Pematuhan e-mel adalah salah satu topik yang diabaikan orang sehingga ia mengenakan kos. Dan kosnya boleh menjadi sangat besar.
Persekitaran regulasi untuk pemasaran e-mel sangat berbeza mengikut negara. Apa yang sah sepenuhnya di AS boleh mengakibatkan denda besar di Kanada atau Australia. Jika anda menghantar secara antarabangsa โ seperti yang dilakukan kebanyakan perniagaan โ anda perlu memahami peraturan di setiap bidang kuasa tempat pelanggan anda tinggal.
Ini bukan hanya tentang mengelakkan denda. Pematuhan membina kepercayaan. Dan dalam era di mana pengguna lebih sedar tentang privasi berbanding sebelumnya, kepercayaan diterjemahkan terus kepada penglibatan dan hasil pendapatan.
Bab ini merangkumi peraturan utama, langkah-langkah praktikal untuk kekal patuh, dan keperluan teknikal baharu yang mempengaruhi setiap penghantar.
GDPR (EU)
General Data Protection Regulation kekal sebagai undang-undang privasi e-mel yang paling ketat dan paling berpengaruh di seluruh dunia. Jika anda mempunyai pelanggan EU, GDPR terpakai kepada anda, tanpa mengira di mana perniagaan anda berpangkalan.
Persetujuan di bawah GDPR mesti diberikan secara bebas, spesifik, bermaklumat dan tidak bermaksud ganda. Itu adalah syarat yang tinggi. Kotak yang ditandakan terlebih dahulu tidak dikira. Persetujuan digabungkan ("daftar dan bersetuju dengan pemasaran") tidak dikira melainkan persetujuan pemasaran dipisahkan daripada pendaftaran perkhidmatan. Diam tidak dikira. Ketidakaktifan tidak dikira.
Anda perlu memberitahu orang dengan tepat apa yang mereka daftar. "Langgan surat berita kami" boleh diterima. "Dengan mencipta akaun, anda bersetuju untuk menerima komunikasi promosi" yang tersembunyi dalam perenggan 47 terma perkhidmatan anda tidak boleh diterima.
Hak untuk dilupakan bermakna anda mesti memadam data seseorang "tanpa kelewatan yang tidak wajar" apabila mereka memintanya. Dalam praktik, itu bermakna dalam masa 30 hari. Ini merangkumi semua data peribadi dalam semua sistem anda, bukan hanya ESP anda. Data CRM, sejarah pembelian yang dikaitkan dengan e-mel mereka, data analitik โ semuanya. Bina proses yang didokumenkan untuk menangani permintaan ini sebelum anda menerimanya, kerana anda akan menerimanya.
Perlindungan data melalui reka bentuk dan secara lalai bermakna anda harus membina sistem anda dengan mengambil kira privasi dari awal, bukan menambahkannya selepas itu. Kumpulkan hanya apa yang anda perlukan. Simpan dengan selamat. Padam apabila tidak lagi diperlukan.
Untuk rekod persetujuan, simpan dokumentasi selama 3 hingga 7 tahun selepas penghantaran terakhir anda kepada pelanggan tersebut. Rekodkan bila mereka memberi persetujuan, bagaimana mereka memberi persetujuan, apa yang mereka setujui, dan maklumat apa yang dibentangkan kepada mereka pada masa itu. Jika pengawal selia bertanya, anda perlu membuktikan bahawa persetujuan itu sah. Tangkap layar borang pendaftaran anda pada masa persetujuan, bertanda waktu dan diarkibkan, adalah pertahanan terbaik anda.
Perbarui persetujuan setiap 2 tahun. Hantar kempen pemberian semula kebenaran kepada pelanggan yang belum anda dengar khabarnya selama 24 bulan. Mereka yang mengesahkan semula benar-benar berminat. Mereka yang tidak harus dialih keluar. Lebih baik mempunyai senarai yang lebih kecil dan patuh berbanding yang besar dan dipersoalkan secara undang-undang.
