只使用您需要的数据

为降低用户风险，建议不要保留与其相关的敏感数据，以免其影响到用户隐私。在实现业务目标的同时，您有很多方法可以实现自己的目标，各方面都值得一试。 您可以：

• 说明您需要数据的用途。
• 以更低的粒度收集数据。
• 移除使用过的数据。
• 从一开始就不要收集。

每种方法都可以帮助您的用户更加熟悉您所做的工作以及这样做的原因，这极大地提升了您与他们的关系。信息透明有助于建立信任，对你来说，信任是独一无二的卖点。许多人以为默认情况下用户和客户信任他们，但消费者在不断评估产品和服务，事实可能并非如此。如果您与用户建立一种关系，使他们相信您处理他们的数据和您的互动，那么就可以作为项目或企业为您带来竞争优势：您的竞争对手可能不匹配，这是真正的差异化优势。

下面我们来按照效率从高到低（对业务影响最小）的顺序来解读上述方法。

从一开始就不要收集

避免用户数据泄露的最显而易见的方法就是不收集这些数据。某些数据收集行为是提供服务的必要条件，但是，在很多地方可以避免收集数据，可能比您想象的还要多。例如，考虑提供访客结账体验。 当用户使用您的 Web 应用购买商品时，您可以要求他们注册帐号，因为您已经捕获了个人详细信息以用于后续履单：您可以将他们添加到邮寄名单中，他们已经预选为感兴趣的客户，依此类推。然而，客户也能认出这一点，但并不喜欢：2021 年的一项研究发现，由于网站要求用户必须创建帐号，才能放弃四分之一的销售。即使不要求注册帐号，也更有可能留住这类客户。 如果能让用户在不注册的情况下完成购买，就能为用户提供更好的选择，这也意味着您没有足够的数据来保护他们的数据。

对您的数据进行“模糊”分析

当然，您未必能够完全避免收集数据。为了提供服务和做出明智的业务决策，收集数据非常重要。在相互信任关系的背景下，建立营销沟通也大有裨益。 但是，您还必须认识到，以汇总形式做出（即一次影响许多用户）的决策针对的是汇总数据（即关于数据的集体属性）。

例如，了解受众群体的受众特征有时很有用：他们所属的年龄段、地理位置等。这可能会改变您的广告传达方式或方法。但这并不意味着您需要收集服务的每位用户的确切年龄。您通常关注的是趋势和整体属性。如果您希望覆盖的决定受大部分受众群体是否属于“18-34 岁关键人群”影响，那么您实际上唯一需要问的一个问题就是您的用户是否属于该受众特征。这会将它们收集到两个“存储分区”中：属于该组，而不是该组。在某些情况下，您需要更精细的数据，但完全合理的做法是，使用您做出决策的受众特征列表，并要求用户将自己归入该列表。

示例

因此，如果想了解您的用户群在“18-34 岁”“35-49 岁”“49-64 岁”和“65 岁以上”年龄类别中的划分情况，您可以让用户选择他们所属的类别。人们往往希望获得非常精细的个人数据和个性化数据，然后自己对用户进行分类，因为这样就避免了以后需要更详细地询问相同的问题；例如，询问确切的年龄和出生日期，然后使用这些数据生成自己的列表，列出“35-49”类别的用户数量。但请务必意识到，本课程已经介绍并将再次介绍，要求提供详细级别的数据可能会让用户感到不舒服，从而降低用户对贵组织的信任，同时增加风险。

考虑您的数据需求也很重要。有时，对更精细数据的需求是推测性的，即“以防万一”的要求。或许我们现在只需要将用户分类到这四个年龄段，但将来我们可能需要缩小分类范围，所以我们现在应该收集非常详细的数据，以便日后能够使用以下选项。过去，为了指导决策，更有必要考虑更精细的数据实际使用的频率。请求与所提供的服务相关的被视为具有侵扰性的数据一定会降低用户对组织的信任度。如果收集这些数据是出于“以防万一”的理由，您不仅会牺牲用户的信任来换取改进的业务决策，只是为了获得一些未来甚至可能根本就不再存在的理论决策的可能性，同时还要承担相应信息的安全要求。

还有更详细的算法方法，可降低所收集数据的粒度。随机响应方法是指在收集数据时的准确性可调，这些方法在社会科学领域已有数十年的时间，用于收集潜在侵扰性或敏感数据，同时保持响应者的机密性。上述数据收集方法涉及拓展用户的答案（“你有多大”就变成“你属于以下哪个年龄段”），其中随机回答涉及让一定比例的用户在回答中撒谎。如果知道错误响应的用户比例，那么仍然可以从收集到的数据中得出有意义的结论，但是用户收集的数据可能不正确，因此用户的隐私不会受到损害。在这种情况下，如果 80% 的受众群体仍然声称他们属于 18-34 岁的受众，那么即使有 10% 的受众群体故意给出错误的答案，您可以相对地确信这仍然是最大的份额。错误程度也可以通过编程方式进行更改，在这种情况下，系统始终会征求正确答案，但软件会在传输之前更改一定百分比的答案。在收集数据时，也可以向用户说明此过程及其后果：这意味着用户不必相信您不会滥用他们收集的数据，因为个人数据不可靠。

