Craig Spiezle 和 David Fowler 谈论可信数据和营销

编者按：2015 年 9 月，Act-On 的数字合规和隐私主管 David Fowler 与在线信任联盟的执行董事 Craig Spiezle 就信任在当今营销中所扮演的角色进行了对话。 以下是经过编辑的那次谈话的文字记录。

DAVID FOWLER ：在过去的几年里，我们看到了大规模的在线安全漏洞，随之而来的是数百万人的个人损失。 我们还看到了数字营销的爆炸式增长，这让我们可以通过近乎实时的个性化来部分强调客户体验。 人们喜欢接受个性化营销； 它确实提高了响应率。

该硬币的另一面是，个性化是基于公司每天收集的客户数据——因为由于公司为保护您的数据而采取或未采取的措施而导致您的个人数据被盗，这可能是您可能遇到的最糟糕的消费者体验有。 在我们目前运营的这个数字 DNA 经济中，这些东西紧密地联系在一起。

我们今天在这里探讨每个 CMO 和营销副总裁在保持客户数据安全和保持高信任度方面可以发挥的问题和作用。 我和在线信任联盟的执行董事 Craig Spiezle 一起来的。 OTA 是一家非营利组织，其使命是增强在线信任，尤其是在隐私、安全、互动营销和品牌管理的融合方面。 欢迎，克雷格。

CRAIG SPIEZLE ：当我们谈论客户参与时，无论是回复电子邮件、点击广告还是通过购物车完成交易，信任是所有这些互动的基础。 更重要的是，缺乏信任会严重影响您的声誉和底线。

戴维：克雷格，告诉我们更多关于 OTA 和组织起源的信息。

CRAIG ：该组织的起源是信任电子邮件的问题。

2005 年年中，我们试图推进最佳实践来解决垃圾邮件问题，包括伪造和欺骗电子邮件。 随着我们的前进，我们以此为基础进行类似的讨论，主题是“我们可以信任一个网站吗，它是否合法？” 我们可以相信广告吗？

我们得出的结论是，我们需要关注对客户和消费者保护的尊重。 我们需要查看您正在与之交互的网站的安全性和隐私，您如何对待这些隐私。 这几乎就像同一枚硬币的两个面。 我们需要长期看待这些事情。 今天的恐惧是，如果我们继续运营并专注于最低要求合规性）而不关注管理，我们所知道的消费者信任将会受到损害，并极大地影响品牌和业务目标以及市场创新。

一切照旧是否应该包括预期的数据泄露？

戴维：让我们从数据开始。 在数字营销领域，这确实是大多数公司的起点：他们掌握的消费者数据以及他们如何对待这些数据。 因此，让我们稍微谈谈数据泄露。 您认为这只是当今数字业务的一部分吗？

CRAIG ：嗯，我们是一个数据驱动的社会和经济体。 对于许多地方和人们来说，数据是一场新的淘金热。 如果做得好，这对企业和消费者来说都是巨大的价值。 也就是说，与在狂野西部追逐驿马车的犯罪分子不同，犯罪分子已经进化，他们也认识到这些数据具有很大的价值。

我认为我们需要认识到所有组织都将经历数据泄露或数据丢失事件的可能性。 并认识到这一点，然后您将采取更好的步骤来帮助预防、帮助检测并帮助减轻和补救其影响。 如果没有意识到这一点，你就会措手不及。 我相信你会在声誉和法律方面受到无法弥补的伤害。

如何保护您的买家（以及您的数字声誉）

戴维：您能否详细说明当今品牌可以采取哪些措施来保护其在当今市场上的数字声誉？

CRAIG ：我想说这不仅适用于品牌，它适用于每个组织、服务提供商、品牌、竞选活动，以及任何正在收集、持有或处理数据的人。

如果您关注数据的安全性，则有一些特定的基础知识。 现实情况是，当我们实际调查它时——我们在过去五年中对此进行了研究，数据非常确凿——95% 以上的数据丢失事件本可以避免。 如果简单的事情都做了。 这包括简单的补丁管理。 这包括简单地使用现成的软件来防止事情发生，以及限制和重新验证用户对系统的访问。

