Dobrym sposobem na zmniejszenie ryzyka dla użytkowników jest nieprzechowywanie danych wrażliwych, których nie potrzebujesz i które wpływają na ich prywatność. Istnieje zaskakująco wiele sposobów na realizację tego celu przy jednoczesnym spełnianiu celów biznesowych. Warto rozważyć każdy z nich. Możesz:
- Wyjaśnij, do czego te dane są Ci potrzebne.
- Zbieraj dane na mniejszej szczegółowości.
- usuwać dane po ich użyciu;
- Po pierwsze nie zbieraj ich.
Każda z tych metod może sprawić, że użytkownicy poczują się pewniej, wiedząc, co robisz i dlaczego. To przekłada się na lepsze wyniki. Twojej relacji z nimi. Przejrzystość buduje zaufanie, a co najważniejsze, zaufanie może być wyjątkową cechą Twojej firmy. Wielu ludzi zakłada, że użytkownicy i klienci ufają im z założenia, ale konsumenci stale oceniają produkty i usługi, więc może to nie być prawdą. Jeśli uda Ci się nawiązać z użytkownikami relację, w ramach której będą oni ufać Ci w zakresie przetwarzania ich danych i odpowiedniego traktowania, możesz uzyskać przewagę nad konkurencją. Jest to coś, czego Twoi rywale mogą nie mieć, a co stanowi prawdziwą przewagę konkurencyjną.
Omówmy pokrótce powyższe metody w kolejności od najskuteczniejszej (ale też najważniejszego dla firmy) do najmniej skutecznej. ale najmniej uciążliwej metody.
Nie zbieraj ich w ogóle.
Najbardziej oczywisty sposób na uniknięcie negatywnego wpływu jest ich zbieranie. Niektóre dane są niezbędne do świadczenia usług, ale jest więcej miejsc, w których można uniknąć zbierania danych, niż mogłoby się wydawać. Weź pod uwagę na przykład płatność bez logowania. Gdy użytkownicy chcą coś kupić za pomocą Twojej aplikacji internetowej, możesz wymagać od nich założenia konta, ponieważ dzięki temu uzyskasz ich dane osobowe na potrzeby późniejszego przetwarzania: możesz ich dodać do listy mailingowej, zakwalifikować jako zainteresowanych klientów itp. Klienci już to rozpoznają i nie podoba im się: w 2021 r. badanie wykazało, że w 1 na 4 porzucenie sprzedaży było spowodowane żądał od użytkownika utworzenia konta. Jeśli nie potrzebujesz konta, masz większą szansę zatrzymać tych klientów. Umożliwienie dokonania zakupu bez rejestracji użytkownikom lepsze opcje, a także oznacza, że nie masz aż tylu danych, które trzeba chronić.
„Fuzz” Twoje dane
Oczywiście całkowite unikanie zbierania danych może nie być możliwe. Zbieranie danych jest ważne, aby móc świadczyć usługi i podejmować rozsądne decyzje biznesowe. Przydatne może być również budowanie komunikacji marketingowej w kontekście relacji opartej na zaufaniu. Warto jednak pamiętać, że decyzje podejmowane zbiorczo (czyli mające wpływ na wielu użytkowników jednocześnie) o danych w postaci zagregowanej (czyli o zbiorczych własności danych).
Czasem warto na przykład poznać dane demograficzne odbiorców, np. określić przedział wiekowy, do którego należą, lokalizacja itd. Może to zmienić Twoje komunikaty lub podejście. Nie oznacza to jednak, że musisz dokładnie zbierać wieku dla każdego użytkownika usługi. Często interesują Cię trendy i ogólne właściwości. Jeśli decyzja, którą chcesz podjąć, zależy od tego, czy większość Twoich odbiorców należy do grupy „Kluczowe dane demograficzne: 18–34 lat”, jedyne pytanie, które musisz zadać, to czy Twoi użytkownicy należą do tej grupy demograficznej. Dzięki temu są one zbierane w 2 grupach: w grupie i poza nią. Czasem możesz potrzebować bardziej szczegółowych danych, ale zupełnie rozsądnie jest wykorzystać listę danych demograficznych. których używasz do podejmowania decyzji, i prosić użytkowników, aby sklasyfikowali się na tej liście.
