朱幼恩

摘 要：歐盟《一般數(shù)據(jù)保護(hù)條例》涉及眾多復(fù)雜的概念、規(guī)則、條款。國內(nèi)研究存在時間滯后、學(xué)科交叉研究缺乏、相關(guān)概念界定不明等問題，更缺乏對企業(yè)開展跨境業(yè)務(wù)指導(dǎo)的支撐理論研究。我國跨境電商企業(yè)在歐盟的營銷業(yè)務(wù)由于條例個人信息概念泛化、新增刪除權(quán)和可攜權(quán)等權(quán)利類型而面臨挑戰(zhàn)，許多慣用的營銷方式亟須調(diào)整。但條例實施不應(yīng)僅被視為企業(yè)營銷的障礙，也可啟發(fā)企業(yè)更加專注本土化、有序安排合規(guī)工作來增強(qiáng)自身競爭力。

關(guān)鍵詞：歐盟；《一般數(shù)據(jù)保護(hù)條例》；跨境電商；營銷

中圖分類號：D95；DD912.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-0037（2018）7-81-4

DOI：10.19345/j.cxkj.1671-0037.2018.07.022

Abstract： The EU General Data Protection Regulations cover many complex concepts， rules and provisions. There are many problems in domestic research， including time lag， lack of interdisciplinary research， unclear definition of related concepts， whats more， it lacks supporting theoretical research on cross-border business guidance for companies. China's cross-border e-commerce companies in the EU's marketing operations face challenges， due to the generalization of the concept of personal information， the addition of deletion rights and portability rights. Many customary marketing methods have to be adjusted urgently. However， the implementation of the regulations should not only be regarded as an obstacle to corporate marketing， it can also encourage enterprises to focus more on localization and orderly arrange compliance work to enhance their competitiveness.

Key words： EU； General Data Protection Regulations； cross-border E-commerce； marketing

大數(shù)據(jù)商業(yè)化在當(dāng)今時代已經(jīng)成為一種必然的、不可逆轉(zhuǎn)的趨勢。在數(shù)字經(jīng)濟(jì)時代，數(shù)字就是企業(yè)的血液，決定著企業(yè)的生死存亡。收集到足夠的數(shù)據(jù)并將其最大程度商業(yè)化成為企業(yè)關(guān)注的重大問題。然而數(shù)據(jù)的商業(yè)利用必須控制在國家安全和尊重個人信息安全的邊界內(nèi)，也已成為世界各國的共識。2018年5月25日正式實施的歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡稱條例）正是這樣一份嚴(yán)格的數(shù)據(jù)保護(hù)法案，目標(biāo)在于保護(hù)歐盟公民免受隱私和數(shù)據(jù)泄露的影響，同時重塑歐盟的組織機(jī)構(gòu)處理隱私和數(shù)據(jù)保護(hù)的方式。

歐盟市場是我國跨國電商企業(yè)的必爭之地，但由于條例涉及眾多復(fù)雜的概念、規(guī)則、條款，會牽涉企業(yè)的法務(wù)、技術(shù)、財務(wù)、人力、運(yùn)營等眾多部門，許多中國跨境電商企業(yè)面對條例至今仍困惑重重，一時無從下手。這反映出目前學(xué)界、商界對條例的研究尚不夠深入具體，尤其是條例對跨境電商企業(yè)具體業(yè)務(wù)開展方面會帶來哪些挑戰(zhàn)沖擊缺乏系統(tǒng)研究，進(jìn)而無法對企業(yè)業(yè)務(wù)開展進(jìn)行合理指導(dǎo)。通過研究分析，筆者認(rèn)為企業(yè)如果認(rèn)真應(yīng)對條例，努力做到合規(guī)會讓一部分企業(yè)贏得歐盟客戶的更大信任，從激烈競爭中脫穎而出。

