隱私:2015 年回顧

已發表: 2015-12-31

展望新的一年,有一點很清楚:在 2016 年,廣告商和營銷商在與最終用戶建立聯繫方面需要提高自己的水平。 挑戰? 創造尊重個人隱私權保持最終用戶參與的體驗。

因此,現在是退一步思考現有數據實踐是否加深或損害用戶信任的好時機。 請記住,當遊戲規則繼續發生巨大變化時,個人選擇退出在線廣告的人數創下歷史新高,您需要弄清楚這一切。

以下是 2015 年的主要隱私要點:

消費者、隱私態度和廣告攔截器

2015 年,消費者隱私問題發生了演變——從對政府監控和商業跟踪的普遍恐懼,到對個人數據是否被收集、使用和保留的具體擔憂。

2015 年3 月的 Pew Trust 調查中,參與者透露,雖然他們仍然擔心後斯諾登時代的政府監控,但他們同樣擔心私人、商業行為者的數據收集和使用。 更尖銳的是,皮尤研究中心的參與者對在線廣告表現出明顯的不信任——76% 的受訪成年人表示,他們並不“完全相信”“在他們訪問的網站上投放廣告的在線廣告商維護的活動記錄將保持私密和安全”。

皮尤調查中表達的態度與 2015 年數字媒體面臨的最大擔憂——即廣告攔截技術的迅速崛起和採用之間是否存在聯繫?

勺子機構的照片

勺子機構的照片

數字似乎表明情況確實如此。 在線出版商行業協會 Digital Content Next (DCN)公佈了一項調查結果,該調查發現超過三分之一的美國消費者將在未來三個月內嘗試使用廣告攔截器,其中大約一半的人最終會選擇退出完全基於興趣的廣告。

隨著 Apple 在 iOS 9 中發布一項允許用戶啟用移動廣告攔截的功能,這些數字可能會繼續增加——這有點笨拙的用戶體驗,因為您必須下載廣告攔截器應用才能利用此攔截功能功能(這可能是 iOS 9 發布後廣告攔截應用下載量創紀錄的原因之一)。

帶走?

仔細查看您的隱私聲明和通知。 您認為它們是否清楚地說明了您為什麼以及如何從最終用戶那裡收集和使用數據? 也許是時候對您的隱私政策進行創意了,並考慮將聲音、圖形甚至動畫融入格式的政策。 擁有以易於理解的形式向用戶解釋您的價值並管理對數據使用和共享的期望的隱私政策應該有助於避免創紀錄的選擇退出數字。 當然,您希望不斷更新您的隱私政策並讓用戶了解重要的變化。

TUNE 的首席執行官彼得漢密爾頓實際上認為廣告屏蔽有好處——因為消費者實際上是在告訴你通過屏蔽你的廣告什麼對他們不起作用。 看看他在12 月的 Mediapost 文章中重新思考數字廣告體驗的技巧

FTC 在 2015 年繼續發出強有力的執法信號

2015 年對於 FTC 來說是忙碌而重要的一年。

當第三巡迴法院確認其數據安全權限時,該機構取得了巨大的勝利——這是一起涉及溫德姆酒店的備受矚目的案件(有關溫德姆案件及其潛在影響的更多信息,請參閱我9 月份的博客文章)。 但是,當一名行政法法官駁回其針對 LabMD 的數據安全案件時,它也遭受了挫折——認為該機構未能證明 FTC 不公平案件的一個重要因素——缺乏安全實踐造成或可能造成“重大傷害”給消費者”。

規定

FTC 繼續保持其作為世界上最積極的隱私執法者的記錄,根據《兒童在線隱私保護法》(COPPA) 和《公平信用報告法》(FCRA) 等法規以及該機構的“欺騙性”和“ FTC 法案第 5 條規定的“不公平”權力。 FTC 還推行了幾項政策舉措,包括跨設備跟踪研討會(請參閱此處的 TUNE 回顧)和發布有關原生廣告的機構指南

涉及應用生態系統的更重要的案例之一是 FTC於 2015 年 12 月對兩名移動應用開發商違反 COPPA 的行為採取行動。 這些是基於在應用程序開發人員和廣告網絡之間共享技術或“持久標識符”(例如 IDFA 或 IP 地址)的首批執法行動。 通過這些行動,FTC 已經確定,諸如廣告 ID 或 IP 地址之類的持久性標識符構成“個人數據”——對其的收集、使用或共享會觸發 COPPA 責任。

帶走?

這些 FTC 案例提醒我們,無論數據是否被視為個人或材料,重要的是要在您的隱私政策中準確地註意數據收集、使用和消費者控制(例如選擇退出),否則您可能會面臨 FTC 執法行動。 此外,您需要超越隱私最佳實踐並確保您遵守所有規則,特別是如果您為現有美國法律涵蓋的目的收集數據,例如根據 FCRA 用於信貸、保險和就業目的的數據,以及根據 COPPA 為營銷目的從 13 歲以下兒童收集的數據。

歐盟數據保護規則的變化

2015 年,歐洲對重要的隱私要求進行了一些重大修訂。

10 月,歐洲法院宣布美國-歐盟安全港框架無效,該框架是公司出於商業目的將個人數據從歐盟傳輸到美國的主要方式(霍金路偉隱私團隊提供的更多信息 美國和歐盟監管機構必須在 1 月底之前決定新的美國-歐盟安全港框架,該框架將符合法院意見中規定的要求。

