Craig Spiezle 和 David Fowler 談論可信數據和營銷

編者按：2015 年 9 月，Act-On 的數字合規和隱私主管 David Fowler 與在線信任聯盟的執行董事 Craig Spiezle 就信任在當今營銷中所扮演的角色進行了對話。 以下是經過編輯的那次談話的文字記錄。

DAVID FOWLER ：在過去的幾年裡，我們看到了大規模的在線安全漏洞，隨之而來的是數百萬人的個人損失。 我們還看到了數字營銷的爆炸式增長，這讓我們可以通過近乎實時的個性化來部分強調客戶體驗。 人們喜歡接受個性化營銷； 它確實提高了響應率。

該硬幣的另一面是，個性化是基於公司每天收集的客戶數據——因為由於公司為保護您的數據而採取或未採取的措施而導致您的個人數據被盜，這可能是您可能遇到的最糟糕的消費者體驗有。 在我們目前運營的這個數字 DNA 經濟中，這些東西緊密地聯繫在一起。

我們今天在這裡探討每個 CMO 和營銷副總裁在保持客戶數據安全和保持高信任度方面可以發揮的問題和作用。 我和在線信任聯盟的執行董事 Craig Spiezle 一起來的。 OTA 是一家非營利組織，其使命是增強在線信任，尤其是在隱私、安全、互動營銷和品牌管理的融合方面。 歡迎，克雷格。

CRAIG SPIEZLE ：當我們談論客戶參與時，無論是回復電子郵件、點擊廣告還是通過購物車完成交易，信任是所有這些互動的基礎。 更重要的是，缺乏信任會嚴重影響您的聲譽和底線。

戴維：克雷格，告訴我們更多關於 OTA 和組織起源的信息。

CRAIG ：該組織的起源是信任電子郵件的問題。

2005 年年中，我們試圖推進最佳實踐來解決垃圾郵件問題，包括偽造和欺騙電子郵件。 隨著我們的前進，我們以此為基礎進行類似的討論，主題是“我們可以信任一個網站嗎，它是否合法？” 我們可以相信廣告嗎？

我們得出的結論是，我們需要關注對客戶和消費者保護的尊重。 我們需要查看您正在與之交互的網站的安全性和隱私，您如何對待這些隱私。 這幾乎就像同一枚硬幣的兩個面。 我們需要長期看待這些事情。 今天的恐懼是，如果我們繼續運營並專注於最低要求合規性）而不關注管理，我們所知道的消費者信任將會受到損害，並極大地影響品牌和業務目標以及市場創新。

一切照舊是否應該包括預期的數據洩露？

戴維：讓我們從數據開始。 在數字營銷領域，這確實是大多數公司的起點：他們掌握的消費者數據以及他們如何對待這些數據。 因此，讓我們稍微談談數據洩露。 您認為這只是當今數字業務的一部分嗎？

CRAIG ：嗯，我們是一個數據驅動的社會和經濟體。 對於許多地方和人們來說，數據是一場新的淘金熱。 如果做得好，這對企業和消費者來說都是巨大的價值。 也就是說，與在狂野西部追逐驛馬車的犯罪分子不同，犯罪分子已經進化，他們也認識到這些數據具有很大的價值。

我認為我們需要認識到所有組織都將經歷數據洩露或數據丟失事件的可能性。 並認識到這一點，然後您將採取更好的步驟來幫助預防、幫助檢測並幫助減輕和補救其影響。 如果沒有意識到這一點，你就會措手不及。 我相信你會在聲譽和法律方面受到無法彌補的傷害。

如何保護您的買家（以及您的數字聲譽）

戴維：您能否詳細說明當今品牌可以採取哪些措施來保護其在當今市場上的數字聲譽？

CRAIG ：我想說這不僅適用於品牌，它適用於每個組織、服務提供商、品牌、競選活動，以及任何正在收集、持有或處理數據的人。

如果您關注數據的安全性，則有一些特定的基礎知識。 現實情況是，當我們實際調查它時——我們在過去五年中對此進行了研究，數據非常確鑿——95% 以上的數據丟失事件本可以避免。 如果簡單的事情都做了。 這包括簡單的補丁管理。 這包括簡單地使用現成的軟件來防止事情發生，以及限制和重新驗證用戶對系統的訪問。

