Meningkatkan Praktik Informasi Adil Anda

Minggu lalu, Facebook mengadakan [email protected], konferensi privasi dengan fokus unik – pengguna akhir.

Saat ini, agenda di sebagian besar acara privasi hampir selalu berfokus pada ketidakpastian hukum atau peraturan – akankah kita mendapatkan undang-undang privasi di Amerika Serikat? Apakah peraturan UE yang diusulkan akan disahkan?

Untuk kredit Facebook, [dilindungi email] berfokus pada apa yang dapat atau harus dilakukan perusahaan saat ini tentang privasi pengguna akhir, terlepas dari semua ketidakpastian peraturan ini. Dan selama konferensi, kami melihat sekilas tentang bagaimana perusahaan terus berinovasi seputar praktik informasi yang adil atau “FIP” – pemberitahuan, persetujuan, akses, keamanan, dan penegakan.

Misalnya, perusahaan yang membuat mobil terhubung tidak memperdebatkan apakah akan memiliki kebijakan privasi atau tidak; alih-alih diskusi telah beralih ke seperti apa tampilan pemberitahuan privasi, apakah suara atau ikon dapat berperan dalam menghidupkan kebijakan berbasis teks, dan apa yang terjadi jika layar perangkat sangat kecil atau tidak ada.

Apa itu FIP?

FIP adalah blok bangunan penting dari program privasi apa pun. Mereka pertama kali diartikulasikan dalam laporan pemerintah AS tahun 1973 berjudul "Catatan, Komputer, dan Hak Warga Negara." Ini adalah pertama kalinya setiap laporan pemerintah berfokus pada efek "pemrosesan data otomatis" pada warga AS. Sekarang, di era pasca-Salju, perkenalan Caspar Weinberger tampak sangat cerdas dan bahkan sedikit menyeramkan:

“Komputer yang dihubungkan bersama melalui jaringan telekomunikasi berkecepatan tinggi ditakdirkan untuk menjadi media utama untuk membuat, menyimpan, dan menggunakan catatan tentang orang…”

FIP tidak pernah menjadi dasar undang-undang pengumpulan data komersial di AS (AS masih kekurangan undang-undang seperti itu hingga saat ini), tetapi FIP memang membentuk dasar persyaratan di bawah beberapa undang-undang khusus sektor AS termasuk Undang-Undang Privasi 1974 yang mewajibkan federal pemerintah untuk melindungi informasi pribadi yang dikumpulkan dari warga AS. Dan yang menarik, sebagian besar kerangka kerja perlindungan data dan global saat ini menggabungkan dan memperluas FIP, misalnya undang-undang perlindungan data Uni Eropa memperluas “pemberitahuan” menjadi dua persyaratan tambahan – spesifikasi tujuan dan batasan penggunaan.

Tingkatkan FIP Anda!

Dengan mengingat latar belakang ini, haruskah Anda “meningkatkan FIP Anda?” Sangat. FTC secara resmi mengadopsi FIP dalam laporan tahun 2000, dan badan tersebut terus mengembangkan implementasi tersebut dalam memutuskan bagaimana mengevaluasi bahaya privasi pengguna akhir. Dengan demikian, pengiklan dan pemasar aplikasi harus mengetahui setiap FIP dan bagaimana penerapannya dalam pengalaman produk atau aplikasi, serta proses backend.

Pemberitahuan – Bersikaplah transparan, dan pastikan kebijakan privasi memberikan pemberitahuan “bermakna” tentang pengumpulan dan penggunaan data. Jangan membuat janji yang tidak Anda tepati. FTC menuntut Snapchat berdasarkan pemberitahuan privasi perusahaan dan pernyataan lain yang mengklaim bahwa pesan pengguna akan "menghilang" setelah jangka waktu tertentu. Pada kenyataannya, pesan disimpan di log Snapchat dan dapat diakses oleh aplikasi pihak ketiga.

Persetujuan – Juga dikenal sebagai pilihan dan kontrol. Mendapatkan persetujuan pengguna akhir untuk pengumpulan dan penggunaan data adalah suatu keharusan – termasuk mendapatkan persetujuan tegas untuk pengumpulan kategori data “sensitif” seperti lokasi yang tepat dari perangkat pengguna akhir.

