降低用户风险的一个好方法是不持有您不需要的关于他们的敏感数据,这些数据会影响他们的隐私。在实现您的业务目标的同时,有很多令人惊讶的方法可以做到这一点,并且值得考虑每一种方法。您不妨
- 解释您需要数据的原因。
- 以较低的粒度收集数据。
- 使用后删除数据。
- 一开始就不收集数据。
这些方法中的每一种都可以帮助您的用户对您正在做的事情以及原因感到更安心,这极大地有助于您与他们的关系。透明度建立信任,重要的是,信任可以成为您的独特卖点。许多人认为用户和客户默认信任他们,但消费者一直在评估产品和服务,情况可能并非如此。如果您与用户建立起信任关系,他们相信您会尊重地处理他们的数据和互动,那么它可以为您的项目或业务带来竞争优势:这是您的竞争对手可能无法比拟的,是真正的差异化因素。
让我们按从最有效(但对您的业务影响也最大)到最无效但实施起来最具破坏性的顺序来剖析上述方法。
一开始就不收集数据
避免泄露用户数据最明显的方法是不收集数据。某些数据收集对于提供服务是必要的,但在您可以避免数据收集的地方比您想象的要多。例如,考虑访客结账。当用户使用您的 Web 应用购买商品时,您可能会要求他们注册帐户,因为这样您就可以捕获个人详细信息以供日后履行:可以将他们添加到邮件列表,他们已经被预先认定为感兴趣的客户,等等。但是,客户意识到了这一点,并且不喜欢这样:2021 年的一项研究发现,四分之一的废弃销售是因为网站要求用户创建帐户。如果您不要求帐户,您更有可能留住这些客户。使无需注册即可完成购买成为可能,这为用户提供了更好的选择,也意味着您无需保护和保护那么多用户数据。
“模糊化”您的数据
当然,完全避免收集数据可能不是一种选择。收集数据对于提供服务和做出明智的业务决策非常重要。在信任关系的环境中构建营销传播也很有帮助。但是,重要的是还要认识到,以汇总方式(即一次影响许多用户)做出的决策是关于汇总数据(即关于数据的集体属性)做出的。
例如,有时了解受众的人口统计信息很有用:他们属于哪个年龄段、所在地等等。这可能会改变您的信息传递或方法。但这并不意味着您需要收集服务中每位用户的确切年龄。您通常寻找的是趋势和整体属性。如果您希望做出的决定受到您的受众是否大部分属于“18-34 岁主要人口统计群体”的影响,那么您真正需要问的唯一问题是您的用户是否属于该人口统计群体。这会将他们收集到两个“桶”中:在该群体中和不在该群体中。在某些情况下,您可能需要比这更精细的数据,但采用您用来制定决策的人口统计信息列表并要求您的用户用该列表对自己进行分类是完全合理的。
示例
因此,如果知道您的用户群如何在“18-34 岁”、“35-49 岁”、“49-64 岁”和“65 岁以上”年龄段之间划分很有用,那么您可以要求您的用户选择他们属于哪个类别。人们很容易想要获取非常精细、个人化和个性化的数据,然后自己对用户进行分类,因为这避免了以后需要更详细地再次询问相同的问题;例如,询问确切的年龄和出生日期,然后使用这些信息来生成您自己的“35-49 岁”类别中有多少用户的列表。但重要的是要认识到这看起来如何:正如本课程已经涵盖并将再次涵盖的那样,要求详细级别的数据可能会让人感到不舒服,从而降低用户对您组织的信任,同时增加风险。
考虑您的数据需求也很重要。有时,对更精细数据的“需求”是推测性的,“以防万一”的要求。也许我们现在只需要将用户分为这四个年龄组,但在未来我们可能想要缩小范围,因此我们现在应该收集非常详细的数据,以便为以后保留该选项。值得考虑的是,过去在指导决策时,更精细的数据实际上被使用了多少次。相对于所提供的服务,索取被认为具有侵入性的数据必然会导致用户对您组织的信任度降低。如果收集这些数据是出于“以防万一”的原因,那么您可能不仅仅是在用用户信任换取改进的业务决策,而仅仅是用它来换取一些可能甚至不存在的理论性未来决策的可能性,同时还要承担该信息的安全要求。
还有更详细的算法方法可以降低收集数据的粒度。随机化响应方法意味着数据收集具有可调整的不准确程度,这些方法已在社会科学中使用了数十年,用于收集可能具有侵入性或敏感性的数据,同时保持响应者的机密性。上述数据收集方法涉及扩大用户的答案(因此“您多大了”变成“您属于以下哪个年龄组”),而随机化响应涉及让一定比例的用户谎报答案。如果已知回答不正确的用户比例,那么仍然可以从收集的数据中得出有意义的结论,但个人用户的隐私不会受到损害,因为他们收集的数据可能是不正确的。在这种情况下,即使 10% 的受众故意给出不正确的答案,如果 80% 的受众仍然表示他们属于 18-34 岁的人口统计群体,您也可以相对确信这仍然是最大的份额。不正确程度也可以通过编程方式更改,其中始终请求正确答案,但软件会在传输前更改一定百分比的答案。在收集数据时,也可以向用户解释此过程及其后果:这意味着用户不必信任您不会滥用他们收集的数据,因为个人数据是不可靠的。