1 條例對我國跨境電商業(yè)務(wù)影響的國內(nèi)外研究現(xiàn)狀

1.1 國內(nèi)研究現(xiàn)狀

齊愛民《個人資料保護(hù)法原理及其跨國流通法律問題研究》一書研究分析了個人數(shù)據(jù)及其跨境保護(hù)制度的概念內(nèi)涵與各國立法實踐情況。周漢華《域外個人數(shù)據(jù)保護(hù)法匯編》共收錄了歐盟、美國、日本等20多個國家和地區(qū)的個人數(shù)據(jù)的保護(hù)立法情況，作為我國信息保護(hù)立法的參考資料。陳飛等翻譯編纂的《個人數(shù)據(jù)保護(hù)：歐盟指令及成員國法律、經(jīng)合組織指導(dǎo)方針（中英文對照）》，詳細(xì)介紹了歐盟及其成員國個人數(shù)據(jù)保護(hù)的立法模式，比較分析了歐盟各成員國在立法一致性的基礎(chǔ)上基于各國自身的特點對相關(guān)的指令和公約所做的本土化改變。馬民虎等翻譯編著的《歐盟信息安全法律框架：條例、指令、決議和公約》對歐盟相關(guān)個人數(shù)據(jù)保護(hù)法的立法進(jìn)行了匯編，資料收集較為全面。但上述成書時間較早，時效性較差，對于歐盟近年來個人數(shù)據(jù)保護(hù)問題出現(xiàn)的新情況、新問題都未涉及。

姚維保、韋景竹在介紹了歐盟個人數(shù)據(jù)保護(hù)法律的基礎(chǔ)上，指出歐盟數(shù)據(jù)保護(hù)法過于復(fù)雜且規(guī)則嚴(yán)格，影響了國際電子商務(wù)的發(fā)展，并指出歐盟個人數(shù)據(jù)流動法律規(guī)則的幾個發(fā)展方向。李曉述、孔令杰對歐盟認(rèn)定個人資料以及跨境資料轉(zhuǎn)移、資料保護(hù)水平、第三國資料保護(hù)適當(dāng)性評定這3方面進(jìn)行分析，指出了歐盟對個人資料保護(hù)水平適當(dāng)性制度的優(yōu)點和缺陷。張哲指出，由于法律概念的抽象性、適用范圍的局限性以及與其他數(shù)據(jù)權(quán)利間的不協(xié)調(diào)性，歐盟數(shù)據(jù)可攜權(quán)的法律適用缺乏可操作性。田貴生在對條例內(nèi)容解析的基礎(chǔ)上，探討了條例對中國涉歐企業(yè)的影響，并提出相應(yīng)建議，但對所謂“中國涉毆企業(yè)”沒有進(jìn)行分類。段利艷、王志輝、周靜麗從企業(yè)組織架構(gòu)、業(yè)務(wù)管理、職能平臺、產(chǎn)品活動4個方面進(jìn)行分析，對條例所做出的數(shù)據(jù)處理的基本原則和要求進(jìn)行了梳理，但同樣存在所及“企業(yè)”概念邊界不明的問題。

1.2 國外研究現(xiàn)狀

Christopher Kuner系統(tǒng)介紹了歐洲的數(shù)據(jù)保護(hù)法律制度，對其中的基本法律概念、法律適用以及國際數(shù)據(jù)傳輸問題進(jìn)行了專門分析，并就企業(yè)如何應(yīng)對經(jīng)營中經(jīng)常遇到的數(shù)據(jù)保護(hù)問題，提供了詳細(xì)的指導(dǎo)和建議。Sandra Wachter研究了條例中定義的若干標(biāo)準(zhǔn)將在多大程度上為隱私和物聯(lián)網(wǎng)用戶的身份控制提供有意義的保護(hù)，指出為了最大限度地減少數(shù)據(jù)保護(hù)原則與物聯(lián)網(wǎng)識別之間沖突的隱私影響，條例標(biāo)準(zhǔn)迫切需要進(jìn)一步規(guī)范物聯(lián)網(wǎng)技術(shù)的設(shè)計和部署。Christina Tikkinen-Piri（2018）討論了條例引入的變化對企業(yè)數(shù)據(jù)管理和使用實踐可能帶來的12個方面的影響以及企業(yè)在業(yè)務(wù)戰(zhàn)略、組織架構(gòu)和技術(shù)措施方面如何應(yīng)對條例給出了指導(dǎo)建議。

