Privasi: Tahun Tinjauan 2015

Saat kita menatap tahun baru, satu hal yang jelas: Pada tahun 2016, pengiklan dan pemasar perlu meningkatkan permainan mereka dalam hal terhubung dengan pengguna akhir. Tantangan? Menciptakan pengalaman yang menghormati hak privasi individu dan membuat pengguna akhir tetap terlibat.

Jadi, inilah saat yang tepat untuk mengambil langkah mundur dan memikirkan apakah praktik data Anda yang ada memperdalam atau merusak kepercayaan pengguna Anda. Dan ingat—Anda harus memikirkan semua ini pada saat individu memilih keluar dari iklan online dalam jumlah rekor karena aturan permainan terus berubah secara drastis.

Berikut adalah takeaways privasi utama dari 2015:

Konsumen, Sikap Privasi & Pemblokir Iklan

Pada tahun 2015, masalah privasi konsumen berkembang—dari ketakutan umum akan pengawasan pemerintah dan pelacakan komersial, hingga kekhawatiran khusus tentang apakah data pribadi dikumpulkan, digunakan, dan disimpan.

Dalam survei Pew Trust bulan Maret 2015 , para peserta mengungkapkan meskipun mereka masih khawatir tentang pengawasan pemerintah di era pasca-Snowden, mereka sama-sama khawatir tentang pengumpulan dan penggunaan data oleh pelaku komersial swasta. Lebih tepatnya, peserta Pew menunjukkan ketidakpercayaan yang nyata terhadap iklan online—76% orang dewasa yang disurvei menjawab bahwa mereka tidak “sepenuhnya yakin” bahwa “catatan aktivitas mereka yang disimpan oleh pengiklan online yang menempatkan iklan di situs web yang mereka kunjungi akan tetap pribadi dan aman. ”.

Apakah ada hubungan antara sikap yang diungkapkan dalam survei Pew dan kekhawatiran terbesar yang dihadapi media digital pada tahun 2015—yaitu kebangkitan meroket dan adopsi teknologi pemblokiran iklan?

foto oleh Spoon Agency

Angka-angka tampaknya menunjukkan bahwa ini adalah kasusnya. Asosiasi perdagangan untuk penerbit online, Digital Content Next (DCN), menerbitkan hasil dari survei yang menemukan bahwa lebih dari sepertiga konsumen AS akan mencoba pemblokir iklan dalam tiga bulan ke depan, dan sekitar setengah dari jumlah tersebut pada akhirnya akan memilih keluar. iklan berbasis minat sama sekali.

Dan jumlah ini kemungkinan akan terus meningkat, dengan dirilisnya fitur Apple di iOS 9 yang memungkinkan pengguna mengaktifkan pemblokiran iklan seluler—sedikit pengalaman pengguna yang kikuk karena Anda harus mengunduh aplikasi pemblokir iklan untuk memanfaatkan pemblokiran ini fitur (dan mungkin salah satu alasan di balik rekor jumlah unduhan aplikasi pemblokir iklan setelah rilis iOS 9).

Membawa pergi?

Perhatikan baik-baik pernyataan dan pemberitahuan privasi Anda. Apakah menurut Anda mereka memberikan pandangan yang jelas tentang mengapa dan bagaimana Anda mengumpulkan dan menggunakan data dari pengguna akhir? Mungkin sudah waktunya untuk berkreasi dengan kebijakan privasi Anda dan memikirkan kebijakan yang menggabungkan suara, grafik, atau bahkan animasi ke dalam format. Memiliki kebijakan privasi yang menjelaskan nilai Anda kepada pengguna Anda dalam bentuk yang mudah dipahami dan mengelola ekspektasi tentang penggunaan dan berbagi data akan membantu menangkis angka penyisihan yang tercatat. Dan tentu saja, Anda ingin terus memperbarui kebijakan privasi Anda dan memberi tahu pengguna tentang perubahan penting.

