anonym.legal

By · Last updated 2026-06-05

Quay lại BlogGDPR & Tuân Thủ

GDPR, CCPA và PDPA trong Một Công Cụ

Nhân viên EU thuộc GDPR, nhân viên Mỹ xử lý dữ liệu CCPA, nhân viên APAC thuộc PDPA. Ba khuôn khổ, một nhóm phân tán.

June 5, 20268 phút đọc
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

GDPR, CCPA và PDPA trong Một Công Cụ.

Cập nhật cho năm 2026.

Nhân viên EU của bạn thuộc GDPR. Nhân viên California của bạn xử lý hồ sơ CCPA. Nhân viên Singapore của bạn làm việc dưới PDPA. Ba khuôn khổ. Một cơ sở dữ liệu chia sẻ.

Đây là thách thức bảo mật toàn cầu cho các nhóm làm việc từ xa. Hồ sơ khách hàng mà họ truy cập là như nhau. Các quy tắc điều chỉnh những hồ sơ đó thì không.

Khoảng Trống Đa Quyền Tài Phán

Một nhóm hỗ trợ ở Đức, California và Singapore đều có thể mở cùng một tài khoản khách hàng. Tên, email và thông tin tài khoản trong hồ sơ đó phải đối mặt với các quy tắc khác nhau ở mỗi quốc gia.

Dưới GDPR, phải có cơ sở pháp lý cho mỗi lần sử dụng. Dưới CCPA, khách hàng có thể yêu cầu xóa và từ chối. Dưới PDPA, áp dụng các quy tắc đồng ý và chuyển giao.

Chia sẻ tệp khách hàng với trợ lý AI có thể kích hoạt nghĩa vụ theo cả ba luật cùng một lúc. Một hành động. Ba khuôn khổ.

Phần mềm khu vực không thể giải quyết vấn đề này. Nó làm cho vấn đề tệ hơn.

Tại Sao Một Nền Tảng Mỗi Khu Vực Thất Bại

Bản năng là khớp phần mềm với vị trí. Nhân viên Mỹ nhận giải pháp Mỹ. Nhân viên EU nhận giải pháp EU. Nhân viên APAC nhận giải pháp APAC.

Điều này không hoạt động trong thực tế.

Dữ liệu không theo nền tảng. Một nhân viên California xử lý khiếu nại của khách hàng Đức vẫn bị ràng buộc bởi GDPR. Quyền xóa dữ liệu của khách hàng EU áp dụng. Giải pháp Mỹ có thể không bao gồm định dạng ID quốc gia Đức hoặc số IBAN. Đó là khoảng trống.

Thiết lập chia thành ba hệ thống. Ba nền tảng có nghĩa là ba đường dẫn kiểm toán. Ba thiết lập phạm vi. Ba bộ loại thực thể có thể không khớp. Một báo cáo thống nhất trở thành nhiệm vụ hợp nhất thủ công.

Chuyển giao xuyên biên giới thiếu câu trả lời rõ ràng. Một nhà phân tích Mỹ có thể nhận xuất với hồ sơ khách hàng EU. Dưới GDPR, luật theo chủ thể dữ liệu — không phải vị trí của nhà phân tích. Giải pháp chỉ dành cho Mỹ không khắc phục được điều đó.

Xem hướng dẫn tuân thủ pháp lý để biết cách các nghĩa vụ xuyên biên giới chồng chất.

Phạm Vi Thực Thể Trên Các Khu Vực

Các định danh PII khác nhau theo quốc gia. Một nền tảng được xây dựng cho một thị trường sẽ bỏ lỡ các định danh từ thị trường khác.

Thực thể EU (GDPR):

  • Personalausweis và Steuernummer của Đức.
  • Numéro de Sécurité Sociale của Pháp.
  • DNI và NIE của Tây Ban Nha.
  • IBAN và BIC cho ngân hàng EU.

Thực thể Mỹ (CCPA / HIPAA):

  • Số An sinh Xã hội (SSN) và EIN.
  • Định dạng bằng lái xe theo tiểu bang.
  • Số Medicare và Medicaid.
  • 18 định danh sức khỏe được bảo vệ của HIPAA.

Thực thể APAC (PDPA, PIPL, PDPB):

  • NRIC và FIN của Singapore.
  • ID quốc gia Thái Lan (13 chữ số).
  • Thẻ căn cước cư dân Trung Quốc (18 chữ số) và số điện thoại di động.
  • Aadhaar và PAN card của Ấn Độ.

