Dobrym sposobem na ograniczenie ryzyka dla użytkowników jest nieprzechowywanie danych wrażliwych, których nie potrzebujesz, co wpływa na ich prywatność. Istnieje wiele zaskakujących sposobów, które pozwolą Ci to osiągnąć, jednocześnie realizując cele biznesowe. Warto rozważyć każdy z nich. Możesz:
- Wyjaśnij, do czego są Ci potrzebne dane.
- Zbieraj dane na mniejszej szczegółowości.
- Usuwaj używane dane.
- Nie zbieraj ich od razu.
Każda z tych metod może pomóc użytkownikom poczuć się pewniej, co i dlaczego, co z kolei, co bardzo przyczyni się do Twojej relacji z nimi. Przejrzystość buduje zaufanie, a co ważne, zaufanie może być Twoją wyjątkową cechą oferty. Wiele osób zakłada, że użytkownicy i klienci mają do nich zaufanie, ale konsumenci stale oceniają produkty i usługi, co może nie być jednak prawdą. Jeśli uda Ci się zbudować z użytkownikami relacje, w których ufają, że przetwarzasz ich dane i Twoje interakcje z szacunkiem, może to zapewnić Tobie jako projektowi lub firmie przewagę nad konkurencją. To coś, co może wyróżniać Cię na tle konkurencji.
Przeanalizujmy podane wyżej metody w kolejności od najskuteczniejszej (ale też najbardziej wpływającej na firmę) do najmniej efektywnej, ale najmniej zakłócającej wdrożenia.
Nie zbieraj ich od samego początku
Najbardziej oczywistym sposobem na uniknięcie naruszenia bezpieczeństwa danych użytkowników jest niegromadzenie ich. Niektóre dane są niezbędne do świadczenia usług, ale jest więcej miejsc, w których można tego uniknąć, niż mogłoby się wydawać. Weźmy na przykład płatność bez logowania. Gdy użytkownicy dokonują zakupu w Twojej aplikacji internetowej, możesz wymagać od nich założenia konta. Jeśli to zrobisz, zostaną przez Ciebie zarejestrowane dane osobowe, które możesz dodać do listy adresowej, czy zostaną już zakwalifikowani jako zainteresowani klienci itd. Jednak klienci to rozpoznają i nie lubią tego: w 2021 r. badanie wykazało, że jedna na 4 porzuconą sprzedaż wynika z faktu, że strona żądała od użytkownika założenia konta. Jeśli nie potrzebujesz konta, masz większą szansę na utrzymanie tych klientów. Dzięki temu, że możesz sfinalizować zakup bez rejestracji, użytkownicy mają więcej opcji do wyboru, a Ty nie masz zbyt wielu danych, by je chronić.
„Sprawiaj” dane
Oczywiście unikanie gromadzenia danych może być niemożliwe. Dane są ważne, ponieważ pozwalają nam świadczyć usługi i podejmować rozsądne decyzje biznesowe. Pomocne może być też tworzenie komunikacji marketingowej w kontekście relacji opartej na zaufaniu. Pamiętaj jednak, że decyzje podejmowane zbiorczo (czyli dotyczące wielu użytkowników jednocześnie) są podejmowane na podstawie danych zbiorczych (czyli dotyczących ich właściwości).
Czasami warto na przykład poznać dane demograficzne odbiorców, czyli ich przedział wiekowy, lokalizację itd. Może to wpłynąć na przekaz lub podejście. Nie oznacza to jednak, że musisz określić dokładny wiek każdego użytkownika Twojej usługi. Czego często szukają: trendy i ogólne właściwości. Jeśli na decyzję, do której chcesz dojść, zależy, czy większość Twoich odbiorców należy do „najważniejszej grupy demograficznej w wieku od 18 do 34 lat”, musisz zadać sobie tylko pytanie, czy Twoi użytkownicy należą do tej grupy. Spowoduje to umieszczenie ich w dwóch „zasobnikach”: w tej grupie, a nie w tej grupie. Może się zdarzyć, że będziesz potrzebować bardziej szczegółowych danych, ale w pełni rozsądny będzie wybór listy danych demograficznych, na podstawie której podejmujesz decyzje, i poproszenie użytkowników o jej sklasyfikowanie.
