邮件合规：CAN-SPAM、GDPR 和全球法规指南

电子邮件营销合规不是可选项——它对保护您的业务、维护订阅者信任和避免高昂罚款至关重要。这份综合指南涵盖全球主要电子邮件法规以及构建合规电子邮件计划的实用步骤。

为什么电子邮件合规很重要

了解风险有助于优先考虑合规工作。

法律后果

经济处罚：

• CAN-SPAM：每次违规最高 $51,744
• GDPR：最高 €20 百万或全球收入的 4%
• CASL：每次违规最高 $10 百万加元

这些处罚是按每封电子邮件计算的。一次向 100,000 名订阅者发送的不合规活动理论上可能导致数百万罚款。

业务后果

声誉损害：合规违规会公开，损害品牌信任。

送达率影响：不合规做法通常导致垃圾邮件投诉和被列入黑名单。

客户流失：感觉隐私被侵犯的订阅者会离开。

运营中断：调查会消耗资源和注意力。

道德基础

除了法律要求，合规反映了对订阅者的尊重：

• 他们信任您提供个人信息
• 他们应该控制信息的使用方式
• 他们的收件箱是他们的个人空间
• 同意和透明建立持久关系

CAN-SPAM 法案（美国）

控制非请求色情和营销攻击法案管理美国的商业电子邮件。

CAN-SPAM 适用对象

商业电子邮件：主要目的是广告或推广商业产品或服务的电子邮件。

交易电子邮件：与约定交易相关的电子邮件（订单确认、账户更新）要求较少，但仍必须诚实。

如果您向美国收件人发送电子邮件，无论您的业务位于何处，CAN-SPAM 都适用。

CAN-SPAM 要求

1. 不得包含虚假或误导性的标题信息

"发件人"、"收件人"、"回复"和路由信息必须准确并识别发送者。

✅ 合规：发件人："John at BillionVerify" john@billionverify.com ❌ 不合规：发件人："Customer Service" reply@randomdomain.com（如果您不是该公司）

