Optimizely 隱私:Optimizely 如何處理隱私?
已發表: 2022-02-09
隨著 A/B 測試平台變得越來越複雜,圍繞它們的隱私問題也越來越多。
Optimizely 是 A/B 測試領域最流行的優化平台之一,因此了解它對隱私的立場很重要。 擁有權利的同時也被賦予了重大的責任。 伴隨著重大責任而來的是對隱私的更大需求。
在本文中,我們評估了 Optimizely 如何處理隱私以及在選擇此數字體驗平台之前需要了解的內容。
讓我們首先分析 Optimizely 是否符合當今的主要隱私法。
Optimizely 是否符合 GDPR?
通用數據保護條例 (GDPR) 是一項關鍵條例,旨在加強和統一歐盟和歐洲經濟區的數據保護和隱私。 Optimizely 使用必要的業務和技術隱私控制來保護數據並遵守 GDPR。
Optimizely GDPR 準備好了嗎?
GDPR 合規性是 Optimizely 服務和設計的重要組成部分。 以下是它為符合 GDPR 而採取的一些步驟:
- 受 GDPR 影響的已識別產品和業務領域
- 任命數據保護官 (DPO)
- 重寫其數據處理協議
- 改進和更改其產品、服務、流程和程序以滿足 GDPR 要求
- 審查其子處理器
- 最終確定並向數據保護局 (DPA) 傳達了完全合規性
Optimizely 準備好處理電子隱私法規了嗎?
電子隱私條例 (ePR) 是一項即將出台的隱私法,旨在改變有關 cookie 同意、直接營銷和企業對企業 (B2B) 通信的規則。 與 GDPR 不同,它甚至會規範電子通信中的非個人數據。
隨著公司努力應對 GDPR,看看他們是否準備好接受這項新規定是很有趣的。 要確定 Optimizely 是否具備處理 ePrivacy 的能力,我們首先需要評估它收集的數據。
訪客數據
優化跟踪對網站的訪問並收集有關用戶行為的信息。 這種匯總信息被稱為“訪客數據”,包括:
- 用戶代理數據:基於設備屬性的數據,包括有關 Web 瀏覽器類型和訪問者使用的操作系統的詳細信息。
- 網址:有關網頁位置的信息。
- 事件數據:記錄用戶行為並檢查訪問者是否單擊了網站上的按鈕或執行了類似操作。 這還可以包括自定義屬性和事件標籤。
- 時間戳:事件發生的日期和時間。
- 最終用戶 ID(或訪客 ID):隨機生成的標識號 (ID),分配給每個項目的訪客。 這對應於用於實驗和個性化的 optimizelyEndUserId cookie。
- 實驗和變體 ID:確定訪問者在訪問網站時的分桶位置。
- 外部地理數據:與訪問者 IP 地址相關的元素,包括國家、城市、地區等。
優化組織其服務,以便其客戶可以指定他們希望共享和接收的數據類別。 這些類別不一定顯示用戶身份。 但是,如果優化收集的 URL 包含個人身份信息 (PII),例如姓名或電話號碼,或者如果它鏈接到包含 PII 的頁面,它也可能會收集此信息。
作為一個開放平台,Optimizely 為您提供額外的訪客數據,例如重複買家屬性。 它根據特定功能和配置收集數據,例如:
- 動態客戶檔案 (DCP)
- 列出屬性
- 自適應受眾
- 功能標誌
- 集成
為了盡量減少收集的個人數據量,Optimizely 禁止訪問者提供額外的個人或敏感信息,例如健康信息。
產品用戶數據
當用戶創建帳戶或註冊其網絡研討會或時事通訊時,Optimizely 會收集一些基本信息,例如用戶名、姓名、工作電子郵件、工作聯繫方式、職位等。 這稱為Product User Data ,它的逐項列出如下:
- 註冊和創建帳戶時: Optimizelyvisitors 可以閱讀產品和服務說明,而無需透露任何個人身份信息。 但是,您需要創建一個帳戶並設置一個配置文件才能與 Optimizely 進行交易並成為客戶。 註冊時,它會詢問您的姓名、組織名稱、街道地址和電子郵件地址。 它還要求您選擇密碼。 一旦您成為註冊用戶,您就可以更新您的個人資料並提供更多信息,例如暱稱和某些用戶偏好。
- 註冊網絡研討會或請求時事通訊時:訪問者和客戶都可以註冊 Optimizely 網絡研討會或請求時事通訊。 優化僅存儲電子郵件地址以供參考。
ePrivacy 限制收集 PII 數據,並且由於 Optimizely 允許用戶通過訪問者數據將此數據傳遞給 URL,因此它並不真正符合 ePrivacy。 相反,它在為許多即將出台的法規做準備方面還有很長的路要走。
Optimizely 是歐盟注重隱私的品牌的好選擇嗎?