Przykład
Jeśli więc chcesz ustalić, jak użytkownicy dzielą się na kategorie wiekowe „18–34”, „35–49”, „49–64 i 65+”, możesz ich zapytać, do której z tych kategorii należą. To kuszące, aby prosić o bardzo szczegółowe, osobiste i spersonalizowane dane, a potem samodzielnie sklasyfikować użytkowników, ponieważ dzięki temu unikniesz powtarzania tych samych pytań później. Możesz na przykład zapytać o dokładny wiek i datę urodzenia, a potem na podstawie tych informacji utworzyć własne listy użytkowników z kategorii „35–49”. Trzeba jednak mieć świadomość, jak to wygląda w kursie: skoro kurs został już omówiony i ponownie przypomnimy, proszenie o szczegółowe poziomy danych może powodować dyskomfort użytkowników, zmniejszać zaufanie użytkowników do Twojej organizacji i jednocześnie zwiększać ryzyko.
Trzeba też wziąć pod uwagę potrzeby w zakresie danych. Czasami „potrzeba” bardziej szczegółowych danych ma charakter spekulacyjny, który jest „w razie potrzeby”. Być może na razie musimy kategoryzować użytkowników tylko do tych 4 grup wiekowych, ale w przyszłości możemy to ograniczyć. W związku z tym powinniśmy już teraz zbierać bardzo szczegółowe dane, aby zostawić tę opcję na później. Warto zastanowić się, jak często bardziej szczegółowe dane były w przeszłości faktycznie używane do podejmowania decyzji. Prośba o dostęp do danych, które są postrzegane jako inwazyjne w odniesieniu do oferowanej usługi, musi spowodować spadek zaufania użytkowników do Twojej organizacji. Jeśli takie dane są zbierane „na wszelki wypadek”, nie chcesz po prostu tracić zaufania użytkowników dla lepszych decyzji biznesowych, ale po prostu rezygnować z nich na ryzyko, że w przyszłości pewne teoretyczne decyzje mogą w ogóle nie istnieć, a jednocześnie brać pod uwagę wymagania dotyczące bezpieczeństwa tych informacji.
Istnieją też bardziej szczegółowe sposoby na zmniejszenie szczegółowości zbieranych danych. Losowe metody odpowiedzi oznaczają, że dane są zbierane z możliwym do dostosowania stopniem niedokładności i są używane w naukach społecznych od dziesięcioleci do zbierania potencjalnie inwazyjnych lub wrażliwych danych przy zachowaniu poufności respondentów. Opisana wyżej metoda zbierania danych obejmuje poszerzanie odpowiedzi użytkowników (w ten sposób „ile masz lat” zamiast „do której z poniższych grup wiekowych należysz”), gdzie losowa odpowiedź polega na tym, że pewien odsetek użytkowników kłamuje swoje odpowiedzi. Jeśli odsetek użytkowników, którzy odpowiedzieli nieprawidłowo, nadal można wyciągać miarodajne wnioski na podstawie zebranych danych, ale prywatność poszczególnych użytkowników nie jest naruszana, ponieważ zebrane przez nie dane mogą być nieprawidłowe. W takim przypadku, jeśli 80% odbiorców nadal twierdzi, że należy do grupy demograficznej 18–34, możesz mieć sporą pewność, że jest to największy udział, nawet jeśli 10% z nich celowo podaje nieprawidłowe odpowiedzi. Stopień niepoprawności można też zmieniać automatycznie, przy czym zawsze promowane są poprawne odpowiedzi, ale oprogramowanie zmienia pewien odsetek odpowiedzi przed ich przesłaniem. Można także wyjaśnić użytkownikom ten proces i jego konsekwencje w przypadku zbierania danych – użytkownicy nie muszą ufać, że nie nadużywasz zebranych danych, ponieważ pojedyncze dane są zawodne.
Podobny, ale bardziej techniczny proces, to prywatność różnicowa. Wykorzystuje techniki matematyczne do zmiany sposobu przechowywania danych w taki sposób, aby wciąż dostępne były ich zbiorcze właściwości. Nie można nawet stwierdzić, czy dana osoba w ogóle dostarczyła dane ani które to zrobiła. Podobnie jak w przypadku losowej odpowiedzi, takie rozwiązanie chroni dane użytkowników nawet przed Tobą i wyraźnie pokazuje zamiar z Twojej strony: nie możesz korzystać z danych użytkowników, jeśli ich nie masz.
