临新威胁

2025年9月2日,Porcuna v. Xandr 与 Baker v. Index Exchange 两起集体诉讼把 EO 14117 与 ECPA 结合:若拦截行为违反 EO 14117 大宗数据规则,即构成 ECPA 第2511(2)(d)条的犯罪或侵权目的,使 AdTech 无法再援引一方例外抗辩。

·7 分钟
CJEU 为假名化数据传输划下新红线
跨境数据

CJEU 为假名化数据传输划下新红线

2025年9月4日,CJEU 在 EDPS 诉 SRB 案中裁定:数据是否“可识别”须从控制者视角、在收集时点判断;假名化不能免除控制者的透明度义务。本文梳理判决三大结论、假名化的相对性,以及对企业数据共享实践的影响,EDPB 已就此召集专门利益相关者会议。

·4 分钟
欧盟法院确认 EU-US DPF 充分性决定有效
跨境数据

欧盟法院确认 EU-US DPF 充分性决定有效

2025年9月3日,欧盟普通法院在 Latombe 诉委员会案中驳回对 EU-US 数据隐私框架的挑战,确认其充分性决定有效。这是继安全港、隐私盾相继失效后,欧美跨境传输机制首次通过司法审查。本文梳理 DPRC 独立性、批量收集与实质等同三大裁决要点,以及企业仍需保留 SCC 备用方案的原因。

·3 分钟
EO 14117 自测:你的企业是否落入监管范围?
跨境数据

EO 14117 自测:你的企业是否落入监管范围?

判断企业是否落入美国 EO 14117 监管,看三件事:是否涉及美国人的受保护敏感数据、是否达到批量门槛、是否通过受涵盖交易流向中国等关注国家。行政令2025年4月8日生效、审计要求10月6日生效,违规面临刑事责任与千万级罚款。本文给出自测清单。

·3 分钟
TikTok 因数据跨境被爱尔兰 DPC 罚 5.3 亿欧元
跨境数据

TikTok 因数据跨境被爱尔兰 DPC 罚 5.3 亿欧元

2025年5月2日,爱尔兰 DPC 依 GDPR 对 TikTok 处以5.3亿欧元罚款,认定其在未提供充分保障的前提下将 EEA 用户数据传输至中国,违反第46(1)条,且隐私政策不透明违反第13(1)(f)条。这是继2023年3.45亿欧元后又一重大处罚,TikTok 须在六个月内整改。

·4 分钟
隐私快讯 | 14117生效之后企业如何应对?美国国家安全局发布合规建议
跨境数据

隐私快讯 | 14117生效之后企业如何应对?美国国家安全局发布合规建议

本篇文章将着重参考美国国家安全局发布的合规指南的主要内容,为出海企业遵守数据安全计划提供合规建议。

·14 分钟
隐私快讯|14117生效之后企业如何应对?美国国家安全局发布FAQs
跨境数据

隐私快讯|14117生效之后企业如何应对?美国国家安全局发布FAQs

为了帮助公众遵守根据14117命令实施的数据安全计划,NSD发布了合规指南、一个包含100多个常见问题的FAQs清单,以及为期90天的实施执行政策。本篇文章将着重参考FAQs的主要内容。

·18 分钟
隐私快讯|14117正式生效,中国出海企业该如何善用90天的“宽限期”?
跨境数据

隐私快讯|14117正式生效,中国出海企业该如何善用90天的“宽限期”?

为了帮助公众遵守DSP,NSD发布了合规指南、一个包含100多个常见问题的FAQs清单,以及为期90天的实施执行政策。本期文章将着重该90天实施执行宽限期。

·5 分钟
隐私快讯|美国EO14117的最终规定要生效了,您的企业做好准备了吗?
跨境数据

隐私快讯|美国EO14117的最终规定要生效了,您的企业做好准备了吗?

美国司法部在2025年1月8日正式发布关于实施拜登政府第14117号行政令的最终规则(以下简称“最终规定”)即将于今日(2025年4月8日)正式生效。

·4 分钟
隐私快讯|noyb 投诉六家中国公司的数据跨境违规
跨境数据

隐私快讯|noyb 投诉六家中国公司的数据跨境违规

1 月 16 日,noyb 对 TikTok、AliExpress、SHEIN、Temu、WeChat 和小米提出 GDPR 投诉,指控其非法数据传输至中国。

·4 分钟
隐私快讯|中美“数据脱钩”终成定局,美国司法部发布数据跨境传输最终规定
跨境数据

隐私快讯|中美“数据脱钩”终成定局,美国司法部发布数据跨境传输最终规定

美国时间2024年12月27日,美国司法部发布禁止敏感个人数据向部分国家跨境传输的最终规则(以下称“最终规则”)。

·12 分钟
隐私快讯|巴西数据保护机构发布《数据跨境传输条例》和标准合同条款(SCCs)
跨境数据

隐私快讯|巴西数据保护机构发布《数据跨境传输条例》和标准合同条款(SCCs)

