中国公司 GDPR 合规:从 PIPL 出发的 90 天落地手册
Alexander Sverdlov
高级安全顾问
本文要点
- PIPL 与 GDPR 的控制目标 重合度约 70%,但在五个地方有结构性差异:法律基础、数据主体权利清单、跨境路径、监管机关、罚款逻辑
- 中国公司面对欧洲客户最常见的失败不是技术控制,而是 没有可签的 DPA 与 SCC 模板,导致采购流程冻结 4 至 8 周
- GDPR 项目对一家 30 至 100 人、PIPL 已合规的中国 SaaS,USD 18,000 至 32,000 全包,10 至 14 周可完成首次落地
- 跨境数据传输有四条合法路径:充分性认定、SCC、BCR、第 49 条豁免。对中国公司只有 SCC 真正可用,外加 TIA 评估
- EDPB 与各成员国监管机关(CNIL、ICO、GPDP、BfDI)的执法重点不同。德国法务最严,法国监管最积极,爱尔兰最常被选作主监管
- 2026 年欧盟 AI 法案与 GDPR 叠加生效,AI 类 SaaS 还要追加 影响评估(FRIA)+ 训练数据来源说明。提前一步可以省掉两次返工
最近一个上海做协同办公 SaaS 的 CTO 在一个周一的上午找到我们。他们刚拿到一家德国汽车零部件集团的 IT 部门试用合同,三个月试点结束后年合同金额约 EUR 380,000。德方法务部门发来的 DPA 模板有 32 页,要求 14 天内回复。问卷里第一题是「请说明贵公司对个人数据的法律基础(Article 6)以及处理特殊类别数据的依据(Article 9)」。CTO 看完只问了一句:「PIPL 那套同意书能直接翻译过去吗?」
不能。GDPR 和 PIPL 看起来很像,但落地到合同语言、技术细节、客户问卷里完全是另一回事。这家公司最终在第 12 天交付了 DPA、SCC 模块二、TIA 简版报告、ROPA 摘要、以及一份 8 页的合规说明。德方法务在第二轮提出 7 个问题,全部当周解决。第 21 天合同签字,三个月试点期顺利启动。
下面是这套打法,以及我们陪走过的几家进入欧洲市场的中国 SaaS 项目里反复验证的经验。
第一步
PIPL 与 GDPR:重合 70%,差异在哪 30%
PIPL(个人信息保护法)在 2021 年颁布时就被广泛认为是「中国版 GDPR」。这个标签不算错,但容易让中国合规团队以为「PIPL 合规 = GDPR 合规」。实际落地中,两者的控制目标重合约 70%,但有五处结构性差异,这五处是欧洲客户法务最早会问的:
最常被低估的是第二点(数据主体权利)和第四点(监管机关)。PIPL 没有可携带权(data portability),所以国内 SaaS 产品大多没有「一键导出我的所有数据」功能。而 GDPR 第 20 条明确要求结构化、机器可读的可携带格式,欧洲客户的安全问卷一定会问。第四点更关键:GDPR 要求所有「在欧盟没有设立机构、但向欧盟人员提供服务」的公司必须指定欧盟代表(Article 27)。这一条几乎所有第一次进入欧洲的中国公司都漏掉。
第二步
中国 SaaS GDPR 合规的 6 个核心义务
把 GDPR 99 条简化成「日常该做什么」,对中国 SaaS 公司就是六件事。我们在每个项目里都按这六件事盘点,没有一家公司能跳过任何一项。
| 义务 | GDPR 条款 | 中国 SaaS 实务做法 |
|---|---|---|
| 记录处理活动 (ROPA) | Article 30 | 基于 PIPL 已有的「个人信息处理清单」扩展,加入法律基础、保留期、跨境路径三列。用 Notion 或 Excel 维护,每季度更新一次。 |
| DPA 与子处理者管理 | Article 28 | 准备一份英文 DPA 模板(约 12 至 16 页),含 SCC 模块二附件。子处理者清单加地域标签,每次新增需提前 30 天通知客户。 |
| 数据主体权利响应 | Articles 12 至 22 | 建立 privacy@ 邮箱与工单流程;产品里增加可携带导出与删除自助按钮;30 天内响应是硬指标。 |
| 数据泄露 72 小时通知 | Articles 33 至 34 | 事件响应预案中加入「客户通知 24 小时、监管通知 72 小时」双时钟。提前准备通知模板与决策树。 |
| 数据保护影响评估 (DPIA) | Article 35 | 凡涉及大规模处理、AI 决策、生物特征、儿童数据的功能,上线前出 DPIA。模板 8 至 12 页,含必要时与 DPO 协商记录。 |
