自 2018 年以来，《通用数据保护条例》(GDPR) 规范了欧洲和各国所有与数据保护相关的内容。特别是，经营在线商店的电商企业在处理个人数据时，需确保遵守多项要求。

在本文中，您将了解到 GDPR 为何被引入、该条例的主要条款是什么，以及它对电商企业意味着什么。我们还将解释企业为遵守 GDPR 必须满足的要求，以及不遵守时可能面临的处罚。

目录

• 为什么要引入 GDPR？
  
• GDPR 的主要条款是什么？
  
• GDPR 在电子商务中的重要性是什么？
  
• 电商企业为遵守 GDPR 规定需要满足哪些要求？
  
• 如果企业未能遵守 GDPR，将面临什么处罚？
  

为什么要引入 GDPR？

GDPR 的引入旨在统一欧盟 (EU) 的数据保护法规，并在日益数字化的世界中增强对个人数据的保护。在 GDPR 实施之前，欧盟成员国的数据保护法律各不相同。这就导致保护水平存在显著差异，并对跨国经营的企业造成挑战。GDPR 建立了适用于所有欧盟国家的单一法律框架。

GDPR 的主要目标是保护个人在个人数据处理方面的权利。该条例旨在提升公民对数据处理的信任。GDPR 使欧盟内的企业能够更高效地运营，因为它们可以遵守统一的数据保护标准。

在德国，数据保护在 GDPR 引入之前由《联邦数据保护法》(BDSG) 规范。该法律已进行调整，并被视为对 GDPR 的补充，特别是在 GDPR 允许成员国自由裁量的领域。

GDPR 的主要条款是什么？

GDPR 包含 11 章 99 条多个关键条款。以下是最重要的条款概述：

数据处理原则

GDPR 第 5 条规定了个人数据处理的原则。除其他要求外，数据必须：

• 数据必须以合法且对数据主体透明的方式进行处理
  
• 数据的收集和处理必须用于特定的、明确的、合法的目的
  
• 数据处理的范围必须仅限于各自目的所必需的范围
  
• 数据必须是最新且准确的
  
• 如果不再需要用于处理目的，必须删除数据
  
• 数据必须通过技术和组织措施加以保护，以防止未经授权的访问、丢失或破坏
  

数据处理的合法性

GDPR 第 6 条规定，仅在以下法律依据之一适用时，数据才能被处理：

• 数据主体的同意
  
• 与数据主体的合同
  
• 处理是履行法律义务所必需的
  
• 处理是保护数据主体或其他自然人的重要利益所必需的
  
• 处理是执行公共利益任务所必需的
  
• 处理是维护控制方或第三方的合法利益所必需的，除非数据主体的利益或基本权利高于这些利益。
  

数据主体的权利

GDPR 第 3 章规定了数据主体在其数据处理方面的各种权利。

• 数据主体有权了解存储的个人数据是什么、如何处理以及与谁共享（GDPR 第 15 条）。
  
• 不正确或不完整的个人数据必须应数据主体的请求进行更正（GDPR 第 16 条）。
  
• 数据主体可在特定条件下请求删除其数据（GDPR 第 17 条）。
  
• 数据主体有权以结构化、通用且机器可读的格式从控制方处接收其数据（GDPR 第 20 条）。
  
• 数据主体可以基于特定原因反对其数据的处理，特别是反对用于直接营销目的的处理（(GDPR 第 21 条）。
  

控制方的责任

GDPR 第 4 章列出了控制方和处理方的义务。这些义务包括但不限于：

• 控制方必须确保代表其处理个人数据的人员也符合 GDPR 要求（GDPR 第 28 条）。
  
• 如果数据泄露导致个人的权利和自由受到风险威胁，负责方必须在 72 小时内向主管监督机构报告（GDPR 第 33 条）。
  
• 对于某些对数据主体的权利和自由构成高风险的数据处理类型，控制方必须进行数据保护影响评估（GDPR 第 35 条）。
  

GDPR 在电子商务中的重要性是什么？

GDPR 对电商企业至关重要，因为它们会处理大量的个人数据。客户信息如姓名、地址、支付详情和订单历史是在线商店运营的必要内容。这意味着 GDPR 对电子商务商业模式的设计和法律框架有着重要影响。

在网上商店中对个人数据的疏忽处理可能导致数据保护违规，从而引发法律纠纷、监管制裁以及企业形象受损。这就是为什么在线商店经营者尤其需要熟悉 GDPR 及其规定的义务。

