只使用您需要的数据

降低用户风险的一个好方法是，不要保留不需要的那些会影响用户隐私的敏感数据。 令人惊讶的是，有许多方法都可以做到这一点，同时还能实现您的业务目标，因此值得您仔细考虑。 您可以：

• 说明您需要这些数据做什么用途。
• 以较低的粒度收集数据。
• 使用后移除数据。
• 一开始就不要收集。

上述每种方法都可以帮助用户更放心地了解您在做什么以及原因，这对您与用户的关系有很大帮助。透明度有助于建立信任，而信任是您独特的卖点。许多人认为用户和客户会默认信任他们，但消费者会不断评估产品和服务，情况可能并非如此。如果您与用户建立了良好的关系，让他们信任您会以尊重的方式处理他们的数据和互动，那么这对您作为项目或企业而言，可以带来竞争优势：这是您的竞争对手可能无法比拟的，是真正的差异化因素。

下面，我们将按效果从高到低（对业务的影响也从大到小）的顺序，对上述方法进行详细介绍。

从一开始就不要收集相关数据

避免用户数据泄露的最明显方法就是不收集用户数据。必须收集一些数据才能提供服务。 不过，在很多方面您可以避免数据收集，这比您想象的要多。例如，以访客身份结账。 当用户使用您的 Web 应用购物时，您可能会要求他们注册一个账号，因为这样的话 您已经捕获了个人详细信息以供日后履单：这些个人详细信息可以添加到邮寄名单中，而且他们已经完成了资格预审 等等。不过，客户也意识到这一点，并对此不满：2021 年的一项研究发现，四分之一的销售交易流失，都是因为网站要求用户创建账号。如果您不需要账号，您留住这些客户的可能性会更大。 让用户无需注册即可完成购买，可为用户提供更好的选项，同时也意味着您需要保护和确保的用户数据会减少。

“模糊”您的数据

当然，完全避免收集数据可能不是一个选项。请务必收集数据，以便提供服务和确保 做出明智的业务决策。在建立信任关系的背景下制作营销传播也会很有帮助。 不过，您也要认识到，整体决策（即一次影响许多用户）是自己做出的， 汇总数据（即数据的集合属性）。

例如，了解观众的受众特征有时非常有用：这些观众所属的年龄段、 位置等。这可能会改变您的宣传内容或做法。但这并不意味着您需要收集 确保每位使用服务的用户都能达到期望的年龄您经常会查看的是趋势和整体房源信息。如果您希望做出的决策会受到大多数受众群体是否属于“18-34 关键受众特征”的影响，那么您实际上只需要问一个问题，即您的用户是否属于该受众特征。这会将他们收集到两个“存储桶”中：属于该组和不属于该组。 在某些情况下，您需要比这更精细的数据，但采用受众特征列表是完全合理的。 您做决定时所使用的方法，以及要求用户根据该列表对自己进行分类。

示例

因此，如果您希望了解用户群体在“18-34 岁”“35-49 岁”“49-64 岁”和“65 岁以上”这四个年龄段中的分布情况，可以要求用户选择自己属于哪个年龄段。我们很想要求提供非常细化的数据， 个人数据和个性化数据，然后自行对用户进行分类，这样就避免了在 Google Ads 中重复询问同样的问题 稍后会详细介绍例如，询问确切的年龄和出生日期，然后使用这些数据生成自己的列表， 许多用户属于“35-49 岁”类别。但重要的是认识到这个过程是怎样的，因为本课程已经介绍了 要求提供详细的数据级别可能会让人感觉不舒服，进而降低用户对组织的信任， 同时增加风险

考虑您的数据需求也很重要。有时，“需求”是推测性的，“以防万一” 。也许我们现在只需要将用户分为这四个年龄段，但将来我们可能希望 缩小范围，所以我们现在应该收集非常详细的数据，以便将来继续选择。建议 考虑过去使用更精细的数据来指导决策频率。要求提供的数据 Google 认为相对于所提供的服务具有侵略性，必然会降低用户对您网站的信任 组织。如果您出于“以防万一”的原因收集这些数据，那么您不仅会为了做出更明智的业务决策而牺牲用户信任，还会为了可能根本不存在的未来某种理论决策而牺牲用户信任，同时还要承担相应信息的安全要求。

您还可以通过更精细的算法来降低收集数据的精细程度。随机响应方法是指收集数据时会采用可调节的不准确程度，这种方法在社会科学领域已经使用了数十年，用于收集可能具有侵入性或敏感性的数据，同时保护回复者的隐私。通过 上述数据收集方法涉及扩充用户的答案（“您的年龄”会变为 “您属于以下哪个年龄段”），其中，随机回答涉及到 的用户会为自己的答案撒谎。如果知晓响应错误的用户比例，就可以得出有意义的结论 仍可从收集的数据中提取信息，但用户隐私不会受到损害，因为他们收集到的数据 不正确。在这种情况下，如果您 80% 的观众仍表示他们属于 18-34 岁这一受众特征，您就可以 这个回答对自己仍然是最大的份额的判断，即使其中 10% 的受访者故意给出不正确的回答也是如此。 错误程度也可以通过编程方式进行更改，即始终征求正确答案，但软件会在传输前更改一定比例的答案。此流程及其后果 在收集数据时向用户说明：这意味着用户不必相信您不会滥用其 因为个别数据并不可靠。

