在欧洲启动电子商务市场的法律要求

已发表: 2021-08-12

2018 年 3 月,当 Cambridge Analytica-Facebook 数据惨败成为常识时,它在全球范围内引起了涟漪。 一些国家的政府注意到公众的强烈抗议,并开始为其公民的数据和隐私保护奠定基础。

欧盟(EU)立法者领导了这项指控。 制定了许多法律和指令,同时重新审视了一些过时的法律,对数据控制者和处理者施加了新的义务和责任。

在这份内容丰富的指南中,我们介绍了我们对欧洲电子商务法规和法律的研究,企业主在启动 Flubit、ASOS 或 Allegro 等电子商务市场之前应了解这些法规和法律。 让我们从被广泛接受和实施的开始; GDPR。

表中的内容

  • GDPR 的基础知识
  • GDPR 对电子商务行业很重要。 这就是为什么!
  • 电子商务、增值税和英国退欧,以及它们的工作和谐
  • 支付网关和在线支付
  • 远程销售指令
  • 支付卡行业 – 数据安全标准 (PCI DSS) 合规性
  • 欧洲 WEEE 指令
  • 结论

GDPR 的基础知识

于 2018 年 5 月 25 日生效的通用数据保护条例 (GDPR) 是关于欧盟 (EU) 及其经济领域的数据保护和隐私的条例。 这是为了保护欧盟居民的数据。

个人数据是指可以追溯到可识别个人的任何信息。 它可能包括姓名、电子邮件地址、IP 地址等。

GDPR 适用于任何企业或企业,无论其位置和/或数据主体(个人)的公民身份或居住地如何。 如果您正在处理欧洲经济区 (EEA) 内个人的个人信息,或者您有欧盟客户,则需要注意这一点。 GDPR 规定了六种合法基础(同意、合同、公共任务、切身利益、合法利益或法律要求)。

除法律依据外,新法规赋予欧盟数据主体某些权利,具体如下:

  • 访问权意味着客户有权知道他们的数据是如何被使用的。 因此,企业需要利用这些信息对个人进行评估。
  • 转移权表明客户或数据主体有权将其数据从一家公司转移到另一家公司。
  • 被遗忘权意味着如果客户希望删除其所有数据,公司必须遵守要求。
  • 知情权强制要求客户需要被明确告知他们的数据正在被收集并且必须获得自由同意。
  • 更正权赋予客户在数据过期或不正确时更新其数据的权利。
  • 不处理权意味着客户可以选择不处理他们的数据,但他们的记录可以保留在系统中。
  • 反对权意味着客户可以选择不为直接营销处理他们的数据。

此外,根据新的 GDPR 指南,企业必须遵守某些义务和权利:

  • 如果发生数据泄露,企业必须在 72 小时内向国家监管机构披露并报告。
  • 在处理批量数据时,所有企业都必须任命一名数据保护官 (DPO)。
  • 为了保护数据,企业必须采取必要的行动。
  • 即使企业必须收集数据,也必须是最低要求。
  • 企业/企业在收集个人数据之前必须获得明确同意。
  • 如果国际或国内企业不遵守数据保护法规,他们可能会被处以最高2000 万欧元或上一财政年度全球年营业额 4% 的罚款,以较高者为准。

由于欧盟对GDPR的依赖,它已成为其他国家和州效仿的典范。 智利、日本、巴西、肯尼亚和美利坚合众国等国家的法规与其法规有许多相似之处,使其成为企业和企业必须遵循和遵守的全球规则。

GDPR 对电子商务行业很重要。 这就是为什么!

