論歐盟《一般數據保護條例》對我國跨境電商營銷的挑戰及啟示

朱幼恩

摘 要：歐盟《一般數據保護條例》涉及眾多復雜的概念、規則、條款。國內研究存在時間滯后、學科交叉研究缺乏、相關概念界定不明等問題，更缺乏對企業開展跨境業務指導的支撐理論研究。我國跨境電商企業在歐盟的營銷業務由于條例個人信息概念泛化、新增刪除權和可攜權等權利類型而面臨挑戰，許多慣用的營銷方式亟須調整。但條例實施不應僅被視為企業營銷的障礙，也可啟發企業更加專注本土化、有序安排合規工作來增強自身競爭力。

關鍵詞：歐盟；《一般數據保護條例》；跨境電商；營銷

中圖分類號：D95；DD912.1 文獻標識碼：A 文章編號：1671-0037（2018）7-81-4

DOI：10.19345/j.cxkj.1671-0037.2018.07.022

Abstract： The EU General Data Protection Regulations cover many complex concepts， rules and provisions. There are many problems in domestic research， including time lag， lack of interdisciplinary research， unclear definition of related concepts， whats more， it lacks supporting theoretical research on cross-border business guidance for companies. China's cross-border e-commerce companies in the EU's marketing operations face challenges， due to the generalization of the concept of personal information， the addition of deletion rights and portability rights. Many customary marketing methods have to be adjusted urgently. However， the implementation of the regulations should not only be regarded as an obstacle to corporate marketing， it can also encourage enterprises to focus more on localization and orderly arrange compliance work to enhance their competitiveness.

Key words： EU； General Data Protection Regulations； cross-border E-commerce； marketing

大數據商業化在當今時代已經成為一種必然的、不可逆轉的趨勢。在數字經濟時代，數字就是企業的血液，決定著企業的生死存亡。收集到足夠的數據并將其最大程度商業化成為企業關注的重大問題。然而數據的商業利用必須控制在國家安全和尊重個人信息安全的邊界內，也已成為世界各國的共識。2018年5月25日正式實施的歐盟《一般數據保護條例》（以下簡稱條例）正是這樣一份嚴格的數據保護法案，目標在于保護歐盟公民免受隱私和數據泄露的影響，同時重塑歐盟的組織機構處理隱私和數據保護的方式。

歐盟市場是我國跨國電商企業的必爭之地，但由于條例涉及眾多復雜的概念、規則、條款，會牽涉企業的法務、技術、財務、人力、運營等眾多部門，許多中國跨境電商企業面對條例至今仍困惑重重，一時無從下手。這反映出目前學界、商界對條例的研究尚不夠深入具體，尤其是條例對跨境電商企業具體業務開展方面會帶來哪些挑戰沖擊缺乏系統研究，進而無法對企業業務開展進行合理指導。通過研究分析，筆者認為企業如果認真應對條例，努力做到合規會讓一部分企業贏得歐盟客戶的更大信任，從激烈競爭中脫穎而出。

1 條例對我國跨境電商業務影響的國內外研究現狀

1.1 國內研究現狀

齊愛民《個人資料保護法原理及其跨國流通法律問題研究》一書研究分析了個人數據及其跨境保護制度的概念內涵與各國立法實踐情況。周漢華《域外個人數據保護法匯編》共收錄了歐盟、美國、日本等20多個國家和地區的個人數據的保護立法情況，作為我國信息保護立法的參考資料。陳飛等翻譯編纂的《個人數據保護：歐盟指令及成員國法律、經合組織指導方針（中英文對照）》，詳細介紹了歐盟及其成員國個人數據保護的立法模式，比較分析了歐盟各成員國在立法一致性的基礎上基于各國自身的特點對相關的指令和公約所做的本土化改變。馬民虎等翻譯編著的《歐盟信息安全法律框架：條例、指令、決議和公約》對歐盟相關個人數據保護法的立法進行了匯編，資料收集較為全面。但上述成書時間較早，時效性較差，對于歐盟近年來個人數據保護問題出現的新情況、新問題都未涉及。

