郵件合規是那種人們通常置之不理、直到付出代價才後悔的話題。而代價往往相當慘重。
各國對郵件行銷的監管環境差異極大。在美國完全合法的做法,在加拿大或澳大利亞可能招致巨額罰款。如果你面向國際使用者發送郵件——大多數企業都是如此——就需要了解每個訂閱者所在司法管轄區的規定。
這不僅僅是為了避免罰款。合規能建立信任。在消費者比以往任何時候都更注重隱私的今天,信任直接轉化為參與度和收入。
本章涵蓋主要法規、保持合規的實操步驟,以及影響每位發件人的新興技術要求。
GDPR(歐盟)
《通用資料保護條例》至今仍是全球最嚴格、最具影響力的郵件隱私法律。只要你擁有歐盟訂閱者,無論你的企業在哪裡註冊,GDPR 就適用於你。
GDPR 下的同意必須是自由給予、具體明確、知情同意且無歧義的。這是一個很高的門檻。預先勾選的核取方塊不算數。捆綁式同意(「註冊即同意接收行銷資訊」)也不算,除非行銷同意與服務註冊是分開的。沉默不算數。不作為不算數。
你需要明確告知使用者他們所訂閱的內容。「訂閱我們的電子報」是可以接受的。而將「建立帳號即表示您同意接收促銷通訊」這類文字埋在服務條款第 47 段則不行。
被遺忘權意味著當使用者提出要求時,你必須「毫不拖延地」刪除其資料。實際操作中,這意味著 30 天以內。這包括你所有系統中的所有個人資料,不只是你的 ESP,還有 CRM 資料、與其郵箱關聯的購買歷史、分析資料,等等。在收到請求之前就建立一套有據可查的處理流程,因為你終究會收到這類請求。
「設計即隱私」意味著你應當從一開始就將隱私融入系統設計,而不是事後補救。只收集必要的資料,安全儲存,在不再需要時及時刪除。
對於同意記錄,請在向該訂閱者最後一次發送郵件後保留 3 至 7 年的檔案。記錄他們何時同意、如何同意、同意了什麼,以及當時向他們展示了哪些資訊。如果監管機構詢問,你需要證明同意的有效性。在同意時對註冊表單截圖並加蓋時間戳存檔,是你最好的防禦手段。
每 2 年刷新一次同意。對 24 個月內沒有互動的訂閱者發起重新確認活動。重新確認的人是真正感興趣的。不確認的人應當移除。擁有一個規模較小但合規的名單,勝過一個規模龐大但存在法律風險的名單。
GDPR 罰款最高可達年度全球營業額的 4% 或 2000 萬歐元,以較高者為準。各行業已有多起重大罰款案例。這不是理論上的風險。
CAN-SPAM(美國)
CAN-SPAM 是主要郵件法規中最寬鬆的一部,也是最常被誤解的。
其核心規則非常直接。不得使用誤導性的郵件標頭、發件人名稱或主旨列。「發件人」名稱應準確代表發送者身份。主旨列不得對郵件內容進行欺騙性描述。在沒有任何訂單的情況下寫「Re: 您的訂單」屬於違規。
每封商業郵件必須包含一個實體郵寄地址。郵政信箱或虛擬辦公室地址均可接受。你不需要公布家庭住址。Earth Class Mail 或 iPostal1 等服務提供每月不到 15 美元的虛擬商業地址,足以滿足這一要求。
你必須在 10 個工作日內處理退訂請求。退訂機制在郵件發送後至少 30 天內必須有效。不得要求使用者登入才能退訂,不得收取費用,不得要求提供郵箱地址以外的任何資訊,不得讓使用者點擊五個頁面才能完成退訂。
以下是大多數人會搞錯的地方:從技術上講,CAN-SPAM 允許你向任何尚未退訂的人發送郵件,無需事先獲得同意。但「法律允許」和「明智之舉」是兩回事。向沒有主動要求接收資訊的人發送郵件會損害你的發件人信譽,引發投訴,並拉低郵件送達率。能做不代表應該做。