Przykład
Jeśli więc warto wiedzieć, jak rozkłada się podział użytkowników na kategorie wiekowe „18–34”, „35–49”, „49–64” i „65+”, możesz następnie poprosić użytkowników o wybranie, do której z tych kategorii należą. Możesz chcieć prosić o bardzo szczegółowe, osobiste i spersonalizowane dane, a potem samodzielnie klasyfikować użytkowników, aby uniknąć konieczności ponownego zadawania tego samego pytania w bardziej szczegółowy sposób. Możesz na przykład poprosić o dokładny wiek i datę urodzenia, a potem na ich podstawie utworzyć własne listy użytkowników z kategorii „35–49 lat”. Trzeba jednak sobie to uświadomić: ponieważ kurs jest już omówiony i Pytam Cię o szczegółowe poziomy danych, co może krępować i obniżać zaufanie użytkowników do Twojej organizacji, a jednocześnie zwiększa ryzyko.
Warto też wziąć pod uwagę swoje potrzeby dotyczące danych. Czasami „potrzeba” bardziej szczegółowych danych to spekulacje, „na wszelki wypadek” . Może teraz wystarczy nam podział użytkowników na 4 grupy wiekowe, ale w przyszłości możemy chcieć zawęzić tę kategorię. Dlatego powinniśmy teraz zbierać bardzo szczegółowe dane, aby zachować tę opcję na później. Może warto biorąc pod uwagę to, jak często bardziej szczegółowe dane były w przeszłości używane do podejmowania decyzji. Proszenie o dane, które są postrzegane jako inwazyjne w stosunku do oferowanej usługi, powoduje nieuchronnie spadek zaufania użytkowników do Twojej organizacji. Jeśli dane są gromadzone „na wszelki wypadek”, nie wystarczy, że tracisz zaufanie użytkowników lepsze decyzje biznesowe, rezygnując jedynie z możliwości podjęcia w przyszłości jakiejś teoretycznej decyzji, która mogłaby w ogóle nie istnieją, a jednocześnie biorą pod uwagę wymagania dotyczące bezpieczeństwa tych informacji.
Istnieją też bardziej szczegółowe sposoby algorytmiczne na zmniejszenie szczegółowości zbieranych danych. Metody losowych odpowiedzi oznaczają, że dane są zbierane z możliwością regulacji stopnia niedokładności. Metody te są stosowane od dziesięcioleci w naukach społecznych do zbierania potencjalnie inwazyjnych lub wrażliwych danych przy zachowaniu poufności respondentów. Powyższa metoda gromadzenia danych polega na poszerzeniu zakresu odpowiedzi użytkownika (np. „Ile masz lat?” staje się „Do której z tych grup wiekowych należysz?”), gdzie losowe odpowiedzi polegają na tym, że pewna część użytkowników podaje nieprawdziwe odpowiedzi. Jeśli znany jest odsetek użytkowników, którzy odpowiedzieli nieprawidłowo, można dojść do istotnych wniosków. nadal mogą być pobierane ze zgromadzonych danych, ale prywatność poszczególnych użytkowników nie zostanie naruszona, ponieważ zgromadzone dane mogą być nieprawidłowe. W tym przypadku, jeśli 80% odbiorców nadal twierdzi, że należy do grupy demograficznej 18–34, możesz mieć że nadal jest to największy odsetek, nawet jeśli 10% celowo wpisze niepoprawne odpowiedzi. Stopień nieprawidłowości można też zmienić programowo, gdzie prawidłowe odpowiedzi są zawsze pożądane, ale oprogramowanie zmienia pewien procent odpowiedzi przed przesłaniem. Ten proces i jego konsekwencje można też wyjaśnić użytkownikom podczas zbierania danych. Oznacza to, że użytkownicy nie muszą ufać, że nie nadużyjesz zebranych danych, ponieważ pojedyncze dane są niewiarygodne.
Podobnym, ale bardziej skomplikowanym procesem jest prywatność różnicowa. Wykorzystuje techniki matematyczne do zmiany sposobu przechowywania danych w taki sposób, że zbiorcze właściwości danych są nadal obecne. nie da się nawet określić, czy dana osoba w ogóle dostarczyła dane lub które to w ogóle dostarczyła. Podobnie jak w przypadku odpowiedzi losowej, chroni to posiadanych przez Ciebie danych i wyraźnie wykazuje Twoje intencje: nie możesz korzystać z jeśli ich nie masz.