國外個人數(shù)據(jù)保護(hù)的相關(guān)立法起步早，較為完善，國外學(xué)者在這方面的研究也較為豐富。而我國在電子信息等通信技術(shù)方面起步較晚，普遍落后于歐美等發(fā)達(dá)國家，在相關(guān)研究上，我國存在明顯的滯后。在研究目的上，國內(nèi)研究條例主要是通過研究歐盟個人數(shù)據(jù)保護(hù)的方法及制度設(shè)計，為我國的相關(guān)領(lǐng)域的法制完善提供理論上的支持；另外，為厘清個人數(shù)據(jù)保護(hù)不同的調(diào)整目標(biāo)間的價值沖突以及個人數(shù)據(jù)保護(hù)的手段與方法等問題提供一定的分析框架；鮮有為了企業(yè)開展跨境業(yè)務(wù)直接進(jìn)行支撐指導(dǎo)的理論研究[1-2]。鑒于此，本文主要研究條例給我國跨境電商企業(yè)營銷業(yè)務(wù)帶來的挑戰(zhàn)和啟示。

2 條例對我國跨境電商營銷業(yè)務(wù)挑戰(zhàn)的分析

營銷離不開客戶的個人數(shù)據(jù)，條例賦予了客戶知情權(quán)、訪問權(quán)、更正權(quán)、可攜帶權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、反對權(quán)、自動化個人決策相關(guān)權(quán)等。條例的正式生效，使跨境電商企業(yè)許多賴以生存的營銷手段備受挑戰(zhàn)進(jìn)而必須及時改變。

2.1 客戶個人信息概念泛化，企業(yè)難以厘定營銷時需要謹(jǐn)慎處理的個人數(shù)據(jù)的范圍

條例第四條：已經(jīng)或者能夠通過直接或間接的方式識別自然人的信息為個人信息。這種解釋非常泛化，對跨境電商企業(yè)而言，用戶的交易信息如銀行賬號、地址和聯(lián)系方式等屬于個人信息，IP地址和設(shè)備標(biāo)識符也被視為個人信息。企業(yè)獲取此類信息的行為即收集個人信息行為。企業(yè)在營銷中判定某一數(shù)據(jù)是否能夠識別自然人時，要將合理范圍內(nèi)所有可以采用的技術(shù)、非技術(shù)手段以及該數(shù)據(jù)和數(shù)據(jù)控制人或使用人持有的其他信息之間的關(guān)系等因素全都要考慮進(jìn)去。哪些信息可以用，哪些信息不可以用，哪些信息是要獲得客戶最終的授權(quán)，這些現(xiàn)在都需要更加清楚的約定。

2.2 營銷所使用的個人數(shù)據(jù)須取得客戶的明確同意

條例規(guī)定控制者必須以透明的方式如實告知數(shù)據(jù)主體收集、使用、查閱或以其他方式處理與其有關(guān)的個人數(shù)據(jù)以及處理個人數(shù)據(jù)的程度。這要求任何與個人數(shù)據(jù)處理有關(guān)的信息和通信都必須易得易取，而且要使用清晰、簡明的語言。因此，在營銷一開始，企業(yè)可以在自家網(wǎng)站或店鋪上創(chuàng)建一個專門的網(wǎng)頁供客戶提出數(shù)據(jù)請求，并在網(wǎng)站或店鋪上發(fā)布一份公告，說明客戶數(shù)據(jù)是如何使用和處理的。在營銷結(jié)束完成一筆交易后，企業(yè)與客戶就用戶數(shù)據(jù)簽署相關(guān)條約，其中每個自動勾選的選項都需要被設(shè)置為“未選中”，允許客戶進(jìn)行自行選擇。

