邮件合规是那种人们通常置之不理、直到付出代价才后悔的话题。而代价往往相当惨重。
各国对邮件营销的监管环境差异极大。在美国完全合法的做法,在加拿大或澳大利亚可能招致巨额罚款。如果你面向国际用户发送邮件——大多数企业都是如此——就需要了解每个订阅者所在司法管辖区的规定。
这不仅仅是为了避免罚款。合规能建立信任。在消费者比以往任何时候都更注重隐私的今天,信任直接转化为参与度和收入。
本章涵盖主要法规、保持合规的实操步骤,以及影响每位发件人的新兴技术要求。
GDPR(欧盟)
《通用数据保护条例》至今仍是全球最严格、最具影响力的邮件隐私法律。只要你拥有欧盟订阅者,无论你的企业在哪里注册,GDPR 就适用于你。
GDPR 下的同意必须是自由给予、具体明确、知情同意且无歧义的。这是一个很高的门槛。预先勾选的复选框不算数。捆绑式同意("注册即同意接收营销信息")也不算,除非营销同意与服务注册是分开的。沉默不算数。不作为不算数。
你需要明确告知用户他们所订阅的内容。"订阅我们的通讯"是可以接受的。而将"创建账户即表示您同意接收促销通讯"这类文字埋在服务条款第 47 段则不行。
被遗忘权意味着当用户提出要求时,你必须"毫不拖延地"删除其数据。实际操作中,这意味着 30 天以内。这包括你所有系统中的所有个人数据,不只是你的 ESP,还有 CRM 数据、与其邮箱关联的购买历史、分析数据,等等。在收到请求之前就建立一套有据可查的处理流程,因为你终究会收到这类请求。
"设计即隐私"意味着你应当从一开始就将隐私融入系统设计,而不是事后补救。只收集必要的数据,安全存储,在不再需要时及时删除。
对于同意记录,请在向该订阅者最后一次发送邮件后保留 3 至 7 年的文档。记录他们何时同意、如何同意、同意了什么,以及当时向他们展示了哪些信息。如果监管机构询问,你需要证明同意的有效性。在同意时对注册表单截图并加盖时间戳存档,是你最好的防御手段。
每 2 年刷新一次同意。对 24 个月内没有互动的订阅者发起重新确认活动。重新确认的人是真正感兴趣的。不确认的人应当移除。拥有一个规模较小但合规的列表,胜过一个规模庞大但存在法律风险的列表。
GDPR 罚款最高可达年度全球营业额的 4% 或 2000 万欧元,以较高者为准。各行业已有多起重大罚款案例。这不是理论上的风险。
CAN-SPAM(美国)
CAN-SPAM 是主要邮件法规中最宽松的一部,也是最常被误解的。
其核心规则非常直接。不得使用误导性的邮件头、发件人名称或主题行。"发件人"名称应准确代表发送者身份。主题行不得对邮件内容进行欺骗性描述。在没有任何订单的情况下写"Re: 您的订单"属于违规。
每封商业邮件必须包含一个实体邮寄地址。邮政信箱或虚拟办公室地址均可接受。你不需要公布家庭住址。Earth Class Mail 或 iPostal1 等服务提供每月不到 15 美元的虚拟商业地址,足以满足这一要求。
你必须在 10 个工作日内处理退订请求。退订机制在邮件发送后至少 30 天内必须有效。不得要求用户登录才能退订,不得收取费用,不得要求提供邮箱地址以外的任何信息,不得让用户点击五个页面才能完成退订。
以下是大多数人会搞错的地方:从技术上讲,CAN-SPAM 允许你向任何尚未退订的人发送邮件,无需事先获得同意。但"法律允许"和"明智之举"是两回事。向没有主动要求接收信息的人发送邮件会损害你的发件人信誉,引发投诉,并拉低邮件送达率。能做不代表应该做。
违规处罚最高可达每封邮件 51,744 美元。这是每封单独邮件,不是每次活动。向 10,000 人发送的一次活动理论上可能导致超过 5 亿美元的罚款。实际上很少达到这一级别,但 FTC 已追究了多起导致数百万美元罚款的案例。
华盛顿州还有额外规定:误导性主题行每位收件人罚款 500 美元。如果你向华盛顿州居民发送邮件(你很可能有这样的订阅者),你的主题行必须准确无误。
CASL(加拿大)
加拿大反垃圾邮件法规比 CAN-SPAM 严格得多。如果你有加拿大订阅者,请务必认真对待。
CASL 要求在发送商业电子邮件之前获得明示或暗示同意。明示同意是指某人主动同意接收你的邮件。暗示同意的范围比字面意思要窄。
暗示同意存在于两种情况。第一,如果你们之间存在既有商业关系(某人曾向你购买、签订合同或进行咨询),你可以向其发送邮件。但基于购买行为的暗示同意在交易完成后 2 年届满。基于咨询的暗示同意在咨询后 6 个月届满。一旦这些时间窗口关闭,你需要明示同意,否则停止发送。
这意味着你需要一套追踪同意到期日期的系统。如果某人于 2024 年 3 月 15 日向你购买,你的暗示同意将于 2026 年 3 月 15 日到期。你应当在该日期之前发起同意续签活动,趁还有权限联系他们时,将暗示同意转化为明示同意。