Te i podobne rozwiązania zapewniają też większą ochronę przed naruszeniami i wyciekami danych, ponieważ zebrane dane zmniejsza ryzyko narażania prywatności użytkowników, a nawet Ciebie, a także zmniejsza poziom naruszenia bezpieczeństwa w przypadku wycieku danych. Pamiętaj jednak, że jeśli na serwerze stosujesz techniki prywatności różnicowej (tak aby użytkownicy wysyłali Ci niezagregowane dane użytkowników i korzystasz z odpowiednich technik ich agregacji), nadal musisz zabezpieczyć te nieprzetworzone dane użytkowników a następnie usunąć je po przetworzeniu, a także mieć jasne zasady i postępować zgodnie z nimi, aby potwierdzić, że nie jest ona używana przed do agregacji (lub jasno określić, do czego służy).
Przechowywanie: zbieranie danych i usuwanie ich po wykorzystaniu
Warto pamiętać, że zebrane dane mają cykl życia. pomagają w podejmowaniu decyzji biznesowych, a potem, co jakiś czas, trzeba je usunąć. Są to zresztą kompromisy: gdy zadajesz użytkownikom pytania lub przechowywania informacji o innych odwiedzonych przez nich stronach oraz to, jakie elementy oglądali i jak długo aby wyciągać prognozy dotyczące preferencji użytkowników, dane te są udostępniane Tobie w konkretnym celu, a nie w ramach którego deweloper może swobodnie korzystać z usługi według własnego uznania. Czasem, gdy te dane nie są już potrzebne po minucie, a czasem po wielu latach, trzeba je usunąć.
Za każdym razem, gdy zbierasz informacje o użytkownikach, musisz wiedzieć, do czego będą one wykorzystywane (patrz poniżej). oraz kiedy i dlaczego rezygnujesz z przechowywania tych danych. Może to być moment, w którym użytkownik zdecyduje się je usunąć lub gdy się zaloguje. po określonym czasie lub po wystąpieniu określonego zdarzenia. Doskonałym sposobem na zbudowanie zaufania w relacji z użytkownikami jest jasne poinformowanie ich o tym, jak mogą kontrolować swoje dane, w tym o możliwości odmowy zgody na ich przetwarzanie. Jak mogą usunąć swoje dane? Jak usunąć konto? Oprócz pomocy w budowaniu tej relacji najlepiej jest, przechowywanie danych tak długo, jak jest to konieczne, a nie dłużej oraz że użytkownicy powinni mieć możliwość przeglądać i usuwać dane, które zbierasz od użytkowników lub w ich imieniu. Być może istnieją nawet przepisy dotyczące tego punktu na obszarach, którymi zarządza.
W tym miejscu możesz zdefiniować jasne cele techniczne, co ułatwi użytkownikom samoobsługowe działania. czy użytkownicy mogą zrezygnować hurtownie danych, nie prosząc o zgodę, wówczas może czuć się bezpiecznie, nie będzie też musiał prosić o zgodę. skorzystaj z jakichkolwiek zasobów pomocy.
Warto zwrócić uwagę na znaczenie łatwej i domyślnej rezygnacji. „Aby budować zaufanie i rozpoznawalność, firmy mogą zaczynają od zaakceptowania umowy społecznej, która zobowiązuje się do szanowania odbiorców w każdym punkcie styczności słuchają ich potrzeb i reagują odpowiednio” – mówi IAPP. Według Nielsen Norman Group użytkownicy „potrzebują wyraźnie oznaczonego 'wyjścia awaryjnego', aby przerwać niechciane działanie bez konieczności przechodzenia przez rozbudowany proces”. Każdy wie, że łatwiej jest zasubskrybować kanał niż zrezygnować z subskrypcji. Jednak, jak twierdzi Nielsen Norman Group, umożliwienie użytkownikom rezygnacji bez konieczności przechodzenia przez skomplikowane procedury „sprawia, że czują się oni wolni i pewni siebie”. Badania akademickie potwierdzają to i nazwają tę zasadę unieważnienie”, o treści: „Interfejs powinien umożliwiać użytkownikowi łatwe unieważnianie uprawnień przyznanych przez użytkownika, gdy tylko ich odwołanie jest możliwe. Użytkownicy powinni mieć możliwość cofnięcia takiej zgody, a tym samym ograniczenia dostępu organów władzy do swoich zasobów. (Przykłady znajdziesz w sekcjach Yee i Iacono).
Okres przechowywania danych i ich zakres to sprawy różniące się znacznie w przypadku organizacji i organizacji. między projektami. Istnieją jednak pewne wspólne wytyczne, które warto wziąć pod uwagę.
