Optimizely 隐私:Optimizely 如何处理隐私?
已发表: 2022-02-09
随着 A/B 测试平台变得越来越复杂,围绕它们的隐私问题也越来越多。
Optimizely 是 A/B 测试领域最流行的优化平台之一,因此了解它对隐私的立场很重要。 拥有权利的同时也被赋予了重大的责任。 伴随着重大责任而来的是对隐私的更大需求。
在本文中,我们评估了 Optimizely 如何处理隐私以及在选择此数字体验平台之前需要了解的内容。
让我们首先分析 Optimizely 是否符合当今的主要隐私法。
Optimizely 是否符合 GDPR?
通用数据保护条例 (GDPR) 是一项关键条例,旨在加强和统一欧盟和欧洲经济区的数据保护和隐私。 Optimizely 使用必要的业务和技术隐私控制来保护数据并遵守 GDPR。
Optimizely GDPR 准备好了吗?
GDPR 合规性是 Optimizely 服务和设计的重要组成部分。 以下是它为符合 GDPR 而采取的一些步骤:
- 受 GDPR 影响的已识别产品和业务领域
- 任命数据保护官 (DPO)
- 重写其数据处理协议
- 改进和更改其产品、服务、流程和程序以满足 GDPR 要求
- 审查其子处理器
- 最终确定并向数据保护局 (DPA) 传达了完全合规性
Optimizely 准备好处理电子隐私法规了吗?
电子隐私条例 (ePR) 是一项即将出台的隐私法,旨在改变有关 cookie 同意、直接营销和企业对企业 (B2B) 通信的规则。 与 GDPR 不同,它甚至会规范电子通信中的非个人数据。
随着公司努力应对 GDPR,看看他们是否准备好接受这项新规定是很有趣的。 要确定 Optimizely 是否具备处理 ePrivacy 的能力,我们首先需要评估它收集的数据。
访客数据
优化跟踪对网站的访问并收集有关用户行为的信息。 这种汇总信息被称为“访客数据”,包括:
- 用户代理数据:基于设备属性的数据,包括有关 Web 浏览器类型和访问者使用的操作系统的详细信息。
- 网址:有关网页位置的信息。
- 事件数据:记录用户行为并检查访问者是否单击了网站上的按钮或执行了类似操作。 这还可以包括自定义属性和事件标签。
- 时间戳:事件发生的日期和时间。
- 最终用户 ID(或访客 ID):随机生成的标识号 (ID),分配给每个项目的访客。 这对应于用于实验和个性化的 optimizelyEndUserId cookie。
- 实验和变体 ID:确定访问者在访问网站时的分桶位置。
- 外部地理数据:与访问者 IP 地址相关的元素,包括国家、城市、地区等。
优化组织其服务,以便其客户可以指定他们希望共享和接收的数据类别。 这些类别不一定显示用户身份。 但是,如果 Optimizely 收集的 URL 包含个人身份信息 (PII),例如姓名或电话号码,或者如果它链接到包含 PII 的页面,它也可能会收集此信息。
作为一个开放平台,Optimizely 为您提供额外的访客数据,例如重复买家属性。 它根据特定功能和配置收集数据,例如:
- 动态客户档案 (DCP)
- 列出属性
- 自适应受众
- 功能标志
- 集成
为了尽量减少收集的个人数据量,Optimizely 禁止访问者提供额外的个人或敏感信息,例如健康信息。
产品用户数据
当用户创建帐户或注册其网络研讨会或时事通讯时,Optimizely 会收集一些基本信息,例如用户名、姓名、工作电子邮件、工作联系方式、职位等。 这称为Product User Data ,它的逐项列出如下:
- 注册和创建帐户时: Optimizelyvisitors 可以阅读产品和服务说明,而无需透露任何个人身份信息。 但是,您需要创建一个帐户并设置一个配置文件才能与 Optimizely 进行交易并成为客户。 注册时,它会询问您的姓名、组织名称、街道地址和电子邮件地址。 它还要求您选择密码。 一旦您成为注册用户,您就可以更新您的个人资料并提供更多信息,例如昵称和某些用户偏好。
- 注册网络研讨会或请求时事通讯时:访问者和客户都可以注册 Optimizely 网络研讨会或请求时事通讯。 优化仅存储电子邮件地址以供参考。
ePrivacy 限制收集 PII 数据,并且由于 Optimizely 允许用户通过访问者数据将此数据传递给 URL,因此它并不真正符合 ePrivacy。 相反,它在为许多即将出台的法规做准备方面还有很长的路要走。
Optimizely 是欧盟注重隐私的品牌的好选择吗?
