Day 11
海外运营 × Codex 训练营

跨境合规自查
GDPR / CCPA / 平台政策 / 数据出境

第 11 天我们做一件最枯燥但最值钱的事——让 Codex 帮你每月跑一次"合规自查脚本"。 法律踩雷一次,可能是 GDPR 4% 全球营收罚款 / FB 账户永封 / Google Ads 停投。

讲师 Terrence 时长 90 分钟 产物 每月自动运行的合规自查 GitHub Action
Day 11 · 开场

今天结束,你能做到

⚠️ 这一天的关键判断:不是"听懂法律",是"让 Codex 把它变成可执行 checklist"。法律条文不用背,自查脚本要会用。
Day 11 · 警示

为什么这一天值钱?
三家被罚到破纪录的真实案例

€12 亿
Meta · 2023 年因 GDPR 数据传输(中国/美国 ←→ 欧盟)被爱尔兰 DPC 罚款
€3.45 亿
TikTok · 2023 年 9 月因未成年人数据处理违规被欧盟罚款
$13 亿
Google · 2022 年因 Location 数据被美国 40 州联合诉讼和解金额

你公司没大厂大,但 GDPR 不看公司大小——上限 4% 全球年营收,下限 €1000 万。 中小卖家的真实罚款案例:€20-50 万也是天文数字。

Day 11 · GDPR

GDPR 是什么?
一句话讲清楚海外运营该关心什么

💡 GDPR(General Data Protection Regulation):欧盟 2018 年 5 月生效的"通用数据保护条例"。 属人主义——只要处理欧盟居民的个人数据,无论公司在哪里注册,都受 GDPR 管。

所以你公司在杭州、用户在德国——GDPR 管你

什么算"个人数据"
  • 姓名、邮箱、手机号
  • IP 地址、设备 ID、Cookie ID
  • 位置数据(GPS / IP 推算)
  • 行为数据(点击、停留、购买)
  • 支付信息、社保号、健康数据
运营每天碰的就是这些
  • FB Pixel 抓的 user_id / event
  • 邮件订阅列表(含邮箱)
  • GA4 / Mixpanel 行为追踪
  • Stripe / PayPal 支付数据
  • Customer.io / SendGrid 用户分群
Day 11 · GDPR

GDPR 8 个核心要求

1
合法基础同意 / 合同 / 法律义务 / 切实利益 等 6 种之一
2
知情透明用户知道你拿了什么数据 / 用于什么
3
目的限定只用于声明的用途,不能 A 用途收 B 用途用
4
最小必要能拿邮箱就别要手机号
5
准确性过期数据要更新或删除
6
存储限定用完就删,不要"以备万一存 10 年"
7
完整保密加密存储 / 访问审计 / 防泄漏
8
问责能证明你合规(记录 / 流程 / DPO 任命)
Day 11 · GDPR

用户有哪 8 项权利
用户找你要这些,你必须 30 天内响应

数据权利
  • 知情权——我的数据你拿来干嘛
  • 访问权——把你存的我的数据导出给我
  • 更正权——错的给我改
  • 删除权(被遗忘权)——给我删掉
控制权利
  • 限制处理权——别再用我的数据训练模型
  • 可携权——给我导出成 JSON / CSV
  • 反对权——别给我发广告了
  • 免于自动决策权——别用 AI 决定我能不能借款
SLA 响应时间:用户发邮件要求删除/导出 → 你必须 30 天内响应(最多延期 60 天但要解释)。 没响应 = GDPR 违规 = 罚款入口。
Day 11 · GDPR

Cookie 同意条 · 海外运营最容易翻车

你网站底部那个"Accept Cookies"小弹窗——80% 海外运营做错。 错的代价是每次访问都违规,欧盟每周都会有人发起诉讼。

✗ 错误做法
  • "继续访问视为同意" — 不行,必须主动点
  • "Accept All" 按钮显眼,"Reject All" 藏起来 — Dark Pattern
  • 同意前 FB Pixel / GA4 就开始追踪了 — 必须等同意
  • 没有分类(功能 / 分析 / 广告 分开勾)
  • 没有"撤回同意"按钮
✓ 正确做法
  • 明确"Accept" / "Reject" / "Customize" 三选项
  • 三个按钮大小一致(GDPR 案例已判)
  • 默认状态不勾选非必要 Cookie
  • 分 3-4 类:必要 / 偏好 / 分析 / 广告
  • 同意前不加载 FB Pixel / GA4 / Hotjar
  • 页脚常驻"Manage Consent" 按钮可撤回
💡 工具推荐:CookieYes、OneTrust、Cookiebot、Iubenda——免费版够 SMB 用。
Day 11 · 加州

