定义
GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟于2016年通过、2018年5月25日正式生效的数据隐私法规。其核心原则是保护欧盟居民的个人数据权利,规范企业收集、存储、处理和传输个人数据的行为。
GDPR具有域外管辖效力:即使企业注册地在欧盟以外(如中国、美国),只要其产品或服务面向欧盟居民,或对欧盟居民的行为进行监测,均须遵守GDPR。
对跨境电商的主要影响
跨境卖家在欧盟市场运营时,以下环节涉及GDPR合规义务:
- 用户注册与购买:收集买家姓名、邮箱、地址等信息需获得明确同意,并告知数据用途
- 营销邮件:发送促销邮件须基于用户主动订阅,不得预勾选同意框
- Cookie追踪:独立站需展示Cookie横幅,允许用户拒绝非必要追踪
- 用户注册与购买:收集买家姓名、邮箱、地址等信息需获得明确同意,并告知数据用途
- 营销邮件:发送促销邮件须基于用户主动订阅,不得预勾选同意框
- Cookie追踪:独立站需展示Cookie横幅,允许用户拒绝非必要追踪
- 数据跨境传输:将欧盟用户数据传输至欧盟以外服务器(如中国),须满足GDPR第46条规定的保障措施
- 数据泄露通报:发生数据泄露事件须在72小时内向监管机构报告
定义
GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟于2016年通过、2018年5月25日正式生效的数据隐私法规。其核心原则是保护欧盟居民的个人数据权利,规范企业收集、存储、处理和传输个人数据的行为。
GDPR具有域外管辖效力:即使企业注册地在欧盟以外(如中国、美国),只要其产品或服务面向欧盟居民,或对欧盟居民的行为进行监测,均须遵守GDPR。
对跨境电商的主要影响
跨境卖家在欧盟市场运营时,以下环节涉及GDPR合规义务:
合规与违规对比
GDPR合规的关键措施包括:制定隐私政策并公示、维护数据处理活动记录(ROPA)、响应用户的数据访问/删除请求(数据主体权利)、与数据处理方签署数据处理协议(DPA)。
违规处罚分两档:一般违规最高罚款1000万欧元或全球年营业额2%(取较高者);严重违规(如无合法依据处理敏感数据)最高罚款2000万欧元或全球年营业额4%。
应用场景
跨境电商中GDPR合规的典型应用场景:独立站搭建时引入隐私政策模板与Cookie同意管理工具(如Cookiebot、OneTrust);亚马逊卖家收集买家联系方式用于售后服务时,须遵循亚马逊买家消息政策(底层亦受GDPR约束);SaaS工具服务商作为数据处理方,须与卖家签署DPA协议。
发表回复