如前所述,电子隐私条例还不是一项数据保护法。 但是,一旦通过,它将在欧盟官方公报上发布后的 20 天内获得通过,然后在执行前有两年的宽限期。
因此,与大多数企业的想法相反,ePrivacy 法规在 GDPR 生效时将补充而不是取代它。
因此,在生效日期之前,欧盟和全球所有注重隐私的品牌都可以使用 Optimizely。 然而,Optimizely 需要加强并对其收集的数据进行一些连贯的更改,以保持相关性并适用于具有高隐私标准的公司。
在尊重用户隐私方面,哪家 A/B 测试工具提供商的记录最好? 了解 Optimizely 与 Convert Experiences、VWO 和 AB Tasty 的对比情况。
优化 HIPAA 合规性
由于与医疗保健信息相关的数据安全风险,医疗保健提供商难以跨数字平台提供个性化内容。 健康保险流通与责任法案 (HIPAA) 减轻了医疗保健公司的压力,并为他们提供了一些急需的指导。
它保护受保护的健康信息 (PHI),例如姓名、地址、联系方式以及向第三方服务提供商披露的更多信息。
Optimizely 是否符合 HIPAA 标准?
为了符合 HIPAA,所有第三方供应商和医疗保健提供商都必须签订商业伙伴协议 (BAA),这是一份旨在保护敏感医疗保健数据的书面合同。
Optimizely 是否需要符合 HIPAA 标准?
Optimizely 是否需要 HIPAA 合规取决于它收集和使用的数据类型。 从本质上讲,Optimizely 不符合 HIPAA 标准,并在其服务条款协议中特别声明了不合规行为。
HIPAA 不合规。 客户承认 Optimizely 不是业务伙伴或分包商(这些术语在 HIPAA 中定义)并且 Optimizely 服务不符合 HIPAA。 “HIPAA”是指《健康保险流通与责任法案》以及更新或替换的相关修订和法规。 “监管数据”包括 HIPAA 监管数据和更新或替换后的 Gramm-Leach-Bliley 法案(或相关规则或法规)涵盖的数据。
如何优化补偿 HIPAA 不合规?
Optimizely 的内容建议解决了数据安全问题,并通过以下方式弥补了其不符合 HIPAA 的问题:
- 存储 PHI:其会话中个性化不需要 PHI 来个性化内容。
- 交叉个性化:个性化在会话到期时停止。
- Episerver 内容智能:它为您提供每次站点访问的第一方意图数据,以便您可以扩展参与的影响。
- 扩展个性化:规则无法跟上不断变化的患者环境和医疗进步。 Optimizely 使用机器学习 (ML) 算法来决定谁获得什么内容,而不会让您的团队陷入无休止的“if/else”规则。
Optimizely-Episerver Content Recommendations 可以提供帮助,并为跨个性化和动态医疗保健提供有效的解决方案。
访问者可以选择退出 Optimizely 跟踪吗?
访问者可以通过 Optimizely API 调用轻松选择退出 Optimizely 跟踪。
选择退出是什么意思?
