《通用数据保护条例》(GDPR) 影响任何位于欧洲或为欧洲客户提供服务的 Shopify 商家。虽然 Shopify 正努力确保其自身及其商家自 2018 年 5 月 25 日起符合 GDPR，但务必注意，GDPR 还要求商家独立于 Shopify 平台采取行动。

Shopify 希望帮助商家尽可能地遵守法律。本文包括您应考虑的问题，旨在帮助您评估自己的义务，从而确保您以合法的方式设立商店。

也就是说，这不是法律建议。GDPR 是一项复杂的法规，它将以不同的方式适用于不同的商家。您应咨询律师，了解您具体需要做什么。

有关处理数据请求的信息，请参阅处理 GDPR 数据请求。

Shopify 为什么不能为商家处理 GDPR 合规性？

GDPR 规定了数据控制方和处理方的不同义务。作为数据处理方，Shopify 按照 GDPR 履行其自身的法律义务。但是，商家（作为控制方）也有自己必须考虑的独立义务。

Shopify 为商家提供了一个可配置为符合 GDPR 的平台，但您必须自己考虑如何经营您的业务。

为进一步提供指导，欧盟范围内的以下监管机构就 GDPR 提供了具体指导：

• ICO - 数据保护指南。
  
• 爱尔兰数据保护专员 - GDPR。
  
• CNIL - Règlementeuropéen：seprépareren6étapes。
  

收集个人数据

GDPR 保护欧盟范围内的个人在处理个人数据方面的基本权利。

个人数据示例包括：

• 名称
• 地址
• 电子邮件地址
• 社交媒体账户
• 数字标识符，例如 IP 地址或 Cookie ID。

考虑以下问题：

• 您是否在收集欧洲客户的个人数据？大多数网站对欧洲的居民开放，并且将遵循 GDPR 规定。
• 如果您的商店使用第三方应用或模板，它们是否按照 GDPR 的规定收集和处理数据？为了简化此流程，Shopify 要求所有应用发布详细说明数据处理做法的隐私政策，您可以评估是否愿意接受该应用的数据处理做法。Shopify 开发的应用遵从数据处理附录，并且 Shopify 对这些应用的合规性负责。
• 您使用的渠道或支付网关是否按照 GDPR 的规定来收集和处理数据？您应该与他们联系以确保这一点。
• 您是否列出了从客户处收集的所有类型的个人数据以及您使用此类数据的所有方式？GDPR 第 30 条要求您维护您数据实践的当前映射。

隐私声明

GDPR（尤其是第 12 至 14 条）要求您向您处理其数据的个人提供特定信息，通常采用隐私声明或隐私政策的形式。

您可使用 Shopify 的隐私政策生成器来帮助您制定隐私政策。您可在“结账”或在线下的设置中找到它。

请考虑以下问题：

• 您的网站上是否有隐私政策，其中包含您需要根据法规提供的所有信息？它是否至少包括客户如何就隐私问题与您联系，以及客户如何行使其权利（例如删除或更正（修改或更正）其数据的权利以及访问该数据的权利）的相关信息？
• 您的隐私政策是否包括 Shopify 如何将您客户的个人数据用于自动的风险和欺诈评分？您（或您的服务提供商）将客户信息用于自动决策时，GDPR 要求您披露这些信息。Shopify 使用您客户的个人信息，通过自动决策阻止某些看似有欺诈性质的交易。Shopify 的隐私政策生成器包含此信息。有关此系统的详细信息，请参阅自动决策。

任命数据保护官

数据保护官 (DPO) 监督组织收集和处理个人数据的方式。如果公司的核心活动涉及大规模的在线跟踪，则 GDPR 要求您任命 DPO 并在隐私政策中提供 DPO 的联系信息。

GDPR 包括 DPO 需要完成的特定任务，例如，在您的组织更改其收集和处理个人数据的方式时，进行数据保护影响评估。DPO 可以由在 GDPR 和数据保护要求方面具有专业知识的内部人员担任，但您也可考虑与顾问或公司合作，由他们担任外部 DPO。

考虑以下问题：

• 有多少人受到您店面跟踪技术的影响？这些可能包括行为广告应用，甚至重定向应用。受影响的人数是否为“大规模”是一项法律决策，您应根据您的具体情况咨询律师。
• 您应主动任命 DPO 吗？即使法律上不要求您指定 DPO，如果您在欧洲占据举足轻重的地位，您可能希望主动这样做以确保您充分保护客户的数据。

数据处理协议

作为 GDPR 适用的数据控制方，第 28 条要求您在通过数据处理方（如 Shopify）处理客户数据时，您应对其可能使用和处理该数据的方式规定严格的协议要求。这通常通过数据处理附录或 (DPA) 完成。

