Соблюдение требований к электронной почте — одна из тех тем, которые люди игнорируют, пока это не начинает стоить им денег. А стоить это может очень много.
Нормативная среда для email-маркетинга кардинально различается в зависимости от страны. То, что совершенно законно в США, может повлечь огромные штрафы в Канаде или Австралии. Если вы рассылаете письма на международном уровне — а большинство компаний именно так и делает — вы обязаны понимать правила в каждой юрисдикции, где живут ваши подписчики.
Речь идёт не только об избежании штрафов. Соблюдение требований формирует доверие. В эпоху, когда потребители осознают ценность конфиденциальности как никогда прежде, доверие напрямую конвертируется в вовлечённость и доходы.
В этой главе рассмотрены основные нормативные акты, практические шаги по соблюдению требований и новые технические стандарты, которые затрагивают каждого отправителя.
GDPR (ЕС)
Общий регламент по защите данных по-прежнему остаётся самым строгим и влиятельным законом о конфиденциальности email в мире. Если у вас есть подписчики из ЕС, GDPR распространяется на вас вне зависимости от того, где зарегистрирован ваш бизнес.
Согласие по GDPR должно быть добровольным, конкретным, информированным и однозначным. Это высокая планка. Предварительно отмеченные флажки не засчитываются. Связанное согласие («зарегистрируйтесь и примите маркетинг») не засчитывается, если согласие на маркетинг не отделено от регистрации в сервисе. Молчание не засчитывается. Бездействие не засчитывается.
Вы должны чётко сообщать людям, на что именно они подписываются. «Подпишитесь на наш новостной бюллетень» — приемлемо. «Создавая аккаунт, вы соглашаетесь получать рекламные сообщения», зарытое в 47-м пункте пользовательского соглашения, — нет.
Право на забвение означает, что вы обязаны удалить данные человека «без неоправданной задержки» по его запросу. На практике это означает в течение 30 дней. Это включает все персональные данные во всех ваших системах — не только в ESP. Данные CRM, историю покупок, привязанную к адресу электронной почты, аналитические данные — всё. Создайте задокументированный процесс обработки таких запросов до того, как получите первый — потому что он обязательно придёт.
Принцип «конфиденциальность по умолчанию и по замыслу» означает, что системы нужно проектировать с учётом защиты данных с самого начала, а не добавлять её постфактум. Собирайте только необходимое. Храните надёжно. Удаляйте, когда данные больше не нужны.
Для записей о согласии храните документацию в течение 3–7 лет после последней отправки этому подписчику. Фиксируйте: когда дали согласие, каким способом, на что именно, какая информация была представлена в тот момент. Если регулятор спросит, вы должны доказать, что согласие было действительным. Снимки экрана ваших форм подписки на момент получения согласия с временными метками и в архиве — ваша лучшая защита.
Обновляйте согласие каждые 2 года. Отправьте кампанию за повторным разрешением подписчикам, от которых не было активности 24 месяца. Те, кто подтверждает повторно, действительно заинтересованы. Остальных следует удалить. Лучше иметь небольшой список, соответствующий требованиям, чем большой, но юридически сомнительный.
Штрафы по GDPR могут достигать 4% годового мирового оборота или 20 миллионов евро — в зависимости от того, что больше. Значительные штрафы уже были наложены в разных отраслях. Это не теоретический риск.
CAN-SPAM (США)
CAN-SPAM — наиболее либеральный из основных нормативных актов об email. И одновременно — наиболее неверно трактуемый.
Ключевые правила просты. Не используйте вводящие в заблуждение заголовки, имена отправителей или темы писем. Поле «От:» должно точно отражать, кто отправляет письмо. Тема не должна вводить в заблуждение относительно содержимого. «Re: Ваш заказ», когда никакого заказа не было, является нарушением.
Каждое коммерческое письмо должно содержать физический почтовый адрес. Почтовый ящик или адрес виртуального офиса приемлемы. Публиковать домашний адрес не требуется. Сервисы вроде Earth Class Mail или iPostal1 предоставляют виртуальные бизнес-адреса, удовлетворяющие этому требованию, менее чем за $15 в месяц.
Запросы на отказ от подписки должны быть выполнены в течение 10 рабочих дней. Механизм отписки должен работать минимум 30 дней после отправки письма. Не требуйте входа в аккаунт для отписки. Не взимайте плату. Не требуйте данных сверх адреса электронной почты. Не заставляйте кликать через пять страниц для завершения процесса.
Большинство людей неправильно понимают вот что: технически CAN-SPAM позволяет отправлять письма любому, кто не отписался. Предварительное согласие не нужно. Но «законно разрешено» и «хорошая идея» — разные вещи. Рассылка людям, которые не просили о ней, разрушает репутацию отправителя, генерирует жалобы и снижает доставляемость. То, что вы можете, не означает, что нужно.