違規處罰最高可達每封郵件 51,744 美元。這是每封單獨郵件,不是每次活動。向 10,000 人發送的一次活動理論上可能導致超過 5 億美元的罰款。實際上很少達到這一級別,但 FTC 已追究了多起導致數百萬美元罰款的案例。
華盛頓州還有額外規定:誤導性主旨列每位收件人罰款 500 美元。如果你向華盛頓州居民發送郵件(你很可能有這樣的訂閱者),你的主旨列必須準確無誤。
CASL(加拿大)
加拿大反垃圾郵件法規比 CAN-SPAM 嚴格得多。如果你有加拿大訂閱者,請務必認真對待。
CASL 要求在發送商業電子郵件之前獲得明示或暗示同意。明示同意是指某人主動同意接收你的郵件。暗示同意的範圍比字面意思要窄。
暗示同意存在於兩種情況。第一,如果你們之間存在既有商業關係(某人曾向你購買、簽訂合約或進行諮詢),你可以向其發送郵件。但基於購買行為的暗示同意在交易完成後 2 年屆滿。基於諮詢的暗示同意在諮詢後 6 個月屆滿。一旦這些時間窗口關閉,你需要明示同意,否則停止發送。
這意味著你需要一套追蹤同意到期日期的系統設定。如果某人於 2024 年 3 月 15 日向你購買,你的暗示同意將於 2026 年 3 月 15 日到期。你應當在該日期之前發起同意續簽活動,趁還有權限聯繫他們時,將暗示同意轉化為明示同意。
處罰十分嚴厲。企業每次違規最高可被罰款 1000 萬加元。CASL 還包含私人訴權,意味著個人可以直接對你提起訴訟。實際影響是,擁有大量加拿大受眾的企業往往對所有加拿大聯繫人都採用明示加入的方式,因為在暗示同意上出錯的風險太高。
CCPA(加利福尼亞州)
《加利福尼亞消費者隱私法》並非專門針對郵件的法律,但它影響持有加利福尼亞州居民資料的郵件行銷人員。
你必須在收集時提供告知,列出你收集的個人資訊類別及收集目的。這適用於你的註冊表單和隱私政策。
加利福尼亞州居民有權了解你所收集的個人資訊,有權要求刪除,以及有權拒絕出售其個人資訊。如果你向第三方出售或共享訂閱者資料(用於廣告、資料增強或名單租用),你需要提供「不出售我的個人資訊」機制。
每次無意違規罰款 2,500 美元,每次故意違規罰款 7,500 美元。加利福尼亞州總檢察長和加利福尼亞州隱私保護機構均擁有執法權。
CPRA(《加利福尼亞州隱私權法》)擴展了 CCPA,增加了糾正不準確資訊的權利,並創建了「敏感個人資訊」這一新類別,並附有額外保護措施。如果你在郵件行銷中收集精確地理位置、種族或民族背景、健康資料或類似敏感類別資訊(透過調查、偏好中心或購買資料),則需遵守 CPRA 的額外要求。
澳大利亞《垃圾郵件法》
鑒於我從澳大利亞視角撰寫此文,這一法規值得特別關注。
《2003 年垃圾郵件法》對每封商業電子郵件提出三項要求:同意、發件人身份識別,以及有效的退訂機制。
同意可以是明示的(某人主動加入)或推斷的(存在既有商業關係)。但與 CAN-SPAM 不同,你不能向未曾加入或與你企業沒有既有關係的人發送郵件。在澳大利亞,向購買的名單發送冷郵件是違法的,毫無例外。
每封商業郵件必須清晰標明發件人身份,並包含準確的聯繫方式。每封郵件必須包含有效的退訂機制,且必須在 5 個工作日內處理退訂。
處罰相當嚴重。澳大利亞通訊和媒體管理局(ACMA)對嚴重違規行為每天最高可處以 222 萬澳元的罰款。他們已對澳大利亞企業和向澳大利亞收件人發送郵件的國際公司提起訴訟。ACMA 的執法力度正在持續加強,並與國際監管機構協調合作。