2.3 客戶對營銷數(shù)據(jù)擁有更多類型的自主決定權(quán)

條例第十七條：在充分尊重表達(dá)自由的前提下，數(shù)據(jù)主體可以要求他人刪除網(wǎng)站上與其有關(guān)的個人信息；服務(wù)者也必須從自身的服務(wù)器上及時刪除侵權(quán)信息，同時需要盡力刪除第三方服務(wù)器上有關(guān)的侵權(quán)信息。條例第二十條：數(shù)據(jù)控制者在處理數(shù)據(jù)主體提供的與其相關(guān)的個人數(shù)據(jù)時，數(shù)據(jù)主體有權(quán)要求獲得該數(shù)據(jù)的副本，且可進(jìn)一步使用而不受控制。具體表現(xiàn)為數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲得以結(jié)構(gòu)化、通用化、可機(jī)讀形式呈現(xiàn)的個人數(shù)據(jù)；有權(quán)將該數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者而不受原數(shù)據(jù)控制者的阻礙；有權(quán)在技術(shù)允許的情況下要求該數(shù)據(jù)控制者直接將上述數(shù)據(jù)轉(zhuǎn)移給另一個數(shù)據(jù)控制者。上述條例新增的刪除權(quán)/被遺忘權(quán)和可攜帶權(quán)，意味著客戶對跨境電商企業(yè)營銷數(shù)據(jù)擁有更多且更持續(xù)控制的決定權(quán)。

2.4 郵件營銷須做出調(diào)整

EDM郵件營銷推廣產(chǎn)品和店鋪是跨境電商企業(yè)常用的手法，這種方式的轉(zhuǎn)化率比較高。但如今條約的實施，令歐盟的電子郵件營銷已處于一個必須要用戶同意選擇接收郵件才能發(fā)送的框架下運(yùn)作，一旦消費者不同意，跨境電商企業(yè)就不能像以前這樣肆無忌憚地在線上通過各種手段獲取消費者郵箱地址。如果企業(yè)群發(fā)的郵件有一個客戶起訴，那么企業(yè)就將面臨賠償。企業(yè)通過電子郵件發(fā)送第三方促銷活動，也必須讓客戶選擇是否接收相關(guān)郵件并詳細(xì)說明情況。另外，如果企業(yè)是一個多平臺操作的跨境電商賣家，將亞馬遜、Eaby、Wish等某一平臺上收集到的客戶個人信息通過郵件等方式推廣自己的其他平臺的店鋪，這也屬于違法行為。

2.5 新媒體內(nèi)容營銷規(guī)則需改變

我國跨境電商企業(yè)越來越離不開新媒體內(nèi)容營銷，而條例對社交媒體的影響巨大。條例正式生效的第一天，臉書和谷歌就遭到起訴，被指控強(qiáng)迫用戶同意共享個人數(shù)據(jù)。為了合規(guī)條例避免巨額罰款，F(xiàn)acebook、google、Instagram、WhatsApp、Twitter、Youtube等大型在線服務(wù)和社交媒體公司都在更新他們的隱私政策和服務(wù)條款。廣告主、媒體、營銷平臺等都在調(diào)整的背景下，借助社交媒體平臺進(jìn)行內(nèi)容營銷的我國跨境電商企業(yè)的做法自然也需相應(yīng)調(diào)整[3]。

3 條例對我國跨境電商發(fā)展的啟示

在條例的影響下，用戶數(shù)據(jù)與隱私的安全性已經(jīng)被放到了一個至關(guān)重要的高度，這成為我國跨境電商企業(yè)的重大法律障礙。條例眾多復(fù)雜的概念、規(guī)則、條款給企業(yè)的營銷業(yè)務(wù)帶來了挑戰(zhàn)。但條例也為我國跨境電商企業(yè)提供了一個規(guī)范地使用和管理企業(yè)客戶數(shù)據(jù)，同時更負(fù)責(zé)地對待客戶，獲取信任、增強(qiáng)競爭力的機(jī)遇[4-5]。