Takie i podobne metody zwiększają też bezpieczeństwo przed naruszeniami bezpieczeństwa i wyciekiem danych, ponieważ gromadzone dane zmniejszają ryzyko naruszenia prywatności użytkowników, nawet Ciebie, i zmniejszają też poziom bezpieczeństwa w przypadku wycieku danych. Pamiętaj jednak, że jeśli stosujesz na serwerze techniki prywatności różnicowej (aby użytkownicy przesyłali Ci niezagregowane dane, a potem za pomocą technik ich agregacji), musisz zabezpieczyć te nieprzetworzone dane użytkownika, a następnie usunąć je po przetworzeniu. Musisz też wprowadzić zrozumiałe zasady i przestrzegać ich, aby potwierdzić, że nie używasz ich przed agregacją (lub dokładnie wiedzieć, do czego ich używasz).
Przechowywanie: zbieranie danych i usuwanie ich po użyciu
Warto pamiętać, że zgromadzone dane mają swój cykl życia. Są one zbierane, wykorzystywane do podejmowania decyzji biznesowych, a potem w pewnym momencie powinny być usunięte. Trzeba też pamiętać o obniżkach: gdy zadajesz użytkownikom pytania, przechowujesz informacje o innych odwiedzonych przez nich witrynach lub śledzisz, co i jak długo przeglądali, aby opracować prognozy dotyczące ich preferencji, otrzymujesz te dane w konkretnym celu, a nie jako otwarte udzielanie zgody na wykorzystanie przez dewelopera według uznania. Gdy dane nie są już potrzebne, trzeba je usunąć po minucie, a nawet po wielu latach.
Za każdym razem, gdy zbierasz informacje o użytkownikach, musisz wiedzieć, do czego będą one służyły (patrz poniżej), a także wiedzieć, kiedy i dlaczego przestaniesz je przechowywać. Może to nastąpić, gdy użytkownik zdecyduje się je usunąć, wyloguje się, po upływie określonego czasu lub po wystąpieniu określonego zdarzenia. Doskonałym sposobem na budowanie zaufania w relacji jest wyjaśnienie użytkownikom, jak mogą kontrolować dane o sobie. Obejmuje to m.in. możliwość jednorazowej rezygnacji z danych. Jak usuwają swoje dane? Jak usuwają swoje konto? Dobrym sposobem na nawiązanie takiej relacji jest przechowywanie danych tak długo, jak to potrzebne do ich przetwarzania, a nie dłużej. Pamiętaj też, aby użytkownicy mogli wyświetlać i usuwać dane zbierane od nich lub w ich imieniu. W regionach, w których firma działa, mogą nawet istnieć przepisy w tym zakresie.
Jest to obszar, w którym możesz zdefiniować jasne cele techniczne, co ułatwia użytkownikom samoobsługę. Jeśli użytkownicy mogą zrezygnować z hurtowni danych bez pytania o zgodę, będą mogli o wiele łatwiej wyrazić zgodę. Nie potrzebują w tym celu żadnych zasobów pomocy.
Trzeba pamiętać, jak ważne jest łatwe i domyślne podejście do rezygnacji: „Aby zdobyć zaufanie i rozpoznawalność, firmy mogą zacząć od zawarcia umowy społecznej, w ramach której zobowiązują się szanować odbiorców w każdym punkcie styczności, słuchać ich i odpowiednio reagować” – mówi IAPP. Według danych Nielsen Norman Group użytkownicy „muszą mieć wyraźnie oznaczone „wyjście alarmowe”, aby zrezygnować z niechcianego działania bez konieczności przechodzenia przez dłuższy proces. Wszyscy wiedzą, że łatwiej jest zasubskrybować kanał niż zrezygnować z subskrypcji. Ale, jak mówi Nielsen Norman, dając użytkownikom możliwość wyjścia na zewnątrz bez konieczności skakania przez kołowrotki, „zyskuje poczucie swobody i pewności”. Badania naukowe potwierdzają to jako „zasadę odwoławczych treści”, stwierdzając: „Interfejs powinien umożliwiać użytkownikowi łatwe anulowanie uprawnień przyznanych przez użytkownika wszędzie tam, gdzie to możliwe. Użytkownicy powinni mieć możliwość wycofania takiej zgody, a tym samym ograniczyć uprawnienia dostępu do swoich zasobów”. (Przykłady: Yee i Iacono).
To, jak długo i jakie dane są przechowywane, jest bardzo różne w przypadku poszczególnych organizacji i projektów, ale istnieją pewne wspólne wytyczne, które warto wziąć pod uwagę.
