GDPR生效后,外贸人该做什么,不该做什么
欧盟发布的GDPR(全称通用数据保护条例)已于2018年5月25日正式生效,并已立法。
GDPR是什么?为什么全球数以万计的互联网企业都必须要遵守?
GDPR生效后,什么可以做?什么不可以做?不遵守会发生什么?
众观整个互联网,国内外巨头都急成了热锅上的蚂蚁,因为处理不好GDPR的问题,将面临上千万欧元的罚款,而且欧盟各国已经立法,看来这一次是来真的了。
反观外贸行业,好像大家都不太重视,很多人甚至都不知道GDPR的存在,其实只要你向欧盟客户做电子邮件营销,开展外贸独立站业务,就和这次号称史上最严的数据保护法GDPR有关系。
什么是GDPR?
GDPR全称“通用数据保护条例”或“一般数据保护条例”,于2018年5月25日正式生效。
欧盟各成员国都已将其列入本国法律,还包括脱欧的英国。
简单的说GDPR是欧盟新颁布的法律,和互联网个人信息,以及数据隐私有关,主要目的是保护欧盟公民的个人数据和隐私免遭泄露。
为什么欧盟要颁布GDPR?
由于欧盟没有所谓的互联网巨头,而欧盟公民对互联网的依赖又非常高,导致国外互联网公司在处理欧盟公民个人数据时,想怎么处理就怎么处理,反正也没有法律可以制裁。
于是在2016年,欧盟提出了GPDR个人数据保护法的提案,意在扭转这个局面,让一直处于被动的欧盟不再处于劣势,如果有哪家公司敢随意践踏欧盟公民的个人数据,欧盟各国就能依据GDPR罚到它倾家荡产。
不得不说的是,近十年来,互联网发展的太快,快到法律都还没跟上就闹出了不少事情。
就在今年3月,Facebook数千万用户数据遭泄露,传言这些数据被别有用心的人拿去通过互联网煽动民意,做A/B Testing,间接操纵了美国总统的选举,为川普获胜立下汗马功劳。
如果Facebook数据门是在GDPR生效后才发生,只要泄露数据里有欧盟公民的个人数据,欧盟各国就可以依据GDPR把小扎告到破产。
还有最最重要的一点,现如今个人信息,个人隐私泄露频频发生,无论哪个国家都一样,这些信息被不怀好意的人拿去诈骗,推销,真正受苦的是老百姓。
说到这,忍不住想吐槽几句。
不知道从什么时候开始,个人信息这么隐私的东西变的不再隐私,想想就可怕,各种推销诈骗电话、短信、邮件络绎不绝,这帮人简直比我妈还了解我。
卖酒卖药卖商铺,卖房卖车卖别墅,保险贷款奢侈品,股票期货炒黄金。
前几天就接到一电话,问我要不要买男性保健药,WTF!你才有问题呢。
就个人信息而言,不知道被卖了多少回。欧盟这次的大动作无疑是一件好事,希望我国也向欧盟一样早日完善个人信息,个人数据保护法。
把控制权交还给个人,如果在未经本人同意的情况下,一直被骚扰,就可以投诉骚扰者,严重的依法处理。
GDPR适用于谁?和外贸有什么关系
很多人都把GDPR理解成我不是欧盟的人,和我无关。
其实只要你在未经欧盟公民本人的同意下,保留了对方的个人信息,并以此来向他们推销产品,发邮件,做营销,就算违反GDPR了。
这也是,为什么前几日,各大互联网公司群发邮件告知他们的用户,需要邮件确认是否以后继续接收邮件。
从广义上看,这次的重灾区在互联网科技行业,因为他们不仅会没事给你推送消息,还存储了你的个人信息,所以就像开篇我提到的,这些公司都成了热锅上的蚂蚁。
由于用户数据太多,无法分辨谁是欧盟的,谁不是,于是干脆来个群发算了,所以很多欧盟以外的人也会收到GDPR的邮件。
更夸张的是现在上FB,必须要强制同意FB的个人隐私条例才能继续登陆使用,这一招算是不得已而为之。
除了邮件告知,只要曾今保留过欧盟公民个人数据的公司,都要自动清理该数据,在重新获得所有者同意的情况下,才能继续保留数据,如果我是做面对欧盟的互联网科技公司,估计早就疯了。
虽然重灾区不在外贸界,但外贸也未能幸免于此次大事件。
做外贸的,谁还没几个欧洲客户,谁不是天天给客户发邮件,谁的外贸独立站还没几个需要留个人信息的表单。
GDPR一来,到底还可不可以给欧盟客户发邮件?这一定是很多人想问的问题。
就对GDPR的理解,大可不必惊慌,正常的商业邮件是可以的,特别是公对公的邮件,比如欧盟客户邮件是公司邮箱,那更没事了,因为这次针对的是个人数据的保护。
如果是私人邮箱的话,因为本来就有商业往来,也无大碍,不过最好还是发个邮件问候一下,告知客户这件事情,获得他们的同意,和他们聊聊天,一方面有点新话题,加深一下感情,另一方面,小心驶得万年船。
上述针对的都是老客户,那群发垃圾邮件或开发信给新客户呢?