Shopify 已自动将数据处理协议 (https://www.shopify.com/legal/dpa) 纳入服务条款，从而满足第 28 条要求。

对于 Shopify Plus 商家，他们与 Shopify 之间的关系将由他们的协商合同决定。Shopify Plus 商家可签署数据处理附录以满足他们的需求。未签署数据处理附录的 Shopify Plus 商家将受 Shopify 在线数据处理附录的监管。

考虑以下问题：

• 您在 Shopify 外部使用的其他数据处理者是否依照协议承诺保护您客户的数据？许多第三方应用、渠道、支付网关或其他数据处理者也会自动将数据处理协议纳入他们的条款中。您是否就这些事宜咨询过这些第三方？

• 您是具有协商合同的 Shopify Plus 商家吗？如果您想签署数据处理附录，请联系 Shopify Plus 客服。他们可以为您提供 Shopify 的模板 DPA 以进行签署。

客户同意

根据 GDPR 的规定，您可能需要取得同意才能处理客户的个人资料，或更改您目前取得此同意的方式。

例如，如果您要向客户发送营销消息，或者您正在使用在线广告或重定向应用，则可能需要获得客户的同意。

针对您需要获得同意的情况，GDPR 规定必须满足以下条件：

• 自愿给予：必须是完全自愿的行为，不应与其他商品或服务捆绑在一起。
• 具体：必须要有明确解释的用例。
• 知情：只有为数据主体提供了足够的个人数据信息，数据主体才表示同意。
• 明确：必须通过商家的肯定行为来证明（即，不仅仅是继续使用服务）。

这意味着需要向客户提供关于特殊用例的详细信息，并需要客户执行一些支持操作来表示同意。

最后，如果您为客户提供同意的机会，GDPR 还要求您的客户有撤回同意的途径。这通常可通过取消订阅功能来实现。如果您对应在何时以及如何获取收集个人数据的同意存在疑问，或者对您的客户被允许撤回同意的程度存在疑问，则您应咨询资深数据保护法律师。

但是，同意只是 GDPR 中可以对处理个人数据进行证明的众多法律基础之一。您还可以处理个人数据以履行合同要求，或者按法律要求对数据进行处理。

一些欧洲监管机构指出，如果您第一次征求同意但客户拒绝了，或者客户同意之后又撤回了同意，那么您可能无法再依靠其他法律依据来处理个人数据。因此，如果您不打算（或需要）依靠其他法律依据来处理个人数据，您只依靠同意即可。

备注：您可以在英国信息专员网站上阅读有关支持数据处理的不同法律依据的详细信息。

考虑以下问题：

• 您使用或处理客户数据的每种不同的方式是否有其法律依据？您处理数据前是否获得了客户的同意？您处理数据的目的是履行对客户的合同义务，还是增加自己的合法商业利益？您应该将法律依据记录为数据实践映射的一部分，如收集个人数据中所述。
• 如果您依赖于客户同意，您获得的同意是否与您提供的商品或服务捆绑在一起？例如，按照 GDPR 的要求，可能不再允许使用 by purchasing these goods, you agree to our use of your personal information 这样的语句。
• 您是否提供了有关您将如何使用相关个人数据的详细信息，从而足以确保征得客户的同意？
• 是否已记录并存储客户的同意信息？
• 您是否需要获得同意以向您的客户发送营销信息？如果您不需要根据 GDPR 获得同意，当地法律可能要求/不要求您获得同意才能/即可向客户发送营销信息。与律师讨论可能适用于您商店的具体要求。
• 如果您认为您需要获得同意才能发送营销传播信息，那么针对您商店的营销同意复选框是否默认为未选中？考虑设置您的店面，使向客户提供的营销同意复选框默认为不会预先选中，从而确保您的客户需要自己肯定以提供同意。

父母同意

针对处理 16 岁以下用户（某些国家/地区的这一年龄可能更低）的个人数据，GDPR 包括特定的父母同意要求。

请考虑以下问题：

• 您是否需要更改处理客户数据的方式，更改为停止处理 16 岁以下用户的数据，或者要获得家长同意？要实现这一点，您可以使用 Shopify 应用商店中限制年龄的应用来禁止 16 岁以下的用户访问您的站点，或者让访客确认自己超过法定成年年龄。

