Cara yang baik untuk mengurangi risiko bagi pengguna adalah dengan tidak menyimpan data sensitif tentang mereka yang tidak Anda perlukan dan memengaruhi privasi mereka. Ada banyak cara untuk melakukannya sekaligus memenuhi sasaran bisnis Anda, dan sebaiknya pertimbangkan setiap cara tersebut. Anda mungkin:
- Jelaskan untuk apa data tersebut Anda butuhkan.
- Kumpulkan data dengan tingkat perincian yang lebih rendah.
- Menghapus data setelah digunakan.
- Tidak mengumpulkannya terlebih dahulu.
Setiap pendekatan ini dapat membantu pengguna merasa lebih nyaman dengan apa yang Anda lakukan dan alasannya, dan hal ini sangat berkontribusi pada hubungan Anda dengan mereka. Transparansi membangun kepercayaan, dan yang penting, kepercayaan dapat menjadi nilai jual yang unik bagi Anda. Banyak orang menganggap bahwa pengguna dan pelanggan memercayai mereka secara default, tetapi konsumen terus mengevaluasi produk dan layanan, dan hal ini mungkin tidak terjadi. Jika Anda membangun hubungan dengan pengguna yang memercayai Anda untuk menangani data mereka dan interaksi Anda dengan hormat, hal ini dapat memberikan keunggulan kompetitif bagi Anda sebagai project atau bisnis: ini adalah sesuatu yang mungkin tidak cocok dengan pesaing Anda, sebuah pembeda yang nyata.
Mari kita uraikan pendekatan di atas, dalam urutan yang paling efektif (tetapi juga paling berdampak pada bisnis Anda) hingga yang paling tidak efektif tetapi tidak terlalu mengganggu implementasinya.
Jangan mengumpulkannya terlebih dahulu.
Cara paling jelas untuk menghindari kompromi data pengguna Anda adalah dengan tidak mengumpulkannya. Beberapa pengumpulan data diperlukan untuk menyediakan layanan, tetapi ada lebih banyak tempat yang dapat Anda hindari untuk pengumpulan data daripada yang Anda bayangkan. Misalnya, pertimbangkan checkout tamu. Saat pengguna datang untuk membeli sesuatu menggunakan aplikasi web Anda, Anda dapat mewajibkan mereka untuk mendaftar ke akun, karena dengan begitu, Anda telah mengumpulkan detail pribadi untuk fulfillment di lain waktu: mereka dapat ditambahkan ke milis, mereka sudah dipra-kualifikasi sebagai pelanggan yang berminat, dan sebagainya. Namun, pelanggan mengenalinya dan tidak menyukainya: pada tahun 2021, sebuah studi menemukan bahwa satu dari empat penjualan yang ditinggalkan disebabkan situs meminta pengguna untuk membuat akun. Jika Anda tidak memerlukan akun, kemungkinan besar Anda mempertahankan pelanggan tersebut. Memungkinkan untuk menyelesaikan pembelian tanpa mendaftar memberi pilihan pengguna yang lebih baik dan juga berarti Anda tidak memiliki banyak data mereka untuk dilindungi dan diamankan.
"Mengacak" data Anda
Tentu saja, menghindari pengumpulan data sama sekali tidak dapat dilakukan. Penting untuk mengumpulkan data guna memberikan layanan dan membuat keputusan bisnis yang masuk akal. Anda juga dapat membangun komunikasi pemasaran dalam konteks hubungan yang harmonis. Namun, penting juga untuk menyadari bahwa keputusan yang dibuat secara agregat (yaitu, yang memengaruhi banyak pengguna sekaligus) tentang data secara agregat (yaitu, tentang properti kolektif dari data).