CCPA / CPRA · 加州的 GDPR

CCPA(2020)→ CPRA(2023 升级版)——美国加州的"GDPR 美国版"。 触发门槛:年营收 $25M+ 或处理 100K+ 加州居民数据 或 50% 收入来自卖数据。

和 GDPR 相同的
  • 用户有访问 / 删除权
  • 必须有隐私政策
  • 未成年人需父母同意
  • 违规罚款大(每次违规 $2500-$7500)
和 GDPR 不同的
  • "Sale of personal information" 概念 — 卖数据要明示
  • "Do Not Sell My Info" 链接必须在首页
  • 不要求"明确同意"(Opt-in),允许"默认收集 + 用户 Opt-out"
  • 没有专门的"数据保护官(DPO)"任命要求
  • 新增"敏感数据"分类(CPRA 起)
📍 对中国出海的影响:如果你主要市场是美国,CPRA 比 GDPR 优先级更高。但很多公司直接做 GDPR 兼容版(更严),一套政策同时满足两边。
Day 11 · 平台

FB / Google / TikTok
"突然封号"背后的政策清单

法律罚款是大事——但账户被封对运营是更日常的灾难。 一个广告账户挂了,10 万预算白扔,重开账户要 2-4 周。

28%
Facebook 广告账户在使用第一年内至少被禁用一次(独立站卖家数据)
14 天
Google Ads 触发"恶意软件"误判后平均恢复时间
¥0
封号后剩余广告余额到账率(基本不会退)
💸 真实损失:一个被封的 FB BM(商务管理平台)账户 = 2-4 周重开 + 余额冻结 + 像素学习重置 = 实际损失约 ¥5-20w。
Day 11 · 平台

Facebook / Meta · 8 大封号原因

1
广告素材含禁用品类(CBD / 加密货币 / 减肥药 / 武器)
高频
2
Landing Page 和广告素材不一致(cloaking 误判)
高频
3
账户登录 IP 突然跨国(中国 IP 登国外账户)
中频
4
支付卡 BIN 风险(用过被封账户的银行卡)
中频
5
广告文案"绝对化用语"(最便宜 / 治愈 / 100% 有效)
中频
6
短时间内创建大量类似广告(被判 spam)
中频
7
隐私政策链接失效或不符合 Meta 规定
低频
8
用户投诉率 > 0.1%(用户反复点"隐藏广告")
低频
Day 11 · 平台

Google Ads + TikTok Ads · 封号清单

Google Ads · 高发
  • Malicious software(恶意软件误判)— Landing Page 第三方脚本太多
  • Misrepresentation(虚假陈述)— 卖货页夸大功效
  • Unacceptable Business Practices(不当商业行为)— Drop shipping 卖差评高的商品
  • Trademark(商标侵权)— 蹭品牌词 SKU
  • Suspicious payments—信用卡突变 / 多账户同卡
TikTok Ads · 高发
  • Misleading claims(误导性宣传)— "1 天瘦 10 斤" 类
  • Before / After photo(前后对比图)— TikTok 禁用
  • Health claims(健康宣称)— 不能说治愈 / 改善
  • Restricted products(限制品类)— 含酒精 / 烟草 / 性 / 武器
  • Music copyright(音乐版权)— 用了未授权 BGM
💡 共性规律:三大平台都不喜欢"夸大、绝对化、健康相关、跨境身份切换"。素材审核走 AI 模型——和 GPT 一样,能被关键词触发。
Day 11 · 数据出境

数据出境合规
个保法 + 数据安全法对中国出海的影响

中国 2021 年起了三部"数据三法":《数据安全法》(DSL)+ 《个人信息保护法》(PIPL)+ 《网络安全法》(CSL)。 最直接影响海外运营的是:个人信息出境需要走合规路径。

🇨🇳 个人信息出境定义:在中国境内收集的个人信息,传输到中国境外。 你公司在杭州,把中国用户的邮箱传到 SendGrid(美国服务器)发邮件——这就是数据出境
三条合规路径(选一)
  • ① 安全评估(CAC 评估)— 关键信息基础设施 / 大量数据走这条,3-6 个月
  • ② 标准合同(SCC) — 中小企业默认走,模板已发布,备案制
  • ③ 个保认证 — 通过第三方机构认证,跨国集团多走这条
什么情况要做
  • 用 SendGrid / Mailchimp 给中国用户发邮件
  • 用 Stripe / PayPal 收中国用户付款
  • 用 GA4 / Mixpanel 跟踪中国用户行为
  • 用 Salesforce / HubSpot 存中国用户 CRM
  • 把中国员工招聘数据存到海外 HR 系统
Day 11 · 工具

你工具栈里哪些有合规风险?