3.1 跨境電商發(fā)展必須專注本土化

我國跨境電商的品牌化目前發(fā)展態(tài)勢良好，而本土化呼吁了好多年卻一直存在問題。許多跨境電商企業(yè)仍然抱缺守殘，自視根在中國，歐盟只是賺錢的市場，對歐盟國家的法律法規(guī)不重視，例如歐盟VAT稅號問題，這些年來已經(jīng)讓不少跨境電商企業(yè)嘗到了苦頭。如今，條例的實施又一次給跨境電商企業(yè)敲響了警鐘

條例第三條第一款：只要數(shù)據(jù)控制人或數(shù)據(jù)使用人在歐盟境內(nèi)設(shè)有辦公地點，且對個人信息的收集和使用屬于該機(jī)構(gòu)的業(yè)務(wù)活動范圍，無論收集和使用行為是否發(fā)生在歐盟境內(nèi)，該數(shù)據(jù)控制人或數(shù)據(jù)使用人都應(yīng)遵守條例。第三條第二款：兩種特殊情形下（向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)，無論有償或無償；監(jiān)控數(shù)據(jù)主體在歐盟境內(nèi)的行為），只要數(shù)據(jù)控制人或使用人收集或使用了歐盟境內(nèi)數(shù)據(jù)主體的個人信息，即使其并未在歐盟境內(nèi)設(shè)有辦公地點也要遵守條例。

可以這樣理解，只要中國跨境電商企業(yè)的市場是歐盟國家，只要通過網(wǎng)絡(luò)為辨別用戶身份而儲存在用戶本地終端上的數(shù)據(jù)或其他方式記錄、監(jiān)控用戶在歐盟境內(nèi)的線上瀏覽活動，不管是企業(yè)在歐盟有無辦公室都被納入條例管轄。遠(yuǎn)在中國，只要違規(guī)照樣被罰。因此，我國跨境電商不如丟掉僥幸心理，借此機(jī)會更加專注企業(yè)本土化。

3.2 合規(guī)工作應(yīng)重視而有序

條例規(guī)定沒有完成合規(guī)，一旦被調(diào)查判定違法，那么企業(yè)將面臨2 000萬歐元或者公司年收入4%的巨額罰款，兩者取高者。許多公司因此而產(chǎn)生緊迫感采取合規(guī)行動。但在筆者看來，因為擔(dān)心懲罰而改善行為是被動的次優(yōu)選擇；重視條例，通過有序開展合規(guī)工作、增強(qiáng)企業(yè)自身管理經(jīng)營水平、獲取歐盟客戶更大信任才是主動的最優(yōu)選擇。

首先，企業(yè)最高管理層要有條例合規(guī)的緊迫感，清醒、全面地認(rèn)識條例的意圖和影響。管理層應(yīng)明白條例合規(guī)是一件需要投入大量的人力、財力，企業(yè)全體員工共同努力才能實現(xiàn)的事情。因此，企業(yè)可以啟動條例合規(guī)工作小組，召集銷售、運(yùn)營、財務(wù)以及企業(yè)內(nèi)所有涉及收集、分析和以其他方式利用客戶個人身份信息的人員參與。通過條例工作小組，更好地為那些實施技術(shù)和程序的人員提供所需的信息，同時也可以更好地處理一些對企業(yè)產(chǎn)生影響的緊急事件。另外，可以制定獎懲計劃來確保員工接受培訓(xùn)后在工作中遵守條例。例如：將強(qiáng)制性條例政策加到員工合同中；聲明條例違規(guī)行為可能會與員工獎金和福利掛鉤等。