GDPR 重塑了欧洲和其他大陆的电子商务行业。 考虑到在电子商务领域运营的企业必须处理客户的个人数据,并收集、存储或以其他方式使用数据,由于欧盟客户的数据处理,他们自己需要遵守大量的法规。

  • 企业必须披露其电子商务商店的联系方式。
  • 即使您在欧洲没有实体办事处,但在欧盟有客户,您也必须遵守 GDPR。

尽管企业不必做任何不寻常的事情来确保其业务符合 GDPR,但他们仍然需要确保其 T&C 和隐私政策以及 Cookie 设置是最新的。

注意:从 1 到 10,000 名员工,GDPR 适用于所有人,但只有拥有 250 多名员工的公司才需要保存记录。

为了符合 GDPR,您需要考虑某些方面:

  • 让用户选择和控制他们是否同意
  • 要求用户选择加入意味着预先选中的框不会被视为同意,因此用户必须自己“选择加入”
  • 明确强调个人同意的内容
  • 同意请求应与其他服务条款分开
  • 请明确点; 不要用伞的方式一下子抓到所有
  • 简洁明了:没有双重否定的余地
  • 必须指定依赖同意的第三方
  • 轻松撤回同意,以及如何做到这一点很重要
  • 记录并保存同意的证据,包括谁同意、何时、如何以及当时传达的信息是什么
  • 查看您收到的同意书,如果有任何变化,请更新
  • 避免将同意作为使用您的服务的先决条件

跨境支付和货币兑换风险:

无论其是否参与欧元区,整个欧洲的跨境支付费用都是可以互换的。 此外,欧元的国内支付成本非常高,允许支付服务提供商 (PSP) 收取不同的费用。

为了解决这个问题,欧洲议会更新了其支付规定。 CBPR2 或跨境监管计划引入更高的货币兑换费用透明度,并在 POS(销售点)和 ATM 设置标准。

PSP 必须向发起直接在线信用卡转账的用户提供以下信息:

  • 估计的转换费用
  • 付款人账户货币的估计总金额
  • 以付款人帐户货币支付给支付服务用户的估计总金额
  • 交易费,如果有的话
  • 货币兑换费(如果有)

CBPR2 进一步要求,在涉及在 ATM 或 POS 进行货币兑换的任何基于卡的交易开始之前,PSP 必须向支付服务用户/收款人披露以下信息:

宣言:

  • 货币转换费用以及使用的汇率。

财政合规:

  • 欧洲中央银行发布的最新欧元外汇汇率的百分比加成
  • 以收款人使用的货币和付款人 PSP 账户的货币支付的总金额

安全填充物:

  • 以收款人使用的货币付款并随后由付款人的 PSP 执行货币转换的可能性。
  • 收款人有权拒绝货币兑换服务,代之以收款人使用的货币进行支付。

最初在这里分享

了解我们在各大洲的各个领域所做的工作

检查投资组合

欧洲电子商务法和货币兑换:

由于货币兑换,货币的不断兑换会产生一些风险。 根据新规定,所使用的货币汇率应始终为交易时的汇率。 与在线商店相关的三种货币是

  • 商店货币 – 它是出现在报告中的货币,属于管理员,用于为您的产品及其变体设置价格。
  • 本地货币 – 这是客户在结账时用于支付订单的货币,在您的商店中也可以看到。
  • 支付货币 – 用于将钱存入用户银行账户的货币,可由管理员或直接由店主负责。

风险:

  • 如果处理延迟或退款,由于货币汇率的持续波动,您可能会亏损或赚钱。
  • 如果您的商店以多种货币进行交易,价格会自动转换并根据市场汇率进行更新(还涉及少量转换费用)。

电子商务、增值税和英国退欧,以及它们的工作和谐

英国由英格兰、威尔士和苏格兰组成,自 2021 年元旦起对从英国进口的商品实施新的增值税规定。北爱尔兰在脱欧后拥有双重身份,因此它们将成为英国关税区的一部分,但也是欧盟单一市场的一部分,用于增值税目的。

今后,电子商务企业需要注意某些技术方面的问题,以确保他们不会陷入困境:

  • 首先,自从一站式商店规则于 2021 年 7 月 1 日生效以来,在您销售的每个国家/地区申请英国增值税号。
  • 对运往英国且重量低于 135 磅的订单收取增值税,
  • 在在线市场的情况下,责任转移到平台上。
  • 每季度HMRC提交增值税并缴纳增值税
  • 申请经济登记和识别 (EORI) 号码; 它用于报关单,有助于在海关程序和文件中识别出口商。
  • 重新评估和更新您的税务设置; 如果您使用 Avalara,它将自动完成。
  • B2B 和 B2C 的规则各不相同,商品代码至关重要,考虑到如果您输入了错误的代码,您最终可能会支付错误的关税或让您的商品被海关封锁。

