2018 年 5 月 25 日,欧盟颁布了《通用数据保护条例》(GDPR),这在很多方面都是对这一技术扩张的回应。欧洲立法者试图提供一套保护公民数据的原则。自此以后,GDPR 为世界其他地区考虑自己的数据监管方法奠定了基调。
作为公司内个人数据使用量最大的用户之一,营销人员有责任确保自己对数据保护最佳实践有扎实的了解。特别是,我们需要掌握基础知识。在这篇短文中,我将确定营销领导者及其团队现在应该注意的一些关键领域。
专业提示:收听 Steven Roberts 在 DMI 播客上介绍的数据保护 101 。
快速变化的隐私生态系统
GDPR 在全球范围内引发了一系列类似的立法,中国、新加坡和南非等国家都出台了新的法律。
加州消费者隐私法案(CCPA)是美国一系列地方和州法律中最为著名的一部。该法案导致了国际数据隐私生态系统更加复杂。
在英国,英国政府正在考虑修订英国《通用数据保 亚洲手机号码清单 护条例》,目前正在制定新的数据法案(截至 2023 年 9 月)。与英国开展贸易的企业需要密切关注这一进展,尤其是如果它影响到欧盟和英国之间的充分性决定*。
- 数字市场法案(DMA)
- 《数字服务法案》(DSA)于 12 月在针对 X 的调查 建立联系的营销人员应考 中首次被援引。
- 制定人工智能法规。在 ChatGPT 等人工智能技术的范围和使用迅速扩张的时代,后者尤为紧迫。
目前,人们普遍认为现行的《电子隐私指令》已 警报新闻 不再适用,有关该指令的修订讨论也在进行中。所有这些立法都有可能影响在欧盟境内运营的营销人员的数据处理活动。有关《数字市场法》和《数字服务法》的更多信息,请访问Usercentric。
必须从一开始就纳入数据保护
据Chiefmartech.com称,目前有超过 11,000 个营销技术平台,而且这一数字还在逐年增长。其中许多技术都利用个人数据来更有效地接触和定位各种消费者受众。
营销人员在考虑新平台或任何涉及使用个人数据的新策略时,应确保从一开始就考虑到数据隐私。GDPR 的设计和默认数据保护原则是关键。遵守这一原则的最佳方法之一是进行所谓的数据保护影响评估 (DPIA)。
这涉及一个两步过程。首先,进行预先 DPIA,即提出一系列高层问题来评估项目是否有可能带来重大隐私风险。如果发现此类风险,则必须完成完整的 DPIA。此时,将对项目进行详细分析,包括与主要利益相关者进行磋商。如果隐私风险过高,这种方法可以重新调整项目,或采取缓解措施来降低风险水平。
对于营销人员来说,示例可能包括引入新的第一方数据策略或引入 CRM 平台。一般认为,最佳做法是,任何可能利用个人数据的新营销工具都应接受 DPIA 审查。
人工智能与数据隐私
人工智能 (AI) 平台越来越受到营销人员的欢迎,为自动网站聊天机器人等活动提供支持。ChatGPT 和其他大型语言模型 (LLM) 的引入为营销人员提高生产力提供了巨大的潜力。例如,作为内容营销策略的一部分,生成博客和文章。
考虑采用此类技术的营销人员必须意识到数据保护风险。 透明度是 GDPR 的一个关键原则。使用处理个人数据的 AI 工具的营销人员必须能够以清晰、简单的方式解释这些数据的使用方式。这是一个相当大的挑战,因为通常很难准确识别 AI 技术如何处理数据。
此外,GDPR 第 22 条赋予个人反对可能具有法律效力的自动化决策的权利。例如,“在没有任何人工干预的情况下自动拒绝在线信贷申请或电子招聘实践”。在这些情况下,他们有权在决策过程中获得人工干预。
为凸显使用人工智能可能引发的数据保护问题,谷歌在爱尔兰数据保护委员会 (DPC) 的干预下被要求推迟推出新的人工智能聊天机器人 Bard。委员会表示,这家科技巨头需要提供更多信息,说明如何保护欧盟公民的隐私权。随后,谷歌在欧盟推出了 Bard,DPC 称其进行了“一系列变革,尤其是提高了透明度并改变了用户控制方式”。
“数据合规是一个持续的过程。首要任务是做好基础工作。”
罚款增加和消费者意识增强
作为营销人员,我们是消费者的代言人,有责任保护我们公司的品牌和声誉。消费者对他们的数据保护权利有了更多的认识。这在很大程度上是由围绕巨额罚款的宣传推动的。
据律师事务所 DLA Piper 称,自 2022 年 1 月 28 日起的 12 个月内,欧盟监管机构开出了 16 亿欧元的罚款。这一趋势在 2023 年继续,最引人注目的是爱尔兰 DPC 对 Meta 开出了 12 亿欧元的罚款,原因是该公司在没有建立足够的数据保护机制的情况下将欧盟用户的个人数据传输到美国。
2023 年 4 月,英国信息专员办公室 (ICO) 因 TikTok 滥用儿童数据而对其处以 1270 万英镑罚款。欧盟紧随其后,并加大了罚款力度,2023 年 9 月,DPC对 TikTok 处以 2.96 亿英镑罚款,原因是其未能保护未成年用户并违反了 GDPR 规则。
与此同时,在美国,数据隐私问题出现了更多的政治立场,一些州试图在州一级禁止使用 TikTok,例如蒙大拿州,联邦贸易委员会的新领导层明显采取了更为严厉的措施,起诉亚马逊在未经同意的情况下将客户注册为 Prime 会员,而司法部于 2023 年 9 月对谷歌启动了具有里程碑意义的反垄断审判。在爱尔兰,政府和国家机构的工作人员必须从官方设备中删除 TikTok 应用程序;而英国和荷兰等司法管辖区也出台了限制措施。
值得注意的是,虽然广告技术和行为广告是 DPC 和其他监管机构的执法重点,但许多经济领域的企业都受到了处罚;尽管处罚程度不如科技公司那么令人震惊。
传输国际数据
国际数据传输给那些希望将个人数据转移出欧盟的公司带来了巨大的麻烦。这是数据隐私的一个方面,近年来发生了重大变化。2020 年 7 月,欧洲法院裁定现有的欧盟和美国之间数据传输的隐私护盾协议无效。自该裁决(称为Schrems II)以来,两个司法管辖区一直在寻求符合 GDPR 的替代机制。
欧盟于 7 月初批准了一项新的数据隐私框架。尽管受到欢迎,但该框架是否会像其前两部框架一样受到隐私倡导者的挑战仍有待观察。在此期间,公司不得不寻找替代方法,例如使用标准合同条款(称为 SCC)***。
对于与英国开展贸易的公司,英国政府已表示打算简化英国 GDPR 的某些方面,以减轻现行规则对企业的负担****。
如何了解数据隐私
许多营销人员都在努力跟上这种变化的速度,特别是中小企业的营销人员,他们可能无法获得与大型跨国公司的团队相同的资源。
值得提醒的是,数据合规是一个持续的过程。首要任务是做好基础工作。考虑到这一点,对于公司内任何有效的数据隐私文化来说,以下几个方面都至关重要:
1. 培训至关重要
培训必须定期进行,无论是对新员工还是现有员工。鉴于我们目前在许多营销岗位上看到的人员流失水平,以及合规领域的总体发展速度,培训尤为重要。一些专家估计,90% 的数据泄露都是人为错误造成的。培训对于抵消这种风险至关重要。