Giải pháp tập trung vào Mỹ bao phủ SSN một cách đáng tin cậy. Nó sẽ bỏ lỡ Personalausweis của Đức. Giải pháp EU bao phủ IBAN và ID quốc gia. Nó có thể không phát hiện số Aadhaar.

Phạm vi đầy đủ có nghĩa là các loại thực thể cho mọi thị trường có liên quan. Không chỉ khu vực nhà của phần mềm.

Xem thư viện thực thể đầy đủ tại /entities.

Thiết Lập Preset Theo Quyền Tài Phán

Câu trả lời thực tế: một engine phát hiện với preset theo khu vực.

Preset Tiêu Chuẩn GDPR (nhân viên EU): Tất cả 18 loại dữ liệu cá nhân GDPR. Định dạng ID quốc gia EU. Số ngân hàng EU. Ngưỡng được đặt cho phạm vi rộng của GDPR.

Preset CCPA / HIPAA (nhân viên Mỹ): SSN, EIN, số Medicare và Medicaid. ID tiểu bang và định dạng bằng lái xe. Số tài khoản tài chính Mỹ. 18 loại PHI của HIPAA cho nhân viên xử lý hồ sơ sức khỏe.

Preset Quyền riêng tư APAC (nhân viên APAC): NRIC và FIN của Singapore. ID quốc gia Thái Lan. ID cư dân và số điện thoại di động của Trung Quốc. Aadhaar và PAN của Ấn Độ. Cờ quốc gia khi cần.

Mỗi preset được đặt một lần ở trung tâm. Nó có sẵn cho mọi người. Áp dụng nó cho khu vực của nhân viên hoặc khu vực của chủ thể dữ liệu. Sử dụng cái nào chặt chẽ hơn. Engine áp dụng quy tắc chặt chẽ hơn.

Đọc về cách preset hoạt động trong FAQ.

Nghiên Cứu Điển Hình: Công Ty SaaS 50 Người

Một công ty SaaS làm việc từ xa đã tiến hành kiểm toán bảo mật hàng năm. Nhân viên ở Đức (18), California (22) và Singapore (10).

Trước khi chuyển đổi:

Nhóm Đức sử dụng nền tảng che dấu EU. Nhóm California sử dụng giải pháp Mỹ với phạm vi thực thể EU hạn chế. Nhóm Singapore không có phần mềm che dấu. Kiểm toán phát hiện ra các tiêu chuẩn không đồng đều trên cả ba khu vực. Kết quả Singapore là khoảng trống mở.

Sau khi chuyển sang một nền tảng:

  • Preset GDPR cho Đức, với các loại thực thể EU và hỗ trợ 48 ngôn ngữ.
  • Preset CCPA cho California, bao phủ các loại thực thể Mỹ và loại CCPA.
  • Preset PDPA cho Singapore, bao phủ các định danh APAC.
  • Một đường dẫn kiểm toán trung tâm bao phủ tất cả 50 nhân viên.
  • Cư trú EU cho tất cả hồ sơ được xử lý qua dịch vụ.

Thiết lập này đáp ứng GDPR Điều 46 cho chuyển giao xuyên biên giới trong dịch vụ.

Kết quả kiểm toán năm 2025: Không có phát hiện nào về sự không khớp che dấu. Khoảng trống Singapore trước đó đã đóng.

Xem cách các nhóm doanh nghiệp ghi lại các biện pháp kỹ thuật tại /security-compliance.

Kết Luận

Tuân thủ bảo mật toàn cầu không phải là ba vấn đề riêng biệt. Đó là một vấn đề: kiểm soát kỹ thuật nhất quán trên mọi khu vực.

Cùng một engine phát hiện. Cùng một đường dẫn kiểm toán. Các preset khác nhau cho các luật khác nhau. Một dịch vụ xử lý cả ba.

Tìm hiểu cách anonym.legal hỗ trợ các nhóm toàn cầu tại /pricing.

Nguồn Tham Khảo

  • GDPR Điều 3: Phạm vi Lãnh thổ. gdpr-info.eu/art-3-gdpr/
  • California Consumer Privacy Act (CCPA/CPRA). oag.ca.gov/privacy/ccpa
  • Thailand Personal Data Protection Act (PDPA). pdpa.go.th
  • GDPR Điều 46: Chuyển giao xuyên biên giới. gdpr-info.eu/art-46-gdpr/

Các Bài viết Liên quan

GDPR & Tuân Thủ

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Tuân Thủ

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Tuân Thủ

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.