對於向國際使用者發送郵件的澳大利亞企業,無論收件人身處何地,你仍需遵守《垃圾郵件法》的所有規定。對於向澳大利亞收件人發送郵件的國際企業,《垃圾郵件法》同樣適用於你。
冷郵件合規
冷郵件合規是一套因收件人所在地不同而各異的規則拼圖。一旦出錯,你將面臨重大法律風險。
美國(CAN-SPAM): 對於 B2B 冷郵件而言,管轄最寬鬆的地區。無需事先同意。你必須提供明確的退訂機制、實體地址和準確的發件人資訊。這也是為什麼大多數冷郵件工具和策略都源自美國公司——美國是唯一明確允許在無事先同意的情況下進行 B2B 冷郵件的主要市場。
英國(PECR): 根據「軟性加入」原則,B2B 冷郵件是被允許的。如果郵件內容與其職業角色相關,你可以向某人的公司郵箱發送郵件。每封郵件必須包含明確的退訂選項。B2C 冷郵件則需要事先同意。脫歐後,英國擁有自己的資料保護制度(英國 GDPR),與歐盟 GDPR 高度相似,但由 ICO 負責執行。
歐盟(ePrivacy 指令): 由於各歐盟成員國對該指令的實施方式不同,規定因國而異。德國最為嚴格,幾乎所有商業郵件(包括 B2B)都需要明示同意。法國、義大利和荷蘭基於「正當利益」條款對 B2B 規定相對寬鬆。大多數歐盟國家允許附帶明確退訂選項和正當商業理由的 B2B 冷郵件。即將出台的 ePrivacy 條例(已開發多年)可能會統一歐盟各國的相關規定。
加拿大(CASL): 需要同意。你可以利用既有商業關係的暗示同意,但向從未有過互動的人發送冷郵件則需要事先獲得明示同意。部分從業者認為公開的商業郵箱地址構成暗示同意,但這一說法尚未在執法中得到明確驗證,我不建議依賴這一論點。
澳大利亞(垃圾郵件法): 需要同意。沒有既往關係就不能發冷郵件。這是主要司法管轄區中對冷郵件限制最嚴格的。
實際建議:按司法管轄區維護獨立的名單。為每位訂閱者標注其所在國家。遵守其所在司法管轄區的規則,而非你所在地的規則。有疑問時,採用更嚴格的標準。Instantly、Lemlist 和 Apollo 等工具允許按國家篩選潛在客戶,這使得基於司法管轄區的合規管理在規模化操作中變得可行。
同意管理實操
理論是一回事,在規模化場景下實現合規的同意收集則是另一回事。
雙重確認加入仍然是黃金標準。使用者註冊後,收到一封確認郵件,點擊連結以驗證其訂閱。這為你提供了清晰有據的同意證明,並消除了虛假註冊、拼寫錯誤和垃圾郵件陷阱。是的,你會因使用者未完成確認而損失 15% 至 20% 的註冊量。但這些人本來也不會成為活躍訂閱者。
個人化的同意確認郵件比通用郵件多獲得約 15% 的確認率。加入訂閱者的姓名,提及他們所註冊的內容,並說明他們將收到什麼,會讓人們更可能點擊那個確認按鈕。
定期的同意提醒可將同意率提高 25%。如果有人 24 小時內未確認,發送一次提醒。72 小時內仍未確認,再發一次。之後就放手。三次嘗試是最佳點,超過這個次數會讓人感覺太具攻擊性。
對於需要跨多個司法管轄區和產品線管理同意的組織,同意管理平台(CMP)值得投資。OneTrust、Cookiebot 或 TrustArc 等工具可自動化同意收集,維護審計跟蹤,並處理不同市場中不同法規的複雜性。
Ann Handley 指出,尊重受眾資料不僅是法律義務,更是競爭優勢。在消費者日益意識到其資料使用方式的世界裡,謹慎對待資料的品牌能贏得信任。信任贏得關注。關注贏得收入。
一鍵退訂(RFC 8058)
這是近年來最重要的技術合規變化。
