朱幼恩

摘 要：欧盟《一般数据保护条例》涉及众多复杂的概念、规则、条款。国内研究存在时间滞后、学科交叉研究缺乏、相关概念界定不明等问题，更缺乏对企业开展跨境业务指导的支撑理论研究。我国跨境电商企业在欧盟的营销业务由于条例个人信息概念泛化、新增删除权和可携权等权利类型而面临挑战，许多惯用的营销方式亟须调整。但条例实施不应仅被视为企业营销的障碍，也可启发企业更加专注本土化、有序安排合规工作来增强自身竞争力。

关键词：欧盟；《一般数据保护条例》；跨境电商；营销

中图分类号：D95；DD912.1 文献标识码：A 文章编号：1671-0037（2018）7-81-4

DOI：10.19345/j.cxkj.1671-0037.2018.07.022

Abstract： The EU General Data Protection Regulations cover many complex concepts， rules and provisions. There are many problems in domestic research， including time lag， lack of interdisciplinary research， unclear definition of related concepts， whats more， it lacks supporting theoretical research on cross-border business guidance for companies. China's cross-border e-commerce companies in the EU's marketing operations face challenges， due to the generalization of the concept of personal information， the addition of deletion rights and portability rights. Many customary marketing methods have to be adjusted urgently. However， the implementation of the regulations should not only be regarded as an obstacle to corporate marketing， it can also encourage enterprises to focus more on localization and orderly arrange compliance work to enhance their competitiveness.

Key words： EU； General Data Protection Regulations； cross-border E-commerce； marketing

大数据商业化在当今时代已经成为一种必然的、不可逆转的趋势。在数字经济时代，数字就是企业的血液，决定着企业的生死存亡。收集到足够的数据并将其最大程度商业化成为企业关注的重大問题。然而数据的商业利用必须控制在国家安全和尊重个人信息安全的边界内，也已成为世界各国的共识。2018年5月25日正式实施的欧盟《一般数据保护条例》（以下简称条例）正是这样一份严格的数据保护法案，目标在于保护欧盟公民免受隐私和数据泄露的影响，同时重塑欧盟的组织机构处理隐私和数据保护的方式。

欧盟市场是我国跨国电商企业的必争之地，但由于条例涉及众多复杂的概念、规则、条款，会牵涉企业的法务、技术、财务、人力、运营等众多部门，许多中国跨境电商企业面对条例至今仍困惑重重，一时无从下手。这反映出目前学界、商界对条例的研究尚不够深入具体，尤其是条例对跨境电商企业具体业务开展方面会带来哪些挑战冲击缺乏系统研究，进而无法对企业业务开展进行合理指导。通过研究分析，笔者认为企业如果认真应对条例，努力做到合规会让一部分企业赢得欧盟客户的更大信任，从激烈竞争中脱颖而出。

1 条例对我国跨境电商业务影响的国内外研究现状

1.1 国内研究现状

齐爱民《个人资料保护法原理及其跨国流通法律问题研究》一书研究分析了个人数据及其跨境保护制度的概念内涵与各国立法实践情况。周汉华《域外个人数据保护法汇编》共收录了欧盟、美国、日本等20多个国家和地区的个人数据的保护立法情况，作为我国信息保护立法的参考资料。陈飞等翻译编纂的《个人数据保护：欧盟指令及成员国法律、经合组织指导方针（中英文对照）》，详细介绍了欧盟及其成员国个人数据保护的立法模式，比较分析了欧盟各成员国在立法一致性的基础上基于各国自身的特点对相关的指令和公约所做的本土化改变。马民虎等翻译编著的《欧盟信息安全法律框架：条例、指令、决议和公约》对欧盟相关个人数据保护法的立法进行了汇编，资料收集较为全面。但上述成书时间较早，时效性较差，对于欧盟近年来个人数据保护问题出现的新情况、新问题都未涉及。

