如何選擇符合隱私的 A/B 測試工具（我們的德國優化器指南）

隨著隱私法在全球範圍內生效，消費者對他們的個人信息有了更多的認識和控制。 例如，歐盟於 2018 年通過了具有里程碑意義的《通用數據保護條例》(GDPR)，以收緊數據隱私法規，加州於 2020 年實施了《加州消費者隱私法》(CCPA)。

A/B 測試公司現在正在採取額外措施來遵守這些新規則。 例如，許多人在將用戶添加到郵件列表之前徵求用戶同意，提供易於訪問的隱私聲明和披露，並讓用戶能夠訪問、修改或刪除他們的個人信息。

儘管當今世界缺乏數字隱私，但德國仍然致力於保護其公民的個人數據，前德國聯邦數據保護法 (BDSG) 等法律被認為是世界上最嚴格的法律之一。

以下指南將引導您了解德國的每項數據隱私法，以便您在選擇 A/B 測試工具時做出最明智的決定。

數據隱私的選擇標準

數據保護法於 1970 年在德國首次通過，此後已發展成為一項重要的人權，得到德國 16 個州和聯邦的數據保護機構的支持。 在選擇 A/B 測試平台時，遵守以下法律很重要：

• 歐盟通用數據保護條例 (GDPR) (2018)
  
  
  • 落實到位以保護歐盟公民的數據。
• 聯邦數據保護法 (BDSG) (2018)
  
  
  • 修改 GDPR，在處理員工個人數據時允許個人權利例外。
• 電信和電信媒體數據保護和隱私監管聯邦法案 (TTDSG) (2021)
  
  
  • 結合了《電信法》（1996 年）和《電信媒體法》（2007 年），它們禁止訪問電信數據（如企業電子郵件帳戶、企業電話或互聯網瀏覽器的歷史記錄），並根據第 5(3) 條建立 cookie 同意要求的電子隱私。
• 電子隱私（Cookie 法）（2002 年）
  
  
  • 確保“在電子通信領域處理個人數據時的隱私和機密性”。

在選擇德國境內合規的 A/B 測試平台時，以下標準將作為指南

1. A/B 測試公司如何為數據合規做準備？

他們如何為 GDPR、BDSG 和 TTDSG 法律做準備？

一旦您縮小了首選範圍，請確保他們能夠簡要描述該程序、涉及哪些領域以及採取了哪些措施。 如果不是所有計劃的措施都已完全實施，他們需要能夠解釋其實施狀態。

這將為您提供所使用方法的概述，以及他們對如何實施各種法律的立場的自我評估。

要回答的常見問題是

1. 是否所有涉及個人數據的重要公司部門（例如人力資源、IT、銷售/客戶支持、營銷）？
2. 是否有證據表明已經開展了有關這些法律的培訓？
3. 公司計劃的所有措施都執行了嗎？

例如，Convert 發布了一個公共路線圖，其中我們清楚地說明了為符合 GDPR 所採取的措施（每篇所需的文章）。

應該為您考慮的每個 A/B 測試平台提供類似的路線圖。

2. A/B 測試工具是否有處理活動的記錄？

重要的是，您選擇的工具已將其所有個人數據處理業務操作包含在處理活動的登記冊中。

問自己以下問題：

1. 處理活動的記錄是否在必要時定期審查和更新？
2. 該記錄是否符合 GDPR 第 30 條的法律要求？
   
   
   1. 他們是否提供了負責人的姓名和聯繫方式？
   2. 是否說明了處理的目的？
   3. 是否描述了相關人員的類別（例如員工、客戶等）和個人數據的類別（例如員工主數據、申請人數據、客戶聯繫數據、信譽數據等）？
   4. 是否有關於將個人數據傳輸到第三國或內部組織的聲明？
   5. 是否指明了刪除各類數據的設想期限？

以下是 Convert 為每個數據處理活動保留的記錄示例。

3. A/B 測試工具處理個人數據的法律依據是什麼？

根據 GDPR 第 6 條，公司處理個人數據應有合法依據。

問以下問題：

1. 他們的隱私政策中是否提到了法律依據？
2. 同意聲明是否容易理解（即在解釋同意時，數據主體的內容是否清晰明了）？

Convert 所依賴的幾個合法依據已在我們的隱私政策中公佈。 它們以 GDPR 為中心，包括

• 合同：我們履行對您的合同責任（例如，當您註冊為客戶、向我們購買或使用我們的服務時）。
• 同意：客戶必須同意，我們才能以特定方式使用他們的個人信息（即啟用跨域跟踪、在項目下添加多個域、打開受眾細分或請求額外記錄時）。
• 法律義務：法律要求我們提供某些文件（即發票副本和付款信息）。
• 合法權益：我們僅以您公平期望的方式使用您的個人數據，對隱私的影響最小，或者有令人信服的理由。