需要当地财政代表:

尽管尚未正式生效,但据信,根据新的增值税和欧盟电子商务法规,欧洲 27 个国家中有 19 个国家需要有当地的增值税代表。 挪威、澳大利亚、日本或韩国已经在遵循这种安排,当地财政代表通常是律师或会计师。

未能任命财政代表可能会导致罚款。 请记住,如果您的平台不符合税务规定,这些代表将承担责任,您可能需要向他们支付大量金钱或银行担保。

支付网关和在线支付

强制客户身份验证 (SCA) 有助于减少英国和欧洲的客户欺诈案件。 根据金融科技公司 Silicon Canals 的数据,到 2022 年,欧洲基于电子商务的业务预计将增长到 1 万亿美元,而根据欧洲央行的数据,预计欧洲卡上的欺诈行为每年将超过 10 亿美元。

大多数信用卡支付都需要 SCA。 不遵守 SCA 可能会导致支付交易失败以及其他代价高昂的后果。 根据新规定,双重身份验证是强制性的,客户将提供三分之二的关键信息来证明其身份,具体如下:

  • 他们拥有的东西(手机、令牌或智能卡)
  • 他们知道的东西(PIN 码或密码)
  • 它们是什么(指纹或语音模式)

第三方提供商的出现进一步增加了竞争和复杂性。 自 2018 年以来,有两种类型的开放银行服务提供商,都服务于不同的目的。

  • 支付发起服务提供商 (PISP)
  • 帐户信息服务提供商 (AISP)

PISP 被授权在用户账户的内外进行支付,而 AISP 有权检索银行和机构提供的账户信息。

这两个处理访问开放烘焙数据所需的客户同意。 简而言之,他们向客户解释将访问哪些内容、访问多长时间以及与谁共享。

对于以前没有接触过这种级别的数据的企业来说,事情可能是压倒性的,但是,了解其中的细微差别,相关法律应该由组织实施,以保护他们和他们的股东的利益。

对在线商家的好处:

  • 降低欺诈率并增加对客户的信任
  • 双重身份验证,使过程更顺畅。
  • 为电子商务消费者提供更多选择

互联网企业可以做什么:

根据上下文显示适当的付款方式,并确保您的平台具有 3D 安全 2 因素标准。

除了必须做的事情之外, Stripe已经解释了强客户身份验证法规还有一些例外情况,该法规进行实时分析以确定是否将 SCA 应用于交易。

低风险交易:

仅当支付提供商在对其进行实时分析后认为有必要时,才认为低风险交易对 SCA 有效。 但是,如果支付提供商或银行的卡支付的总体欺诈率不超过以下阈值,则可能存在某些豁免:

  • 0.13% 豁免低于 100 欧元的交易
  • 0.06% 用于豁免 250 欧元以下的交易
  • 0.01% 豁免 500 欧元以下的交易
低于 30 欧元的付款:

低于 30 欧元的交易被认为是低价值的,因此可以免除 SCA ,但是,如果这种情况重复超过 5 次并且金额超过 100 欧元,银行将不得不请求认证。 此外,银行必须检查交易数量。

定额认购:

在这种情况下,客户的第一次付款需要 SCA,但随后的付款可能会免除。

可信赖的受益人:

完成付款身份验证时,客户可以选择将企业添加到允许列表中,该列表将进一步添加到银行的“受信任的受益人”列表中。 这将确保发生较少的身份验证失败。

电话销售:

通过电话收集的客户卡详细信息免于 SCA 并且不需要身份验证。

企业支付:

使用旅游部门常用的虚拟卡号进行的支付也在 SCA 之外。

商家发起的付款:

当一张卡保存在商户系统中并使用保存的卡进行支付时,它免于验证,因为从技术上讲,这些支付超出了 SCA 的范围。

远程销售指令

简单来说,远程销售是通过任何形式的媒介进行销售,包括数字、在线、邮件等。 如果您的增值税注册互联网业务销售到英国,但您没有在英国注册,而是在欧洲的其他国家/地区注册,那么您就是远程销售。 这并不容易理解,但对于在欧洲拥有客户和潜在客户的企业来说非常重要。

