유럽에서 전자 상거래 시장을 시작하기 위한 법적 요구 사항

게시 됨: 2021-08-12

2018년 3월 Cambridge Analytica-Facebook 데이터 실패가 일반 지식이 되었을 때 전 세계에 파문을 일으켰습니다. 여러 국가의 정부는 대중의 항의를 인지하고 시민들의 데이터 및 개인 정보 보호를 위한 토대를 마련하기 시작했습니다.

유럽연합(EU) 의원들이 주도했다. 데이터 컨트롤러와 프로세서에 새로운 의무와 책임을 부과하면서 오래된 법률 중 일부를 다시 검토하는 동안 수많은 법률과 지침이 만들어졌습니다.

이 유익한 가이드에서는 비즈니스 소유자가 Flubit, ASOS 또는 Allegro와 같은 전자 상거래 시장을 시작하기 전에 알아야 할 유럽 전자 상거래 규정 및 법률에 대한 연구를 제시합니다. 널리 받아 들여지고 구현 된 것으로 시작합시다. GDPR.

내용의 테이블

  • GDPR의 기초
  • GDPR은 전자 상거래 산업에 중요합니다. 여기 이유가 있습니다!
  • 전자상거래, VAT 및 Brexit, 그리고 그것들의 조화
  • 지불 게이트웨이 및 온라인 지불
  • 원거리 판매 지침
  • 지불 카드 산업 – 데이터 보안 표준(PCI DSS) 준수
  • 유럽 ​​WEEE 지침
  • 결론

GDPR의 기초

2018년 5월 25일에 발효된 일반 데이터 보호 규정(GDPR)은 유럽 연합(EU) 및 해당 경제 지역의 데이터 보호 및 개인 정보 보호에 관한 규정입니다. EU 거주자의 데이터를 보호하기 위한 것입니다.

개인 데이터는 식별 가능한 개인을 추적할 수 있는 모든 정보를 말합니다. 이름, 이메일 주소, IP 주소 등이 포함될 수 있습니다.

GDPR은 위치 및/또는 데이터 주체(개인)의 시민권 또는 거주지에 관계없이 모든 비즈니스 또는 기업에 적용됩니다. 유럽 ​​경제 지역(EEA) 내에서 개인의 개인 정보를 처리하거나 EU 고객이 있는 경우 이를 알고 있어야 합니다. GDPR에 명시된 6가지 법적 근거(동의, 계약, 공공 업무, 중요 이익, 정당한 이익 또는 법적 요구 사항)가 있습니다.

합법적인 근거와는 별도로 새로운 규정에 따라 EU의 데이터 주체에게 부여된 특정 권리는 다음과 같습니다.

  • 액세스 권한 은 고객이 자신의 데이터가 어떻게 사용되는지 알 권리가 있음을 의미합니다. 따라서 기업은 이 정보로 개인을 평가해야 합니다.
  • 이전 할 권리는 고객 또는 데이터 주체가 한 회사에서 다른 회사로 데이터를 이전할 권리가 있음을 나타냅니다.
  • 잊혀질 권리 는 고객이 모든 데이터를 삭제하기를 원하는 경우 회사가 요청에 따라야 함을 의미합니다.
  • 정보를 받을 권리 는 고객에게 데이터가 수집되고 있으며 무료 동의를 얻어야 함을 명시적으로 알릴 필요가 있음을 강제합니다.
  • 수정할 권리는 고객에게 최신 데이터가 없거나 잘못된 경우 데이터를 업데이트할 수 있는 권리를 부여합니다.
  • 처리하지 않을 권리 는 고객이 데이터를 처리하지 않도록 선택할 수 있지만 기록은 시스템에 남을 수 있음을 의미합니다.
  • 반대할 권리 는 고객이 다이렉트 마케팅을 위해 처리되지 않도록 데이터를 가져올 수 있음을 의미합니다.

또한 새로운 GDPR 지침에 따라 기업이 준수해야 하는 특정 의무와 권리가 있습니다.

