面向美国及非欧洲公司的 GDPR 合规：实用指南

许多美国企业以为《通用数据保护条例》（GDPR）只适用于欧洲公司。这种判断很危险。如果你的业务向欧盟境内的个人提供商品或服务、监控其行为，或在与这些活动相关的情况下处理其个人数据，那么即使你的公司是在美国成立并运营，GDPR 也可能适用。

对于创始人、初创公司和正在成长的小型企业来说，问题不仅仅是法律理论。GDPR 可能影响你如何收集电子邮件地址、投放广告、使用 cookie、存储客户记录、处理付款、管理承包商以及应对安全事件。如果你的企业在美国注册成立，并面向国际受众，隐私合规就需要从一开始纳入你的运营模式。

本指南将说明什么是 GDPR，为什么非欧洲公司可能需要遵守，哪些数据受其保护，以及哪些实用步骤有助于降低风险。

什么是 GDPR

GDPR 是欧盟的数据保护法律。它旨在让个人对其个人数据如何被收集、使用、共享、存储和删除拥有更多控制权。

该法律适用范围很广，涵盖许多不同类型的数据处理活动，包括：

• 通过表单收集联系信息
• 运行电子邮件营销活动
• 使用 cookie 或分析工具跟踪网站访问者
• 存储客户或员工记录
• 与供应商、平台或服务提供商共享数据
• 处理支付和订阅数据
• 使用自动化系统对用户进行画像或分群

GDPR 还对透明度、安全性、数据主体权利、数据泄露应对和问责提出要求。实际上，这意味着企业需要的不只是隐私政策，还需要真正可执行的流程。

为什么美国公司也可能被涵盖

GDPR 并不局限于位于欧盟境内的公司。当组织符合以下任一情形时，欧盟之外的机构也可能受到该法规约束：

• 向欧盟境内的人提供商品或服务
• 监控欧盟境内人员的行为，包括通过跟踪技术或行为分析

这意味着，即使你的所有所有者、员工和服务器都在美国，美国初创公司、在线商店、SaaS 公司、顾问、应用开发者或电子商务品牌也可能落入 GDPR 的适用范围。

例如：

• 一家特拉华州公司向法国或德国客户销售数字产品
• 一家德克萨斯州有限责任公司向欧盟居民投放付费广告
• 一家加利福尼亚初创公司使用分析工具和 cookie 研究欧盟访问者
• 一家纽约咨询公司收集来自欧盟客户的咨询信息

如果你的业务与欧盟境内人员存在有意建立的关系，就应评估 GDPR 是否适用。

什么属于个人数据

GDPR 对个人数据的定义很宽泛。它并不局限于姓名或政府身份证号等显而易见的标识符。只要信息与可识别的个人有关，就可能受到该法规保护。

常见示例包括：

• 姓名
• 电子邮件地址
• 邮寄地址
• 电话号码
• IP 地址
• 设备标识符
• 位置信息
• Cookie 标识符
• 付款信息
• 账户登录信息
• 雇佣记录
• 健康信息
• 基于 IP 的行为数据

一条信息不必单独就能识别某人，只要它可以合理地与某个个人关联，就可能属于个人数据。

这种宽泛的定义也是许多企业低估该法律的原因之一。只要涉及欧盟居民，一个简单的订阅表单、客户门户或网页分析工具都可能触发合规义务。

为什么“我们公司设在美国”不是安全理由

一些企业认为，只要公司是依据美国州法设立的，GDPR 就不会适用于它们。这并不是 GDPR 的运作方式。

GDPR 关注的是处理活动、数据主体以及与欧盟的关联。你的公司在哪里成立远没有你的公司实际在做什么重要。

如果你的业务以 GDPR 所覆盖的方式处理欧盟个人数据，那么无论你是否属于以下情形，都可能需要遵守该法规：

• 依据特拉华州、怀俄明州、佛罗里达州或其他任何州法成立的公司
• 单一成员有限责任公司
• 自筹资金的初创公司
• 没有美国境外实体办公地点的远程公司

这也是创始人在设立新公司时应尽早考虑合规的原因之一。公司设立只是开始，公司的运营、供应商、合同和客户流转都很重要。

企业应了解的 GDPR 主要原则

GDPR 建立在一套核心原则之上，这些原则塑造了日常合规。对小型企业最重要的包括：

合法性、公平性和透明性

你需要有合法依据来处理个人数据，并且必须用清晰的语言说明你在做什么。

目的限制

个人数据只能用于你已披露的特定目的。不要为了一个理由收集数据，然后在没有适当通知和合法依据的情况下将其重新用于无关目的。

数据最小化

只收集你真正需要的数据。数据越多，风险越高。

准确性

保持个人数据准确，并在需要时更新记录。

存储限制

不要因为可以就无限期保存个人数据。只在你披露的目的所需期限内保留数据。

完整性和保密性

使用合理的技术和组织措施保护个人数据安全。

问责制

能够证明你正在合规。政策很重要，记录、合同和内部流程也同样重要。

处理数据的合法依据

根据 GDPR，公司通常需要具备合法依据才能处理个人数据。常见依据包括：

• 同意
• 履行合同
• 法定义务
• 重大利益
• 公共任务
• 合法利益

对许多美国企业来说，最常见的依据是同意、履行合同和合法利益。

关键点是，同意并非总是必需的，但如果使用同意，它必须是知情的、具体的、自由给出的，并且容易撤回。预先勾选的复选框或含糊的全盘授权通常不够。

小型企业的常见触发因素

如果你的企业有以下任何行为，可能需要审查 GDPR 义务：

• 向欧盟客户销售产品或服务
• 运营一个主动向欧盟居民营销的网站
• 进行再营销或行为广告投放
• 使用 cookie、像素或分析工具跟踪访问者
• 向欧盟联系人发送促销电子邮件
• 存储客户账户资料
• 使用第三方支付处理商、CRM 或帮助台软件来处理欧盟数据
• 收集来自欧盟候选人的求职申请