在向远程客户销售之前,请确保包含以下信息:

  • 您的企业名称、联系方式和地址
  • 对您的业务的详细描述
  • 包含所有税费的总价,以及如何支付的说明。
  • 交货付款,时间表和成本
  • 计费周期和最短合同期限
  • 存款、财务担保和终止合同的条件
  • 订单取消标准以及表格、任何取消费用(如果有)以及他们有权取消的截止日期

所有这些信息都必须以易于理解的格式提供。

根据该指令,电子商务企业必须告诉其客户,他们可以在订单交付后的 14 天内取消订单,并且不需要取消理由。

欧盟的这些电子商务规则适用于销售在线数字服务的企业,应认真遵守。

支付卡行业 – 数据安全标准 (PCI DSS) 合规性

如果您的电子商务业务接受信用卡付款,您需要了解 PCI DSS 的运作方式,更重要的是,它会如何影响您的业务。

虽然在许多方面,PCI 和 GDPR 的范围相互重叠,但区别在于它们的目的。 GDPR 作为互联网企业收集数据时用户了解其权利和义务的媒介,但不提供安全保障。

另一方面,PCI 直接处理持卡人数据的安全和保护方面。 数据丢失、泄露、身份盗窃等都属于 PCI 的范畴。 尽管在此标准中,客户对其数据没有太多控制权,但 PCI 专注于保持服务器安全、限制访问并专注于缓解和风险管理。

欧洲 WEEE 指令

该指令对于从事电子产品买卖的企业尤为重要。 废弃电气和电子设备指令(或 WEEE)为所有类型的电子产品设定了收集、回收和回收目标。

根据 WEEE,投放市场的所有电气设备都应在相应国家/地区注册,并进一步得到指示以维护相同的目录。

所有成员国都有义务保存所有投放市场的电气设备的年度报告,所有注册的设备都应贴上相应的标签。

这对于想要在多个欧盟国家销售产品的卖家来说变得具有挑战性,因为他们将被要求在每个国家单独注册,以确保他们遵守当地制造商的义务。 如果组织未能遵守该指令,可能会被处以巨额罚款。

尽管该指令对制造商有更多的工作要做,但互联网企业仍然必须确保他们的产品符合给定的规定。

您需要了解一些在欧洲使用的常用术语。

让我们定义一些您在研究 GDPR 时会看到的关键术语。

  • 数据主体:其私人数据被存储、收集、共享或转储的人。
  • 私人和个人数据:直接或间接识别活人的任何信息。 例如,账户信息、健康信息、年龄、性别、电子邮件地址、出生日期、地址、IP 地址等。
  • 数据控制者:决定如何处理个人数据的一个或多个人。
  • 数据处理者:代表控制者处理数据的一个或多个人。
  • 处理者的义务——处理者必须遵守数据控制者的指示,并且应该能够证明 GDPR 合规性
  • 数据保护官——为了监督 GDPR、一般隐私管理合规性和数据保护实践,企业可能需要任命一名工作人员或服务提供商来监督 GDPR。
  • 隐私影响评估 (PIA) – 必须对大规模数据处理进行隐私影响评估,以最大程度地降低风险并确定减轻风险的措施。
  • 违规通知- 利益相关者必须在意识到违规后 72 小时内由控制器通知。

信息来源

需要考虑的其他指令和法规:

欧洲版权指令(不是法律,而是帮助成员国编写和起草法律的框架)

  • 付款完成后,向客户发送付款建议。
  • 确保您的企业已在商会注册。

给你的用户没有预先选中的框

  • 强制付款咨询
  • 货币换算
  • 库存管理

结论

鉴于企业如果不遵守欧洲经济区 (EEA) 电子商务的法律规定可能会面临审查,建议了解有关他们的法律。 此外,重要的是新企业主确保他们不会忽视作为服务提供者和全球公民的基本权利和义务。 此外,与大型企业相比,对中小企业或初创企业的影响可能更为严重。