Конфиденциальность: итоги 2015 года

В предвкушении нового года ясно одно: в 2016 году рекламодателям и маркетологам нужно будет улучшить свою игру, когда дело доходит до связи с конечным пользователем. Соревнование? Создание опыта, уважающего индивидуальные права на неприкосновенность частной жизни и вовлекающего конечного пользователя.

Так что самое время сделать шаг назад и подумать о том, укрепляют ли ваши существующие методы работы с данными или подрывают доверие ваших пользователей. И помните — вам нужно будет выяснить все это в то время, когда люди отказываются от онлайн-рекламы в рекордных количествах, поскольку правила игры продолжают радикально меняться.

Вот основные выводы о конфиденциальности за 2015 год:

Потребители, отношение к конфиденциальности и блокировщики рекламы

В 2015 году опасения потребителей в отношении конфиденциальности эволюционировали — от общего страха перед государственным надзором и коммерческим отслеживанием до конкретных опасений по поводу того, собираются, используются и сохраняются ли личные данные.

В ходе опроса Pew Trust, проведенного в марте 2015 года , участники показали, что хотя они все еще обеспокоены государственной слежкой в ​​эпоху после Сноудена, они в равной степени обеспокоены сбором и использованием данных частными коммерческими субъектами. Более того, участники Pew продемонстрировали заметное недоверие к онлайн-рекламе: 76% опрошенных взрослых ответили, что они не были «полностью уверены» в том, что «записи их действий, которые ведут онлайн-рекламодатели, размещающие рекламу на посещаемых ими веб-сайтах, останутся конфиденциальными и безопасными». ».

Есть ли связь между отношением, выраженным в опросе Pew, и самой большой проблемой, с которой столкнулись цифровые медиа в 2015 году, а именно стремительным ростом и внедрением технологии блокировки рекламы?

фото агентства Spoon

Цифры, кажется, говорят о том, что это так. Торговая ассоциация онлайн-издателей Digital Content Next (DCN) опубликовала результаты опроса , который показал, что более трети потребителей в США попробуют блокировщики рекламы в ближайшие три месяца, и около половины из них в конечном итоге откажутся от них. рекламы на основе интересов в целом.

И эти цифры, вероятно, будут продолжать расти с выпуском Apple функции в iOS 9, которая позволяет пользователям включать блокировку мобильной рекламы — немного неуклюжий пользовательский интерфейс, потому что вам нужно загрузить приложение для блокировки рекламы, чтобы воспользоваться этой блокировкой. функция (и, вероятно, одна из причин рекордного количества загрузок приложений для блокировки рекламы после выпуска iOS 9).

Еда на вынос?

Внимательно изучите свои заявления о конфиденциальности и уведомления. Как вы думаете, дают ли они четкое представление о том, почему и как вы собираете и используете данные от конечного пользователя? Возможно, пришло время проявить творческий подход к вашей политике конфиденциальности и подумать о той, которая включает звук, графику или даже анимацию в формат. Наличие политики конфиденциальности, которая объясняет вашу ценность для ваших пользователей в удобоваримой форме и управляет ожиданиями в отношении использования и обмена данными, должно помочь отразить рекордное количество отказов. И, конечно же, вы хотите постоянно обновлять свою политику конфиденциальности и информировать пользователей о важных изменениях.

Генеральный директор TUNE Питер Гамильтон на самом деле считает, что у блокировки рекламы есть свои плюсы, поскольку потребители, по сути, сообщают вам, что у них не работает, блокируя вашу рекламу. Взгляните на его советы по переосмыслению цифровой рекламы в этой декабрьской статье Mediapost .

FTC продолжает сигнализировать о строгом правоприменении в 2015 г.

2015 год был напряженным и знаменательным для FTC.

Агентство одержало большую победу, когда его полномочия по обеспечению безопасности данных были подтверждены Третьим судебным округом — громкое дело, касающееся отелей Wyndham (см. мой сентябрьский пост в блоге здесь, чтобы узнать больше о деле Wyndham и его потенциальном влиянии). Но он также потерпел неудачу, когда судья по административным делам отклонил его дело о безопасности данных против LabMD , утверждая, что агентство не смогло доказать важный элемент дела о недобросовестности FTC, а именно то, что отсутствие методов обеспечения безопасности вызвало или могло привести к «существенному ущербу». потребителям».