Нарушения грозят штрафами до $51 744 за одно письмо. За каждое отдельное письмо, а не за кампанию. Кампания на 10 000 получателей теоретически может повлечь штрафы более $500 миллионов. До таких цифр доходит редко, но FTC уже возбуждала дела, завершившиеся многомиллионными санкциями.
В штате Вашингтон действует дополнительный уровень: $500 с получателя за вводящие в заблуждение темы. Если вы рассылаете письма жителям Вашингтона (а вы, вероятно, это делаете), ваши темы должны быть точными.
CASL (Канада)
Канадское законодательство о спаме значительно строже CAN-SPAM. Если у вас есть канадские подписчики, уделите этому пристальное внимание.
CASL требует явного или подразумеваемого согласия перед отправкой коммерческих электронных сообщений. Явное согласие означает, что человек активно согласился получать ваши письма. Подразумеваемое согласие уже, чем кажется.
Подразумеваемое согласие существует в двух ситуациях. Во-первых, если у вас есть действующие деловые отношения (кто-то купил у вас, заключил контракт или сделал запрос), вы можете отправлять ему письма. Но подразумеваемое согласие, основанное на покупке, истекает через 2 года после сделки. Подразумеваемое согласие на основании запроса истекает через 6 месяцев. По истечении этих сроков нужно явное согласие, иначе следует прекратить рассылку.
Это означает, что вам нужна система отслеживания дат истечения согласия. Если кто-то купил у вас 15 марта 2024 года, подразумеваемое согласие истекает 15 марта 2026 года. Задолго до этой даты следует запустить кампанию по обновлению согласия — перевести подразумеваемое согласие в явное, пока у вас ещё есть право связываться с этими людьми.
Штрафы суровые. До $10 миллионов CAD за нарушение для компаний. CASL также включает право частного иска, то есть физические лица могут подать на вас в суд напрямую. На практике это означает, что компании со значительной канадской аудиторией нередко по умолчанию применяют явный opt-in для всех канадских контактов: риск ошибиться с подразумеваемым согласием слишком высок.
CCPA (Калифорния)
Закон Калифорнии о защите прав потребителей в области конфиденциальности не является специфическим законом об email, но затрагивает email-маркетологов, хранящих данные о жителях Калифорнии.
Вы должны предоставить уведомление в момент сбора данных с перечислением категорий собираемой персональной информации и целей сбора. Это применяется к формам подписки и политике конфиденциальности.
Жители Калифорнии имеют право знать, какие данные вы собрали, право на их удаление и право отказаться от продажи их персональной информации. Если вы продаёте или передаёте данные подписчиков третьим лицам (для рекламы, обогащения данных или аренды списков), вам необходим механизм «Не продавать мои личные данные».
Штрафы составляют $2 500 за непреднамеренное нарушение и $7 500 за умышленное. Полномочиями по исполнению обладают как Генеральный прокурор Калифорнии, так и Агентство по защите конфиденциальности Калифорнии.
CPRA (Закон Калифорнии о правах в области конфиденциальности) расширил CCPA: добавил право на исправление неточной информации и создал новую категорию «чувствительных персональных данных» с дополнительными средствами защиты. Если вы собираете точные геолокационные данные, расовое или этническое происхождение, данные о здоровье или аналогичные чувствительные категории в email-маркетинге (через опросы, центры предпочтений или данные о покупках), применяются дополнительные требования CPRA.
Австралийский закон о спаме
Поскольку я пишу это с австралийской точки зрения, этот закон заслуживает особого внимания.
Spam Act 2003 предъявляет три требования к каждому коммерческому электронному сообщению: согласие, идентификация отправителя и работающая кнопка отписки.
Согласие может быть явным (кто-то подписался) или выведенным (существуют деловые отношения). Но в отличие от CAN-SPAM, нельзя отправлять письма тому, кто не подписался или не имеет существующих отношений с вашим бизнесом. Холодная рассылка по купленным спискам в Австралии незаконна. Без исключений.
Каждое коммерческое письмо должно чётко идентифицировать отправителя и включать актуальные контактные данные. Каждое письмо должно содержать работающий механизм отписки, который выполняется в течение 5 рабочих дней.
Санкции весомые. Австралийское управление по коммуникациям и СМИ (ACMA) может налагать штрафы до $2,22 млн AUD в день за серьёзные нарушения. Дела возбуждались как против австралийских компаний, так и против международных организаций, рассылающих письма австралийским получателям. ACMA всё активнее проводит правоприменение и координирует действия с международными регуляторами.
