什么是 GDPR？电子邮件隐私法规与要求

定义

💡 GDPR：《通用数据保护条例》，本质上是欧盟的一部全面隐私法，用于规范你如何收集、存储和使用人们的个人数据（包括电子邮件地址）。该条例于 2018 年 5 月 25 日生效，适用于任何处理欧盟居民数据的组织，无论你的企业实际位于何处。

如果你向欧洲的任何人发送电子邮件，你就受到 GDPR 的管辖。

该法规要求你保护人们的数据，并让他们能够轻松控制你如何使用这些数据。

违反 GDPR 的组织可能面临最高 €20 million 或全球营收 4% 的罚款，以较高者为准。这可不是轻微处罚。

就电子邮件而言，GDPR 改变了营销邮件和事务性邮件的整个运作方式。你不能只是买来一份名单就开始群发。 GDPR 要求企业在通过电子邮件联系任何人之前，必须先取得清晰、明确的同意。这意味着必须是用户主动点击的真实选择加入复选框，而不是预先勾选的方框或默示同意。

但这不仅仅是营销问题。 GDPR 规范的是你整个电子邮件运营体系。包括你保存邮件的时长、如何保护这些邮件，以及当有人要求你删除其数据时该如何处理。它的重要性比大多数人意识到的更高。

主要有四个合规领域：

处理的合法依据。你需要有合法理由来收集和使用某人的电子邮件地址。只有在数据主体已同意，或存在其他合法依据的情况下，才允许进行处理。对于营销邮件，这几乎总是意味着需要获得同意。对于事务性邮件（如订单确认、密码重置），则可以依赖合法利益或合同必要性作为依据。

个人权利。人们可以请求访问其数据、要求你更正数据，或要求你彻底删除数据。著名的 “被遗忘权”要求你在个人数据不再需要时将其删除。你的电子邮件系统必须真正支持这些请求，而不只是口头确认。

数据安全。 GDPR 要求“设计即保护，默认即保护”，这意味着组织必须始终考虑任何新产品或现有产品、服务所涉及的数据保护影响。电子邮件加密被明确提及为你应实施的一项技术措施。五年前，加密电子邮件还不太现实。现在这已经是基本要求了。

合规证明。你需要保留记录。例如，某人何时选择加入、如何选择加入，以及他们同意了什么。 GDPR 要求公司保留同意记录，包括是谁给予了许可、何时以及如何给予的，以及当时向其展示了哪些信息。没有文档记录，你就无法在审计时证明合规。

只有在自愿、知情、明确无歧义且具体的情况下，同意才是有效的。最后这一点最容易让人出错。你不能把营销邮件同意和服务条款同意捆绑在一起。它们是不同的事项，需要分别设置复选框。

有效同意的样子是这样的：有人访问你的网站，看到一个未勾选的方框，上面写着“是的，请向我发送每周产品更新”，然后主动点击并提交表单。这才有效。

无效的做法包括：预先勾选的方框。通过购买行为推定同意。把沉默当作同意。如果你没有获得访客明确且毫不含糊的同意来接收营销信息，那么你就不能向他们发送消息—否则将面临高额罚款。

双重选择加入会更好。当有人填写注册表单并点击提交后，他们会收到一封包含确认链接的电子邮件，只有在他们确认同意之后，营销沟通才会开始。这可以排除意外订阅，并为你提供非常有力的同意证明。

有一个例外：针对现有客户的软性选择加入。如果你是在销售产品或服务的过程中获得客户电子邮件地址的，那么你可以将其用于类似产品的直接营销，前提是你提供退出选项。但你仍然需要在每一封邮件中加入退订链接。

第 5(e) 条规定，个人数据的保存时间“不得超过处理该等个人数据之目的所必需的期限”。我们大多数人从不删除电子邮件。这现在成了一个合规问题。

你需要一项保留政策。客户邮件要保留多久？支持工单呢？营销名单呢？无论你怎么决定，都要把它记录下来，并且真正执行。一些电子邮件服务提供邮件到期功能，允许你设置消息在指定时间后删除。

当有人请求删除时，你必须采取行动。当有人退订后，你应当从电子邮件列表中删除他们的姓名和个人信息。只保留足以记住其退订偏好的最少信息，不要保留更多。

最重要的是，阅读 GDPR 规则，并通过 GDPR 网站持续了解最新内容。这些规则会随着时间推移而变化，因此你应定期检查，以确保自己仍然合规。

如有疑问，请聘请专家协助你建立符合规定的系统。

对所有营销名单使用双重选择加入。这是最清晰的同意证明，也能过滤掉虚假地址。

让退订变得简单。根据 GDPR 标准，撤回同意必须和给予同意一样容易。在每封邮件中提供一键退订链接。不要设置障碍，也不要让人有负担感。

尽可能对电子邮件进行加密。 GDPR 明确将加密列为一项保护措施。现在已经有端到端加密电子邮件服务，而且实施起来并没有那么难。

将事务性邮件与营销邮件分开。它们的法律依据不同，保留规则也不同。如果可以，尽量把它们放在不同的系统中。

把一切都记录下来。同意记录、保留政策、安全措施。如果你无法证明自己曾努力合规，处罚会更重。

定期审查你的电子邮件列表。清理不活跃订阅者，核实同意文档仍然存在，并检查退出请求是否已被实际处理。