例如，如果订单和交付不需要电话号码，则企业不得收集电话号码。仅可收集为交付和支付所订商品所需的数据。

同样，营销信息（如用于订阅新闻邮件的电子邮件地址）只能在获得客户明确同意的情况下收集和使用。信用卡信息也只能在完成支付过程所需的时间内存储。例如，销售限制年龄商品时，只有在年龄验证必要时才能收集出生日期等信息。了解更多关于电商支付的信息。

电商企业为遵守 GDPR 规定需要满足哪些要求？

为了遵守 GDPR 规定，电商企业必须满足多种要求。这些要求主要源自上述数据主体的权利（GDPR 第 3 章）以及控制方的义务（GDPR 第 4 章）。

隐私政策

电商企业必须提供全面的隐私政策。隐私政策需要透明且详细地解释收集了哪些个人数据、数据的用途、数据如何处理，以及数据主体的权利。隐私政策必须易于找到（例如，网站页脚或访问页面时的直接链接中）。GDPR 第 13 条列出了 GDPR 合规数据保护声明中所需的所有信息。这些包括：

• 数据控制方的名称和联系方式
  
• 如适用，数据保护官员的名称和联系方式
  
• 处理个人数据的法律依据和目的
  
• 如果数据处理基于合法利益，控制方的合法利益说明（参见 GDPR 第 1(1)(f) 条）
  
• 个人数据披露时的接收方
  
• 个人数据的存储期限
  
• 数据主体的权利，包括访问、纠正、删除、反对、撤销和限制处理的权利
  
• 未提供个人数据的后果描述
  

Cookie 政策

处理不必要用于履行合同的个人数据需要用户的知情同意。这尤其适用于使用 Cookie，这是临时存储在用户浏览器中的文本文件。技术上必要的 Cookie 用于例如为用户显示适当的网站语言或存储购物车内容。

Cookie 对网站的正常运行至关重要，它们还用于创建个性化广告的用户资料。在某些情况下，这可能很关键，因为统计和个人数据会被存储。因此，必须为用户提供同意存储和处理 Cookie 的机会。仅仅一个“Cookie 横幅”便足够，前提是它提供了拒绝或调整 Cookie 设置的选项。

技术和组织措施

为了保护个人数据免遭第三方访问等，网上商店必须采取技术安全措施。这些措施包括对数据传输的加密，例如通过超文本传输协议安全 (HTTPS)（GDPR 第 32 条）。这需要使用安全套接层 (SSL)或传输层安全协议 (TLS) 证书。网上商店还必须确保个人数据以安全方式存储（例如，在加密数据库中）。数据备份也是强制性的。

广告和信息服务的同意

客户的电子邮件地址不能被自动用于发送新闻邮件、广告或信息服务。这需要客户的主动同意。随着 GDPR 的生效，根据第 7 条和第 8 条，双重选择加入程序成为必要。“选择加入” (Opt-in) 可以简单地翻译为“决定某事”或“选择”。双重选择加入需要客户进行两次确认。首先，需要询问他们是否希望接收例如新闻邮件。如果通过注册以及相关的电子邮件地址传输确认了这一点，还需进行第二步：企业必须发送一个确认链接，用户必须点击该链接才能激活服务。

数据处理协议

如果外部服务提供商处理来自网上商店的个人数据，必须签订数据处理协议。这是向第三方转移数据的强制性要求。数据保护协议确保第三方也遵守 GDPR。网上商店的典型服务提供商包括支付服务商或云服务和软件即服务 (SaaS) 解决方案的提供商。

这时，Stripe Checkout 可以帮助您：一款现成的支付表单，能够实现流畅的结账流程。Checkout 可以集成到您的网站，或将客户重新定向到由 Stripe 托管的页面。在这些页面上，可以轻松、安全且按照 GDPR 接受支付或订阅。

数据保护官的任命

根据 GDPR 第 37 条，在某些条件下，网上商店必须任命数据保护官。他们负责监督 GDPR 的合规情况，并作为监督机构和数据主体的联络人。

如果企业未能遵守 GDPR，将面临什么处罚？

根据 GDPR 第 83 条，如果企业违反数据保护规则，可能面临高额罚款。罚款金额最高可达 2000 万欧元，或企业年度全球营业额的 4%。例如，故意、知情或疏忽隐瞒发件人或消息的商业性质是行政违法行为。同样，非法收集、处理或存储个人数据也属违规。此外，必须始终告知数据主体数据的收集情况。