只使用您需要的数据

降低用户风险的一个好方法是,不要保留不需要的那些会影响用户隐私的敏感数据。 实现业务目标的方法之多令人惊讶,每个方法都值得考虑。 您可以:

  • 说明您需要这些数据的用途。
  • 以较低的粒度收集数据。
  • 使用后移除数据。
  • 不要一开始就收集到。

每种方法都可以帮助您的用户更适应您的工作及其原因,这极大地促进了 您与他们的关系透明度可以建立信任,最重要的是,信任可以是您独特的卖点。多人 会默认用户和客户信任他们,但消费者会不断评估产品和服务,而这可能 情况并非如此如果您与用户建立了关系,并且用户相信您能处理他们的数据和互动 因此,无论是从项目还是从企业来看,它都可以为你带来竞争优势:你的竞争对手可能会 不匹配,才是真正的差异化优势。

我们按效果从最有效(但也对业务影响最大)到最差的顺序,深入了解上述方法 且实施中断最小。

从一开始就不要收集相关数据

要避免侵犯用户的内容,最明显的方法就是避免收集数据必须收集一些数据才能提供服务。 不过,在很多方面您可以避免数据收集,这比您想象的要多。例如,以访客身份结账。 当用户使用您的 Web 应用购物时,您可能会要求他们注册一个账号,因为这样的话 您已经捕获了个人详细信息以供日后履单:这些个人详细信息可以添加到邮寄名单中,而且他们已经完成了资格预审 等等。然而,客户认识到这一点并不喜欢: 2021 年的一项研究发现,四分之一的放弃销售是 该网站要求该用户创建账号。如果您不需要账号,您留住这些客户的可能性会更大。 如果能在不注册的情况下完成购买交易, 为用户提供更好的选择,也意味着您没有太多数据来保护。

“模糊”您的数据

当然,完全不收集数据是不可能的。请务必收集数据,以便提供服务和确保 做出明智的业务决策。在建立信任关系的背景下制作营销传播也会很有帮助。 不过,您也要认识到,整体决策(即一次影响许多用户)是自己做出的, 汇总数据(即数据的集合属性)。

例如,了解观众的受众特征有时非常有用:这些观众所属的年龄段、 位置等。这可能会改变您传递的信息或您采取的做法。但这并不意味着您需要收集 确保每位使用服务的用户都能达到期望的年龄您经常会查看的是趋势和整体房源信息。如果您希望 是否大部分受众群体属于“18-34 岁关键受众特征”,则您实际需要的唯一问题就是覆盖面会受到影响。 您的用户是否属于该受众特征这会将它们收集到两个“存储分区”中:一是放入该组,另一组放入该组。 在某些情况下,您需要比这更精细的数据,但采用受众特征列表是完全合理的。 您做决定时所使用的方法,以及要求用户根据该列表对自己进行分类。

示例

因此,如果了解您的用户群在年龄类别“18-34”、“35-49”、“49-64”和“65+”之间的划分情况会有所帮助, 那么您就可以让用户选择自己所属的类别。我们很想要求提供非常细化的数据, 个人数据和个性化数据,然后自行对用户进行分类,这样就避免了在 Google Ads 中重复提出同样的问题 稍后会详细介绍例如,询问确切的年龄和出生日期,然后使用这些数据生成自己的列表, 许多用户属于“35-49 岁”类别。但重要的是认识到这个过程是怎样的,因为本课程已经介绍了 要求提供详细的数据级别可能会让用户感到不舒服,进而降低用户对贵组织的信任, 同时增加风险

考虑您的数据需求也很重要。有时,“需求”是推测性的,“以防万一” 。也许我们现在只需要将用户分为这四个年龄段,但将来我们可能希望 缩小范围,所以我们现在应该收集非常详细的数据,以便将来继续选择。建议 考虑过去使用更精细的数据来指导决策频率。要求提供的数据 Google 认为相对于所提供的服务具有侵略性,必然会降低用户对您网站的信任 组织。如果您出于“以防万一”的原因而收集此类数据,那么您可能不仅会牺牲用户的信任 做出改进的业务决策,而放弃这一切只是为了换取未来某些理论上的决策可能性, 并承担相关信息的安全要求。

此外,还有更详细的算法方法可以降低所收集数据的粒度。随机响应方法 则意味着所收集数据的不准确程度可调,这些偏差已应用于社会几十年。 在收集可能的侵入性或敏感数据的同时,保证响应人员的机密性。通过 上述数据收集方法涉及扩充用户的答案(“您的年龄”会变为 “您属于以下哪个年龄段”),其中,随机回答涉及到 的用户会为自己的答案撒谎。如果知晓响应错误的用户比例,就可以得出有意义的结论 仍可从收集的数据中提取信息,但用户隐私不会受到损害,因为他们收集到的数据 不正确。在这种情况下,如果您 80% 的观众仍表示他们属于 18-34 岁这一受众特征,您就可以 这个回答对自己仍然是最大的份额的判断,即使其中 10% 的受访者故意给出不正确的回答也是如此。 还可以通过编程方式更改错误程度,在这种情况下,始终会请求正确答案,但 软件会在传输之前更改一定比例的应答。此流程及其后果 在收集数据时向用户说明:这意味着用户不必相信您不会滥用其 因为个别数据并不可靠。