Tak
Warto umożliwić użytkownikom usuwanie kont (oraz powiązanych z nimi danych, jeśli to możliwe) oraz regularne (np. podczas wylogowywania) usuwanie tymczasowych i przechowywanych lokalnie danych za pomocą nagłówka Clear-Site-Data.
Podaj nagłówek Clear-Site-Data
, aby usunąć niektóre lub wszystkie dane użytkownika, które zostały zapisane po stronie klienta (w plikach cookie,
localStorage, IndexedDB lub w pamięci podręcznej przeglądarki), jeśli jest to uzasadnione. Oczywistym zastosowaniem funkcji Clear-Site-Data jest wylogowanie użytkownika, ale można jej też używać po incydentach związanych z bezpieczeństwem, aby upewnić się, że potencjalnie zaatakowane konto nie zawiera żadnych śladów skradzionych danych przechowywanych na kliencie.
Dodanie obsługi Clear-Site-Data
wymaga wysłania nagłówka HTTP Clear-Site-Data
, gdy użytkownik się wyloguje (lub w innym miejscu)
gdy chcesz wyczyścić pamięć po stronie klienta) na stronie potwierdzającej stan wylogowania (https://your-site/logout
).
lub podobną). Ten nagłówek może zawierać niektóre lub wszystkie z tych wartości albo "*"
(wszystkie):
Clear-Site-Data: "cache", "cookies", "storage"
Te wartości usuwają odpowiednio strony w pamięci podręcznej (i inne zasoby w pamięci podręcznej HTTP), zapisane pliki cookie, localStorage, IndexedDB i podobne.
Możesz zobaczyć odniesienie do innej opcji, executionContexts
, ale wiele przeglądarek jej nie obsługuje.
Używanie nagłówka Clear-Site-Data
jest prawdopodobnie łatwiejsze niż samodzielne usuwanie wszystkich utworzonych zasobów, ponieważ nie wymaga uruchamiania kodu JavaScript na kliencie (i jest jedynym oficjalnym sposobem czyszczenia pamięci podręcznej przeglądarki), ale nie jest obsługiwane przez wszystkie przeglądarki.
Uwaga na temat użycia: jeśli czyścisz pamięć podręczną (wysyłając Clear-Site-Data: cache
), nagłówek Clear-Site-Data
nie powinien
wysłane na rzeczywistej stronie wylogowania, ale w przypadku innego zasobu taka strona jest wczytywana. Dzieje się tak, ponieważ na wolniejszym komputerze z dużą pamięcią podręczną strona jest blokowana podczas czyszczenia pamięci podręcznej, co uniemożliwia nawigację. To może potrwać kilka minut.
co może irytować użytkownika. Jest to mało prawdopodobne, ale testowanie jest trudne, dlatego warto o tym pamiętać.
Wyjaśnij, do czego są Ci potrzebne dane
Ważność zaufania w relacji użytkowników z Twoją usługą była już wielokrotnie podkreślana, ponieważ zwiększa ono długowieczność użytkowników. Zapewnia również przewagę nad konkurencją. Jednym ze sposobów na zwiększenie zaufania jest przejrzystość procesów, a dobrym sposobem na zapewnienie przejrzystości jest wyjaśnienie, do czego potrzebne są dane. Wiesz już, że każda zebrana rzecz musi być znana gdy ta rzecz zostanie usunięta. Aby to wiedzieć, musisz wiedzieć, po co te dane i jakie pytania wymagają ich aby znaleźć odpowiedzi na pytania i jakie decyzje należy podjąć. Kiedy już ustalisz, do czego potrzebujesz tych danych, że użytkownik się podda, pomoże to zdobyć zaufanie użytkowników, wyjaśniając im tę kwestię. W swojej polityce prywatności lub podczas zadawania pytań dotyczących tworzenia konta opisz, dlaczego potrzebujesz odpowiedzi na to konkretne pytanie, co zrobisz z tymi danymi oraz kiedy i jak można je usunąć.
Te wyjaśnienia są znacznie lepiej widoczne w tekście. Umieszczanie wyjaśnień w gęsto zadrukowanym dokumencie zasad w innej części witryny może wyglądać na próbę ich ukrycia. Formularz rejestracyjny, formularz płatności lub formularz zapytania może zawierać informacje o przyczynach zbierania danych. Często pole formularza może mieć gwiazdkę (*), aby wskazać, że jest ono wymagane. Złożone formularze często zawierają link informacyjny, który wyjaśnia, co oznacza dane pole. Rozważ dodanie do tych wyjaśnień opisu powodów, dla których dane są gromadzone. Często używanym wyrażeniem jest „Dlaczego potrzebujemy tych informacji?” obok pola formularza, które po kliknięciu powoduje wyświetlenie okna z wyjaśnieniem.
