在全球範圍內,隨著數據隱私意識的覺醒,各大經濟體都制定了嚴格的法律來保護用戶數據。對於網站營運者來說,了解並遵守這些法規至關重要,否則可能面臨巨額罰款。
以下是截至 2025 年 1 月,全球主要的數據隱私合規法規列表及詳細中文解釋。
全球主要隱私合規法規一覽表
| 法規名稱 (簡稱) | 全稱 (英文) | 適用地區 | 生效/主要修訂時間 | 核心特點與合規要求 |
|---|---|---|---|---|
| GDPR | General Data Protection Regulation | 歐盟 (EU) 及 EEA | 2018年 | 全球最嚴格。「默認同意」無效(需用戶主動點擊同意),擁有「被遺忘權」,罰款高達全球營收的4%。 |
| CCPA / CPRA | California Consumer Privacy Act / Rights Act | 美國 (加利福尼亞州) | 2020年 / 2023年 | 「選擇退出」 (Opt-out) 模式。必須提供「不出售/共享我的個人資訊」連結。CPRA 增加了對敏感數據的保護。 |
| PIPL | Personal Information Protection Law | 中國 | 2021年 | 《個人資訊保護法》。強調數據本地化、跨境傳輸安全評估,特定場景需「單獨同意」。 |
| LGPD | Lei Geral de Proteção de Dados | 巴西 | 2020年 | 南美版 GDPR。適用範圍廣,無論數據處理者在何處,只要處理巴西公民數據即受管轄。 |
| PIPEDA | Personal Information Protection and Electronic Documents Act | 加拿大 | 2000年 (持續更新) | 聯邦級法律。強調獲取同意的意義,要求組織指派隱私官,近期改革法案 (C-27) 正在推進中。 |
| DPDP Act | Digital Personal Data Protection Act | 印度 | 2023年 | 適用於印度境內的數字個人數據。設立了數據保護委員會,對違規行為有嚴格罰款結構。 |
| APPI | Act on the Protection of Personal Information | 日本 | 2003年 (2022修訂) | 亞洲最早的隱私法之一。修訂后加強了對跨境傳輸和數據泄露報告的要求。 |
| PDPA | Personal Data Protection Act | 新加坡 | 2012年 (2020修訂) | 平衡商業需求與個人數據保護。引入了數據可攜帶權,加大了罰款力度。 |
重點法規詳細中文解讀
1. GDPR (歐盟通用數據保護條例) - 行業金標準
- 地位: 被認為是全球數據隱私保護的「黃金標準」,也是許多其他國家立法的藍本。
- 核心邏輯:Opt-in (選擇進入)。 網站在收集 Cookie 或個人數據前,必須獲得用戶明確、主動的同意(不能預先勾選同意框)。
- 長臂管轄: 即使你的公司不在歐盟,只要你向歐盟公民提供商品、服務或監控其行為,就必須遵守。
- 關鍵權利:
- 被遺忘權 (Right to Erasure): 用戶有權要求刪除其所有數據。
- 數據可攜帶權 (Data Portability): 用戶可以將數據從一個服務商轉移到另一個。
- 違規後果: 最高罰款可達 2000 萬歐元或全球年營業額的 4%(取較高者)。
2. CCPA / CPRA (美國加州消費者隱私法案) - 美國風向標
- 地位: 雖然是州法律,但由於加州經濟體量巨大,它實際上成為了美國事實上的國家標準。
- 核心邏輯:Opt-out (選擇退出)。 網站可以默認收集數據,但必須告知用戶,並賦予用戶拒絕出售或共享其數據的權利。
- 網站必備: 網站頁腳必須有一個清晰的連結,寫著 “Do Not Sell or Share My Personal Information” (不出售或共享我的個人資訊)。
- CPRA (升級版): CPRA 修正了 CCPA,增加了「限制使用敏感個人資訊」的權利,並設立了專門的執法機構 (CPPA)。
3. PIPL (中國個人資訊保護法) - 中國營運必備
- 地位: 中國首部專門針對個人資訊保護的綜合性法律,與《網路安全法》、《數據安全法》共同構成中國數據合規的「三駕馬車」。
- 核心邏輯: 類似於 GDPR,強調「告知-同意」原則。
- 獨特之處:
- 單獨同意: 在處理敏感個人資訊、向他人提供、公開、跨境傳輸等高風險場景下,必須取得用戶的單獨同意(不能概括在隱私政策中一攬子同意)。
- 數據本地化: 關鍵資訊基礎設施營運者和處理大量個人資訊的企業,必須將數據存儲在中國境內。跨境傳輸需要通過安全評估或認證。
4. LGPD (巴西通用數據保護法)
- 特點: 框架結構深受 GDPR 影響。
- 適用性: 只要數據處理髮生在巴西,或者目的是向巴西境內的個人提供商品/服務,該法即適用。
- 法律基礎: 它列出了處理數據的 10 個法律依據(如用戶同意、履行法律義務等),企業必須明確基於哪一個依據來處理數據。
5. DPDP Act (印度數字個人數據保護法)
- 背景: 經過多年的草案修改,于2023年正式通過。
- 核心: 專注於「數字」數據。它將數據主體稱為「數據本主」 (Data Principals),將公司稱為「數據受托人」 (Data Fiduciaries)。
- 同意管理: 要求通過「同意管理器」 (Consent Managers) 這一新角色來透明地管理用戶同意。
網站如何應對全球合規 (通用建議)
如果你營運一個面向全球的網站,建議採取以下最高標準的合規措施:
- Cookie 彈窗 (Consent Banner): 實施精細化的 Cookie 管理,允許用戶選擇接受「必要的」、「行銷的」或「統計的」Cookie(符合 GDPR 標準)。
- 透明的隱私政策: 用通俗易懂的語言解釋你收集什麼數據、為什麼收集、會分享給誰。
- 用戶權利入口: 在網站顯眼位置(通常是頁腳)提供入口,讓用戶可以請求查看、下載或刪除他們的數據(DSAR - Data Subject Access Request)。
- "不出售"連結: 針對美國加州用戶,專門設置 Opt-out 連結。
- 數據最小化: 只收集你業務絕對需要的數據,不要過度收集。