Австралийские компании, рассылающие письма международной аудитории, всё равно обязаны соблюдать Spam Act для всех сообщений, отправляемых из Австралии, вне зависимости от местонахождения получателя. Если вы иностранная компания, рассылающая письма австралийским получателям, Spam Act распространяется и на вас.
Соответствие требованиям при холодной рассылке
Соблюдение требований при холодных письмах — это мозаика из разных правил в зависимости от местонахождения получателей. Ошибитесь — и вы столкнётесь с серьёзными правовыми рисками.
США (CAN-SPAM): Наиболее либеральная юрисдикция для холодной рассылки B2B. Предварительного согласия не требуется. Необходимо включить чёткий механизм отказа, физический адрес и точные данные об отправителе. Именно поэтому большинство инструментов и стратегий холодных писем берут начало в американских компаниях. США — единственный крупный рынок, где холодные письма B2B однозначно легальны без предварительного согласия.
Великобритания (PECR): Холодные письма B2B разрешены по принципу «мягкого opt-in». Можно написать человеку на рабочий адрес, если сообщение релевантно его профессиональной роли. В каждом письме должен быть чёткий вариант отказа. Холодные письма B2C требуют предварительного согласия. После Brexit у Великобритании собственный режим защиты данных (UK GDPR), тесно отражающий европейский GDPR, но исполняемый ICO.
Европейский союз (Директива ePrivacy): Ситуация различается по странам, поскольку каждое государство-член ЕС реализовало директиву по-своему. Германия самая строгая: требует согласия opt-in практически для всей коммерческой почты, включая B2B. Франция, Италия и Нидерланды более либеральны в отношении B2B по положениям о законном интересе. В большинстве стран ЕС допускается холодная рассылка B2B при наличии чёткой возможности отказа и обоснованной деловой причины. Готовящийся Регламент ePrivacy (разрабатывается уже много лет) может унифицировать эти правила по всему ЕС.
Канада (CASL): Требуется согласие. Можно использовать подразумеваемое согласие при наличии действующих деловых отношений, но холодное обращение к людям, с которыми вы никогда не взаимодействовали, требует предварительного явного согласия. Некоторые специалисты утверждают, что публично размещённый рабочий email создаёт подразумеваемое согласие, но это не было однозначно подтверждено в практике правоприменения. Я бы не полагался на этот аргумент.
Австралия (Spam Act): Требуется согласие. Холодные письма без предшествующих отношений недопустимы. Это наиболее ограничительная из основных юрисдикций в отношении холодного обращения.
Практический вывод: ведите отдельные списки по юрисдикциям. Помечайте каждого подписчика страной. Применяйте правила его юрисдикции, а не своей. При сомнениях применяйте более строгий стандарт. Инструменты Instantly, Lemlist и Apollo позволяют фильтровать потенциальных клиентов по стране, что делает управление соответствием требованиям по юрисдикциям реализуемым в масштабе.
Практическое управление согласием
Теория — одно. Реализация согласованного со всеми требованиями сбора согласия в масштабе — совсем другое.
Двойное подтверждение по-прежнему является золотым стандартом. Человек подписывается, получает письмо-подтверждение и нажимает ссылку, чтобы верифицировать подписку. Это даёт вам чёткое документальное подтверждение согласия и устраняет фиктивные регистрации, опечатки и спам-ловушки. Да, вы потеряете 15–20% записавшихся, которые не подтвердят. Но они и так не стали бы вовлечёнными подписчиками.
Персонализированные письма-подтверждения дают примерно на 15% больше подтверждений, чем шаблонные. Упомянуть имя подписчика, сослаться на то, на что он подписался, и объяснить, что он будет получать, — всё это повышает вероятность клика по кнопке подтверждения.
Регулярные напоминания о согласии повышают долю подтверждений на 25%. Если кто-то не подтвердил за 24 часа — отправьте напоминание. Если и через 72 часа нет подтверждения — ещё одно. Потом отпустите. Три попытки — оптимальное количество. Больше — начинает выглядеть как навязчивость.
Для организаций, управляющих согласием в нескольких юрисдикциях и линейках продуктов, платформа управления согласием (CMP) оправдывает вложения. Инструменты вроде OneTrust, Cookiebot или TrustArc автоматизируют сбор согласий, ведут журналы аудита и справляются со сложностью различных нормативных требований в разных рынках.
Энн Хэндли отмечает: уважение к данным аудитории — не просто юридическая обязанность, это конкурентное преимущество. В мире, где потребители всё больше осознают, как используются их данные, бренды, которые обращаются с данными ответственно, завоёвывают доверие. Доверие завоёвывает внимание. Внимание завоёвывает доход.