所以我们把所有这些东西结合起来看。 因此，我们每年都会发布一份数据泄露准备指南。 我们还举办研讨会。 目标是帮助企业了解导致大多数违规行为的那些简单事情以及如何做出最佳响应。

不利的一面是认识到您将遭到破坏。 你需要做好准备。 这与在学校进行消防演习没有什么不同，作为一个组织，您需要制定计划来解决违规和进行消防演习、如何响应以及通知受影响方的响应的每个要素，与那里有执法、内部通信和相关领域。 同样，它是关于预先预防，然后是如何沟通和解决它。

戴维：更进一步，如果您是在线零售商或定期与消费者互动的任何类型的组织，品牌可以做什么？ 除了您提到的事情之外，我们还能做些什么来进一步保护我们的消费者？

CRAIG ：首要任务之一是重新验证您正在收集的数据的业务目的。 很多时候，当我们真正参与审查违规事件时，就会提出问题，例如“我们为什么要首先收集这些数据？ 这些数据是否仍然与我们的业务相关？ 我们如何储存它？” 这是一个简单的想法：如果您不存储它，就不会丢失它。 所以这是首先要考虑的事情之一。

另一个要素是重新验证用户访问权限。 组织中通常发生的情况是某人的工作发生变化，但我们无法撤销权限或对数据的访问。 这并不是说他们是一个糟糕的员工；而是说他们是一个糟糕的员工。 这是关于减少风险或威胁足迹。 因此，如果 David 的电子邮件或 David 的密码遭到泄露，它将限制暴露或风险。 可以把它想象成在建筑物中放置防火墙。 有了防火墙，如果一间公寓发生火灾，它不会蔓延到另一间。 同样的事情是，如果您拥有广泛的用户权限，并且他们破坏了一个区域，那么他们就可以破坏其他系统。 同样，它是包含数据的模型，也是重新验证用户权限访问的模型。

电子邮件作为攻击媒介

戴维：让我们换个话题，谈谈电子邮件身份验证。 正如您之前提到的，这确实是 OTA 的起源。 而且我知道您在电子邮件身份验证方面做了大量的外展和工作来支持和传播该消息，没有双关语的意思。 您能否简要介绍一下该行业在身份验证采用方面的进展情况？

CRAIG ：我很感激这个机会，因为电子邮件最终是当今主要的攻击媒介之一，如果不是主要的话。 欺骗和伪造电子邮件以说服用户打开带有恶意链接或恶意软件的邮件以危害用户设备然后执行破坏非常容易。

整个 Target 漏洞就是这样发生的。 供应商收到一封邮件，打开它，他们的系统遭到破坏，他们可以访问 Target 的其他系统，这就是这种多米诺骨牌效应。 这说明了验证邮件的重要性，无论是在组织的入站端，还是对您的消费者或您要邮寄给的选民来说同样重要。

电子邮件身份验证的作用是帮助 ISP 或接收方验证发件人是否有权代表域所有者发送邮件。 有多种技术协议或标准可以做到这一点，但它们是非常互补的。 SPF [允许的发件人] 和 DKIM [域密钥识别邮件] 是主要的两个，它们是非常互补的。 我一直认为它就像 Reese 的花生酱杯。 它们单独使用时很好，但一起使用时效果会更好。 它们涵盖彼此的用例或边缘案例以帮助验证身份验证。

好消息是我们得到了很好的采用。 坏消息是它在子域之间不一致。 这是一个需要在公司内部更多地管理他们可能正在管理或委托给他人的所有子域的领域。 他们都是 100% 认证的吗？ 一旦获得可以进行身份​​验证的保证，您就可以发布所谓的 DMARC [基于域的消息身份验证、报告和一致性] 策略，这是另一种技术标准，为接收网络或 ISP 提供有关如何处理消息的明确说明失败的邮件。