姚維保、韋景竹在介紹了歐盟個人數據保護法律的基礎上，指出歐盟數據保護法過于復雜且規則嚴格，影響了國際電子商務的發展，并指出歐盟個人數據流動法律規則的幾個發展方向。李曉述、孔令杰對歐盟認定個人資料以及跨境資料轉移、資料保護水平、第三國資料保護適當性評定這3方面進行分析，指出了歐盟對個人資料保護水平適當性制度的優點和缺陷。張哲指出，由于法律概念的抽象性、適用范圍的局限性以及與其他數據權利間的不協調性，歐盟數據可攜權的法律適用缺乏可操作性。田貴生在對條例內容解析的基礎上，探討了條例對中國涉歐企業的影響，并提出相應建議，但對所謂“中國涉毆企業”沒有進行分類。段利艷、王志輝、周靜麗從企業組織架構、業務管理、職能平臺、產品活動4個方面進行分析，對條例所做出的數據處理的基本原則和要求進行了梳理，但同樣存在所及“企業”概念邊界不明的問題。

1.2 國外研究現狀

Christopher Kuner系統介紹了歐洲的數據保護法律制度，對其中的基本法律概念、法律適用以及國際數據傳輸問題進行了專門分析，并就企業如何應對經營中經常遇到的數據保護問題，提供了詳細的指導和建議。Sandra Wachter研究了條例中定義的若干標準將在多大程度上為隱私和物聯網用戶的身份控制提供有意義的保護，指出為了最大限度地減少數據保護原則與物聯網識別之間沖突的隱私影響，條例標準迫切需要進一步規范物聯網技術的設計和部署。Christina Tikkinen-Piri（2018）討論了條例引入的變化對企業數據管理和使用實踐可能帶來的12個方面的影響以及企業在業務戰略、組織架構和技術措施方面如何應對條例給出了指導建議。

國外個人數據保護的相關立法起步早，較為完善，國外學者在這方面的研究也較為豐富。而我國在電子信息等通信技術方面起步較晚，普遍落后于歐美等發達國家，在相關研究上，我國存在明顯的滯后。在研究目的上，國內研究條例主要是通過研究歐盟個人數據保護的方法及制度設計，為我國的相關領域的法制完善提供理論上的支持；另外，為厘清個人數據保護不同的調整目標間的價值沖突以及個人數據保護的手段與方法等問題提供一定的分析框架；鮮有為了企業開展跨境業務直接進行支撐指導的理論研究[1-2]。鑒于此，本文主要研究條例給我國跨境電商企業營銷業務帶來的挑戰和啟示。

2 條例對我國跨境電商營銷業務挑戰的分析

營銷離不開客戶的個人數據，條例賦予了客戶知情權、訪問權、更正權、可攜帶權、刪除權（被遺忘權）、限制處理權、反對權、自動化個人決策相關權等。條例的正式生效，使跨境電商企業許多賴以生存的營銷手段備受挑戰進而必須及時改變。

2.1 客戶個人信息概念泛化，企業難以厘定營銷時需要謹慎處理的個人數據的范圍

條例第四條：已經或者能夠通過直接或間接的方式識別自然人的信息為個人信息。這種解釋非常泛化，對跨境電商企業而言，用戶的交易信息如銀行賬號、地址和聯系方式等屬于個人信息，IP地址和設備標識符也被視為個人信息。企業獲取此類信息的行為即收集個人信息行為。企業在營銷中判定某一數據是否能夠識別自然人時，要將合理范圍內所有可以采用的技術、非技術手段以及該數據和數據控制人或使用人持有的其他信息之間的關系等因素全都要考慮進去。哪些信息可以用，哪些信息不可以用，哪些信息是要獲得客戶最終的授權，這些現在都需要更加清楚的約定。

2.2 營銷所使用的個人數據須取得客戶的明確同意

條例規定控制者必須以透明的方式如實告知數據主體收集、使用、查閱或以其他方式處理與其有關的個人數據以及處理個人數據的程度。這要求任何與個人數據處理有關的信息和通信都必須易得易取，而且要使用清晰、簡明的語言。因此，在營銷一開始，企業可以在自家網站或店鋪上創建一個專門的網頁供客戶提出數據請求，并在網站或店鋪上發布一份公告，說明客戶數據是如何使用和處理的。在營銷結束完成一筆交易后，企業與客戶就用戶數據簽署相關條約，其中每個自動勾選的選項都需要被設置為“未選中”，允許客戶進行自行選擇。

