Zwiększenie uczciwych praktyk informacyjnych

Opublikowany: 2015-06-10

W zeszłym tygodniu Facebook zorganizował [email protected], konferencję poświęconą prywatności, skupiającą się na wyjątkowym użytkowniku końcowym.

W dzisiejszych czasach program większości wydarzeń dotyczących prywatności prawie zawsze koncentruje się na niepewności prawnej lub regulacyjnej – czy dostaniemy prawo dotyczące prywatności w Stanach Zjednoczonych? Czy proponowane rozporządzenie UE kiedykolwiek zostanie uchwalone?

Trzeba przyznać Facebookowi, że [email protected] skupił się na tym, co firmy mogą lub powinny teraz robić w sprawie prywatności użytkowników końcowych, niezależnie od całej tej niepewności regulacyjnej. A podczas konferencji uzyskaliśmy przebłyski, w jaki sposób firmy nadal wprowadzają innowacje w zakresie uczciwych praktyk informacyjnych lub „FIPs” – powiadomienia, zgody, dostępu, bezpieczeństwa i egzekwowania.

FIPs_TUNE

Na przykład firmy produkujące samochody połączone z internetem nie dyskutują o tym, czy wprowadzić politykę prywatności; dyskusja przeniosła się raczej na to, jak powinny wyglądać informacje o prywatności, czy dźwięki lub ikony mogą odgrywać rolę w ożywianiu zasad tekstowych i co się stanie, jeśli ekran urządzenia jest albo bardzo mały, albo nie ma go wcale.

Jakie są FIP?

FIP są ważnymi elementami składowymi każdego programu ochrony prywatności. Po raz pierwszy zostały one wyartykułowane w 1973 r. w raporcie rządu USA zatytułowanym „Zapisy, komputery i prawa obywateli”. Po raz pierwszy jakikolwiek rządowy raport koncentrował się na skutkach „automatycznego przetwarzania danych” dla obywateli USA. Teraz, w erze post-Snowdena, wprowadzenie Caspara Weinbergera wydaje się niewiarygodnie prorocze, a nawet nieco złowrogie:

„Komputery połączone ze sobą za pomocą szybkich sieci telekomunikacyjnych mają stać się głównym medium do tworzenia, przechowywania i wykorzystywania zapisów o ludziach…”

FIP nigdy nie stały się podstawą ustawy o zbieraniu danych handlowych w USA (obecnie USA nadal nie ma takiego prawa), ale stanowiły podstawę wymagań określonych w kilku amerykańskich przepisach sektorowych, w tym w ustawie o ochronie prywatności z 1974 r., która zobowiązuje federalne władze rząd w celu ochrony danych osobowych zebranych od obywateli USA. Co ciekawe, większość dzisiejszych ram globalnych i ram ochrony danych zawiera i rozszerza FIP, np. prawo Unii Europejskiej dotyczące ochrony danych rozszerza „powiadomienie” o dwa dodatkowe wymagania – specyfikację celu i ograniczenie użytkowania.

Zwiększ swoje FIP!

Mając to na uwadze, czy powinieneś „podnieść swoje FIP”? Absolutnie. FTC formalnie przyjęła FIP w raporcie z 2000 r., a agencja nadal rozwija tę implementację, decydując o tym, jak oceniać szkody dla prywatności użytkowników końcowych. W związku z tym reklamodawcy aplikacji i marketerzy powinni być świadomi każdego FIP i sposobu ich implementacji w ramach produktu lub aplikacji, a także procesów zaplecza.

Uwaga – Bądź przejrzysty i upewnij się, że polityka prywatności zawiera „istotne” powiadomienie o gromadzeniu i wykorzystywaniu danych. Nie składaj obietnic, których nie dotrzymujesz. FTC wszczęła postępowanie przeciwko Snapchatowi na podstawie informacji o prywatności firmy i innych oświadczeń, w których stwierdzono, że wiadomości użytkowników „znikają” po określonym czasie. W rzeczywistości wiadomości były przechowywane w dziennikach Snapchata i mogły być dostępne dla aplikacji innych firm.

Zgoda – znana również jako wybór i kontrola. Uzyskanie zgody użytkownika końcowego na zbieranie i wykorzystywanie danych jest koniecznością – w tym uzyskanie wyraźnej zgody na zbieranie „wrażliwych” kategorii danych, takich jak dokładna lokalizacja urządzenia użytkownika końcowego.

