朱幼恩 尹冬梅

[摘 要]欧盟通用数据保护条例（GDPR）从2018年5月25日开始实施，其主要特点有法律适用范围广、个人信息概念泛化和数据主体的权利类型增加等，对目标市场为欧盟的中国跨境电商企业的运营带来巨大挑战。同时，GDPR也为中国跨境电商企业提供了改进数据管理、获取客户信任、增强竞争力的机遇。企业应从领导层提升紧迫感、启动合规工作小组、进行风险评估、聘用数据保护官、加强员工管理与培训、制定奖惩计划等方面采取积极应对措施。

[关键词]GDPR；跨境电商；数据保护；营销

[中图分类号]F724.6

[文献标识码]A

[文章编号]2095-3283（2018）08-0093-03

Abstract： The EU General Data Protection Regulations （GDPR） have been implemented. Its main features are long-arm jurisdiction， generalization of personal information concepts and increased types of rights of data subjects. It poses a huge challenge to the sales and operation of Chinas cross-border e-commerce companies with target markets for the EU. GDPR also provides an opportunity for Chinese cross-border e-commerce companies to use and manage corporate data responsibly， while at the same time treating customers more securely and gaining competitiveness. Companies can respond positively to leadership urgency， launching compliance teams， conducting risk assessments， hiring data protection officers， and developing employee compliance rewards and penalties.

Keywords： GDPR； Cross-border E-commerce； Data Protection； Marketing

[作者簡介]朱幼恩（1982-），男，江西贵溪人，讲师，硕士，研究方向：国际经济与贸易；尹冬梅（1973-），女，江西莲花人，副教授，硕士，研究方向：国际贸易、网络营销。

欧盟2016年出台的《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）已于2018年5月25日全面实施。GDPR对个人信息保护的范围之广、实施标准之高、监管力度之大均前所未有，被称为“史上最严”的数据保护法案。GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响，同时重塑欧盟的组织机构处理隐私和数据保护的方式。GDPR的实施为经营和开拓欧盟市场的中国跨境电商企业带来很大困难。跨境电商企业面临实践数据信息管理这一巨大挑战，势必对中国跨境电商企业在欧盟市场的运营产生显著影响。同时，GDPR的实施也是一次机遇，会让部分跨境电商企业从竞争中脱颖而出。

一、GDPR的主要特点

GDPR共有十一个章节，分别为总则、原则、数据主体权利、控制者和处理者、个人数据向第三国或国际组织的传输、独立的监督组织、合作与协调、补救措施、责任及处罚、特定数据处理情形下的相关规定、委托与实施行为、最终条款。GDPR在许多方面都有明显的创新，但最引人注目的是适用范围扩大、个人信息概念宽泛、数据主体的权利类型增加。

（一）法律适用范围广

GDPR第三条第一款：只要数据控制人或数据使用人在欧盟境内设有办公地点，且对个人信息的收集和使用属于该机构的业务活动范围，无论收集和使用行为是否发生在欧盟境内，该数据控制人或数据使用人都应遵守GDPR。可以这样理解，只要有效、实际地收集和使用了个人信息，哪怕中国跨境电商企业在欧盟国家只有一个工作人员的办公室也足以构成所谓办公地点。

此外，第三条第二款：两种特殊情形下（向欧盟境内数据主体提供商品或服务，无论有偿或无偿；属于监控数据主体在欧盟境内的行为），只要数据控制人或使用人收集或使用了欧盟境内数据主体的个人信息，即使其并未在欧盟境内设有办公地点也要遵守GDPR。

（二）个人信息概念泛化

GDPR第四条：已经或者能够通过直接或间接的方式识别自然人的信息为个人信息。这种解释非常宽泛，对跨境电商企业而言，用户的交易信息如银行账号、地址和联系方式等属于个人信息，IP地址和设备标识符也被视为个人信息。企业获取此类信息的行为即收集个人信息行为。而如果商家收集了这些信息，不论是个人的，职业相关的，还是公开的信息，都需要遵守GDPR的要求。

由于个人信息概念解释的宽泛，企业在判定某一数据是否能够识别自然人时，要将合理范围内所有可以采用的技术、非技术手段，以及该数据和数据控制人或使用人持有的其他信息之间的关系等因素通通考虑进去。对于特殊类别的个人信息，比如遗传数据和生物特征数据，GDPR还规定了更严格的保护措施。

（三）数据主体的权利类型增加

GDPR赋予了数据主体多项权力，并要求组织加以落实。包括知情权、访问权、更正权、可携带权、删除权（被遗忘权）、限制处理权、反对权、自动化个人决策相关权等。对我国跨境电商企业而言，最大的挑战主要来自于新增的删除权（被遗忘权）和可携带权。

