Сбор данных пользователя: баланс бизнес-потребностей и конфиденциальности пользователей

Одним из наиболее важных приложений пользовательских данных является информирование разработчиков и дизайнерских решений. Как явные отзывы пользователей, так и понимание, полученное при интерпретации данных о поведении пользователей с вашего сайта или приложения, могут предоставить рекомендации по улучшению ваших продуктов.

По сути, данные необходимы для итеративного, ориентированного на обратную связь дизайна. Без понимания того, насколько хорошо работают текущие решения, трудно уверенно вносить значимые улучшения. Данные могут помочь вам определить области трения в потоках пользователей, выяснить, какие проекты обеспечивают наилучшие результаты, и определить, какая работа окажет наибольшее влияние на пользователей. Явная обратная связь может помочь выявить требования пользователей, о которых вы, возможно, и не задумывались, и возможности расширить ваши предложения для решения конкретных задач.

Короче говоря, данные необходимы для планирования, реализации и оценки изменений в системе. Хотя некоторые данные, такие как показатели производительности приложений, могут поступать из внутренних систем, большой процент организаций, занимающихся данными, напрямую связан с тем, как изменения влияют на людей, которые взаимодействуют с ним.

Собранные данные часто используются для предоставления персонализированного опыта или обмена сообщениями. Собирая пользовательские настройки напрямую или анализируя прошлый опыт, чтобы угадать, что может быть наиболее релевантным для пользователя, данные можно использовать для создания уникальных взаимодействий, которые в большей степени соответствуют интересам и потребностям ваших пользователей.

Возможность настройки взаимодействия и взаимодействия с пользователем имеет большое значение для маркетинговых материалов, пользовательских интерфейсов, механизмов рекомендаций и многого другого. Данные могут быть использованы для того, чтобы убедиться, что вы нацелены на нужную аудиторию, используете подходящие сообщения и вовлекаете их в наиболее подходящее время. Это может помочь вашим пользователям быстрее находить нужную им информацию и открывать новый контент или функции, соответствующие их интересам. Для многих организаций целью этого процесса является монетизация их посетителей с помощью целевой рекламы.

Помимо персонализации и разработки продукта, сбор данных о ваших пользователях может потребоваться или помочь в различных других обстоятельствах.

Например, запрос пользователей о предоставлении информации, такой как номер телефона или адрес электронной почты, может потребоваться для восстановления учетной записи, когда пользователи забывают свои учетные данные. Точно так же некоторые транзакции требуют, чтобы информация, идентифицирующая личность, предоставлялась при обработке внешними сторонами (хотя для таких транзакций, как обработка платежей, эта информация обычно обрабатывается самим обработчиком кредитных карт).

Другой случай, когда пользовательские данные могут быть полезны, - это предоставление контекста для существующих данных из других источников. Если ваша система мониторинга показывает значительное увеличение трафика за короткий промежуток времени, вероятно, полезно оценить веб-аналитику, чтобы определить, откуда приходят посетители. Точно так же, если часть ваших пользователей сообщает о проблеме с вашим приложением, понимание их географического местоположения может помочь вам устранить возможные проблемы.

Другие причины, по которым вы можете собирать данные о своих пользователях, предназначены для целей аудита и соответствия государственным требованиям. Записи действий пользователя могут помочь в смягчении и раскрытии информации в случае инцидентов безопасности. В некоторых отраслях требуются очень конкретные записи доступа к информации, ее модификации, создания и удаления.

Существует множество других случаев, когда собранные данные могут быть полезны для улучшения процессов, предоставления лицам, принимающим решения, соответствующей информации и создания продуктов, с которыми пользователи чувствуют связь.

Один из наиболее важных вопросов, которые следует задавать при рассмотрении вопроса о сборе информации, заключается в том, как эта информация может нарушить конфиденциальность личности. Privacy - это возможность ограничить или запретить доступ к информации сторонним лицам. Сбор информации о ваших пользователях может повлиять на их конфиденциальность, независимо от того, делитесь вы данными или нет.