2.3 客戶對營銷數據擁有更多類型的自主決定權

條例第十七條：在充分尊重表達自由的前提下，數據主體可以要求他人刪除網站上與其有關的個人信息；服務者也必須從自身的服務器上及時刪除侵權信息，同時需要盡力刪除第三方服務器上有關的侵權信息。條例第二十條：數據控制者在處理數據主體提供的與其相關的個人數據時，數據主體有權要求獲得該數據的副本，且可進一步使用而不受控制。具體表現為數據主體有權從數據控制者處獲得以結構化、通用化、可機讀形式呈現的個人數據；有權將該數據轉移給其他數據控制者而不受原數據控制者的阻礙；有權在技術允許的情況下要求該數據控制者直接將上述數據轉移給另一個數據控制者。上述條例新增的刪除權/被遺忘權和可攜帶權，意味著客戶對跨境電商企業營銷數據擁有更多且更持續控制的決定權。

2.4 郵件營銷須做出調整

EDM郵件營銷推廣產品和店鋪是跨境電商企業常用的手法，這種方式的轉化率比較高。但如今條約的實施，令歐盟的電子郵件營銷已處于一個必須要用戶同意選擇接收郵件才能發送的框架下運作，一旦消費者不同意，跨境電商企業就不能像以前這樣肆無忌憚地在線上通過各種手段獲取消費者郵箱地址。如果企業群發的郵件有一個客戶起訴，那么企業就將面臨賠償。企業通過電子郵件發送第三方促銷活動，也必須讓客戶選擇是否接收相關郵件并詳細說明情況。另外，如果企業是一個多平臺操作的跨境電商賣家，將亞馬遜、Eaby、Wish等某一平臺上收集到的客戶個人信息通過郵件等方式推廣自己的其他平臺的店鋪，這也屬于違法行為。

2.5 新媒體內容營銷規則需改變

我國跨境電商企業越來越離不開新媒體內容營銷，而條例對社交媒體的影響巨大。條例正式生效的第一天，臉書和谷歌就遭到起訴，被指控強迫用戶同意共享個人數據。為了合規條例避免巨額罰款，Facebook、google、Instagram、WhatsApp、Twitter、Youtube等大型在線服務和社交媒體公司都在更新他們的隱私政策和服務條款。廣告主、媒體、營銷平臺等都在調整的背景下，借助社交媒體平臺進行內容營銷的我國跨境電商企業的做法自然也需相應調整[3]。

3 條例對我國跨境電商發展的啟示

在條例的影響下，用戶數據與隱私的安全性已經被放到了一個至關重要的高度，這成為我國跨境電商企業的重大法律障礙。條例眾多復雜的概念、規則、條款給企業的營銷業務帶來了挑戰。但條例也為我國跨境電商企業提供了一個規范地使用和管理企業客戶數據，同時更負責地對待客戶，獲取信任、增強競爭力的機遇[4-5]。

3.1 跨境電商發展必須專注本土化

我國跨境電商的品牌化目前發展態勢良好，而本土化呼吁了好多年卻一直存在問題。許多跨境電商企業仍然抱缺守殘，自視根在中國，歐盟只是賺錢的市場，對歐盟國家的法律法規不重視，例如歐盟VAT稅號問題，這些年來已經讓不少跨境電商企業嘗到了苦頭。如今，條例的實施又一次給跨境電商企業敲響了警鐘

條例第三條第一款：只要數據控制人或數據使用人在歐盟境內設有辦公地點，且對個人信息的收集和使用屬于該機構的業務活動范圍，無論收集和使用行為是否發生在歐盟境內，該數據控制人或數據使用人都應遵守條例。第三條第二款：兩種特殊情形下（向歐盟境內數據主體提供商品或服務，無論有償或無償；監控數據主體在歐盟境內的行為），只要數據控制人或使用人收集或使用了歐盟境內數據主體的個人信息，即使其并未在歐盟境內設有辦公地點也要遵守條例。

可以這樣理解，只要中國跨境電商企業的市場是歐盟國家，只要通過網絡為辨別用戶身份而儲存在用戶本地終端上的數據或其他方式記錄、監控用戶在歐盟境內的線上瀏覽活動，不管是企業在歐盟有無辦公室都被納入條例管轄。遠在中國，只要違規照樣被罰。因此，我國跨境電商不如丟掉僥幸心理，借此機會更加專注企業本土化。