4. A/B 測試工具是否有數據保護影響評估？

DPIA（數據保護影響評估）幫助組織識別、評估、減輕或最小化與數據處理相關的隱私風險。 在引入新的數據處理技術、系統或技術時，它們尤其重要。

DPIA 還促進了問責制原則，因為它們幫助組織遵守 GDPR 的標準並證明已採取足夠的措施來確保合規性。

您是否知道在必要時未能執行 DPIA 是違反 GDPR 的行為，可能會導致高達組織全球年收入 2% 或 1000 萬歐元的罰款，以較高者為準？

作為 Convert 的 GDPR 項目的一部分，Convert 制定了員工指南和用於執行 DPIA 的模板。 這有助於確保識別對受影響者的權利和自由具有預期高風險的處理操作。

5. 是否任命了數據保護官？

數據保護官 (DPO) 的主要職責是確保其組織的員工、客戶、提供商或其他個人（也稱為數據主體）的個人數據按照適用的數據保護規則進行處理。 GDPR 要求每個歐盟組織和機構建立 DPO。

要闡明公司數據保護官的資格以及他們如何融入組織，請問自己：

1. 是否可以從文件中推斷出 DPO 當前和足夠的專業知識？ （評估他們在數據保護方面的培訓和進修、他們在數據保護方面經驗的程度/持續時間、他們的專業培訓（例如律師、計算機科學家）以及他們對已建立的數據保護網絡的參與。
2. 是否有公佈 DPO 的聯繫方式？ 在公司網站上？ 在那裡很容易找到 DPO 的聯繫方式嗎？

6. A/B 測試公司如何確保及時向監管機構報告違反數據保護的行為？

根據 GDPR 第 33 條，每個德國組織都有義務保護個人數據的安全，並在 72 小時內對數據安全漏洞（在某些情況下可能包括向數據保護官報告違規行為）做出適當響應。

為避免對個人造成傷害、對運營業務造成損害以及嚴重的財務、法律和聲譽成本，在任何實際、可能或疑似違反數據安全或保密性的情況下迅速採取行動至關重要。

在尋找符合隱私的 A/B 測試工具時，請詢問以下問題：

1. 報告數據保護違規的流程是否以易於理解的方式呈現？
2. 報告過程中是否明確規定了職責（誰做什麼）？
3. 是否明顯考慮了 72 小時期限？
4. 員工是否清楚了解此流程？

7. A/B 測試工具在哪裡存儲數據？

奧地利最近禁止使用谷歌分析，因為他們的數據存儲在美國，那裡的隱私保護更加有限。 尋找在歐盟合法存儲數據的 A/B 測試平台是您最安全的選擇。

您應該能夠在組織的隱私政策中找到數據所在的位置。 通常，數據存儲信息位於“子處理器”和“第三方服務”部分。 如果您無法輕鬆找到此信息或不清楚，請聯繫該組織進行澄清。

8. A/B 測試工具是否尊重不跟踪 (DNT) 設置？

對於關心自己隱私的用戶，一些瀏覽器具有“不跟踪”功能，可以打開該功能來告訴網站和分析工具停止跟踪用戶行為。

原則上，此設置應防止訪問者的瀏覽器接受告知營銷人員和其他企業有關其在線習慣和興趣的“cookies”。 但是，網站在技術上不受這些限制的約束。 因此，找到一個關心用戶隱私並加倍努力確保其係統符合這些要求的 A/B 測試工具非常重要。

Convert 支持 Do Not Track，因為我們認為擁有一種控制最終用戶信息使用方式的簡單方法至關重要。 我們將 DNT 視為您和您的最終用戶關於我們應該如何使用數據的信號。

Convert 為用戶提供以下選項：

1. 不跟踪（選擇退出跟踪）
2. 跟踪（選擇跟踪）
3. 空（無偏好）

默認情況下，Web 瀏覽器使用“Null”，表示最終用戶尚未表示是否希望被跟踪。 選擇“不跟踪”時，Convert 不會加載腳本/體驗，而是加載其他兩個選項。

在您的項目配置中，有一行顯示：“尊重不跟踪瀏覽器設置”，默認情況下關閉，但可以使用下拉菜單進行更改。

9. A/B 測試工具是否允許匿名跟踪？

匿名化允許 A/B 測試工具遵守 GDPR，同時仍跟踪數據以進行報告。 根據 GDPR 指南，A/B 測試工具可以收集某些數據，只要這些數據“以數據主體無法或不再可識別的方式匿名呈現”。 這對於想要跟踪無法識別個人身份的人口統計數據的公司來說非常重要。

Convert Experiences 中的數據匿名化選項允許您的網站清理所有傳入和歷史數據，這些數據與訪問者存儲的體驗/變體的名稱有關，從而使營銷和 IT 團隊能夠在不損害隱私的情況下保留重要的跟踪數據。

10. A/B 測試工具在其服務器日誌中保留什麼？

根據 GDPR，IP 地址被視為個人數據。 如果您的 A/B 測試工具的服務器日誌包含訪問者的 IP 地址，則它們包含個人數據。

以下是符合 GDPR 的服務器日誌的基本準則：

1. 保留符合 GDPR 的日誌的最直接的解決方案是完全不保留任何日誌。
2. 如果需要服務器日誌，請盡可能縮短保留時間。 創建自動刪除舊日誌的服務器日誌輪換策略。
3. 如果他們收集的日誌沒有 IP 地址或其他個人數據，則符合 GDPR。
4. 在某些情況下，他們可以在未經同意的情況下收集日誌，但他們必須在其隱私政策中告知您這一點。