CEO TUNE, Peter Hamilton, sebenarnya berpikir ada sisi positif dari pemblokiran iklan— karena konsumen pada dasarnya memberi tahu Anda apa yang tidak berhasil bagi mereka dengan memblokir iklan Anda. Lihatlah tipsnya untuk memikirkan kembali pengalaman iklan digital di artikel Mediapost bulan Desember ini .

FTC Terus Memberi Sinyal Penegakan Kuat di 2015

Tahun 2015 merupakan tahun yang sibuk dan signifikan bagi FTC.

Agensi tersebut mendapat kemenangan besar ketika otoritas keamanan datanya ditegaskan oleh Third Circuit—kasus profil tinggi yang melibatkan hotel-hotel Wyndham (lihat posting blog September saya di sini untuk mengetahui lebih lanjut tentang kasus Wyndham dan potensi dampaknya). Tetapi juga mengalami kemunduran ketika seorang hakim hukum administrasi menolak kasus keamanan datanya terhadap LabMD - dengan alasan bahwa agensi tersebut telah gagal membuktikan elemen penting dari kasus ketidakadilan FTC - bahwa kurangnya praktik keamanan menyebabkan atau mungkin menyebabkan "kerugian substansial kepada konsumen”.

FTC melanjutkan rekornya sebagai penegak privasi paling aktif di dunia, melakukan tindakan berdasarkan undang-undang seperti Children's Online Privacy Protection Act (COPPA) dan Fair Credit Reporting Act (FCRA), serta di bawah "penipuan" dan "penipuan" badan tersebut. ketidakadilan" otoritas sesuai dengan Bagian 5 dari FTC Act. FTC juga melakukan beberapa inisiatif kebijakan, termasuk lokakarya tentang pelacakan lintas perangkat (lihat rekap TUNE di sini ) dan rilis panduan agensi tentang iklan asli .

Salah satu kasus yang lebih signifikan yang melibatkan ekosistem aplikasi adalah tindakan FTC Desember 2015 terhadap dua pengembang aplikasi seluler karena pelanggaran COPPA. Ini adalah beberapa tindakan penegakan pertama berdasarkan pembagian teknis atau “pengidentifikasi tetap”—seperti IDFA atau alamat IP—antara pengembang aplikasi dan jaringan iklan. Dengan tindakan ini, FTC telah menetapkan bahwa pengidentifikasi tetap seperti ID iklan atau alamat IP, merupakan “data pribadi” – pengumpulan, penggunaan, atau pembagian yang memicu kewajiban COPPA.

Membawa pergi?

Kasus FTC ini mengingatkan kami bahwa terlepas dari apakah data tersebut dianggap pribadi atau material, penting untuk memperhatikan pengumpulan data, penggunaan, dan kontrol konsumen (seperti memilih keluar) secara akurat dalam kebijakan privasi Anda, jika tidak, Anda dapat menghadapi penegakan FTC tindakan. Selain itu, Anda perlu berpikir di luar praktik terbaik privasi dan memastikan bahwa Anda mengikuti semua aturan, terutama jika Anda mengumpulkan data untuk tujuan yang tercakup dalam undang-undang AS yang ada, misalnya data yang digunakan untuk tujuan kredit, asuransi, dan pekerjaan berdasarkan FCRA, dan data yang dikumpulkan dari anak-anak di bawah 13 tahun untuk tujuan pemasaran di bawah COPPA.

Perubahan dalam Aturan Perlindungan Data UE

2015 melihat beberapa revisi besar untuk persyaratan privasi penting di Eropa.

Pada bulan Oktober, Pengadilan Eropa membatalkan Kerangka Kerja Safe Harbor AS-UE, sarana utama yang digunakan perusahaan untuk mentransfer data pribadi untuk tujuan komersial dari UE ke AS (selengkapnya dalam pembaruan ini dari tim privasi Hogan Lovells). Regulator AS dan UE memiliki waktu hingga akhir Januari untuk memutuskan kerangka kerja Safe Harbor AS-UE baru yang akan sesuai dengan persyaratan yang ditetapkan dalam Pendapat Pengadilan.