Misalnya, terkadang ada gunanya mengetahui demografi audiens Anda: mereka termasuk dalam kelompok usia mana, lokasi, dan sebagainya. Hal ini dapat mengubah pesan atau pendekatan Anda. Namun, bukan berarti Anda harus mengumpulkan usia untuk setiap pengguna layanan Anda. Yang sering Anda cari adalah tren dan properti secara keseluruhan. Jika keputusan yang Anda inginkan jangkauan dipengaruhi oleh apakah sebagian besar audiens Anda berada di "demografi utama berusia 18-34 tahun", maka satu-satunya pertanyaan yang benar-benar Anda butuhkan ditanyakan adalah apakah pengguna berada dalam demografi itu. Tindakan ini akan mengumpulkannya ke dalam dua "bucket": dalam grup tersebut dan tidak dalam grup tersebut. Mungkin ada situasi saat Anda memerlukan data yang lebih terperinci dari itu, tetapi tidak ada salahnya untuk mengambil daftar demografi yang Anda gunakan untuk membuat keputusan dan meminta pengguna untuk mengklasifikasikan diri mereka dengan daftar tersebut.
Contoh
Jadi, jika Anda ingin mengetahui pembagian basis pengguna berdasarkan kategori usia "18-34", "35-49", "49-64", dan "65+", Anda dapat meminta pengguna untuk memilih kategori mana yang sesuai dengan mereka. Anda tergoda untuk meminta hal-hal yang sangat terperinci, data pribadi dan data yang dipersonalisasi, lalu mengklasifikasikan sendiri pengguna Anda, karena ini menghindari keharusan untuk mengajukan pertanyaan yang sama nanti secara lebih detail; misalnya, untuk menanyakan usia dan tanggal lahir yang tepat, lalu menggunakannya untuk membuat daftar Anda sendiri tentang cara banyak pengguna berada di "35-49" kategori. Namun, penting untuk memahami tampilannya: seperti yang telah dibahas dalam kursus dan akan dibahas lagi, meminta tingkat data yang mendetail dapat membuat orang merasa tidak nyaman sehingga mengurangi kepercayaan pengguna terhadap organisasi Anda, sekaligus menambah risiko.
Penting juga untuk mempertimbangkan kebutuhan data Anda. Terkadang, "kebutuhan" untuk data yang lebih terperinci bersifat spekulatif, "untuk berjaga-jaga" persyaratan. Mungkin sekarang kita hanya perlu mengklasifikasikan pengguna ke dalam empat kelompok usia tersebut, tetapi di masa depan kita mungkin ingin mempersempitnya, dan karena itu kita harus mengumpulkan data yang sangat rinci agar opsi itu tetap terbuka untuk nanti. Sebaiknya pertimbangkan seberapa sering data yang lebih terperinci sebenarnya telah digunakan di masa lalu untuk memandu keputusan. Meminta data yang dianggap invasif dibandingkan dengan layanan yang ditawarkan tentu saja mengakibatkan penurunan seberapa besar organisasi/pengaturan. Jika data itu dikumpulkan untuk alasan "untuk berjaga-jaga", maka Anda tidak hanya menghilangkan kepercayaan pengguna untuk keputusan bisnis yang lebih baik tetapi menukarnya hanya untuk kemungkinan beberapa keputusan teoretis di masa depan yang mungkin bahkan tidak ada, sambil mengambil persyaratan keamanan untuk informasi itu.
Ada juga cara algoritma yang lebih mendetail untuk mengurangi perincian data yang dikumpulkan. Metode respons acak berarti bahwa data dikumpulkan dengan tingkat ketidakakuratan yang dapat disesuaikan, dan ini telah digunakan selama beberapa dekade di dunia sosial ketika mengumpulkan data yang berpotensi invasif atau sensitif dengan tetap menjaga kerahasiaan responden. Tujuan pengumpulan data di atas melibatkan perluasan jawaban pengguna (jadi “berapa usia Anda” menjadi "Anda termasuk dalam kelompok usia mana berikut ini"), di mana respons acak melibatkan proporsi tertentu pengguna berbohong tentang jawaban mereka. Jika proporsi pengguna yang merespons dengan salah diketahui, kesimpulan yang bermakna masih dapat diambil dari data yang dikumpulkan, tetapi privasi pengguna perorangan tidak akan terganggu karena data yang dikumpulkan mungkin salah. Dalam hal ini, jika 80% audiens Anda masih menyatakan bahwa mereka termasuk dalam demografi 18-34 tahun, Anda dapat bilang cukup yakin bahwa ini masih merupakan pangsa terbesar, meskipun 10% dari mereka sengaja memberikan jawaban yang salah. Tingkat kesalahan juga dapat diubah secara terprogram, dengan jawaban yang benar selalu diminta, tetapi software mengubah persentase jawaban tertentu sebelum mengirimkannya. Proses ini dan konsekuensinya juga dapat dijelaskan kepada pengguna saat data dikumpulkan: itu berarti pengguna tidak harus percaya bahwa Anda tidak akan menyalahgunakan mengumpulkan data, karena setiap data tidak dapat diandalkan.