所以我們把所有這些東西結合起來看。 因此，我們每年都會發布一份數據洩露準備指南。 我們還舉辦研討會。 目標是幫助企業了解導致大多數違規行為的那些簡單事情以及如何做出最佳響應。

不利的一面是認識到您將遭到破壞。 你需要做好準備。 這與在學校進行消防演習沒有什麼不同，作為一個組織，您需要製定計劃來解決違規和進行消防演習、如何響應以及通知受影響方的響應的每個要素，與那裡有執法、內部通信和相關領域。 同樣，它是關於預先預防，然後是如何溝通和解決它。

戴維：更進一步，如果您是在線零售商或定期與消費者互動的任何類型的組織，品牌可以做什麼？ 除了您提到的事情之外，我們還能做些什麼來進一步保護我們的消費者？

CRAIG ：首要任務之一是重新驗證您正在收集的數據的業務目的。 很多時候，當我們真正參與審查違規事件時，就會提出問題，例如“我們為什麼要首先收集這些數據？ 這些數據是否仍然與我們的業務相關？ 我們如何儲存它？” 這是一個簡單的想法：如果您不存儲它，就不會丟失它。 所以這是首先要考慮的事情之一。

另一個要素是重新驗證用戶訪問權限。 組織中通常發生的情況是某人的工作發生變化，但我們無法撤銷權限或對數據的訪問。 這並不是說他們是一個糟糕的員工；而是說他們是一個糟糕的員工。 這是關於減少風險或威脅足跡。 因此，如果 David 的電子郵件或 David 的密碼遭到洩露，它將限制暴露或風險。 可以把它想像成在建築物中放置防火牆。 有了防火牆，如果一間公寓發生火災，它不會蔓延到另一間。 同樣的事情是，如果您擁有廣泛的用戶權限，並且他們破壞了一個區域，那麼他們就可以破壞其他系統。 同樣，它是包含數據的模型，也是重新驗證用戶權限訪問的模型。

電子郵件作為攻擊媒介

戴維：讓我們換個話題，談談電子郵件身份驗證。 正如您之前提到的，這確實是 OTA 的起源。 而且我知道您在電子郵件身份驗證方面做了大量的外展和工作來支持和傳播該消息，沒有雙關語的意思。 您能否簡要介紹一下該行業在身份驗證採用方面的進展情況？

CRAIG ：我很感激這個機會，因為電子郵件最終是當今主要的攻擊媒介之一，如果不是主要的話。 欺騙和偽造電子郵件以說服用戶打開帶有惡意鏈接或惡意軟件的郵件以危害用戶設備然後執行破壞非常容易。

整個 Target 漏洞就是這樣發生的。 供應商收到一封郵件，打開它，他們的系統遭到破壞，他們可以訪問 Target 的其他系統，這就是這種多米諾骨牌效應。 這說明了驗證郵件的重要性，無論是在組織的入站端，還是對您的消費者或您要郵寄給的選民來說同樣重要。

電子郵件身份驗證的作用是幫助 ISP 或接收方驗證發件人是否有權代表域所有者發送郵件。 有多種技術協議或標準可以做到這一點，但它們是非常互補的。 SPF [允許的發件人] 和 DKIM [域密鑰識別郵件] 是主要的兩個，它們是非常互補的。 我一直認為它就像 Reese 的花生醬杯。 它們單獨使用時很好，但一起使用時效果會更好。 它們涵蓋彼此的用例或邊緣案例以幫助驗證身份驗證。

好消息是我們得到了很好的採用。 壞消息是它在子域之間不一致。 這是一個需要在公司內部更多地管理他們可能正在管理或委託給他人的所有子域的領域。 他們都是 100% 認證的嗎？ 一旦獲得可以進行身份驗證的保證，您就可以發布所謂的 DMARC [基於域的消息身份驗證、報告和一致性] 策略，這是另一種技術標準，為接收網絡或 ISP 提供有關如何處理消息的明確說明失敗的郵件。