巴西国家数据保护局(ANPD)发布 CD/ANPD 第 19 号决议。决议批准了《数据跨境传输条例》和标准合同条款(SCCs),以规范将个人数据传输至巴西境外的行为。

·6 分钟
隐私快讯|Uber 因违规向美国跨境传输司机数据被罚款2.9亿欧元
跨境数据

隐私快讯|Uber 因违规向美国跨境传输司机数据被罚款2.9亿欧元

荷兰数据保护局向 Uber 处以 2.9 亿欧元的罚款,因其违反规定将欧盟地区司机个人数据传输到美国。

·4 分钟
案例判罚 |阿里因违规跨境转移个人信息被罚19.78亿韩元
跨境数据

案例判罚 |阿里因违规跨境转移个人信息被罚19.78亿韩元

韩国个人信息保护委员会因阿里违反韩国《个人信息保护法》跨境转移用户个人信息,决定对其处以19.78亿韩元的罚款(折合约143万美元),并责令其整改。

·4 分钟
CNIL 发布 TIA 实用指南草案:数据跨境六步评估
跨境数据

CNIL 发布 TIA 实用指南草案:数据跨境六步评估

法国数据保护机构 CNIL 于 2024 年 1 月 8 日发布数据转移影响评估(TIA)实用指南草案并征求公众意见。指南依 EDPB 建议给出六步流程,指导企业在依赖 SCC 等 GDPR 第 46 条工具向欧洲经济区外转移个人数据时评估目的地保护水平并采取补充措施。

·4 分钟
沙特 PDPL 及境外数据传输规定于2023年9月生效
跨境数据

沙特 PDPL 及境外数据传输规定于2023年9月生效

沙特阿拉伯《个人数据保护法》(PDPL)执行条例与《境外个人数据传输规定》最终版于2023年9月7日发布、9月14日生效。本文梳理 PDPL 的适用范围、同意与数据主体权利、72小时泄露通知,以及跨境转移的 Schrems II 式评估、SCC/BCR 与数据本地化要求。

·4 分钟
noyb 就非法跨境转移数据对 Fitbit 提起 GDPR 申诉
跨境数据

noyb 就非法跨境转移数据对 Fitbit 提起 GDPR 申诉

2023年8月31日,隐私组织 noyb 向奥地利、荷兰、意大利数据保护机构申诉 Fitbit,指其强迫欧洲用户同意将健康数据转移至美国等第三国、撤回同意的唯一方式是删账户。本文解析 GDPR 第44、49条与 SCC、同意并用为何被质疑,罚款或高达112.8亿欧元。

·4 分钟
欧盟-美国数据隐私框架 DPF 7 月 10 日生效
跨境数据

欧盟-美国数据隐私框架 DPF 7 月 10 日生效

2023 年 7 月 10 日,欧盟委员会通过 EU-US DPF 充分性决定,参与框架的美国企业可无额外措施接收欧盟个人数据。本文梳理从安全港、隐私盾到 DPF 的第三次尝试、企业加入清单的认证流程与八项原则,以及未列入清单时仍可用 SCC/BCR 的选项。

·4 分钟
瑞典就 Google Analytics 传美数据开出罚单
跨境数据

瑞典就 Google Analytics 传美数据开出罚单

2023 年 7 月,瑞典隐私保护局 IMY 认定四家企业用 Google Analytics 将个人数据传至美国违反 GDPR,对 Tele2、CDON 分别罚 1200 万、30 万瑞典克朗,并令其余企业停用。本文说明为何 SCC 之外还需额外保障措施,以及网站运营商可采取的降险措施。

·4 分钟
Meta 被罚 12 亿欧元:SCC 为何不再够用
跨境数据

Meta 被罚 12 亿欧元:SCC 为何不再够用

2023 年 5 月,爱尔兰 DPC 依 GDPR 对 Meta 处以 12 亿欧元罚款,创下 GDPR 最高纪录,理由是仅靠标准合同条款(SCC)无法弥补美国法律的保护落差。本文梳理从 Schrems II 到本案的逻辑,说明为何 SCC 未失效、但企业须叠加转移影响评估与补充措施。

·4 分钟
跨境数据的隐私政策怎么写:SHEIN 与亚马逊的答卷
跨境数据

跨境数据的隐私政策怎么写:SHEIN 与亚马逊的答卷

跨境电商的海外数据回流几乎不可避免,隐私政策怎么写既满足披露义务又能控制合规风险?本文拆解 SHEIN 与亚马逊面向美国、欧洲用户的不同措辞,并逐条梳理 GDPR 第44-49条的合规路径:充分性认定、SCC、BCR、行为准则与例外情况 Derogations。

·5 分钟
丝芙兰 120 万美元 CCPA 和解:用 GA 也算“出售”数据
跨境数据

丝芙兰 120 万美元 CCPA 和解:用 GA 也算“出售”数据

2022年8月加州总检察长与丝芙兰达成120万美元 CCPA 和解:让 Google Analytics 用第三方 Cookie 换广告服务被认定为“出售”个人信息,且未提供 Do Not Sell 选项、忽视 GPC 信号。本文拆解四项指控与整改路径。

·4 分钟

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.