TikTok被罚5.3亿欧元:出海数据合规到底在规什么
GDPR与CCPA不是纸面上的条款——2025年已有中国品牌因此被罚超5.5亿欧元。我们整理了出海数据合规最容易踩的7个坑,以及一套可以直接落地的五步合规框架。
2025年5月2日,爱尔兰数据保护委员会对TikTok开出了5.3亿欧元罚单。 原因不复杂:把欧盟用户数据传到了中国服务器,没走合规通道。
同年,米哈游在美国被FTC罚了2000万美元——《原神》直接收集未成年用户数据,没有获得家长同意。一款爆款游戏,一个合规漏洞,2000万美元没了。
我们服务的客户里,有家做美妆的品牌,上线欧洲独立站第三个月,收到了德国数据保护机构的调查信。起因是什么?他们的网站用了某个有问题的第三方追踪插件,结果误采集了用户的健康偏好数据——属于GDPR里定义的特殊类别数据,直接触发了高级别执法程序。
数据合规不是大公司才需要操心的事。出海,就必须直面这道门槛。
出海数据合规为什么突然变得这么紧?
GDPR自2018年生效以来,累计罚款已超过58.8亿欧元,平均单次罚款236万欧元。 2024年一年就开出了12亿欧元的罚单。
更值得警惕的是:以前被盯着的主要是谷歌、Meta这些平台巨头,现在已经开始集中处理中国企业。 NOYB(欧洲隐私组织)在2025年集中向监管机构投诉了6家中国企业:速卖通、SHEIN、Temu、微信、小米、TikTok。 这6家企业的共同问题——用户数据可能被传输到中国,没有走GDPR规定的合法转移机制。
GDPR累计罚款
58.8亿€
2018年至今,共2,245起
TikTok单笔罚款
5.3亿€
2025年5月,爱尔兰DPC
米哈游FTC罚款
2000万$
2025年,违反COPPA儿童保护法
GDPR允许对企业开出全球年营收4%的罚单。 对于营收10亿人民币的出海品牌,这个数字是5600万元。 不是小数目。
你的目标市场,适用哪些数据法规?
先搞清楚自己面对的是什么。不同市场,法律体系差异很大:
| 市场 | 主要法规 | 最高罚款 | 核心要求 |
|---|---|---|---|
| 欧盟 | GDPR(通用数据保护条例) | 年营收4%或2000万€ | 明确同意、数据最小化、跨境传输限制、72小时泄露通报 |
| 英国 | UK GDPR + DPA 2018 | 年营收4%或1750万£ | 脱欧后独立法规,内容与EU GDPR高度相似但需单独合规 |
| 美国加州 | CCPA/CPRA | 每次违规$7,500 | 消费者有权知晓/删除/拒绝出售个人数据;年收入> 2500万$或处理> 10万条记录适用 |
| 美国(儿童) | COPPA | 每次违规$5万+ | 13岁以下儿童数据,必须获得可验证的家长同意 |
| 澳大利亚 | Privacy Act 1988 | 年营收2.5% | 2024年修订后大幅加严,跨境数据传输需合规 |
| 东南亚 | PDPA(新加坡/泰国/越南各有版本) | 各国不同 | 新加坡PDPA最完善;越南PDPD 2023年新实施,执法刚起步 |
实战提示
GDPR有域外管辖权——只要你向欧盟用户提供商品或服务,或监控欧盟用户行为,就必须合规,哪怕你的公司在中国。 很多客户以为没在欧洲注册公司就不用管——这是最大的误解。
中国品牌出海最常踩的7个数据合规坑
我们帮客户做合规审计时,反复看到同一批问题。整理出来,你对照看看自己中了几个:
Cookie弹窗走形式
网站有Cookie横幅,但用户一进来默认全部勾选,或者点【拒绝】根本不生效。GDPR要求:必须是用户主动选择接受,且拒绝不得有任何惩罚。2024年有大量企业因【暗色模式】设计被罚。
第三方插件失控
用了Facebook Pixel、Google Analytics、Hotjar、某个聊天机器人……这些插件可能在你不知情的情况下采集用户数据,并传输到美国服务器。这是欧盟监管的重点打击对象。
没有隐私政策,或隐私政策是机器翻译
GDPR要求隐私政策必须清晰、易懂、具体说明数据用途。一份从中文直接翻译的、充满法律黑话的隐私政策,不达标。
数据跨境传输没走合规通道
这就是TikTok被罚的核心原因。把欧盟用户数据传到中国服务器,必须使用GDPR认可的机制:标准合同条款(SCCs)或充分性决定(中国目前没有)。大多数中小品牌完全不知道这回事。
面向儿童的产品没有专项保护条款
做玩具、教育、游戏类出海的要格外小心。米哈游踩的就是这个雷。只要产品可能被13岁以下用户使用,就必须部署儿童数据专项保护措施。
数据泄露没有应急预案