  • 데이터 침해가 발생한 경우 기업은 72시간 이내에 이를 국가 감독 당국에 공개하고 보고해야 합니다.
  • 모든 기업은 대량 데이터 처리의 경우 데이터 보호 책임자(DPO)를 지정해야 합니다.
  • 데이터를 보호하기 위해 기업은 필요한 조치를 취해야 합니다.
  • 기업이 데이터를 수집해야 하는 경우에도 최소한의 필요한 데이터여야 합니다.
  • 기업/기업은 개인 데이터를 수집하기 전에 명시적인 동의를 받아야 합니다.
  • 국제 또는 국내 기업이 데이터 보호 규정을 준수하지 않는 경우 최대 2천만 유로 또는 이전 회계 연도의 연간 전 세계 매출의 4% 중 더 큰 금액의 벌금이 부과될 수 있습니다.

GDPR에 대한 유럽 연합의 의존으로 인해 다른 국가와 국가가 따라야 할 모델이 되었습니다. 칠레, 일본, 브라질, 케냐 및 미국과 같은 국가는 규정과 많은 유사점이 있어 기업과 기업이 따르고 준수해야 하는 글로벌 규칙입니다.

GDPR은 전자 상거래 산업에 중요합니다. 여기 이유가 있습니다!

GDPR은 유럽 및 기타 대륙의 전자 상거래 산업을 재편했습니다. 전자 상거래 영역에서 운영되는 비즈니스는 고객의 개인 데이터를 처리하고 데이터를 수집, 저장 또는 기타 방식으로 사용해야 하는 점을 고려할 때 EU 고객의 데이터 처리로 인해 자체적으로 많은 규정을 따라야 합니다.

  • 사업체는 전자상거래 상점의 연락처를 공개해야 합니다.
  • 유럽에 오프라인 사무실이 없지만 EU에 고객이 있더라도 GDPR을 준수해야 합니다.

비즈니스가 GDPR을 준수하는지 확인하기 위해 특별한 조치를 취하지 않아도 되지만 쿠키 설정과 함께 T&C 및 개인 정보 보호 정책이 최신 상태인지 확인해야 합니다.

참고: 직원 1~10,000명에서 GDPR은 모든 사람에게 적용되지만 기록 보관은 직원이 250명 이상인 회사에만 필요합니다.

GDPR을 준수하기 위해 고려해야 할 특정 측면이 있습니다.

  • 사용자에게 동의 여부에 대한 선택권 및 제어권 부여
  • 사용자에게 옵트인을 요청한다는 것은 사전에 선택된 확인란이 동의로 간주되지 않는다는 것을 의미하므로 사용자가 스스로 '옵트인'해야 합니다.
  • 개인이 동의하는 내용을 명시적으로 강조
  • 동의 요청은 다른 서비스 약관과 분리되어야 합니다.
  • 구체적이어야 합니다. 한 번에 잡으려고 우산을 사용하지 마십시오
  • 명확하고 간결해야 합니다. 이중 부정의 여지가 없습니다.
  • 동의에 의존할 제3자의 이름을 지정해야 합니다.
  • 손쉬운 동의 철회, 그리고 그 방법이 중요합니다.
  • 누가, 언제, 어떻게, 무엇을 전달했는지에 대한 동의 증거를 문서화하고 보관하십시오.
  • 받은 동의를 검토하고 변경 사항이 있으면 업데이트하십시오.
  • 동의를 서비스 사용의 전제 조건으로 삼지 마십시오.

국경 간 지불 및 통화 변환 위험:

유럽 ​​전역의 국경 간 지불 요금은 유로 지역 참여 여부와 상관없이 상호 교환이 가능합니다. 또한, 유로화의 국내 지불은 비용이 많이 들기 때문에 지불 서비스 제공자(PSP)가 다양하게 청구할 수 있습니다.

이 문제를 해결하기 위해 유럽 의회는 지불 규정을 업데이트했습니다. CBPR2 또는 Cross-border Regulation은 환전 수수료의 투명성을 높이고 POS(Point of Sale) 및 ATM에서 기준을 설정할 계획입니다.

