出海百科

分类: 合规术语

KYC、VAT、EORI、GDPR 等跨境合规核心概念

  • GDPR:欧盟通用数据保护条例跨境合规要点

    定义

    GDPR(General Data Protection Regulation,通用数据保护条例)是欧盟于 2018 年 5 月 25 日正式实施的个人数据保护法规(条例编号:Regulation (EU) 2016/679)。GDPR 规定了欧盟及欧洲经济区(EEA)境内个人数据的收集、存储、处理与传输规则,并通过”数据主体权利”赋予消费者对自身数据的广泛控制权。GDPR 具有域外管辖效力,即无论数据处理机构位于何处,只要其处理欧盟居民的个人数据,均须遵守。

    核心原则

    GDPR 确立了数据处理的七项基本原则:

    1. 合法性、公平性与透明性:数据处理须有法律依据,且须向数据主体告知;
    2. 目的限制:数据仅能用于明确、合法的特定目的;
    3. 数据最小化:仅收集实现目的所必需的最少量数据;
    4. 准确性:保持数据更新与准确;
    5. 存储限制:不得超出必要期限保存个人数据;
    6. 完整性与保密性:采取适当技术与组织措施保护数据安全;
    7. 问责制:数据控制者须能够证明其合规情况。

    概念辨析

    • GDPR vs CCPA:CCPA(加州消费者隐私法案)是美国加州的同类法规,仅适用于加州居民;GDPR 适用范围为欧盟/EEA;两者均赋予消费者数据访问权与删除权;
    • 数据控制者 vs 数据处理者:控制者(Controller)决定数据处理的目的与方式;处理者(Processor)按控制者指令处理数据;跨境卖家通常兼具两种角色;
    • GDPR vs DSA:DSA(数字服务法)侧重平台内容管理与违法信息治理,GDPR 专注个人数据保护,两者均为欧盟数字经济监管框架的重要组成。

    应用场景

    • 订单数据处理:跨境卖家收集欧盟买家姓名、地址、支付信息,须在隐私政策中明确说明处理目的与保留期限;
    • 邮件营销合规:向欧盟用户发送营销邮件须取得明确同意(Opt-in),不得使用默认勾选;
    • 数据泄露通报:发生影响欧盟用户的数据泄露事件,须在 72 小时内向监管机构通报;
    • 数据跨境传输:将欧盟用户数据传输至欧盟以外国家,须采用标准合同条款(SCC)或其他合规机制。

    参考资料

    • European Parliament and Council. Regulation (EU) 2016/679 (GDPR). Official Journal of the European Union, 2016.
    • European Data Protection Board (EDPB). Guidelines on GDPR Compliance. edpb.europa.eu.
    • International Association of Privacy Professionals (IAPP). GDPR Implementation Resource Center. iapp.org.

  • EORI 号码:欧盟跨境进出口企业身份标识解析

    定义

    EORI(Economic Operators Registration and Identification,经济运营商注册识别号)是欧盟海关当局为在欧盟境内从事进出口业务的企业或个人分配的唯一标识符。EORI 号码在欧盟 27 个成员国的海关系统中通用,是企业办理欧盟进出口报关手续、完成 ICS2 安全声明、申请 AEO 认证等合规操作的前提条件。

    号码结构

    EORI 号码由两部分构成:

    • 国家代码:2 位 ISO 3166-1 国家代码(如 DE 表示德国、GB 表示英国,英国脱欧后需单独申请);
    • 识别码:各成员国海关分配的唯一数字或字母数字序列(长度因国而异,通常 10–15 位)。

    示例格式:DE123456789(德国)、NL001234567B01(荷兰)。

    概念辨析

    • EORI vs VAT 税号:VAT 号是增值税申报标识,EORI 是海关报关标识;两者用途不同,跨境卖家通常需要同时持有;在部分成员国,EORI 号码直接基于 VAT 号派生;
    • EORI vs IOSS 号:IOSS(进口一站式)号是欧盟针对 150 欧元以下小包裹的 VAT 申报机制,与 EORI 适用场景不同;
    • 欧盟 EORI vs 英国 EORI:英国脱欧后,英国海关单独运营 GB EORI 体系;向英国发货需持有英国 EORI(格式:GB + 9位数字),不能使用欧盟 EORI。

    应用场景

    • 跨境电商直邮欧盟:通过 DHL、UPS 等快递向欧盟买家发货,报关时托运人须提供有效 EORI 号;
    • ICS2 安全声明:自 2023 年起,向欧盟空运邮件/快件必须提前通过 ICS2 系统提交含 EORI 的货物安全数据;
    • FBA 欧洲入仓:亚马逊 FBA 欧洲站卖家向欧盟境内仓库发货,作为进口商须持有相关成员国 EORI;
    • 申请节点:EORI 注册通常在各成员国海关官网在线提交,处理周期为 1–5 个工作日,免费。

    参考资料

    • European Commission. EORI – Economic Operators Registration and Identification. taxation-customs.ec.europa.eu.
    • European Commission. Import Control System 2 (ICS2). 欧盟海关官方文档, 2023.
    • HM Revenue & Customs. Get an EORI number. gov.uk/eori, 2024.