让我们对照常见海外运营工具栈,看每个工具在 GDPR / CCPA / 数据出境上的"红黄绿"。

GA4 · Google Analytics 4 — 已加密 IP 截断、欧盟 EU-US Data Privacy Framework 已加入
较安全
!
FB Pixel / Meta Pixel — 需 Cookie 同意后加载;2023 因数据传输被法德监管警告
需配置
!
SendGrid / Mailchimp — 邮件营销,存欧盟用户邮箱需要 SCC + 取消订阅链接
需 SCC
Stripe — 已在欧盟/美国本地设主体,PCI-DSS L1,合规扎实
较安全
!
Hotjar / FullStory — 录屏类工具,必须脱敏用户输入 + Cookie 同意
高敏感
OpenAI API / 网页版 ChatGPT — 不要直接粘贴用户 PII(姓名/邮箱/手机号)
绝不
!
飞书 / 钉钉(存欧盟员工数据)— 服务器在中国,欧盟员工数据存这里反向需要 SCC
需 SCC
未经授权的第三方爬虫工具(爬欧盟用户 LinkedIn / FB 资料)
禁用
Day 11 · 实操
/3

现在让 Codex
替你做这件事

法律条文不用背,每月跑一次自查脚本就行。 这一段最关键:你写好这套 Prompt,剩下 11 个月里 Codex 都帮你扫雷。

Day 11 · 实操

关键 Prompt · 合规自查全套

把你公司业务情况和工具栈代入,让 Codex 跑一次完整自查:

你是一位精通 GDPR / CCPA / 中国个保法的跨境合规顾问。 我的业务情况: - 类型:[跨境电商 / SaaS / 社交 App / 游戏出海 / Web3] - 主要市场:[欧盟 / 美国加州 / 东南亚 / 中东] - 业务涉及:收集用户邮箱、行为数据、支付信息 - 公司主体在:[中国杭州] - 工具栈:GA4 / FB Pixel / SendGrid / Stripe / Hotjar / OpenAI API / Notion 请帮我做完整合规自查,分 5 个 part 输出: PART 1 · GDPR 8 大核心要求自查 - 列出 8 条,每条对应我业务的具体落地动作 - 用 ✅ / ⚠️ / ❌ 三档评估当前合规度(基于我提供的工具栈推断) - 每条给一句话整改建议 PART 2 · CCPA / CPRA 加州自查 - 我业务是否触发 CCPA 适用门槛($25M 营收 / 10w 加州居民 / 50% 卖数据) - 加州专属要求清单(Do Not Sell 链接、敏感数据分类等) PART 3 · 工具栈合规风险扫描 - 逐个分析我用的每个工具的 GDPR / 数据出境风险 - 标 ✅ 安全 / ⚠️ 需配置 / ❌ 高危 - 高危项给替代方案 PART 4 · 数据出境合规 - 列出我业务中"数据从中国 → 海外"的所有环节 - 每环节判断需要走哪条路径(SCC / 安全评估 / 个保认证) - 给 SCC 路径的 4 步实操清单 PART 5 · 输出 Markdown 自查报告 - 总评分:S / A / B / C / D - TOP 5 紧急整改项(按风险×紧急度排序) - 30 / 60 / 90 天行动计划 请用中文输出,每项配源条款引用(如 GDPR Art. 6 / CCPA §1798.100),方便我和法务沟通。
Day 11 · 实操