Denda GDPR boleh mencapai 4% daripada pusing ganti global tahunan atau EUR 20 juta, yang mana lebih tinggi. Denda besar telah dikeluarkan di semua industri. Ini bukan risiko teoritikal.
CAN-SPAM (AS)
CAN-SPAM adalah peraturan e-mel utama yang paling permisif. Ia juga yang paling disalahfahami.
Peraturan utamanya mudah. Jangan gunakan pengepala, nama penghantar, atau baris subjek yang mengelirukan. Nama "Dari:" anda harus mewakili dengan tepat siapa yang menghantar e-mel. Baris subjek tidak boleh mengelirukan tentang kandungan e-mel. "Re: Pesanan Anda" apabila tiada pesanan adalah pelanggaran.
Setiap e-mel komersial mesti menyertakan alamat pos fizikal. Peti surat atau alamat pejabat maya boleh diterima. Anda tidak perlu menerbitkan alamat rumah anda. Perkhidmatan seperti Earth Class Mail atau iPostal1 menawarkan alamat perniagaan maya yang memenuhi keperluan ini dengan kurang dari $15 sebulan.
Anda mesti menghormati permintaan keluar dalam masa 10 hari bekerja. Mekanisme berhenti langgan anda mesti terus berfungsi sekurang-kurangnya 30 hari selepas e-mel dihantar. Jangan paksa orang log masuk untuk berhenti langgan. Jangan kenakan caj. Jangan minta mereka memberikan maklumat selain daripada alamat e-mel mereka. Jangan buat mereka mengklik lima halaman untuk menyelesaikan prosesnya.
Inilah bahagian yang kebanyakan orang faham dengan salah: CAN-SPAM secara teknikal membolehkan anda menghantar e-mel kepada sesiapa yang belum keluar. Anda tidak memerlukan persetujuan terlebih dahulu. Tetapi "dibenarkan secara undang-undang" dan "idea bagus" adalah perkara yang berbeza. Menghantar e-mel kepada orang yang tidak meminta untuk mendengar daripada anda merosakkan reputasi penghantar anda, menjana aduan, dan menenggelamkan kebolehan penghantaran e-mel. Hanya kerana anda boleh tidak bermakna anda patut.
Pelanggaran membawa penalti sehingga $51,744 setiap e-mel. Itu setiap e-mel individu, bukan setiap kempen. Kempen kepada 10,000 orang secara teorinya boleh menghasilkan lebih daripada $500 juta dalam denda. Ia jarang mencapai tahap itu, tetapi FTC telah mengejar kes-kes yang menghasilkan jutaan dalam penalti.
Negeri Washington mempunyai lapisan tambahan: $500 setiap penerima untuk baris subjek yang mengelirukan. Jika anda menghantar e-mel kepada penduduk Washington (dan anda mungkin berbuat demikian), baris subjek anda perlu tepat.
CASL (Kanada)
Perundangan Anti-Spam Kanada jauh lebih ketat daripada CAN-SPAM. Jika anda mempunyai pelanggan Kanada, beri perhatian yang teliti.
CASL memerlukan sama ada persetujuan nyata atau tersirat sebelum menghantar mesej elektronik komersial. Persetujuan nyata bermakna seseorang secara aktif bersetuju untuk menerima e-mel anda. Persetujuan tersirat lebih sempit daripada yang kedengaran.
Persetujuan tersirat wujud dalam dua situasi. Pertama, jika anda mempunyai hubungan perniagaan sedia ada (seseorang membeli daripada anda, memasuki kontrak, atau membuat pertanyaan), anda boleh menghantar e-mel kepada mereka. Tetapi persetujuan tersirat daripada pembelian luput 2 tahun selepas transaksi. Persetujuan tersirat daripada pertanyaan luput 6 bulan selepas pertanyaan. Selepas tetingkap tersebut tertutup, anda memerlukan persetujuan nyata atau anda berhenti menghantar.
