電子郵件合規性：CAN-SPAM、GDPR 與全球電子郵件行銷法規

電子郵件行銷合規性不是可有可無的——它對於保護您的業務、維護訂閱者信任和避免高額罰款至關重要。本綜合指南涵蓋全球主要電子郵件法規以及建立合規電子郵件計劃的實用步驟。

為什麼電子郵件合規性很重要

了解風險有助於優先考慮合規性工作。

法律後果

經濟處罰：

• CAN-SPAM：每次違規最高 $51,744 美元
• GDPR：最高 2,000 萬歐元或全球收入的 4%
• CASL：每次違規最高 1,000 萬加元

這些罰款是按每封郵件計算的。一次向 100,000 名訂閱者發送的不合規活動理論上可能導致數百萬的罰款。

業務後果

聲譽損害：合規性違規會被公開，損害品牌信任。

遞送能力影響：不合規的做法通常會導致垃圾郵件投訴和黑名單。

客戶流失：感到隱私被侵犯的訂閱者會離開。

營運中斷：調查會消耗資源和注意力。

道德基礎

除了法律要求之外，合規性反映了對訂閱者的尊重：

• 他們信任您的個人資訊
• 他們應該控制資訊的使用方式
• 他們的收件匣是他們的個人空間
• 同意和透明度建立持久的關係

CAN-SPAM 法案（美國）

《控制非自願色情和行銷攻擊法案》規範美國的商業電子郵件。

CAN-SPAM 適用對象

商業電子郵件：主要目的是廣告或推廣商業產品或服務的電子郵件。

交易電子郵件：與約定交易相關的電子郵件（訂單確認、帳戶更新）要求較少，但仍必須誠實。

如果您向美國收件人發送電子郵件，無論您的業務位於何處，CAN-SPAM 均適用。

CAN-SPAM 要求

1. 禁止虛假或誤導性的標頭資訊

「寄件人」、「收件人」、「回覆」和路由資訊必須準確並識別寄件人。

✅ 合規：From: "John at BillionVerify" john@billionverify.com ❌ 不合規：From: "Customer Service" reply@randomdomain.com（如果您不是該公司）