| 欧盟代表与 DPO | Articles 27, 37 | 委任一家欧盟代表(年费 USD 1,200 至 3,600);DPO 看处理规模决定,特殊类别或大规模监控必须任命。 |
关于 DPO(数据保护官)有个常见的误解:很多中国公司以为 DPO 必须是欧洲人。其实不是。DPO 可以是公司内部员工(兼职或全职),也可以是外部顾问,只要满足独立性、专业能力、可向管理层直接汇报这三个条件。但欧盟代表(EU Representative)必须是设立在欧盟成员国的实体或个人,且名字与联系方式需出现在隐私政策里。这两个角色经常被搞混。
第三步
90 天 GDPR 落地路线图(PIPL 已合规起算)
如果公司已经完成 PIPL 评估、有数据分类、有合规岗位,进入 GDPR 的合理预算是 10 至 14 周。完全从零开始的话,建议预留 16 至 22 周。下面是 90 天版本的拆解:
第四步
跨境数据传输的 4 条合法路径:中国公司只能走哪一条
GDPR 第五章给跨境数据传输列了四条合法路径。从字面看似乎选择很多,但对中国公司只有一条真正可用:标准合同条款(SCC)加上传输影响评估(TIA)。下面是四条路径的实际情况:
TIA(Transfer Impact Assessment,传输影响评估)是 2020 年 Schrems II 判决后的新增要求。EDPB 在 06/2020 建议中给了详细模板。对中国接收方,TIA 一般要回答四个问题:
- 中国当局根据国家安全法、国家情报法、网络安全法是否有权要求数据接收方移交数据?答案是:理论上有,但需结合具体业务类型与数据敏感度评估。
- 是否有可监督的司法救济渠道?要客观说明现状与限制。
- 是否采取了补充措施减轻风险?例如:端到端加密、数据匿名化、分区存储、密钥由欧盟方持有等。
- 是否会通知数据主体(在法律允许的范围内)?说明事件响应预案。
真实操作上,最经济的解决方案是把欧盟客户数据存储在欧盟成员国云区域(AWS eu-central-1、Azure West Europe、OVH 法国),并在 TIA 里明确「中国境内员工不直接访问欧盟客户的原始个人数据」。这种架构让 TIA 风险评估从「高」降到「低至中」,欧洲客户法务接受度大幅提高。
第五步
真实成本:从 PIPL 起步的中国 SaaS 预算分布
误判一:忽略欧盟代表的年度费用
欧盟代表是年付服务,不是一次性合同。常见报价 EUR 1,200 至 3,600 每年。第一年容易忽略后续年费,建议把代表合同写入年度预算。优先选择能覆盖多个成员国、提供 GDPR 数据主体请求转交服务的代表机构。
误判二:以为 PIPL 同意书可以直接翻译做 GDPR 同意书
GDPR 对「同意」的有效性要求很高:自由、具体、知情、明确表示。捆绑式、预勾选、单一长段落同意都被 EDPB 反复点名违规。中国常用的「我已阅读并同意全部条款」一键勾选方式,在德法监管下基本不被接受。需要重新设计分场景、分目的的多层同意流程。
第六步
GDPR 怎么变成欧洲市场的销售加速器
合规拿下来不是为了挂牌,而是为了少回答问卷、少返工、加快签单。我们看过最聪明的几家公司,把 GDPR 落地的副产品做成了一套销售工具包。它通常放在 trust.yourcompany.com/eu 页面下,包括 6 份核心文档:
最关键的是 DPA 与 SCC 模板的「可签性」。欧洲大企业的法务部门一年要审上百份 DPA,他们的判断标准很简单:你的模板是不是基于他们已经签过的版本写的?如果你的 DPA 用了 EDPB 推荐的标准语言、SCC 用了 2021/914 第三版条款、附件 I/II/III 已按你的服务填好,他们大概率 3 天内就能放行。如果你交一份「我们公司自定义版本」,进入第二轮法律评审是必然结果,多 4 至 8 周谁也帮不上忙。
Atlant Security 如何帮你
中国 SaaS 的 GDPR 落地与欧洲销售支持
我们是一家总部在欧盟(保加利亚索非亚)的安全咨询团队,长期为中国 SaaS 公司提供 GDPR 落地服务。从范围确认、ROPA、DPA 与 SCC 模板撰写、TIA 报告、欧盟代表对接、产品功能补齐、销售工具包搭建,整套服务一站式完成。中文沟通,按欧盟监管标准交付。
- 固定价格 USD 16,000 起(含 DPA 与 SCC 模板,不含外部律师评审)
- 10 至 14 周交付 GDPR 落地包,含欧盟代表对接
- 欧盟本土团队 + 中文项目经理
- 双语 ROPA / DPIA / TIA 模板
- 第一年起包含季度合规复查
常见问题
中国 SaaS CEO 经常问我们的 GDPR 问题
我们没有欧盟实体,GDPR 适用吗?