处罚十分严厉。企业每次违规最高可被罚款 1000 万加元。CASL 还包含私人诉权,意味着个人可以直接对你提起诉讼。实际影响是,拥有大量加拿大受众的企业往往对所有加拿大联系人都采用明示加入的方式,因为在暗示同意上出错的风险太高。
CCPA(加利福尼亚州)
《加利福尼亚消费者隐私法》并非专门针对邮件的法律,但它影响持有加利福尼亚州居民数据的邮件营销人员。
你必须在收集时提供告知,列出你收集的个人信息类别及收集目的。这适用于你的注册表单和隐私政策。
加利福尼亚州居民有权了解你所收集的个人信息,有权要求删除,以及有权拒绝出售其个人信息。如果你向第三方出售或共享订阅者数据(用于广告、数据增强或列表租用),你需要提供"不出售我的个人信息"机制。
每次无意违规罚款 2,500 美元,每次故意违规罚款 7,500 美元。加利福尼亚州总检察长和加利福尼亚州隐私保护机构均拥有执法权。
CPRA(《加利福尼亚州隐私权法》)扩展了 CCPA,增加了纠正不准确信息的权利,并创建了"敏感个人信息"这一新类别,并附有额外保护措施。如果你在邮件营销中收集精确地理位置、种族或民族背景、健康数据或类似敏感类别信息(通过调查、偏好中心或购买数据),则需遵守 CPRA 的额外要求。
澳大利亚《垃圾邮件法》
鉴于我从澳大利亚视角撰写此文,这一法规值得特别关注。
《2003 年垃圾邮件法》对每封商业电子邮件提出三项要求:同意、发件人身份识别,以及有效的退订机制。
同意可以是明示的(某人主动加入)或推断的(存在既有商业关系)。但与 CAN-SPAM 不同,你不能向未曾加入或与你企业没有既有关系的人发送邮件。在澳大利亚,向购买的列表发送冷邮件是违法的,毫无例外。
每封商业邮件必须清晰标明发件人身份,并包含准确的联系方式。每封邮件必须包含有效的退订机制,且必须在 5 个工作日内处理退订。
处罚相当严重。澳大利亚通信和媒体管理局(ACMA)对严重违规行为每天最高可处以 222 万澳元的罚款。他们已对澳大利亚企业和向澳大利亚收件人发送邮件的国际公司提起诉讼。ACMA 的执法力度正在持续加强,并与国际监管机构协调合作。
对于向国际用户发送邮件的澳大利亚企业,无论收件人身处何地,你仍需遵守《垃圾邮件法》的所有规定。对于向澳大利亚收件人发送邮件的国际企业,《垃圾邮件法》同样适用于你。
冷邮件合规
冷邮件合规是一套因收件人所在地不同而各异的规则拼图。一旦出错,你将面临重大法律风险。
美国(CAN-SPAM): 对于 B2B 冷邮件而言,管辖最宽松的地区。无需事先同意。你必须提供明确的退订机制、实体地址和准确的发件人信息。这也是为什么大多数冷邮件工具和策略都源自美国公司——美国是唯一明确允许在无事先同意的情况下进行 B2B 冷邮件的主要市场。
英国(PECR): 根据"软性加入"原则,B2B 冷邮件是被允许的。如果邮件内容与其职业角色相关,你可以向某人的公司邮箱发送邮件。每封邮件必须包含明确的退订选项。B2C 冷邮件则需要事先同意。脱欧后,英国拥有自己的数据保护制度(英国 GDPR),与欧盟 GDPR 高度相似,但由 ICO 负责执行。
欧盟(ePrivacy 指令): 由于各欧盟成员国对该指令的实施方式不同,规定因国而异。德国最为严格,几乎所有商业邮件(包括 B2B)都需要明示同意。法国、意大利和荷兰基于"正当利益"条款对 B2B 规定相对宽松。大多数欧盟国家允许附带明确退订选项和正当商业理由的 B2B 冷邮件。即将出台的 ePrivacy 条例(已开发多年)可能会统一欧盟各国的相关规定。
加拿大(CASL): 需要同意。你可以利用既有商业关系的暗示同意,但向从未有过互动的人发送冷邮件则需要事先获得明示同意。部分从业者认为公开的商业邮箱地址构成暗示同意,但这一说法尚未在执法中得到明确验证,我不建议依赖这一论点。
澳大利亚(垃圾邮件法): 需要同意。没有既往关系就不能发冷邮件。这是主要司法管辖区中对冷邮件限制最严格的。
实际建议:按司法管辖区维护独立的列表。为每位订阅者标注其所在国家。遵守其所在司法管辖区的规则,而非你所在地的规则。有疑问时,采用更严格的标准。Instantly、Lemlist 和 Apollo 等工具允许按国家筛选潜在客户,这使得基于司法管辖区的合规管理在规模化操作中变得可行。
同意管理实操
理论是一回事,在规模化场景下实现合规的同意收集则是另一回事。
双重确认加入仍然是黄金标准。用户注册后,收到一封确认邮件,点击链接以验证其订阅。这为你提供了清晰有据的同意证明,并消除了虚假注册、拼写错误和垃圾邮件陷阱。是的,你会因用户未完成确认而损失 15% 至 20% 的注册量。但这些人本来也不会成为活跃订阅者。
