GDPR 常见问题解答

了解与 GDPR 相关的常见问题。这些解释仅供参考,不构成专业法律建议。若要获取特定于您所在国家/地区的信息,请咨询独立的法律建议。

Shopify 为何在结账时未设置“同意条款和条件以及隐私政策”复选框?

Shopify 详细研究了 GDPR 并设计了自有平台,以便为商家提供符合 GDPR 等隐私和数据保护法律的一流商务体验。

获得客户明确、肯定的同意来处理他们的数据。如果实施得当,将有助于提高透明度并获得客户的信任。但是如果实施不当,复选框可能会使客户感到困惑,产生不匹配的期望,甚至可能会为商家带来 GDPR 相关的法律问题。出于这些原因,我们选择不修改结账工作流,不在结账时包含“同意条款和条件以及隐私政策”。

要特别注意的是,GDPR 明确表示商家可以出于多种原因收集和处理客户个人数据,包括客户已表示知情同意的情况。但是 GDPR 发现,在很多情况下,需要单独处理个人数据,而不需要客户的同意,例如:

商家可能会依赖多种法律依据以采用不同的方式对他们客户的数据进行处理。例如,商家可能需要使用客户的邮寄地址来实际发货订单并发货商家与客户之间的合同。同样,商家可能会按照法律要求对个人数据进行处理,从而回应传票或用于税务稽核。并且商家可能会因其他诸多的正当权益而对个人数据进行处理。

同时,欧洲监管机构已表明,在这些不同的正当理由中,获得同意是最重要的一项。要特别注意的是,监管机构已表示,商家征求同意以出于特殊目的处理数据后,他们可能无法再依靠上述法律依据(例如合同或正当权益)。此外,监管机构警告称,同意不能作为接收商品或服务的条件。

为什么这一切都很重要?让我们考虑一下,如果商家在结账时添加了“同意条款和条件以及隐私政策”复选框会发生什么情况。如果客户不选择同意(或者,如果客户同意然后撤回其同意 - 这是 GDPR 赋予个人的权利),那么商家可能无法再依赖于上面列出的其他理由。因此,按照 GDPR 规定,商家可能不能合法地处理客户的个人数据以处理或发货订单。同时,如果商家修改结账,使此复选框成为完成交易的强制要求,那么同意将是接收商品或服务的先决条件,这样的情况在 GDPR 规定下可能一开始就是无效的。

这种复杂性导致了许多监管机构向在可能不合适的情况下而要求或依赖同意的做法发出了警告。例如,英国信息专员办公室提出过建议

“如果您能向人们提供真正的选择并让其控制您使用其数据的方式,而且您想建立他们的信任感和参与感,则应该获得同意。但是,如果您无法提供真正的选择,则不应要求同意。如果您会在未获得同意的情况下仍然处理个人数据,请求同意会产生误导,并且这种行为本身就是不公平的。

如果您将同意作为使用一项服务的前提条件,则可能不存在最合适的法律依据。

对个人拥有一定权力的公共机构、雇主和其他组织应该避免依赖同意,除非他们确信他们可以证实同意是自愿给予的。”

我们希望尽最大努力支持商家,并帮助他们避免严重的法律后果。但与此同时,我们了解商家最终需要因其获得客户信任而感到满意。因此,我们确保商家可将“接受条款和条件”复选框添加到购物车页面(而不是结账页面)。有关如何执行此操作的详细信息,请参阅我们的帮助文档。

备注:本常见问题解答介绍一个用于获取同意以完成结账的复选框。您可能还会出于其他理由寻求同意,例如营销目的或收集特别敏感的数据。

为什么我不能与 Shopify 签署数据处理协议 (DPA)?

GDPR 要求数据处理方与每个数据控制方签订书面合同(包括电子格式的合同),以便处理个人数据。这些合同应规定将会处理哪些个人数据,以及处理方和控制方的义务和权利。这些合同通常称为数据处理协议 (DPA)。从本质上来说,在 DPA 协议的约束下,Shopify 只会按照商家指定的方式处理提供给它的个人数据,因为商家是数据的控制方。

为满足这一要求,Shopify 在服务条款中增加了数据处理附录。(之所以称为“附录”而不是“协议”,是因为它被添加到服务条款中,且不是一项单独的协议。)

作为商家,当您注册 Shopify 的服务时,即表示您同意服务条款以及数据处理附录;继续使用服务即表示您同意服务条款的任何更新内容(例如,我们通过更新增加了数据处理附录)。

请务必注意,服务条款受安大略省法律约束,而不是您所在辖区法律的约束。因此,虽然其他地区法律(如 GDPR)可能确实涵盖您的业务以及您处理数据的方式,并且可能要求您与服务提供商(如 Shopify)签订具有约束力的合同,但是这些地区法律并不一定能判定合同是否具有约束力。以您与我们之间的合同为例,应通过参考安大略省法律来判定 DPA 是否是具有约束力的合同。

因此,即使您的司法管辖区要求签署合同(如 DPA),也可能与您的 DPA 无关。根据安大略省法律,我们认为,在更新条款后继续使用我们的服务,即表示 Shopify 和您都将受到新的、修改后的服务条款的约束。当您继续使用 Shopify 时,我们认为您已与我们签订了具有约束力的合同,其中包括我们根据 GDPR 要求提供的数据处理附录。

备注:如果您是已签署协议 DPA 的 Shopify Plus 商家,则该 DPA 将取代我们的在线 DPA。

如果我还有其他关于 GDPR 或当地隐私法的疑问,该怎么办?

联系当地的隐私或数据保护法专业律师。

我可以联系谁来获取更多有关 Shopify 做法的信息?

联系 privacy@shopify.com,了解关于 Shopify 做法的更多信息。

如果我使用 Shopify 托管商店,我的业务是否符合 GDPR?

不一定符合。尽管 Shopify 的运作符合 GDPR,并且 Shopify 将提供工具来帮助商家符合 GDPR,但确保业务符合运营所在地的辖区法律是每个商家的责任。

仅使用 Shopify 的平台并不能保证公司遵守 GDPR。

Shopify 会签署标准合同条款吗?

不会。正如白皮书(英文版)的“数据传输”部分所述,Shopify 已构建了数据流,以便商家将数据传输给位于欧洲的 Shopify 爱尔兰子公司。因此,标准合同条款不适用于此情况,因为它们被批准用于欧洲方和非欧方之间的数据传输。

此外,对于直接转移给 Shopify Inc. 的情况,Shopify 将依赖欧盟委员会关于加拿大隐私法的充分性决定,该法律可延伸至加拿大公司 Shopify Inc.。

准备好开始使用 Shopify 进行销售了吗?

免费试用