Pada bulan Desember, setelah hampir empat tahun negosiasi, Komisi, Dewan, dan Parlemen Eropa menyetujui undang-undang perlindungan data UE yang direvisi atau “ G D P R ” yang akan memberlakukan kewajiban signifikan pada perusahaan yang mengumpulkan data dari pengguna akhir UE. Tidak seperti undang-undang UE saat ini di bawah Arahan 1995 dan ePrivasi, GDPR adalah peraturan yang akan mulai berlaku tanpa memerlukan undang-undang pelaksanaan tambahan oleh negara-negara anggota UE. Ini akan mulai berlaku sebagai undang-undang UE sekitar tahun 2018. Itu berarti Anda masih punya waktu untuk menilai potensi dampak persyaratan GDPR pada bisnis Anda.

Berikut adalah empat perkembangan utama yang harus Anda pikirkan:

1. Data pseudonim sekarang menjadi data pribadi, selamanya.

Di bawah GDPR, definisi data pribadi telah diperluas untuk mencakup pengenal teknis seperti ID iklan dan alamat IP. Ini membawa hukum UE sejalan dengan pemikiran FTC saat ini (seperti yang dibahas sebelumnya dalam pembaruan ini). Undang-undang baru juga memiliki persyaratan khusus untuk perusahaan yang menyimpan data di "profil". Selain itu, GDPR memperlakukan data pribadi seperti selalu mempertahankan sifat pribadinya—bahkan setelah di-hash atau “disamarkan”. Akibatnya, hak perlindungan data konsumen yang biasanya diterapkan pada data pribadi menurut undang-undang UE (misalnya pemberitahuan, penyisihan, penghapusan, retensi) kini akan berlaku untuk data yang di-hash.

Mengharuskan agar data di-hash sudah menjadi praktik terbaik yang muncul untuk menyimpan atau mentransfer data yang digunakan untuk tujuan pemasaran. Jadi, industri harus bekerja sama untuk mengartikulasikan dan mengembangkan standar umum untuk mengamankan data pseudonim, terutama karena GDPR menyediakan “kode etik” industri untuk mengatasi jenis masalah ini. Kami telah melihat beberapa pekerjaan hebat dalam hal ini dari organisasi seperti IAB UK dan Future of Privacy Forum dan menantikan lebih banyak diskusi di tahun 2016 (catatan: TUNE bekerja dengan kedua organisasi; kami juga anggota FPF dan duduk di penasihat mereka papan).

2. Peningkatan tanggung jawab untuk pemroses data

Di bawah undang-undang UE saat ini, pengontrol data yang menentukan bagaimana data akan diproses memiliki tanggung jawab utama atas pelanggaran perlindungan data. Pemroses data seperti TUNE, yang memproses data atas permintaan pengontrol data, tidak memiliki kewajiban utama dengan asumsi mereka mengikuti persyaratan tertentu (biasanya diabadikan dalam "adendum pemrosesan data" antara pengontrol dan prosesor).

Namun, GDPR akan meningkatkan kewajiban untuk pemroses data. Ada potensi tanggung jawab bersama dan beberapa untuk pelanggaran data seperti akses tidak sah atau pelanggaran data. Dalam beberapa kasus, pemroses data dapat menemukan dirinya sendiri yang paling bertanggung jawab atas pelanggaran data—terutama jika ditemukan bahwa kekurangan dalam pemrosesan menyebabkan pelanggaran tersebut atau jika ditemukan bahwa pemroses bertindak lebih seperti pengontrol data dalam contoh tertentu. Selain itu, pemroses data harus menunjukkan " Akuntabilitas ." Dan semua ini menjadi lebih signifikan, ketika Anda mempertimbangkan bahwa di bawah GDPR, regulator dapat menilai penalti hingga 4% dari omset tahunan global perusahaan.