- 用户不会被卷入实验
- 他们不会看到任何变化变化
- 项目 JS 不会在页面上运行
- 用户不会被跟踪
- 在 Optimizely 运行的任何地方,他们都将保持退出状态(即以上所有点均适用)
在没有标签管理器的情况下使用 Optimizely Web
如果您不在您的网站上使用跟踪代码管理器,您可以通过将名为optimizelyOptOut的 cookie 设置为“true”来指示 Optimizely 不要跟踪网站访问者。 在执行 JavaScript 片段内容之前优化检查此 cookie。 最好使用官方支持的 optOut API,而不是直接设置 cookie。
您需要在页面的 Optimizely 代码段上方添加代码。 否则,Javascript 代码段会运行并设置访问者的跟踪 cookie 和存储项目。
让我们看看如何使用 optOut API。
<脚本>
窗口[“优化”] = 窗口[“优化”] || [];
窗口[“优化”].push({
“类型”:“选择退出”,
“isOptOut”:真
});
</脚本>
<script src="https://cdn.optimizely.com/js/{project_id].js"></script>如果访问者选择加入 cookie 跟踪,您可以通过将 optimizelyOptOut cookie 值重写为“false”来重新启用对该访问者的跟踪。
例如,如果您显示 cookie 横幅(寻求访问者跟踪同意的覆盖元素),您可能会在使用以下代码获得同意后将 optOut cookie 值重写为 false。
窗口[“优化”] = 窗口[“优化”] || [];
窗口[“优化”].push({
“类型”:“选择退出”,
“isOptOut”:假
});从技术上讲,将此 API 与访问者同意跟踪时运行的逻辑联系起来。
将 Optimizely Web 与标签管理器一起使用
使用跟踪代码管理器,您可以使用条件逻辑仅在访问者同意时加载 Optimizely JavaScript 代码段。
由于并非所有地区或所有 cookie 都需要 cookie 选择加入,因此 Optimizely 不会默认设置 optimizelyOptOut cookie。 作为网站所有者,您有责任确定是否需要设置此 cookie 或在需要时使用上述方法之一。
如果您在默认情况下将 optimizelyOptOut 设置为“true”(如上所示),则仅当 optOut API 设置为“false”时,Optimizely 代码段才会“正常”运行(跟踪您网站上的访问者)。
使用选择加入解决方案,Optimizely Javascript 片段会在访问者选择加入后在页面重新加载时激活,因为它在初始页面加载时被禁用。
优化全栈
Optimizely Full Stack 不依赖 cookie 进行实验,因此 ePrivacy 法规的 cookie 相关要求不会影响此功能。
尽管如此,欧盟的全栈用户应确保他们遵守 GDPR。 它要求公司拥有在欧盟范围内处理个人数据的“合法利益”。
作为数据控制者,公司有责任在将任何个人数据包含在 Optimizely Full Stack 实验中之前履行处理同意的法律义务。
为此,您需要明确说明您的实验涉及改善用户体验的第一方努力,并且您不会与第三方(例如广告合作伙伴)共享用户数据。
如果用户撤回同意,您还应该将用户排除在全栈实验之外。
Optimizely 如何在隐私方面与竞争对手抗衡?