Конфиденциальность данных важна для личной информации, такой как имена, адреса и данные кредитной карты, а также для других данных, таких как история страниц и данные о местоположении. Многие люди знакомы с необходимостью обеспечения конфиденциальности с общепризнанными конфиденциальными данными, такими как медицинские или финансовые документы, но проблемы конфиденциальности должны оцениваться в более широком контексте. Даже кажущаяся безвредной информация может нарушить конфиденциальность пользователей. Например, отображение того, когда пользователя в последний раз видели на сайте, может не иметь негативных последствий, но может раскрыть конфиденциальную информацию о действиях этого пользователя внешним сторонам.

Хотя у пользователей может не быть проблем с определенными типами сбора информации, они часто делают это в соответствии с некоторыми предположениями о масштабах вашего использования, о том, как долго он будет храниться и как он будет передан внешним сторонам. Например, пользователям может быть удобно делиться своими предпочтениями для улучшения механизма рекомендаций на вашем сайте, но они могут не захотеть использовать те же предпочтения, которые используются для целевой рекламы. Использование данных и обмен ими вне согласованного намерения считается нарушением конфиденциальности.

Возможность связанных с безопасностью инцидентов, раскрывающих личные данные, является еще одним связанным фактором. Конфиденциальность может быть обеспечена только в том случае, если существуют надежные гарантии того, что организация, собирающая и хранящая данные, способна действовать в качестве надежного управляющего. Многие громкие нарушения данных подчеркивали опасность централизации частной информации, поскольку собранные данные часто передаются более широко, чем предполагалось изначально, либо случайно, либо в результате злонамеренных действий.

Отдельным, но связанным с этим эффектом сбора данных является размывание анонимности. Anonymity означает, что деятельность или информацию нельзя отнести к конкретному человеку. В то время как конфиденциальность касается главным образом контроля доступа к информации, анонимность - это вопрос ассоциирования деятельности с идентичностью.

Анонимность важна по ряду причин. Например, большинство людей признают ценность анонимности, когда идентификация может привести к последствиям для информаторов - лиц, раскрывающих незаконное или неэтичное поведение. Тем не менее, анонимность также является важным вариантом во многих других контекстах, например, позволяет людям избежать дискриминации или предвзятости, которые могли бы возникнуть, если бы их личность была известна. Хотя анонимность и конфиденциальность являются отдельными понятиями, пользователи часто ценят анонимность как необходимый компонент обеспечения конфиденциальности.

Как и конфиденциальность, анонимность может быть нарушена путем сбора данных путем преднамеренного обмена информацией или случайного раскрытия. Такая информация, как IP-адреса посетителей, может использоваться для идентификации пользователя или домохозяйства, которые обращались к сайту при перекрестных ссылках на записи из интернет-провайдера. Сообщения могут быть идентифицированы псевдонимом или именем пользователя, но могут быть прослежены до человека путем сопоставления данных из других служб. Хотя анонимность также можно использовать для маскировки личности участников незаконной или вредоносной деятельности, законные пользователи ценят анонимность в Интернете как метод работы во враждебной среде, не подвергая себя ненужному вреду.

Организации часто пытаются «анонимизировать» данные, удаляя или скрывая идентифицируемые атрибуты из наборов данных, но часто идентичности могут быть восстановлены в сочетании с другими источниками информации. Например, если имена в опубликованных медицинских записях удаляются, идентификаторы лиц все еще могут быть определены, если в раскрытой информации есть другие уникальные атрибуты. Раскрытие некоторых данных вредно именно потому, что разрушает анонимность и конфиденциальность. Например, разоблачение того, что человек является членом определенной организации или веб-сайта, может иметь негативные последствия, поскольку это нарушает анонимность (связывая действия пользователя с идентичностью) и конфиденциальность (поскольку членство на сайте - это элемент данных, который пользователи могут пожелать держать в секрете).

