欧盟《网络韧性法案》(Regulation (EU) 2024/2847)为含数字元素的产品设定强制网络安全要求:2024年12月10日生效、2027年12月11日全面适用,其中第14条报告义务自2026年9月11日起先行落地,最高罚款1500万欧元或全球营业额2.5%。
2025年12月19日,奥地利最高法院(OGH)终审裁定 Meta 个性化广告数据处理违法,否定「履行合同所必需」抗辩,认定其无差别抓取第三方敏感数据、未完整履行 GDPR 第15条访问权,判赔500欧元。本文拆解三项违规,并给出跨国企业的三点合规指引。
2025年10月14日,ISO/IEC 27701:2025 正式发布,隐私信息管理体系(PIMS)成为独立标准,不再作为 ISO 27001 的扩展。企业可直接认证隐私合规,无需先行或并行实施 27001。本文梳理三条认证路径与第4–10条核心条款。
2025年9月12日,EDPB 通过《DSA 与 GDPR 相互关系指南》(Guidelines 3/2025),公众咨询至 10月31日。本文梳理两法互补的定位,以及在通知-行动机制、欺骗性设计、广告透明度、推荐系统、未成年人保护等场景下中介服务商的 GDPR 义务。
2025年6月,越南正式通过《个人数据保护法》(PDPL),该法标志着越南正式建立起覆盖全国范围的、统一的个人数据保护法律框架。该法律将于2026年1月1日起施行,是当前越南最严格、全面的隐私法规,届时将取代2023年发布的《第13/2023/NĐ‑CP号法令》(PDPD)。
马来西亚《个人数据保护法》修正案自2025年6月1日起全面生效,引入任命数据保护官、数据泄露通报机制及数据可携权等关键制度。为配合新法落地,监管机构发布《DPO 指南》和《数据泄露通知指南》,进一步规定企业合规责任与风险管理要求。
2025 年 4 月 14 日,欧洲数据保护委员会 (EDPB) 就关于《通过区块链技术处理个人数据的指南》征求公众意见,该指南涉及通过区块链技术处理个人数据的问题,并强调需符合《通用数据保护条例》的要求,涵盖区块链的基本原理、架构设计、数据保护措施,以及进行数据保护影响评估(DPIA)的必要性等方面。
苹果要求通过 App Store 在欧盟提供商品/服务的企业(即“交易商”)需要提交身份信息,相关交易商需按照 DSA 要求,于2025年2月17日前,即 DSA 全平台生效之日起一年内,在“商务”板块设置交易商身份,否则相关 App 将从欧盟地区的 App Store 中下架。
Kaamel携手AWS,助力TENWAYS通过定制的隐私合规全链路解决方案,成功降低了隐私合规风险,并实现了持续合规运营,有效保护用户数据,满足GDPR、CCPA等全球数据保护法规要求。
Kaamel携手AWS,为敦煌网提供隐私态势及风险管理平台(PPRM),帮助其应对跨境电商的隐私合规挑战。通过隐私风险态势及风险管理平台(PPRM),实现对数据收集、用户同意管理和数据传输安全等方面的持续监控和评估,确保其全球运营符合GDPR、CCPA等法规要求,显著降低合规风险,并提升用户信任和品牌声誉。
近日,Kaamel 通过了系统和组织控制 (System and Organization Controls, SOC) 2 类型 II 审核。
欧盟发布《<数据法案>常见问题解答》,就《数据法案》与 GDPR 的关系、物联网相关的数据访问等问题进行说明。本文将全面梳理《数据法案》的核心内容。
近日,Kaamel 在数据隐私和安全领域的工作在外媒 Adweek 的新闻报道中获得了认可。
新加坡个人数据保护委员会提示企业在2024年9月30日之前通过会计与企业管制局下设的 Bizfile+ 网站注册数据保护专员(DPO)。
得州总检察长向超过一百家公司发函,提醒其未在法定期限内按照得州最新实施的数据经纪人法案,向得州州务卿注册为数据经纪人。
只要通过 Web、App、IoT 设备或云服务采集、存储、处理、传输、交换、销毁个人数据,或在海外设有公司实体,就会触发海外隐私合规。本文面向出海企业,梳理这四类采集载体、海外实体这一独立判断维度,以及什么才算受监管的个人数据,帮助快速判断自身是否落入合规范围。
出海隐私合规最容易翻船的有四处:全球法规框架差异、合规实践细节差异、特定行业与人群的专门立法(AI、生物识别、健康数据、儿童隐私),以及产品数据处理实践的识别难度。本文逐一拆解这四大暗礁,说明它们各自出现在从顶层设计到落地执行的哪个阶段,以及为何单一背景团队易留盲区。
出海隐私合规可拆成四步落地:全面检测合规现状并做法规调研与适配,识别差距并开展风险治理,准备合规自证材料,以及保持持续合规运营。本文逐步说明每一步的重点、常见交付物(如对外披露政策、Cookie 同意管理、合规文档与第三方评价),以及如何把合规沉淀为长期机制。
隐私合规难,不在于遵守一部法律,而在于多个法域的多部法规同时规范同一批个人数据,且各法域对个人数据的定义与时效持续变动。本文面向出海企业,说明它为何横跨法律与技术两层、覆盖数据采集到销毁的全生命周期,以及为何 Meta 等企业要组建千人量级的专职合规团队。
出海企业必须做隐私合规,因为全球已有超过130个国家和地区立法,一旦触发监管审查,轻则应用下架、业务暂停、用户流失,重则巨额罚款与品牌受损。本文说明自2018年 GDPR 后合规重心为何转向数据保护,以及为何合规体系要匹配企业出海生命周期、成为海外发展的基石。
出海隐私合规最容易触礁的有四个维度:各国法规框架差异、合规实践细节差异、特定行业与人群的专门立法(AI、生物识别、健康、儿童),以及产品数据处理实践识别的高门槛。本文面向出海企业逐一说明这四类暗礁为何难以一次越过,以及它们如何影响产品与技术设计。
全球已有超过130个国家和地区设立隐私保护法律,出海企业一旦遭遇监管审查,轻则应用下架、业务暂停、用户流失,重则巨额罚款、媒体曝光与舆论风波。本文说明全球监管现状、监管审查的实际代价,以及为什么要把隐私合规做成贯穿出海生命周期的长期能力而非事后补救。
个人数据既是出海业务的核心资产,也是最容易招致监管处罚的风险点,值得像守护财务资产一样守护。本文说明哪些情形会触发海外隐私合规、为什么要把个人数据当资产按采集到销毁的全生命周期管理,以及守不住数据资产可能带来的应用下架、业务暂停、巨额罚款与品牌损失。
隐私合规指按各法域要求合规处理个人数据,覆盖采集、存储、处理、传输、交换到销毁的全生命周期。本文面向出海企业,说明它为何因多法域交叉、法规时效多变而复杂,为何既是法律问题又需要技术支撑,以及全球已有超过130个国家和地区立法、大型企业为何组建专职合规团队。