Ini bermakna anda memerlukan sistem untuk menjejak tarikh luput persetujuan. Jika seseorang membeli daripada anda pada 15 Mac 2024, persetujuan tersirat anda luput pada 15 Mac 2026. Anda harus menjalankan kempen pembaruan persetujuan jauh sebelum tarikh tersebut, menukar persetujuan tersirat kepada nyata semasa anda masih mempunyai hak untuk menghantar e-mel kepada mereka.
Penaltinya berat. Sehingga $10 juta CAD setiap pelanggaran untuk perniagaan. CASL juga termasuk hak tindakan peribadi, bermakna individu boleh menyaman anda secara langsung. Impak praktikalnya ialah syarikat dengan khalayak Kanada yang ketara sering lalai kepada opt-in nyata untuk semua kenalan Kanada, kerana risiko tersalah tentang persetujuan tersirat terlalu tinggi.
CCPA (California)
California Consumer Privacy Act bukan undang-undang khusus e-mel, tetapi ia mempengaruhi pemasar e-mel yang menyimpan data tentang penduduk California.
Anda mesti memberikan notis pada pengumpulan yang menyenaraikan kategori maklumat peribadi yang anda kumpulkan dan tujuan pengumpulan. Ini terpakai kepada borang pendaftaran dan dasar privasi anda.
Penduduk California mempunyai hak untuk mengetahui maklumat peribadi apa yang telah anda kumpulkan, hak untuk memadamnya, dan hak untuk menolak penjualan maklumat peribadi mereka. Jika anda menjual atau berkongsi data pelanggan dengan pihak ketiga (untuk pengiklanan, pengayaan data, atau sewaan senarai), anda memerlukan mekanisme "Jangan Jual Maklumat Peribadi Saya".
Penaltinya ialah $2,500 setiap pelanggaran tidak disengaja dan $7,500 setiap pelanggaran yang disengaja. Peguam Negara California dan California Privacy Protection Agency kedua-duanya mempunyai kuasa penguatkuasaan.
CPRA (California Privacy Rights Act) memperluas CCPA, menambahkan hak untuk membetulkan maklumat yang tidak tepat dan mencipta kategori baharu "maklumat peribadi sensitif" dengan perlindungan tambahan. Jika anda mengumpulkan geolokasi tepat, asal bangsa atau etnik, data kesihatan, atau kategori sensitif yang serupa dalam pemasaran e-mel anda (melalui tinjauan, pusat keutamaan, atau data pembelian), keperluan tambahan CPRA terpakai.
Akta Spam Australia
Memandangkan saya menulis ini dari perspektif Australia, akta ini layak mendapat perhatian khusus.
Spam Act 2003 memerlukan tiga perkara untuk setiap mesej elektronik komersial: persetujuan, pengenalpastian penghantar, dan mekanisme berhenti langgan yang berfungsi.
Persetujuan boleh nyata (seseorang opt-in) atau disimpulkan (terdapat hubungan perniagaan sedia ada). Tetapi tidak seperti CAN-SPAM, anda tidak boleh menghantar e-mel kepada seseorang yang belum opt-in atau yang tidak mempunyai hubungan sedia ada dengan perniagaan anda. E-mel sejuk kepada senarai yang dibeli adalah haram di Australia. Tanpa pengecualian.
Setiap e-mel komersial mesti mengenal pasti dengan jelas siapa yang menghantarnya dan menyertakan butiran kenalan yang tepat. Dan setiap e-mel mesti menyertakan mekanisme berhenti langgan yang berfungsi dan dihormati dalam masa 5 hari bekerja.
Penaltinya besar. Australian Communications and Media Authority (ACMA) boleh mengenakan denda sehingga $2.22 juta AUD sehari untuk pelanggaran serius. Mereka telah mengejar kes terhadap perniagaan Australia dan syarikat antarabangsa yang menghantar kepada penerima Australia. ACMA semakin aktif dalam penguatkuasaan, dan mereka berkoordinasi dengan pengawal selia antarabangsa.