因此，您將 SPF 和 DKIM 結合起來，再次對聲稱來自您的域的郵件進行身份驗證，並將 DMARC 向 ISP 提供策略斷言，您可以非常輕鬆地阻止大多數（如果不是全部）電子郵件欺騙嘗試。

也就是說，SPF 和 DKIM 已經有了很大的發展。 DMARC 目前在其採用過程中非常非常有限。 我們需要加倍努力推動該領域的採用。

戴維：如果你有記分卡或成績單，我們在這個行業中在實施身份驗證方面做得如何？

CRAIG ：我們確實有記分卡。 大衛，你可能知道，記得 OTA 每年都會發布我們稱之為在線信任審計的內容。 我們評估排名前 500 位的電子商務網站、排名前 100 位的銀行等。 例如，如果您查看排名前 500 位的電子商務網站，其中 78% 的網站同時採用 SPF 和 DKIM。 那太好了。 去年是 74%。 2012 年是 43%。 因此，自 2012 年以來，我們增長了 35%。因此，我們在領先零售商的採用方面取得了長足的進步。 銀行業略微滯後，為 63%，這令人擔憂，因為銀行接管之類的情況又如此之多。 這些是需要注意的關鍵領域。

DMARC 區域是一個更大的問題。 我們再次獲得了實施 SPF 和 DKIM 的基礎。 但只有 22% 的前 500 強零售商採用了 DMARC。 因此，我們還有很長的路要走，才能真正幫助提高電子郵件作為渠道的保護和完整性。

戴維：克雷格，我完全同意。 通過以某種形式發布身份驗證來建立您的數字聲譽顯然非常重要，因為這確實是開始發送任何類型電子郵件的第一個空間，不僅是商業郵件，當然還有公司郵件。  

隱私立法的現狀

讓我們稍微換檔。 我想談談一些隱私倡議，因為它們與美國和潛在的國際隱私倡議有關。 幾年來，州一級的書籍上已經有很多隱私立法在起作用。 顯然，加州是所有與州倡議相關的隱私問題的典型代表。

但是您是否在我們不久的將來看到任何形式的單邊國家隱私立法？ 如果是這樣，你知道那可能是什麼嗎？

CRAIG ：不幸的是，我對國家立法的熱情和樂觀態度並不高。 這非常令人失望，因為我認為商界實際上會從中受益。 但同樣，你有一些非常強大的說客組織，他們的觀點是沒有真正的傷害並克服它，所以不要推進它。 但最終合法企業想要知道，他們想要開發產品，他們想要創新。 我認為擁有一個通用的或至少是一個全國性的框架將使企業和消費者受益。

關於數據洩露立法的相同點。 您可能會認為，在我們與主要零售商發生的泰坦尼克式違規事件之後，就足以推動這一進程向前發展。 但是今天，我們有 47 個不同的州級別的數據洩露立法。 所以我們在這些領域面臨挑戰。 兩年前，奧巴馬總統在白宮提出了隱私權法案。 太棒了，我在那裡。 在 24 小時內，主要貿易團體表示他們不會支持它。 這是一個挑戰。 我認為行動呼籲是：讓我們看看這裡的長期利益，將隱私和消費者的隱私權視為一種資產，與環境沒有什麼不同。

我們需要審視這一點，因為如果我們繼續無視隱私，它可能會像有毒物質洩漏一樣，隨著時間的推移需要很長時間才能重建和恢復環境。 這就是我們今天在隱私方面面臨的挑戰。

戴維：在經歷了早期的 CAN-SPAM 立法、選擇加入與選擇退出以及圍繞該問題的辯論之後，很明顯我們正在沿著選擇加入的路線前進，直到一些遊說者在最後一刻介入。 現在我們有了必須遵守的退出法。 所以，是的，看到政府的車輪運轉很有趣。 顯然明年是選舉年，可能沒有興趣推動任何類型的充分的隱私立法，因為它與消費者的短期利益有關。

