作者：胡运思、宇文沛

引言

中国知名出海企业Temu正在多国接受或可能接受合规调查。今年4月，韩国公平贸易委员会和个人信息保护委员会针对Temu的广告问题和个人信息收集与使用等情况发起调查。6月，欧盟委员会就Temu履行《数字服务法》（Digital Service Act）合规义务所采取的措施向其发送了正式的信息征询（Request for Information），要求Temu在7月12日前就用户举报非法产品的渠道、在线交互界面是否对用户造成欺骗或操纵、对弱势群体是否提供了保护措施、推荐系统的透明度、卖家真实身份追溯以及平台自设计时合规的措施等方面提供信息。同样在6月，美国阿肯色州总检察长指控Temu实施了欺骗性交易活动及侵害用户隐私的行为，违反了阿肯色州欺骗性交易行为法案（ADTPA）及阿肯色州个人信息保护法案（PIPA）。

谋求多元化的销售渠道，对出海企业的业务稳定性而言至关重要。为此，企业常使用电子营销（E-marketing）手段，整合线上与线下资源，通过电子渠道与目标受众进行互动，建立和维护客户关系，传递品牌价值与促销信息。

本文基于某出海企业拟开展电子营销活动的五个方案，解读欧美数据保护法律对电子营销活动的监管要求，为出海企业的电子营销活动提供数据合规指引。

场景化案例分析

A公司系一家深耕中国消费品行业多年的优质企业，年营收超8亿元人民币。A公司产品的目标客户为10岁~35岁的年轻消费群体。该公司拟开拓欧美市场，计划将产品销售至美国、法国、德国、西班牙、意大利等多个国家。公司计划利用在线和电话营销的方式进行重点推广。海外业务拓展部门在项目策划案中提出了五个具体的电子营销方案，希望公司法务部门就每个方案的合规风险进行评估。

【方案一】向欧美注册用户发送营销电子邮件

· 发送营销电子邮件前是否需要取得用户同意

在欧盟，取得用户事先明示同意（opt-in）一般为面向用户端（C端）开展邮件营销的前提。针对面向企业端（B端）的营销邮件，以德国为代表的部分成员国规定，面向企业端的电子营销也应取得企业用户的事先同意（如，企业用户在公司网站上填写电子表单，邀请公司向其发送营销邮件）。

针对面向用户端开展的邮件营销，德国、奥地利、希腊等欧盟成员国推荐采用双重确认（double opt-in）的方式取得用户同意。在用户同意接收营销邮件并提供邮箱后，公司向用户邮箱发送一封验证邮件，以确认用户是该邮箱的所有者（通常用户仅需点击邮件中的校验链接，即可完成确认）。只有完成双重确认后，公司才可以正式开始发送营销邮件。

美国联邦方面，公司在向用户发送营销电子信息之前，不需要取得用户的事先同意。但是，对于已明确表达不希望接收营销电子信息的用户，公司不可以向其发送营销电子信息（opt-out），也不可以出售、租赁、转让、传输或披露该用户的电子邮件地址。美国联邦层面并不区分面向企业端和用户端电子营销活动的合规义务[1]，因此面向企业端用户发送的营销电子信息也需遵守在接收方表示拒绝后立即停止的规定。

【方案二】聘请一家总部位于美国的全球性数字营销公司为A公司欧美市场开拓提供一站式营销解决方案，该数字营销公司为全世界规模最大的数据经纪公司之一

· 与数字营销公司数据共享时的合规要点

作为公司外部供应商的数据经纪人，在为公司提供数字营销解决方案时，很可能涉及与公司数据共享。供应商识别、分析客户公司掌握的用户数据，实现营销活动精准匹配。同时，利用供应商所掌握的第三方数据，公司能够获取新的用户或筛选潜在用户。

在数据共享的过程中，一是需要签署数据共享协议，约定双方权利义务；二是需注意数据传输方所在国有关个人数据跨境传输的规定，如就欧盟个人数据出境，一般情况下，传输方与境外接收方需签署个人数据跨境传输标准合同条款。而由于中美政治博弈，近年来美国频繁出台行政命令或拟出台法案，限制美国个人信息和敏感行业数据向中国传输。

· 美国限制数据经纪人向中国传输美国人敏感个人数据

2024年6月23日，《保护美国人数据免受外国敌手侵害法案》（以下简称“《7520法案》”）正式生效。法案禁止任何数据经纪人销售、许可、出租、交易、转让、发布、披露、提供访问权限或以其他方式使美国个人的可识别敏感数据供中国在内的外国敌手国家及敌手国家个人控制的实体使用。

《7520法案》禁止传输的敏感数据范围很广，电子邮件、短信、私信、语音邮件、电话和短信记录、供私人使用的日历信息、地址簿信息、电话或文本日志、照片、音频或视频等，均涵盖在内。如数据经纪人违规传输敏感数据，则将被认定为实施“不公平或欺骗性行为”而受到处罚。

美国规模最大的几家数据经纪人如安客诚、尼尔森IQ，均经营数字营销业务。这些数据经纪人利用所掌握的数据资源，专长于用户画像和精准广告投放，在中国市场表现活跃。可预见的是，《7520法案》将对于掌握美国个人可识别敏感数据的数据经纪人为中国客户提供服务造成重大限制。因此，公司需评估在《7520法案》生效背景下，采购美国数据经纪人公司提供的数字营销方案是否可达到预期推广效果。

