可能改变跨境电商游戏的欧盟GDPR法规?
作者:程桂良 来源:程桂良2018年01月03日 09:32:03

第111篇:新危机!可能改变跨境电商游戏的欧盟GDPR法规?

众所周知,所长阿米对出口电商/跨境电商在欧美市场的发展趋势,尤其是会彻底改变游戏规则的趋势特别敏感。比如在2017年1月19号所长就特别跟大家提醒过,2017年的全年核心就两个词:合规,本土。残酷的事情在以英国VAT、美国销售税、德国VAT等给中国卖家以重创一一印证了。

2018年第2天我不得不再告诉大家:

一个有可能改变整个欧盟零售/跨境电商的事件,欧盟GDPR「通用数据保护条例」将在2018年5月正式生效,数字世界将剧变零售商/跨境电商们将不能再肆无忌惮地获取和联系消费者们,我们目前所赖以生存的各种营销手段如产品推荐、邮件营销、会员计划都在不复存在?

这个GDPR又是个什么东西?这个条例主要是说的什么?它对我们在欧盟的零售/电商/跨境电商或其他相关的产业有什么影响?

什么是GDPR?

GDPR,General Data Protection Regulation,「通用数据保护条例」,是欧盟最近数年来关于个人数据隐私保护最重要的法律成果。

GDRP给所有欧盟公民保护自己个人资料提供了法理依据,允许公民授权给不同个体使用其个人信息。它囊括了所有新数据保护所必须的相关要求,包括扩大了欧盟数据保护法律所覆盖的边界从本地公司延伸到所有参与欧盟公民「包括英国」个人信息处理的所有外国公司。

更为重要的是,这项有200+页的法规将在2018年的5月正式实施,而我们以前经常听到的一些比如像「遗忘权」、数据泄漏保护责任、数据可转移等概念,将成为正式的法律条文。

该法规更是明确规定了违反惩处量刑,如因个体违反规定造成信息泄漏可能会面临高达2400万美金或者是整个营业收入的4%罚款的惩处。这项法规为所有希望服务5亿欧盟公民的个人、品牌商、公司们设立了严格的红线。

法规要求个人、品牌商、公司们必须建立稳定的数据处理、匿名收集数据以保护个人隐私、信息泄漏义务通知、安全处理不同公司间的数据转移等一系列的清晰措施,以符合GDPR的合规要求。

为什么会有GDPR?

我们先来回顾几个最近数年一直被追捧的词:

内容营销,个性化营销,智能AI,语音助手

这些词在过去几年内不断在不同的商贸领域被包括活跃在新零售、电商、跨境电商的服务商、跨境电商erp商、制造商、贸易商、品牌商、平台、行业媒体、高校学者乃至政府都不断被反复研究,深挖其背后所蕴含的各种神奇魅力。

事实上这些词之所以成为热词是因为:

消费者们越来越希望在线下/网上购物时能获得一种更个性化、千人千面的消费体验。

在中国,各种各种的智能AI系统、大数据分析软件、语音助手等等软硬件已经开始为此做了很多工作。我们的个人信息在过去很长的时间内却被各种各种的方式被不法之徒倒买倒卖、随意滥用,这从我们从前经常收到的各种垃圾信息、垃圾邮件、骚扰电话、楼盘推荐就可见一斑。更可怕的个人资料被用在违法行为时所造成的各种新闻也是屡见不鲜。

然后,在2017年6月1日,我们的《网络安全法》在《关于加强网络信息保护的决定》的基础上专章规定了公民个人信息保护的基本法律制度,明确加强对个人信息保护。对网络运营者、公民个人和网络安全监管机构在公民个人信息保护制定了更清晰的法律规定。

对网络运营者而言,法规要求网络运营者不得收集与其提供的服务无关的个人信息。

不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

对公民个人而言,法律赋予其有信息删除权和更正权。

《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

对网络安全监管机构而言,法律则要求其对个人信息、隐私应保密。

《网络安全法》规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

我们的个人信息保护终于变成更精准的法律法规,那么传统异常注重个人隐私保护法律的欧美在这件事情上自然也不会比我们慢。

2018年我们中国出口/跨境电商发展,合规和本土,依然是绕不开的重大问题。欧美政府和消费者对个人信息保护上的立法和目前被各种「个性化营销」随意调用的个人信息的立场是如何?。