2. 禁止欺騙性主旨行

主旨行必須準確反映電子郵件內容。

✅ 合規：「您的每週行銷技巧」 ❌ 不合規：「回覆：您的帳戶」（如果這不是關於他們帳戶的回覆）

3. 將訊息識別為廣告

商業電子郵件必須清楚地識別為廣告，儘管法律在如何做到這一點方面給予了靈活性。

選項：

• 標頭免責聲明
• 頁尾通知
• 清晰的促銷上下文
• 法律不要求特定語言

4. 包含實體郵政地址

每封商業電子郵件都必須包含您有效的實體郵政地址。

可接受的：

• 當前街道地址
• 在美國郵政局註冊的郵政信箱
• 在商業郵件接收機構註冊的私人信箱

頁尾範例：

BillionVerify
123 Main Street, Suite 100
San Francisco, CA 94105

5. 提供清晰的退訂機制

必須包含明確、顯眼的方式來選擇退出未來的電子郵件。

要求：

• 有效的退訂連結或電子郵件地址
• 容易找到（未隱藏）
• 發送後至少 30 天內有效
• 無需登入或支付費用等要求

6. 及時處理退訂請求

必須在 10 個工作日內處理退訂請求。

不能：

• 收取退訂費用
• 要求電子郵件地址以外的個人資訊
• 讓他們訪問多個頁面
• 除了退訂之外採取任何其他行動

7. 監控第三方合規性

如果其他人代表您發送電子郵件（聯盟、合作夥伴），您需對其合規性負責。

CAN-SPAM 處罰

• 每封違規郵件最高 $51,744 美元
• 某些做法的刑事處罰（收集、字典攻擊）
• 欺騙性做法的加重處罰
• 寄件人和代表他們發送的公司都可能承擔責任

CAN-SPAM 與許可

重要：CAN-SPAM 不要求在發送商業電子郵件之前獲得事先同意。然而：

• 未經許可發送會導致垃圾郵件投訴
• 垃圾郵件投訴損害遞送能力
• 最佳做法仍然是基於許可的行銷
• 僅僅因為合法並不意味著有效

GDPR（歐盟）

《一般資料保護規範》是世界上最嚴格的影響電子郵件行銷的隱私法規。

GDPR 適用對象

如果您：

• 在歐盟有訂閱者
• 在歐盟有業務存在
• 向歐盟居民提供商品或服務
• 監控歐盟居民的行為

GDPR 適用，無論您的業務位於何處。

GDPR 同意要求

GDPR 要求在發送行銷電子郵件之前獲得明確、知情、自由給予的同意。

同意必須是：

明確的：需要主動選擇加入。無預先勾選的方塊，無隱含同意。

知情的：清楚解釋他們同意的內容、誰將聯絡他們以及您將收集哪些資料。

自由給予的：不能以不必要的同意作為服務的條件（不能「接受行銷以使用我們的產品」）。

具體的：不同目的的單獨同意（行銷與第三方分享）。

可證明的：您必須能夠證明已獲得同意。

GDPR 同意最佳實踐

選擇加入表單要求：

✅ 合規：

□ 我同意接收 BillionVerify 的行銷電子郵件
  關於電子郵件驗證技巧和產品更新。
  查看我們的隱私政策。

❌ 不合規：

☑ 我同意接收來自 BillionVerify 和合作夥伴的電子郵件
  （預先勾選的方塊）

記錄您需要的內容：

• 他們同意了什麼
• 何時給予同意
• 如何給予同意
• 當時告訴他們什麼

GDPR 資料主體權利

歐盟訂閱者對其資料擁有特定權利：

存取權：他們可以請求其資料副本。

更正權：他們可以更正不準確的資料。

刪除權：他們可以請求刪除資料（「被遺忘權」）。

限制處理權：他們可以限制您使用其資料的方式。

資料可攜權：他們可以以可轉移格式請求資料。

反對權：他們可以反對處理，包括行銷。

與自動化決策相關的權利：他們可以請求對自動化決策進行人工審查。

GDPR 電子郵件行銷規則

處理的合法依據： 對於電子郵件行銷，同意是最安全的法律依據。合法利益可以在某些 B2B 情境中適用，但需要文件記錄。

隱私政策要求：

• 控制者的身分和聯絡方式
• 資料保護官聯絡方式（如適用）
• 處理的目的和法律依據
• 資料接收者或接收者類別
• 資料保留期間
• 資料主體權利
• 撤回同意的權利
• 向監管機構提出投訴的權利

資料最小化： 僅收集您實際需要的資料。不要請求不必要的資訊。

資料保留： 定義和記錄您保留訂閱者資料的時間。不再需要時刪除。

GDPR 處罰

• 最高 2,000 萬歐元或全球年營業額的 4%（以較高者為準）
• 較低層級：較輕微違規最高 1,000 萬歐元或 2%
• 監管機構調查
• 公開執法行動造成的聲譽損害