即使企业规模很小，只要存在欧盟客户或用户，也可能产生合规义务。

为什么按 IP 屏蔽并不是可靠策略

有些公司试图通过屏蔽欧盟访问者，或者要求他们点击免责声明声明自己不在欧盟，来规避 GDPR。这些做法并不可靠。

IP 地理定位并不完美。VPN、移动运营商、共享网络和旅行都可能掩盖用户的真实位置。表单字段或复选框也无法解决核心问题，即你的企业是否实际上在向欧盟居民提供服务或监控其行为。

如果公司想避免 GDPR 风险，唯一持久的方案是根据这些要求设计业务模式和网站实践。在许多情况下，更好的答案是直接合规。

提升 GDPR 准备度的实用步骤

小型企业不需要庞大的法务团队也能更好地准备 GDPR 合规，但它确实需要结构化的方法。

1. 梳理你的数据

识别你收集了哪些个人数据、数据来源、数据去向、谁可以访问以及保留多久。

2. 减少不必要的收集

如果表单上的某个字段并非必要，就删除它。如果某个供应商工具收集了你从未使用的数据，就重新评估它。

3. 更新隐私声明

你的隐私声明应清楚说明：

• 你收集哪些数据
• 你为何收集这些数据
• 处理数据的合法依据
• 是否与第三方共享数据
• 数据保留时长
• 用户拥有哪些权利
• 用户如何联系你

4. 审查 Cookie 和跟踪工具

如果你使用分析工具、广告像素、再营销工具或会话回放软件，就要确定是否需要同意或其他披露。

5. 签订供应商协议

如果服务提供商代表你处理个人数据，你需要合同来适当分配责任。对于托管、薪资、CRM、电子邮件营销和客户支持平台，这一点尤其重要。

6. 建立数据主体请求流程

欧盟个人可能有权访问、更正、删除或限制其个人数据的使用。你应该知道请求将如何接收、验证、跟踪和答复。

7. 为数据泄露做好准备

制定安全事件响应计划。GDPR 在某些泄露情形下可能要求及时通知，因此你应明确由谁负责、记录哪些内容以及何时需要法律审查。

8. 培训团队

任何处理客户数据的人都应了解基本的隐私和安全要求。政策只有在大家真正遵守时才有价值。

数据安全很重要

安全不仅仅是 IT 问题。根据 GDPR，个人数据必须受到保护，防止未经授权的访问、披露、篡改和丢失。

良好的基础控制通常包括：

• 强密码和多因素身份验证
• 基于角色的访问控制
• 适当情况下的数据传输和静态加密
• 供应商尽职调查
• 定期软件更新和补丁
• 备份和恢复流程
• 对敏感系统的访问日志记录
• 对过期记录进行安全处置

小型企业不需要把一切都过度工程化，但应能够解释自己的选择，并证明已采取合理措施。

对初创公司和新公司需要特别关注的事项

如果你现在正在成立企业，那么隐私合规应该纳入你的启动清单。尤其是当你预期会服务美国以外的客户时，这一点更重要。

当创始人在设立公司时，通常已经在决定实体类型、所有权、注册代理服务、经营协议、银行业务和税务登记。此时同样适合考虑：

• 企业将收集哪些数据
• 哪些供应商将处理这些数据
• 企业将瞄准哪些客户市场
• 企业是否会有欧盟访问者或客户
• 启动前应建立哪些内部政策

Zenind 支持创业者完成公司设立流程，而隐私准备也是同样严谨方法的一部分：从一开始就把企业搭建正确，避免未来增长带来可避免的风险。

何时寻求法律帮助

GDPR 内容细致，许多企业都需要法律支持来评估自身的具体义务。如果出现以下情况，你应考虑寻求专业指导：

• 你的公司有欧盟客户或用户
• 你收集敏感个人数据
• 你高度依赖广告、跟踪或画像分析
• 你处理大量数据
• 你不确定适用哪种合法依据
• 你需要起草或审查供应商协议
• 你收到了来自欧盟居民或监管机构的请求

本文仅为实用概述，不构成法律意见。若要进行真正的合规评估，应与合格律师或隐私专业人士合作。

关键要点

• GDPR 可能适用于美国及其他非欧洲公司。
• 该法律关注你如何处理个人数据，而不仅仅是公司在哪里设立。
• 个人数据的定义很广泛，可包括 IP 地址、cookie 和行为标识符。
• 小型企业应梳理数据流、更新声明、管理供应商并准备用户权利请求。
• 如果你的公司服务欧盟客户或跟踪欧盟访问者，GDPR 应成为你运营计划的一部分。

结论

对于美国企业而言，GDPR 并不是遥远的欧洲问题。它是一个实际的合规问题，可能影响你的网站如何运行、合同如何起草、营销如何执行，以及数据如何受到保护。

最擅长处理 GDPR 的公司，并不是那些忽视它的公司，而是那些尽早识别它、尽量少收集数据、制定明确规则并从一开始就把合规纳入工作流程的公司。如果你的企业正处于成立阶段，或者准备拓展国际市场，现在就是把各项工作理顺的合适时机。