隐私:2015 年回顾

已发表: 2015-12-31

展望新的一年,有一点很清楚:在 2016 年,广告商和营销商在与最终用户建立联系方面需要提高自己的水平。 挑战? 创造尊重个人隐私权保持最终用户参与的体验。

因此,现在是退一步思考现有数据实践是否加深或损害用户信任的好时机。 请记住,当游戏规则继续发生巨大变化时,个人选择退出在线广告的人数创下历史新高,您需要弄清楚这一切。

以下是 2015 年的主要隐私要点:

消费者、隐私态度和广告拦截器

2015 年,消费者隐私问题发生了演变——从对政府监控和商业跟踪的普遍恐惧,到对个人数据是否被收集、使用和保留的具体担忧。

2015 年3 月的 Pew Trust 调查中,参与者透露,虽然他们仍然担心后斯诺登时代的政府监控,但他们同样担心私人、商业行为者的数据收集和使用。 更尖锐的是,皮尤研究中心的参与者对在线广告表现出明显的不信任——76% 的受访成年人表示,他们并不“完全相信”“在他们访问的网站上投放广告的在线广告商维护的活动记录将保持私密和安全”。

皮尤调查中表达的态度与 2015 年数字媒体面临的最大担忧——即广告拦截技术的迅速崛起和采用之间是否存在联系?

勺子机构的照片

勺子机构的照片

数字似乎表明情况确实如此。 在线出版商行业协会 Digital Content Next (DCN)公布了一项调查结果,该调查发现超过三分之一的美国消费者将在未来三个月内尝试使用广告拦截器,其中大约一半的人最终会选择退出完全基于兴趣的广告。

随着 Apple 在 iOS 9 中发布一项允许用户启用移动广告拦截的功能,这些数字可能会继续增加——这有点笨拙的用户体验,因为您必须下载广告拦截器应用才能利用此拦截功能功能(这可能是 iOS 9 发布后广告拦截应用下载量创纪录的原因之一)。

带走?

仔细查看您的隐私声明和通知。 您认为它们是否清楚地说明了您为什么以及如何从最终用户那里收集和使用数据? 也许是时候对您的隐私政策进行创意了,并考虑将声音、图形甚至动画融入格式的政策。 拥有以易于理解的形式向用户解释您的价值并管理对数据使用和共享的期望的隐私政策应该有助于避免创纪录的选择退出数字。 当然,您希望不断更新您的隐私政策并让用户了解重要的变化。

TUNE 的首席执行官彼得汉密尔顿实际上认为广告屏蔽有好处——因为消费者实际上是在告诉你通过屏蔽你的广告什么对他们不起作用。 看看他在12 月的 Mediapost 文章中重新思考数字广告体验的技巧

FTC 在 2015 年继续发出强有力的执法信号

2015 年对于 FTC 来说是忙碌而重要的一年。

当第三巡回法院确认其数据安全权限时,该机构取得了巨大的胜利——这是一起涉及温德姆酒店的备受瞩目的案件(有关温德姆案件及其潜在影响的更多信息,请参阅我9 月份的博客文章)。 但是,当一名行政法法官驳回其针对 LabMD 的数据安全案件时,它也遭受了挫折——认为该机构未能证明 FTC 不公平案件的一个重要因素——缺乏安全实践造成或可能造成“重大伤害”给消费者”。

规定

FTC 继续保持其作为世界上最积极的隐私执法者的记录,根据《儿童在线隐私保护法》(COPPA) 和《公平信用报告法》(FCRA) 等法规以及该机构的“欺骗性”和“ FTC 法案第 5 条规定的“不公平”权力。 FTC 还推行了几项政策举措,包括跨设备跟踪研讨会(请参阅此处的 TUNE 回顾)和发布有关原生广告的机构指南

涉及应用生态系统的更重要的案例之一是 FTC于 2015 年 12 月对两名移动应用开发商违反 COPPA 的行为采取行动。 这些是基于在应用程序开发人员和广告网络之间共享技术或“持久标识符”(例如 IDFA 或 IP 地址)的首批执法行动。 通过这些行动,FTC 已经确定,诸如广告 ID 或 IP 地址之类的持久性标识符构成“个人数据”——对其的收集、使用或共享会触发 COPPA 责任。

带走?

这些 FTC 案例提醒我们,无论数据是否被视为个人或材料,重要的是要在您的隐私政策中准确地注意数据收集、使用和消费者控制(例如选择退出),否则您可能会面临 FTC 执法行动。 此外,您需要超越隐私最佳实践并确保您遵守所有规则,特别是如果您为现有美国法律涵盖的目的收集数据,例如根据 FCRA 用于信贷、保险和就业目的的数据,以及根据 COPPA 为营销目的从 13 岁以下儿童收集的数据。

欧盟数据保护规则的变化

2015 年,欧洲对重要的隐私要求进行了一些重大修订。

10 月,欧洲法院宣布美国-欧盟安全港框架无效,该框架是公司出于商业目的将个人数据从欧盟传输到美国的主要方式(霍金路伟隐私团队提供的更多信息 美国和欧盟监管机构必须在 1 月底之前决定新的美国-欧盟安全港框架,该框架将符合法院意见中规定的要求。

