Проблемы конфиденциальности клиентских данных в digital-маркетинге

В эпоху диджитал маркетинга проблема защиты личных данных стоит особенно остро. Например, принятый в США в 2018 году закон CLOUD Act поставил под угрозу конфиденциальность сведений, хранящихся у американских компаний независимо от их геолокации. Появление такого закона говорит о том, что правительство страны становится регулятором обмена цифровыми данными, и это не может не отразиться на бизнесе.

Сегодня поговорим о том, какие законы о защите конфиденциальных данных вступили в силу, и как на это реагируют компании.

Борьба за данные на государственном уровне

GDPR в ЕС

25 мая 2018 года вступил в силу General Data Protection Regulation (GDPR).

GDPR предоставляет гражданам и резидентам ЕС полный контроль над персональными данными. Даже если данные человека находятся в другой стране, он легко может их контролировать. В случае нарушения регламента ЕС вправе наложить штраф до 20 млн евро или взыскать 4% с общего дохода за предыдущий год.

Самые крупные штрафы за последние три года получили компании:

1. Google — 50 млн евро в 2019 году.

Пользователи жаловались, что компания не имела законного права обрабатывать их персональные данные с целью последующего показа рекламы. Позже выяснилось: люди не давали полного согласия на обработку, а там, где оно было получено, Google выражался неоднозначно.

2. Ритейлер одежды H&M — 35 млн евро в 2020 году.

H&M оштрафовали за нарушение частной жизни сотрудников. Менеджеры компании собирали информацию об отпусках и медицинских диагнозах работников, находящихся на больничном. Кроме того, даже фиксировались данные из личных разговоров. Собранная информация хранилась на серверах H&M, а доступ к ней имели не менее 50 менеджеров.

В октябре 2019 на сервере произошёл сбой, и информация о сотрудниках попала в открытый доступ, что и привлекло внимание регуляторов.

3. Amazon — 746 млн евро в 2021 году.

Компания Amazon получила гигантский штраф за сбор и передачу личных данных с помощью файлов cookie. Это уже не первый раз, когда компанию штрафуют за нарушение правил GDPR по защите данных.

Cloud Act в США

CLOUD Act вступил в силу 23 марта 2018 года и сразу же привлёк к себе внимание. Дело в том, что CLOUD Act нарушает баланс в защите данных. Как? Сейчас расскажем.

В 2020 году The Court of Justice of the European Union (CJEU) признал, что поставщики услуг из США не обеспечивают должной защитой личные данные лиц из других стран. CLOUD Act позволяет правоохранительным органам Соединенных Штатов через ордер, повестку в суд или судебное постановление требовать доступ к информации о гражданах или резидентов США у американских провайдеров, находящихся вне страны. При этом нет никакой гарантии, что запросы будут касаться только граждан Соединенных Штатов, а поставщики услуг в подобной ситуации встанут на сторону своих клиентов.

Особенно этот закон затронул General Data Protection Regulation (GDPR) или «Общий регламент по защите данных».

Независимый Европейский совет European Data Protection Board (EDPB) сделал вывод, что поставщики услуг из США, также подпадающие под действие EC GDPR, не могут юридически обосновать раскрытие и передачу персональных данных в США на основании ордера или другого судебного распоряжения. Отправка данных за пределы ЕС возможна только на основании Mutual Legal Assistance Treaty (MLAT).

Поэтому регламент ЕС и CLOUD Act противоречат друг другу, сталкиваясь со строгим правилом GDPR иметь веское юридическое основание для передачи данных.

Закон о защите данных в Китае

20 августа 2021 года в КНР в силу вступил Закон о защите персональных данных.

Теперь сетевые ресурсы обязаны предоставлять пользователям варианты автоматизированной обработки данных, которая обеспечивает конфиденциальность клиентов.

22 августа Народный банк Китая (Центробанк) оштрафовал четыре финансовых института страны на 11,53 млн юаней (1,77 млн долларов) за незаконный сбор персональных данных. Нарушения выявили у четырех банков: Банка почтовых сбережений, Банка Хуася, Банка коммуникаций и Промышленного банка Китая.