  • KYC(了解你的客户):跨境平台身份认证合规核心术语

    定义

    KYC(Know Your Customer,了解你的客户)是源自金融监管领域的合规流程,要求机构在建立业务关系前核实客户身份信息,评估其风险等级。在跨境电商语境中,KYC 通常指平台要求卖家在入驻或提现时提交身份证件、企业营业执照、银行账户信息等材料进行审核的流程。

    工作原理

    跨境平台 KYC 审核通常包含以下环节:

    • 身份核验(Identity Verification):提交护照、身份证或企业注册文件,通过 OCR+人工或第三方服务(如 Jumio、Onfido)进行真实性核验;
    • 地址验证(Proof of Address):提供近期银行账单、公用事业账单等证明注册地址;
    • 受益所有权披露(Beneficial Ownership):对企业账户,需披露持股 25% 以上的实际控制人信息;
    • 持续监控(Ongoing Monitoring):平台在账户存续期间持续评估交易行为是否与申报信息一致。

    概念辨析

    • KYC vs KYB(Know Your Business):KYB 是企业版 KYC,专注于核验企业主体的合法性与实际控制人;跨境平台对企业账号通常同时执行 KYC 和 KYB;
    • KYC vs AML(反洗钱):AML 是更广泛的反洗钱合规框架,KYC 是 AML 的前置环节,通过身份核验防范洗钱风险;
    • KYC vs CDD(客户尽职调查):CDD 是 KYC 的执行方法,分为简化尽职调查(SDD)、标准尽职调查和增强尽职调查(EDD)三个级别。

    应用场景

    • 平台入驻审核:亚马逊、TikTok Shop、Shopee、Wish 等平台均要求新卖家完成 KYC 流程方可发布商品;
    • 资金提现门槛:达到特定提现金额时,部分支付平台触发 KYC 升级审核;
    • 账号恢复流程:账号被封后的申诉流程中,平台通常要求重新提交 KYC 材料以证明账号所有权;
    • 多账号合规风险:使用同一套证件为多个账号提交 KYC,是亚马逊关联账号检测的重要信号。

    参考资料

    • FATF. Guidance on Digital Identity. Financial Action Task Force, 2020.
    • Basel Committee on Banking Supervision. Customer Due Diligence for Banks. BIS, 2001 (revised).
    • Amazon Services. Identity Verification Requirements for Sellers. sellercentral.amazon.com, 2024.

  • DSA数字服务法案是什么?欧盟《数字服务法》对跨境电商的影响

    定义

    DSA(Digital Services Act,《数字服务法》,法规编号Regulation (EU) 2022/2065)是欧盟于2022年10月正式生效的数字单一市场监管法规。DSA旨在建立统一的数字服务平台责任框架,要求平台对非法内容、违禁产品和平台透明度承担更明确的法律责任。

    DSA于2023年8月对超大型平台(月活跃用户≥4500万)正式适用,2024年2月起适用于所有受监管的数字服务提供商。

    DSA的核心义务(电商相关)

    1. 违禁产品管控义务

    电商平台须建立有效机制检测和移除非法产品(如仿冒品、不符合安全标准的产品)。超大型平台须定期进行系统性风险评估并向欧盟监管机构报告。

    2. 卖家身份可信(KTBC原则)

    DSA第30条要求平台在允许商业卖家上架产品前,须进行卖家身份核实(Know Your Business Customer,KTBC),收集并留存卖家的营业执照、联系信息和银行账户等信息。

    3. 透明度与可追溯性

    平台须向消费者展示”谁在卖”(卖家信息可查),确保消费者可追溯购买了谁的产品,这一要求与反假货和售后维权直接相关。

    4. 推荐算法透明度

    超大型平台须向用户提供不基于画像的推荐选项,并对推荐系统的核心逻辑进行公开说明。

    相关概念辨析

    法规 范围 核心关注点
    DSA(数字服务法) 数字服务平台责任 内容管控、平台责任、透明度
    DMA(数字市场法) 大型平台市场垄断 市场竞争、开放互联、守门人义务
    GDPR 个人数据保护 数据收集、处理、跨境传输
    DAC7 平台税务数据报告 卖家收入数据上报税务机关

    对跨境电商卖家的影响

    • 卖家资质核验加严:亚马逊欧洲、eBay等平台为满足DSA第30条KTBC要求,已加强对卖家注册资质和身份文件的核验力度,未完成核验的卖家可能面临账号限制
    • 违禁品管控升级:平台对不符合欧盟产品安全标准(如CE认证、REACH法规)的商品的下架力度加大,违规商品可能被更快速地从平台移除
    • 消费者投诉渠道强化:DSA要求平台提供更便捷的非法内容举报机制,买家投诉将更有效力,卖家的售后处理质量要求相应提升

    参考资料

    • European Commission. (2022). “Regulation (EU) 2022/2065 on a Single Market For Digital Services (Digital Services Act).” Official Journal of the EU. — DSA法规原文
    • European Commission. “Digital Services Act — Questions & Answers.” — 欧盟委员会对DSA的官方解读
    • European Commission. (2023). “List of designated Very Large Online Platforms and Very Large Online Search Engines.” — 超大型平台名单(包含主要跨境电商平台)
    • Linklaters. (2023). “The EU Digital Services Act: Key Obligations for Marketplaces.” Linklaters Legal Update. — 律所对DSA平台义务的专业法律解析