【方案三】在Instagram、YouTube等社交媒体投放广告的方式进行电子营销

· 社交媒体广告内容和广告投放方式的合规

欧盟明确禁止广告内容含有虚假或不真实的信息。公司也不得通过发送垃圾邮件等骚扰手段，严重侵害用户的选择自由。针对儿童用户，禁止在广告中劝说儿童购买，也禁止劝说儿童的父母或其他成年人为儿童购买广告产品。此外，欧盟明确禁止可能误导用户的“刷好评”行为。

美国联邦层面也规定了广告必须真实且不得具有误导性。如果聘请具有网络影响力的人选进行产品宣传，则该人选必须公开声明与公司的合作关系，避免用户误解。在医药和金融等特殊行业，广告需遵守更严格的合规标准（如，处方药广告中必须包含主要风险和副作用提示）。针对面向儿童的营销行为，美国要求在线收集13岁以下儿童的个人信息，必须事先获得儿童父母的可验证同意（即，可证明儿童的父母作出了同意）。

· 使用网页Cookie须取得用户同意，并允许用户自由设置Cookie选项

网页端社交平台常使用Cookie技术收集用户浏览偏好等数据，用于精准广告投放，必须获得用户的事先同意（通常通过网页弹窗来实现）。网站运营方应确保通过明确、清晰、易懂的Cookie政策，向用户提供有关Cookie处理个人数据的信息。同时，应保证用户能够拒绝或只选择接受部分Cookie的权利，并且为用户保留未来调整Cookie设置的可能。

【方案四】向官网注册用户给予优惠券奖励，鼓励用户向好友推荐注册公司官网

· 向经好友推荐拟注册的用户发送邀请信息，也需取得同意

根据目前欧盟监管机关的处罚决定[2]，采用好友推荐的方式开展营销活动，需取得该用户的好友就接收公司电子营销信息的事先同意。由于获取好友同意在实践中非常困难，因此需要谨慎考虑电子营销策略和流程，尤其注意发送营销信息主体的安排。

在美国，如果用户向好友发送邀请注册等营销信息可获取利益（如现金、代金券、折扣等），则就发送邀请信息的行为，公司需要向该用户的好友提供拒绝接收的权利。

【方案五】使用AI客服进行电话营销

· 进行电话营销前是否需要取得用户同意

在欧盟开展电话营销，原则上必须取得用户事先明确同意。德国法律要求公司必须将已取得用户同意的证明保存五年。在荷兰，除非是向三年内购买过某产品的用户电话营销同种商品，否则必须取得用户事先明确同意。

美国联邦层面，开展电话营销原则上不需要用户事先同意，除非用户先前已表明其不希望接收公司的电话，或已在国家禁止呼叫清单上注册本人电话号码。但是，开展电话营销的时间仅限于早上8点至晚上9点[3]。使用仿真的或提前录制的声音进行电话营销（即自动呼叫），必须取得用户事先明示同意[4]。

· 如出海目的国存在禁止呼叫清单，则不得向清单上的注册号码进行电话营销 

欧盟部分成员国存在禁止呼叫清单，清单允许用户登记电话号码，明确表示其不希望接收营销电话。例如在德国和比利时，违规拨打禁止呼叫清单上的号码的企业可能面临罚款和其他处罚[5]。

由美国联邦贸易委员会运营的国家禁止呼叫清单允许个人注册其固定电话和移动电话，但并不向企业开放注册。

· 使用人工智能客服的合规问题

用于客服功能的人工智能（以下简称“AI”）一般属于生成式AI。根据欧盟《人工智能法案》（Artificial Intelligence Act），与自然人直接互动的生成式AI一般需要满足透明度要求及欧盟著作权法律的相关规定。

部署生成式AI的公司的透明度要求主要包括：

（1） 在AI直接与用户互动时，需要告知提示用户其互动对象为AI；

（2）将AI生成或修改的内容（无论图片、音频或视频）打标注明“由AI生成”。

因此，使用AI客服的公司需在与用户互动时，告知用户客服为AI而非自然人。

在美国，联邦通信委员会已明确，由AI生成的声音所进行的呼叫属于自动呼叫的范畴[6]，因此使用AI客服自动语音呼叫，需取得用户的事先明确同意。

结语

与监管环境息息相关，欧美各国以及其他出海目的地对于电子营销的合规要求存在显著差异。在众多中国企业积极探索海外市场增⻓机会的背景下，如何有效且合规地开展电子营销合规对出海企业而言至关重要。企业应统筹考虑商业安排，合理筹划电子营销活动。

注：

[1] 参见联邦贸易委员会发布的《CAN-SPAM商业合规指南》，访问地址为：https://www.ftc.gov/business-guidance/resources/can-spam-act-compliance-guide-business

[2] 参见比利时数据监管机构作出的25/2020号处罚决定，决定书编号DOS-2019-01156。

[3] 参见《电话营销销售规则》（Telemarketing Sales Rule 1995）第§310.4(b)(1)(iii)(A)(B)、§310.4(c)条。

[4] 参见《电话消费者保护法案条例》（Telephone Consumer Protection Act Regulations 1992）第§64.1200(a)(3)条以及联邦通信委员会发布的《停止不希望的呼叫和信息指南》，访问地址为：https://www.fcc.gov/consumers/guides/stop-unwanted-calls-and-texts

[5] 参见https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/UEW/start.html

[6] 参见联邦通信委员会于2024年2月8日发布的宣告性裁决，访问地址为：https://docs.fcc.gov/public/attachments/FCC-24-17A1.pdf