GDPR生效后，外贸人该做什么，不该做什么

欧盟发布的GDPR（全称通用数据保护条例）已于2018年5月25日正式生效，并已立法。

想必大家的邮箱也都收到了各式各样带有GDPR标题的邮件，就连吃鸡游戏开发商steam也给一灯发了一封关于GDPR的邮件。

GDPR是什么？为什么全球数以万计的互联网企业都必须要遵守？

GDPR生效后，什么可以做？什么不可以做？不遵守会发生什么？

众观整个互联网，国内外巨头都急成了热锅上的蚂蚁，因为处理不好GDPR的问题，将面临上千万欧元的罚款，而且欧盟各国已经立法，看来这一次是来真的了。

反观外贸行业，好像大家都不太重视，很多人甚至都不知道GDPR的存在，其实只要你向欧盟客户做电子邮件营销，开展外贸独立站业务，就和这次号称史上最严的数据保护法GDPR有关系。

免责声明：一灯不是专业的法律人士，也不是GDPR专家，由于此次GDPR的处罚金额较大，请不要将本文作为对GDPR的法律建议，如果需要法律建议，请参考GDPR官网和GDPR条例（一共99条）或咨询专业的律师，本文仅是一灯对GDPR的一点个人理解，因此将不对你今后所做的任何事情负任何法律责任。

什么是GDPR？

GDPR全称“通用数据保护条例”或“一般数据保护条例”，于2018年5月25日正式生效。

欧盟各成员国都已将其列入本国法律，还包括脱欧的英国。

简单的说GDPR是欧盟新颁布的法律，和互联网个人信息，以及数据隐私有关，主要目的是保护欧盟公民的个人数据和隐私免遭泄露。

为什么欧盟要颁布GDPR？

由于欧盟没有所谓的互联网巨头，而欧盟公民对互联网的依赖又非常高，导致国外互联网公司在处理欧盟公民个人数据时，想怎么处理就怎么处理，反正也没有法律可以制裁。

于是在2016年，欧盟提出了GPDR个人数据保护法的提案，意在扭转这个局面，让一直处于被动的欧盟不再处于劣势，如果有哪家公司敢随意践踏欧盟公民的个人数据，欧盟各国就能依据GDPR罚到它倾家荡产。

不得不说的是，近十年来，互联网发展的太快，快到法律都还没跟上就闹出了不少事情。

就在今年3月，Facebook数千万用户数据遭泄露，传言这些数据被别有用心的人拿去通过互联网煽动民意，做A/B Testing，间接操纵了美国总统的选举，为川普获胜立下汗马功劳。

如果Facebook数据门是在GDPR生效后才发生，只要泄露数据里有欧盟公民的个人数据，欧盟各国就可以依据GDPR把小扎告到破产。

还有最最重要的一点，现如今个人信息，个人隐私泄露频频发生，无论哪个国家都一样，这些信息被不怀好意的人拿去诈骗，推销，真正受苦的是老百姓。

说到这，一灯忍不住想吐槽几句。

不知道从什么时候开始，个人信息这么隐私的东西变的不再隐私，想想就可怕，各种推销诈骗电话、短信、邮件络绎不绝，这帮人简直比我妈还了解我。

卖酒卖药卖商铺，卖房卖车卖别墅，保险贷款奢侈品，股票期货炒黄金。

前几天一灯就接到一电话，问我要不要买男性保健药，WTF！你才有问题呢。

就个人信息而言，不知道一灯被卖了多少回。欧盟这次的大动作无疑是一件好事，希望我国也向欧盟一样早日完善个人信息，个人数据保护法。

把控制权交还给个人，如果在未经本人同意的情况下，一直被骚扰，就可以投诉骚扰者，严重的依法处理。

GDPR适用于谁？和外贸有什么关系

很多人都把GDPR理解成我不是欧盟的人，和我无关。

其实只要你在未经欧盟公民本人的同意下，保留了对方的个人信息，并以此来向他们推销产品，发邮件，做营销，就算违反GDPR了。

这也是，为什么前几日，各大互联网公司群发邮件告知他们的用户，需要邮件确认是否以后继续接收邮件。

从广义上看，这次的重灾区在互联网科技行业，因为他们不仅会没事给你推送消息，还存储了你的个人信息，所以就像开篇我提到的，这些公司都成了热锅上的蚂蚁。

由于用户数据太多，无法分辨谁是欧盟的，谁不是，于是干脆来个群发算了，所以很多欧盟以外的人也会收到GDPR的邮件。

更夸张的是现在上FB，必须要强制同意FB的个人隐私条例才能继续登陆使用，这一招算是不得已而为之。

除了邮件告知，只要曾今保留过欧盟公民个人数据的公司，都要自动清理该数据，在重新获得所有者同意的情况下，才能继续保留数据，如果我是做面对欧盟的互联网科技公司，估计早就疯了。