Akses – Menyediakan cara untuk mengubah, atau bahkan mungkin menghapus data yang Anda simpan tentang pengguna akhir. Ini termasuk menghormati permintaan penyisihan pengguna akhir seperti yang ditunjukkan FTC kepada kami dalam tindakannya baru-baru ini terhadap teknologi Nomi, perusahaan pelacakan ritel yang tidak menyisih dari pengguna akhir saat diminta.

Keamanan – Amankan semua data pribadi yang berharga dengan tindakan organisasi dan teknis yang tepat untuk mencegah akses atau pengungkapan yang tidak sah. FTC telah mengambil tindakan terhadap Credit Karma dan Fandango karena salah mengartikan praktik keamanan, dan gagal mengamankan informasi pribadi konsumen yang sensitif.

Penegakan – Ini mencakup peraturan pemerintah, serta kerangka kerja peraturan sendiri dan bersama seperti pedoman seluler Digital Advertising Alliance (DAA) atau kode Network Advertising Alliance (NAI). Selain itu, penting untuk tidak salah menggambarkan atau salah menyatakan keanggotaan Anda dalam kerangka peraturan atau pelabuhan yang aman. Poin ini dibuat baru-baru ini oleh FTC, yang baru saja menyelesaikan dua tindakan terhadap perusahaan karena salah menyatakan status partisipasi Safe Harbor UE-AS mereka.

Perhatikan DAA, NAI, dan persyaratan pengaturan mandiri lainnya

Poin terakhir ini sangat layak untuk dipikirkan. Dalam dua bulan terakhir, kami telah melihat dua pengumuman regulasi mandiri yang signifikan:

• DAA akan mulai menerapkan pedoman seluler DAA pada September 2015 untuk semua entitas yang terlibat dalam periklanan berbasis minat dan pengumpulan data lintas aplikasi. Pedoman ini dibangun dari Prinsip Pengaturan Mandiri DAA untuk periklanan perilaku online atau “OBA.” Prinsip-prinsip DAA adalah program pengaturan diri yang penting dan sebagian didasarkan pada prinsip-prinsip OBA Staf FTC 2009.

• NAI telah merilis pedoman untuk menggunakan teknologi berbasis non cookie (misalnya sidik jari digital), membangun dari kode NAI. NAI mengkategorikan perusahaan menjadi pihak pertama (yang mengumpulkan dan menggunakan data atas nama mereka sendiri) atau pihak ketiga (perusahaan yang terlibat dalam "periklanan lintas data" atau "pengiriman dan pelaporan iklan" atas nama perusahaan lain).

Penting untuk menentukan apakah Anda termasuk dalam cakupan salah satu program pengaturan mandiri ini. Misalnya, DAA telah menyatakan bahwa prinsipnya mencakup " semua perusahaan yang terlibat dalam [iklan berbasis minat] dan aktivitas pengumpulan data multi-situs, multi-aplikasi untuk penggunaan yang diizinkan" terlepas dari apakah Anda anggota DAA atau tidak.

Sebagai penutup…

Saat yang tepat untuk meninjau kembali cara Anda memasukkan FIP ke dalam program privasi dan pengalaman aplikasi Anda. Seperti yang telah ditunjukkan oleh banyak tindakan FTC kepada kami, memasukkan persyaratan ini merupakan langkah penting untuk memenuhi persyaratan kepatuhan dan hukum Anda. Namun FIP juga merupakan bagian penting untuk memastikan kepercayaan — karena FIP menunjukkan kepada pengguna akhir bahwa Anda menghormati hak privasi mereka dan merupakan pengelola data pribadi mereka yang dapat dipercaya.

Dan, karena semakin banyak perusahaan yang terus mengikuti model penerapan praktik ini berdasarkan kerangka kerja umum, pengaturan mandiri menjadi alternatif yang lebih layak untuk meloloskan persyaratan hukum. Tidak seperti hukum, pengaturan mandiri dapat mengikuti perkembangan teknologi. Jadi ini adalah pendekatan yang harus dilihat oleh perusahaan inovatif agar tetap patuh, tetapi juga tetap inovatif.

Ingin mempelajari lebih lanjut tentang meningkatkan FIP Anda? Maka jangan lupa untuk menghadiri Workshop “FIPs for Apps” TUNE di Postback tahun ini.

Suka artikel ini? Mendaftar untuk email intisari blog kami.