
GDPR Article 33 要求控制者自“知悉”个人数据泄露起72小时内向监管机构上报,逾期或被追责。本文讲清三步判断是否需上报、72小时如何计时起算、上报给谁、报什么,以及72小时内查不清时先报后补的做法,帮出海企业在时限内从容应对。

2022年5月,Twitter 因把用户为多因素认证提供的电话、邮箱挪作定向广告,向 FTC 支付1.5亿美元和解,逾1.4亿用户受影响。本文拆解定向广告的欧美监管口径(含 Amazon 7 亿欧元、Google 5000 万欧元 GDPR 罚单),给出信息透明、有效同意、可撤回退出三条合规红线。

暗黑模式(Dark Pattern)用误导性界面诱导用户交出数据或放弃退出权。本文按 FTC 2022年9月《暗黑模式报告》分类,结合 TransUnion、LinkedIn、Airbnb 案例,梳理 GDPR、CCPA/CPRA 如何约束欺骗性同意与退出设计。

跨境电商的海外数据回流几乎不可避免,隐私政策怎么写既满足披露义务又能控制合规风险?本文拆解 SHEIN 与亚马逊面向美国、欧洲用户的不同措辞,并逐条梳理 GDPR 第44-49条的合规路径:充分性认定、SCC、BCR、行为准则与例外情况 Derogations。

2019年一名数据科学家向 Meta 报告 Instagram 在 HTML 源码泄露儿童联系方式,客服争辩未予重视,四个月后他转告爱尔兰 DPC,最终演变成4.05亿欧元罚款。本文按判决书拆解 Article 12/35/25/5/6 的处罚金额与逐条违规。

TikTok 前身 Musical.ly 因违反美国 COPPA 被 FTC 罚570万美元。本文以此案拆解 COPPA 的适用逻辑:13岁以下保护、运营商“事实知识”认定、面向儿童判定标准,以及隐私政策、可核实家长同意、留存删除与安全港等合规要求。