2. 不得使用欺骗性主题行

主题行必须准确反映电子邮件内容。

✅ 合规："Your Weekly Marketing Tips" ❌ 不合规："Re: Your Account"（如果它不是关于他们账户的回复）

3. 将邮件标识为广告

商业电子邮件必须明确标识为广告，尽管法律对如何做到这一点有灵活性。

选项：

• 标题免责声明
• 页脚通知
• 明确的促销上下文
• 法律不要求特定语言

4. 包含实际邮政地址

每封商业电子邮件必须包含您的有效实际邮政地址。

可接受：

• 当前街道地址
• 在美国邮政局注册的邮政信箱
• 在商业邮件接收机构注册的私人邮箱

页脚示例：

BillionVerify
123 Main Street, Suite 100
San Francisco, CA 94105

5. 提供清晰的退订机制

必须包含清晰、明显的方式选择退出未来的电子邮件。

要求：

• 有效的退订链接或电子邮件地址
• 易于找到（不隐藏）
• 在发送后至少 30 天内有效
• 不需要登录或支付费用

6. 及时处理退订请求

必须在 10 个工作日内处理选择退出请求。

不能：

• 收取退订费用
• 要求电子邮件地址以外的个人信息
• 让他们访问多个页面
• 采取除退订以外的任何行动

7. 监控第三方合规性

如果其他人代表您发送电子邮件（合作伙伴、关联公司），您要对他们的合规性负责。

CAN-SPAM 处罚

• 每封违规电子邮件最高 $51,744
• 某些做法的刑事处罚（收集、字典攻击）
• 欺骗性做法的加重处罚
• 发送者和代表发送的公司都可能承担责任

CAN-SPAM 与许可

重要：CAN-SPAM 不要求事先同意发送商业电子邮件。然而：

• 未经许可发送会导致垃圾邮件投诉
• 垃圾邮件投诉损害送达率
• 最佳实践仍然是基于许可的营销
• 仅仅因为合法并不意味着有效

GDPR（欧盟）

通用数据保护条例是世界上影响电子邮件营销的最严格隐私法规。

GDPR 适用对象

如果您：

• 在欧盟有订阅者
• 在欧盟有业务存在
• 向欧盟居民提供商品或服务
• 监控欧盟居民的行为

GDPR 适用，无论您的业务位于何处。

GDPR 同意要求

GDPR 要求在发送营销电子邮件之前获得明确、知情、自由给出的同意。

同意必须是：

明确的：需要主动选择加入。没有预选框，没有隐含同意。

知情的：清楚解释他们同意什么、谁会联系他们以及您将收集什么数据。

自由给出的：不能将服务以不必要的同意为条件（不能"接受营销才能使用我们的产品"）。

具体的：不同目的需要单独同意（营销与第三方共享）。

可证明的：您必须能够证明已获得同意。

GDPR 同意最佳实践

选择加入表单要求：

✅ 合规：

□ 我同意接收来自 BillionVerify 的营销电子邮件
  关于电子邮件验证技巧和产品更新。
  查看我们的隐私政策。

❌ 不合规：

☑ 我同意接收来自 BillionVerify 和合作伙伴的电子邮件
  （预选框）

记录您需要的内容：

• 他们同意了什么
• 何时给出同意
• 如何给出同意
• 当时告诉他们什么

GDPR 数据主体权利

欧盟订阅者对其数据拥有特定权利：

访问权：他们可以请求其数据的副本。

更正权：他们可以更正不准确的数据。

删除权：他们可以请求删除数据（"被遗忘权"）。

限制处理权：他们可以限制您如何使用他们的数据。

数据可携带权：他们可以请求可转移格式的数据。

反对权：他们可以反对处理，包括营销。

与自动化决策相关的权利：他们可以请求人工审查自动化决策。

GDPR 电子邮件营销规则

处理的合法依据： 对于电子邮件营销，同意是最安全的法律依据。合法利益可以在某些 B2B 环境中适用，但需要文档记录。

隐私政策要求：

• 控制者的身份和联系方式
• 数据保护官联系方式（如适用）
• 处理的目的和法律依据
• 数据接收者或接收者类别
• 数据保留期限
• 数据主体权利
• 撤回同意的权利
• 向监管机构提出投诉的权利

数据最小化： 仅收集您实际需要的数据。不要请求不必要的信息。

数据保留： 定义并记录您保留订阅者数据的时间。不再需要时删除。

GDPR 处罚

• 最高 €20 百万或全球年营业额的 4%（以较高者为准）
• 较低层级：较轻微违规最高 €10 百万或 2%
• 监管机构调查
• 公开执法行动造成的声誉损害