3.2 合規工作應重視而有序

條例規定沒有完成合規，一旦被調查判定違法，那么企業將面臨2 000萬歐元或者公司年收入4%的巨額罰款，兩者取高者。許多公司因此而產生緊迫感采取合規行動。但在筆者看來，因為擔心懲罰而改善行為是被動的次優選擇；重視條例，通過有序開展合規工作、增強企業自身管理經營水平、獲取歐盟客戶更大信任才是主動的最優選擇。

首先，企業最高管理層要有條例合規的緊迫感，清醒、全面地認識條例的意圖和影響。管理層應明白條例合規是一件需要投入大量的人力、財力，企業全體員工共同努力才能實現的事情。因此，企業可以啟動條例合規工作小組，召集銷售、運營、財務以及企業內所有涉及收集、分析和以其他方式利用客戶個人身份信息的人員參與。通過條例工作小組，更好地為那些實施技術和程序的人員提供所需的信息，同時也可以更好地處理一些對企業產生影響的緊急事件。另外，可以制定獎懲計劃來確保員工接受培訓后在工作中遵守條例。例如：將強制性條例政策加到員工合同中；聲明條例違規行為可能會與員工獎金和福利掛鉤等。

其次，可以聘用數據保護官（DPO）和引入專業機構進行數據安全的風險評估。條例規定少于250名員工的組織處理的不是所謂敏感數據的話，可允許多個企業聘用一名DPO同時工作。因此，我國跨境電商企業可以選擇聘請一名兼職DPO人員，由DPO向企業和員工提供歐盟數據保護方面的信息、建議和監管，并作為同歐盟數據保護條例監管部門保持聯系的溝通渠道，防止數據外泄。企業則應為DPO獨立履行職責提供充足的資源。至于引入專業機構進行數據安全的風險評估方面，應借機全面了解企業整個IT基礎設施狀況，清點企業所有的應用程序，了解哪些應用程序能夠處理個人數據，特別是個別員工、團隊和業務部門所采用的云應用程序。此外，企業員工使用自己的移動設備訪問客戶、合作伙伴等個人識別信息的行為也會對條例合規造成威脅，移動設備需特別注意風險評估[6-7]。

4 結語

歐盟《一般數據保護條例》的影響范圍已經超出歐洲，覆蓋到我國跨境電商企業，必將對未來全球數字經濟產生深遠變革，對我國跨境電商企業的營銷業務帶來直接沖擊。隨著時間推移，條例的影響會更加顯現，學界商界對這一問題的研究也將更加深入具體。盡管本文主要研究的是條例對我國跨境電商營銷業務方面的挑戰，但我們也應該知道營銷不是孤立存在的，企業要在產品、服務從初始設計到銷售、售后等整個過程都將數據與隱私保護考慮在內。總之，挑戰與機遇并存，我國跨境電商企業要做的是秉持更加本土、更加有序的經營態度，從這個角度理解，歐盟《一般數據保護條例》的實施正當其時。

參考文獻：

[1] 王達，伍旭川.歐盟一般數據保護條例的主要內容及對我國的啟示[J].金融與經濟，2018（4）：78-81.

[2] 京東法律研究院.歐盟數據憲章：一般數據保護條例條例評述及實務指引[M].北京：法律出版社，2018.

[3] 靳海雷.歐盟個人數據跨境保護制度研究[D].烏魯木齊：新疆大學，2017.

[4] 楊一澤.歐盟個人數據保護條例適用研究[D].哈爾濱：哈爾濱工業大學，2017.

[5] 段利艷，王志輝，周靜麗.歐盟條例法規對企業的影響及其對策分析[J].中國質量與標準導報，2018 （4）：52-56.

[6] 張哲.探微與啟示：歐盟個人數據保護法上的數據可攜權研究[J].廣西政法管理干部學院學報，2016（11）：43-48.

[7] Tikkinen-Piri C， Rohunen A， Markkula J. EU General Data Protection Regulation： Changes and implications for personal data collecting companies[J].Computer Law & Security Review， 2017.