PSP는 직접 온라인 신용 카드 송금을 시작하는 사용자에게 다음을 제공해야 합니다.

  • 예상 전환 비용
  • 지불인의 계정 통화로 표시된 예상 총액
  • 지불인의 계정 통화로 지불 서비스 사용자에게 지불될 예상 총액
  • 거래 수수료(있는 경우)
  • 환전 수수료(있는 경우)

CBPR2는 ATM 또는 POS에서 통화 변환을 포함하는 카드 기반 거래를 시작하기 전에 PSP가 지불 서비스 사용자/수취인에게 다음 정보를 공개해야 한다고 추가로 요구합니다.

선언:

  • 환전 수수료 및 사용 환율.

재정 준수:

  • 유럽중앙은행이 발행한 가장 최근의 유로화 환율에 대한 백분율 인상
  • 수취인이 사용하는 통화와 지급인의 PSP 계정 통화로 지불할 총액

보안 충전재:

  • 수취인이 사용하는 통화로 지불하고 이후에 지불인의 PSP에서 통화 변환을 수행할 가능성.
  • 환전 서비스를 거부하고 대신 수취인이 사용하는 통화로 지불할 수 있는 수취인의 권리.

원래 여기에 공유됨

대륙에 걸쳐 다양한 영역에서 수행한 작업 이해

포트폴리오 확인

유럽의 전자상거래법 및 통화 변환:

통화 변환으로 인해 지속적인 통화 교환으로 인해 여러 위험이 ​​발생합니다. 새로운 규정에 따라 사용되는 환율은 항상 거래 당시의 환율입니다. 온라인 상점과 관련된 세 가지 종류의 통화는 다음과 같습니다.

  • 상점 통화 – 보고서에 표시되는 통화이며 제품 및 해당 변형의 가격을 설정하는 데 사용되는 관리자의 통화입니다.
  • 현지 통화 – 고객이 체크아웃 시 주문 비용을 지불하는 데 사용하는 통화이며 매장에서도 볼 수 있습니다.
  • 지불 통화 – 관리자 또는 상점 소유자가 직접 처리할 수 있는 사용자의 은행 계좌에 돈을 입금하는 데 사용되는 통화입니다.

위험:

  • 처리가 지연되거나 환불되는 경우 지속적인 환율 변동으로 인해 돈을 잃거나 얻을 수 있습니다.
  • 상점에서 여러 통화를 취급하는 경우 가격이 자동으로 변환되어 시장 환율로 업데이트됩니다(소액의 변환 수수료도 포함됨).

전자상거래, VAT 및 Brexit, 그리고 그것들의 조화

그레이트 브리튼은 잉글랜드, 웨일스, 스코틀랜드로 구성되어 있으며 2021년 새해 첫날부터 영국에서 수입된 상품에 대한 새로운 VAT 규칙이 있습니다. 북아일랜드는 이제 브렉시트 이후 이중 지위를 갖게 되므로 영국 관세 영역의 일부가 됩니다. 또한 VAT 목적을 위한 EU 단일 시장의 일부입니다.

이제부터 전자 상거래 비즈니스는 문제가 되는 물에 발을 들이지 않도록 특정 기술적인 측면을 처리해야 합니다.

  • 무엇보다도 2021년 7월 1일부터 원스톱 숍 규칙이 발효되었으므로 판매 대상 국가마다 영국 VAT 번호를 신청하세요.
  • 135파운드 미만인 영국으로 배송된 주문에 대해 VAT를 징수합니다.
  • 온라인 마켓플레이스의 경우 책임이 플랫폼으로 이전됩니다.
  • 분기마다 HMRC 에 VAT를 신고 및 송금 합니다.
  • 경제 등록 및 식별(EORI) 번호를 신청하십시오. 이는 세관 신고서에 사용되어 세관 절차 및 문서에서 수출업체를 식별하는 데 도움이 됩니다.
  • 세금 설정을 재평가하고 업데이트하십시오. Avalara를 사용하면 자동으로 수행됩니다.
  • 규칙은 B2B 및 B2C에 따라 다르며 잘못된 코드를 받은 경우 잘못된 관세를 지불하거나 세관에서 상품을 차단할 수 있다는 점을 고려하면 상품 코드가 매우 중요합니다.