Gigya公司日前发布了其2017年全球消费隐私及信任报告,该报告调研美国和英国消费者各一半,合共4000名用户,咨询了他们对个人隐私保护的一些意见。

报告显示,消费们并不太相信天天围绕他们的智能终端:智能手表、健身监控器、如亚马逊ECHO这样的家用智能设备,以及经常邮箱里出现的精准营销的卖家们。

69%的受访欧美消费者担心智能终端的安全问题和它们在保护个人隐私时候的稳妥

约2/3的受访欧美消费者不相信品牌商们会合理合规地处理他们的个人信息,比如名字、邮箱地址、住所地址或者是婚姻状态等,

63%的被访者相信他们自己应该自己要懂得保护自己的个人信息,但是一旦发生信息泄漏,只有62%的被访者会更改他们的密码,32%的被访者会启用二次授权,18%的人则选择注销账号。

除此之外有61%的使用Facebook的被访者更新他们在社交网络的私人信息

虽然使用某些常规方式保护自己,有70%的被访者在网络账户上只使用7个或者更少数位的密码,明显是非常糟糕的密码保护习惯。

数据显示53%的消费者们相信本国政府新近实施的有关个人信息安全和隐私的法案法规只会给他们带来轻微的影响,其中41%美国人,65%英国人。

而这些个人数据恰恰是品牌商们所依赖实现更高效「个性营销」的基础。

贸易品牌商们还将面临着一个更棘手的挑战:如何在实施了消费者数据「许可」或「反对」都必须符合GDPR法规要求的零售商/批发商中重建信心。在5亿欧盟消费者中分得一杯羹的零售商们都渴望获得答案:他们能怎么样和为什么需要改变沿用多年的数据收集和管理方式,以适应新法规的要求。

目前来看除了一件事以外没有什么事情是他们能清晰明白的:当零售商继续使用现有营销手段或材料,比如电子邮件来做精准营销时,消费者们是有权选择说「不」,否则面临巨额罚款。零售商们还不得不要去建立聆听消费者说「不」的应对运营系统。

2018年的5月后当欧盟的新法律General Data Protection Regulation(GDPR) 正式生效后,我们所熟知的数字世界在将剧变。一旦消费者说「不」,零售商/跨境电商们将不能在像今天这样肆无忌惮地在线上通过各种形式手段获取和联系消费者们。

我们目前所很多赖以生存的各种手段、技术优势都在不复存在?

那么什么时候说的「是」意味着「是」呢?

这是所有零售商/跨境电商们不得不去认真思考的问题。

当我们的目标消费者说「够」了,这就意味着「够」了,我们必须坐下来认真聆听。

然而,我们还是得为营生而奔波,因为我们太清楚数字时代数据的价值。根据GDPR的要求,消费者们必须清晰对所有使用他们个人数据的用户给予「许可」确认,而且消费者们必须给予使用者没有限制的「许可」。

零售商们需要去认真思考和建立让目标消费者简单清晰地进行授权的运营流程,避免因为复杂或者不当的认证过程使得真实和潜在用户出现大量的流失。

零售商们不能再把人看成是一个个数字。

我们必须把这些个人数字身份作为真实个体来对待。

通过在网站入口时鼓励消费者们注册建立清晰的个人信息,零售商们可以为这些个体们建立清晰的图形、兴趣和行为数据模型。

更能获得好收获的方式应该是,建立能持续咨询用户前后关系的各种问题,从而增强用户在整个访问过程中的体验,这种方式,我们叫「渐进式用户身份建立」。

比如说,线上零售/跨境电商们可以允许消费者们逐步建立个人的信息资料库,比如说裙子的尺码、喜欢的设计师、喜欢的颜色等,给予消费者们权力在适当的时候,分享他们认为最能体现其个人特性价值的各种数据,同时能确保消费者们清晰知道,去哪里可以更新或编辑这些数据或许可,确保个性化营销不会变成一个「惊吓」。

