一、GDPR 与 ePrivacy 指令如何约束企业短信
欧盟通过 GDPR(《通用数据保护条例》)和 ePrivacy 指令共同规范企业对用户个人数据的处理,其中包括手机号码与营销短信。GDPR 把手机号视为可识别身份的个人数据,任何对它的收集、存储和使用都必须具备合法基础;ePrivacy 指令则更进一步,要求向欧洲用户发送营销类电子通讯(含短信)必须获得用户事先、自由、具体且知情的同意(opt-in),且用户可随时免费撤回同意。 对于企业出海团队,这意味着:不能基于"已购买过产品"就默认向用户发送营销短信,必须保留用户主动勾选授权的证据(时间戳、勾选内容、IP 等),并在每一条短信中提供明确的退订方式。
二、违规的实际成本:最高 2000 万欧元或全球营收 4%
GDPR 设置的罚款上限为 2000 万欧元或违规企业上一财年全球营业额的 4%,以较高者为准。近年欧洲多国数据保护机构已多次对企业营销短信违规开出大额罚单:典型的处罚原因包括未取得明确同意即发送、退订流程形同虚设、用户数据跨境传输缺乏合法基础、未在消息中标明发件企业身份等。 对中国出海企业而言,除罚款外更实际的风险是:违规后欧洲主要运营商可能拉黑企业的发送端号或短号,这会直接影响验证码与服务通知等关键业务消息的到达率。
三、实操建议:从同意采集到发送全链路合规
第一,重新审视注册与下单流程中的同意条款:营销短信的勾选项必须独立、默认未勾选,且条款语言清晰明确;禁止将营销短信同意与服务协议、隐私政策捆绑。 第二,建立同意记录与用户偏好中心:保存每次同意的详细上下文(来源页面、勾选时间、IP、同意条款版本),并给用户提供在线可视的偏好中心,可随时查看和撤回。 第三,短信模板必须包含企业名称与退订方式:建议在短信末尾统一加入"回复 STOP 退订"或可点击退订链接,并在接入运营商层面配置好退订号码的回执处理。 第四,对于通过聚合商发送的场景,要求聚合商提供符合 GDPR 的数据处理协议(DPA),明确双方责任,特别是跨境数据传输与数据保留期限。