지역 회계 담당자 필요:

아직 공식화되지는 않았지만 전자상거래에 대한 새로운 VAT 및 EU 규정에 따라 유럽 27개국 중 19개국에 현지 VAT 담당자가 있어야 합니다. 노르웨이, 호주, 일본 또는 한국은 이미 현지 회계 담당자가 일반적으로 변호사 또는 회계사인 이 협정을 따르고 있습니다.

회계 담당자를 지정하지 않으면 벌금이 부과될 수 있습니다. 귀하의 플랫폼이 세금을 준수하지 않는 경우 이러한 대리인이 책임을 진다는 점을 염두에 두고 상당한 금액의 돈이나 은행 보증을 지불해야 할 수도 있습니다.

지불 게이트웨이 및 온라인 지불

영국 및 유럽 전역에서 고객 사기 사례를 줄이는 데 도움이 되는 강력한 고객 인증(SCA)이 의무화되었습니다. 핀테크 회사인 Silicon Canals에 따르면 전자 상거래 기반 비즈니스는 유럽에서 2022년까지 1조 달러까지 성장할 것으로 예상되며 ECB에 따르면 매년 10억 달러 이상의 유럽 카드 사기가 예상됩니다.

SCA는 대부분의 카드 결제에 필요합니다. SCA를 준수하지 않으면 지불 거래에 실패하고 기타 비용이 많이 드는 결과가 발생할 수 있습니다. 새로운 규정에 따라 고객은 3가지 중 2가지 핵심 정보를 제공하여 신원을 증명할 수 있도록 2단계 인증을 의무화합니다.

  • 그들이 소유 한 것(모바일, 토큰 또는 스마트 카드) ,
  • 그들이 알고 있는 것 (PIN 코드 또는 비밀번호) ,
  • 그것들이 무엇인지 (지문 또는 음성 패턴) .

타사 공급자의 출현으로 경쟁과 복잡성이 더욱 높아졌습니다. 2018년부터 두 가지 유형의 오픈 뱅킹 제공업체가 있으며 둘 다 서로 다른 용도로 사용됩니다.

  • 지불 개시 서비스 제공자(PISP)
  • 계정 정보 서비스 제공자(AISP)

PISP는 사용자 계정 안팎에서 지불을 시작할 수 있는 권한이 있으며 AISP는 은행 및 기관에서 제공한 계정 정보를 검색할 수 있는 권한이 있습니다.

이 두 가지는 Open 베이킹 데이터에 액세스하는 데 필요한 고객 동의를 처리합니다. 간단히 말해서 액세스할 대상, 기간 및 공유 대상을 고객에게 설명합니다.

이전에 이러한 수준의 데이터에 노출된 적이 없는 기업에게는 상황이 압도적일 수 있습니다. 그러나 뉘앙스를 이해하고 관련 법률을 조직에서 구현하여 조직과 주주의 이익을 보호해야 합니다.

온라인 판매자를 위한 혜택:

  • 사기율 감소 및 고객 신뢰 향상
  • 프로세스를 원활하게 만드는 이중 요소 인증.
  • 전자상거래 소비자를 위한 더 많은 옵션

인터넷 기업이 할 수 있는 일:

상황에 따라 적절한 지불 방법을 표시하고 플랫폼에 3D 보안 2단계 표준이 있는지 확인하십시오.

반드시 해야 할 일 외에도 Stripe 에서 설명한 강력한 고객 인증 규정에 대한 몇 가지 예외가 있습니다. 이 규정은 SCA를 트랜잭션에 적용할지 여부를 결정하기 위해 실시간 분석을 수행합니다.