一个类似但技术更为复杂的过程是差分隐私。 这种方法使用数学技术改变数据存储方式,使得数据的聚合属性仍然存在, 我们甚至无法判断某个特定个人是否提供了数据,或者他们提供了哪些数据(如果有的话)。 与随机回答类似,这可以保护用户数据(包括您提供的数据),并表明您的意图非常明确: 您不能使用用户的如果您没有此类数据

这些方法和类似方法还针对数据泄露和泄露提供了更高的安全性, 可以减少对用户隐私的损害,即便是对您,也可以降低数据泄露时的危害程度。 但请注意,如果您在服务器上应用差分隐私技术(因此您的用户会向您发送 未汇总数据,然后使用相关技术进行汇总),您仍然需要保护原始用户数据并 并在处理完毕后将其删除,应制定并遵循明确的政策,确认 (或者明确说明其用途)。

保留:收集数据,并在使用后移除

请谨记,收集的数据具有生命周期;我们会收集这些数据,并使用这些数据来帮助您做出业务决策, 并在某个时候将其移除这也是需要权衡的因素:您既可以向用户提问, 存储有关他们访问过的其他网站的信息, 或者您可以跟踪他们浏览过哪些内容以及浏览了多长时间 预测用户偏好时,Google 会出于特定目的(而非 提供开放式授权,供开发者根据需要使用。当不再需要这些数据来用于特定用途时(有时 就应该删除。

每次收集用户信息时,您都应该清楚这些数据的用途(见下文),并应 您还要知道何时以及为何停止保留这些数据例如用户选择将其删除或登录时 在特定时间段后或特定事件发生之后。是在关系中建立信任的绝佳方式 就是要向用户明确说明他们可以如何控制有关自己的数据,包括尽可能单方面选择停用。 他们如何删除自己的数据?他们如何删除自己的账号?除了帮助建立这种关系外,最好 只要您需要处理数据即可存储数据,而无需长时间存储数据,并且应该为用户提供 查看和移除您向他们(或您代表对方)收集的数据。在这一方面, 即由你运营的服务

您可以在这个领域定义明确的技术目标,帮助用户实现自助服务;如果您的用户可以选择停用 而无需请求许可,这样他们就可以更放心地选择启用,而且它也不会 使用任何支持资源执行此操作。

我们必须认识到简单和默认拒绝联系的重要性:“为了建立信任和认可,公司可以 首先同意社会合同,承诺在每个接触点都尊重受众群体, 倾听他们的需求,并做出相应的回应”,IAPP 说道。 Nielsen Norman Group 表示,用户“需要明确标示的 “紧急退出”让用户无需执行不必要的操作”。大家都知道 比取消订阅更容易。但是,正如 Nielsen Norman 所说,让用户无需 跳出篮球对抗,“培养自由感和自信”。学术研究也印证了这一点,并将其命名为“ “可撤销”的说明:“界面应让用户能够轻松撤销用户已授权的任何权限,无论其位于何处” 可以撤消用户应该能够撤消此类同意,从而减少访问其资源的授权机构 。”(如需查看示例,请参阅 YeeIacono。)

数据保留时长和保留数据是各个组织和机构之间截然不同的 但有一些通用准则需要考虑。

正确做法

在这里,允许用户删除账号(以及可能可以删除的任何关联数据)和定期删除账号(例如退出时)非常有用 使用 Clear-Site-Data 标头在退出账号时清除临时数据和本地存储的数据。

提供 Clear-Site-Data 标头以移除已在客户端存储的部分或所有用户数据(无论是在 Cookie 中, localStorage 或 IndexedDB 或浏览器缓存中)。Clear-Site-Data 最明显的用途是 还可在发生安全事件后使用该功能,以确保可能被盗用的账号不会遗留跟踪信息 存储在客户端的被入侵数据的数量

如需添加对 Clear-Site-Data 的支持,系统会在用户退出账号或其他活动时发送 HTTP 标头 Clear-Site-Data, 需要清除客户端存储空间时),在确认退出状态的页面上 (https://your-site/logout) 或类似名称)。此标头可以具有以下部分或全部值,也可以使用 "*" 表示所有值:

Clear-Site-Data: "cache", "cookies", "storage"

这些值分别会清除缓存的页面(和其他 HTTP 缓存的资源)、存储的 Cookie、localStorage 和 IndexedDB 等。 您可能会看到对另一个选项 executionContexts 的引用,但许多浏览器都不支持此选项。 请注意,使用 Clear-Site-Data 标头可能比自行删除所有已创建的资源更简单,因为它不需要 在客户端上运行(这是清除浏览器缓存的唯一官方方式),但并非所有浏览器都支持