Увеличение сбора данных может помочь организациям оптимизировать свою практику, но это может привести к серьезным этическим побочным эффектам. Особенно, когда речь идет об автоматической обработке данных, системы, отвечающие за категоризацию пользователей, могут непреднамеренно применять дискриминационные методы, основанные на бессознательных предубеждениях человека. Многие из тех же методов, которые используются для программного сегментирования пользователей для лучшего удовлетворения их интересов, могут непреднамеренно закрепить предвзятость в поведении ваших приложений или сайтов.

Эта проблема особенно распространена при работе с системами больших данных и машинного обучения. Хотя некоторые сторонники утверждают, что эти механизмы раскрывают только шаблоны, которые уже присутствуют в данных, алгоритмы, используемые для поиска этих шаблонов, могут непреднамеренно поставить пользователей из определенных демографических групп в невыгодное положение. Они также страдают от углубления любых смещений, обнаруженных в алгоритмах или наборах данных, путем нахождения шаблонов и выделения их. Если вы не будете осторожны с тем, как вы используете эти инструменты, возможно, вы можете непреднамеренно пересечь юридические и этические границы.

Группы, основанные на чрезмерно агрессивных характеристиках, могут использоваться для сегментирования с высокой степенью точности людей на основеprotected classes, даже без конкретных попыток нацеливания на этих пользователей. Например, в зависимости от того, как вы используете эти данные, вы можете непреднамеренно разделить пользователей по расовым или гендерным признакам таким образом, чтобы это оказало ощутимое влияние на цену, которую видит каждый клиент. Даже если вы сами не используете данные сегментации для этих целей, если эти данные доступны вашим рекламным партнерам, это может привести к аналогичным ситуациям.

Одним из соображений, которые люди склонны упрощать при рассмотрении вопроса о сборе и хранении данных о своих пользователях, является контроль доступа. Контроль доступа может означать, что посторонние лица не смогут прочитать данные, которые вы собираете, но в более широком смысле это может означать определение границ для любого, кто взаимодействует с данными. Например, это может означать оцепление доступа к сотрудникам, чьи функции не связаны с данными, обеспечение того, чтобы поставщики или партнеры не могли получить к ним доступ без информирования пользователей, и рассмотрение вопроса о том, что будет означать запрос на доступ со стороны государственных учреждений. Доступ к данным обычно более сложен, чем первоначально ожидалось.

Хотя компании имеют возможность и обязаны информировать пользователей о предполагаемых политиках совместного использования и использования данных, иногда бывает сложно ограничить доступ, чтобы соответствовать ожиданиям пользователей. Например, приобретение компании может оставить данные в руках организаций, пользователи которых никогда не ожидали получить доступ. Несмотря на то, что в некоторых случаях широкая политика конфиденциальности может защитить вас от юридического воздействия, потеря доверия потребителей может привести к серьезным последствиям для репутации.

Когда дело доходит до участия правительства, сложность усложняется. Запросы на доступ к собранным данным могут поступать в виде повесток в суд или ордера, и в некоторых случаях, как известно, агентства запрашивают чрезвычайно широкий доступ к данным, которые не предназначены для конкретных пользователей или расследований. В отсутствие доступа к конфиденциальной, конкретной информации многие правительства стали искусными в сборе и анализе метаданных, которые, как правило, менее защищены, но все же могут раскрывать важную информацию. Часто это законная серая зона, требующая ордера на сбор или запрос информации такого типа. Сбор пользовательских данных требует, чтобы организации были готовы справиться с этими неясностями и предвидеть запросы на получение данных.

Дополнительным фактором потенциального охвата собранных данных является безопасность. Хотя вы можете быть бдительными в отношении людей, которым вы намеренно ограничиваете доступ, когда данные раскрываются либо случайно, либо в результате взлома данных, это может эффективно сделать общедоступной информацию, которую вы собрали. Несмотря на то, что серьезное отношение к безопасности всегда важно, количество ценных данных в вашей системе может повлиять на ваш риск подверженности, ответственность, которую вы можете обременять, и привлекательность вашей организации как цели для злоумышленников. Совместное использование соглашений с партнерами или поставщиками также увеличивает степень безопасности данных, которые вы собрали.

