在歐洲啟動電子商務市場的法律要求

已發表: 2021-08-12

2018 年 3 月，當 Cambridge Analytica-Facebook 數據慘敗成為常識時，它在全球範圍內引起了漣漪。一些國家的政府注意到公眾的強烈抗議，並開始為其公民的數據和隱私保護奠定基礎。

歐盟（EU）立法者領導了這項指控。制定了許多法律和指令，同時重新審視了一些過時的法律，對數據控制者和處理者施加了新的義務和責任。

在這份內容豐富的指南中，我們介紹了我們對歐洲電子商務法規和法律的研究，企業主在啟動 Flubit、ASOS 或 Allegro 等電子商務市場之前應了解這些法規和法律。讓我們從被廣泛接受和實施的開始； GDPR。

表中的內容

GDPR 的基礎知識
GDPR 對電子商務行業很重要。 這就是為什麼！
電子商務、增值稅和英國退歐，以及它們的工作和諧
支付網關和在線支付
遠程銷售指令
支付卡行業 – 數據安全標準 (PCI DSS) 合規性
歐洲 WEEE 指令
結論

GDPR 的基礎知識

於 2018 年 5 月 25 日生效的通用數據保護條例 (GDPR) 是關於歐盟 (EU) 及其經濟領域的數據保護和隱私的條例。這是為了保護歐盟居民的數據。

個人數據是指可以追溯到可識別個人的任何信息。它可能包括姓名、電子郵件地址、IP 地址等。

GDPR 適用於任何企業或企業，無論其位置和/或數據主體（個人）的公民身份或居住地如何。如果您正在處理歐洲經濟區 (EEA) 內個人的個人信息，或者您有歐盟客戶，則需要注意這一點。 GDPR 規定了六種合法基礎（同意、合同、公共任務、切身利益、合法利益或法律要求）。

除法律依據外，新法規賦予歐盟數據主體某些權利，具體如下：

訪問權意味著客戶有權知道他們的數據是如何被使用的。 因此，企業需要利用這些信息對個人進行評估。
轉移權表明客戶或數據主體有權將其數據從一家公司轉移到另一家公司。
被遺忘權意味著如果客戶希望刪除其所有數據，公司必須遵守要求。
知情權強制要求客戶需要被明確告知他們的數據正在被收集並且必須獲得自由同意。
更正權賦予客戶在數據過期或不正確時更新其數據的權利。
不處理權意味著客戶可以選擇不處理他們的數據，但他們的記錄可以保留在系統中。
反對權意味著客戶可以選擇不為直接營銷處理他們的數據。

此外，根據新的 GDPR 指南，企業必須遵守某些義務和權利：

如果發生數據洩露，企業必須在 72 小時內向國家監管機構披露並報告。
在處理批量數據時，所有企業都必須任命一名數據保護官 (DPO)。
為了保護數據，企業必須採取必要的行動。
即使企業必須收集數據，也必須是最低要求。
企業/企業在收集個人數據之前必須獲得明確同意。
如果國際或國內企業不遵守數據保護法規，他們可能會被處以最高2000 萬歐元或上一財政年度全球年營業額 4% 的罰款，以較高者為準。

由於歐盟對GDPR的依賴，它已成為其他國家和州效仿的典範。智利、日本、巴西、肯尼亞和美利堅合眾國等國家的法規與其法規有許多相似之處，使其成為企業和企業必須遵循和遵守的全球規則。

GDPR 對電子商務行業很重要。這就是為什麼！

GDPR 重塑了歐洲和其他大陸的電子商務行業。考慮到在電子商務領域運營的企業必須處理客戶的個人數據，並收集、存儲或以其他方式使用數據，由於歐盟客戶的數據處理，他們自己需要遵守大量的法規。