Proses serupa, tetapi lebih terlibat secara teknis adalah privasi diferensial. Ini menggunakan teknik matematis untuk mengubah penyimpanan data sehingga properti gabungan data masih ada, tetapi maka tidak mungkin untuk mengetahui apakah individu tertentu bahkan memberikan data, atau data mana yang diberikan. Seperti respons acak, hal ini melindungi data pengguna bahkan dari Anda dan menunjukkan niat yang jelas dari pihak Anda: Anda tidak dapat menggunakan data pengguna jika tidak memiliki data tersebut.
Pendekatan ini dan pendekatan serupa juga memberikan peningkatan keamanan terhadap pelanggaran dan kebocoran data, karena data yang dikumpulkan mengurangi penyusupan privasi pengguna, bahkan bagi Anda, dan juga akan mengurangi tingkat penyusupan jika data bocor. Namun, ingatlah bahwa jika Anda menerapkan teknik privasi diferensial di server (sehingga pengguna mengirimkan data yang tidak digabungkan, lalu Anda menggunakan teknik tersebut untuk menggabungkannya), Anda tetap perlu mengamankan data pengguna mentah tersebut, lalu menghapusnya setelah diproses, dan harus memiliki serta mengikuti kebijakan yang jelas untuk mengonfirmasi bahwa Anda tidak menggunakannya sebelum agregasi (atau jelas tentang tujuan penggunaannya).
Retensi: mengumpulkan data, lalu menghapusnya setelah digunakan
Penting untuk diingat bahwa data yang dikumpulkan memiliki siklus hidup; data dikumpulkan, dan digunakan untuk membantu Anda membuat keputusan bisnis, dan pada suatu saat, data itu harus dihapus. Ini adalah, sekali lagi, kompromi: ketika Anda mengajukan pertanyaan kepada pengguna, atau Anda Anda menyimpan informasi tentang situs web lain yang mereka kunjungi, atau melacak hal-hal yang mereka lihat dan durasinya secara berurutan membuat prediksi tentang preferensi mereka, ini adalah data yang diberikan kepada Anda untuk tujuan tertentu-bukan hibah terbuka untuk digunakan pengembang sesuai kebutuhan. Jika data tersebut tidak lagi diperlukan untuk tujuan tersebut, terkadang setelah satu menit, terkadang setelah bertahun-tahun, data tersebut harus dihapus.
Setiap kali mengumpulkan informasi tentang pengguna, Anda harus tahu tujuan penggunaan data tersebut (lihat di bawah) dan Anda juga harus mengetahui kapan dan mengapa Anda akan berhenti menyimpan data tersebut. Hal ini mungkin terjadi saat pengguna memilih untuk menghapusnya, atau saat mereka logout, setelah jangka waktu tertentu, atau setelah peristiwa tertentu terjadi. Cara terbaik untuk membangun kepercayaan dalam hubungan adalah dengan menjelaskan kepada pengguna cara mereka dapat mengontrol data tentang mereka, termasuk, jika memungkinkan, pilihan untuk tidak ikut secara sepihak. Bagaimana cara mereka menghapus data mereka? Bagaimana cara dia menghapus akunnya? Selain membantu membangun hubungan tersebut, praktik terbaik adalah menyimpan data selama Anda perlu memprosesnya dan tidak lebih lama, serta harus ada cara bagi pengguna untuk melihat dan menghapus data yang Anda kumpulkan dari mereka atau atas nama mereka. Bahkan mungkin ada undang-undang tentang hal ini di wilayah yang Anda operasikan.