如前所述,電子隱私條例還不是一項數據保護法。 但是,一旦通過,它將在歐盟官方公報上發布後的 20 天內獲得通過,然後在執行前有兩年的寬限期。
因此,與大多數企業的想法相反,ePrivacy 法規在 GDPR 生效時將補充而不是取代它。
因此,在生效日期之前,歐盟和全球所有註重隱私的品牌都可以使用 Optimizely。 然而,Optimizely 需要加強並對其收集的數據進行一些連貫的更改,以保持相關性並適用於具有高隱私標準的公司。
在尊重用戶隱私方面,哪家 A/B 測試工具提供商的記錄最好? 了解 Optimizely 與 Convert Experiences、VWO 和 AB Tasty 的對比情況。
優化 HIPAA 合規性
由於與醫療保健信息相關的數據安全風險,醫療保健提供商難以跨數字平台提供個性化內容。 健康保險流通與責任法案 (HIPAA) 減輕了醫療保健公司的壓力,並為他們提供了一些急需的指導。
它保護受保護的健康信息 (PHI),例如姓名、地址、聯繫方式以及向第三方服務提供商披露的更多信息。
Optimizely 是否符合 HIPAA 標準?
為了符合 HIPAA,所有第三方供應商和醫療保健提供商都必須簽訂商業夥伴協議 (BAA),這是一份旨在保護敏感醫療保健數據的書面合同。
Optimizely 是否需要符合 HIPAA 標準?
Optimizely 是否需要 HIPAA 合規取決於它收集和使用的數據類型。 從本質上講,Optimizely 不符合 HIPAA 標準,並在其服務條款協議中特別聲明了不合規行為。
HIPAA 不合規。 客戶承認 Optimizely 不是業務夥伴或分包商(這些術語在 HIPAA 中定義)並且 Optimizely 服務不符合 HIPAA。 “HIPAA”是指《健康保險流通與責任法案》以及更新或替換的相關修訂和法規。 “監管數據”包括 HIPAA 監管數據和更新或替換後的 Gramm-Leach-Bliley 法案(或相關規則或法規)涵蓋的數據。
如何優化補償 HIPAA 不合規?
Optimizely 的內容建議解決了數據安全問題,並通過以下方式彌補了其不符合 HIPAA 的問題:
- 存儲 PHI:其會話中個性化不需要 PHI 來個性化內容。
- 交叉個性化:個性化在會話到期時停止。
- Episerver 內容智能:它為您提供每次站點訪問的第一方意圖數據,以便您可以擴展參與的影響。
- 擴展個性化:規則無法跟上不斷變化的患者環境和醫療進步。 Optimizely 使用機器學習 (ML) 算法來決定誰獲得什麼內容,而不會讓您的團隊陷入無休止的“if/else”規則。
Optimizely-Episerver Content Recommendations 可以提供幫助,並為跨個性化和動態醫療保健提供有效的解決方案。
訪問者可以選擇退出 Optimizely 跟踪嗎?
訪問者可以通過 Optimizely API 調用輕鬆選擇退出 Optimizely 跟踪。
選擇退出是什麼意思?
