没人料到的转折（其实早该看出来了）

如果你搞托管服务、在欧盟处理客户数据，或者运营数据平台，得好好看一看。以前觉得客户全扛GDPR责任？那想法已经过时了。

GDPR执行头七年，从2018到2024，套路很固定：数据泄露时，罚单砸向直接管用户的那家公司。hosting提供商、云处理器、底层基础设施？调查时提一提就行，罚款轮不到他们。

2025年，一切变了。两个监管决定就是铁证，hosting老板们该睡不着觉了。

案例一：NHS安全漏洞，罚了307万英镑

2025年3月，英国ICO干了件新鲜事：直接罚数据处理器。

Advanced Computer Software Group给英国国家医疗服务系统（NHS）提供IT服务。2022年8月，黑客通过一个没开multi-factor authentication的客户账户钻进来。结果呢？近900个家庭护理患者的医疗记录外泄，总涉及82,946人数据。

关键点：Advanced挨罚，不是因为他们管患者，而是没守好合同里承诺保护的数据。

ICO查出这些技术问题：

• 处理健康数据的系统没统一multi-factor authentication
• 没做全面vulnerability scanning
• patch management跟不上

原罚单610万英镑，后来合作减到307万。但信号很清楚：UK GDPR第32条要求“合适的技术和组织安全措施”。合同处理数据，你就得自己落实。没商量。

罚的不是NHS，是处理器。

案例二：数据留存坑，罚了100万欧元

五个月后，法国CNIL对Mobius Solutions下手。这家英国SaaS公司以前帮音乐平台Deezer管广告数据。

合同到期后，Mobius干了件hosting圈子听了都寒心的事：数据没删，还自己拿去优化服务，没问Deezer。

CNIL找出行三宗罪：

1. 合同结束还留数据（违反Article 28(3)(g)）
2. 超出客户指令处理数据（违反Article 28(3)(a)）
3. 没好好记处理记录（违反Article 30）

罚款：100万欧元。

对hosting平台来说，这案子超有针对性。涉及Deezer 4600万用户记录。Mobius在欧盟没实体，这让CNIL管辖更直接，没one-stop-shop挡路。从2022年11月查到2025年12月，直奔处理器开刀。

为什么hosting业务得警醒

这不是小概率事件，是先例。定了这些规矩：

你的安全实践，直接担责。 客户签DPA顶多转合同义务，挡不住监管罚单。技术控制没跟上，监管直接找你。

数据删，必须删。 合同完蛋，按约定删干净。留着“以防万一”或自用，直接罚。Mobius案子证明没灰色地带。

安全标准，没得商量。 2025年，MFA、vulnerability管理、patch部署、访问控制，不是可选，是硬要求。审计一查，洞就露。罚单跟着来。

文档，救命还是要命。 Mobius没记处理活动记录，就多挨一笔。你的处理文档、技术审计、安全日志、留存政策，都是证据。拿不出，监管默认你违规。

现在就行动

运营hosting、托管服务或SaaS，处理欧盟数据？清单在这：

1. 查安全架构。 multi-factor authentication、encryption、网络隔离、vulnerability scanning，全系统覆盖没？没的话，你在风险中。

2. 审数据留存。 合同结束，自动化真删数据了？备份里无限期存着？定好留存期，强制执行。

3. 升级DPA。 和客户协议里，安全义务、删数据流程、审计权写清楚。别含糊。

4. 上全面日志监控。 证明你处理啥数据、谁访问、怎么保护。这就是你的护身符。

5. 买cyber insurance。 GDPR罚单越来越狠。保险盖不住全，但风险管理必备。

6. 找法律顾问。 2025转折新，懂技术和法律的专家得跟上。

残酷现实

GDPR从2018年5月起，就让处理器直接担责。以前监管懒得管，专追controller，那目标大、好打。

2025年，他们醒了：直接罚握数据、管安全的那些公司。行动起来了。

Advanced和Mobius开了头，不会是最后一个。每个hosting、SaaS、云处理器，处理欧盟数据，全中枪。

不是会不会罚处理器，是你准备好了没。

在NameOcean，我们的Vibe Hosting从架构起就合规优先。我们懂这行情。但合规不是买来的，得融入基础设施、文档、运营每个环节。

赶紧动。规矩定了。