其次，可以聘用數(shù)據(jù)保護(hù)官（DPO）和引入專業(yè)機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全的風(fēng)險評估。條例規(guī)定少于250名員工的組織處理的不是所謂敏感數(shù)據(jù)的話，可允許多個企業(yè)聘用一名DPO同時工作。因此，我國跨境電商企業(yè)可以選擇聘請一名兼職DPO人員，由DPO向企業(yè)和員工提供歐盟數(shù)據(jù)保護(hù)方面的信息、建議和監(jiān)管，并作為同歐盟數(shù)據(jù)保護(hù)條例監(jiān)管部門保持聯(lián)系的溝通渠道，防止數(shù)據(jù)外泄。企業(yè)則應(yīng)為DPO獨立履行職責(zé)提供充足的資源。至于引入專業(yè)機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全的風(fēng)險評估方面，應(yīng)借機(jī)全面了解企業(yè)整個IT基礎(chǔ)設(shè)施狀況，清點企業(yè)所有的應(yīng)用程序，了解哪些應(yīng)用程序能夠處理個人數(shù)據(jù)，特別是個別員工、團(tuán)隊和業(yè)務(wù)部門所采用的云應(yīng)用程序。此外，企業(yè)員工使用自己的移動設(shè)備訪問客戶、合作伙伴等個人識別信息的行為也會對條例合規(guī)造成威脅，移動設(shè)備需特別注意風(fēng)險評估[6-7]。

4 結(jié)語

歐盟《一般數(shù)據(jù)保護(hù)條例》的影響范圍已經(jīng)超出歐洲，覆蓋到我國跨境電商企業(yè)，必將對未來全球數(shù)字經(jīng)濟(jì)產(chǎn)生深遠(yuǎn)變革，對我國跨境電商企業(yè)的營銷業(yè)務(wù)帶來直接沖擊。隨著時間推移，條例的影響會更加顯現(xiàn)，學(xué)界商界對這一問題的研究也將更加深入具體。盡管本文主要研究的是條例對我國跨境電商營銷業(yè)務(wù)方面的挑戰(zhàn)，但我們也應(yīng)該知道營銷不是孤立存在的，企業(yè)要在產(chǎn)品、服務(wù)從初始設(shè)計到銷售、售后等整個過程都將數(shù)據(jù)與隱私保護(hù)考慮在內(nèi)?？傊?，挑戰(zhàn)與機(jī)遇并存，我國跨境電商企業(yè)要做的是秉持更加本土、更加有序的經(jīng)營態(tài)度，從這個角度理解，歐盟《一般數(shù)據(jù)保護(hù)條例》的實施正當(dāng)其時。

參考文獻(xiàn)：

[1] 王達(dá)，伍旭川.歐盟一般數(shù)據(jù)保護(hù)條例的主要內(nèi)容及對我國的啟示[J].金融與經(jīng)濟(jì)，2018（4）：78-81.

[2] 京東法律研究院.歐盟數(shù)據(jù)憲章：一般數(shù)據(jù)保護(hù)條例條例評述及實務(wù)指引[M].北京：法律出版社，2018.

[3] 靳海雷.歐盟個人數(shù)據(jù)跨境保護(hù)制度研究[D].烏魯木齊：新疆大學(xué)，2017.

[4] 楊一澤.歐盟個人數(shù)據(jù)保護(hù)條例適用研究[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2017.

[5] 段利艷，王志輝，周靜麗.歐盟條例法規(guī)對企業(yè)的影響及其對策分析[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2018 （4）：52-56.

[6] 張哲.探微與啟示：歐盟個人數(shù)據(jù)保護(hù)法上的數(shù)據(jù)可攜權(quán)研究[J].廣西政法管理干部學(xué)院學(xué)報，2016（11）：43-48.

[7] Tikkinen-Piri C， Rohunen A， Markkula J. EU General Data Protection Regulation： Changes and implications for personal data collecting companies[J].Computer Law & Security Review， 2017.