人工智能服务走向全球，GDPR-CCPA 准备工作简述

若您正在筹备AI服务，海外隐私保护法规——尤其是GDPR（欧洲）和CCPA（美国加州）——绝对不容忽视。或许您会质疑："明明在韩国开发的产品，为何还要顾及海外法律？"但请注意，GDPR和CCPA均以当地用户为适用对象。本文将全面解析GDPR·CCPA的适用标准、罚金制度及应对策略。

🇺🇸 CCPA（加州消费者隐私法案）

CCPA是2020年1月起实施的美国加州隐私保护法案。作为全美最严厉的隐私保护法规，全球化运营企业必须严格遵守该法规。

CCPA适用标准

• 年营业额2500万美元（约合340亿韩元）以上：以全球营业额为基准，无论在韩国、美国或日本，只要年营业额超过2500万美元即适用。
• 但需同时满足以下附加条件之一方为最终适用对象：
  • 持有加州居民数据5万条以上
  • 数据销售收入占比达50%以上

适用标准为：全球年销售额达2500万美元（约合340亿韩元）以上、持有加州居民数据5万条以上、或数据销售收入占总收入50%以上。满足任一条件即适用CCPA。

CCPA适用示例

• 韩国SaaS企业，全球营收3000万美元，加州用户5万人 → ✅ 适用CCPA
• 同等营收，加州用户10人 → ❌ 不适用CCPA

仅凭高营收不构成适用条件，关键在于与加州居民的数据关联性。CCPA的核心特征是"选择退出"机制，消费者享有拒绝数据销售的权利、查阅数据收集共享记录的权利以及要求删除数据的权利。

🌍 GDPR（通用数据保护条例，欧洲通用隐私保护法）

GDPR是自2018年5月起在欧盟(EU)及欧洲经济区(EEA)实施的个人信息保护法规。该法规是全球最严格的隐私保护条例之一，核心原则为"用户同意"与"个人数据主权"。

GDPR适用标准

• 无销售额门槛！
  关键在于：
  • 面向欧盟·欧洲经济区居民的服务
  • 在欧盟境内"提供商品/服务"或"进行行为追踪"

其特点在于无论营收规模大小，只要欧盟用户使用服务或在欧盟境内追踪用户行为，就必然适用该法规。例如，韩国开发的AI应用若被欧洲用户下载使用，即属于GDPR适用对象。

• 韩国初创企业，欧洲用户注册1人 → ✅ GDPR适用
• 韩国网红向1名欧盟粉丝发送私信 → ✅ 可能适用GDPR

只要有1名欧洲用户注册或进行行为分析，即适用该条例。即使是零营收的小型初创企业，也无例外地适用。

违反GDPR·CCPA的罚金

🌍 GDPR罚款

无论初创企业或大型企业均适用，且销售额越高罚金呈几何级增长。特别需保障用户数据查阅·删除·迁移权、被遗忘权等强力用户权益，未经同意处理数据将面临严重法律风险。

销售额越高，罚金越重。

🇺🇸 CCPA罚款

• 每项违规2,500美元（约340万韩元）→一般违规
• 故意违规时7,500美元(约1020万韩元)
• 允许个人/集体诉讼 → 案件累积可能导致破产

每项违规约产生340万韩元罚款，故意违规时罚款累积至约1020万韩元，且个人及集体诉讼数量增加时，诉讼金额将呈几何级增长。

• CCPA罚款示例：
• 泄露1,000条个人信息且属故意违规 → 1,000 × $7,500 = $750万（约102亿韩元）

罚款标准为每起违规最高2,500美元（约340万韩元），故意违规则为7,500美元（约1,020万韩元）。违规数量累积可能引发集体诉讼，伴随巨大风险。 例如泄露1,000条个人信息时，若属故意违规，总罚款可能飙升至约102亿韩元。

👉 CCPA的威胁在于"数据泄露数量"，GDPR的威胁则在于"企业营收规模"。

GDPR vs CCPA核心对比

项目	GDPR	CCPA
适用标准	与销售额无关，适用于欧盟/欧洲经济区用户	全球销售额≥2500万美元 + 需涉及加州居民
用户权利	数据查阅·删除·转移权，被遗忘权	数据查阅·删除·拒绝销售权
罚款	最高2000万欧元或年销售额4%（取较高者）	每项违规2,500美元（一般情况），7,500美元（故意行为）
可怕之处	营业额越大，罚金越高	违规累积将面临诉讼+罚金暴击

GDPR的可怕之处在于"与销售额无关，以用户为基准"，而CCPA的可怕点在于"大型企业 + 加州居民数据"。

总结

• GDPR：只要涉及一名欧洲用户就必须做好准备！
• CCPA：全球大型企业+加州用户数据需重点关注！

若涉及数万规模的违规，罚金将达到"超乎想象"的级别。若从初期就做好准备，后期风险与成本可降低至百分之一。