歐盟旗幟

12 月,經過近四年的談判,歐盟委員會、理事會和議會同意修訂歐盟數據保護法或“G D P R 將對從歐盟最終用戶收集數據的公司施加重大義務。 與 1995 年和 ePrivacy 指令下的現行歐盟法律不同,GDPR 是一項無需歐盟成員國額外實施立法的法規即可生效。 它將在 2018 年某個時候作為歐盟法律強制執行。這意味著您仍有時間評估 GDPR 要求對您的業務的潛在影響。

以下是您應該考慮的四個主要發展:

1. 假名數據現在永遠是個人數據。

根據 GDPR,個人數據的定義已擴大到包括廣告 ID 和 IP 地址等技術標識符。 這使歐盟法律與當前 FTC 的想法保持一致(如本更新前面所討論的)。 新法律還對將數據存儲在“個人資料”中的公司提出了具體要求。 此外,GDPR 將個人數據視為始終保留其個人性質——即使在經過哈希處理或“化名”之後也是如此。 因此,傳統上根據歐盟法律適用於個人數據的消費者數據保護權利(例如通知、選擇退出、刪除、保留)現在將適用於散列數據。

要求對數據進行散列處理已經是一種新興的最佳實踐,用於存儲或傳輸用於營銷目的的數據。 因此,行業應該共同努力,制定和製定保護假名數據的通用標準,特別是在 GDPR 規定行業“行為準則”來解決此類問題的情況下。 我們已經看到IAB UK隱私權未來論壇等組織在這方面的一些出色工作,並期待在 2016 年進行更多討論(注意:TUNE 與這兩個組織合作;我們也是 FPF 的成員,並坐在他們的諮詢中木板)。

2. 增加數據處理者的責任

根據現行歐盟法律,決定如何處理數據的數據控制者對違反數據保護的行為負有主要責任。 像 TUNE 這樣應數據控制者的要求處理數據的數據處理者不承擔主要責任,前提是他們遵循某些要求(通常記錄在控制者和處理者之間的“數據處理附錄”中)。

但是,GDPR 將增加數據處理者的責任。 對於未經授權的訪問或數據洩露等數據違規行為,可能會承擔連帶責任。 在某些情況下,數據處理者可能會發現自己對數據違規負主要責任——特別是如果發現處理中的缺陷導致了相關違規行為,或者發現處理者在特定情況下更像是數據控制者。 此外,數據處理者必須證明“責任”。 所有這一切都變得更加重要,當你考慮到根據 GDPR 時,監管機構可以評估高達公司全球年營業額 4% 的罰款。

3. 大多數類型的“分析”都需要同意

新的歐盟法律要求您在該用戶(或其設備)上設置任何類型的個人資料之前獲得個人的同意。 該規則的唯一例外是預防和偵查犯罪。 儘管在早期的草案中討論了一個非常不可行的明確同意標準,但該法律的最終版本提供了“明確”同意的標準。 當涉及到分析或任何其他類型的大數據活動時,這種程度的同意實際上是多少還有待觀察。 然而,這是行業有望通過行為準則或類似的利益相關者流程來回答的另一個問題。

4. COPPA

GDPR 將包括一項類似於美國 COPPA 法律的兒童隱私法,但具體要求是什麼尚不清楚。 GDPR 將同意年齡確定為 16 歲,但個別歐盟數據保護監管機構可以將其降低至 13 歲(目前是美國 COPPA 規定的同意年齡)。

帶走?

GDPR將極大地影響公司與歐盟公民開展業務的方式 許多要求——關於同意、假名數據和兒童數據的處理——尚未確定。 然而,新法律還預計行業將通過行為準則、認證和其他機制發揮作用。 這意味著隱私智囊團和行業協會社區可以發揮重要作用,因為他們可以幫助公司了解新要求並提出可行的標準以遵守新法律。 TUNE 期待與我們現有的協會合作夥伴——隱私論壇的未來 eDAA隱私法沙龍——在新的一年中開展其中的一些工作。

2016年你的遊戲計劃是什麼?

考慮到所有這些,現在是開始考慮如何在 2016 年提升遊戲水平的好時機。新的一年帶來了重新吸引用戶和重新設計合規性的機會,尤其是在新的 GDPR 要求迫在眉睫的情況下.

在 TUNE,我們將在 2016 年繼續我們的工作,通過我們的時事通訊、博客文章和其他以數據和隱私為重點的活動進行教育和通知。 我們還將與志同道合的公司聯繫,看看是否有興趣與我們合作開展一項關於廣告資助互聯網、它的工作原理以及它提供的好處的教育活動(最值得注意的是,訪問 Gmail 或Facebook)。 我們相信,通過專注於此類最終用戶和利益相關者教育的有針對性的努力,可以解決有關在線數據收集的大部分隱私問題。

您有興趣與我們合作開展這些工作嗎? 請給我們發電子郵件,我們很高興收到您的來信。

祝您 2016 年萬事如意,萬事如意!

新年快樂!

注:本文旨在展示我對 2015 年某些隱私事件的看法; 它無意也不應以任何方式解釋為法律建議。 感謝您閱讀廣告:-)。

喜歡這篇文章嗎? 註冊我們的博客摘要電子郵件。