Codex 输出片段示例

# 合规自查报告 · 2026 Q2 ## PART 1 · GDPR 8 大要求 | # | 要求 | 你的现状 | 评估 | 整改建议 | |---|------|---------|------|---------| | 1 | 合法基础 | FB Pixel + GA4 走 Cookie 同意 | ⚠️ | 加 Cookie 同意条,分类管理 | | 2 | 知情透明 | 隐私政策有但 6 个月未更新 | ⚠️ | 用最新工具栈重写隐私政策 | | 3 | 目的限定 | SendGrid 同时做营销 + 通知 | ⚠️ | 拆 2 个清单,分别同意 | | 4 | 最小必要 | 注册要邮箱+手机+生日 | ❌ | 注册只要邮箱,其它可选 | | 5 | 准确性 | 无 user 自助修改入口 | ❌ | 加 settings 页 | | 6 | 存储限定 | 用户注销后数据保留 24m | ❌ | 改为注销立删 / 30 天宽限 | | 7 | 完整保密 | Stripe 强 / 自建 DB AES-256 | ✅ | 维持 | | 8 | 问责 | 未任命 DPO / 无审计日志 | ⚠️ | 任命 DPO 或 EU 代表 | ## PART 3 · 工具栈红黄绿 - ✅ Stripe — 合规扎实 - ✅ GA4 — Google EU-US DPF 已加入 - ⚠️ FB Pixel — 需 Cookie 同意后加载 - ⚠️ SendGrid — 需签 DPA + SCC - ❌ Hotjar — 当前未脱敏用户输入,立即修复 - ❌ OpenAI API — 当前直接传邮箱给 GPT-4,立即脱敏 ## TOP 5 紧急整改项 1. Hotjar 用户输入脱敏(mask sensitive inputs)— 1 天 2. OpenAI API 调用前剥离 PII — 2 天 3. Cookie 同意条按分类重做 — 5 天 4. 隐私政策更新 — 10 天 5. SendGrid 签 DPA + SCC — 15 天
Day 11 · 实操

把自查脚本部署成每月跑一次

手动跑一次没意义——每月 1 号自动跑才是 Codex 帮你扫雷。 用 GitHub Action 部署,每月 1 号定时把报告发到你邮箱。

# .github/workflows/compliance-check.yml name: 月度合规自查 on: schedule: - cron: '0 9 1 * *' # 每月 1 号 9:00 UTC workflow_dispatch: # 也允许手动触发 jobs: check: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: 跑合规自查 env: OPENAI_API_KEY: ${{ secrets.OPENAI_API_KEY }} run: | python scripts/compliance_check.py \ --business-config configs/business.yaml \ --output reports/$(date +%Y-%m)-compliance.md - name: 邮件通知 uses: dawidd6/action-send-mail@v3 with: to: ops@yourcompany.com subject: '月度合规报告 · ${{ steps.date.outputs.date }}' body: file://reports/latest.md
💡 Codex 全包:把上面 Prompt 完整发给 Codex 后,让它生成 compliance_check.py + business.yaml + workflow.yml 三个文件,直接 push 到 GitHub repo 就跑。
Day 11 · 练习

现在 · 30 分钟动手时间

  1. 5 分钟:在 chatgpt.com 打开 Codex,把今天的 Prompt 复制进去,把方括号换成你公司真实情况
  2. 10 分钟:让 Codex 跑完整 5 part 自查,保存输出到本地 Markdown
  3. 5 分钟:对照 TOP 5 紧急整改项,圈出 1 个你今天就能做的
  4. 10 分钟:让 Codex 生成 GitHub Action 部署文件 + 上传到自己公司 repo(如果没 repo 就保存到本地)
⚠️ 注意:填业务情况时不要把用户邮箱 / 真实数据贴给 Codex——填"业务类型 + 工具栈名称"就够了,不需要真实数据样本。
Day 11 · 沟通

怎么把自查报告递给法务

报告跑完不是终点——交给法务推动整改才是。 用对的语言沟通,让法务把你当"懂业务的合规协作者"而不是"又给我加活的运营"。

✗ 错误沟通
  • "我用 AI 跑了个报告,你看看对不对"
  • 把 5 part 完整报告整包丢过去
  • 问"我们要不要做 GDPR 合规?"
  • 说"AI 说我们违规了,怎么办"
✓ 正确沟通
  • "基于我们工具栈,整理了 5 个最紧急的合规点,看您是否认同优先级"
  • 带 GDPR 条款引用 + 业务场景对应
  • 问"前 2 项我们运营能自己改,您能否签下 1 个 SCC?"
  • 分清"运营能做 / 法务需介入"两类
💡 核心心法:Codex 输出的不是"法律意见",是"运营能听懂的合规风险地图"。法务签字必要时仍要走,但你已经把问题挖出来 80%。
Day 11 · 误区