CASL（加拿大）

加拿大反垃圾邮件立法是世界上最严格的同意要求之一。

CASL 适用对象

CASL 适用于发送到加拿大或从加拿大发送的商业电子信息（CEM）：

• 电子邮件
• 短信/文本消息
• 社交媒体消息
• 任何鼓励商业活动的电子消息

CASL 同意要求

明示同意（首选）：

• 清晰、主动的选择加入
• 书面同意记录
• 目的描述
• 请求者识别

默示同意（有限）：

• 现有业务关系（最近 2 年）
• 现有询问关系（最近 6 个月）
• 公开发布的地址（必须与角色相关）

重要：默示同意会过期。您必须转换为明示同意或停止发送。

CASL 内容要求

每个 CEM 必须包含：

识别：清楚识别发送者和（如果不同）代表发送消息的人。

联系信息：邮寄地址加上以下之一：电话号码、电子邮件地址或网站 URL。

退订机制：有效的选择退出，保持 60 天有效。

退订处理：必须在 10 个工作日内完成。

CASL 处罚

• 每次违规最高 $1 百万加元（个人）
• 每次违规最高 $10 百万加元（组织）
• 私人诉讼权（个人可以起诉）
• 董事和高级管理人员的个人责任

其他全球法规

电子邮件合规延伸到美国、欧盟和加拿大之外。

澳大利亚（2003 年垃圾邮件法案）

主要要求：

• 需要同意（明示或推断）
• 发送者识别
• 有效退订
• 需要澳大利亚连接才有管辖权

处罚：每天最高 $2.22 百万澳元。

英国（脱欧后）

英国 GDPR：在很大程度上反映了欧盟 GDPR，带有英国特定元素。

PECR（隐私和电子通信条例）：电子营销的附加规则。

要点：

• 同意要求类似于欧盟 GDPR
• 现有客户的软选择加入（有限）
• 需要清晰的退订

巴西（LGPD）

Lei Geral de Proteção de Dados：巴西的综合数据保护法。

类似于 GDPR：

• 同意要求
• 数据主体权利
• 数据最小化
• 隐私通知

其他司法管辖区

许多国家都有电子邮件营销法规：

• 日本：特定电子邮件传输规制法
• 韩国：信息通信网络利用促进法
• 新加坡：垃圾邮件控制法
• 印度：信息技术法（有限的电子邮件条款）

最佳实践：发送国际邮件时，应用最严格的相关标准。

构建合规的电子邮件计划

实现和维护合规的实用步骤。

合规审计清单

同意管理：

• [ ] 所有订阅者都有记录的同意
• [ ] 同意记录包括什么、何时和如何
• [ ] 没有预选的同意框
• [ ] 不同目的需要单独同意
• [ ] 同意语言清晰具体

电子邮件内容：

• [ ] 准确的发送者识别
• [ ] 诚实的主题行
• [ ] 包含实际地址
• [ ] 清晰的退订机制
• [ ] 广告识别（需要时）

退订流程：

• [ ] 每封电子邮件中的退订链接
• [ ] 链接有效且易于使用
• [ ] 在要求的时间范围内处理（10 天）
• [ ] 退订没有障碍
• [ ] 可用全局退订

数据管理：

• [ ] 隐私政策已发布且可访问
• [ ] 数据保留政策已定义
• [ ] 处理数据主体请求的流程
• [ ] 实践数据最小化
• [ ] 安全措施到位

同意收集最佳实践

在注册时：

1. 清楚描述他们将收到什么
2. 主动选择加入复选框（默认未选中）
3. 链接到隐私政策
4. 不同目的需要单独同意
5. 记录时间戳和方法

同意表单元素：

注册我们的时事通讯

电子邮件：[________________]

□ 我想接收来自 BillionVerify 的每周电子邮件营销技巧
  和产品更新。

通过注册，您同意我们的隐私政策和
服务条款。

[订阅]

您可以随时退订。

记录存储： 为每个订阅者存储：

• 电子邮件地址
• 同意的日期和时间
• 同意来源（表单 URL、API 等）
• 注册时显示的同意文本
• IP 地址（可选但有帮助）
• 任何后续同意更改

退订最佳实践

让它变得简单：

• 尽可能一键退订
• 不需要登录
• 没有冗长的表单
• 立即确认

偏好中心选项： 提供完全退订的替代方案：

• 减少电子邮件频率
• 选择电子邮件类型
• 暂时暂停订阅
• 更新电子邮件地址

页脚示例：

您收到此邮件是因为您在 billionverify.com 注册。

管理偏好 | 退订

BillionVerify
123 Main Street, Suite 100
San Francisco, CA 94105

处理数据主体请求

GDPR 要求您在一个月内回复。

访问请求：

• 提供您持有的个人所有数据
• 解释如何使用它
• 以常用格式提供

删除请求：

• 删除所有数据，除非您有合法理由保留
• 确认删除
• 停止处理

流程设置：

1. 指定负责的团队成员
2. 创建请求接收流程
3. 记录验证程序
4. 建立响应模板
5. 跟踪和记录所有请求
6. 维护 30 天（GDPR）或适当的响应 SLA