企業必須披露其電子商務商店的聯繫方式。
即使您在歐洲沒有實體辦事處，但在歐盟有客戶，您也必須遵守 GDPR。

儘管企業不必做任何不尋常的事情來確保其業務符合 GDPR，但他們仍然需要確保其 T&C 和隱私政策以及 Cookie 設置是最新的。

注意：從 1 到 10,000 名員工，GDPR 適用於所有人，但只有擁有 250 多名員工的公司才需要保存記錄。

為了符合 GDPR，您需要考慮某些方面：

讓用戶選擇和控制他們是否同意
要求用戶選擇加入意味著預先選中的框不會被視為同意，因此用戶必須自己“選擇加入”
明確強調個人同意的內容
同意請求應與其他服務條款分開
請明確點; 不要用傘的方式一下子抓到所有
簡潔明了：沒有雙重否定的餘地
必須指定依賴同意的第三方
輕鬆撤回同意，以及如何做到這一點很重要
記錄並保存同意的證據，包括誰同意、何時、如何以及當時傳達的信息是什麼
查看您收到的同意書，如果有任何變化，請更新
避免將同意作為使用您的服務的先決條件

跨境支付和貨幣兌換風險：

無論其是否參與歐元區，整個歐洲的跨境支付費用都是可以互換的。此外，歐元的國內支付成本非常高，允許支付服務提供商 (PSP) 收取不同的費用。

為了解決這個問題，歐洲議會更新了其支付規定。 CBPR2 或跨境監管計劃引入更高的貨幣兌換費用透明度，並在 POS（銷售點）和 ATM 設置標準。

PSP 必須向發起直接在線信用卡轉賬的用戶提供以下信息：

估計的轉換費用
付款人賬戶貨幣的估計總金額
以付款人帳戶貨幣支付給支付服務用戶的估計總金額
交易費，如果有的話
貨幣兌換費（如果有）

CBPR2 進一步要求，在涉及在 ATM 或 POS 進行貨幣兌換的任何基於卡的交易開始之前，PSP 必須向支付服務用戶/收款人披露以下信息：

宣言：

貨幣轉換費用以及使用的匯率。

財政合規：

歐洲中央銀行發布的最新歐元外匯匯率的百分比加成
以收款人使用的貨幣和付款人 PSP 賬戶的貨幣支付的總金額

安全填充物：

以收款人使用的貨幣付款並隨後由付款人的 PSP 執行貨幣轉換的可能性。
收款人有權拒絕貨幣兌換服務，代之以收款人使用的貨幣進行支付。

最初在這里分享

了解我們在各大洲的各個領域所做的工作

檢查投資組合

歐洲電子商務法和貨幣兌換：

由於貨幣兌換，貨幣的不斷兌換會產生一些風險。根據新規定，所使用的貨幣匯率應始終為交易時的匯率。與在線商店相關的三種貨幣是：

商店貨幣 – 它是出現在報告中的貨幣，屬於管理員，用於為您的產品及其變體設置價格。
本地貨幣 – 這是客戶在結賬時用於支付訂單的貨幣，在您的商店中也可以看到。
支付貨幣 – 用於將錢存入用戶銀行賬戶的貨幣，可由管理員或直接由店主負責。

風險：

如果處理延遲或退款，由於貨幣匯率的持續波動，您可能會虧損或賺錢。
如果您的商店以多種貨幣進行交易，價格會自動轉換並根據市場匯率進行更新（還涉及少量轉換費用）。

電子商務、增值稅和英國退歐，以及它們的工作和諧

英國由英格蘭、威爾士和蘇格蘭組成，自 2021 年元旦起對從英國進口的商品實施新的增值稅規定。北愛爾蘭在脫歐後擁有雙重身份，因此它們將成為英國關稅區的一部分，但也是歐盟單一市場的一部分，用於增值稅目的。

今後，電子商務企業需要注意某些技術方面的問題，以確保他們不會陷入困境：

首先，自從一站式商店規則於 2021 年 7 月 1 日生效以來，在您銷售的每個國家/地區申請英國增值稅號。
對運往英國且重量低於 135 磅的訂單收取增值稅，
在在線市場的情況下，責任轉移到平台上。
每季度向HMRC提交增值稅並繳納增值稅。
申請經濟登記和識別 (EORI) 號碼；它用於報關單，有助於在海關程序和文件中識別出口商。
重新評估和更新您的稅務設置；如果您使用 Avalara，它將自動完成。
B2B 和 B2C 的規則各不相同，商品代碼至關重要，考慮到如果您輸入了錯誤的代碼，您最終可能會支付錯誤的關稅或讓您的商品被海關封鎖。