1.删除权（被遗忘权）。

GDPR 規定了删除权（被遗忘权）的构成要素：主体、客体、适用条件、例外情况以及违反的处罚措施。该权利意味着数据主体对数据拥有更多的自主决定权。GDPR第17条对删除权（被遗忘权）的定义进行了总体性的概括：在充分尊重表达自由的前提下，数据主体可以要求他人删除网站上与其有关的个人信息；服务者也必须从自身的服务器上随时并不拖延地删除侵权信息，同时需要尽力删除第三方服务器上有关的侵权信息。

2.可携带权。

GDPR给个人数据主体添加了一个对个人数据持续控制的权利。GDPR第20 条：数据控制者在处理数据主体提供的与其相关的个人数据时，数据主体有权要求获得该数据的副本，且可进一步使用而不受控制。具体表现为数据主体：有权从数据控制者处获得以结构化、通用化、可机读形式呈现的个人数据；有权将该数据转移给其他数据控制者而不受原数据控制者的阻碍；有权在技术允许的情况下要求该数据控制者直接将上述数据转移给另一个数据控制者。

二、GDPR的实施对中国跨境电商企业的影响

GDPR正式生效后，跨境电商企业所熟知的数字世界将剧变。首先，GDPR的要求更高，需要企业投入大量的人力、财力才能得以实现，即企业合规成本上升。其次，很多企业赖以生存的营销手段、技术优势都将不复存在。GDPR的实施为中国跨境电商企业具体业务的开展带来了挑战。

（一）企业告知客户信息必须透明

透明性原则是GDPR的核心原则之一：控制者必须以透明的方式如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理或将处理该个人数据的程度。要求任何与个人数据处理有关的信息和通信都必须易得易取，而且要使用清晰、简明的语言。因此，企业在技术条件允许的情况下，可以在自家网站或店铺上创建一个专门的网页供客户提出数据请求，并发布一份公告，说明客户数据是如何使用和处理的。

（二）交易过程中处理客户信息须更加谨慎

以亚马逊平台电商卖家为例：在销售过程中，客户A下了订单，收到货后不想要了，要求退货，而此时正好客户B也下了同样的订单，卖家为了图方便，把客户B的信息提供给A，让A把货物发到B处去，如果A和B中的某个人或者两人同时去投诉或者起诉，那么企业的行为属于违法。另外，GDPR要求企业必须保存消费者在每笔交易中的所有详细信息。当企业与客户完成一笔交易后，与客户就用户数据签署相关条约，其中每个自动勾选的选项都需要被设置为“未选中”，允许客户进行自行选择。即符合 GDPR 的数据需取得用户的明确同意原则。

（三）传统邮件营销推荐产品方式难以为继

以亚马逊为例，跨境电商企业往往通过电子邮件向用户推送购买建议，这种方式的转化率比较高，亚马逊有35%的转化来自于它的推荐机制。亚马逊会通过电子邮件广告或者网站主页进行有针对性的直接推荐。跨境电商企业每次上新品、做测评、做秒杀活动，都会通过给客户发电子邮件的形式来做邮件营销。

但目前欧盟的电子邮件营销处于必须用户同意选择接收邮件才能发送的运作方式，一旦消费者不同意，跨境电商企业就不能像以往肆无忌惮地在线上通过各种形式获取和联系消费者。如果企业群发的邮件有一个客户起诉，那么企业就将面临赔偿。

另外，如果企业是一个多平台操作的跨境电商卖家，如将Eaby、Wish等平台上收集到的客户个人信息通过EDM邮件等方式推广到自己的亚马逊店铺，也属于违规操作。

（四）社交媒体营销规则需相应调整

跨境电商企业越来越重视新媒体内容营销，而GDPR对社交媒体的影响巨大。Facebook、Instagram、Twitter、Youtube等大型在线服务和社交媒体公司正在更新他们的隐私政策和服务条款以适应GDPR的规则。以Facebook为例，计划从2018年9月30日开始禁止第三方数据中间商在其平台上直接提供广告定向等数据服务。

在社交平台规则大幅调整的背景下，栖身平台进行广告营销活动的中小跨境电商企业也需进行相应调整。以前，跨境电商企业作为广告主可以利用Facebook上Partner categories的功能，借助与Facebook有合作关系的第三方数据中间商，帮助他们在Facebook上进行精准定向。在线营销使用的第三方网络行为数据，对应的是PC端Cookies和手机等移动端的设备号，追踪设备的网络行为得出的匿名脱敏数据，比如搜索、浏览历史、分享话题等。然而在GDPR约束下，跨境电商企业广告主将不能再直接使用这些数据用于营销活动。