Przykładowy kod HTML może wyglądać tak, a potem CSS i JavaScript ukryłyby tag <aside>
i wyświetliłyby go jako wyskakujące okienko,
gdy użytkownik kliknie link. Pamiętaj, aby potwierdzić dostępność formularza dla witryny.
Sposób ukształtowania tego schematu zależy od Twoich stylów i metod, ale najważniejsze jest bezpośrednie powiązanie zbierania danych z:
wyjaśnienie, dlaczego zbieramy te dane. Nie jest to konieczne w przypadku każdego pola. Nikt nie musi wyjaśniać, dlaczego od niego wymagasz
wybrać hasło podczas rejestracji. Jednak dodanie do każdej prośby o dane osobowe i informacje kontaktowe informacji o tym, jak zamierzasz je wykorzystywać i przechowywać, może pomóc użytkownikom zrozumieć, że zależy Ci na ochronie ich danych.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Przejście tego procesu ze wszystkimi zebranymi danymi o użytkowniku może pomóc w wewnętrznych procesach i dyskusjach. Wiesz już wcześniej, jak można wywołać pokusę zbierania danych „na wszelki wypadek”. Jeśli podasz przejrzyste powody zbierania danych, może to być dość oczywiste. Jeśli nie chcesz publicznie pisać, co chcesz, dla użytkowników, ponieważ im nie będzie odpowiadać, może to oznaczać, że warto przemyśleć . Dotyczy to sytuacji, gdy nieprzyjemne wyjaśnienie jest zbyt inwazyjne („użyjemy tego do śledzenia Twoich odwiedzin co godzinę”), zbyt ogólne („nie wiemy jeszcze, do czego tego użyjemy, ale chcemy mieć to na wypadek, gdybyśmy wpadli na jakiś pomysł”) lub zbyt wymijające („użyjemy tego do wewnętrznych celów, których nie możemy ujawnić”). Nie jest to po prostu kwestia moralności. ludzie są na tyle mądrzy, rozpoznają to, co zostało już opisane, oraz użytkownicy oczekują, że eksperymentowanie z czymś nie jest początkiem długoterminowego zobowiązania. W ramach projektowania interfejsu użytkownika należy zadbać o to, aby proces rejestracji był jak najprostszy i nieskomplikowany, ponieważ na wczesnych etapach użytkownik (z definicji) nie jest mocno zaangażowany w Twoją usługę. Ważne jest więc, aby umożliwić mu łatwe zwiększenie zaangażowania, gdy nie ma jeszcze do tego skłonności. Jeśli rezygnacja jest równie łatwa, eksperymentowanie z usługą staje się prawdziwym eksperymentem, a nie przymusowym rozpoczęciem długoterminowego zobowiązania. Podobnie jak w poprzednim przypadku, paradoksalnym, ale prawdziwym stwierdzeniem jest to, że najlepszym sposobem na zdobycie zaufania użytkowników jest nie wymaganie od nich zaufania, jeśli nie chcą.
Użytkownicy mają dobre powody, by nie udostępniać danych lub udostępniać ich minimalną ilość. Na początku współpracy nie będzie miał on powodu, aby Ci ufać. Twoim celem jest zademonstrowanie, dlaczego warto to zrobić.
Tak
- Zastanów się, dlaczego chcesz zbierać dane i jak długo je przechowywać.
- Kiedy prosisz o dostęp do tych danych, wyjaśnij użytkownikom, dlaczego je zbierasz.
- Po użyciu usuń go z baz danych na serwerze.
- Zezwalaj użytkownikom na usuwanie utworzonych przez nich kont i czyszczenie przechowywanych danych za pomocą nagłówka
Clear-Site-Data
.
Dlaczego
Budowanie relacji z użytkownikami to budowanie zaufania, a zaufanie to otwartość. Jeśli możesz udowodnić, że nie zbierasz tylko jak największej ilości danych o użytkownikach i nie ukrywasz, do czego ich używasz, zyskasz zaufanie, które może być Twoją przewagą nad mniej rygorystycznymi konkurentami.