除此之外,零售商们需切记如何定义和管理GDPR法规生效时所覆盖的各种许可。

这么做可不仅是为了合规,更重要的是建立用户与零售商的信任和增强彼此的连接,从而建立零售商在线上的品牌口碑和更广阔的信任。

为了建立这样的和谐共处,零售商们必须清晰理解不同形式、内容和状态下的「许可」意味着什么。

GDPR设定了对「许可」相对高的标准:它意味着消费者可以真实选择使用他们数据的不同公司。而消费者和零售商们一致同意的数据采集,能帮助零售商们和消费者建立更稳固的信任和品牌口碑

GDRP对零售商意味着什么?

首先零售商/卖家们必须去审视手上的宝贵财产:有关用户许可的实际情况。

零售商们需要去清理和建立更精细的方法来处理已授权的许可记录,同时简化消费者们撤回许可的整个操作流程。

这场数据许可的革命意味着一场动态来观察数据变化的重要性。

零售们需将这些数据看作是一个有机体,一个正在持续和活跃管理着的决策,而不是简单仅需要一次性处理然后就归档处理的文档盒子。

虽然这次的GDPR革命必然将给零售商们为改善许可处理流程提出各种要求。而事实上在实际的运营中,GDPR法规还是不少地方需要业界提供更多的建议和指引。

比如说,到底什么样的技术用户界面是可以被认可的?

不同的用户界面,对注册页面和背后的运营体系提出不同的需求。

现有的零售商们根据实际操作也对GDPR细化需求提出了不少需求:

1、保证不同情况和条款下的不同许可要求。

模凌两可的许可需求将让人产生疑问,到底需要什么样的方式才能实现不同的需求?

这些针对通用条款服务和许可,是否意味着不同分类的复选框?

特定数据的许可是否可以不包括具体的条款或条例,又或者是某个站点的不同的服务条款?

2、命名许可。

指引下要求零售商们给第三方进行命名。

大公司们常根据实际的业务需求建立自己命名规则用于消费者身份和管理方案的数据分析服务。那么这些现有的管理方式在注册页面时显示的许可声明是否满足法规的要求?

3、可变许可。

这是能有效地帮助细化哪些个人信息在「正当利益」下而不是在「许可」授权下,就用户的信息进行处理。建立正确的许可需求系统,能有效地理清「渐进式许可」管理所需要的不同节点。比如说,线上注册页面是否需要清晰标记选择框来获取以下三个核心数据:

产品推荐、邮件营销、会员计划?或者是其他更多重要的信息?

我们可以判断,虽然GDPR生效之日将对整个欧盟的个人信息使用进行更严谨的管控,但这200+页的法规还是有很多需要一一细化规范。目前GDPR法规中的「一般性概念」还有很多黑白之间的区域需要说明才能实现其合规的要求。法规细化后在实际中才能适合实际商贸,尤其是线上电商在用户注册、邮件营销、产品推荐、会员计划等操作时的优化和改善,并能提升改善消费者们在授权许可时的简便性。

就目前而言,零售商/跨境电商们和他们的雇员们需要正视GDPR中立法和实施的坚决,以及消费者们对其赋予权力的期盼。同时我们不能轻视其对整个欧盟科技/商贸/电商所造成的冲击,更应该虚心去学习了解GDPR法规中不同细节在实际执行中对自己运营所提出的要求,无论得失,有则改之,无则加勉。

更高的竞争要求,意味着新一轮洗牌的开始,洗牌的开始,意味着蛋糕的重新分配。

如何在新一轮分配中不落于下风,聪明的中国卖家们,你们想好如何迎战了吗?

本文结束

本文部分资料参考自Gigya及其他外媒资料,纯粹作为英文翻译学术使用,不代表本人、本公众号任何立场,如有错漏请联系所长阿米「微信号:chengguiliang1979」处理,转载不得删除本公告。

此为亿邦专栏作者文章,如要转载请签订内容转载协议,联系run@ebrun.com