一个类似但技术更为复杂的过程是差分隐私。 这种方法使用数学方法来更改数据存储，以便数据的汇总属性仍然存在，但我们甚至无法判断特定个人是否提供了数据，或者他们提供了哪些数据（如果有）。与随机回答类似，这可以保护用户数据（包括您提供的数据），并表明您的意图非常明确： 您不能使用用户的如果您没有此类数据

这些方法及其类似方法还能增强安全性，防止数据泄露和数据泄漏，因为收集的数据可减少对用户隐私（甚至对您）的侵犯，并在数据泄露时降低侵犯程度。不过，请注意，如果您在服务器上应用差分隐私技术（即用户向您发送未汇总的数据，然后您使用这些技术对其进行汇总），则仍需要保护这些原始用户数据，并在处理后将其删除。此外，您应制定并遵守明确的政策，以确认您不会在汇总之前使用这些数据（或明确说明您将如何使用这些数据）。

保留：收集数据，并在使用后移除

请务必注意，收集到的数据具有生命周期；数据被收集后，会用于帮助您做出业务决策，然后在某个时间点应被移除。这又是一次权衡：当您向用户提问、存储用户访问过的其他网站的相关信息，或者跟踪用户查看了哪些内容以及查看了多长时间，以便预测用户的偏好时，这些数据是出于特定用途而授予您的，而不是供开发者自行使用的开放式授权。当不再需要这些数据来用于特定用途时（有时 就应该删除。

每次收集用户信息时，您都应该清楚这些数据的用途（见下文），并应 您还要知道何时以及为何停止保留这些数据这可能发生在用户选择删除数据时、退出账号时、特定时间段过后或特定事件发生后。要想建立牢固的信任关系，一个绝佳的方法是向用户明确说明他们可以如何控制与其相关的数据，包括尽可能提供单方面停用选项。他们如何删除自己的数据？他们如何删除自己的账号？除了帮助建立这种关系外，最好 只要您需要处理数据即可存储数据，而无需长时间存储数据，并且应该为用户提供 查看和移除您从第三方或您代表对方那里收集的数据。在这一方面， 即由您自己运营

您可以在这个领域定义明确的技术目标，帮助用户实现自助服务；如果您的用户可以选择停用 而无需请求许可，这样他们就可以更放心地选择启用，而且它也不会 使用任何支持资源执行此操作。

我们必须认识到简单和默认拒绝联系的重要性：“为了建立信任和认可，公司可以 首先同意社会合同，承诺在每个接触点都尊重受众群体， 倾听他们的需求，并做出相应的回应”，IAPP 说道。 Nielsen Norman Group 表示，用户“需要明确标示的 “紧急退出”让用户无需执行不必要的操作”。每个人都知道，订阅比退订更容易。不过，正如 Nielsen Norman 所说，让用户能够在不必完成繁琐的步骤的情况下离开，有助于“培养自由和自信”。学术研究也印证了这一点，并将其命名为“ “可撤销”的说明：“界面应让用户能够轻松撤销用户已授权的任何权限，无论其位于何处” 可以撤消用户应该能够撤消此类同意，从而减少访问其资源的授权机构 。”（如需查看示例，请参阅 Yee 和 Iacono。）

数据保留时长和要保留的数据因组织和项目而异，但有一些常见的准则值得考虑。

正确做法

在这种情况下，允许用户删除账号（以及可能删除的任何关联数据），并定期（例如在退出账号时）使用 Clear-Site-Data 标头清除临时数据和本地存储的数据，非常有用。

在合理的情况下，提供 Clear-Site-Data 标头以移除存储在客户端（无论是在 Cookie、localStorage 或 IndexedDB 中，还是在浏览器缓存中）的部分或全部用户数据。Clear-Site-Data 的明显用例是用户退出账号时，但它也可以在发生安全事故后使用，以确保可能已遭到入侵的账号在客户端上没有任何存储的已泄露数据的残留痕迹。

添加对 Clear-Site-Data 的支持需要在用户退出账号（或您希望清除客户端存储空间的其他时间）时，在确认已退出账号的页面（https://your-site/logout 或类似页面）上发送 HTTP 标头 Clear-Site-Data。此标头可以具有以下部分或全部值，也可以使用 "*" 表示所有值：

Clear-Site-Data: "cache", "cookies", "storage"

这些值分别会清除缓存的页面（和其他 HTTP 缓存的资源）、存储的 Cookie、localStorage 和 IndexedDB 等。 您可能会看到对另一个选项 executionContexts 的引用，但许多浏览器都不支持此选项。 请注意，使用 Clear-Site-Data 标头可能比自行逐个删除所有已创建的资源更简单，因为它不需要在客户端上运行 JavaScript 代码（并且它是清除浏览器缓存的唯一官方方式），但并非所有浏览器都支持。