CASL（加拿大）

加拿大的《反垃圾郵件立法》是世界上最嚴格的同意要求之一。

CASL 適用對象

CASL 適用於發送到加拿大或從加拿大發出的商業電子訊息（CEM）：

• 電子郵件
• 簡訊/文字訊息
• 社群媒體訊息
• 任何鼓勵商業活動的電子訊息

CASL 同意要求

明示同意（首選）：

• 清楚、主動的選擇加入
• 書面同意記錄
• 目的描述
• 請求者識別

默示同意（有限）：

• 現有業務關係（過去 2 年）
• 現有查詢關係（過去 6 個月）
• 公開發布的地址（必須與角色相關）

重要：默示同意會過期。您必須轉換為明示同意或停止發送。

CASL 內容要求

每個 CEM 必須包含：

識別：清楚識別寄件人和（如果不同）代表其發送訊息的人。

聯絡資訊：郵寄地址加上以下之一：電話號碼、電子郵件地址或網站 URL。

退訂機制：有效的退訂功能，在 60 天內保持有效。

退訂處理：必須在 10 個工作日內完成。

CASL 處罰

• 每次違規最高 100 萬加元（個人）
• 每次違規最高 1,000 萬加元（組織）
• 私人訴訟權（個人可以起訴）
• 董事和高級職員的個人責任

其他全球法規

電子郵件合規性延伸到美國、歐盟和加拿大之外。

澳洲（2003 年垃圾郵件法案）

關鍵要求：

• 需要同意（明示或推定）
• 寄件人識別
• 有效的退訂功能
• 澳洲連接管轄權所需

處罰：每天最高 222 萬澳元。

英國（脫歐後）

英國 GDPR：在很大程度上反映歐盟 GDPR，並具有英國特定元素。

PECR（隱私和電子通訊法規）：電子行銷的附加規則。

關鍵要點：

• 同意要求類似於歐盟 GDPR
• 現有客戶的軟性選擇加入（有限）
• 需要清晰的退訂功能

巴西（LGPD）

《一般資料保護法》：巴西的綜合資料保護法。

類似於 GDPR：

• 同意要求
• 資料主體權利
• 資料最小化
• 隱私通知

其他司法管轄區

許多國家都有電子郵件行銷法規：

• 日本：《規範特定電子郵件傳輸法》
• 韓國：《促進資訊和通訊網路利用法》
• 新加坡：《垃圾郵件控制法》
• 印度：《資訊技術法》（有限的電子郵件條款）

最佳實踐：在國際發送時，應用最嚴格的相關標準。

建立合規的電子郵件計劃

實現和維護合規性的實用步驟。

合規性審核檢查清單

同意管理：

• [ ] 所有訂閱者都有記錄的同意
• [ ] 同意記錄包括內容、時間和方式
• [ ] 無預先勾選的同意方塊
• [ ] 不同目的的單獨同意
• [ ] 同意語言清晰且具體

電子郵件內容：

• [ ] 準確的寄件人識別
• [ ] 誠實的主旨行
• [ ] 包含實體地址
• [ ] 清晰的退訂機制
• [ ] 廣告識別（必要時）

退訂流程：

• [ ] 每封郵件中都有退訂連結
• [ ] 連結有效且易於使用
• [ ] 在要求的時間內處理（10 天）
• [ ] 無退訂障礙
• [ ] 提供全域退訂

資料管理：

• [ ] 隱私政策已發布且可存取
• [ ] 已定義資料保留政策
• [ ] 處理資料主體請求的流程
• [ ] 實踐資料最小化
• [ ] 實施安全措施

同意收集最佳實踐

在註冊時：

1. 清楚描述他們將收到什麼
2. 主動選擇加入核取方塊（預設未勾選）
3. 隱私政策連結
4. 不同目的的單獨同意
5. 記錄時間戳記和方法

同意表單元素：

訂閱我們的電子報

Email: [________________]

□ 我想接收 BillionVerify 的每週電子郵件行銷技巧
  和產品更新。

註冊即表示您同意我們的隱私政策和
服務條款。

[訂閱]

您可以隨時退訂。

記錄儲存： 為每個訂閱者儲存：

• 電子郵件地址
• 同意日期和時間
• 同意來源（表單 URL、API 等）
• 註冊時顯示的同意文字
• IP 地址（可選但有幫助）
• 任何後續的同意變更

退訂最佳實踐

使其簡單：

• 盡可能一鍵退訂
• 無需登入
• 無冗長的表單
• 即時確認

偏好中心選項： 提供完全退訂的替代方案：

• 減少電子郵件頻率
• 選擇電子郵件類型
• 暫時暫停訂閱
• 更新電子郵件地址

頁尾範例：

您收到此郵件是因為您在 billionverify.com 註冊。

管理偏好 | 退訂

BillionVerify
123 Main Street, Suite 100
San Francisco, CA 94105

處理資料主體請求

GDPR 要求您在一個月內回覆。

存取請求：

• 提供您持有的個人所有資料
• 解釋您如何使用它
• 以常用格式提供

刪除請求：

• 刪除所有資料，除非您有合法理由保留
• 確認刪除
• 停止處理

流程設定：

1. 指定負責的團隊成員
2. 建立請求接收流程
3. 記錄驗證程序
4. 建立回應範本
5. 追蹤和記錄所有請求
6. 維護 30 天（GDPR）或適當的回應 SLA