虽然重灾区不在外贸界，但外贸也未能幸免于此次大事件。

做外贸的，谁还没几个欧洲客户，谁不是天天给客户发邮件，谁的外贸独立站还没几个需要留个人信息的表单。

GDPR一来，到底还可不可以给欧盟客户发邮件？这一定是很多人想问的问题。

就一灯对GDPR的理解，大可不必惊慌，正常的商业邮件是可以的，特别是公对公的邮件，比如欧盟客户邮件是公司邮箱，那更没事了，因为这次针对的是个人数据的保护。

如果是私人邮箱的话，因为本来就有商业往来，也无大碍，不过最好还是发个邮件问候一下，告知客户这件事情，获得他们的同意，和他们聊聊天，一方面有点新话题，加深一下感情，另一方面，小心驶得万年船。

上述针对的都是老客户，那群发垃圾邮件或开发信给新客户呢？

就一灯对GDPR的理解，群发垃圾邮件或开发信给欧盟的客户，已经算是违规了，因为收信人并没有同意你可以这样做，但此次欧盟新规在处罚上比较模糊，总之是和投诉以及多少有关系。

比如有一家外贸公司，不知道从哪买了一些欧盟用户的邮箱地址，每天群发开发信到这些邮箱里，如果接到邮件的人都去找GDPR的监管部门投诉，并且投诉人达到一定数量，监管部门收集了这些邮件证据后就会采取行动，第一步绝对是警告，最后视情况的恶劣程度才会做出罚款。

具体是怎么个流程，一灯也不清楚，因为新规才颁布，还没有处罚案例，但希望各位做外贸的，不要以身试法，做第一个吃螃蟹的人，比如群发上百万的垃圾邮件，这些邮件只要发出去了都可以留作法律证据，而GDPR是已经生效的法律。

总之，欧盟客户只是整个外贸市场的一部分，最近这段时间，请尽量不要故意去做违背它的事情。

说完了向欧盟新客户发邮件的问题，接下来说说外贸独立站。

现在的外贸公司也好，外贸工厂也罢，都有外贸网站，这个网站或是B2B企业官网，或是B2C跨境商城。

只要这个网站上有表单，要访客留个人信息，比如姓名，邮箱，电话一类的，那可要小心了。

因为无法分辨访客是不是欧盟的，大多数企业的做法是，在表单上留一个打勾的同意选项和一个Privacy Policy的页面链接，需要访客自己打勾同意，才可以获取报价，资料一类的东西。

如果不设置这个需要打勾的选项，也不做Privacy Policy页面，就算违反了GDPR的规定。

除了外贸独立站上的表单，如果你还做电子邮件营销，还有这些事情你需要注意。

很多外贸独立站上，都会有邮件订阅这个选项，特别是一些做B2C的跨境电商，目的是为了以后能持续的做内容营销，给客户发点新产品，优惠券，告知促销信息等等。

由于无法分辨访客是否是来自欧盟，大多数企业的做法是做双重保护，一方面只要有人订阅，需要在邮件里单独再次确认是否同意订阅，像下图这样。

另一方面，一旦订阅成功，每一次的邮件推送都要在邮件里加入取消订阅的链接，如果有人取消，请不再发送营销邮件。

如果不遵守GDPR，会面临什么？

相比GDPR处罚范围的模糊，处罚金额倒是很明确，一共有两种罚款。

一种是不符合GDPR，就处罚1000万欧元或上一年全球年营业额的2％，以较高者为准。

另一种是欧盟公民数据遭泄露，将处罚2000万欧元或上一年全球年营业额的4％，以较高者为准。

无论是哪一种，都有一个以较高者为准的字样，说白了就是要重罚。

就一灯对GDPR的理解，外贸行业如果被罚很可能是第一种情况，因为第二种比较适用于像Facebook或Google这样的企业，用户数据庞大，分公司或关联机构又多，一旦数据泄露，都是千万以上的级别，影响比较恶劣。

这么大的金额，我觉得所有外贸人都要重视一下，在上一部分我也都给出了自己的看法，包括发邮件，外贸独立站和电子邮件营销。

总之，有欧盟业务的不要以身试法，谁知道会发生什么，请遵守GDPR的规定，小心使得万年船。

如果有违规现象，是不是直接就罚款了？

就一灯对GDPR的理解，应该是先收集证据，警告，一步一步再升级到罚款，就像下图所示，该图来自GDPR官网，链接点这里。

总结

GDPR生效后，外贸人该做什么，不该做什么就介绍完了。

大部分建议都集中在第二部分，GDPR适用于谁？和外贸有什么关系。

由于一灯不是GDPR专家，也不是法律从业者，就像开篇的免责申明所述，如果你的公司涉及欧盟业务，并拥有大量欧盟公民的个人数据，最好还是找国际法律师做下咨询。

至于GDPR已经生效，现在做弥补还来不来的急？

答案是来得急，请尽快，马上去做。

这么高金额罚款的规定，范围又如此之大，几乎没有公司可以100%合规，势必会有一个缓冲期，被告的企业大多数是互联网科技巨头，在GDPR生效后，FB和谷歌就被告了，具体怎么判还没有结果。

如果做外贸的你，要给欧盟新客户发开发信，有外贸独立站业务和电子邮件营销的需求，请一定要遵守GDPR的规定，怎么做我也给出了我自己的看法，希望对大家有所帮助。

最后，一灯想说的是，请利用缓冲期，把该做的都做了，别真到吃螃蟹那天才后悔莫及。