因此，您将 SPF 和 DKIM 结合起来，再次对声称来自您的域的邮件进行身份验证，并将 DMARC 向 ISP 提供策略断言，您可以非常轻松地阻止大多数（如果不是全部）电子邮件欺骗尝试。

也就是说，SPF 和 DKIM 已经有了很大的发展。 DMARC 目前在其采用过程中非常非常有限。 我们需要加倍努力推动该领域的采用。

戴维：如果你有记分卡或成绩单，我们在这个行业中在实施身份验证方面做得如何？

CRAIG ：我们确实有记分卡。 大卫，你可能知道，记得 OTA 每年都会发布我们称之为在线信任审计的内容。 我们评估排名前 500 位的电子商务网站、排名前 100 位的银行等。 例如，如果您查看排名前 500 位的电子商务网站，其中 78% 的网站同时采用 SPF 和 DKIM。 那太好了。 去年是 74%。 2012 年是 43%。 因此，自 2012 年以来，我们增长了 35%。因此，我们在领先零售商的采用方面取得了长足的进步。 银行业略微滞后，为 63%，这令人担忧，因为银行接管之类的情况又如此之多。 这些是需要注意的关键领域。

DMARC 区域是一个更大的问题。 我们再次获得了实施 SPF 和 DKIM 的基础。 但只有 22% 的前 500 强零售商采用了 DMARC。 因此，我们还有很长的路要走，才能真正帮助提高电子邮件作为渠道的保护和完整性。

戴维：克雷格，我完全同意。 通过以某种形式发布身份验证来建立您的数字声誉显然非常重要，因为这确实是开始发送任何类型电子邮件的第一个空间，不仅是商业邮件，当然还有公司邮件。  

隐私立法的现状

让我们稍微换档。 我想谈谈一些隐私倡议，因为它们与美国和潜在的国际隐私倡议有关。 几年来，州一级的书籍上已经有很多隐私立法在起作用。 显然，加州是所有与州倡议相关的隐私问题的典型代表。

但是您是否在我们不久的将来看到任何形式的单边国家隐私立法？ 如果是这样，你知道那可能是什么吗？

CRAIG ：不幸的是，我对国家立法的热情和乐观态度并不高。 这非常令人失望，因为我认为商界实际上会从中受益。 但同样，你有一些非常强大的说客组织，他们的观点是没有真正的伤害并克服它，所以不要推进它。 但最终合法企业想要知道，他们想要开发产品，他们想要创新。 我认为拥有一个通用的或至少是一个全国性的框架将使企业和消费者受益。

关于数据泄露立法的相同点。 您可能会认为，在我们与主要零售商发生的泰坦尼克式违规事件之后，就足以推动这一进程向前发展。 但是今天，我们有 47 个不同的州级别的数据泄露立法。 所以我们在这些领域面临挑战。 两年前，奥巴马总统在白宫提出了隐私权法案。 太棒了，我在那里。 在 24 小时内，主要贸易团体表示他们不会支持它。 这是一个挑战。 我认为行动呼吁是：让我们看看这里的长期利益，将隐私和消费者的隐私权视为一种资产，与环境没有什么不同。

我们需要审视这一点，因为如果我们继续无视隐私，它可能会像有毒物质泄漏一样，随着时间的推移需要很长时间才能重建和恢复环境。 这就是我们今天在隐私方面面临的挑战。

戴维：在经历了早期的 CAN-SPAM 立法、选择加入与选择退出以及围绕该问题的辩论之后，很明显我们正在沿着选择加入的路线前进，直到一些游说者在最后一刻介入。 现在我们有了必须遵守的退出法。 所以，是的，看到政府的车轮运转很有趣。 显然明年是选举年，可能没有兴趣推动任何类型的充分的隐私立法，因为它与消费者的短期利益有关。