差分隐私是一个类似但技术性更强的过程。这种方法使用数学技术改变数据存储，使得数据的聚合属性仍然存在，但甚至无法分辨特定个体是否提供了数据，或者他们提供了哪些数据。与随机响应一样，这可以保护用户数据，即使是您也不在，并表明您的意图明确：如果您没有用户数据，就无法使用用户数据。

这些方法和类似方法还可以为数据泄露和泄露提供更高的安全性，因为收集的数据可以降低对用户隐私（甚至是您）的侵害，并且还会降低数据泄露时的泄露程度。但请注意，如果您在服务器上应用差分隐私技术（因此用户会向您发送未汇总的数据，然后您使用这些技术来汇总这些数据），您仍然需要保护原始用户数据，并在处理后将其删除，并且应制定并遵循明确的政策来确认您未在汇总之前使用该数据（或明确指出这些数据的用途）。

保留：收集数据并在使用后将其移除

请务必注意，收集的数据有生命周期；收集数据后，我们会使用这些数据帮助您做出业务决策，然后在某个时候将其移除。同样，这也属于需要权衡的利弊：当您向用户询问问题，或者存储有关用户访问过的其他网站的信息，或者跟踪用户浏览过的内容以及浏览了多长时间以预测他们的偏好时，Google 会出于特定目的向您提供这些数据，而不是作为开发者根据需要使用的开放式授权。如果不再需要这些数据（有时是在一分钟后，也可能是在多年后），则应将其删除。

每次收集用户信息时，您都应了解这些数据的用途（见下文），还应了解停止保留这些数据的时间和原因。可能发生在用户选择删除、退出、在特定时间段之后或发生特定事件之后。在这种关系中建立信任的绝佳方式是，向用户明确说明他们可以如何控制有关自己的数据，包括尽可能单方面拒绝。他们如何删除自己的数据？他们如何删除自己的帐号？除了帮助建立这种关系之外，最好的做法是，在处理数据所需的时间（而不是更长时间）内存储数据，并且应该为用户提供一种方法，方便用户查看和移除您（或代表他们）收集的数据。在您经营业务的地区，甚至可能有相关的法律法规。

您可以在该领域设定明确的技术目标，这有助于用户自助服务；如果您的用户无需请求权限即可退出您的数据仓库，那么他们会感觉非常自如，并且不需要任何支持资源即可实现。

IAPP 表示：“为建立信任和认可，公司可以首先同意社交合同，承诺在每个接触点尊重受众，倾听他们的需求并相应地做出回应，从而建立信任和认可。”Nielsen Norman Group 表示，用户“需要有明确标记的‘紧急退出’，以便离开不需要的操作，而无需执行延长的流程”。大家都知道，订阅比退订更容易。然而，正如 Nielsen Norman 所说，允许用户无需走出篮子就能离开，“有助于培养自由感和信心”。学术研究对此进行了证实，并将其命名为“可撤消原则”，指出“界面应让用户能够轻松撤消用户授予的权限，只要可以撤消即可。用户应该能够撤消此类同意，从而尽可能减少访问其资源的权限。”（相关示例，请参阅 Yee 和 Iacono。）

数据将保留多长时间以及要保留哪些数据这两个主题在组织和项目之间有着很大的差异，但有一些通用准则可以参考。

正确做法

在这里，它非常有用，允许用户删除帐号（以及在可能的情况下删除任何相关数据），并定期（例如，退出时）使用 Clear-Site-Data 标头定期清除临时和本地存储的数据。

提供 Clear-Site-Data 标头，以便在合理时移除已存储在客户端的部分或全部用户数据（无论是在 Cookie、localStorage、IndexedDB 中，还是浏览器缓存中）。Clear-Site-Data 的显而易见用例是用户退出，但它也可以在安全事件发生后使用，以确保可能被盗用的账号没有在客户端上存储的被盗用数据的留下痕迹。

若要添加对 Clear-Site-Data 的支持，您需要在用户退出账号时（或在您希望清除客户端存储空间的其他时间），在确认已退出账号状态的页面上发送 HTTP 标头 Clear-Site-Data（https://your-site/logout 或类似内容）。此标头可以具有以下部分或全部值，或所有值均为 "*"：

Clear-Site-Data: "cache", "cookies", "storage"

这些值会分别清除缓存的网页（和其他 HTTP 缓存的资源）、存储的 Cookie 以及 localStorage 和 IndexedDB 及类似内容。 您可能会看到对另一个选项 executionContexts 的引用，但许多浏览器不支持这样做。 请注意，与自行删除所有已创建的资源相比，使用 Clear-Site-Data 标头可能更容易，因为它不需要在客户端上运行 JavaScript 代码（这是清除浏览器缓存的唯一官方方法），但并非所有浏览器都支持。