名單衛生與合規性

乾淨的名單就是合規的名單：

退回的電子郵件可能表示：

• 過時的同意
• 無效的地址
• 可能購買的名單

驗證支援合規性：

• 確認真實的電子郵件地址
• 移除潛在的垃圾郵件陷阱
• 識別一次性電子郵件
• 捕捉表明收集做法不佳的錯字

使用 BillionVerify 驗證地址：

• 在收集時（即時 API）
• 在主要活動之前
• 定期針對整個名單

常見的合規性錯誤

避免這些常見錯誤。

錯誤 1：購買或租用名單

問題：購買的名單很少有適當的同意。

違規：

• GDPR：無有效同意
• CASL：無明示同意
• CAN-SPAM：合法但對遞送能力造成災難性影響

修復：僅向直接選擇加入的人發送電子郵件。

錯誤 2：預先勾選的同意方塊

問題：預先勾選的方塊在 GDPR 或 CASL 下不構成有效同意。

修復：需要主動選擇的未勾選方塊。

錯誤 3：隱藏退訂連結

問題：微小、難以找到或無效的退訂連結。

違規：CAN-SPAM、GDPR、CASL 都要求清晰、有效的退訂功能。

修復：每封郵件中都有突出的一鍵退訂功能。

錯誤 4：忽略退訂請求

問題：在退訂請求後繼續發送電子郵件。

違規：所有主要法規都要求及時處理退訂。

修復：立即抑制，自動處理。

錯誤 5：缺少實體地址

問題：商業電子郵件中沒有郵政地址。

違規：CAN-SPAM 要求實體地址。

修復：在每封商業電子郵件中包含有效的實體地址。

錯誤 6：捆綁同意

問題：將電子郵件同意埋在服務條款或其他協議中。

違規：GDPR 要求自由給予、具體的同意。

修復：單獨、清楚標記的電子郵件行銷同意。

錯誤 7：無同意記錄

問題：無法證明何時以及如何獲得同意。

違規：GDPR 要求可證明的同意。

修復：從一開始就進行全面的同意記錄。

錯誤 8：忽略國際法規

問題：假設美國法律適用於所有訂閱者。

違規：可能適用多個司法管轄區。

修復：應用最嚴格的適用標準；如有需要，按司法管轄區分段。

按電子郵件類型分類的合規性

不同的電子郵件類型有不同的要求。

行銷電子郵件

最嚴格的要求適用：

• 需要明確同意（GDPR、CASL）
• 完全符合 CAN-SPAM
• 強制性的簡易退訂
• 需要廣告識別

交易電子郵件

更靈活但不是無限制：

• 無需行銷同意即可發送
• 必須與約定交易相關
• 不能主要是促銷性質
• 仍需誠實的標頭/主旨

範例：

• 訂單確認
• 運送通知
• 帳戶更新
• 密碼重設

注意：在交易電子郵件中添加行銷內容可能將其轉換為需要滿足全部要求的商業電子郵件。

關係電子郵件

灰色地帶需要謹慎處理：

• 電子報（商業）
• 產品更新（可能是交易）
• 續約提醒（可能是交易）

最佳實踐：將不明確的情況視為商業/行銷。

建立合規性文件

文件保護您的業務。

必要文件

隱私政策：

• 您收集哪些資料
• 您如何使用它
• 您與誰分享
• 資料保留期間
• 如何行使權利
• 如何聯絡您

同意記錄：

• 他們同意了什麼
• 何時給予同意
• 如何獲得同意
• 顯示的同意文字

資料處理記錄：

• 處理類別
• 處理目的
• 資料接收者
• 保留期間
• 安全措施

程序文件：

• 資料主體請求流程
• 違規通知流程
• 同意收集程序
• 退訂處理流程

定期審查

每月：

• 審查退訂處理
• 檢查投訴率
• 審核同意收集

每季：

• 審查合規性程序
• 更新文件
• 培訓新團隊成員

每年：

• 全面合規性審核
• 政策審查和更新
• 法律法規檢查

合規性快速參考

CAN-SPAM 檢查清單

• [ ] 準確的寄件人資訊
• [ ] 誠實的主旨行
• [ ] 廣告識別
• [ ] 包含實體地址
• [ ] 有效的退訂連結
• [ ] 在 10 個工作日內處理退訂

GDPR 檢查清單

• [ ] 已獲得明確同意
• [ ] 維護同意記錄
• [ ] 已發布隱私政策
• [ ] 資料主體權利流程
• [ ] 實踐資料最小化
• [ ] 適當的安全措施

CASL 檢查清單

• [ ] 明示或默示同意
• [ ] 寄件人識別
• [ ] 包含聯絡資訊
• [ ] 有效的退訂功能
• [ ] 在 10 個工作日內處理退訂

結論

電子郵件合規性不僅僅是為了避免罰款——它是關於尊重訂閱者和建立可持續的行銷計劃。透過了解要求、實施適當的同意管理、維護乾淨的名單以及與法規保持同步，您可以在保護業務的同時與受眾建立信任。

記住這些關鍵原則：

• 同意為王：有疑問時，獲得明確許可
• 使退訂變得簡單：它保護您並尊重訂閱者
• 記錄一切：如果您無法證明合規性，您可能不合規
• 保持最新：法規會演變；您的做法也應該如此
• 質量勝於數量：合規的名單才是有價值的名單

合規性和名單品質相輔相成。無效的地址可能表示同意做法不佳，而經過驗證的名單則展示了適當的收集方法。

準備好透過經過驗證的有效電子郵件地址支援您的合規性工作了嗎？從 BillionVerify 開始，確保您的名單僅包含合法、適當收集的聯絡人。