3. Persetujuan diperlukan untuk sebagian besar jenis "profiling"

Undang-undang UE yang baru mengharuskan Anda mendapatkan persetujuan individu sebelum menyiapkan profil apa pun di pengguna tersebut (atau perangkat mereka). Satu-satunya pengecualian untuk aturan ini adalah untuk pencegahan dan deteksi kejahatan. Meskipun standar persetujuan eksplisit yang sangat tidak dapat dijalankan telah dibahas dalam draf sebelumnya, versi final undang-undang tersebut memberikan standar persetujuan yang “tidak ambigu”. Masih harus dilihat seperti apa tingkat persetujuan itu sebenarnya dalam hal analitik, atau jenis aktivitas data besar lainnya. Namun, ini adalah pertanyaan lain yang diharapkan dapat dijawab oleh industri melalui kode etik atau proses pemangku kepentingan yang serupa.

4. COPPA

GDPR akan mencakup undang-undang privasi anak-anak yang serupa dengan undang-undang COPPA AS, meskipun tidak jelas apa persyaratan spesifiknya. GDPR menetapkan usia persetujuan pada usia 16 tahun tetapi regulator perlindungan data UE individu dapat menurunkannya menjadi usia 13 tahun (yang saat ini merupakan usia persetujuan berdasarkan COPPA AS).

Membawa pergi?

GDPR akan sangat memengaruhi cara perusahaan melakukan bisnis dengan warga negara UE . Banyak persyaratan—seputar persetujuan, perlakuan terhadap data pseudonim, dan data anak-anak—belum ditentukan. Namun, undang-undang baru juga mengantisipasi bahwa industri akan berperan melalui kode etik, sertifikasi, dan mekanisme lainnya. Ini berarti bahwa think tank privasi dan komunitas asosiasi industri memiliki peran yang kuat untuk dimainkan karena mereka membantu perusahaan menavigasi persyaratan baru dan mengusulkan standar yang dapat diterapkan untuk mematuhi undang-undang baru. TUNE berharap dapat bekerja sama dengan mitra asosiasi kami yang ada— Forum Privasi Masa Depan , eDAA , dan Salon Hukum Privasi —dalam beberapa upaya ini di tahun baru.

Apa Rencana Game Anda di 2016?

Dengan semua ini, inilah saat yang tepat untuk mulai memikirkan tentang bagaimana Anda berencana untuk meningkatkan permainan Anda di tahun 2016. Tahun baru membawa kesempatan untuk melibatkan kembali pengguna dan merekayasa ulang kepatuhan, terutama dengan persyaratan GDPR baru yang akan segera datang. .

Di TUNE, kami akan melanjutkan pekerjaan kami untuk mendidik dan menginformasikan pada tahun 2016 melalui buletin, posting blog, dan acara lain yang berfokus pada data dan privasi. Kami juga akan menghubungi untuk melihat apakah perusahaan yang berpikiran sama tertarik untuk bermitra dengan kami dalam kampanye pendidikan tentang Internet yang didanai iklan, cara kerjanya, dan manfaat yang diberikannya (terutama, akses ke layanan seperti Gmail atau Facebook). Kami percaya bahwa sebagian besar masalah privasi tentang pengumpulan data online dapat diatasi melalui upaya yang ditargetkan yang difokuskan pada jenis pendidikan pengguna akhir dan pemangku kepentingan ini.

Apakah Anda tertarik untuk bekerja sama dengan kami dalam upaya ini? Silakan kirim email kepada kami, kami akan sangat menghargai mendengar dari Anda.

Semua yang terbaik untuk 2016 yang sangat bahagia dan sejahtera!

Catatan: Bagian ini dimaksudkan untuk menunjukkan pandangan saya tentang kejadian privasi tertentu di tahun 2015; itu tidak dimaksudkan dan tidak boleh ditafsirkan dengan cara apa pun sebagai nasihat hukum. Terima kasih telah mengambil iklan ulang :-).

Suka artikel ini? Mendaftar untuk email intisari blog kami.