姚维保、韦景竹在介绍了欧盟个人数据保护法律的基础上，指出欧盟数据保护法过于复杂且规则严格，影响了国际电子商务的发展，并指出欧盟个人数据流动法律规则的几个发展方向。李晓述、孔令杰对欧盟认定个人资料以及跨境资料转移、资料保护水平、第三国资料保护适当性评定这3方面进行分析，指出了欧盟对个人资料保护水平适当性制度的优点和缺陷。张哲指出，由于法律概念的抽象性、适用范围的局限性以及与其他数据权利间的不协调性，欧盟数据可携权的法律适用缺乏可操作性。田贵生在对条例内容解析的基础上，探讨了条例对中国涉欧企业的影响，并提出相应建议，但对所谓“中国涉殴企业”没有进行分类。段利艳、王志辉、周静丽从企业组织架构、业务管理、职能平台、产品活动4个方面进行分析，对条例所做出的数据处理的基本原则和要求进行了梳理，但同样存在所及“企业”概念边界不明的问题。

1.2 国外研究现状

Christopher Kuner系统介绍了欧洲的数据保护法律制度，对其中的基本法律概念、法律适用以及国际数据传输问题进行了专门分析，并就企业如何应对经营中经常遇到的数据保护问题，提供了详细的指导和建议。Sandra Wachter研究了条例中定义的若干标准将在多大程度上为隐私和物联网用户的身份控制提供有意义的保护，指出为了最大限度地减少数据保护原则与物联网识别之间冲突的隐私影响，条例标准迫切需要进一步规范物联网技术的设计和部署。Christina Tikkinen-Piri（2018）讨论了条例引入的变化对企业数据管理和使用实践可能带来的12个方面的影响以及企业在业务战略、组织架构和技术措施方面如何应对条例给出了指导建议。

国外个人数据保护的相关立法起步早，较为完善，国外学者在这方面的研究也较为丰富。而我国在电子信息等通信技术方面起步较晚，普遍落后于欧美等发达国家，在相关研究上，我国存在明显的滞后。在研究目的上，国内研究条例主要是通过研究欧盟个人数据保护的方法及制度设计，为我国的相关领域的法制完善提供理论上的支持；另外，为厘清个人数据保护不同的调整目标间的价值冲突以及个人数据保护的手段与方法等问题提供一定的分析框架；鲜有为了企业开展跨境业务直接进行支撑指导的理论研究[1-2]。鉴于此，本文主要研究条例给我国跨境电商企业营销业务带来的挑战和启示。

2 条例对我国跨境电商营销业务挑战的分析

营销离不开客户的个人数据，条例赋予了客户知情权、访问权、更正权、可携带权、删除权（被遗忘权）、限制处理权、反对权、自动化个人决策相关权等。条例的正式生效，使跨境电商企业许多赖以生存的营销手段备受挑战进而必须及时改变。

2.1 客户个人信息概念泛化，企业难以厘定营销时需要谨慎处理的个人数据的范围

条例第四条：已经或者能够通过直接或间接的方式识别自然人的信息为个人信息。这种解释非常泛化，对跨境电商企业而言，用户的交易信息如银行账号、地址和联系方式等属于个人信息，IP地址和设备标识符也被视为个人信息。企业获取此类信息的行为即收集个人信息行为。企业在营销中判定某一数据是否能够识别自然人时，要将合理范围内所有可以采用的技术、非技术手段以及该数据和数据控制人或使用人持有的其他信息之间的关系等因素全都要考虑进去。哪些信息可以用，哪些信息不可以用，哪些信息是要获得客户最终的授权，这些现在都需要更加清楚的约定。

2.2 营销所使用的个人数据须取得客户的明确同意

条例规定控制者必须以透明的方式如实告知数据主体收集、使用、查阅或以其他方式处理与其有关的个人数据以及处理个人数据的程度。这要求任何与个人数据处理有关的信息和通信都必须易得易取，而且要使用清晰、简明的语言。因此，在营销一开始，企业可以在自家网站或店铺上创建一个专门的网页供客户提出数据请求，并在网站或店铺上发布一份公告，说明客户数据是如何使用和处理的。在营销结束完成一笔交易后，企业与客户就用户数据签署相关条约，其中每个自动勾选的选项都需要被设置为“未选中”，允许客户进行自行选择。