FTC продолжала оставаться самым активным в мире контролером конфиденциальности, предпринимая действия на основании таких законодательных актов, как Закон о защите конфиденциальности детей в Интернете (COPPA) и Закон о достоверной кредитной отчетности (FCRA), а также в соответствии с «обманчивыми» и «обманчивыми» агентствами. несправедливость» в соответствии с разделом 5 Закона о Федеральной торговой комиссии. FTC также реализовала несколько политических инициатив, в том числе семинар по отслеживанию между устройствами (см. краткий обзор TUNE здесь ) и выпуск руководства агентства по нативной рекламе .

Одним из наиболее важных дел, связанных с экосистемой приложений, были иски FTC в декабре 2015 года против двух разработчиков мобильных приложений за нарушение COPPA. Это одни из первых принудительных действий, основанных на совместном использовании технических или «постоянных идентификаторов», таких как IDFA или IP-адрес, между разработчиком приложения и рекламной сетью. Этими действиями FTC установила, что постоянные идентификаторы, такие как рекламный идентификатор или IP-адрес, представляют собой «персональные данные», сбор, использование или передача которых влечет за собой ответственность COPPA.

Еда на вынос?

Эти дела FTC напоминают нам о том, что независимо от того, считаются ли данные личными или существенными, важно точно указать в своей политике конфиденциальности сбор данных, использование и контроль потребителей (например, отказ), иначе вы можете столкнуться с принудительным исполнением FTC. действие. Кроме того, вам необходимо думать не только о передовых методах обеспечения конфиденциальности, но и следить за тем, чтобы вы соблюдали все правила, особенно если вы собираете данные для целей, подпадающих под действие действующих законов США, например данные, используемые для целей кредитования, страхования и трудоустройства в соответствии с FCRA, и данные, полученные от детей младше 13 лет в маркетинговых целях в соответствии с COPPA.

Изменения в правилах защиты данных ЕС

В 2015 году в Европе были внесены некоторые серьезные изменения в важные требования к конфиденциальности.

В октябре Европейский суд признал недействительным Соглашение о безопасной гавани между США и ЕС, основное средство, с помощью которого компании передают личные данные в коммерческих целях из ЕС в США (подробнее в этом обновлении от команды по вопросам конфиденциальности Hogan Lovells). Регулирующие органы США и ЕС должны до конца января принять решение о новой системе «безопасной гавани» между США и ЕС, которая будет соответствовать требованиям, изложенным в заключении Суда.

В декабре, после почти четырех лет переговоров, Европейская комиссия, Совет и парламент согласовали пересмотренный закон ЕС о защите данных или « GDP R » , который наложил бы значительные обязательства на компании, собирающие данные от конечного пользователя ЕС. В отличие от действующего законодательства ЕС в соответствии с Директивой 1995 года и Директивой о конфиденциальности, GDPR — это нормативный акт, который вступит в силу без необходимости принятия дополнительных имплементирующих законодательных актов государствами-членами ЕС. Он вступит в силу в качестве закона ЕС где-то в 2018 году. Это означает, что у вас еще есть время оценить потенциальное влияние требований GDPR на ваш бизнес.

Вот четыре основных события, о которых вам следует подумать:

1. Псевдонимные данные теперь являются личными данными навсегда.

В соответствии с GDPR определение персональных данных было расширено за счет включения технических идентификаторов, таких как рекламные идентификаторы и IP-адреса. Это приводит законодательство ЕС в соответствие с текущим мышлением FTC (как обсуждалось ранее в этом обновлении). В новом законе также есть особые требования к компаниям, которые хранят данные в «профилях». Кроме того, GDPR считает, что персональные данные всегда сохраняют свой личный характер — даже после того, как они были хэшированы или «псевдонимизированы». В результате права потребителей на защиту данных, которые традиционно применялись к персональным данным в соответствии с законодательством ЕС (например, уведомление, отказ, удаление, сохранение), теперь будут применяться к хэшированным данным.

Требование хеширования данных уже является передовой практикой для хранения или передачи данных, используемых в маркетинговых целях. Таким образом, отрасль должна работать вместе, чтобы сформулировать и разработать общий стандарт для защиты псевдонимных данных, особенно в связи с тем, что GDPR предусматривает отраслевые «кодексы поведения» для решения таких проблем. Мы уже видим большую работу в этом отношении от таких организаций, как IAB UK и Future of Privacy Forum , и с нетерпением ожидаем еще большего обсуждения в 2016 году (примечание: TUNE работает с обеими организациями; мы также являемся членом FPF и участвуем в их консультативных доска).

