2024 年數據隱私狀況
已發表: 2023-09-11營銷曾經是一個相對簡單的職業。 這並不容易,也不簡單,但角色的界限有些清晰。 這尤其適用於通信。 在網絡和數字化興起之前,我們的溝通渠道相對較少。 近幾十年來,尤其是過去五到十年,營銷專業人士的選擇範圍迅速擴大,特別是在數據隱私領域。
2018 年 5 月 25 日推出的歐盟《通用數據保護條例》(GDPR) 在很多方面都是對這種技術擴張的回應。 歐洲立法者試圖提供一套保護公民數據的原則。 此後,GDPR 為世界其他地區考慮制定自己的數據監管方法奠定了基調。
作為我們公司內最常使用個人數據的用戶,我們營銷人員有責任確保我們對數據保護最佳實踐有深入的了解。 特別是,我們需要打好基礎。 在這篇短文中,我將確定營銷領導者及其團隊目前應注意的一些關鍵領域。
專業提示:收聽 Steven Roberts 在 DMI 播客上講述數據保護 101。
“透明度是支撐 GDPR 的關鍵原則。 使用人工智能工具處理個人數據的營銷人員必須能夠以清晰簡單的方式解釋這些數據的使用方式。 ”史蒂文·羅伯茨
快速變化的隱私生態系統
GDPR 在全球範圍內引發了一系列類似的立法,中國、新加坡和南非等國家也頒布了新法律。
《加州消費者隱私法》(CCPA) 是美國一系列地方和州法律中最著名的。 這促成了更加複雜的國際數據隱私生態系統。
在英國,英國政府正在考慮修訂英國 GDPR,目前正在製定新的數據法案(截至 2023 年 9 月)。 與英國進行貿易的企業需要密切關注這一事態發展,特別是如果它影響歐盟和英國之間的充分性決策*。
在歐洲,許多相關的歐盟立法正在製定過程中。 這包括:
- 數字市場法
- 數字服務法
- 人工智能法規。 在 ChatGPT 等人工智能技術的範圍和使用迅速擴大的時代,後者顯得尤為緊迫。
關於徹底修改現行電子隱私指令的討論也在進行中,人們普遍認為該指令不再適合其目的。 所有這些立法都有可能影響在歐盟境內運營的營銷人員的數據處理活動。
數據保護必須從一開始就包括在內
據Chiefmartech.com統計,營銷技術平台超過11,000個; 一個逐年增長的數字。 其中許多技術使用個人數據來更有效地接觸和定位各種消費者受眾。
營銷人員在考慮新平台或任何涉及使用個人數據的新策略時,應確保從一開始就考慮數據隱私。 GDPR 的設計和默認數據保護原則是這裡的關鍵。 遵守這一原則的最佳方法之一是進行數據保護影響評估 (DPIA)。
這涉及兩個步驟的過程。 首先,進行預 DPIA,提出一系列高級問題來評估該項目是否有可能構成重大隱私風險。 如果發現此類風險,則必須完成完整的 DPIA。 此時將對項目進行詳細分析,包括與主要利益相關者的協商。 如果隱私風險太高,這種方法允許重新校準項目,或者採取緩解措施來降低風險水平。
營銷人員的例子可能包括引入新的第一方數據策略或引入 CRM 平台。 人們普遍認為最佳做法是,任何可能利用個人數據的新營銷工具都應接受 DPIA。
人工智能和數據隱私
人工智能 (AI) 平台越來越受到營銷人員的歡迎,為自動化網站聊天機器人等活動提供支持。 ChatGPT 和其他大型語言模型 (LLM) 的引入為營銷人員提高生產力提供了巨大潛力。 例如,生成博客和文章作為內容營銷策略的一部分。
考慮此類技術的營銷人員必須意識到數據保護風險。 透明度是支撐 GDPR 的關鍵原則。 使用人工智能工具處理個人數據的營銷人員必須能夠以清晰簡單的方式解釋這些數據的使用方式。 這是一個相當大的挑戰,因為準確識別人工智能技術如何處理數據通常並不容易。
此外,GDPR 第 22 條賦予個人反對可能具有法律效力的自動決策的權利。 例如,“自動拒絕在線信貸申請或電子招聘實踐,無需任何人為乾預”。 在這些情況下,他們有權獲得人為乾預作為決策過程的一部分。
在愛爾蘭數據保護委員會 (DPC) 的干預下,谷歌被要求推遲推出新的人工智能聊天機器人 Bard,這凸顯了使用人工智能帶來的潛在數據保護問題。 歐盟委員會表示,這家科技巨頭需要提供有關如何保護歐盟公民隱私權的進一步信息。 谷歌隨後在歐盟推出了巴德,遵循 DPC 所描述的“一系列變化,特別是增加了透明度和對用戶控制的變化”。
“數據合規性是一個持續的過程。 首要任務是打好基礎。 ”史蒂文·羅伯茨
增加罰款和消費者意識