一个类似但技术性更强的过程是差分隐私。这使用数学技术来更改数据存储,以便数据的聚合属性仍然存在,但甚至无法判断特定个人是否提供了数据,或者他们提供了哪些(如果有)数据。与随机化响应类似,这可以保护用户数据免受您的侵害,并表明您明确的意图:如果您没有用户数据,您就无法使用它。
这些方法和类似方法还提高了防止数据泄露和泄漏的安全性,因为收集的数据减少了对用户隐私的泄露,即使是对您也是如此,并且如果数据泄露,也将降低泄露程度。但是请记住,如果您在服务器上应用差分隐私技术(因此您的用户向您发送未聚合的数据,然后您使用这些技术对其进行聚合),您仍然需要保护原始用户数据,然后在处理后将其删除,并且应该制定并遵循明确的政策,以确认您在聚合之前没有使用它(或者明确说明您将其用于什么)。
保留:收集数据,然后在用完后删除
记住收集的数据具有生命周期很有用;它被收集,用于帮助您做出业务决策,然后在某个时候,应该将其删除。这些再次是权衡:当您询问用户问题时,或者您存储有关他们访问过的其他网站的信息时,或者您跟踪他们在哪些事物上看了多久以及看了多久,以便预测他们的偏好时,这是授予您用于特定目的的数据 - 而不是无限制地授予开发人员随意使用。当不再需要将该数据用于该目的时(有时在一分钟后,有时在多年后),应将其删除。
每当您收集有关用户的信息时,您都应该知道您将使用这些数据做什么(见下文),并且您还应该知道您将在何时以及为何停止持有这些数据。这可能是在用户选择删除数据时、在他们注销时、在特定时间段之后或在特定事件发生之后。建立关系信任的一个极好的方法是让您的用户清楚地了解他们如何控制有关他们的数据,包括在尽可能的情况下,单方面选择退出。他们如何删除自己的数据?他们如何删除自己的帐户?除了有助于建立这种关系外,最佳实践是将数据存储在您需要处理它的时间内,而不是更长时间,并且应该有一种方法让您的用户查看和删除您从他们那里或代表他们收集的数据。在您运营的地区,甚至可能对此有立法规定。
这是一个您可以定义明确技术目标以帮助用户自助服务的领域;如果您的用户无需请求许可即可选择退出您的数据仓库,那么他们可以更放心地选择加入,并且无需任何支持资源即可完成。
重要的是要认识到轻松和默认选择退出的重要性:“为了建立信任和认可,公司可以首先同意一项社会契约,承诺在每一个接触点尊重他们的受众,倾听他们的需求,并做出相应的回应”,IAPP 指出。尼尔森·诺曼集团表示,用户“需要一个明确标记的‘紧急出口’,以便在不必经历漫长的过程的情况下离开不需要的操作”。每个人都知道,订阅比取消订阅更容易。但是,正如尼尔森·诺曼所说,让用户能够不费吹灰之力地离开,“培养了一种自由和自信的感觉”。学术研究支持这一点,并将其命名为“可撤销原则”,指出:“界面应允许用户在任何可能撤销的地方轻松撤销用户已授予的权限。用户应能够撤销此类同意,因此,如果可能,应减少访问其资源的权限。”(有关示例,请参见 Yee 和 Iacono。)
数据保留多长时间以及保留哪些数据是一个在组织和项目之间差异很大的主题,但有一些常见的指导原则需要考虑。
操作
此处允许用户删除帐户(以及任何关联的数据,如果可能的话)以及定期(例如,在注销时)使用 Clear-Site-Data 标头清除注销时的临时数据和本地存储的数据非常有用。
在合理的情况下,提供 Clear-Site-Data 标头以删除已存储在客户端(无论是在 Cookie、localStorage 还是 IndexedDB 中,还是在浏览器缓存中)的部分或全部用户数据。Clear-Site-Data 的明显用例是用户注销时,但它也可以在安全事件后使用,以确保可能受到入侵的帐户在客户端上没有存储任何挥之不去的受入侵数据痕迹。
添加对 Clear-Site-Data 的支持涉及在用户注销时(或在您希望清除客户端存储的其他时间),在确认注销状态的页面(https://your-site/logout 或类似页面)上发送 HTTP 标头 Clear-Site-Data。此标头可以具有以下部分或全部值,或者对于全部值,可以使用 "*"
Clear-Site-Data: "cache", "cookies", "storage"