Optimizely 可能是一个数字体验巨头,但它仍然需要注意它的替代方案,尤其是在处理隐私问题时。 它也有让客户对突然的定价变化一无所知的历史。 因此,难怪许多公司都在寻找替代供应商。
作为参考,我们将 Optimizely 的隐私选项与 Convert Experiences 和 VWO 的隐私选项进行比较。 我们还检查:
- 每个工具的服务器位置
- 他们如何对待第三方 cookie
- 默认跨域跟踪
- 他们是否允许用户选择退出跟踪
| 优化 | 转换体验 | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 单点登录 (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 基于欧盟的服务器 | X | ✓ | X | ||||||||||||||||||||
| 非 PII Cookie 生命周期 | 6个月 | 6个月 | 100 天 | ||||||||||||||||||||
| 第三方 Cookie | ✓ | X | ✓ | ||||||||||||||||||||
| 不跟踪浏览器设置 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 退出功能 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| GDPR 合规性应用内指南 | X | ✓ | X | ||||||||||||||||||||
| 数据处理协议 (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| PCI-DSS 合规性 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 电子隐私合规 | X | ✓ | X | ||||||||||||||||||||
| 数据匿名化 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 默认允许跨域跟踪 | ✓ | X | ✓ | ||||||||||||||||||||
| 默认允许分段 | ✓ | X | ✓ | ||||||||||||||||||||
| 被遗忘的权利 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 数据泄露通知 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 指定数据保护官 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 跨境数据传输 | 欧盟-美国和瑞士美国隐私盾框架 | 欧盟-美国和瑞士美国隐私盾框架 | 欧盟-美国和瑞士美国隐私盾框架 | ||||||||||||||||||||
| 设计和默认的数据保护 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 敏感的个人资料 | X | X | X |
收购 Episerver 后对隐私进行了哪些优化更改?
2020年9月,Episerver宣布收购Optimizely。 一年后,Episerver 将自己重新命名为 Optimizely,以提高品牌认知度。
随着对个性化和商务功能的需求变得更加明显,Optimizely 的收购和品牌重塑为 Episerver 和 Optimizely 的客户创造了机会。
在隐私方面,Optimizely 自收购以来已显着增长。
- Episerver 通过设计和默认尊重隐私。 它每周都会发布新政策,以确保其符合 GDPR 和其他适用的隐私法。
- 它举办有关数据保护、安全、隐私和个人信息的年度会议、培训、研讨会、网络研讨会和教育系列。
- Episerver 还更新了 Optimizely 的数据处理协议 (DPA),供所有新的适用供应商签署并确保遵守数据保护和隐私法规。
- Episerver 根据 GDPR 和加州消费者隐私法案 (CCPA) 增强了 Optimizely 的隐私声明和政策,为数据主体访问和删除请求提供访问和删除权给欧盟和加州居民。 它现在有一个清晰的模型,用于在需要时获得同意和删除信息。
- Episerver 的安全事件响应团队 (SIRT) 可以处理潜在的安全或隐私事件。 它将所有安全事件归类为高优先级 (P1),并将其上报给专门的团队。
- Episerver 启动了 Episerver 信任中心,强调统一的安全性、合规性和隐私控制,以保护客户数据。
Episerver 对 Optimizely 进行了改进,提高了 GDPR 合规性和隐私实践的标准,以提供强大的法律基础。
Episerver 已将 GDPR 合规作为全球产品开发和托管服务的日常优先事项。
Episerver 副总裁、总法律顾问兼全球数据保护官 Peter Yeung
Peter 进一步补充说,Episerver 在高度监管的行业和国家具有开创性的悠久历史,因此在设计解决方案时考虑了合规性。 它将多年丰富的云基础架构经验和知识与对数据保护、安全性和合规性的坚定承诺相结合。
迎接未来的挑战
Optimizely 已努力遵守 GDPR、CCPA、通用个人数据保护法 (LGPD) 和其他适用的隐私法。
它可能在被收购后加强了数据隐私和安全性,但几乎没有考虑即将出台的电子隐私法规。 Optimizely 需要升级以进行实验和数据收集。
数据驱动一切,从开发测试假设到提供更个性化的用户体验和跟踪测试的效果。 这意味着实验团队必须优先考虑数据隐私。
GDPR 仅处理一般(个人)数据,而 ePrivacy 旨在补充 GDPR,广泛涵盖和审计数据隐私。 ePrivacy 法规涵盖营销、跟踪技术的完整列表(包括但不限于 cookie),旨在以透明和肯定的同意打击分析和行为广告。
只要 Optimizely 不考虑 ePrivacy,它就错过了这个难题的重要组成部分。 即使从今天开始,将这件作品做好也并非易事。