Untuk perniagaan Australia yang menghantar secara antarabangsa, anda masih perlu mematuhi Spam Act untuk semua mesej yang dihantar dari Australia, tanpa mengira di mana penerima berada. Dan jika anda adalah perniagaan antarabangsa yang menghantar kepada penerima Australia, Spam Act terpakai kepada anda.
Pematuhan E-mel Sejuk
Pematuhan e-mel sejuk adalah tampalan pelbagai peraturan berbeza bergantung kepada tempat penerima anda berada. Silap dalam hal ini dan anda terdedah kepada risiko undang-undang yang ketara.
Amerika Syarikat (CAN-SPAM): Bidang kuasa yang paling permisif untuk e-mel sejuk B2B. Tiada persetujuan terlebih dahulu diperlukan. Anda mesti menyertakan mekanisme keluar yang jelas, alamat fizikal anda, dan maklumat penghantar yang tepat. Inilah sebabnya kebanyakan alat dan strategi e-mel sejuk berasal dari syarikat berbasis di AS. AS adalah satu-satunya pasaran utama di mana e-mel sejuk B2B secara nyata sah tanpa persetujuan terlebih dahulu.
United Kingdom (PECR): E-mel sejuk B2B dibenarkan di bawah prinsip "soft opt-in". Anda boleh menghantar e-mel kepada seseorang di alamat perniagaan mereka jika mesej itu relevan dengan peranan profesional mereka. Anda mesti menyertakan opt-out yang jelas dalam setiap mesej. E-mel sejuk B2C memerlukan persetujuan terlebih dahulu. Selepas Brexit, UK mempunyai rejim perlindungan data sendiri (UK GDPR) yang sangat menyerupai GDPR EU tetapi dikuatkuasakan oleh ICO.
Kesatuan Eropah (Direktif ePrivacy): Ini berbeza mengikut negara kerana setiap negara anggota EU melaksanakan direktif secara berbeza. Jerman adalah yang paling ketat, memerlukan persetujuan opt-in untuk hampir semua e-mel komersial termasuk B2B. Perancis, Itali, dan Belanda lebih permisif untuk B2B di bawah peruntukan kepentingan yang sah. Kebanyakan negara EU membenarkan e-mel sejuk B2B dengan opt-out yang jelas dan alasan perniagaan yang sah. Peraturan ePrivacy yang akan datang (yang telah dalam pembangunan selama bertahun-tahun) mungkin menyelaraskan peraturan-peraturan ini di seluruh EU.
Kanada (CASL): Persetujuan diperlukan. Anda boleh menggunakan persetujuan tersirat daripada hubungan perniagaan sedia ada, tetapi pendekatan sejuk kepada orang yang belum pernah anda berinteraksi memerlukan persetujuan nyata terlebih dahulu. Sesetengah pengamal berpendapat bahawa e-mel perniagaan yang diterbitkan mencipta persetujuan tersirat, tetapi ini belum jelas diuji dalam penguatkuasaan. Saya tidak akan bergantung pada hujah itu.
Australia (Spam Act): Persetujuan diperlukan. Tiada e-mel sejuk tanpa hubungan terlebih dahulu. Ini adalah bidang kuasa utama yang paling ketat untuk pendekatan sejuk.
Kesimpulan praktikalnya: kekalkan senarai berasingan mengikut bidang kuasa. Tag setiap pelanggan dengan negara mereka. Terapkan peraturan bidang kuasa mereka, bukan milik anda. Jika ragu, terapkan piawaian yang lebih ketat. Alat seperti Instantly, Lemlist, dan Apollo membolehkan anda menapis prospek mengikut negara, yang menjadikan pematuhan berasaskan bidang kuasa boleh diuruskan dalam skala besar.