使用注意事项：如果您要清除缓存（通过发送 Clear-Site-Data: cache），则不应在实际退出登录页面上发送 Clear-Site-Data 标头，而应在该页面加载的某些其他资源上发送。这是因为在缓存较大且运行速度较慢的计算机上，网页会在清除缓存时阻塞，这会导致无法导航。这可能需要几分钟的时间，会让用户感到沮丧。这种情况不太可能发生，但很难进行测试，因此最好牢记这一点。

说明您需要哪些数据

我们反复强调，用户与服务之间的信任关系非常重要，因为这有助于提高用户的长期留存率。这还能为您带来竞争优势。提高这种信任度的方法之一是让您的流程更加透明，而实现透明度的好方法是说明您要使用数据做什么。您之前了解到，对于收集的每项内容，您都应知道该内容将被删除的时间。要想了解这一点，您需要知道为何要这些数据，以及哪些具体问题需要这些数据 来寻找答案，以及收集这些信息可以作为指导做出哪些决策。在您了解自己为何需要用户提供某项数据后，向用户说明这一点有助于建立信任。在您的隐私权政策中或询问有关账号的问题时 请说明您为什么需要这一特定问题的答案、您将如何使用这些数据，以及何时以及如何移除这些数据。

这些以内嵌方式呈现的说明会更加显眼。在网站其他地方的密集政策文档中隐瞒解释 看起来像是在试图隐藏他们。注册表单、结账表单或申请表单中可以同时说明收集数据的原因和收集数据的行为本身。通常，表单字段可能会带有星号 (*)，以指示某个字段是必填字段；复杂表单通常包含信息链接 (i) 解释此字段的含义。建议您在这些解释中添加关于为何收集数据的说明。经常 “我们为什么需要这个？”按钮，点击该按钮后，系统会显示弹出式说明。

一些示例 HTML 可能如下所示，然后 CSS 和 JavaScript 会负责隐藏 <aside>，并在出现以下情况时将其显示为弹出式窗口 链接。（请务必确认您为网站创建的表单是否符合无障碍要求！） 具体布局方式取决于您的风格和方法，但这里的要点是将数据收集与 说明收集相应数据的原因。这并非每个字段的必需步骤。没有人需要解释您为何要求他们 注册时输入密码。不过，针对每个请求提供个人信息和联系信息，并说明您打算如何使用和保留这些信息会对这些信息有所帮助。 让用户知道您投入精力来保护他们的数据。

<div>
    <label for="email">Email address*</label>
    <input id="email" type="email" name="email" required aria-describedby="whyemail">
    <a href="#whyemail">Why do we need this?</a>
    <aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>

按照此流程完成操作，并收集有关用户的所有信息，还有助于进行内部流程和讨论。 之前，您了解了如何通过“以防万一”收集数据。当您坦诚说明原因时 我们不难看出这是真的存在如果您不愿意公开说明您打算如何使用用户数据，因为用户不会喜欢您的说明，这可能表明您应该重新考虑是否要收集用户数据。无论不当说明过于侵入性（“我们将使用此信息每小时跟踪您访问过哪些位置”）、过于宽泛（“我们尚不清楚将如何使用此信息，但我们需要此信息，以备日后想出用途”）还是过于含糊（“我们将使用此信息做内部未披露用途”），都属于此类情况。这不仅仅涉及道德问题，人们都非常精明 正如前面所述的那样，您需要意识到这一点，并且用户希望进行某些尝试并非开始 在用户体验设计中，让注册过程尽可能顺畅、简单是常见做法，因为在早期阶段，用户（从定义上讲）不会对您的服务投入太多精力，因此，在用户还不太愿意这样做时，让他们轻松地投入更多精力非常重要。如果用户可以同样轻松地退出，那么对服务的试用就完全是试用，而不是被迫开始的长期承诺。与之前一样，这似乎自相矛盾，但却是事实：建立信任的最佳方式是，不要强迫用户在他们不愿意的情况下信任您。

人们有充分的理由不会共享数据，或共享极少量的数据。在您与他们建立关系初期，他们 可能没有理由信任您，也不应如此。您的目标是证明他们应该这样做。

正确做法

• 对于您计划收集的所有数据，请确定收集这些数据的原因以及将其保留多长时间。
• 当您向用户索要此类数据时，请向用户说明您收集这些数据的原因。
• 使用完后，请从服务器数据库中删除该密钥。
• 允许用户使用 Clear-Site-Data 标头删除自己创建的账号，并清除存储空间中存储的数据。

原因

与用户建立关系的关键在于信任，而信任则更加开放。如果您能证明自己并非只是尽可能收集用户的大量数据并隐瞒其用途，那么这有助于建立信任，这对您来说可能是一项竞争优势，可以让您在道德操守不那么严谨的竞争对手中脱颖而出。