作為營銷人員,我們是消費者的代言人,有責任保護我們公司的品牌和聲譽。 消費者對其數據保護權利的認識不斷提高。 這在很大程度上是由圍繞巨額罰款的宣傳推動的。
據DLA Piper 律師事務所稱,自2022 年1 月28 日起的12 個月內,歐盟監管機構開出了16 億歐元的罰款。這一趨勢在2023 年仍在繼續,最引人注目的是愛爾蘭DPC 對Meta 轉移歐盟用戶處以12 億歐元的罰款在沒有適當的數據保護機制的情況下將個人數據傳輸到美國。
2023 年 4 月,英國信息專員辦公室(ICO)因 TikTok 濫用兒童數據相關違規行為對 TikTok 處以 1270 萬英鎊罰款。
與此同時,在美國,數據隱私問題出現了更多的政治立場,試圖在蒙大拿州等州一級禁止TikTok,聯邦貿易委員會的新領導層明顯更強硬,起訴亞馬遜未經同意將客戶註冊到Prime。 在愛爾蘭,政府和國家機構的工作人員被要求從官方設備上刪除 TikTok 應用; 英國和荷蘭等司法管轄區也引入了限制。
值得注意的是,雖然廣告技術和行為廣告是 DPC 和其他監管機構的執法重點,但許多經濟領域的企業都受到了處罰; 儘管還沒有達到我們在科技公司看到的令人眼花繚亂的水平。
傳輸國際數據
國際數據傳輸給尋求將個人數據傳輸出歐盟的公司帶來了嚴重的麻煩。 這是數據隱私的一個方面,近年來發生了巨大的變化。 2020 年 7 月,歐洲法院裁定歐盟和美國之間現有的數據傳輸隱私盾安排無效。 自該決定(稱為Schrems II)以來,兩個司法管轄區一直在尋求符合 GDPR 的替代機制。
歐盟於 7 月初批准了新的數據隱私框架。 儘管受到歡迎,但它是否會像其前任那樣受到隱私倡導者的類似挑戰還有待觀察。 在此期間,公司必須尋找替代方法,例如使用標準合同條款(稱為 SCC)***。
對於與英國進行貿易的公司,英國政府已表示有意簡化英國 GDPR 的某些方面,以減輕現行規則對企業的負擔****。
如何及時了解數據隱私
許多營銷人員都在努力跟上這種變化速度,特別是中小企業的營銷人員,他們可能無法獲得與大型跨國公司團隊相同的資源。
值得提醒自己的是,數據合規性是一個持續的過程。 首要任務是打好基礎。 考慮到這一點,作為公司內任何有效的數據隱私文化的一部分,許多方面都至關重要:
1. 培訓至關重要
對於新員工和現有員工來說,培訓必須是定期且持續的。 考慮到我們目前在許多營銷角色中看到的流失程度以及合規領域的總體發展速度,這一點尤為重要。 一些專家估計,90% 的數據洩露都是人為錯誤造成的。 培訓對於抵消這種風險至關重要。
2.了解GDPR的6大法律依據和7大核心原則
如果公司考慮以下問題,我們在過去五年中看到的許多違規行為都可以減少或消除;
- 首先,處理這些個人數據是否有明確的法律依據?
- 其次,處理是否符合GDPR的原則?
3. 自上而下定調
所有企業都受到高級管理層的領導。 董事會和執行團隊必須通過言語和行動公開支持和倡導整個組織內強大的數據隱私文化。
4. 制定詳細記錄和流程
問責制是 GDPR 的首要原則之一。 該條例第 30 條要求準確保存記錄,作為有效隱私文化的一部分。 公司還可以通過針對主題訪問請求和數據洩露報告等方面提前製定明確的流程來獲得顯著的生產力和效率優勢。
5.了解兒童及特殊類別數據更高的合規要求
營銷人員需要注意涉及未成年人數據的額外合規性要求,以及 GDPR 確定的一系列特殊類別數據。
結論
近年來,數據保護髮展迅速。 2018 年 GDPR 的出台提高了消費者的意識,並對不合規企業施加了更高的處罰。 它還推動了中國、新加坡和南非等國際國家的類似立法浪潮。 這種變化的速度以及隨之而來的日益複雜性意味著營銷人員及其企業建立有效的數據保護文化至關重要。
人工智能等新的數據密集型技術只會強化這一要求。 通過專注於掌握正確的基礎知識,定期對法規的核心方面進行培訓,明確的流程和記錄保存,以及來自組織高層的支持,營銷人員及其團隊可以很好地確保他們保持合規性。
筆記
* 歐盟於 2021 年達成的充分性決定實質上表明英國運營著與歐盟類似的數據保護環境。 該決定將在四年後進行審查,如果英國被認為偏離了當前的數據保護水平,則可能會受到損害。
** 敘述 71,GDPR
*** 當納入合同時,SCC 可以提供遵守 GDPR 數據傳輸義務。
**** 數據保護和數字信息(第 2 號)法案。