Борьба за данные в digital-сфере

В 2020 году Google ограничил Third-Party Cookies в Chrome через директиву SiteName

Google в начале февраля 2020 выпустил версию Chrome v80, поддерживающую блокировку сторонних файлов cookie (под названием SameSite cookie). Эта функция не будет полностью развернута для всех пользователей Chrome до 2022 года.

Спустя год, 3 марта 2021 года Дэвид Темкин выступил с заявлением, что после прекращения использования сторонних файлов cookie Google не станет создавать альтернативные идентификаторы для отслеживания людей, просматривающих веб-страницы. Компания работает в рамках Privacy Sandbox, то есть создаёт продукт, который одновременно защищает конфиденциальность людей в интернете и предоставляет разработчикам инструменты для создания процветающего бизнеса в диджитал-среде.

С 24 марта 2020 года Apple блокирует установку Third-Party Cookies

24 марта 2020 года компания Apple выпустила обновление системы конфиденциальности Intelligent Tracking Prevention (ITP) для браузера Safari 13.1. Теперь браузер по умолчанию блокирует все сторонние файлы cookie. Это значит, что рекламодатели и аналитические компании не могут использовать сторонние cookie-файлы для отслеживания активности пользователей в интернете.

С одной стороны, это большой шаг в сторону конфиденциальности пользователей, с другой — без анализа активности пользователей в интернете компаниям станет сложно предлагать покупателям актуальные товары и услуги.

С 26 апреля 2021 года Apple в iOS 15 запрашивает у клиентов разрешение на трекинг

26 апреля 2021 года Apple представила новую версию iOS (14.5), в которой запретила приложениям на базе iOS прямой доступ к IDFA (The Identifier for Advertisers — идентификатор для рекламы). Теперь приложения обязаны запрашивать подтверждение, а люди самостоятельно решат, использовать IDFA или нет.

Таким образом, Apple сломал действующую систему рекламного трафика. Если пользователь отказывается применять идентификатор, это ведёт к снижению качества атрибуции мобильного трафика и росту стоимости привлечения пользователей.

Apple предложила рынку альтернативу — свою privacy-safe систему атрибуции трафика. Она разрешает добавить информацию об установках в рекламные сети, но при этом не раскрывает информацию о посетителе в явном виде. Поэтому возможности системы сильно ограничены и не закрывают основные потребности маркетологов.

Главная проблема системы состоит в том, что у разработчиков и рекламных систем не будет данных на уровне пользователей. Данные будут только в агрегированном виде в рекламном кабинете.

Мировой тренд на Privacy First

Большие данные популярны в организациях, ведь они обещают улучшение операций и новые возможности для бизнеса.

Больше данных о клиенте — больше продаж.

Что нам дают данные о клиенте:

• получение новых инсайтов;
• улучшение своего продукта;
• понимание своей аудитории;
• налаживание доверительного общения с клиентами;
• совершенствование маркетинговых стратегий;
• глубокая персонализация предложений;
• увеличение конверсии и продаж.

В то же время большие данные легче подвергаются утечке, что в свою очередь ставит под угрозу конфиденциальность людей и нарушает законы о защите данных.

Сегодня пользователи стали обеспокоены сохранностью личной информации. Они всё чаще задают компаниям вопросы о конфиденциальности данных. Компании реагируют на это, закрывая доступ к клиентским данным на своих платформах.

При Privacy First подходе на первое место выходит приватность пользователя. Это значит, что компании больше не собирают ненужные персональные данные о своих покупателях.

Например, приобретая куртку в интернет-магазине, не нужно вводить паспортные данные или место рождения, но данные дебетовой или кредитной карты необходимы. Когда вы регистрируетесь на вебинар, от вас не должны требовать место работы, если только это не вебинар по вашей специальности и организаторам нужно учитывать должность посетителей.

Заключение

Итак, как вы могли заметить, сегодня борьба за данные вышла на государственный уровень: GDPR в ЕС, Cloud Act в США, Закон о защите данных в Китае, а закрытие экосистем может полностью монополизировать рынок клиентских данных.

Это говорит о том, что в сложившейся ситуации появилось одно верное решение: строить независимую систему сбора и управления клиентскими данными для прямых и защищенных коммуникаций с клиентами в цифровой среде. Подробнее об этом решении мы поговорим в статье, которая выйдет на следующей неделе.