저위험 거래:

저위험 거래는 SCA에서 실시간으로 분석한 후 결제 제공자가 필요하다고 판단하는 경우에만 유효한 것으로 간주됩니다. 그러나 지불 제공자 또는 은행의 전체 사기율의 카드 지불이 다음 임계값을 초과하지 않는 경우 가능한 특정 면제가 있습니다.

  • €100 미만 거래 면제 0.13%
  • 0.06%: €250 미만 거래 면제
  • 0.01%: €500 미만 거래 면제
30유로 미만 결제:

30유로 미만의 거래는 소액 거래로 간주되어 SCA에서 제외될 수 있지만, 이 시나리오가 5회 이상 반복되고 금액이 100유로를 초과하면 은행에서 인증을 요청해야 합니다. 또한 은행은 거래 건수를 확인해야 합니다.

고정 금액 구독:

이 경우 고객의 최초 결제 시 SCA가 필요하며, 이후 결제 시 면제될 수 있습니다.

신뢰할 수 있는 수혜자:

결제에 대한 인증을 완료 하는 동안 고객은 허용 목록에 비즈니스를 추가할 수 있는 옵션이 있으며 이 옵션은 은행의 "신뢰받는 수혜자" 목록에 추가됩니다. 이렇게 하면 인증 실패가 더 적게 발생합니다.

전화 판매:

전화를 통해 수집된 고객의 카드 정보는 SCA에서 제외되며 인증이 필요하지 않습니다.

기업 지불:

여행 부문에서 일반적으로 사용하는 가상 카드 번호를 사용한 결제도 SCA 외부에 있습니다.

판매자 개시 결제:

가맹점의 시스템에 카드가 저장되어 있고 저장된 카드로 결제하는 경우 기술적으로 SCA 범위를 벗어나므로 인증에서 제외됩니다.

원거리 판매 지침

원거리 판매는 간단히 말해서 디지털, 온라인, 우편 등 모든 형태의 매체를 통해 판매하는 것입니다. VAT 등록 인터넷 비즈니스가 영국에서 판매되지만 영국에서는 등록되지 않았지만 유럽의 다른 국가에서는 원격 판매가 됩니다. 이해하기 쉽지는 않지만 유럽에 고객과 잠재 고객이 있는 비즈니스에 매우 중요합니다.

원거리 고객에게 판매하기 전에 다음 정보가 포함되어 있는지 확인하십시오.

  • 업체 이름, 연락처 및 주소
  • 귀하의 비즈니스에 대한 자세한 설명
  • 모든 세금이 포함된 총 가격 및 지불 방법에 대한 지침입니다.
  • 배송료, 일정 및 비용
  • 청구 기간 및 최소 계약 기간
  • 예금, 금융보증 및 계약종료 조건
  • 양식과 함께 주문 취소 기준, 취소 비용(있는 경우) 및 취소 권한이 있을 때까지의 기한

이 모든 정보는 이해하기 쉬운 형식으로 제공되어야 합니다.

이 지침에 따라 전자 상거래 비즈니스는 고객에게 주문이 배송된 후 14일 이내에 취소할 수 있으며 취소 사유가 필요하지 않음을 알려야 합니다.

EU의 이러한 전자 상거래 규칙은 온라인 디지털 서비스를 판매하는 비즈니스에 적용되며 부지런히 따라야 합니다.

지불 카드 산업 – 데이터 보안 표준(PCI DSS) 준수

전자 상거래 비즈니스에서 신용 카드 결제를 허용하는 경우 PCI DSS의 작동 방식과 더 중요한 것은 이것이 비즈니스에 미치는 영향을 알아야 합니다.

많은 측면에서 PCI와 GDPR 범위는 서로 겹치지만 차이점은 목적에 있습니다. GDPR은 인터넷 비즈니스가 데이터를 수집할 때 사용자가 자신의 권리와 의무를 이해하는 매개체 역할을 하지만 보안을 제공하지는 않습니다.

반면 PCI는 카드 소지자 데이터의 보안 및 보호 측면을 직접 처리합니다. 데이터 손실, 침해, 신원 도용 등은 PCI에 해당됩니다. 이 표준에서 고객은 데이터를 많이 제어할 수 없지만 PCI는 서버를 안전하게 유지하고 액세스를 제한하며 완화 및 위험 관리에 중점을 둡니다.