克雷格：我們剛剛發布的其中一件事是對 23 位總統候選人的審計。 令人難以置信的是，其中六個實際上沒有隱私政策，或者沒有涉及任何隱私基礎的政策。 想想這些候選人中的一個可能成為下一任美國總統，他們的競選活動和他們的員工真的沒有從消費者的角度關註消費者數據和隱私，這有點可怕。 這與我們前進有關。 因此，我們希望將球向前推進，提高這種意識，並提高消費者對他們經常訪問的網站應該考慮什麼的意識。

物聯網對隱私的影響

戴維：我們聽到了很多關於物聯網和那些類型的倡議。 您是否了解物聯網對隱私的影響？ 當物聯網成為主流時，我們作為企業需要開始考慮準備什麼？

CRAIG ：物聯網產生了大量的創新，大量的產品和服務被引入，但在整體上看待安全和隱私方面存在某種系統性的失敗。

我們開發了一個框架，我們稱之為信任物聯網框架，一個物聯網框架。 從長期影響的角度來看，這著眼於可持續性。 我的車庫門將如何更新或修補？ 我怎麼會知道？ 隨著時間的推移收集了哪些數據，如何通知消費者？ 無論是嬰兒監視器、家庭數字流媒體服務、車庫開門器還是可穿戴技術，這些設備都在收集大量數據。 我們是否真的在考慮這些數據是如何存儲的、如何傳輸的，以及隱私政策是什麼？ 我們知道電視製造商如何共享數據嗎？ 消費者是否具有選擇加入或退出的透明度和能力？

這就是我們今天的景觀。 從字面上看，每天都有成千上萬的設備問世。 正如我們提到的，從燈泡到嬰兒監視器，再到電器，應有盡有。 我們需要看看這個。 積極的一面是設備製造商正在尋找這種領導地位，這與沒有數據洩露立法的挑戰不同。 今天沒有立法，甚至沒有行為準則或最佳實踐。 在過去的八個月裡，OTA 召集了一個非常廣泛的利益相關者團體，共同幫助開發這個框架，以便我們能夠更好地理解和解決物聯網設備及其收集的數據的安全性、隱私和可持續性問題。

戴維：隨著萬物互聯和電網聯網，會出現大量問題。 我想像著家裡的冰箱壞掉了，咖啡機或烤麵包機都無法正常工作。 我想我必須回家檢查一下。 但是肯定有很多問題。

我們現在應該考慮什麼樣的額外數字威脅？ 這是一個很重要的問題，因為我們真的不知道。 但是，從您在數字生態系統中看到的趨勢來看，您認為會發生什麼？

CRAIG ：消費者正在實現巨大的利益。 我們正在從家裡的多台 PC 到閱讀器，再到移動設備。 這些設備一直伴隨著我們。 有時這很好，有時那很糟糕。 如果它能記住我在哪裡閱讀一篇文章，並且下次我在飛機上打開它時它會記住同樣的事情，那麼從一台設備到另一台設備跟踪消費者的能力可能會很棒。 跨設備跟踪有很多積極的方面。 與此相反的是它的其他使用方式——這可能不在消費者的期望範圍內。

我們今天有一個環境，​​我們有跟踪，我們有正在發生的面部識別技術，我們有無人機。 這有哪些隱私問題？ 我們談論您家中的隱私權，但是在頭頂飛行的無人機呢？這些數據是如何收集和使用的？ 作為政策制定者，作為商業領袖，我們需要關注這些領域，因為國家的力量是巨大的，但濫用的力量也同樣重要。

大衛：我完全同意你的看法。 我剛剛在家裡升級了電纜，新功能之一是我的帳戶信息。 計費，我所有的PI[個人信息]都顯示在我的電視上，這真的很令人驚訝，我昨天打開它時感覺受到了極大的侵犯。

