QualiBooth

compliance

GDPR 教会了我们关于 EAA 的什么

欧洲无障碍法案正沿着 GDPR 走过的执法路径前进。如果您的组织当年艰难地学会了 GDPR,本文教您如何避免重蹈覆辙。

1 min read QualiBooth
一面欧盟旗帜飘扬在一座欧洲政府大楼前,象征欧盟的数字监管。

我们经历过这一幕

2018 年,GDPR 生效,大多数组织的反应遵循着一条可预测的曲线。先是一段近乎沉默的时期。然后,随着截止日期临近,一阵手忙脚乱。接着,当执法真正到来时,出现真正的紧迫感,以及在一个远比应有时间短得多的时间表内争相合规的局面。

欧洲无障碍法案正走在同一条轨迹上。截止日期——2025 年 6 月 28 日——已经过去。执法正在进行。而那些把无障碍当作”以后再说”的组织,如今发现”以后”已经到来。

如果您经历过 GDPR,接下来的许多内容会让您感到似曾相识。

它们的共同之处

一个大多数组织都错过的合规截止日期

当 GDPR 于 2018 年 5 月生效时,调查显示大多数欧盟企业尚未合规——在一些报告中,这一数字超过 60%。EAA 的情况看起来类似。2025 年 6 月截止日期前不久发布的研究一致表明,受该法案约束的企业中,只有一小部分实现了实质性的合规。

两部法律都遵循同样的基本模式:一段漫长的引导期,期间大多数组织采取的行动有限;随后随着截止日期临近出现一阵活动高潮;再往后则是对那些行动不够迅速者的持续执法。

一个被许多企业低估的属地范围

GDPR 适用于任何处理欧盟居民数据的组织,无论该组织位于何处。EAA 的运作方式类似:如果您的数字产品或服务面向欧盟客户销售,并且您的组织达到规模门槛(超过 10 名员工且营业额超过 €2 million),您就需要合规——无论您的总部设在慕尼黑还是旧金山。

许多非欧盟企业对 GDPR 的适用范围感到意外。EAA 也正在上演同样的一幕。

一个真正有威慑力的处罚框架

GDPR 的罚款——最高可达全球年营业额的 4% 或 €20 million,以较高者为准——登上了新闻头条。一些组织因在许多情况下本可预防的失误,遭受了数百万欧元的处罚。

EAA 的处罚在国家层面确定,因此各成员国之间有所不同。但它们绝非微不足道。意大利和法国都规定每项违规可处以数万欧元的罚款。德国的《Barrierefreiheitsstärkungsgesetz》(BFSG)实施法案包含可观的处罚。而且,与 GDPR 不同——GDPR 的许多违规是通过数据泄露或投诉发现的——无障碍缺陷对任何用屏幕阅读器访问您网站的人来说都是可见的,其中就包括那些提出无障碍投诉的残障倡导组织。

EAA 与 GDPR 的不同之处

无障碍违规从外部即可看见

GDPR 违规往往需要内部人员投诉或泄露通知才会曝光。而无障碍缺陷是公开可发现的。任何人都可以打开您的网站、运行自动扫描,或用屏幕阅读器进行测试,并记录他们的发现。残障倡导团体正是系统性地这样做的。

这意味着潜在投诉人的群体要大得多,而提出投诉的门槛也要低得多。您不需要访问内部系统或泄露的文件。您只需要一个浏览器。

技术标准已经明确规定

GDPR 要求组织实施”适当的技术和组织措施”来保护数据——这是一个故意含糊的标准,以适应技术变化。EAA 则规定了一个具体的技术标准:EN 301 549,它引用了 Web 内容无障碍指南(WCAG 2.1/2.2)的 AA 级。

这种明确性是一把双刃剑。一方面,组织清楚地知道自己需要达到什么。另一方面,它也让证明不合规变得容易——自动化工具能在几秒内生成一份详细的违规报告。

早期执法已经开始

GDPR 在重大罚款到来之前,有过一个相对平静的执法首年。EAA 的执法推进得更快。法国当局在截止日期后不久便开始向大型零售商发出通知。巴黎一家法院对一个学校平台无障碍案件作出裁决,其中包括每年最高 €25,000 的潜在罚款。欧盟各成员国的倡导组织正在积极提出投诉。

适用于 EAA 的 GDPR 经验教训

”我们会在执法找上门之前实现合规”不是一种策略

许多组织在 GDPR 时代做过这样的盘算,结果发现执法比它们预期的更快、更有针对性。无障碍投诉现在正在被提交。抢先应对的组织,正是那些在收到正式通知之前就开始审计和整改的组织。

文档与技术修复同样重要

GDPR 要求组织保存处理活动记录、数据保护影响评估以及同意的证据。EAA 要求平台无障碍,并且在许多国家的实施中,还要求提供无障碍声明,以记录当前的合规水平、已知的例外情况,以及供用户报告障碍的联系机制。

拥有一份准确反映您当前状态的无障碍声明——并且能够展示持续的改进——是诚意合规的有力证据。

合规是一个过程,而非一个项目

GDPR 时代的思维陷阱是把合规当作一个待勾选的复选框:聘请一支法律团队、更新隐私政策、加上 Cookie 横幅,完事。许多组织随后就停下了脚步——却发现每当推出新产品或更新现有产品时,都需要重新审视其合规状况。

无障碍的运作方式也是一样。每一项新功能、每一个第三方组件、每一次设计翻新都可能引入新的障碍。可持续的合规要求将无障碍融入您的开发和内容流程,而不是把它当作一次性的整改。我们关于软件开发生命周期中的无障碍的指南,介绍了这在实践中是什么样子。

从建立基线开始

在规划整改之前,您需要了解自己目前的状况。这意味着进行一次审计——既包括自动化的,也包括人工的——以记录缺陷、按影响和频率对其进行优先排序,并制定一份切合实际的整改计划。

如果您还没有做这件事,最快的起点是一次免费的自动扫描,它能立即让您看清那些可自动检测的违规问题。要获得完整的图景——包括自动化工具无法检测到的约 60–70% 的障碍——则需要由使用辅助技术的人进行人工测试

那些妥善应对 GDPR 的组织没有坐等执法。它们评估了自身处境、制定了计划,并以对待任何其他重大业务风险时同样的紧迫感加以执行。EAA 值得同样的对待。

查明您的网站是否符合 EAA 要求