Google 和 Yahoo 現在要求大批量發件人(每天向 Gmail 或 Yahoo 地址發送超過 5,000 封郵件的人)在郵件中包含 List-Unsubscribe 標頭。這不是可選項。如果你不包含正確的標頭,你的郵件將越來越多地被過濾到垃圾郵件或被完全拒絕。
RFC 8058 規定了一鍵退訂的工作方式。郵件包含兩個標頭:List-Unsubscribe(包含一個 HTTPS URL 和/或 mailto 地址)和 List-Unsubscribe-Post(包含 List-Unsubscribe=One-Click)。當收件人在郵件客戶端點擊退訂時,系統向該 URL 發送一個 POST 請求,無需跳轉頁面,無需額外步驟,無需「確認退訂」提示。
你必須在 2 天內處理退訂請求。不是 CAN-SPAM 一般要求的 10 個工作日,一鍵退訂需在 2 天內處理。
好消息是,大多數 ESP 現在會自動處理這一點。Klaviyo、Mailchimp、ActiveCampaign、Brevo 等都預設包含正確的標頭。如果你使用自定義發送基礎設施,則需要自行實現這些標頭。實現本身並不複雜,但需要經過徹底測試。
如果你不確定郵件是否包含正確的標頭,請檢查。給自己發一封測試郵件,查看原始郵件原始碼,尋找 List-Unsubscribe 和 List-Unsubscribe-Post 標頭。如果缺失,請聯繫你的 ESP 或開發團隊。
一個重要細節:一鍵退訂應當僅退訂特定郵件名單,而不一定是所有通訊。如果有人透過一鍵退訂取消了促銷郵件,他們仍應收到交易郵件(訂單確認、收據、出貨通知)。請正確設定你的退訂端點來處理這種區別。
隱私與資料處理
除了遵守具體法規之外,還有一個更廣泛的原則:只收集你需要的資料,並保護你所收集的資料。
資料最小化不僅僅是 GDPR 的要求,更是良好實踐。你收集的每一條資料都需要安全儲存、準確維護,並在適當時候刪除。如果你收集了訂閱者的出生日期、性別、地址和公司規模,請問問自己是否真的在郵件個性化中用到了所有這些資料。如果答案是否定的,就停止收集。註冊表單上的每一個欄位都會降低轉換率,每一個未使用的資料點都會增加你的法律責任。
Cookie 同意與郵件追蹤以大多數行銷人員未曾考慮過的方式相互作用。當訂閱者透過郵件連結訪問你的網站時,你的網站會為分析和再行銷目的設置 Cookie。如果該訂閱者在歐盟且未在你的網站上同意 Cookie,你在郵件端可能合規,但在網路端卻不合規。確保你的 Cookie 同意橫幅能夠正確處理來自郵件點擊的流量。
Apple 的郵件隱私保護(MPP)從根本上改變了開信追蹤。MPP 在郵件送達時預先載入郵件內容(包括追蹤像素),無論收件人是否真正開啟了郵件。對於 Apple Mail 使用者,你的開信率是被人為誇大的。根據你的受眾情況,40% 至 60% 的名單可能是 Apple Mail 使用者。
這不意味著開信率毫無價值,而是意味著它比以前更不可靠。以點擊率和轉換率作為主要參與度指標,將開信率作為方向性指標而非精確衡量。如果你的開信率一夜之間下降 15 個百分點,說明可能出了什麼問題。但當大量開信行為是由機器產生時,不要針對細微的開信率變化進行最佳化。
隱私趨勢正朝一個方向發展:更多保護,更少追蹤。歐盟的 ePrivacy 條例一旦落地,規則可能會進一步收緊。其他司法管轄區也在跟隨歐洲的步伐。圍繞第一方資料(訂閱者告訴你的資訊以及他們在你的平台上的行為)構建你的郵件專案,而非依賴第三方追蹤。能夠適應這一現實的郵件專案,將比那些抗拒變化的專案表現更好。