使用说明：如果您要清除缓存（通过发送 Clear-Site-Data: cache），则不应在实际退出页面上发送 Clear-Site-Data 标头，而应发送该页面加载的一些其他资源。这是因为，如果计算机速度较慢，且缓存较大，网页会在清除缓存时阻塞，进而阻碍导航。此操作可能需要几分钟时间才能完成，这会导致用户感到沮丧。这种情况不太可能发生，但很难测试，因此最佳做法是记住这一点。

说明您需要数据的用途

已多次说过信任用户与服务的关系的重要性，因为它可以延长用户的使用寿命。 它还提供竞争优势。提高可信度的一种方法是清楚透明地流程，而透明的好方法就是说明数据的用途。我们之前已经了解到，对于收集到的每一项内容 您都应该知道该内容的删除时间为此，您需要知道为什么需要这些数据、哪些特定问题需要这些数据来找到答案，以及收集这些数据来指导哪些决策。一旦您知道为何需要用户放弃的这些数据后，请向这些用户说明这些数据，从而帮助您建立信任。在您的隐私权政策中或在询问有关帐号创建的问题时，请说明您为什么需要回答这一特定问题、您将用这些数据做什么，以及何时可以移除这些数据以及如何移除。

这些说明以内嵌方式显示时，更容易被用户看到。将说明掩盖在网站其他位置密集的政策文档中似乎似乎是在试图隐藏这些解释。注册、结账或请求表单可以随数据收集本身一起显示收集数据的原因。通常，表单字段可能会使用星号 (*) 来指示某个字段是必填字段；复杂的表单通常都会提供一个信息链接 (i) 来说明相应字段的含义。建议您在这些说明中添加有关收集数据的原因的说明。这方面的常用短语是“Why do we need this?”（我们需要此答案），在表单字段旁边，当用户点击该字段时，系统会显示弹出式说明。

一些 HTML 示例可能如下所示，然后 CSS 和 JavaScript 会负责隐藏 <aside>，并在链接被点击时以弹出式窗口的形式显示。（请务必确认为您的网站创建的表单可以访问！） 具体如何布局取决于您的风格和方法，但这里的要点是直接将数据收集与为何收集该数据的说明相关联。并非所有字段都需要如此。没有人需要解释您为什么要求他们在注册时输入密码。但是，根据您计划如何使用和维护请求来装饰每个获取个人信息和联系信息的请求，这样有助于向用户表明，您投入了精力保护他们的数据。

<div>
    <label for="email">Email address*</label>
    <input id="email" type="email" name="email" required aria-describedby="whyemail">
    <a href="#whyemail">Why do we need this?</a>
    <aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>

在执行此流程时，综合考虑您收集的与用户有关的所有信息，也有助于开展内部流程和讨论。 之前，您了解到有可能会诱使“以防万一”地收集数据。如果你清晰明确地阐明收集原因，就很明显了。如果您不愿意公开写下您希望如何处理用户数据，因为这些用户不喜欢说明，这可能表明您需要重新考虑收集这些数据。无论这些令人反感的说明太有侵入性（“我们会利用此说明每小时跟踪您访问的地点”）、范围过于广泛（“我们还不知道会用它来做什么，但为方便我们想出某种内容，我们还是希望使用它”）或过于规避（我们会将此说明用于未披露的内部目的），都适用。这不仅仅是一个道德问题；正如已经描述的那样，人们足够聪明，能够认识到这一点，并且有一种用户期望，即进行某种尝试并不能建立长期承诺。在用户体验设计中，尽可能顺畅、轻松地完成注册是一种常见做法，因为在早期阶段，用户（从定义上）并未对您的服务投入大量资金，因此当他们几乎没有意愿完成注册时，让他们更容易投入，这一点很重要。如果再次离开时同样容易退出，那么尝试服务的承诺就会成为长期的尝试，而不是长期的尝试。和之前一样，建立信任的最佳方式是，如果用户不想信任您，那就不要求他们信任您，这是自相矛盾的。

用户有正当理由不共享数据，或者共享极少的数据。刚开始与对方建立关系时，对方可能没有理由信任您，您不应该信任您。您的目标是说明他们为什么应该这样做。

正确做法

• 确定您计划收集的所有数据，因为收集这些数据的原因以及保存期限。
• 当您要求用户提供数据时，请向用户说明您收集这些数据的原因。
• 将使用过的映像从服务器数据库中删除。
• 允许用户通过 Clear-Site-Data 标头删除自己创建的账号，以及从存储空间中清除存储的数据。

为什么

与用户建立关系的关键在于信任，而信任则关乎开放。如果您能够证明自己不仅收集了尽可能多的用户数据并隐瞒其用途，这将有助于建立信任，对您而言，与不太诚实的对手相比，这可能是一项竞争优势。