您的网站需要隐私政策，以下是必须包含的内容

Source: Dev.to

如果你的网站收集任何个人数据——例如分析 cookies、电子邮件地址或服务器日志中记录的 IP 地址——你在法律上必须拥有一份隐私政策。这一义务适用于欧盟（GDPR）、加州（CCPA/CPRA）、巴西（LGPD）以及越来越多的其他司法管辖区。

隐私政策的法律要求

• 欧盟（GDPR）、加州（CCPA/CPRA）、**巴西（LGPD）**以及许多其他地区在处理个人数据时，都要求公开可访问的隐私政策。
• 该要求覆盖所有形式的数据收集，无论是通过表单、自动跟踪，还是第三方服务。

不合规的处罚

• GDPR 罚款最高可达全球年收入的 4 %或2000 万欧元，两者取较高者。
• 最近的执法案例：
  • Meta – 12 亿欧元（2023）
  • Amazon – 7.46 亿欧元（2022）
• 小型公司也会面临罚款和执法行动，这些行动正全球加速。

综合隐私政策的核心要素

你的政策应清晰涵盖以下每个主题：

你收集了哪些数据

要具体，避免使用“个人信息”等模糊词。列出类别，例如：

• 姓名
• 电子邮件地址
• IP 地址
• 浏览器信息
• 位置信息
• 购买历史
• Cookies 及其他跟踪标识符

你如何收集这些数据

• 直接从用户处获取（表单、账户创建）
• 自动收集（cookies、分析脚本、服务器日志）
• 如适用，来自第三方来源

你收集这些数据的目的

解释每项处理活动的法律依据（GDPR）：

• 同意
• 合同履行
• 合法利益
• 法律义务

你与谁共享这些数据

列明所有接收数据的第三方，例如：

• 分析提供商（Google Analytics）
• 支付处理商（Stripe）
• 邮件服务（SendGrid）
• 广告网络

你保留数据的时长

说明保留期限。使用“无限期”等表述是不合规的。示例：

• 营销邮件地址 – 在最后一次互动后保留 X 个月
• 服务器日志 – 保留 Y 天

用户权利

概述用户如何行使其权利：

• GDPR：访问、纠正、删除、可携带性、限制、反对
• CCPA：知情、删除、选择退出出售以及免受歧视的保护

联系方式

提供用户就隐私问题联系你的明确渠道。如果你大规模处理数据，可能需要根据 GDPR 指定一名数据保护官（DPO）。

Google Analytics 与 GDPR

• 使用 Google Analytics 会将 IP 地址、浏览行为和设备信息发送到 Google 的服务器。
• GDPR 要求在跟踪脚本加载前获得明确同意。
• 多个欧盟数据保护机构已裁定，即使取得同意，向美国服务器的传输也不符合 GDPR。
• 你的隐私政策必须披露此类处理及相关风险。

Cookie 同意与 ePrivacy 指令

• ePrivacy 指令（常称为“cookie 法”）要求在设置非必要 cookies（如分析和广告 cookies）之前取得同意。
• 用户必须能够接受或拒绝这些 cookies，且网站在用户拒绝时仍需保持功能。
• 你的 cookie 横幅应链接到隐私政策，政策中应详细说明你的 cookie 实践。

使用隐私政策生成器

隐私政策生成器可以根据你对标准问题的回答提供一个可靠的起点，覆盖 GDPR、CCPA 以及通用最佳实践。然而，每个企业都有独特情况，可能需要量身定制的方案并进行法律审查。

• 尝试免费生成器： – 回答关于你收集了什么、为什么以及如何收集的问题，即可获得一份完整的政策草案。