تكثيف ممارسات المعلومات العادلة الخاصة بك

في الأسبوع الماضي ، عقد Facebook [email protected] ، وهو مؤتمر خصوصية مع تركيز فريد - المستخدم النهائي.

في هذه الأيام ، يركز جدول الأعمال في معظم أحداث الخصوصية دائمًا تقريبًا على عدم اليقين القانوني أو التنظيمي - هل سنحصل على قانون الخصوصية في الولايات المتحدة؟ هل سيتم تمرير لائحة الاتحاد الأوروبي المقترحة؟

بالنسبة إلى رصيد Facebook ، ركز [email protected] على ما يمكن أو ينبغي أن تفعله الشركات الآن بشأن خصوصية المستخدم النهائي ، بغض النظر عن كل هذا عدم اليقين التنظيمي. وخلال المؤتمر ، حصلنا على لمحات عن كيفية استمرار الشركات في الابتكار حول ممارسات المعلومات العادلة أو "FIPs" - الإشعار والموافقة والوصول والأمن والتنفيذ.

على سبيل المثال ، لا تناقش الشركات التي تصنع سيارات متصلة ما إذا كان لديها سياسة خصوصية أم لا ؛ بدلاً من ذلك ، انتقل هذا النقاش إلى الشكل الذي يجب أن تبدو عليه إشعارات الخصوصية ، وما إذا كانت الأصوات أو الرموز يمكن أن تلعب دورًا في تنشيط السياسات القائمة على النص ، وماذا يحدث إذا كانت شاشة الجهاز إما صغيرة جدًا أو غير موجودة.

ما هي FIPs؟

تعد FIPs اللبنات الأساسية لأي برنامج خصوصية. تم توضيحها لأول مرة في تقرير للحكومة الأمريكية عام 1973 بعنوان "السجلات وأجهزة الكمبيوتر وحقوق المواطنين". كانت هذه هي المرة الأولى التي يركز فيها أي تقرير حكومي على تأثيرات "المعالجة الآلية للبيانات" على المواطنين الأمريكيين. الآن ، في حقبة ما بعد سنودن ، تبدو مقدمة Caspar Weinberger حكيمة بشكل لا يصدق وحتى شريرة بعض الشيء:

"أجهزة الكمبيوتر المرتبطة ببعضها البعض من خلال شبكات اتصالات عالية السرعة تهدف إلى أن تصبح الوسيلة الرئيسية لإنشاء وتخزين واستخدام سجلات حول الأشخاص ..."

لم تصبح FIPs أبدًا أساسًا لقانون جمع البيانات التجارية في الولايات المتحدة (لا تزال الولايات المتحدة تفتقر إلى مثل هذا القانون اليوم) ، لكنها شكلت أساسًا للمتطلبات بموجب العديد من القوانين الخاصة بالقطاع الأمريكي بما في ذلك قانون الخصوصية لعام 1974 الذي يلزم القانون الفيدرالي الحكومة لحماية المعلومات الشخصية التي تم جمعها من مواطني الولايات المتحدة. ومن المثير للاهتمام ، أن معظم أطر العمل العالمية وحماية البيانات الحالية تدمج وتتوسع في FIPs ، على سبيل المثال ، يوسع قانون حماية البيانات في الاتحاد الأوروبي "الإشعار" إلى متطلبين إضافيين - مواصفات الغرض وحدود الاستخدام.

تصعيد FIPs الخاص بك!

مع وضع هذه الخلفية في الاعتبار ، هل يجب عليك "تكثيف FIPs الخاصة بك؟" قطعاً. اعتمدت لجنة التجارة الفيدرالية (FTC) رسميًا FIPs في تقرير عام 2000 ، وتواصل الوكالة تطوير هذا التنفيذ في تقرير كيفية تقييم الضرر الذي يلحق بخصوصية المستخدم النهائي. على هذا النحو ، يجب أن يكون معلنو التطبيقات والمسوقون على دراية بكل FIP وكيف يتم تنفيذها ضمن تجربة المنتج أو التطبيق ، بالإضافة إلى العمليات الخلفية.

إشعار - تحلَّ بالشفافية ، وتأكد من أن سياسات الخصوصية تقدم إشعارًا "ذي مغزى" حول جمع البيانات واستخدامها. لا تقدم وعودًا لا تفي بها. قامت لجنة التجارة الفيدرالية (FTC) بمقاضاة Snapchat على أساس إشعارات خصوصية الشركة والبيانات الأخرى التي ادعت أن رسائل المستخدم "ستختفي" بعد فترة زمنية محددة. في الواقع ، تم تخزين الرسائل في سجلات Snapchat ويمكن الوصول إليها بواسطة تطبيقات الطرف الثالث.

الموافقة - يُعرف أيضًا بالاختيار والتحكم. يعد الحصول على موافقة المستخدم النهائي لجمع البيانات واستخدامها أمرًا ضروريًا - بما في ذلك الحصول على موافقة صريحة لجمع فئات البيانات "الحساسة" مثل الموقع الدقيق لجهاز المستخدم النهائي.