保持匿名和隱私的困難

聽眾：我記得讀過一個關於協同過濾的故事，以及在你開始做出相當準確的預測之前真正需要多少數據點。 您會談及數據和隱私方面的問題嗎？

克雷格：嗯，當然。 一個很好的例子就是多年前與 AOL 的訴訟。 他們斷言他們基本上將所有信息都匿名化了，實際上並不需要太多的工作就可以說“等一下，這是一個人，他今年 42 歲，他頭上的鬍子不多，他有有英語口音，住在特定的郵政編碼區，以及所有這些東西。 突然之間，你以 99% 的準確率認出那是大衛·福勒。

我非常尊重某人的個人隱私，無論是他們的政治觀點，還是他們對當代問題的看法。 那些很快就會暴露出來。 這是令人沮喪的，因為從法律的角度來看，爭論是，“告訴我危害，我知道大衛的政治觀點或個人利益沒什麼大不了的。 那麼真正的危害是什麼？” 這是美國法律模式的問題。 這是一種基於危害的方法。 鑑於歐盟相信這項基本的隱私權。 安全港的垮台凸顯了這個問題。

令人難以置信的是，十年後的今天，我們還在談論一些相同的問題。 我認為有時我們如此關注負面因素，我一直在努力回到消費者今天獲得了巨大的價值。 挑戰在於我們達到了消費者失去信任的拐點。 我們已經看到了這一點。 人們回應； 使用廣告攔截器的人比以往任何時候都多。 為什麼？ 因為他們不信任廣告。 他們擔心他們無法控制的隱私慣例和投放的惡意廣告

戴維：這肯定是十年前討論過的； 這就是我們前進的方向：你不能相信電子郵件，你不能相信品牌，等等。顯然在這個領域它有點複雜，但當我們只關注電子郵件時，它是相同的對話。

克雷格：同樣，這是長期的。 我們使用了相當多的類比污染和環境。 很多人說，“好吧，只是一點點油流進了下水道，沒什麼大不了的，克服它。 這只是你的家庭住址，別人可以從其他地方得到它。”

但大數據和分析的強大之處在於能夠將所有這些數據附加到其他數據源； 看似孤立的信息像素變成了某人生活方式的非常全面的組合。 在正確的上下文中，這可能非常強大； 在錯誤的背景下，它可能會傷害某人及其教育、他們的就業機會或其他領域。 所以這些都是問題。

加入 OTA 的商業利益

大衛：你能不能談談一家公司如何通過加入 OTA 和你所代表的組織而受益？

CRAIG ：在線信任聯盟是一個慈善 501(c) (3) 組織。 忠於我們的使命，我們與廣泛的利益相關者合作，制定我們認為可以增強信任的原則和最佳實踐，但同樣重要的是，這些原則和最佳實踐表明了對自我監管的承諾。 我認為企業在這方面的各個方面都有很大的好處。 品牌受益，消費者受益，任何人最不想要的就是限制我們進步和創新能力的立法和法規。

公司確實在談判桌上佔有一席之地。 他們幫助塑造這個。 我們不僅在美國再次開展工作，我們還在國際上開展工作以解決這些問題。 當我們處理一個問題時，它不代表一家公司或一組公司，而是為了整個生態系統。 我們有像 Gap 和 Publisher's Clearinghouse、Target 這樣的公司、主要的警報公司、服務提供商以及像 Microsoft、Twitter 和其他公司這樣的公司。 我們能夠帶來這種思想領導力和知識庫，並推出我們的最​​佳實踐。 其他主要好處之一是公司相互學習。 點對點學習非常有效，我認為加入 OTA 確實有助於加速公司的業務規劃和業務目標。

戴維：我見證了團隊的發展，我個人和專業上都從知識共享中受益匪淺。 因此，我們當然感謝您給我們機會這樣做。 克雷格，我想再次感謝你的時間和你的見解。 我真的很感謝你參與談話。 我期待著再次與您聊天。

CRAIG ：謝謝，也感謝 Act-On 的領導，讓這成為可能，並在過去十年中支持我們的願景和努力。

通過 Act-On 的免費指南 - 歐盟數據保護概述，領先於數據保護法並了解歐盟的合規框架。