При сборе данных вы несете определенные обязанности в соответствии с законодательством стран, в которых вы работаете, и, в некоторых случаях, местоположением ваших пользователей. Знание взаимодействия нормативных актов из разных юрисдикций важно для понимания требований, которые вы должны выполнять, и обязательств, которые вы несете. Правила могут применяться на основе типа данных, которые вы собираете, как вы собираетесь их использовать, где вы планируете хранить или обрабатывать их, как вы обязаны защищать их, и, например, откуда ваши пользователи.

В качестве сложного примера, в Соединенных Штатах нет ни одного законодательного акта, который бы определял требования к обработке пользовательских данных. Вместо этого существует общий набор правил и положений, которые применяются ко всей обработке данных (и ко многим связанным с конфиденциальностью действиям), а также более конкретные законодательные акты, регулирующие типы информации, такие как медицинские данные, финансовые данные или данные, касающиеся несовершеннолетних. Некоторые из них могут повлиять на то, что вам разрешено собирать, как вы храните информацию, какие элементы управления доступом вы должны иметь и какие соглашения о совместном использовании вы можете заключать. Результатом взаимодействия многих политик США является требование по внедрению специальных средств защиты для особо важных данных и обеспечению политики конфиденциальности, которая четко описывает ваши действия.

Напротив, во многих странах более четко определены требования к работе с пользовательскими данными. Европейский Союз, например, принял полный набор правил подGeneral Data Protection Regulation (GDPR), который вступит в силу 25 мая 2018 года и заменит предыдущее поколение правил. Правила имеют очень широкую сферу применения и применяются ко всем, кто собирает или обрабатывает данные в пределах ЕС или имеет дело с данными от посетителей ЕС. Организации должны предоставлять явную информацию об использовании данных посетителям и получать явное согласие на работу с широким спектром потенциально конфиденциальных данных. Другие части регламента позволяют пользователям запрашивать удаление своих данных, требуют, чтобы организации информировали пользователей о любых инцидентах безопасности, связанных с их данными, в течение 3 дней и выдвигали штрафы в виде крупных штрафов за несоблюдение.

Во многих других местах действуют аналогичные наборы законов о защите данных, которые могут применяться при работе в этих странах или обработке информации от их жителей. При разработке вашей конкретной политики важно учитывать типы законов, которые могут применяться к вашему намеченному сбору и использованию. Чтобы свести к минимуму свой риск, всегда полезно поговорить с юристом, чтобы получить более полное представление о правовом поле и пересмотреть предложенную политику конфиденциальности и сбора данных.

Одним из общих правил регулирования данных в Интернете является требование к политике конфиденциальности, которая точно определяет объем ваших операций с данными. Большинство правил требуют, чтобы организации четко отображали ссылку на политику на веб-сайте и информировали пользователей о любых существенных изменениях политики, которые происходят.

Некоторые общие требования или рекомендации по раскрытию политики конфиденциальности:

Для определенных типов информации или в некоторых юрисдикциях от вас также может потребоваться юридически включить описания:

Создание эффективной, юридически обоснованной политики конфиденциальности может помочь вам защитить вас от ответственности, установить доверие со своими посетителями и прояснить ваше собственное понимание того, какие действия вам удобны. Зачастую разработка политики конфиденциальности представляет собой баланс между предоставлением достаточной специфичности для установления точных и разумных ограничений на использование данных и предоставлением достаточной гибкости для покрытия разумного использования и непредвиденных событий без необходимости частого внесения изменений в политику.

Часто использование широкой сети при сборе информации представляется наиболее перспективным вариантом для организаций. Многие сторонники принятия решений, основанных на данных, поощряют сбор как можно большего количества точек данных, не только для того, чтобы помочь сформировать решения, которые вы принимаете сейчас, но и для того, чтобы хранилище исторических данных было доступно на будущее.