自动决策

如果您要将客户的个人信息用于进行任何自动决策，GDPR 要求您通知这些客户。

自动决策表示使用算法来确定个人是否符合使用某些服务或优惠的条件、是否应按特定价格付费，或者是否可能对某些类型的产品或服务感兴趣。

如果您使用的任何流程包含将对客户产生重大法律效力的完全自动决策（即没有任何人为干预），那么您需要得到客户的同意。

通常情况下，Shopify 不参与对客户个人数据的完全自动决策。

Shopify 进行风险和欺诈筛查时是唯一的例外情况，Shopify 可能会在特定次数的失败付款尝试后自动锁定付款卡号或 IP 地址。Shopify 认为这不会对客户产生重大的法律影响，因为自动锁定仅持续很短时间。

考虑以下问题：

• 您是否在隐私政策中包含了以下内容：Shopify 的风险和欺诈筛选可能会使用客户的个人信息进行自动决策？您可以在隐私政策的第 13 部分中阅读有关 Shopify 自动决策实践的详细信息。您还应根据您的具体情况向律师确认此服务对您的客户没有重大法律效力。
• 您是否在使用可能参与自动决策的第三方应用？您应该特别注意审核是否存在任何第三方风险或是否正在使用与店面相关的欺诈服务，或者是否存在可能生成个人资料或者针对您的客户群的任何类型的营销或广告应用。
• 如果您使用涉及到自动决策的第三方应用，那么您是否需要通知您的客户或获得他们的同意才能使用这些应用？

数据泄露通知

如果 GDPR 适用于您并且您遇到数据泄露，则您可能需要通知受影响的用户或特定的监管机构。

要特别注意的是，GDPR 要求在发生很可能对个人权利和自由产生不利影响的数据泄露时发出通知。

如果泄露的信息符合以下特征，则可能需要这样做：

• 包括付款详细信息。
• 可能会被用于泄露尴尬信息或个人信息。
• 可能会被用于访问个人的账户或服务。

在适用的情况下，您需要在发现违规行为后 72 小时内尽快发出通知。

考虑以下问题：

• 您是否曾咨询过律师以确定在遇到数据泄露时您需要针对哪些所收集和处理的信息提供相关通知？
• 您是否有针对您业务的数据泄露响应计划，从而为此类事件做好准备？
• 包括付款详细信息。
• 可能会被用于泄露尴尬信息或个人信息。
• 可能会被用于访问个人的账户或服务。

GDPR 对使用第三方供应商和服务提供商来处理其用户的个人数据的所有公司提出了要求。

Shopify 使用多个分支处理机构来处理客户的数据。有关 Shopify 的分支处理机构的更多信息，请参阅 Shopify 的分支处理机构。

请考虑以下问题：

• 您是否审核过您使用的供应商和服务提供商（包括 Shopify）的隐私保护措施，从而确保您对他们如何保护您客户的个人数据感到满意？

第三方应用

GDPR 要求您采取一些与您和您的第三方服务提供商收集和使用个人数据相关的肯定步骤。其中包括 Shopify，以及您可能用于 Shopify 商店的第三方应用。

Shopify 已采取措施，让您更容易了解您安装的应用可以访问哪些个人数据。

步骤：

1. 在 Shopify 后台中，点击应用。

2. 在要查看其权限的应用上点击查看详细信息。

在应用商店的安装屏幕上安装应用之前，您还可以查看应用权限。

此外，针对每个应用，应用商店中还有一个链接到隐私政策的部分，更详细地解释了应用开发者正在收集什么数据，以及他们将如何使用这些数据。

Shopify 希望使您尽可能轻松地评估您选择安装的应用的数据实践，但您需要确保使用的是符合 GDPR 的第三方应用。

请考虑以下问题：

• 基于您的地点、您客户的地点、您应用开发人员的地点以及每个应用的实现情况，您是否使用的是符合 GDPR 的第三方应用？如果您对特定应用的数据实践是否涉及其他考虑事项或是否能使您符合 GDPR 存在疑问，请咨询律师。

国际数据转移

除非个人数据得到充分保护，否则 GDPR 禁止将欧洲人员的个人数据输出到欧洲外部。

Shopify 按照 GDPR 的要求保护个人数据，在数据转移至美国和加拿大并在这些地方进行处理的过程中，对其进行保护。

Shopify 已对自身的数据流进行了设置，从而满足商家的这些需求。如 Shopify 隐私政策中所述，所有欧洲的个人数据最初均接收自商家，并由 Shopify 位于爱尔兰的子公司 Shopify International Ltd. 在爱尔兰进行处理。Shopify 随后将根据 GDPR 的规定传输此类数据。

请考虑以下问题：

您是否确保您向其转移数据的其他方将在遵守 GDPR 的情况下跨国际边境转移该数据？要实现此目的，您可以查看第三方应用、渠道、支付网关或其他供应商的隐私政策，了解其是否说明了将如何保护欧盟数据。