Tak
Dzięki nagłówekowi Clear-Site-Data warto umożliwić użytkownikom usuwanie kont (i wszelkich powiązanych z nimi danych, jeśli jest to możliwe) oraz regularne (np. podczas wylogowywania) usuwanie tymczasowych i lokalnie przechowywanych danych przy wylogowaniu.
W stosownych przypadkach podaj nagłówek Clear-Site-Data, aby usunąć część lub wszystkie dane użytkownika przechowywane po stronie klienta (w plikach cookie, lokalnie, IndexedDB lub w pamięci podręcznej przeglądarki). Oczywistym przypadkiem użycia usługi Clear-Site-Data jest wylogowanie się użytkownika. Można ją też wykorzystać po incydentach związanych z bezpieczeństwem, aby upewnić się, że na potencjalnie przejętym koncie nie ma już śladów przejętych danych przechowywanych na kliencie.
Dodanie obsługi parametru Clear-Site-Data wymaga wysłania nagłówka HTTP Clear-Site-Data, gdy użytkownik się wyloguje (lub w innym momencie, gdy chcesz wyczyścić pamięć po stronie klienta), na stronie z potwierdzeniem stanu wylogowania (https://your-site/logout lub podobnym). Ten nagłówek może zawierać niektóre lub wszystkie z tych wartości albo "*" w przypadku wszystkich:
Clear-Site-Data: "cache", "cookies", "storage"
Wartości te usuwają odpowiednio strony z pamięci podręcznej (i inne zasoby w pamięci podręcznej HTTP), zapisane pliki cookie, obiekty localStorage, IndexedDB i podobne.
Możesz zauważyć odniesienie do innej opcji, executionContexts, która nie jest jednak obsługiwana w wielu przeglądarkach.
Pamiętaj, że użycie nagłówka Clear-Site-Data może być łatwiejsze niż samodzielne usuwanie wszystkich utworzonych zasobów, ponieważ nie wymaga uruchomienia kodu JavaScript po stronie klienta (i jest to jedyny oficjalny sposób czyszczenia pamięci podręcznej przeglądarki), ale nie jest to obsługiwane przez wszystkie przeglądarki.
Uwaga dotycząca użytkowania: jeśli czyścisz pamięć podręczną (wysyłając żądanie Clear-Site-Data: cache), nagłówek Clear-Site-Data nie powinien być wysyłany na rzeczywistej stronie wylogowywania, ale w innym zasobie wczytywanym. Dzieje się tak, ponieważ na wolniejszych komputerach
strona jest blokowana podczas wyczyszczenia pamięci podręcznej, co uniemożliwia nawigację. Może to potrwać kilka minut
i frustruje użytkownika. Jest to mało prawdopodobne, ale trudne do przetestowania, dlatego warto o tym pamiętać.
Wyjaśnij, do czego są Ci potrzebne dane
Znaczenie zaufania w relacjach użytkowników z Twoją usługą było wielokrotnie powtarzane, ponieważ zwiększa to ich długowieczność. Zapewnia też przewagę nad konkurencją. Jednym ze sposobów na zwiększenie tego poziomu zaufania jest przejrzystość procesów, a dobry sposób na przejrzystość to wyjaśnienie, do czego potrzebujesz danych. Wiesz już, że każda zebrana rzecz musi wiedzieć, kiedy zostanie usunięta. Aby o tym wiedzieć, musisz wiedzieć, dlaczego potrzebujesz tych danych, jakich konkretnych pytań potrzebujesz, żeby znaleźć odpowiedzi, i które decyzje na ich podstawie będą się wiązać z ich zbieraniem. Gdy już dowiesz się, dlaczego potrzebujesz tych danych i chcesz zrezygnować z ich porzucenia, łatwiej będzie Ci zbudować zaufanie, wyjaśniając im te dane. W swojej polityce prywatności lub gdy zadajesz pytania dotyczące tworzenia konta, wyjaśnij, dlaczego potrzebujesz odpowiedzi na to pytanie, co zamierzasz z nimi zrobić oraz kiedy i jak te dane mogą zostać usunięte.
Wyjaśnienia te są znacznie lepiej widoczne, jeśli są przedstawione w tekście. Ukrycie wyjaśnień w obszernym dokumencie dotyczącym zasad w innym miejscu witryny może wydawać się próbą ich ukrycia. Formularz rejestracji, płatności lub prośby może zawierać informacje o powodach zbierania danych oprócz samego zbierania danych. Pole formularza często może być oznaczone gwiazdką (*) wskazujące, że dane pole jest wymagane. Złożone formularze często zawierają link (i) wyjaśniający jego znaczenie. Do tych wyjaśnień warto dodać wyjaśnienie, dlaczego zbieramy dane. Najczęściej używane wyrażenie to „Dlaczego tego potrzebujemy?” obok pola formularza, które po kliknięciu wyświetla wyskakujące okienko z wyjaśnieniem.