克雷格：我们刚刚发布的其中一件事是对 23 位总统候选人的审计。 令人难以置信的是，其中六个实际上没有隐私政策，或者没有涉及任何隐私基础的政策。 想想这些候选人中的一个可能成为下一任美国总统，他们的竞选活动和他们的员工真的没有从消费者的角度关注消费者数据和隐私，这有点可怕。 这与我们前进有关。 因此，我们希望将球向前推进，提高这种意识，并提高消费者对他们经常访问的网站应该考虑什么的意识。

物联网对隐私的影响

戴维：我们听到了很多关于物联网和那些类型的倡议。 您是否了解物联网对隐私的影响？ 当物联网成为主流时，我们作为企业需要开始考虑准备什么？

CRAIG ：物联网产生了大量的创新，大量的产品和服务被引入，但在整体上看待安全和隐私方面存在某种系统性的失败。

我们开发了一个框架，我们称之为信任物联网框架，一个物联网框架。 从长期影响的角度来看，这着眼于可持续性。 我的车库门将如何更新或修补？ 我怎么会知道？ 随着时间的推移收集了哪些数据，如何通知消费者？ 无论是婴儿监视器、家庭数字流媒体服务、车库开门器还是可穿戴技术，这些设备都在收集大量数据。 我们是否真的在考虑这些数据是如何存储的、如何传输的，以及隐私政策是什么？ 我们知道电视制造商如何共享数据吗？ 消费者是否具有选择加入或退出的透明度和能力？

这就是我们今天的景观。 从字面上看，每天都有成千上万的设备问世。 正如我们提到的，从灯泡到婴儿监视器，再到电器，应有尽有。 我们需要看看这个。 积极的一面是设备制造商正在寻找这种领导地位，这与没有数据泄露立法的挑战不同。 今天没有立法，甚至没有行为准则或最佳实践。 在过去的八个月里，OTA 召集了一个非常广泛的利益相关者团体，共同帮助开发这个框架，以便我们能够更好地理解和解决物联网设备及其收集的数据的安全性、隐私和可持续性问题。

戴维：随着万物互联和电网联网，会出现大量问题。 我想象着家里的冰箱坏掉了，咖啡机或烤面包机都无法正常工作。 我想我必须回家检查一下。 但是肯定有很多问题。

我们现在应该考虑什么样的额外数字威胁？ 这是一个很重要的问题，因为我们真的不知道。 但是，从您在数字生态系统中看到的趋势来看，您认为会发生什么？

CRAIG ：消费者正在实现巨大的利益。 我们正在从家里的多台 PC 到阅读器，再到移动设备。 这些设备一直伴随着我们。 有时这很好，有时那很糟糕。 如果它能记住我在哪里阅读一篇文章，并且下次我在飞机上打开它时它会记住同样的事情，那么从一台设备到另一台设备跟踪消费者的能力可能会很棒。 跨设备跟踪有很多积极的方面。 与此相反的是它的其他使用方式——这可能不在消费者的期望范围内。

我们今天有一个环境，我们有跟踪，我们有正在发生的面部识别技术，我们有无人机。 这有哪些隐私问题？ 我们谈论您家中的隐私权，但是在头顶飞行的无人机呢？这些数据是如何收集和使用的？ 作为政策制定者，作为商业领袖，我们需要关注这些领域，因为国家的力量是巨大的，但滥用的力量也同样重要。

大卫：我完全同意你的看法。 我刚刚在家里升级了电缆，新功能之一是我的帐户信息。 计费，我所有的PI[个人信息]都显示在我的电视上，这真的很令人惊讶，我昨天打开它时感觉受到了极大的侵犯。