Ini adalah area tempat Anda dapat menentukan sasaran teknis yang jelas, yang membantu pengguna dengan layanan mandiri; jika pengguna dapat memilih untuk tidak menggunakan gudang data Anda tanpa harus meminta izin, mereka akan merasa jauh lebih nyaman dengan memilih untuk menggunakan, dan tidak memerlukan resource dukungan apa pun untuk melakukannya.
Penting untuk memahami pentingnya kemudahan dan ketidakikutsertaan default: "Untuk membangun kepercayaan dan pengakuan, perusahaan dapat memulai dengan menyetujui kontrak sosial di mana mereka berkomitmen untuk menghormati audiens mereka di setiap poin kontak, mendengarkan kebutuhan mereka, dan merespons dengan sesuai", kata IAPP. Nielsen Norman Group mengatakan bahwa pengguna "memerlukan 'pintu keluar darurat' yang ditandai dengan jelas untuk keluar dari tindakan yang tidak diinginkan tanpa harus melalui proses yang panjang". Semua orang tahu bahwa lebih mudah untuk berlangganan daripada berhenti berlangganan. Tetapi, seperti yang dikatakan Nielsen Norman, memberi pengguna kemampuan untuk pergi tanpa harus melewati rintangan, "membangun rasa kebebasan dan kepercayaan diri". Studi akademis mendukung hal ini dan menyebutnya sebagai "prinsip pencabutan izin", yang menyatakan: "Antarmuka harus memungkinkan pengguna dengan mudah mencabut otoritas yang telah diberikan pengguna di mana pun pencabutan dapat dilakukan. Pengguna harus dapat mencabut izin tersebut sehingga mengurangi otoritas untuk mengakses resource mereka jika memungkinkan." (Lihat Yee dan Iacono untuk mengetahui contohnya.)
Durasi retensi data, dan data yang akan dipertahankan, adalah subjek yang sangat berbeda antara organisasi dan antara project, tetapi ada beberapa pedoman umum yang perlu dipertimbangkan.
Anjuran
Hal ini berguna untuk mengizinkan pengguna menghapus akun (dan data terkait, jika memungkinkan) dan secara rutin (misalnya, saat logout) menghapus data yang disimpan secara lokal dan sementara saat logout dengan header Clear-Site-Data.
Berikan header Clear-Site-Data untuk menghapus sebagian atau semua data pengguna yang telah disimpan di sisi klien (baik di cookie,
localStorage, atau IndexedDB, atau di cache browser), jika wajar. Kasus penggunaan yang jelas untuk
Clear-Site-Data adalah ketika pengguna
logout, tetapi juga dapat digunakan setelah insiden keamanan untuk memastikan bahwa akun yang berpotensi disusupi tidak memiliki jejak yang tersisa
dari data yang disusupi yang
disimpan di klien.
Menambahkan dukungan untuk Clear-Site-Data melibatkan pengiriman header HTTP, Clear-Site-Data, saat pengguna logout (atau di
kapan Anda ingin menghapus penyimpanan sisi klien), di halaman yang mengonfirmasi status logout (https://your-site/logout
atau yang serupa). Header ini dapat memiliki beberapa atau semua nilai berikut, atau "*" untuk semua:
Clear-Site-Data: "cache", "cookies", "storage"
Nilai ini masing-masing menghapus halaman yang di-cache (dan resource lain yang di-cache HTTP), cookie yang disimpan, serta localStorage dan IndexedDB dan sejenisnya.
Anda mungkin melihat referensi ke opsi lain, executionContexts, tetapi opsi ini tidak didukung oleh banyak browser.