2. Повышенная ответственность для обработчиков данных

Согласно действующему законодательству ЕС, контролеры данных, которые определяют, как будут обрабатываться данные, несут основную ответственность за нарушения защиты данных. Обработчики данных, такие как TUNE, которые обрабатывают данные по запросу контролеров данных, не несут основной ответственности, если они соблюдают определенные требования (обычно фиксируемые в «дополнении по обработке данных» между контролером и обработчиком).

Однако GDPR повысит ответственность обработчиков данных. Существует возможность солидарной ответственности за нарушения данных, такие как несанкционированный доступ или утечка данных. В некоторых случаях обработчик данных может оказаться в первую очередь ответственным за нарушения данных, особенно если выяснится, что недостатки в обработке привели к рассматриваемому нарушению, или если обнаружится, что обработчик действовал больше как контролер данных в конкретном случае. Кроме того, обработчики данных должны продемонстрировать « Подотчетность ». И все это становится еще более значимым, если учесть, что по GDPR регуляторы могут налагать штрафы в размере до 4% от глобального годового оборота компании.

3. Согласие требуется для большинства типов «профилирования».

Новый закон ЕС требует, чтобы вы получили согласие человека, прежде чем настраивать какой-либо профиль для этого пользователя (или его устройств). Единственными исключениями из этого правила являются предупреждение и раскрытие преступлений. Хотя в предыдущих проектах обсуждался очень неработоспособный стандарт явного согласия, окончательный вариант закона предусматривает стандарт «недвусмысленного» согласия. Еще неизвестно, каким на самом деле будет этот уровень согласия, когда речь идет об аналитике или любом другом виде деятельности с большими данными. Однако это еще один вопрос, на который, как мы надеемся, отрасль сможет ответить с помощью кодекса поведения или аналогичного процесса с участием заинтересованных сторон.

4. КОППА

GDPR будет включать закон о конфиденциальности детей, аналогичный закону США COPPA, хотя неясно, какие будут конкретные требования. GDPR устанавливает возраст согласия на уровне 16 лет, но отдельные регуляторы защиты данных ЕС могут снизить его до 13 лет (который в настоящее время является возрастом согласия в соответствии с US COPPA).

Еда на вынос?

GDPR сильно повлияет на то, как компании ведут бизнес с гражданами ЕС . Многие из требований — в отношении согласия, обработки псевдонимных данных и данных детей — еще предстоит определить. Однако новый закон также предполагает, что промышленность будет играть определенную роль посредством кодексов поведения, сертификации и других механизмов. Это означает, что аналитический центр по вопросам конфиденциальности и сообщества отраслевых ассоциаций могут сыграть важную роль, поскольку они помогают компаниям ориентироваться в новых требованиях и предлагать рабочие стандарты для соблюдения нового закона. TUNE надеется на сотрудничество с нашими существующими партнерами по ассоциации — форумом «Будущее конфиденциальности », eDAA и Салоном законов о конфиденциальности — над некоторыми из этих усилий в новом году.

Каков ваш план игры в 2016 году?

Имея все это в виду, самое время подумать о том, как вы планируете улучшить свою игру в 2016 году. Новый год дает возможность повторно привлечь пользователей и заново разработать соответствие, особенно в связи с появлением на горизонте новых требований GDPR. .

В TUNE мы продолжим нашу работу по обучению и информированию в 2016 году с помощью наших информационных бюллетеней, сообщений в блогах и других мероприятий, посвященных данным и конфиденциальности. Мы также свяжемся с нами, чтобы узнать, заинтересованы ли компании-единомышленники в партнерстве с нами в образовательной кампании о финансируемом за счет рекламы Интернете, о том, как он работает и о преимуществах, которые он предоставляет (в первую очередь, о доступе к таким службам, как Gmail или Фейсбук). Мы считаем, что многие проблемы с конфиденциальностью, связанные со сбором данных в Интернете, можно решить с помощью целенаправленных усилий, направленных на обучение конечных пользователей и заинтересованных сторон.

Вы заинтересованы в сотрудничестве с нами в этих усилиях? Пожалуйста, напишите нам по электронной почте , мы будем рады услышать от вас.

Всего наилучшего в счастливом и процветающем 2016 году!

Примечание. Эта статья предназначена для того, чтобы продемонстрировать мои взгляды на некоторые события, связанные с конфиденциальностью в 2015 году; она никоим образом не предназначена и не должна толковаться как юридическая консультация. Спасибо, что прочитали объявление :-).

Нравится эта статья? Подпишитесь на рассылку дайджеста нашего блога.