2024 年数据隐私状况
已发表: 2023-09-11营销曾经是一个相对简单的职业。 这并不容易,也不简单,但角色的界限有些清晰。 这尤其适用于通信。 在网络和数字化兴起之前,我们的沟通渠道相对较少。 近几十年来,尤其是过去五到十年,营销专业人士的选择范围迅速扩大,特别是在数据隐私领域。
2018 年 5 月 25 日推出的欧盟《通用数据保护条例》(GDPR) 在很多方面都是对这种技术扩张的回应。 欧洲立法者试图提供一套保护公民数据的原则。 此后,GDPR 为世界其他地区考虑制定自己的数据监管方法奠定了基调。
作为我们公司内最常使用个人数据的用户,我们营销人员有责任确保我们对数据保护最佳实践有深入的了解。 特别是,我们需要打好基础。 在这篇短文中,我将确定营销领导者及其团队目前应注意的一些关键领域。
专业提示:收听 Steven Roberts 在 DMI 播客上讲述数据保护 101。
“透明度是支撑 GDPR 的关键原则。 使用人工智能工具处理个人数据的营销人员必须能够以清晰简单的方式解释这些数据的使用方式。 ”史蒂文·罗伯茨
快速变化的隐私生态系统
GDPR 在全球范围内引发了一系列类似的立法,中国、新加坡和南非等国家也颁布了新法律。
《加州消费者隐私法》(CCPA) 是美国一系列地方和州法律中最著名的。 这促成了更加复杂的国际数据隐私生态系统。
在英国,英国政府正在考虑修订英国 GDPR,目前正在制定新的数据法案(截至 2023 年 9 月)。 与英国进行贸易的企业需要密切关注这一事态发展,特别是如果它影响欧盟和英国之间的充分性决策*。
在欧洲,许多相关的欧盟立法正在制定过程中。 这包括:
- 数字市场法
- 数字服务法
- 人工智能法规。 在 ChatGPT 等人工智能技术的范围和使用迅速扩大的时代,后者显得尤为紧迫。
关于彻底修改现行电子隐私指令的讨论也在进行中,人们普遍认为该指令不再适合其目的。 所有这些立法都有可能影响在欧盟境内运营的营销人员的数据处理活动。
数据保护必须从一开始就包括在内
据Chiefmartech.com统计,营销技术平台超过11,000个; 一个逐年增长的数字。 其中许多技术使用个人数据来更有效地接触和定位各种消费者受众。
营销人员在考虑新平台或任何涉及使用个人数据的新策略时,应确保从一开始就考虑数据隐私。 GDPR 的设计和默认数据保护原则是这里的关键。 遵守这一原则的最佳方法之一是进行数据保护影响评估 (DPIA)。
这涉及两个步骤的过程。 首先,进行预 DPIA,提出一系列高级问题来评估该项目是否有可能构成重大隐私风险。 如果发现此类风险,则必须完成完整的 DPIA。 此时将对项目进行详细分析,包括与主要利益相关者的协商。 如果隐私风险太高,这种方法允许重新校准项目,或者采取缓解措施来降低风险水平。
营销人员的例子可能包括引入新的第一方数据策略或引入 CRM 平台。 人们普遍认为最佳做法是,任何可能利用个人数据的新营销工具都应接受 DPIA。
人工智能和数据隐私
人工智能 (AI) 平台越来越受到营销人员的欢迎,为自动化网站聊天机器人等活动提供支持。 ChatGPT 和其他大型语言模型 (LLM) 的引入为营销人员提高生产力提供了巨大潜力。 例如,生成博客和文章作为内容营销策略的一部分。
考虑此类技术的营销人员必须意识到数据保护风险。 透明度是支撑 GDPR 的关键原则。 使用人工智能工具处理个人数据的营销人员必须能够以清晰简单的方式解释这些数据的使用方式。 这是一个相当大的挑战,因为准确识别人工智能技术如何处理数据通常并不容易。
此外,GDPR 第 22 条赋予个人反对可能具有法律效力的自动决策的权利。 例如,“自动拒绝在线信贷申请或电子招聘实践,无需任何人为干预”。 在这些情况下,他们有权获得人为干预作为决策过程的一部分。
在爱尔兰数据保护委员会(DPC)的干预下,谷歌被要求推迟推出新的人工智能聊天机器人巴德(Bard),这凸显了使用人工智能带来的潜在数据保护问题。 欧盟委员会表示,这家科技巨头需要提供有关如何保护欧盟公民隐私权的进一步信息。 谷歌随后在欧盟推出了巴德,遵循 DPC 所描述的“一系列变化,特别是增加了透明度和对用户控制的变化”。
“数据合规性是一个持续的过程。 首要任务是打好基础。 ”史蒂文·罗伯茨
增加罚款和消费者意识