Convert Experiences 中的實時日誌跟踪最終用戶如何實時與網頁交互。 它們捕獲觸發目標時的時間戳、觸發的事件類型、顯示給最終用戶的變化等信息。 實時日誌被認為符合 GDPR，因為它們不存儲 IP 地址或任何其他 PII 數據。

11. 誰擁有數據？

GDPR 的主要要求之一是為處理個人數據制定適當的措施。 與歐盟消費者交易相關的數據必須物理存儲在歐盟或具有 GDPR 認為適當的數據保護措施的國家（除非用戶同意將其數據保存在其他地方）。

該規則對不在歐盟的公司提出了一些挑戰，儘管其中一些問題可以使用具有明確數據所有權政策的分析包來緩解。

Convert 有一個明確的所有權聲明，讓用戶高枕無憂。 這概述了我們將“未經客戶明確書面批准不會與第三方共享任何數據”，並將“刪除與取消訂閱服務的客戶有關的任何數據”。

12. A/B 測試工具可以與您當前的技術堆棧集成嗎？

您需要確保新的 A/B 測試工具能夠與您的其他技術堆棧完美配合，例如 CMS（內容管理系統）和電子商務平台。 將您當前的技術堆棧連接到新的解決方案可能成本高昂，因此請務必列出您當前使用的所有工具，並查看是否可以通過集成或 API 重新創建與新工具的相同集成。

在進行研究時，請記住以下問題：

1. 您選擇的工具與系統的其他部分（例如 CRM）集成的效果和速度如何？
2. 是否有任何授權集成可以使此類連接成為可能？ 如果不是，您是否可以修改代碼以使其適合您？
3. 如果有必要，是否可以毫不費力地將您的數據轉換為另一個工具？
4. 是否有任何證據表明供應商鎖定或將數據轉移到不同的供應商時出現問題？

13. 是否有自託管 A/B 測試腳本的選項？

在軟件即服務 (SaaS) 和自託管之間進行選擇可能很困難。 在考慮成本、易用性和便利性時，通過雲提供大多數軟件是有意義的。 但是，SaaS 可能不是某些企業和組織（如政府和銀行）的最佳選擇。

對於希望完全控制其數據和存儲位置的公司來說，本地 A/B 測試解決方案將是最受青睞的選擇。 就 GDPR 合規性而言，這也是最簡單的。

問自己這些明確的問題：

1. 您的 A/B 測試工具是否允許使用雲託管解決方案？
2. 您是否有資源在您的基礎架構上託管該工具？
3. 您知道您的計劃有哪些數據限制嗎？

14. 是否允許國際數據傳輸？

數據傳輸現在如此普遍，以至於大多數人甚至沒有意識到它們正在發生。 即便如此，它們處理起來也很麻煩，應該在原始數據收集協議中達成一致（很像數據位置）。

直到最近，企業還使用隱私護盾框架將數據從歐盟和瑞士傳輸到美國，而無需事先批准。 然而，在 2020 年，歐洲法官裁定美國的數據保護不足，導致該框架無效，儘管這些有風險的數據傳輸仍然基於其他法律依據。

為了避免潛在威脅，A/B 測試公司可能會通過設計使用數據保護策略（我們將在下一節中討論。）否則，他們可以簡單地請求同意並指定數據將存儲和移動的位置。

15. 是否尊重設計和默認的數據保護？

設計隱私的概念是隱私友好型 A/B 測試工具的核心。

我們更願意防止隱私侵犯，而不是事後處理，我們使用數據最小化和目的限制來保持主動。

數據最小化是指僅處理實現特定目標所需的數據，而目的限制是指在處理之前確定處理數據、記錄數據並通知人員的目標。

一旦收集和處理，數據應僅在獲得數據的任務期間保留。

數據保護設計需要在處理的規劃階段使用技術和組織保護措施。 這允許組織從一開始就確保隱私和安全機製到位。 具體程序因用例而異，但可能包括數據匿名化、數據監控或向 A/B 測試軟件添加新的隱私保護功能。

那麼，哪些 A/B 測試平台是隱私友好的？

如果您正在尋找一種方法來收集和分析來自德國境內您的網站、數字產品或移動應用程序的數據，那麼您選擇的平台至關重要。

大多數 A/B 測試解決方案在構建時都沒有考慮到隱私，雖然主要平台在某些事情上做得對（如數據匿名化和所有權），但它們在其他領域（如數據位置）存在不足。

幸運的是，如今對 A/B 測試軟件的需求量很大，它允許您在網站上運行體驗，同時保持數據隱私。 這意味著如今可用的隱私友好型 A/B 測試工具比​​以往任何時候都多。 如需簡要總結，請參閱下表，其中包含最重要的指標。