这些值分别清除缓存页面(和其他 HTTP 缓存资源)、存储的 Cookie 以及 localStorage 和 IndexedDB 及类似内容。您可能会看到对另一个选项 executionContexts 的引用,但许多浏览器不支持此选项。请注意,使用 Clear-Site-Data 标头可能比单独删除所有已创建的资源更容易,因为它不需要在客户端上运行 JavaScript 代码(并且它是清除浏览器缓存的唯一官方方法),但并非所有浏览器都支持。
使用说明:如果您要清除缓存(通过发送 Clear-Site-Data: cache),则不应在您的实际注销页面上发送 Clear-Site-Data 标头,而应在页面加载的其他某些资源上发送。这是因为在缓存较大的较慢计算机上,页面在清除缓存时会阻止,这会阻止导航。这可能需要几分钟才能完成,这会让用户感到沮丧。这种情况不太可能发生,但很难测试,因此最好记住这一点。
解释您需要数据的原因
用户与您的服务建立信任关系的重要性已多次说明,因为它延长了用户寿命。它还提供了竞争优势。提高信任度的一种方法是提高流程的透明度,而提高透明度的一个好方法是解释您想要数据的原因。您在前面了解到,对于收集的每件事,您都应该知道这件事何时会被删除。为了了解这一点,您需要知道您想要这些数据的原因、哪些特定问题需要这些数据才能找到答案,以及哪些决策将由收集这些数据来指导。一旦您知道为什么需要您要求用户放弃的这些数据,通过向这些用户解释这些数据将有助于建立信任。在您的隐私政策中,或在帐户创建时提出问题时,描述您为什么需要这个特定问题的答案、您将如何处理这些数据以及何时以及如何删除这些数据。
内联呈现这些解释会使其更可见。将解释埋藏在网站其他地方的密集策略文档中可能看起来像是试图隐藏它们。注册、结账或请求表单可以将收集数据的原因与数据收集本身一起呈现。通常,表单字段可能带有一个星号 (*),以指示该字段是必填字段;复杂的表单通常带有一个信息链接 (i),以解释该字段的含义。考虑在这些解释中添加对收集数据原因的描述。一个常用的短语是表单字段旁边的“我们为什么需要这个?”,单击该短语时会显示一个弹出式解释。
一些示例 HTML 可能如下所示,然后 CSS 和 JavaScript 将负责隐藏 <aside> 并在单击链接时将其显示为弹出窗口。(请务必确认您为您的网站制作的表单的可访问性!)如何准确地进行布局取决于您的样式和方法,但这里的要点是将数据收集与对收集数据原因的解释直接关联起来。对于每个字段来说,这都不是必需的。没有人需要解释为什么您要求他们在注册时选择密码。但是,用您计划如何使用和保留个人和联系信息来修饰每个请求,可以帮助您的用户清楚地了解您致力于保护他们的数据。
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
对您收集的关于用户的所有内容执行此过程也有助于内部流程和讨论。在前面,您了解了可能会有一种“以防万一”而收集数据的诱惑。当您公开您的收集原因时,这种情况的发生可能非常明显。如果您不情愿公开写下您想对用户数据做什么,因为这些用户不会喜欢这种解释,那么这可能表明值得重新考虑收集数据。这适用于令人反感的解释是否过于具有侵入性(“我们将使用它来按小时跟踪您访问的位置”)、范围太广(“我们还不知道我们将用它做什么,但我们想要它,以防我们想到它的用途”)或过于回避(“我们将将其用于内部未公开的目的”)。这不仅仅是一个道德问题;正如已经描述的那样,人们足够精明地认识到这一点,并且用户期望尝试某些东西并不是长期承诺的开始。用户体验设计的常见做法是使注册尽可能顺畅和容易,因为在早期阶段,用户(根据定义)对您的服务投入不多,因此重要的是让他们在还没有太多意愿的情况下轻松地进行更多投入。如果再次离开也很容易,那么试用该服务就完全变成了试用,而不是被迫长期承诺的不情愿的开始。与以前一样,矛盾但真实的是,建立信任的最佳方法是不要求您的用户在他们不愿意的情况下信任您。
人们有充分的理由不共享数据,或共享最少的数据。在您与他们建立关系的初期,他们可能没有理由信任您,也不应该被迫信任您。您的目标是证明他们应该信任您的原因。
操作
- 为您计划收集的所有数据决定您想要它的原因以及您将保留它的时间。
- 当您请求该数据时,向您的用户解释您收集数据的原因。
- 在使用数据后,从您的服务器数据库中删除数据。
- 允许用户删除他们创建的帐户,并使用
Clear-Site-Data标头清除其存储中的存储数据。
为什么
与用户建立关系关乎信任,而信任关乎开放。如果您可以证明您不仅仅是在收集尽可能多的关于用户的数据并隐瞒您的用途,那么这有助于建立信任,这可以成为您相对于不太谨慎的竞争对手的竞争优势。