作为营销人员,我们是消费者的代言人,有责任保护我们公司的品牌和声誉。 消费者对其数据保护权利的认识不断提高。 这在很大程度上是由围绕巨额罚款的宣传推动的。
据 DLA Piper 律师事务所称,自 2022 年 1 月 28 日起的 12 个月内,欧盟监管机构开出了 16 亿欧元的罚款。这一趋势在 2023 年仍在继续,最引人注目的是爱尔兰 DPC 对 Meta 转移欧盟用户处以 12 亿欧元的罚款在没有适当的数据保护机制的情况下将个人数据传输到美国。
2023 年 4 月,英国信息专员办公室(ICO)因 TikTok 滥用儿童数据相关违规行为对 TikTok 处以 1270 万英镑罚款。
与此同时,在美国,数据隐私问题出现了更多的政治立场,试图在蒙大拿州等州一级禁止 TikTok,联邦贸易委员会的新领导层明显更强硬,起诉亚马逊未经同意将客户注册到 Prime。 在爱尔兰,政府和国家机构的工作人员被要求从官方设备上删除 TikTok 应用; 英国和荷兰等司法管辖区也引入了限制。
值得注意的是,虽然广告技术和行为广告是 DPC 和其他监管机构的执法重点,但许多经济领域的企业都受到了处罚; 尽管还没有达到我们在科技公司看到的令人眼花缭乱的水平。
传输国际数据
国际数据传输给寻求将个人数据传输出欧盟的公司带来了严重的麻烦。 这是数据隐私的一个方面,近年来发生了巨大的变化。 2020 年 7 月,欧洲法院裁定欧盟和美国之间现有的数据传输隐私盾安排无效。 自该决定(称为Schrems II)以来,两个司法管辖区一直在寻求符合 GDPR 的替代机制。
欧盟于 7 月初批准了新的数据隐私框架。 尽管受到欢迎,但它是否会像其前任那样受到隐私倡导者的类似挑战还有待观察。 在此期间,公司必须寻找替代方法,例如使用标准合同条款(称为 SCC)***。
对于与英国进行贸易的公司,英国政府已表示有意简化英国 GDPR 的某些方面,以减轻现行规则对企业的负担****。
如何及时了解数据隐私
许多营销人员都在努力跟上这种变化速度,特别是中小企业的营销人员,他们可能无法获得与大型跨国公司团队相同的资源。
值得提醒自己的是,数据合规性是一个持续的过程。 首要任务是打好基础。 考虑到这一点,作为公司内任何有效的数据隐私文化的一部分,许多方面都至关重要:
1. 培训至关重要
对于新员工和现有员工来说,培训必须是定期且持续的。 考虑到我们目前在许多营销角色中看到的流失程度以及合规领域的总体发展速度,这一点尤为重要。 一些专家估计,90% 的数据泄露都是人为错误造成的。 培训对于抵消这种风险至关重要。
2.了解GDPR的6大法律依据和7大核心原则
如果公司考虑以下问题,我们在过去五年中看到的许多违规行为都可以减少或消除;
- 首先,处理这些个人数据是否有明确的法律依据?
- 其次,处理是否符合GDPR的原则?
3. 自上而下定调
所有企业都受到高级管理层的领导。 董事会和执行团队必须通过言语和行动公开支持和倡导整个组织内强大的数据隐私文化。
4. 制定详细记录和流程
问责制是 GDPR 的首要原则之一。 该条例第 30 条要求准确保存记录,作为有效隐私文化的一部分。 公司还可以通过针对主题访问请求和数据泄露报告等方面提前制定明确的流程来获得显着的生产力和效率优势。
5.了解儿童及特殊类别数据更高的合规要求
营销人员需要注意涉及未成年人数据的额外合规性要求,以及 GDPR 确定的一系列特殊类别数据。
结论
近年来,数据保护发展迅速。 2018 年 GDPR 的出台提高了消费者的意识,并对不合规企业施加了更高的处罚。 它还推动了中国、新加坡和南非等国际国家的类似立法浪潮。 这种变化的速度以及随之而来的日益复杂性意味着营销人员及其企业建立有效的数据保护文化至关重要。
人工智能等新的数据密集型技术只会强化这一要求。 通过专注于掌握正确的基础知识,定期对法规的核心方面进行培训,明确的流程和记录保存,以及来自组织高层的支持,营销人员及其团队可以很好地确保他们保持合规性。
笔记
* 欧盟于 2021 年达成的充分性决定实质上表明英国运营着与欧盟类似的数据保护环境。 该决定将在四年后进行审查,如果英国被认为偏离了当前的数据保护水平,则可能会受到损害。
** 叙述 71,GDPR
*** 当纳入合同时,SCC 可以提供遵守 GDPR 数据传输义务。
**** 数据保护和数字信息(第 2 号)法案。