Вместо того, чтобы собирать данные, которые вам могут понадобиться позже, рассмотрите возможность ограничения обрабатываемых данных текущими или ближайшими требованиями. Эта сдержанность гарантирует, что вы не подвергаете риску больше данных, чем необходимо. Помимо ограничения рисков для безопасности, внимательное отношение к ползучести данных может помочь вам сохранять чистый сигнал в обрабатываемых вами данных, а не собирать данные непреднамеренно до тех пор, пока они не будут соответствовать ожидаемым шаблонам. Хотя подключение разнородных источников данных может помочь вам обнаружить интересные идеи, переизбыток данных может быть легко неверно истолкован и приведет вас к сомнительным выводам, основанным на ваших предыдущих предположениях.

После сбора данных вы также должны рассмотреть свои правила хранения и хранения. Хотя некоторые типы данных полезны в течение длительных периодов времени, другие становятся менее полезными с течением времени. Удаление устаревших или устаревших данных может помочь снизить ваши затраты и снова ограничить возможность неправильного использования, несчастных случаев или эксплуатации. Если ваши исторические данные могут быть полезны в будущем, рассмотрите возможность объединения, анализа и анализа данных и сохранения результатов вместо исходных данных. Хотя это ограничивает возможности использования исторических данных и может потребовать от вас предвидеть будущие потребности, оно может обеспечить многие преимущества хранения исторических данных при минимизации некоторых опасностей.

Ваши системы и политики должны различать фундаментально важные данные, такие как PII, и данные, которых нет. Хотя может иметь смысл распространять основные бизнес-данные в рамках организации довольно свободно, доступ к данным, содержащим личную информацию, должен быть строго защищен. Это включает в себя доступ к данным, которые, на первый взгляд, не кажутся особенно подверженными неправильному использованию, например, имена и адреса клиентов.

Соблюдение осторожности, чтобы ограничить доступ к этим данным для членов команды, которые нуждаются в них для выполнения своих специфических рабочих функций, может помочь вам обеспечить лучшие гарантии для ваших посетителей. Изучение политик данных каждого из ваших поставщиков или партнеров может помочь вам обеспечить защиту интересов ваших клиентов за пределами ваших собственных систем. Ограничение сбора этой информации, позволяющей установить личность, также может ограничить объем данных, которые вы можете быть вынуждены передать в случае правительственных запросов.

Вы можете собирать некоторые типы конфиденциальной информации как нечто само собой разумеющееся для обработки платежей. Когда это возможно, часто предпочтительнее переносить эти действия на выделенных поставщиков услуг. Это может помочь вам избежать ответственности за обработку наиболее конфиденциальных данных ваших клиентов и часто приводит к повышению безопасности. Надежные процессоры имеют глубокое понимание того, как надлежащим образом собирать и хранить информацию такого типа, и имеют страховые полисы сверх того, во что вы можете инвестировать.

Хотя ваши юридические обязанности, связанные с раскрытием информации пользователем и контролем над информацией, которую вы собираете, могут различаться в зависимости от регулирующих юрисдикций, обычно хорошей идеей является предварительная информация о максимально возможном количестве ваших действий. Упрощение для пользователей просмотра, загрузки или удаления их данных в ваших системах дает им возможность распоряжаться их собственной информацией и гарантирует, что данные, которыми выdo владеете, предоставляются с согласия.

Создание страниц самообслуживания, где пользователи могут контролировать свои данные, может стать огромным шагом вперед для обеспечения конфиденциальности пользователей и сбора информации. Пользователи могут понимать данные, которые они явно предоставили, данные, которые вы собрали в фоновом режиме, в зависимости от их использования, и текущие способы, которыми данные в настоящее время поступают в ваши системы. Это побуждает пользователей проявлять активный и продуманный подход к собственной конфиденциальности и позволяет пользователям отказываться от определенных типов коллекций с пониманием того, как это может повлиять на их доступ.

Когда предоставляется выбор между сбором и сопоставлением данных в фоновом режиме и явным запросом их у пользователей, обычно лучше стремиться к последним. Хотя ваша политика конфиденциальности может предусматривать различные способы сбора данных, прямые запросы сведут к минимуму неожиданности и помогут укрепить доверие. Пользователи могут захотеть предоставить больше информации, когда они чувствуют, что контролируют взаимодействие, а не когда оно собирается с помощью мониторинга поведения, которое может показаться навязчивым.