就对GDPR的理解,群发垃圾邮件或开发信给欧盟的客户,已经算是违规了,因为收信人并没有同意你可以这样做,但此次欧盟新规在处罚上比较模糊,总之是和投诉以及多少有关系。
比如有一家外贸公司,不知道从哪买了一些欧盟用户的邮箱地址,每天群发开发信到这些邮箱里,如果接到邮件的人都去找GDPR的监管部门投诉,并且投诉人达到一定数量,监管部门收集了这些邮件证据后就会采取行动,第一步绝对是警告,最后视情况的恶劣程度才会做出罚款。
具体是怎么个流程,也不清楚,因为新规才颁布,还没有处罚案例,但希望各位做外贸的,不要以身试法,做第一个吃螃蟹的人,比如群发上百万的垃圾邮件,这些邮件只要发出去了都可以留作法律证据,而GDPR是已经生效的法律。
总之,欧盟客户只是整个外贸市场的一部分,最近这段时间,请尽量不要故意去做违背它的事情。
说完了向欧盟新客户发邮件的问题,接下来说说外贸独立站。
现在的外贸公司也好,外贸工厂也罢,都有外贸网站,这个网站或是B2B企业官网,或是B2C跨境商城。
只要这个网站上有表单,要访客留个人信息,比如姓名,邮箱,电话一类的,那可要小心了。
因为无法分辨访客是不是欧盟的,大多数企业的做法是,在表单上留一个打勾的同意选项和一个Privacy Policy的页面链接,需要访客自己打勾同意,才可以获取报价,资料一类的东西。
如果不设置这个需要打勾的选项,也不做Privacy Policy页面,就算违反了GDPR的规定。
除了外贸独立站上的表单,如果你还做电子邮件营销,还有这些事情你需要注意。
很多外贸笄立站上,都会有邮件订阅这个选项,特别是一些做B2C的跨境电商,目的是为了以后能持续的做内容营销,给客户发点新产品,优惠券,告知促销信息等等。
由于无法分辨访客是否是来自欧盟,大多数企业的做法是做双重保护,一方面只要有人订阅,需要在邮件里单独再次确认是否同意订阅,像下图这样。
如果不遵守GDPR,会面临什么?
相比GDPR处罚范围的模糊,处罚金额倒是很明确,一共有两种罚款。
一种是不符合GDPR,就处罚1000万欧元或上一年全球年营业额的2%,以较高者为准。
另一种是欧盟公民数据遭泄露,将处罚2000万欧元或上一年全球年营业额的4%,以较高者为准。
无论是哪一种,都有一个以较高者为准的字样,说白了就是要重罚。
就对GDPR的理解,外贸行业如果被罚很可能是第一种情况,因为第二种比较适用于像Facebook或Google这样的企业,用户数据庞大,分公司或关联机构又多,一旦数据泄露,都是千万以上的级别,影响比较恶劣。
这么大的金额,我觉得所有外贸人都要重视一下,在上一部分我也都给出了自己的看法,包括发邮件,外贸独立站和电子邮件营销。
总之,有欧盟业务的不要以身试法,谁知道会发生什么,请遵守GDPR的规定,小心使得万年船。
如果有违规现象,是不是直接就罚款了?
就对GDPR的理解,应该是先收集证据,警告,一步一步再升级到罚款,就像下图所示,该图来自GDPR官网,链接点这里。