Przykładowy kod HTML może wyglądać tak, a kody CSS i JavaScript zajmą się ukryciem parametru <aside> i wyświetleniem go w formie wyskakującego okienka po kliknięciu linku. Pamiętaj, aby potwierdzić dostępność formularza, który tworzysz w swojej witrynie.
To, jak to rozplanować, zależy od Twoich stylów i metod, ale najważniejsze jest bezpośrednie powiązanie zbierania danych z wyjaśnieniem, dlaczego tak się dzieje. Nie jest to konieczne w przypadku każdego pola. Nikt nie potrzebuje wyjaśnienia, dlaczego wymagacie
wybrania hasła podczas rejestracji. Jeśli jednak podasz w każdej prośbie o dane osobowe i kontaktowe informacje o sposobie ich wykorzystania i ich przechowywania, Twoi użytkownicy będą wiedzieć, że poświęcasz się ochronie ich danych.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Przejście tego procesu obejmujące wszystkie dane o użytkowniku, które gromadzisz, może pomóc w usprawnieniu procesów wewnętrznych i prowadzeniu dyskusji. Wcześniej pokazaliśmy, że istnieje pokusa zbierania danych „na wszelki wypadek”. Jeśli przejrzysz powody zbierania danych, będziesz mieć pewność, że to właśnie robisz. Jeśli nie chcesz spisywać publicznie, co chcesz zrobić z danymi użytkowników, ponieważ to wyjaśnienie nie spodoba się tym osobom, może to oznaczać, że warto ponownie się zastanowić nad ich zbieraniem. Dotyczy to zarówno nieprzyjaznych wyjaśnień (np. „będziemy używać ich do śledzenia miejsc, które odwiedzasz co godzinę”), zbyt szerokiego zakresu („Nie wiemy jeszcze, do czego go wykorzystamy, ale chcemy, żeby było to dla nas przydatne”), czy też zbyt uchylony („wykorzystamy te informacje do nieujawnionych celów wewnętrznych”). Nie jest to po prostu kwestia moralności: ludzie są na tyle biegli, aby to zrozumieć, jak już opisano, a użytkownicy oczekują, że eksperymentowanie z jakimś czymś nie jest początkiem długoterminowego zobowiązania. W przypadku wygody użytkowników rejestracja powinna być łatwa i bezproblemowa, ponieważ na początkowych etapach użytkownik nie jest (z definicji) mocno zaangażowany w Twoją usługę. Dlatego ważne jest, aby mogli łatwo zainwestować, gdy nie mają do tego zbyt wielu chęci. Jeśli jest to tak proste, jak to jest tak proste, możemy przestać eksperymentować z usługą od początku do końca eksperymentowania. Tak jak poprzednio, paradoksalne, ale prawdziwe jest to, że najlepszym sposobem budowania zaufania jest niewymaganie od użytkowników, aby im zaufali, jeśli tego nie chcą.
Użytkownicy mają dobre powody, aby nie udostępniać danych lub udostępniać ich minimalną ilość. Na początku relacji z nimi użytkownik może nie mieć powodu, aby Ci ufać – i nie ma potrzeby tego. Musisz im pokazać, dlaczego powinni korzystać z tych reklam.
Tak
- Zdecyduj, jakie dane chcesz zbierać i jak długo mają być przechowywane.
- Gdy prosisz o takie dane, wyjaśnij użytkownikom, dlaczego je zbierasz.
- Po użyciu należy usunąć ją z baz danych serwera.
- Zezwalaj użytkownikom na usuwanie utworzonych przez nich kont i usuwanie zapisanych danych z pamięci za pomocą nagłówka
Clear-Site-Data.
Dlaczego
Budowanie relacji z użytkownikami polega na zaufaniu, a zaufanie na otwartości. Jeśli możesz udowodnić, że nie zbierasz jak największej ilości danych o użytkownikach i ukrywasz ich wykorzystanie, pomoże Ci to budować zaufanie, które może zapewnić Ci przewagę nad konkurencją w porównaniu z mniej rygorystycznymi konkurentami.