Dostęp – Zapewnij sposób na zmianę, a nawet usunięcie danych, które posiadasz o użytkownikach końcowych. Obejmuje to honorowanie żądań rezygnacji użytkowników końcowych, jak pokazała nam FTC w swojej ostatniej akcji przeciwko technologiom Nomi, firmie zajmującej się śledzeniem handlu detalicznego, która nie rezygnowała z użytkowników końcowych na żądanie.

Bezpieczeństwo – Zabezpiecz wszystkie cenne dane osobowe odpowiednimi środkami organizacyjnymi i technicznymi, aby zapobiec nieautoryzowanemu dostępowi lub ujawnieniu. FTC wniosła pozwy przeciwko Credit Karma i Fandango za błędne przedstawienie praktyk bezpieczeństwa i niezabezpieczenie poufnych danych osobowych konsumentów.

Egzekwowanie – obejmuje to zarówno regulacje rządowe, jak i ramy samoregulacyjne i współregulacyjne, takie jak wytyczne mobilne Digital Advertising Alliance (DAA) lub kod Network Advertising Alliance (NAI). Ponadto ważne jest, aby nie przedstawiać błędnie lub nieprawdziwie swojego członkostwa w ramach regulacyjnych lub bezpiecznej przystani. Ta uwaga została ostatnio podniesiona przez FTC, która właśnie sfinalizowała dwa działania przeciwko firmom za błędne podanie ich statusu uczestnictwa w programie Safe Harbor UE-USA.

Zwróć uwagę na DAA, NAI i inne wymagania samoregulacyjne

Ten ostatni punkt jest szczególnie wart przemyślenia. W ciągu ostatnich dwóch miesięcy widzieliśmy dwa ważne ogłoszenia samoregulacji:

  • DAA rozpocznie egzekwowanie swoich wytycznych mobilnych DAA we wrześniu 2015 r. dla wszystkich podmiotów zaangażowanych w reklamę opartą na zainteresowaniach i gromadzenie danych z wielu aplikacji. Niniejsze wytyczne opierają się na zasadach samoregulacji DAA dotyczących internetowej reklamy behawioralnej lub „OBA”. Zasady DAA są ważnym programem samoregulacji i częściowo opierają się na zasadach OBA FTC Staff z 2009 roku.
  • NAI opublikowała wytyczne dotyczące korzystania z technologii nieopartych na plikach cookie (np. cyfrowe odciski palców), które opierają się na kodzie NAI. NAI dzieli firmy na strony pierwsze (które zbierają i wykorzystują dane w swoim imieniu) lub strony trzecie (firmy zajmujące się „reklamą krzyżową danych” lub „dostarczaniem i raportowaniem reklam” w imieniu innych firm).

Ważne jest, aby ustalić, czy wchodzisz w zakres jednego z tych programów samoregulacji. Na przykład DAA stwierdziła, że ​​jej zasady obejmują „ wszystkie firmy zaangażowane w [reklamę opartą na zainteresowaniach] oraz działalność związaną z gromadzeniem danych w wielu witrynach i aplikacjach do dozwolonego użytku”, niezależnie od tego, czy jesteś członkiem DAA, czy nie.

W zamknięciu…

To dobry moment, aby ponownie przyjrzeć się, w jaki sposób włączasz przepisy FIP do swojego programu ochrony prywatności i korzystania z aplikacji. Jak pokazały nam liczne działania FTC, uwzględnienie tych wymagań jest ważnym krokiem do spełnienia wymagań zgodności i wymogów prawnych. Ale FIP są również kluczowym elementem zapewniającym zaufanie — ponieważ pokazują użytkownikom końcowym, że szanujesz ich prawa do prywatności i jesteś godnym zaufania zarządcą ich danych osobowych.

A ponieważ coraz więcej firm nadal stosuje ten model przyjmowania praktyk opartych na wspólnych ramach, samoregulacja staje się bardziej realną alternatywą dla uchwalania wymogów prawnych. W przeciwieństwie do prawa, samoregulacja może dotrzymać kroku rozwijającej się technologii. Jest to więc podejście, na które powinny patrzeć innowacyjne firmy, aby zachować zgodność, ale także zachować innowacyjność.

Chcesz dowiedzieć się więcej o zwiększaniu FIP? W takim razie nie zapomnij wziąć udziału w warsztatach TUNE „FIPs for Apps” podczas Postbacku w tym roku.

Podoba Ci się ten artykuł? Zarejestruj się, aby otrzymywać e-maile z podsumowaniem naszego bloga.