- 用戶不會被捲入實驗
- 他們不會看到任何變化變化
- 項目 JS 不會在頁面上運行
- 用戶不會被跟踪
- 在 Optimizely 運行的任何地方,他們都將保持退出狀態(即以上所有點均適用)
在沒有標籤管理器的情況下使用 Optimizely Web
如果您不在您的網站上使用跟踪代碼管理器,您可以通過將名為optimizelyOptOut的 cookie 設置為“true”來指示 Optimizely 不要跟踪網站訪問者。 在執行 JavaScript 片段內容之前優化檢查此 cookie。 最好使用官方支持的 optOut API,而不是直接設置 cookie。
您需要在頁面的 Optimizely 代碼段上方添加代碼。 否則,Javascript 代碼段會運行並設置訪問者的跟踪 cookie 和存儲項目。
讓我們看看如何使用 optOut API。
<腳本>
窗口[“優化”] = 窗口[“優化”] || [];
窗口[“優化”].push({
“類型”:“選擇退出”,
“isOptOut”:真
});
</腳本>
<script src="https://cdn.optimizely.com/js/{project_id].js"></script>如果訪問者選擇加入 cookie 跟踪,您可以通過將 optimizelyOptOut cookie 值重寫為“false”來重新啟用對該訪問者的跟踪。
例如,如果您顯示 cookie 橫幅(尋求訪問者跟踪同意的覆蓋元素),您可能會在使用以下代碼獲得同意後將 optOut cookie 值重寫為 false。
窗口[“優化”] = 窗口[“優化”] || [];
窗口[“優化”].push({
“類型”:“選擇退出”,
“isOptOut”:假
});從技術上講,將此 API 與訪問者同意跟踪時運行的邏輯聯繫起來。
將 Optimizely Web 與標籤管理器一起使用
使用跟踪代碼管理器,您可以使用條件邏輯僅在訪問者同意時加載 Optimizely JavaScript 代碼段。
由於並非所有地區或所有 cookie 都需要 cookie 選擇加入,因此 Optimizely 不會默認設置 optimizelyOptOut cookie。 作為網站所有者,您有責任確定是否需要設置此 cookie 或在需要時使用上述方法之一。
如果您在默認情況下將 optimizelyOptOut 設置為“true”(如上所示),則僅當 optOut API 設置為“false”時,Optimizely 代碼段才會“正常”運行(跟踪您網站上的訪問者)。
使用選擇加入解決方案,Optimizely Javascript 片段會在訪問者選擇加入後在頁面重新加載時激活,因為它在初始頁面加載時被禁用。
優化全棧
Optimizely Full Stack 不依賴 cookie 進行實驗,因此 ePrivacy 法規的 cookie 相關要求不會影響此功能。
儘管如此,歐盟的全棧用戶應確保他們遵守 GDPR。 它要求公司擁有在歐盟範圍內處理個人數據的“合法利益”。
作為數據控制者,公司有責任在將任何個人數據包含在 Optimizely Full Stack 實驗中之前履行處理同意的法律義務。
為此,您需要明確說明您的實驗涉及改善用戶體驗的第一方努力,並且您不會與第三方(例如廣告合作夥伴)共享用戶數據。
如果用戶撤回同意,您還應該將用戶排除在全棧實驗之外。
Optimizely 如何在隱私方面與競爭對手抗衡?