使用说明:如果您要清除缓存(通过发送 Clear-Site-Data: cache),则不应将 Clear-Site-Data 标头 会在实际的退出页面上发送,而在另外一些资源上会加载。这是因为计算机运行速度较慢 缓存较大的网页,则网页在清除缓存时将处于阻塞状态,从而阻止导航。这可能需要几分钟时间 这会让用户感到失望虽然这种情况不太可能发生,但很难进行测试,因此最好牢记这一点。

说明您需要哪些数据

信任用户信任的重要性有人反复声明与服务的关系,因为这可以延长用户寿命。 它还会提供竞争优势。提高信任程度的一种方法就是,清楚说明您的流程, 保持透明的好方法是说明您希望数据的用途。我们之前已经了解到,对于收集到的每一项 您需要知道 什么时间会被删除。要想了解这一点,您需要知道为何要这些数据,以及哪些具体问题需要这些数据 来寻找答案,以及收集这些信息可以作为指导做出哪些决策。了解了为什么您需要这些数据后, 向这些用户解释这一点有助于建立信任。在您的隐私权政策中或询问有关账号的问题时 请说明您为什么需要这一特定问题的答案、您将如何使用这些数据,以及何时以及如何移除这些数据。

这些以内嵌方式呈现的说明会更加显眼。在网站其他地方的密集政策文档中隐瞒解释 看起来像是在试图隐藏他们。注册、结账或申请表单可以在收集数据的同时显示收集数据的原因 本身。通常,表单字段可能会带有星号 (*),以指示某个字段是必填字段;复杂表单通常包含信息链接 (i) 解释此字段的含义。建议您在这些解释中添加关于为何收集数据的说明。经常 “我们为什么需要这个?”,当您点击表单字段时,系统会显示弹出式说明。

一些示例 HTML 可能如下所示,然后 CSS 和 JavaScript 会负责隐藏 <aside>,并在出现以下情况时将其显示为弹出式窗口 链接。(请务必确认您为网站创建的表单支持无障碍功能!) 具体布局方式取决于您的风格和方法,但这里的要点是将数据收集与 说明收集相应数据的原因。这并非每个字段的必需步骤。没有人需要解释您为何要求他们 注册时输入密码。不过,针对每个请求提供个人信息和联系信息,并说明您打算如何使用和保留这些信息会有所帮助 让用户知道您投入精力来保护其数据。

<div>
   
<label for="email">Email address*</label>
   
<input id="email" type="email" name="email" required aria-describedby="whyemail">
   
<a href="#whyemail">Why do we need this?</a>
   
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>

使用您收集到的与用户相关的所有信息执行此流程也有助于进行内部流程和讨论。 之前,您了解了如何通过“以防万一”收集数据。当您坦诚说明原因时 我们不难看出这是真的存在如果您不想公开写下来 处理用户数据,因为这些用户不喜欢所提供的说明,这可能表明,有必要重新考虑 。无论令人厌恶的解释是否过于侵扰性(例如,“我们将使用它每小时跟踪您造访过的地点”) 过于宽泛(“我们还不知道要将其用于什么用途,但是为了万无一失,我们需要使用它”)或过于隐瞒 (我们将此信息用于未披露的内部目的)。这不仅仅涉及道德问题,人们都非常精明 正如前面所述的那样,您需要意识到这一点,并且用户希望进行某些尝试并非开始 它是用户体验设计的普遍应用场景,旨在使注册尽可能顺畅无碍且简单易行, 因为在早期阶段,用户(根据定义)在服务上并没有投入大量资金,因此允许 这样,在对投资的倾向性很低时,他们就能更方便地进行投资。如果很容易再次离开,那么 对服务进行实验就是一种纯粹的尝试,而不是不愿意开始强制长期承诺。 与之前一样,这是自相矛盾的,但建立信任的最佳方式是,如果用户确实不信任您,那就是不要求他们信任您。 。

人们有充分的理由不会共享数据,或共享极少量的数据。在您与他们建立关系初期,他们 可能没有理由信任您,也不应如此。您的目标是说明为什么应该这样做。

正确做法

  • 确定您计划收集这些数据的原因,以及要将这些数据保留多久。
  • 当您向用户索要此类数据时,请向用户说明您收集这些数据的原因。
  • 使用完毕后,将其从服务器数据库中删除。
  • 使用 Clear-Site-Data 标头允许用户删除自己创建的账号以及清除其存储空间中存储的数据。

原因

与用户建立关系的关键在于信任,而信任则更加开放。如果您能够证明自己 尽可能多地收集用户数据并隐藏您对这些数据的用途,这样有助于建立信任, 是您对那些不那么谨慎的对手的竞争优势。