三、我国跨境电商企业可采取的应对策略

GDPR要求企业将更大范围的数据纳入到数据管理体系中，而且不仅要保证数据的可用性，更需要对数据具有足够的洞察力以确保合规。因此，GDPR对所有中国跨境电商企业都是一个挑战，但同时也为中国跨境电商企业提供了一个审视自身并获得更大发展的机遇。如果没有GDPR强制要求采取行动，可能很难促使中国企业花费精力和资金去整合数据，实施严格的数据保护。

GDPR引入了从设计着手保护隐私和默认保护隐私两项原则，要求各类组织机构在产品和服务的初始设计阶段以及整个过程中，都将数据与隐私保护考虑在内。我国跨境电商企业可采取以下应对策略：一是从源头调整企业内部的数据治理体系；二是对照GDPR打补丁式查缺补漏。鉴于我国大多数跨境电商企业都是中小企业，自身实力与条件难以快速在初始阶段建立起由上到下的隐私保护体系，因此本文主要探讨第二种应对策略。

（一）提升紧迫感

我国大部分跨境电商企业认为GDPR与自己无关，企业对GDPR规范框架认识不足，难以对相关判例、实施指南、标准文件和内部规则等形成的综合体系具备完整的认知理解。而GDPR的一次罚款或制裁，就会令我国中小型跨境电商企业濒临破产。因此，企业管理层需要有紧迫感，清醒、全面地认识到GDPR的影响，投入大量人力、财力进行改进，以尽量达到GDPR规范的要求。

（二）启动GDPR合规工作小组

仅靠企业IT人员是无法实现合规GDPR的，企业可以启动GDPR合规工作小组，号召销售运营、财务以及企业内所有涉及收集、分析和以其他方式利用客户个人身份信息的人员参与其中。通过GDPR工作小组，可以更好地为那些技术和程序人员提供所需的信息，同时也可以更好地处理对企业产生影响的紧急事件。

（三）进行风险评估

企业需要了解自己公司存储和处理的欧盟公民数据，以及由此可能带来的安全风险。因此，进行风险评估势在必行。企业必须全面了解其整个IT基础设施，并清点所有的应用程序（微博、微信等），同時需要了解哪些应用程序能够处理个人数据，特别是个别员工、团队和业务部门采用云应用程序可能造成违规。此外，企业员工使用自己的移动设备访问客户、合作伙伴等个人识别信息的行为也会对GDPR合规造成威胁，移动设备需纳入风险评估中。

（四）聘用数据保护官

GDPR规定拥有250名或以上员工处理敏感数据的组织必须指定数据保护官（DPO）。少于250名员工的组织也需要指定DPO，根据他们是否处理敏感数据的情况而定。鉴于我国跨境电商企业普遍人员规模较小，加上GDPR新规允许一名DPO同时为多个企业工作，所以可以选择聘请一名兼职DPO人员，并为DPO独立履行职责提供充足的资源。

（五）加强员工管理与培训，制定奖惩计划

企业想要确保GDPR合规，就需要进行持续地监控和改进操作，加强人员管理与培训，通过制定奖惩计划来确保员工遵守数据保护。例如：将关于GDPR合规的条款加到员工合同中；将奖惩与员工奖金和福利挂钩等。

四、结语

在GDPR的影响下，用户数据与隐私的安全性尤其重要。“长臂管辖”、 个人信息概念泛化和数据主体的权利类型增加对我国跨境电商企业产生巨大影响，给企业的销售和运营等具体业务开展带来了挑战。企业应将GDPR视为一种新的机遇，及时审视现有商业操作，通过研究GDPR合规措施，促使企业的商业模式更加清晰明确，从而使整个跨境电商生态环境更加完善。

[参考文献]

[1]张晓.数字经济发展的逻辑：一个系统性分析框架[J].电子政务，2018 （6）.

[2]杨一泽.欧盟个人数据保护条例适用研究[D].哈尔滨工业大学，2017.

[3]段利艳，王志辉，周静丽.欧盟GDPR法规对企业的影响及其对策分析[J].中国质量与标准导报，2018 （4）.

[4]桂畅旎.欧盟通用数据保护法案的影响与对策[J].中国信息安全，2017 （7）.

[5]许多奇.个人数据跨境流动规制的国际格局及中国应对[J].法学论坛，2018 （5）.

[6]京东法律研究院.欧盟数据宪章一般数据保护条例GDPR评述及实务指引[M].法律出版社， 2018.

[7]田贵生.解析GDPR及对中国涉欧企业的影响[J].对外经贸实务，2018（7）.

（责任编辑：乔虹 梁宏伟）