الوصول - يوفر طريقة لتغيير أو حتى حذف البيانات التي بحوزتك عن المستخدمين النهائيين. يتضمن ذلك تكريم طلبات إلغاء الاشتراك للمستخدم النهائي كما أوضحت لنا FTC في إجراءاتها الأخيرة ضد تقنيات Nomi ، وهي شركة تتبع للبيع بالتجزئة لم تقم بإلغاء اشتراك المستخدمين النهائيين عند الطلب.

الأمان - قم بتأمين جميع البيانات الشخصية القيمة من خلال التدابير التنظيمية والفنية الصحيحة لمنع الوصول أو الكشف غير المصرح به. رفعت لجنة التجارة الفيدرالية (FTC) دعاوى ضد Credit Karma و Fandango لتحريف الممارسات الأمنية ، والفشل في تأمين المعلومات الشخصية الحساسة للمستهلكين.

الإنفاذ - يشمل ذلك كلاً من اللوائح الحكومية ، فضلاً عن الأطر الذاتية والتنظيمية المشتركة مثل إرشادات المحمول Digital Advertising Alliance (DAA) أو كود Network Advertising Alliance (NAI). أيضًا ، من المهم عدم تحريف عضويتك أو تحريفها في إطار تنظيمي أو ملاذ آمن. تم توضيح هذه النقطة مؤخرًا من قبل لجنة التجارة الفيدرالية (FTC) ، التي أنهت للتو إجراءين ضد الشركات لارتكابها خطأ في حالة مشاركة الملاذ الآمن بين الاتحاد الأوروبي والولايات المتحدة.

انتبه إلى DAA و NAI ومتطلبات التنظيم الذاتي الأخرى

هذه النقطة الأخيرة تستحق التفكير فيها بشكل خاص. في الشهرين الماضيين ، رأينا إعلانين هامين للرقابة الذاتية:

• ستبدأ DAA في تطبيق إرشادات DAA للجوّال في سبتمبر 2015 لجميع الكيانات المشاركة في الإعلانات القائمة على الاهتمامات وجمع البيانات عبر التطبيقات. تستند هذه الإرشادات إلى مبادئ التنظيم الذاتي لـ DAA للإعلان السلوكي عبر الإنترنت أو "OBA". مبادئ DAA هي برنامج تنظيم ذاتي مهم وتستند جزئيًا إلى مبادئ OBA لعام 2009 لموظفي FTC.

• أصدرت NAI إرشادات لاستخدام التقنيات غير القائمة على ملفات تعريف الارتباط (مثل البصمات الرقمية) ، بناءً على كود NAI. تصنف NAI الشركات إلى أطراف أولى (تجمع وتستخدم البيانات نيابة عن نفسها) أو أطراف ثالثة (شركات تعمل إما في "الإعلان عبر البيانات" أو "تقديم الإعلانات وإعداد التقارير" نيابة عن الشركات الأخرى).

من المهم تحديد ما إذا كنت تندرج في نطاق أحد هذه البرامج ذاتية التنظيم. على سبيل المثال ، صرحت DAA أن مبادئها تغطي " جميع الشركات العاملة في [الإعلانات القائمة على الاهتمامات] ونشاط جمع البيانات متعدد المواقع والتطبيقات للاستخدام المسموح به" بغض النظر عما إذا كنت عضوًا في DAA أم لا.

في الختام…

إنه وقت جيد لإعادة النظر في كيفية دمج FIPs في برنامج الخصوصية وتجربة التطبيق. كما أوضحت لنا العديد من إجراءات FTC ، فإن دمج هذه المتطلبات يعد خطوة مهمة لتلبية متطلبات الامتثال والمتطلبات القانونية الخاصة بك. لكن FIPs هي أيضًا جزء مهم لضمان الثقة - لأنها تُظهر للمستخدمين النهائيين أنك تحترم حقوق الخصوصية الخاصة بهم وأنك وكيل موثوق به لبياناتهم الشخصية.

ومع استمرار المزيد من الشركات في اتباع هذا النموذج الخاص بتبني الممارسات القائمة على إطار عمل مشترك ، يصبح التنظيم الذاتي بديلاً أكثر قابلية للتطبيق لتمرير المتطلبات القانونية. على عكس القانون ، يمكن للتنظيم الذاتي مواكبة التكنولوجيا المتطورة. لذلك هذا هو النهج الذي يجب على الشركات المبتكرة أن تنظر إليه من أجل الحفاظ على امتثالها ، ولكن أيضًا البقاء مبتكرًا.

هل تريد معرفة المزيد حول تصعيد FIPs الخاصة بك؟ ثم لا تنس حضور ورشة عمل TUNE "FIPs for Apps" في Postback هذا العام.

مثل هذا المقال؟ اشترك في مدونتنا رسائل البريد الإلكتروني.