유럽 ​​WEEE 지침

이 지침은 전자 제품을 판매 및 구매하는 비즈니스에 특히 중요합니다. 전기 및 전자 장비 폐기 지침(WEEE)은 모든 유형의 전자 제품에 대한 수집, 재활용 및 회수 목표를 설정합니다.

WEEE에 따라 시장에 출시된 모든 전기 장비는 해당 국가에 등록되어야 하며 해당 국가는 해당 국가에 해당 국가에 등록해야 합니다.

모든 회원국은 시장에 출시된 모든 전기 장비에 대한 연례 보고서를 유지해야 하며 등록된 모든 장비에는 그에 따라 레이블이 지정되어야 합니다.

여러 EU 국가에서 제품을 판매하려는 판매자는 현지 제조업체의 의무를 준수하는지 확인하기 위해 각 국가에 개별적으로 등록해야 하므로 이는 어려운 일이 됩니다. 조직이 이 지침을 준수하지 않을 경우 무거운 벌금이 부과될 수 있습니다.

이 지침이 제조업체에 해야 할 일이 더 많지만 인터넷 비즈니스는 여전히 해당 제품이 주어진 규정을 준수하는지 확인해야 합니다.

당신이 알아야 할 유럽에서 사용되는 몇 가지 일반적인 전문 용어.

GDPR을 조사할 때 보게 될 몇 가지 주요 용어를 정의해 보겠습니다.

  • 데이터 주체: 개인 데이터가 저장, 수집, 공유 또는 덤프되는 사람.
  • 개인 및 개인 데이터: 살아있는 사람을 직간접적으로 식별하는 모든 정보. 예를 들어, 계정 정보, 건강 정보, 나이, 성별, 이메일 주소, 생년월일, 주소, IP 주소 등
  • 데이터 컨트롤러: 개인 데이터가 처리되는 방식을 결정하는 사람입니다.
  • 데이터 프로세서: 컨트롤러를 대신하여 해당 데이터를 처리하는 사람입니다.
  • 프로세서의 의무 – 프로세서는 데이터 컨트롤러의 지침을 따라야 하며 GDPR 준수를 보여줄 수 있어야 합니다.
  • 데이터 보호 책임자 – GDPR, 일반 개인 정보 관리 규정 준수 및 데이터 보호 관행을 감독하기 위해 기업은 GDPR을 감독할 직원이나 서비스 제공자를 임명해야 할 수 있습니다.
  • 개인 정보 영향 평가(PIA) – 개인 정보 영향 평가는 위험을 최소화하고 완화 조치를 식별하기 위해 대규모 데이터 처리에 대해 수행해야 합니다.
  • 위반 통지 – 이해 관계자는 위반 사실을 알게 된 후 72시간 이내에 컨트롤러로부터 통지를 받아야 합니다.

정보 출처

고려해야 할 기타 지침 및 규정:

유럽 ​​저작권 지침(법이 아니라 회원국의 법률 작성 및 초안 작성을 돕기 위한 프레임워크)

  • 결제가 완료되면 고객에게 결제 알림을 보냅니다.
  • 귀하의 비즈니스가 상공 회의소에 등록되어 있는지 확인하십시오.

사용자에게 사전 체크박스를 제공하지 않음

  • 결제 의무화 권고
  • 통화 변환
  • 재고 관리

결론

비즈니스가 유럽 경제 지역(EEA)의 전자 상거래에 대한 법적 규정을 준수하지 않을 경우 직면할 수 있는 조사를 감안할 때 관련 법률을 이해하는 것이 좋습니다. 또한 신규 사업주는 서비스 제공자이자 글로벌 시민으로서 기본적인 권리와 의무를 소홀히 하지 않는지 확인하는 것이 중요합니다. 게다가 그 영향은 대기업보다 중소기업이나 스타트업에 더 심각할 수 있습니다.