只要你向欧盟境内的人员提供商品或服务(不论是否收费),或监控欧盟境内人员的行为,GDPR 就适用。是否有欧盟实体不是判断标准。这是 Article 3 的域外效力规则,比 PIPL 第 3 条还要严格。判断的关键不是你公司在哪里,而是你的目标用户在哪里。
欧盟代表必须设在哪个国家?
设在公司主要欧盟用户所在的成员国。如果用户分散,常见选择是爱尔兰、荷兰、卢森堡(语言友好、监管经验丰富)。每年费用 EUR 1,200 至 3,600,常见服务商有 EDPO、Prighter、DPR Group 等。代表的名字与联系方式必须出现在隐私政策与 DPA 里。
中国服务器存欧盟客户数据可以吗?
技术上可以,但合规与销售都很难。Schrems II 之后,欧洲法务对「数据传到中国」非常敏感。即使你做了完整 TIA,欧洲企业客户的采购也常常直接卡掉。推荐架构是「欧盟客户数据放欧盟云区域(AWS eu-central-1、Azure West Europe、OVH 法国)」,中国境内运维只通过堡垒机进行受控操作,原始个人数据不离开欧盟。这种架构让 TIA 评估从「高风险」降到「中低风险」。
SOC 2 + ISO 27001 已经做了,GDPR 还要单独做吗?
要单独做。SOC 2 和 ISO 27001 是控制框架,证明你的安全做法。GDPR 是法律义务,针对个人数据本身。三者重合度约 50%(访问控制、加密、日志、子处理者管理等),但 GDPR 多出来的部分(法律基础、数据主体权利、跨境传输、DPIA、欧盟代表)必须独立完成。好消息是,已有 SOC 2 或 ISO 27001 的中国 SaaS,GDPR 项目周期可以缩短到 8 至 10 周,预算可以下浮 25% 至 35%。
如果违规,监管会怎么找到我们?
三个渠道。第一,数据主体投诉,CNIL 与 GPDP 每年收数万份投诉。第二,欧洲客户内部审计发现你的合同有缺陷,自报监管或不再续约。第三,竞争对手或安全研究员公开通报。中国公司容易被忽视的是第二条:即使监管暂时没找到你,欧洲客户的法务一旦在内部审计里发现你 DPA 有漏洞,合同就难续了。GDPR 罚款最高 2,000 万欧元或全球营业额 4%,但对中国中小 SaaS 来说,丢合同的成本通常比罚款更高。
2026 年欧盟 AI 法案对中国 SaaS 有什么影响?
AI 法案与 GDPR 是叠加适用,不是替代。如果你的 SaaS 含 AI 功能(生成式、推荐、评分等),需要额外做:风险分类(高风险/有限/最小)、AI 系统注册(高风险类)、训练数据来源说明、基本权利影响评估(FRIA)、提示与水印义务。落地节奏建议是 GDPR 先做,AI 法案合规模块在 GDPR 之后 4 至 8 周补齐。两个项目共用同一套 ROPA 与 DPIA 模板,效率最高。
GDPR 不是欧洲市场的入场券,而是欧洲市场的通行证。一次性投入 10 至 14 周做扎实,未来 24 个月里每一份欧洲合同的法务审查时间都会因此缩短一半以上。中国 SaaS 真正的对手不是 GDPR 这条法律本身,而是欧洲客户法务团队的怀疑情绪:你能不能在合同前夜证明你和一家欧洲同行做事一样规范。
从 PIPL 起步的中国公司,已经具备了 70% 的家底。剩下的 30% 是合同语言、产品按钮、欧盟代表、跨境路径这些可工程化的工作。把它们排进未来 13 周的日历,第二年起每个月只需要 4 至 6 个工时维护。这是中国 SaaS 进入欧洲市场最值得做的一笔前期投入。
想聊聊你公司的具体情况?预约 30 分钟咨询,或直接发邮件给 alexander@atlantsecurity.com。
Alexander Sverdlov
Atlant Security 创始人,两本信息安全著作的作者,亚洲最大网络安全会议演讲嘉宾, 联合国会议小组成员,前微软安全咨询团队成员,前阿联酋核能公司外部网络安全顾问。