摘要:随着个人信息和隐私泄漏问题的不断加剧,是否有强大的隐私保障机制已经成为用户衡量企业资质的重要标准。跨境数字营销企业应抓住用户痛点,在跨地区、跨国家业务开展过程中保障信息安全,打造积极正面的ESG形象。
01 隐私与数据安全的内涵
在获取客户隐私数据时,需要注意两个方面,一是用户隐私数据获取的范围,在获取信息前是否已征求用户同意并且清晰划分用户数据内容边界;二则用户数据获得方式,客户是否允许企业以此种方式获得这些数据来增强他们的服务。某电商平台,在未获取用户授权情况下,远程浏览、下载、删除用户照片,并使用这些照片进行评论发布,尽管当前还未有用户起诉该平台,但舆论已经发酵较长一段时间,用户对于该平台的信任已经大打折扣。建立信任需要很长时间,而失去信任则是一瞬间的事。因此,从商业角度来看,保护隐私这一点非常重要。
在获得隐私数据后,如何对数据进行保护使其不受侵犯也备受用户重视,包括数据的使用途径和方式,以及企业的信息安全系统如何抵御黑客袭击。近些年来,国内用户数据泄露已经造成公众的困扰,明明用户是提供给正当企业个人信息来获得服务,却在几个月后接到大量针对性的广告营销电话或邮件,这些数据是企业恶意售卖还是因系统防护等级不足而被盗取我们难以得知,但最终造成的后果都是隐私受侵犯,数据在我们未授权的领域被使用。站在用户的角度,如果某家跨境营销企业获得了我的隐私数据,那么在我使用这家企业的服务时希望能够得到安全保护。
02 不同地区隐私保护差异性
在网络世界中,没有全球公认的数据隐私标准或定义,也没有专门针对跨境数据流动和隐私的全面约束性多边规则。对于跨境数字营销企业来说,在全球通用的规则制定生效前,至少需要做到的是遵守业务开展地的法律与规章制度,尽管不同地区的严格程度与侧重点不同,但这些法规均是跨境数字营销业务开展的底线。下面千合财经带领大家来探索两个典型区域的隐私保护规范。
2018年5月25日,欧洲联盟出台《通用数据保护条例》(General Data Protection Regulation,简称GDPR)。GDPR是一项全面的隐私制度,建立在以前的欧盟数据保护规则之上。GDPR所限制的范围包括:①在欧盟设置业务机构的组织;②在欧盟境外却处理欧盟境内个人数据的组织,并且此行为向欧盟境内个人提供商品或服务,跨境数字营销服务主要属于这一类,也受GDPR限制;③以及非欧盟组织处理欧盟境内个人的个人数据,以及对个人行为进行监控的组织。
欧盟GDPR赋予用户个人新的权利,并制定了具体的新数据保护要求。在企业获取个人数据时发出的隐私声明必须是清晰易懂的信息,杜绝冗长繁杂,通过阅读隐私声明,用户可以明确权责范围(包括知情权、访问权、更正权、删除权等)及个人数据收集与访问的方式,并且同意任何数据处理方式。如果意外情况发生,数据泄露对数据主体有很高的危害风险,企业应及时通知数据主体,而不应“无故拖延”,以及对于用户敏感数据,GDPR规定企业禁止进行处理,包括种族或民族、政治观点、宗教信仰及基因数据等。
2019年1月,法国DPA对数据隐私泄露开出了迄今为止最大的罚单。该机构对谷歌处以5000万欧元的罚款,理由是该搜索引擎在处理用户数据方面“缺乏透明度”。高额罚款可能会为未来的执法设定一个基准和信号,这引起了一些在欧盟开展业务的公司的担忧。对于跨境数字营销企业来说,不仅是从运营角度,也是从ESG发展角度,欧盟业务开展过程中保持用户数据应用高度透明度是十分必要的。
美国采取了针对具体数据的方法来规范数据隐私,通过法律保护不同类别的具体信息。美国国家标准技术研究院(National Institute of Standards and Technology,简称NIST)搭建了NIST 隐私框架,它是一组指南,旨在帮助组织管理因收集、使用、存储和共享个人信息而产生的隐私风险。该框架基于与广泛接受的隐私原则、法律和法规相一致的核心隐私原则。通过选择适当的隐私框架,组织可以有效管理隐私风险并在当今数据驱动的世界中保持良好的声誉。对于寻求保护敏感数据、遵守法规并与客户建立信任的组织来说,选择隐私框架至关重要。
NIST 隐私框架是帮助组织管理和保护个人数据的综合指南。该框架基于五个关键原则:
第一个原则是识别组织收集、处理、存储和共享的所有个人数据。这包括了解收集数据的目的、谁有权访问数据以及数据的保存时间。第二个原则是保护个人数据免遭未经授权的访问、使用、披露、更改或破坏。这包括实施适当的安全措施,例如加密、访问控制和数据最小化。第三个原则是控制个人数据的收集、使用、共享和存储方式。这包括获得个人的同意,向他们提供清晰简洁的隐私声明,以及遵守适用的隐私法律和法规。第四个原则是与个人沟通他们的个人数据如何被使用和保护。这包括为他们提供有意义的选择和机会来行使其隐私权,例如访问、更正、删除或反对处理其个人数据的权利。第五个原则是定期审查和改进组织的隐私实践。这包括进行隐私风险评估、监控隐私政策和程序的遵守情况,以及持续评估和改进隐私控制的有效性。
跨境数字营销企业通过遵循这五个关键原则,外部客户可以更加了解其隐私实践、提高数据安全性并确保客户信任,明确权责关系,免于因违法而受处罚与声誉受损。
03 建立隐私数据保护机制
前文为大家介绍了隐私与数据保护的必要性与重要性,那么企业如何建立起完善的隐私保护机制?
首先,跨境营销企业需要了解不同业务开展地的隐私保护政策,不同国家与地域的隐私保护范围与深度可能具有较大的差异性。了解规则,划清业务开展红线,避免违规风险。其次,对于隐私数据库的保护机制,将隐私保护的职责分配在企业全体员工中,而将获得隐私数据的权限限制在特定岗位的核心成员手中;对内部工作人员数据访问权限进行分级管理;无业务需求相关性的员工无法接触到客户隐私。
第三,企业需要建立强大的防护系统,记录数据库访问时间、次数与访问内容,严禁内部员工通过非法手段获取数据及贩卖牟利;设置防火墙抵御外部黑客的袭击,避免因隐私数据泄露给客户带来损失。对于企业内部隐私管控需要严格且加密,而对于客户的隐私声明,则需清晰透明且明确,语言应当清晰简洁,通俗易懂,内容应当易于访问。跨境数字营销通常会以Facebook、谷歌、亚马逊等作为宣传媒体平台,了解各平台的隐私政策,以及与平台合作过程中对于企业的客户隐私保护机制。
在这个信息快速扩散的时代,保护好用户的隐私和数据的安全,已经成为了一个企业是否合格的重要衡量标准,这也是目前 ESG发展所追求的方向。强大的用户隐私数据保护能力,将会是公司在 ESG领域中的一大亮点和核心竞争力。