GDPR规定,一旦发生数据泄露,必须在72小时内通报监管机构,重大泄露还要通知用户。很多企业发现泄露的时候已经过去了一周。
忘了PIPL和GDPR双重合规
这是中国企业独有的困境。《个人信息保护法》要求数据出境需要安全评估;但GDPR又要求数据留在欧盟或走特定通道。两套法规有时会产生冲突,很多企业顾此失彼。
PIPL与GDPR的冲突:一个真实困境
中国《个人信息保护法》规定,个人信息出境前,企业必须向国家互联网信息办公室申报安全评估—— 这是一个行政审批流程,周期可能长达数月。
而GDPR则要求,欧盟用户数据不能传到充分性水平以下的国家(中国目前不在欧盟认可名单上), 除非使用标准合同条款(SCCs)。问题来了:如果你要合规PIPL,数据得回国审查; 但GDPR又不允许数据随便出欧盟。我们的建议:在欧盟部署独立数据基础设施, 欧盟用户数据物理上不离开欧盟,从根本上绕开这个矛盾。
五步合规框架:从零开始怎么建数据合规体系
我们帮中小出海品牌做合规,通常按这个顺序推进。不是最完美的,但是最能快速降低执法风险的:
数据地图:搞清楚你采集了什么
列出网站采集的所有数据类型(姓名、邮箱、IP、设备ID、购买记录、浏览行为……),以及每类数据的采集目的、存储位置、第三方共享情况。这一步很无聊,但不做后面全是瞎搞。
法律依据:确认每种数据处理的合法基础
GDPR要求每一种数据处理行为都有明确的合法性基础:用户同意、合同履行、法律义务、合法利益等6种之一。营销类数据几乎都需要明确同意。不要用【合法利益】来给营销数据处理打掩护——监管机构已经对这种做法明确表态不接受。
前端合规:Cookie同意机制 + 隐私政策
部署符合规范的Cookie管理平台(CMP)——推荐Cookiebot、OneTrust,有中文界面的国产方案也在崛起。隐私政策必须用目标市场语言撰写,清楚说明数据用途、保留期限、用户权利。这一步可以外包给专业律所,几万块能搞定。
跨境传输合规:SCCs或数据本地化
如果数据需要传回中国(比如客服系统、ERP、分析平台部署在国内),必须签署标准合同条款(SCCs)。更干净的方案:把欧盟业务的数据完全留在欧盟云服务(AWS法兰克福、Azure荷兰)。成本高一点,但合规风险接近零。
响应机制:数据泄露预案 + 用户权利处理
建立数据泄露应急流程(发现→评估→72小时内报告→通知用户)。设立用户数据权利请求通道(一个邮箱足够),并保证15-30天内响应。GDPR里用户有权要求:查看自己的数据、删除数据、更正数据、数据可携性。
需要设立数据保护官(DPO)吗?
很多客户问这个问题。简单说:不是所有企业都强制要求。GDPR规定,以下三种情况必须设立DPO:
公共机构
政府/公共部门(对出海品牌不适用)
大规模系统化监控
核心业务是大规模、系统地监控个人(比如广告定向平台)
大规模敏感数据
核心业务是大规模处理特殊类别数据(健康、种族、宗教等)
对大多数中小出海品牌而言,不强制要求设DPO。 但我们建议指定一个内部负责人(可以是法务或运营主管)挂名数据合规负责人, 并定期找外部律所做合规审查。这样在监管机构找上门时, 能证明你有主动合规的意愿——这在量刑时会有实质差异。
合规成本 vs 违规成本
我们帮一家年营收8000万的出海品牌做全套GDPR合规,包括数据地图、CMP部署、隐私政策重写、SCCs签署, 律所加实施费用合计约15万人民币。
对比一下:GDPR平均单次罚款236万欧元,折合人民币约1800万。 更别说被调查期间产生的律师费、业务中断损失、品牌声誉损失。合规是投资,不是成本。
今天可以做的三件事
如果你还没启动数据合规,先做这三件最紧急的:
审查你的Cookie机制本周
进你的网站,看Cookie横幅是否可以真正拒绝,拒绝后追踪是否停止。可以用浏览器开发者工具验证。
清点第三方脚本本周
列出网站上所有第三方工具(像素/分析/聊天/推荐),逐一确认数据传输目的地。有没有传到高风险国家?
重写隐私政策本月
找一家熟悉GDPR的律所,用目标市场语言写一份合规的隐私政策。这是合规体系的门面,也是监管机构第一眼看的东西。
出海合规,不是等出了事才做
我们看到过太多先跑起来再说的出海品牌——等到监管机构发函,才开始补合规。 问题是,补合规往往比一开始就做合规贵10倍,还搭上了时间和声誉。
数据合规体系搭起来之后,其实不需要太多维护成本。 它更像是出海的基础设施——搭好了,后面专心做业务就行。
有出海合规问题可以直接联系我们团队,我们提供免费的初步合规评估。 欢迎访问 清影古睿官网 了解更多出海运营支持服务,或查看 知识库 获取更多实战内容。