欧盟旗帜

12 月,经过近四年的谈判,欧盟委员会、理事会和议会同意修订欧盟数据保护法或“G D P R 将对从欧盟最终用户收集数据的公司施加重大义务。 与 1995 年和 ePrivacy 指令下的现行欧盟法律不同,GDPR 是一项无需欧盟成员国额外实施立法的法规即可生效。 它将在 2018 年某个时候作为欧盟法律强制执行。这意味着您仍有时间评估 GDPR 要求对您的业务的潜在影响。

以下是您应该考虑的四个主要发展:

1. 假名数据现在永远是个人数据。

根据 GDPR,个人数据的定义已扩大到包括广告 ID 和 IP 地址等技术标识符。 这使欧盟法律与当前 FTC 的想法保持一致(如本更新前面所讨论的)。 新法律还对将数据存储在“个人资料”中的公司提出了具体要求。 此外,GDPR 将个人数据视为始终保留其个人性质——即使在经过哈希处理或“化名”之后也是如此。 因此,传统上根据欧盟法律适用于个人数据的消费者数据保护权利(例如通知、选择退出、删除、保留)现在将适用于散列数据。

要求对数据进行散列处理已经是一种新兴的最佳实践,用于存储或传输用于营销目的的数据。 因此,行业应该共同努力,制定和制定保护假名数据的通用标准,特别是在 GDPR 规定行业“行为准则”来解决此类问题的情况下。 我们已经看到IAB UK隐私权未来论坛等组织在这方面的一些出色工作,并期待在 2016 年进行更多讨论(注意:TUNE 与这两个组织合作;我们也是 FPF 的成员,并坐在他们的咨询中木板)。

2. 增加数据处理者的责任

根据现行欧盟法律,决定如何处理数据的数据控制者对违反数据保护的行为负有主要责任。 像 TUNE 这样应数据控制者的要求处理数据的数据处理者不承担主要责任,前提是他们遵循某些要求(通常记录在控制者和处理者之间的“数据处理附录”中)。

但是,GDPR 将增加数据处理者的责任。 对于未经授权的访问或数据泄露等数据违规行为,可能会承担连带责任。 在某些情况下,数据处理者可能会发现自己对数据违规负主要责任——特别是如果发现处理中的缺陷导致了相关违规行为,或者发现处理者在特定情况下更像是数据控制者。 此外,数据处理者必须证明“责任”。 所有这一切都变得更加重要,当你考虑到根据 GDPR 时,监管机构可以评估高达公司全球年营业额 4% 的罚款。

3. 大多数类型的“分析”都需要同意

新的欧盟法律要求您在该用户(或其设备)上设置任何类型的个人资料之前获得个人的同意。 该规则的唯一例外是预防和侦查犯罪。 尽管在早期的草案中讨论了一个非常不可行的明确同意标准,但该法律的最终版本提供了“明确”同意的标准。 当涉及到分析或任何其他类型的大数据活动时,这种程度的同意实际上是多少还有待观察。 然而,这是行业有望通过行为准则或类似的利益相关者流程来回答的另一个问题。

4. COPPA

GDPR 将包括一项类似于美国 COPPA 法律的儿童隐私法,但具体要求是什么尚不清楚。 GDPR 将同意年龄确定为 16 岁,但个别欧盟数据保护监管机构可以将其降低至 13 岁(目前是美国 COPPA 规定的同意年龄)。

带走?

GDPR将极大地影响公司与欧盟公民开展业务的方式 许多要求——关于同意、假名数据和儿童数据的处理——尚未确定。 然而,新法律还预计行业将通过行为准则、认证和其他机制发挥作用。 这意味着隐私智囊团和行业协会社区可以发挥重要作用,因为他们可以帮助公司了解新要求并提出可行的标准以遵守新法律。 TUNE 期待与我们现有的协会合作伙伴——隐私论坛的未来 eDAA隐私法沙龙——在新的一年中开展其中的一些工作。

2016年你的游戏计划是什么?

考虑到所有这些,现在是开始考虑如何在 2016 年提升游戏水平的好时机。新的一年带来了重新吸引用户和重新设计合规性的机会,尤其是在新的 GDPR 要求迫在眉睫的情况下.

在 TUNE,我们将在 2016 年继续我们的工作,通过我们的时事通讯、博客文章和其他以数据和隐私为重点的活动进行教育和通知。 我们还将与志同道合的公司联系,看看是否有兴趣与我们合作开展一项关于广告资助互联网、它的工作原理以及它提供的好处的教育活动(最值得注意的是,访问 Gmail 或Facebook)。 我们相信,通过专注于此类最终用户和利益相关者教育的有针对性的努力,可以解决有关在线数据收集的大部分隐私问题。

您有兴趣与我们合作开展这些工作吗? 请给我们发电子邮件,我们很高兴收到您的来信。

祝您 2016 年万事如意,万事如意!

新年快乐!

注:本文旨在展示我对 2015 年某些隐私事件的看法; 它无意也不应以任何方式解释为法律建议。 感谢您阅读广告:-)。

喜欢这篇文章吗? 注册我们的博客摘要电子邮件。