Pengurusan Persetujuan Praktikal
Teori adalah satu perkara. Melaksanakan pengumpulan persetujuan yang patuh dalam skala besar adalah perkara lain.
Double opt-in kekal sebagai piawaian emas. Seseorang mendaftar, menerima e-mel pengesahan, dan mengklik pautan untuk mengesahkan langganan mereka. Ini memberi anda bukti persetujuan yang jelas dan didokumenkan serta menghapuskan pendaftaran palsu, kesilapan taip, dan perangkap spam. Ya, anda akan kehilangan 15-20% pendaftaran yang tidak mengesahkan. Orang-orang itu tidak akan menjadi pelanggan yang terlibat bagaimanapun.
E-mel persetujuan yang diperibadikan mendapat kira-kira 15% lebih banyak opt-in berbanding yang generik. Menyertakan nama pelanggan, merujuk apa yang mereka daftar, dan menerangkan apa yang akan mereka terima membuatkan orang lebih cenderung mengklik butang pengesahan tersebut.
Peringatan persetujuan berulang meningkatkan kadar persetujuan sebanyak 25%. Jika seseorang belum mengesahkan selepas 24 jam, hantar peringatan. Jika belum mengesahkan selepas 72 jam, hantar satu lagi. Selepas itu, biarkan ia berlalu. Tiga percubaan adalah titik terbaik. Lebih daripada itu mula terasa agresif.
Bagi organisasi yang menguruskan persetujuan di pelbagai bidang kuasa dan lini produk, platform pengurusan persetujuan (CMP) berbaloi untuk dilaburkan. Alat seperti OneTrust, Cookiebot, atau TrustArc mengautomasikan pengumpulan persetujuan, mengekalkan jejak audit, dan mengendalikan kerumitan peraturan berbeza di pasaran berbeza.
Ann Handley membuat poin bahawa menghormati data khalayak bukan sekadar kewajipan undang-undang, ia adalah kelebihan daya saing. Dalam dunia di mana pengguna semakin sedar tentang bagaimana data mereka digunakan, jenama yang mengendalikan data dengan berhati-hati mendapat kepercayaan. Kepercayaan mendapat perhatian. Perhatian mendapat pendapatan.
Berhenti Langgan Satu Klik (RFC 8058)
Ini adalah perubahan pematuhan teknikal yang paling ketara dalam beberapa tahun kebelakangan ini.
Google dan Yahoo kini memerlukan pengepala List-Unsubscribe untuk penghantar pukal (sesiapa yang menghantar lebih daripada 5,000 e-mel sehari ke alamat Gmail atau Yahoo). Ini tidak pilihan. Jika anda tidak menyertakan pengepala yang betul, e-mel anda akan semakin banyak ditapis ke spam atau ditolak sepenuhnya.
RFC 8058 menentukan cara kerja berhenti langgan satu klik. E-mel menyertakan dua pengepala: List-Unsubscribe (mengandungi URL HTTPS dan/atau alamat mailto) dan List-Unsubscribe-Post (mengandungi List-Unsubscribe=One-Click). Apabila penerima mengklik berhenti langgan dalam klien e-mel mereka, satu permintaan POST dihantar ke URL. Tiada halaman pendaratan diperlukan. Tiada langkah tambahan. Tiada pengesahan "adakah anda pasti?".
Anda mesti menghormati berhenti langgan dalam masa 2 hari. Bukan 10 hari bekerja seperti keperluan umum CAN-SPAM. Dua hari untuk berhenti langgan satu klik.
Berita baiknya ialah kebanyakan ESP kini mengendalikan ini secara automatik. Klaviyo, Mailchimp, ActiveCampaign, Brevo dan lain-lain menyertakan pengepala yang betul secara lalai. Jika anda menggunakan infrastruktur penghantaran tersuai, anda perlu melaksanakan pengepala sendiri. Pelaksanaannya mudah tetapi perlu diuji dengan teliti.