2.3 客户对营销数据拥有更多类型的自主决定权

条例第十七条：在充分尊重表达自由的前提下，数据主体可以要求他人删除网站上与其有关的个人信息；服务者也必须從自身的服务器上及时删除侵权信息，同时需要尽力删除第三方服务器上有关的侵权信息。条例第二十条：数据控制者在处理数据主体提供的与其相关的个人数据时，数据主体有权要求获得该数据的副本，且可进一步使用而不受控制。具体表现为数据主体有权从数据控制者处获得以结构化、通用化、可机读形式呈现的个人数据；有权将该数据转移给其他数据控制者而不受原数据控制者的阻碍；有权在技术允许的情况下要求该数据控制者直接将上述数据转移给另一个数据控制者。上述条例新增的删除权/被遗忘权和可携带权，意味着客户对跨境电商企业营销数据拥有更多且更持续控制的决定权。

2.4 邮件营销须做出调整

EDM邮件营销推广产品和店铺是跨境电商企业常用的手法，这种方式的转化率比较高。但如今条约的实施，令欧盟的电子邮件营销已处于一个必须要用户同意选择接收邮件才能发送的框架下运作，一旦消费者不同意，跨境电商企业就不能像以前这样肆无忌惮地在线上通过各种手段获取消费者邮箱地址。如果企业群发的邮件有一个客户起诉，那么企业就将面临赔偿。企业通过电子邮件发送第三方促销活动，也必须让客户选择是否接收相关邮件并详细说明情况。另外，如果企业是一个多平台操作的跨境电商卖家，将亚马逊、Eaby、Wish等某一平台上收集到的客户个人信息通过邮件等方式推广自己的其他平台的店铺，这也属于违法行为。

2.5 新媒体内容营销规则需改变

我国跨境电商企业越来越离不开新媒体内容营销，而条例对社交媒体的影响巨大。条例正式生效的第一天，脸书和谷歌就遭到起诉，被指控强迫用户同意共享个人数据。为了合规条例避免巨额罚款，Facebook、google、Instagram、WhatsApp、Twitter、Youtube等大型在线服务和社交媒体公司都在更新他们的隐私政策和服务条款。广告主、媒体、营销平台等都在调整的背景下，借助社交媒体平台进行内容营销的我国跨境电商企业的做法自然也需相应调整[3]。

3 条例对我国跨境电商发展的启示

在条例的影响下，用户数据与隐私的安全性已经被放到了一个至关重要的高度，这成为我国跨境电商企业的重大法律障碍。条例众多复杂的概念、规则、条款给企业的营销业务带来了挑战。但条例也为我国跨境电商企业提供了一个规范地使用和管理企业客户数据，同时更负责地对待客户，获取信任、增强竞争力的机遇[4-5]。

3.1 跨境电商发展必须专注本土化

我国跨境电商的品牌化目前发展态势良好，而本土化呼吁了好多年却一直存在问题。许多跨境电商企业仍然抱缺守残，自视根在中国，欧盟只是赚钱的市场，对欧盟国家的法律法规不重视，例如欧盟VAT税号问题，这些年来已经让不少跨境电商企业尝到了苦头。如今，条例的实施又一次给跨境电商企业敲响了警钟

條例第三条第一款：只要数据控制人或数据使用人在欧盟境内设有办公地点，且对个人信息的收集和使用属于该机构的业务活动范围，无论收集和使用行为是否发生在欧盟境内，该数据控制人或数据使用人都应遵守条例。第三条第二款：两种特殊情形下（向欧盟境内数据主体提供商品或服务，无论有偿或无偿；监控数据主体在欧盟境内的行为），只要数据控制人或使用人收集或使用了欧盟境内数据主体的个人信息，即使其并未在欧盟境内设有办公地点也要遵守条例。

可以这样理解，只要中国跨境电商企业的市场是欧盟国家，只要通过网络为辨别用户身份而储存在用户本地终端上的数据或其他方式记录、监控用户在欧盟境内的线上浏览活动，不管是企业在欧盟有无办公室都被纳入条例管辖。远在中国，只要违规照样被罚。因此，我国跨境电商不如丢掉侥幸心理，借此机会更加专注企业本土化。