需要當地財政代表：

儘管尚未正式生效，但據信，根據新的增值稅和歐盟電子商務法規，歐洲 27 個國家中有 19 個國家需要有當地的增值稅代表。挪威、澳大利亞、日本或韓國已經在遵循這種安排，當地財政代表通常是律師或會計師。

未能任命財政代表可能會導致罰款。請記住，如果您的平台不符合稅務規定，這些代表將承擔責任，您可能需要向他們支付大量金錢或銀行擔保。

支付網關和在線支付

強制客戶身份驗證 (SCA) 有助於減少英國和歐洲的客戶欺詐案件。根據金融科技公司 Silicon Canals 的數據，到 2022 年，歐洲基於電子商務的業務預計將增長到 1 萬億美元，而根據歐洲央行的數據，預計歐洲卡上的欺詐行為每年將超過 10 億美元。

大多數信用卡支付都需要 SCA。不遵守 SCA 可能會導致支付交易失敗以及其他代價高昂的後果。根據新規定，雙重身份驗證是強制性的，客戶將提供三分之二的關鍵信息來證明其身份，具體如下：

他們擁有的東西（手機、令牌或智能卡） ，
他們知道的東西（PIN 碼或密碼） ，
它們是什麼（指紋或語音模式） 。

第三方提供商的出現進一步增加了競爭和復雜性。自 2018 年以來，有兩種類型的開放銀行服務提供商，都服務於不同的目的。

支付發起服務提供商 (PISP)
帳戶信息服務提供商 (AISP)

PISP 被授權在用戶賬戶的內外進行支付，而 AISP 有權檢索銀行和機構提供的賬戶信息。

這兩個處理訪問開放烘焙數據所需的客戶同意。簡而言之，他們向客戶解釋將訪問哪些內容、訪問多長時間以及與誰共享。

對於以前沒有接觸過這種級別的數據的企業來說，事情可能是壓倒性的，但是，了解其中的細微差別，相關法律應該由組織實施，以保護他們和他們的股東的利益。

對在線商家的好處：

降低欺詐率並增加對客戶的信任
雙重身份驗證，使過程更順暢。
為電子商務消費者提供更多選擇

互聯網企業可以做什麼：

根據上下文顯示適當的付款方式，並確保您的平台具有 3D 安全 2 因素標準。

除了必須做的事情之外， Stripe已經解釋了強客戶身份驗證法規還有一些例外情況，該法規進行實時分析以確定是否將 SCA 應用於交易。

低風險交易：

僅當支付提供商在對其進行實時分析後認為有必要時，才認為低風險交易對 SCA 有效。但是，如果支付提供商或銀行的卡支付的總體欺詐率不超過以下閾值，則可能存在某些豁免：

0.13% 豁免低於 100 歐元的交易
0.06% 用於豁免 250 歐元以下的交易
0.01% 豁免 500 歐元以下的交易

低於 30 歐元的付款：

低於 30 歐元的交易被認為是低價值的，因此可以免除 SCA ，但是，如果這種情況重複超過 5 次並且金額超過 100 歐元，銀行將不得不請求認證。此外，銀行必須檢查交易數量。

定額認購：

在這種情況下，客戶的第一次付款需要 SCA，但隨後的付款可能會免除。

可信賴的受益人：

在完成付款身份驗證時，客戶可以選擇將企業添加到允許列表中，該列表將進一步添加到銀行的“受信任的受益人”列表中。這將確保發生較少的身份驗證失敗。

電話銷售：

通過電話收集的客戶卡詳細信息免於 SCA 並且不需要身份驗證。

企業支付：

使用旅遊部門常用的虛擬卡號進行的支付也在 SCA 之外。

商家發起的付款：

當一張卡保存在商戶系統中並使用保存的卡進行支付時，它免於驗證，因為從技術上講，這些支付超出了 SCA 的範圍。

遠程銷售指令

簡單來說，遠程銷售是通過任何形式的媒介進行銷售，包括數字、在線、郵件等。如果您的增值稅註冊互聯網業務銷售到英國，但您沒有在英國註冊，而是在歐洲的其他國家/地區註冊，那麼您就是遠程銷售。這並不容易理解，但對於在歐洲擁有客戶和潛在客戶的企業來說非常重要。