个性化的同意确认邮件比通用邮件多获得约 15% 的确认率。加入订阅者的姓名,提及他们所注册的内容,并说明他们将收到什么,会让人们更可能点击那个确认按钮。
定期的同意提醒可将同意率提高 25%。如果有人 24 小时内未确认,发送一次提醒。72 小时内仍未确认,再发一次。之后就放手。三次尝试是最佳点,超过这个次数会让人感觉太具攻击性。
对于需要跨多个司法管辖区和产品线管理同意的组织,同意管理平台(CMP)值得投资。OneTrust、Cookiebot 或 TrustArc 等工具可自动化同意收集,维护审计跟踪,并处理不同市场中不同法规的复杂性。
Ann Handley 指出,尊重受众数据不仅是法律义务,更是竞争优势。在消费者日益意识到其数据使用方式的世界里,谨慎对待数据的品牌能赢得信任。信任赢得关注。关注赢得收入。
一键退订(RFC 8058)
这是近年来最重要的技术合规变化。
Google 和 Yahoo 现在要求大批量发件人(每天向 Gmail 或 Yahoo 地址发送超过 5,000 封邮件的人)在邮件中包含 List-Unsubscribe 标头。这不是可选项。如果你不包含正确的标头,你的邮件将越来越多地被过滤到垃圾邮件或被完全拒绝。
RFC 8058 规定了一键退订的工作方式。邮件包含两个标头:List-Unsubscribe(包含一个 HTTPS URL 和/或 mailto 地址)和 List-Unsubscribe-Post(包含 List-Unsubscribe=One-Click)。当收件人在邮件客户端点击退订时,系统向该 URL 发送一个 POST 请求,无需跳转页面,无需额外步骤,无需"确认退订"提示。
你必须在 2 天内处理退订请求。不是 CAN-SPAM 一般要求的 10 个工作日,一键退订需在 2 天内处理。
好消息是,大多数 ESP 现在会自动处理这一点。Klaviyo、Mailchimp、ActiveCampaign、Brevo 等都默认包含正确的标头。如果你使用自定义发送基础设施,则需要自行实现这些标头。实现本身并不复杂,但需要经过彻底测试。
如果你不确定邮件是否包含正确的标头,请检查。给自己发一封测试邮件,查看原始邮件源代码,寻找 List-Unsubscribe 和 List-Unsubscribe-Post 标头。如果缺失,请联系你的 ESP 或开发团队。
一个重要细节:一键退订应当仅退订特定邮件列表,而不一定是所有通讯。如果有人通过一键退订取消了促销邮件,他们仍应收到交易邮件(订单确认、收据、发货通知)。请正确配置你的退订端点来处理这种区别。
隐私与数据处理
除了遵守具体法规之外,还有一个更广泛的原则:只收集你需要的数据,并保护你所收集的数据。
数据最小化不仅仅是 GDPR 的要求,更是良好实践。你收集的每一条数据都需要安全存储、准确维护,并在适当时候删除。如果你收集了订阅者的出生日期、性别、地址和公司规模,请问问自己是否真的在邮件个性化中用到了所有这些数据。如果答案是否定的,就停止收集。注册表单上的每一个字段都会降低转化率,每一个未使用的数据点都会增加你的法律责任。
Cookie 同意与邮件追踪以大多数营销人员未曾考虑过的方式相互作用。当订阅者通过邮件链接访问你的网站时,你的网站会为分析和再营销目的设置 Cookie。如果该订阅者在欧盟且未在你的网站上同意 Cookie,你在邮件端可能合规,但在网络端却不合规。确保你的 Cookie 同意横幅能够正确处理来自邮件点击的流量。
Apple 的邮件隐私保护(MPP)从根本上改变了开信追踪。MPP 在邮件送达时预先加载邮件内容(包括追踪像素),无论收件人是否真正打开了邮件。对于 Apple Mail 用户,你的开信率是被人为夸大的。根据你的受众情况,40% 至 60% 的列表可能是 Apple Mail 用户。
这不意味着开信率毫无价值,而是意味着它比以前更不可靠。以点击率和转化率作为主要参与度指标,将开信率作为方向性指标而非精确衡量。如果你的开信率一夜之间下降 15 个百分点,说明可能出了什么问题。但当大量开信行为是由机器生成时,不要针对细微的开信率变化进行优化。
隐私趋势正朝一个方向发展:更多保护,更少追踪。欧盟的 ePrivacy 条例一旦落地,规则可能会进一步收紧。其他司法管辖区也在跟随欧洲的步伐。围绕第一方数据(订阅者告诉你的信息以及他们在你的平台上的行为)构建你的邮件项目,而非依赖第三方追踪。能够适应这一现实的邮件项目,将比那些抗拒变化的项目表现更好。