3.2 合规工作应重视而有序

条例规定没有完成合规，一旦被调查判定违法，那么企业将面临2 000万欧元或者公司年收入4%的巨额罚款，两者取高者。许多公司因此而产生紧迫感采取合规行动。但在笔者看来，因为担心惩罚而改善行为是被动的次优选择；重视条例，通过有序开展合规工作、增强企业自身管理经营水平、获取欧盟客户更大信任才是主动的最优选择。

首先，企业最高管理层要有条例合规的紧迫感，清醒、全面地认识条例的意图和影响。管理层应明白条例合规是一件需要投入大量的人力、财力，企业全体员工共同努力才能实现的事情。因此，企业可以启动条例合规工作小组，召集销售、运营、财务以及企业内所有涉及收集、分析和以其他方式利用客户个人身份信息的人员参与。通过条例工作小组，更好地为那些实施技术和程序的人员提供所需的信息，同时也可以更好地处理一些对企业产生影响的紧急事件。另外，可以制定奖惩计划来确保员工接受培训后在工作中遵守条例。例如：将强制性条例政策加到员工合同中；声明条例违规行为可能会与员工奖金和福利挂钩等。

其次，可以聘用数据保护官（DPO）和引入专业机构进行数据安全的风险评估。条例规定少于250名员工的组织处理的不是所谓敏感数据的话，可允许多个企业聘用一名DPO同时工作。因此，我国跨境电商企业可以选择聘请一名兼职DPO人员，由DPO向企业和员工提供欧盟数据保护方面的信息、建议和监管，并作为同欧盟数据保护条例监管部门保持联系的沟通渠道，防止数据外泄。企业则应为DPO独立履行职责提供充足的资源。至于引入专业机构进行数据安全的风险评估方面，应借机全面了解企业整个IT基础设施状况，清点企业所有的应用程序，了解哪些应用程序能够处理个人数据，特别是个别员工、团队和业务部门所采用的云应用程序。此外，企业员工使用自己的移动设备访问客户、合作伙伴等个人识别信息的行为也会对条例合规造成威胁，移动设备需特别注意风险评估[6-7]。

4 结语

欧盟《一般数据保护条例》的影响范围已经超出欧洲，覆盖到我国跨境电商企业，必将对未来全球数字经济产生深远变革，对我国跨境电商企业的营销业务带来直接冲击。随着时间推移，条例的影响会更加显现，学界商界对这一问题的研究也将更加深入具体。尽管本文主要研究的是条例对我国跨境电商营销业务方面的挑战，但我们也应该知道营销不是孤立存在的，企业要在产品、服务从初始设计到销售、售后等整个过程都将数据与隐私保护考虑在内。总之，挑战与机遇并存，我国跨境电商企业要做的是秉持更加本土、更加有序的经营态度，从这个角度理解，欧盟《一般数据保护条例》的实施正当其时。

参考文献：

[1] 王达，伍旭川.欧盟一般数据保护条例的主要内容及对我国的启示[J].金融与经济，2018（4）：78-81.

[2] 京东法律研究院.欧盟数据宪章：一般数据保护条例条例评述及实务指引[M].北京：法律出版社，2018.

[3] 靳海雷.欧盟个人数据跨境保护制度研究[D].乌鲁木齐：新疆大学，2017.

[4] 杨一泽.欧盟个人数据保护条例适用研究[D].哈尔滨：哈尔滨工业大学，2017.

[5] 段利艳，王志辉，周静丽.欧盟条例法规对企业的影响及其对策分析[J].中国质量与标准导报，2018 （4）：52-56.

[6] 张哲.探微与启示：欧盟个人数据保护法上的数据可携权研究[J].广西政法管理干部学院学报，2016（11）：43-48.

[7] Tikkinen-Piri C， Rohunen A， Markkula J. EU General Data Protection Regulation： Changes and implications for personal data collecting companies[J].Computer Law & Security Review， 2017.