Отписка в один клик (RFC 8058)
Это наиболее значимое техническое изменение в области соответствия требованиям за последние годы.
Google и Yahoo теперь требуют заголовков List-Unsubscribe от массовых отправителей (тех, кто рассылает более 5 000 писем в день на адреса Gmail или Yahoo). Это не опция. Если вы не включите нужные заголовки, ваши письма будут всё чаще попадать в спам или отклоняться полностью.
RFC 8058 определяет, как работает отписка в один клик. Письмо содержит два заголовка: List-Unsubscribe (с URL HTTPS и/или mailto-адресом) и List-Unsubscribe-Post (со значением List-Unsubscribe=One-Click). Когда получатель нажимает «Отписаться» в почтовом клиенте, на URL отправляется одиночный POST-запрос. Никакой посадочной страницы. Никаких лишних шагов. Никаких подтверждений «вы уверены?».
Отписку нужно обработать в течение 2 дней. Не 10 рабочих дней, как общее требование CAN-SPAM. Два дня для отписки в один клик.
Хорошая новость: большинство ESP сейчас обрабатывают это автоматически. Klaviyo, Mailchimp, ActiveCampaign, Brevo и другие включают правильные заголовки по умолчанию. Если вы используете собственную отправочную инфраструктуру, вам потребуется реализовать заголовки самостоятельно. Реализация несложная, но требует тщательного тестирования.
Если вы не уверены, содержат ли ваши письма нужные заголовки — проверьте. Отправьте себе тестовое письмо, откройте исходный код сообщения и найдите заголовки List-Unsubscribe и List-Unsubscribe-Post. Если их нет — свяжитесь с ESP или командой разработчиков.
Важный нюанс: отписка в один клик должна отписывать от конкретного списка рассылки, но не обязательно от всех ваших коммуникаций. Если кто-то отписался от рекламных писем одним кликом, он по-прежнему должен получать транзакционные сообщения (подтверждения заказов, квитанции, уведомления о доставке). Настройте endpoint отписки так, чтобы он правильно обрабатывал это различие.
Конфиденциальность и обращение с данными
Помимо соблюдения конкретных нормативных актов, существует более широкий принцип: собирайте только то, что нужно, и защищайте то, что собрали.
Минимизация данных — не только требование GDPR. Это хорошая практика. Каждый собранный фрагмент данных нужно надёжно хранить, точно поддерживать и удалять при необходимости. Если вы собираете дату рождения, пол, местоположение и размер компании подписчика, спросите себя: действительно ли вы используете все эти данные в персонализации писем? Если нет — прекратите их собирать. Каждое поле в форме подписки снижает конверсию, а каждая неиспользуемая точка данных увеличивает вашу ответственность.
Согласие на файлы cookie взаимодействует с отслеживанием email-рассылок способами, о которых большинство маркетологов не задумывается. Когда подписчик переходит по ссылке в письме на ваш сайт, сайт устанавливает файлы cookie для аналитики и ретаргетинга. Если этот подписчик из ЕС и не давал согласия на файлы cookie на вашем сайте, вы можете соответствовать требованиям со стороны email, но нарушать их со стороны веба. Убедитесь, что ваш баннер согласия на файлы cookie корректно обрабатывает трафик из переходов по ссылкам в письмах.
Apple Mail Privacy Protection (MPP) коренным образом изменила отслеживание открытий. MPP предварительно загружает содержимое письма (включая пиксели отслеживания) в момент доставки — вне зависимости от того, открыл ли получатель письмо на самом деле. Для пользователей Apple Mail ваши показатели открытий искусственно завышены. В зависимости от аудитории, 40–60% вашего списка могут быть пользователями Apple Mail.
Это не значит, что показатели открытий бесполезны. Это значит, что они менее надёжны, чем раньше. Используйте CTR и конверсию как основные метрики вовлечённости. Используйте показатель открытий как ориентировочный индикатор, а не точный измеритель. Если открываемость за ночь упала на 15 пунктов — скорее всего, что-то пошло не так. Но не оптимизируйте под незначительные колебания показателя открытий, когда значительная часть этих открытий сгенерирована машинами.
Тенденции в области конфиденциальности движутся в одном направлении: больше защиты, меньше отслеживания. Регламент ePrivacy ЕС, когда наконец вступит в силу, вероятно, ужесточит правила ещё больше. Другие юрисдикции следуют европейскому примеру. Стройте свою email-программу вокруг данных первой стороны (то, что подписчики сообщают вам напрямую, и то, что они делают на ваших ресурсах), а не вокруг стороннего отслеживания. Программы, которые адаптируются к этой реальности, обгонят те, которые ей противятся.