在向遠程客戶銷售之前，請確保包含以下信息：

您的企業名稱、聯繫方式和地址
對您的業務的詳細描述
包含所有稅費的總價，以及如何支付的說明。
交貨付款，時間表和成本
計費周期和最短合同期限
存款、財務擔保和終止合同的條件
訂單取消標準以及表格、任何取消費用（如果有）以及他們有權取消的截止日期

所有這些信息都必須以易於理解的格式提供。

根據該指令，電子商務企業必須告訴其客戶，他們可以在訂單交付後的 14 天內取消訂單，並且不需要取消理由。

歐盟的這些電子商務規則適用於銷售在線數字服務的企業，應認真遵守。

支付卡行業 – 數據安全標準 (PCI DSS) 合規性

如果您的電子商務業務接受信用卡付款，您需要了解 PCI DSS 的運作方式，更重要的是，它會如何影響您的業務。

雖然在許多方面，PCI 和 GDPR 的範圍相互重疊，但區別在於它們的目的。 GDPR 作為互聯網企業收集數據時用戶了解其權利和義務的媒介，但不提供安全保障。

另一方面，PCI 直接處理持卡人數據的安全和保護方面。數據丟失、洩露、身份盜竊等都屬於 PCI 的範疇。儘管在此標準中，客戶對其數據沒有太多控制權，但 PCI 專注於保持服務器安全、限制訪問並專注於緩解和風險管理。

歐洲 WEEE 指令

該指令對於從事電子產品買賣的企業尤為重要。廢棄電氣和電子設備指令（或 WEEE）為所有類型的電子產品設定了收集、回收和回收目標。

根據 WEEE，投放市場的所有電氣設備都應在相應國家/地區註冊，並進一步得到指示以維護相同的目錄。

所有成員國都有義務保存所有投放市場的電氣設備的年度報告，所有註冊的設備都應貼上相應的標籤。

這對於想要在多個歐盟國家銷售產品的賣家來說變得具有挑戰性，因為他們將被要求在每個國家單獨註冊，以確保他們遵守當地製造商的義務。如果組織未能遵守該指令，可能會被處以巨額罰款。

儘管該指令對製造商有更多的工作要做，但互聯網企業仍然必須確保他們的產品符合給定的規定。

您需要了解一些在歐洲使用的常用術語。

讓我們定義一些您在研究 GDPR 時會看到的關鍵術語。

數據主體：其私人數據被存儲、收集、共享或轉儲的人。
私人和個人數據：直接或間接識別活人的任何信息。 例如，賬戶信息、健康信息、年齡、性別、電子郵件地址、出生日期、地址、IP 地址等。
數據控制者：決定如何處理個人數據的一個或多個人。
數據處理者：代表控制者處理數據的一個或多個人。
處理者的義務——處理者必須遵守數據控制者的指示，並且應該能夠證明 GDPR 合規性
數據保護官——為了監督 GDPR、一般隱私管理合規性和數據保護實踐，企業可能需要任命一名工作人員或服務提供商來監督 GDPR。
隱私影響評估 (PIA) – 必須對大規模數據處理進行隱私影響評估，以最大程度地降低風險並確定減輕風險的措施。
違規通知- 利益相關者必須在意識到違規後 72 小時內由控制器通知。

信息來源

需要考慮的其他指令和法規：

歐洲版權指令（不是法律，而是幫助成員國編寫和起草法律的框架）

付款完成後，向客戶發送付款建議。
確保您的企業已在商會註冊。

給你的用戶沒有預先選中的框

強制付款諮詢
貨幣換算
庫存管理

結論

鑑於企業如果不遵守歐洲經濟區 (EEA) 電子商務的法律規定可能會面臨審查，建議了解有關他們的法律。此外，重要的是新企業主確保他們不會忽視作為服務提供者和全球公民的基本權利和義務。此外，與大型企業相比，對中小企業或初創企業的影響可能更為嚴重。