列表卫生和合规

干净的列表是合规的列表：

退回的电子邮件可能表明：

• 过时的同意
• 无效地址
• 可能购买的列表

验证支持合规：

• 确认真实的电子邮件地址
• 删除潜在的垃圾邮件陷阱
• 识别一次性电子邮件
• 捕获表明收集实践不良的拼写错误

使用 BillionVerify 验证地址：

• 在收集点（实时 API）
• 在主要活动之前
• 定期验证整个列表

常见合规错误

避免这些常见错误。

错误 1：购买或租赁列表

问题：购买的列表很少有适当的同意。

违规：

• GDPR：没有有效同意
• CASL：没有明示同意
• CAN-SPAM：合法但对送达率灾难性

修复：仅向直接选择加入的人发送电子邮件。

错误 2：预选的同意框

问题：预选框在 GDPR 或 CASL 下不构成有效同意。

修复：需要主动选择的未选中框。

错误 3：隐藏退订链接

问题：微小、难以找到或无效的退订链接。

违规：CAN-SPAM、GDPR、CASL 都要求清晰、有效的退订。

修复：在每封电子邮件中突出显示一键退订。

错误 4：忽略退订请求

问题：在退订请求后继续发送电子邮件。

违规：所有主要法规都要求及时接受选择退出。

修复：立即抑制，自动处理。

错误 5：缺少实际地址

问题：商业电子邮件中没有邮政地址。

违规：CAN-SPAM 要求实际地址。

修复：在每封商业电子邮件中包含有效的实际地址。

错误 6：捆绑同意

问题：将电子邮件同意隐藏在服务条款或其他协议中。

违规：GDPR 要求自由给出、具体的同意。

修复：单独、清楚标记的电子邮件营销同意。

错误 7：没有同意记录

问题：无法证明何时以及如何获得同意。

违规：GDPR 要求可证明的同意。

修复：从一开始就进行全面的同意记录。

错误 8：忽略国际法规

问题：假设美国法律适用于所有订阅者。

违规：可能适用多个司法管辖区。

修复：应用最严格的适用标准；如有需要按司法管辖区分段。

按电子邮件类型的合规性

不同的电子邮件类型有不同的要求。

营销电子邮件

最严格的要求适用：

• 需要明确同意（GDPR、CASL）
• 完全符合 CAN-SPAM
• 强制简易退订
• 需要广告识别

交易电子邮件

更灵活但不是无限制：

• 可以在没有营销同意的情况下发送
• 必须与约定的交易相关
• 不能主要是促销性的
• 仍需要诚实的标题/主题

示例：

• 订单确认
• 发货通知
• 账户更新
• 密码重置

注意：在交易电子邮件中添加营销可能将它们转换为受完整要求约束的商业电子邮件。

关系电子邮件

灰色区域需要仔细处理：

• 时事通讯（商业）
• 产品更新（可能是交易性的）
• 续订提醒（可能是交易性的）

最佳实践：将不明确的情况视为商业/营销。

创建合规文档

文档保护您的业务。

基本文档

隐私政策：

• 您收集什么数据
• 如何使用它
• 与谁共享
• 数据保留期限
• 如何行使权利
• 如何联系您

同意记录：

• 他们同意了什么
• 何时给出同意
• 如何获得同意
• 显示的同意文本

数据处理记录：

• 处理类别
• 处理目的
• 数据接收者
• 保留期限
• 安全措施

程序文档：

• 数据主体请求流程
• 违规通知流程
• 同意收集程序
• 退订处理流程

定期审查

每月：

• 审查退订处理
• 检查投诉率
• 审计同意收集

每季度：

• 审查合规程序
• 更新文档
• 培训新团队成员

每年：

• 全面合规审计
• 政策审查和更新
• 法律法规检查

合规快速参考

CAN-SPAM 清单

• [ ] 准确的发送者信息
• [ ] 诚实的主题行
• [ ] 广告识别
• [ ] 包含实际地址
• [ ] 有效的退订链接
• [ ] 在 10 个工作日内接受选择退出

GDPR 清单

• [ ] 已获得明确同意
• [ ] 维护同意记录
• [ ] 已发布隐私政策
• [ ] 数据主体权利流程
• [ ] 实践数据最小化
• [ ] 适当的安全措施

CASL 清单

• [ ] 明示或默示同意
• [ ] 发送者识别
• [ ] 包含联系信息
• [ ] 有效退订
• [ ] 在 10 个工作日内选择退出

结论

电子邮件合规不仅仅是避免罚款——它关乎尊重订阅者和建立可持续的营销计划。通过了解要求、实施适当的同意管理、维护干净的列表并保持对法规的了解，您可以保护您的业务，同时与受众建立信任。

记住这些关键原则：

• 同意为王：有疑问时，获得明确许可
• 让退订变得简单：它保护您并尊重订阅者
• 记录一切：如果您无法证明合规，您可能不合规
• 保持最新：法规在演变；您的实践也应该如此
• 质量胜于数量：合规列表是有价值的列表

合规和列表质量是相辅相成的。无效地址可能表明同意实践不佳，而经过验证的列表证明了适当的收集方法。

准备好通过经过验证的有效电子邮件地址支持您的合规工作了吗？从 BillionVerify 开始，确保您的列表仅包含合法、适当收集的联系人。