Optimizely 可能是一個數字體驗巨頭,但它仍然需要注意它的替代方案,尤其是在處理隱私問題時。 它也有讓客戶對突然的定價變化一無所知的歷史。 因此,難怪許多公司都在尋找替代供應商。
作為參考,我們將 Optimizely 的隱私選項與 Convert Experiences 和 VWO 的隱私選項進行比較。 我們還檢查:
- 每個工具的服務器位置
- 他們如何對待第三方 cookie
- 默認跨域跟踪
- 他們是否允許用戶選擇退出跟踪
| 優化 | 轉換體驗 | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 單點登錄 (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 基於歐盟的服務器 | X | ✓ | X | ||||||||||||||||||||
| 非 PII Cookie 生命週期 | 6個月 | 6個月 | 100 天 | ||||||||||||||||||||
| 第三方 Cookie | ✓ | X | ✓ | ||||||||||||||||||||
| 不跟踪瀏覽器設置 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 退出功能 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| GDPR 合規性應用內指南 | X | ✓ | X | ||||||||||||||||||||
| 數據處理協議 (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| PCI-DSS 合規性 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 電子隱私合規 | X | ✓ | X | ||||||||||||||||||||
| 數據匿名化 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 默認允許跨域跟踪 | ✓ | X | ✓ | ||||||||||||||||||||
| 默認允許分段 | ✓ | X | ✓ | ||||||||||||||||||||
| 被遺忘的權利 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 數據洩露通知 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 指定數據保護官 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 跨境數據傳輸 | 歐盟-美國和瑞士美國隱私盾框架 | 歐盟-美國和瑞士美國隱私盾框架 | 歐盟-美國和瑞士美國隱私盾框架 | ||||||||||||||||||||
| 設計和默認的數據保護 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 敏感的個人資料 | X | X | X |
收購 Episerver 後對隱私進行了哪些優化更改?
2020年9月,Episerver宣布收購Optimizely。 一年後,Episerver 將自己重新命名為 Optimizely,以提高品牌認知度。
隨著對個性化和商務功能的需求變得更加明顯,Optimizely 的收購和品牌重塑為 Episerver 和 Optimizely 的客戶創造了機會。
在隱私方面,Optimizely 自收購以來已顯著增長。
- Episerver 通過設計和默認尊重隱私。 它每週都會發布新政策,以確保其符合 GDPR 和其他適用的隱私法。
- 它舉辦有關數據保護、安全、隱私和個人信息的年度會議、培訓、研討會、網絡研討會和教育系列。
- Episerver 還更新了 Optimizely 的數據處理協議 (DPA),供所有新的適用供應商簽署並確保遵守數據保護和隱私法規。
- Episerver 根據 GDPR 和加州消費者隱私法 (CCPA) 增強了 Optimizely 的隱私聲明和政策,用於數據主體訪問和刪除請求,為歐盟和加州居民提供訪問和刪除權。 它現在有一個清晰的模型,用於在需要時獲得同意和刪除信息。
- Episerver 的安全事件響應團隊 (SIRT) 可以處理潛在的安全或隱私事件。 它將所有安全事件歸類為高優先級 (P1),並將其上報給專門的團隊。
- Episerver 啟動了 Episerver 信任中心,強調統一的安全性、合規性和隱私控制,以保護客戶數據。
Episerver 對 Optimizely 進行了改進,提高了 GDPR 合規性和隱私實踐的標準,以提供強大的法律基礎。
Episerver 已將 GDPR 合規作為全球產品開發和託管服務的日常優先事項。
Episerver 副總裁、總法律顧問兼全球數據保護官 Peter Yeung
Peter 進一步補充說,Episerver 在高度監管的行業和國家具有開創性的悠久歷史,因此在設計解決方案時考慮了合規性。 它將多年豐富的雲基礎架構經驗和知識與對數據保護、安全性和合規性的堅定承諾相結合。
迎接未來的挑戰
Optimizely 已努力遵守 GDPR、CCPA、通用個人數據保護法 (LGPD) 和其他適用的隱私法。
它可能在被收購後加強了數據隱私和安全性,但幾乎沒有考慮即將出台的電子隱私法規。 Optimizely 需要升級以進行實驗和數據收集。
數據驅動一切,從開發測試假設到提供更個性化的用戶體驗和跟踪測試的效果。 這意味著實驗團隊必須優先考慮數據隱私。
GDPR 僅處理一般(個人)數據,而 ePrivacy 旨在補充 GDPR,廣泛涵蓋和審計數據隱私。 ePrivacy 法規涵蓋營銷、跟踪技術的完整列表(包括但不限於 cookie),旨在以透明和肯定的同意打擊分析和行為廣告。
只要 Optimizely 不考慮 ePrivacy,它就錯過了這個難題的重要組成部分。 即使從今天開始,將這件作品做好也並非易事。