Perhatikan bahwa menggunakan header Clear-Site-Data kemungkinan akan lebih mudah daripada menghapus sendiri semua resource yang dibuat satu per satu, karena tidak memerlukan kode JavaScript untuk
berjalan di klien (dan ini adalah satu-satunya cara resmi untuk membersihkan cache browser), tetapi tidak didukung oleh semua browser.
Catatan penggunaan: Jika Anda menghapus cache (dengan mengirim Clear-Site-Data: cache), header Clear-Site-Data tidak boleh
dikirim di halaman logout yang sebenarnya, tetapi di beberapa resource lain yang dimuat halaman. Hal ini karena pada komputer yang lebih lambat
dengan cache besar, halaman akan diblokir saat menghapus cache dan hal ini mencegah navigasi. Ini bisa memakan waktu beberapa menit,
yang akan membuat pengguna frustasi. Hal ini tidak mungkin terjadi, tetapi sulit diuji, dan oleh karena itu, praktik terbaik adalah mengingat hal ini.
Jelaskan tujuan Anda memerlukan data
Pentingnya kepercayaan dalam hubungan pengguna dengan layanan Anda telah dinyatakan berulang kali, karena hal ini meningkatkan masa aktif pengguna. Hal ini juga memberikan keunggulan kompetitif. Salah satu cara untuk meningkatkan tingkat kepercayaan tersebut adalah dengan transparansi dalam proses Anda, dan cara yang baik untuk bersikap transparan adalah dengan menjelaskan tujuan Anda mengumpulkan data. Anda telah belajar sebelumnya bahwa untuk setiap hal yang dikumpulkan, Anda harus tahu kapan hal tersebut akan dihapus. Untuk mengetahui hal itu, Anda perlu tahu mengapa Anda menginginkan data ini, pertanyaan spesifik mana yang membutuhkannya dalam untuk menemukan jawaban, dan keputusan mana yang akan dipandu dengan cara mengumpulkannya. Setelah Anda mengetahui alasan Anda memerlukan data yang telah Anda minta pengguna untuk berikan, hal ini akan membantu membangun kepercayaan dengan menjelaskannya kepada pengguna tersebut. Dalam kebijakan privasi, atau saat mengajukan pertanyaan tentang pembuatan akun, jelaskan alasan Anda memerlukan jawaban atas pertanyaan tertentu ini, apa yang akan Anda lakukan dengan data tersebut, serta kapan dan bagaimana data tersebut dapat dihapus.
Penjelasan ini akan terlihat jauh lebih jelas jika ditampilkan secara inline. Mengubur penjelasan dalam dokumen kebijakan yang padat di tempat lain di situs tampak seperti upaya untuk menyembunyikannya. Formulir pendaftaran, checkout, atau permintaan dapat menunjukkan alasan untuk mengumpulkan data bersamaan dengan pengumpulan data. itu sendiri. Sering kali, bidang formulir memiliki tanda bintang (*) untuk menunjukkan bahwa bidang wajib diisi; formulir yang rumit sering kali memiliki tautan informasi (i) untuk menjelaskan apa arti bidang tersebut. Pertimbangkan untuk menambahkan penjelasan tentang mengapa data dikumpulkan. Frasa yang sering digunakan untuk hal ini adalah "Mengapa kita memerlukannya?" di samping kolom formulir, yang jika diklik akan menampilkan penjelasan pop-up.
Beberapa contoh HTML mungkin terlihat seperti berikut, kemudian CSS dan JavaScript akan menyembunyikan <aside> dan menampilkannya sebagai pop-up saat
tautan diklik. (Pastikan untuk mengonfirmasi aksesibilitas formulir yang Anda buat untuk situs Anda!)