海外运营合规 7 大误区

1
"我们公司小,监管不会查"— 用户举报触发就要查,与公司大小无关
高频
2
"在 Hong Kong 注册主体就没事"— GDPR 看数据来源,不看公司注册地
高频
3
"我没卖数据所以不管 CCPA"— CCPA "sale" 定义宽,retargeting 也算
中频
4
"隐私政策抄竞品就行"— 你工具栈和它不一样,照抄反而高危
中频
5
"Cookie 弹窗有就行"— 默认勾选、强制接受、追踪先于同意全是违规
中频
6
"用户没投诉就没事"— 第三方组织主动测试,noyb.eu 已起诉过 700+ 公司
中频
7
"AI 跑出的报告等于法律意见"— Codex 给的是地图,签字仍需法务
低频
Day 11 · 节奏

合规检查的"日 / 周 / 月 / 季" 节奏

每天上素材前过一遍—— FB / Google / TikTok 广告政策禁词清单用 Codex 写好的"广告素材合规检查"小脚本,<3 秒输出红黄绿
每周抽查 Cookie 同意条 + 用户请求响应欧盟用户发邮件要求删除数据,必须 30 天内响应——别拖到第 31 天
每月 1 号跑完整合规自查脚本今天部署的 GitHub Action 自动跑,邮件到你邮箱
每季度和法务 1 小时复盘把月度自查报告汇总 + 平台政策更新清单 + SCC 是否需要续签
每年请第三方做一次合规审计预算 ¥5-15w,但比被罚款便宜 100 倍
Day 11 · 应急

收到合规警告/罚款通知怎么办

预防再到位也有意外。收到欧盟 DPA 邮件 / 用户律师函 / 平台封号通知,72 小时是黄金窗口

  1. 第 1 步(0-2h):通知法务 + CEO,截图保留证据,不要回复任何内容
  2. 第 2 步(2-12h):内部排查事件影响范围(哪些用户 / 哪些数据 / 时间窗)
  3. 第 3 步(12-48h):和法务一起起草回应——承认问题不卸责,列已采取动作
  4. 第 4 步(48-72h):响应监管 / 用户 / 平台,附完整时间线 + 整改报告
  5. 第 5 步(> 72h):内部追责到流程层(不是个人),上长效防控
⚠️ 千万不要做的事:(1) 删除证据/聊天记录 — 妨碍司法;(2) 让运营个人去回应监管 — 必须法务出面;(3) 在公开场合(推特/朋友圈)评论 — 任何话都可能被截图存证。
Day 11 · 资源

合规资源清单 · 收藏到收藏夹

官方文档
  • GDPR 原文:gdpr.eu
  • CCPA:oag.ca.gov/privacy/ccpa
  • 中国 CAC:cac.gov.cn(个保法 + SCC 模板)
  • Meta 政策中心:facebook.com/policies_center
  • Google Ads 政策:support.google.com/adspolicy
工具与服务
  • Cookie 同意:CookieYes / OneTrust / Iubenda
  • 隐私政策生成:Termly / iubenda
  • DPA 模板:从 SendGrid / Mailchimp 后台直接下载签
  • GDPR Hotline:当地数据保护机构(欧盟每国一个 DPA)
  • SCC 中文版:CAC 2023 年发布的标准合同模板
💡 课程交付物:今天的 Prompt + 自查报告模板 + GitHub Action 部署文件 = 一套你能直接复制到公司 repo 的合规自查工具链。
Day 11 · 小结

今天 3 个 takeaway

  1. 合规不是法务的事,是运营的事——你每天碰的是用户数据,律师只能事后救火。先把红黄绿地图画清楚
  2. 不用背法条,让 Codex 把它变成自查脚本——5 part Prompt 跑一次,TOP 5 整改项就出来了
  3. 部署成每月自动运行——GitHub Action 一次配好,剩下 11 个月 Codex 帮你扫雷
课后作业(明天前完成):用今天的 Prompt 跑完自己公司的合规自查报告,圈出 TOP 5 紧急整改项,带着这份报告来上 Day 12——Day 12 的 capstone 工作流要把"合规检查"嵌进每个场景。
Day 11 · 结束
明天 · Day 12 · Capstone

个人 AI 海外运营工作流

整合 12 天所学,搭出"你的 AI 海外运营工作台"——
5 个核心工作流 + AI 边界 + 合规嵌入 + 持续学习路径
结业 + 致谢

🙋 现在 · Q&A 时间
课后微信群答疑 · 联系讲师 Terrence · 13299138336
📝 讲师备注 · 按 N 切换显示 / 隐藏
翻页 · Space 下一页 · F 全屏 · N 备注 · Home 首页
1 / 25