保持匿名和隐私的困难

听众：我记得读过一个关于协同过滤的故事，以及在你开始做出相当准确的预测之前真正需要多少数据点。 您会谈及数据和隐私方面的问题吗？

克雷格：嗯，当然。 一个很好的例子就是多年前与 AOL 的诉讼。 他们断言他们基本上将所有信息都匿名化了，实际上并不需要太多的工作就可以说“等一下，这是一个人，他今年 42 岁，他头上的胡子不多，他有有英语口音，住在特定的邮政编码区，以及所有这些东西。 突然之间，你以 99% 的准确率认出那是大卫·福勒。

我非常尊重某人的个人隐私，无论是他们的政治观点，还是他们对当代问题的看法。 那些很快就会暴露出来。 这是令人沮丧的，因为从法律的角度来看，争论是，“告诉我危害，我知道大卫的政治观点或个人利益没什么大不了的。 那么真正的危害是什么？” 这是美国法律模式的问题。 这是一种基于危害的方法。 鉴于欧盟相信这项基本的隐私权。 安全港的垮台凸显了这个问题。

令人难以置信的是，十年后的今天，我们还在谈论一些相同的问题。 我认为有时我们如此关注负面因素，我一直在努力回到消费者今天获得了巨大的价值。 挑战在于我们达到了消费者失去信任的拐点。 我们已经看到了这一点。 人们回应； 使用广告拦截器的人比以往任何时候都多。 为什么？ 因为他们不信任广告。 他们担心他们无法控制的隐私惯例和投放的恶意广告

戴维：这肯定是十年前讨论过的； 这就是我们前进的方向：你不能相信电子邮件，你不能相信品牌，等等。显然在这个领域它有点复杂，但当我们只关注电子邮件时，它是相同的对话。

克雷格：同样，这是长期的。 我们使用了相当多的类比污染和环境。 很多人说，“好吧，只是一点点油流进了下水道，没什么大不了的，克服它。 这只是你的家庭住址，别人可以从其他地方得到它。”

但大数据和分析的强大之处在于能够将所有这些数据附加到其他数据源； 看似孤立的信息像素变成了某人生活方式的非常全面的组合。 在正确的上下文中，这可能非常强大； 在错误的背景下，它可能会伤害某人及其教育、他们的就业机会或其他领域。 所以这些都是问题。

加入 OTA 的商业利益

大卫：你能不能谈谈一家公司如何通过加入 OTA 和你所代表的组织而受益？

CRAIG ：在线信任联盟是一个慈善 501(c) (3) 组织。 忠于我们的使命，我们与广泛的利益相关者合作，制定我们认为可以增强信任的原则和最佳实践，但同样重要的是，这些原则和最佳实践表明了对自我监管的承诺。 我认为企业在这方面的各个方面都有很大的好处。 品牌受益，消费者受益，任何人最不想要的就是限制我们进步和创新能力的立法和法规。

公司确实在谈判桌上占有一席之地。 他们帮助塑造这个。 我们不仅在美国再次开展工作，我们还在国际上开展工作以解决这些问题。 当我们处理一个问题时，它不代表一家公司或一组公司，而是为了整个生态系统。 我们有像 Gap 和 Publisher's Clearinghouse、Target 这样的公司、主要的警报公司、服务提供商以及像 Microsoft、Twitter 和其他公司这样的公司。 我们能够带来这种思想领导力和知识库，并推出我们的最佳实践。 其他主要好处之一是公司相互学习。 点对点学习非常有效，我认为加入 OTA 确实有助于加速公司的业务规划和业务目标。

戴维：我见证了团队的发展，我个人和专业上都从知识共享中受益匪浅。 因此，我们当然感谢您给我们机会这样做。 克雷格，我想再次感谢你的时间和你的见解。 我真的很感谢你参与谈话。 我期待着再次与您聊天。

CRAIG ：谢谢，也感谢 Act-On 的领导，让这成为可能，并在过去十年中支持我们的愿景和努力。

通过 Act-On 的免费指南 - 欧盟数据保护概述，领先于数据保护法并了解欧盟的合规框架。