Jika anda tidak pasti sama ada e-mel anda menyertakan pengepala yang betul, semak. Hantar e-mel ujian kepada diri anda sendiri, lihat sumber mesej mentah, dan cari pengepala List-Unsubscribe dan List-Unsubscribe-Post. Jika ia tiada, hubungi ESP atau pasukan pembangunan anda.
Satu nuansa penting: berhenti langgan satu klik harus menyahlanggan daripada senarai mel tertentu, tidak semestinya daripada semua komunikasi anda. Jika seseorang berhenti langgan daripada e-mel promosi anda melalui satu klik, mereka masih harus menerima e-mel transaksi mereka (pengesahan pesanan, resit, kemas kini penghantaran). Konfigurasikan titik akhir berhenti langgan anda untuk mengendalikan perbezaan ini dengan betul.
Privasi dan Pengendalian Data
Di luar pematuhan kepada peraturan tertentu, terdapat prinsip yang lebih luas: kumpulkan hanya apa yang anda perlukan dan lindungi apa yang anda kumpulkan.
Minimisasi data bukan sekadar keperluan GDPR. Ia adalah amalan yang baik. Setiap data yang anda kumpulkan adalah data yang perlu anda simpan dengan selamat, kekalkan dengan tepat, dan padam apabila sesuai. Jika anda mengumpulkan tarikh lahir, jantina, lokasi, dan saiz syarikat pelanggan, tanya diri anda sama ada anda benar-benar menggunakan semua data itu dalam pemperibadian e-mel anda. Jika jawapannya tidak, berhenti mengumpulkannya. Setiap medan dalam borang pendaftaran anda mengurangkan kadar penukaran, dan setiap titik data yang tidak digunakan meningkatkan tanggungjawab anda.
Persetujuan kuki berinteraksi dengan penjejakan e-mel dengan cara yang tidak dipertimbangkan oleh kebanyakan pemasar. Apabila pelanggan mengklik dari e-mel anda ke laman web anda, laman web anda menjatuhkan kuki untuk analitik dan retargeting. Jika pelanggan itu berada di EU dan belum bersetuju dengan kuki di laman web anda, anda mungkin patuh di sebelah e-mel tetapi tidak patuh di sebelah web. Pastikan sepanduk persetujuan kuki anda mengendalikan trafik klik-terus e-mel dengan betul.
Apple's Mail Privacy Protection (MPP) telah mengubah penjejakan pembukaan secara asasi. MPP membuat-ambil terlebih dahulu kandungan e-mel (termasuk piksel penjejakan) apabila e-mel dihantar, tanpa mengira sama ada penerima benar-benar membukanya. Untuk pengguna Apple Mail, kadar pembukaan anda meningkat secara buatan. Bergantung pada khalayak anda, 40-60% senarai anda mungkin pengguna Apple Mail.
Ini tidak bermakna kadar pembukaan tidak berguna. Ia bermakna ia kurang boleh dipercayai berbanding dahulu. Gunakan kadar klik-terus dan kadar penukaran sebagai metrik penglibatan utama anda. Gunakan kadar pembukaan sebagai penunjuk arah, bukan ukuran yang tepat. Jika kadar pembukaan anda turun 15 mata dalam semalaman, mungkin ada sesuatu yang tidak kena. Tetapi jangan optimumkan untuk variasi kecil kadar pembukaan apabila sebahagian besar pembukaan tersebut dijana oleh mesin.
Arah aliran privasi bergerak dalam satu arah: lebih banyak perlindungan, kurang penjejakan. Peraturan ePrivacy EU, apabila ia akhirnya tiba, berkemungkinan akan mengencangkan peraturan lebih lanjut. Bidang kuasa lain mengikuti jejak Eropah. Bina program e-mel anda di sekitar data pihak pertama (apa yang pelanggan beritahu anda dan apa yang mereka lakukan pada hartanah anda) berbanding penjejakan pihak ketiga. Program yang menyesuaikan diri dengan realiti ini akan mengatasi program yang melawannya.