Cara tepatnya untuk menatanya bergantung pada gaya dan pendekatan Anda, tetapi poin utamanya di sini adalah mengaitkan pengumpulan data secara langsung dengan
penjelasan alasan data tersebut dikumpulkan. Hal ini tidak diperlukan untuk setiap kolom. Tidak ada yang membutuhkan penjelasan
mengapa Anda mengharuskan mereka
pilih sandi saat mendaftar. Namun, menyertakan informasi tentang cara Anda berencana menggunakan dan menyimpan informasi pribadi dan kontak dapat membantu
menjelaskan kepada pengguna bahwa Anda berkomitmen untuk melindungi data mereka.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Melalui proses ini dengan semua informasi yang Anda kumpulkan tentang pengguna juga dapat membantu proses dan diskusi internal. Sebelumnya, Anda melihat bagaimana mungkin ada godaan untuk mengumpulkan data "untuk berjaga-jaga". Jika Anda bersikap transparan tentang alasan mengumpulkan data, hal ini akan terlihat jelas. Jika Anda enggan untuk menuliskan apa yang ingin Anda ada hubungannya dengan data pengguna, karena pengguna tersebut tidak akan menyukai penjelasannya, hal ini mungkin merupakan tanda bahwa perlu dipertimbangkan kembali untuk mengumpulkannya. anotasi. Hal ini berlaku jika penjelasan yang tidak menyenangkan terlalu mengganggu ("kami akan menggunakannya untuk melacak tempat yang Anda kunjungi setiap jam"), terlalu luas ("kita tidak tahu untuk apa kita akan menggunakannya, tetapi kita menginginkannya jika kita memikirkan sesuatu untuk itu"), atau terlalu mengelak dari tindakan tersebut. ("kami akan menggunakannya untuk tujuan internal yang tidak diungkapkan"). Ini bukan hanya pertanyaan tentang moralitas; orang cukup cerdas untuk mengenali hal ini, seperti yang telah dijelaskan, dan ada harapan pengguna bahwa bereksperimen dengan sesuatu bukanlah awal dari komitmen jangka panjang. Adalah hal umum dalam desain pengalaman pengguna untuk membuat proses pendaftaran jadi bebas hambatan dan semudah mungkin, karena pada tahap awal, pengguna (menurut definisi) tidak terlalu banyak berinvestasi dalam layanan Anda, sehingga penting untuk memungkinkan mereka menjadi lebih mudah berinvestasi ketika mereka memiliki sedikit kecenderungan untuk melakukannya. Jika mudah untuk keluar lagi, maka bereksperimen dengan layanan akan benar-benar menjadi eksperimen dan bukan awal dari komitmen jangka panjang yang dipaksakan. Seperti sebelumnya, memang paradoks, tetapi kenyataannya cara terbaik untuk membangun kepercayaan adalah dengan tidak mengharuskan pengguna untuk memercayai Anda jika mereka saya tidak menginginkannya.
Orang-orang memiliki alasan yang baik untuk tidak membagikan data, atau membagikan data minimal. Pada awal hubungan Anda dengan mereka, mereka mungkin tidak punya alasan untuk mempercayai Anda, dan seharusnya tidak perlu. Tujuan Anda adalah menunjukkan alasan mereka harus melakukannya.
Anjuran
- Tentukan alasan Anda ingin mengumpulkan semua data yang direncanakan dan berapa lama Anda akan menyimpannya.
- Saat meminta data tersebut, jelaskan kepada pengguna alasan Anda mengumpulkannya.
- Hapus dari {i>database<i} server Anda setelah Anda menggunakannya.
- Izinkan pengguna menghapus akun yang telah mereka buat dan menghapus data yang disimpan dari penyimpanan mereka dengan header
Clear-Site-Data.
Mengapa
Membangun hubungan dengan pengguna Anda adalah tentang kepercayaan, dan kepercayaan adalah tentang keterbukaan. Jika Anda dapat menunjukkan bahwa Anda tidak hanya mengumpulkan data sebanyak mungkin tentang pengguna dan menyembunyikan penggunaannya, sehingga membantu membangun kepercayaan, yang dapat menjadi keunggulan kompetitif bagi Anda dibandingkan rival yang tidak terlalu ketat.