Cara yang baik untuk mengurangi risiko bagi pengguna adalah dengan tidak menyimpan data sensitif tentang mereka yang tidak Anda perlukan yang memengaruhi privasi mereka. Ada sejumlah cara yang mengejutkan untuk melakukan hal ini sambil tetap memenuhi sasaran bisnis Anda, dan sebaiknya pertimbangkan masing-masing cara tersebut. Anda mungkin:
- Jelaskan untuk apa data tersebut Anda butuhkan.
- Kumpulkan data pada perincian yang lebih rendah.
- Hapus data setelah digunakan.
- Tidak mengumpulkannya terlebih dahulu.
Masing-masing pendekatan ini dapat membantu pengguna merasa lebih nyaman dengan apa yang Anda lakukan dan alasannya, dan ini sangat berkontribusi hubungan Anda dengan mereka. Transparansi membangun kepercayaan, dan yang penting, kepercayaan dapat menjadi nilai jual yang unik bagi Anda. Banyak orang berasumsi bahwa pengguna dan pelanggan memercayai mereka secara default, tetapi konsumen terus mengevaluasi produk dan layanan dan hal ini mungkin tidak seperti itu. Jika Anda membangun hubungan dengan pengguna di mana mereka memercayai Anda untuk menangani data dan interaksi Anda dalam kaitannya dengan proyek, hal itu dapat memberikan keunggulan kompetitif bagi Anda sebagai proyek atau bisnis: ini adalah sesuatu yang mungkin berbeda, pembeda yang sesungguhnya.
Mari kita uraikan pendekatan di atas, dalam urutan yang paling efektif (tetapi juga paling berdampak pada bisnis Anda) hingga yang paling tidak efektif tetapi tidak terlalu mengganggu implementasinya.
Jangan mengumpulkannya terlebih dahulu.
Cara yang paling jelas agar Anda tidak membahayakan data adalah jangan mengumpulkannya. Pengumpulan data diperlukan untuk menyediakan layanan, tetapi ada lebih banyak tempat di mana Anda dapat menghindari pengumpulan data daripada yang Anda pikirkan. Pertimbangkan, misalnya, checkout tanpa login. Saat pengguna membeli sesuatu menggunakan aplikasi web, Anda mungkin mengharuskan mereka mendaftar untuk mendapat akun, karena Anda telah menangkap detail pribadi untuk pemenuhan berikutnya: mereka dapat ditambahkan ke milis, mereka sudah memenuhi syarat sebagai pelanggan yang tertarik, dan seterusnya. Namun, pelanggan mengenalinya dan tidak menyukainya: pada tahun 2021, sebuah studi menemukan bahwa satu dari empat penjualan yang ditinggalkan disebabkan situs meminta pengguna untuk membuat akun. Jika Anda tidak memerlukan akun, kemungkinan besar Anda mempertahankan pelanggan tersebut. Memungkinkan untuk menyelesaikan pembelian tanpa mendaftar memberi pilihan pengguna yang lebih baik dan juga berarti Anda tidak memiliki banyak data mereka untuk dilindungi dan diamankan.
"Bulu" data Anda
Tentu saja, menghindari pengumpulan data sama sekali tidak dapat dilakukan. Penting untuk mengumpulkan data guna menyediakan layanan dan memastikan keputusan bisnis yang masuk akal. Membangun komunikasi pemasaran dalam konteks hubungan saling percaya juga dapat membantu. Namun, penting juga untuk menyadari bahwa keputusan yang dibuat secara agregat (yaitu, yang memengaruhi banyak pengguna sekaligus) tentang data secara agregat (yaitu, tentang properti kolektif dari data).
Misalnya, terkadang ada gunanya mengetahui demografi audiens Anda: mereka termasuk dalam kelompok usia mana, lokasi, dan sebagainya. Hal ini dapat mengubah pesan atau pendekatan Anda. Namun, bukan berarti Anda harus mengumpulkan usia untuk setiap pengguna layanan Anda. Yang sering Anda cari adalah tren dan properti keseluruhan. Jika keputusan yang Anda inginkan jangkauan dipengaruhi oleh apakah sebagian besar audiens Anda berada di "demografi utama berusia 18-34 tahun", maka satu-satunya pertanyaan yang benar-benar Anda butuhkan ditanyakan adalah apakah pengguna berada dalam demografi itu. Tindakan ini akan mengumpulkan data ke dalam dua "bucket": dalam grup itu dan bukan di grup itu. Mungkin ada situasi di mana Anda membutuhkan data yang lebih terperinci, tetapi cukup masuk akal untuk mengambil daftar demografi untuk membuat keputusan dan meminta pengguna untuk mengklasifikasikan diri mereka berdasarkan daftar tersebut.
Contoh
Jadi, jika itu berguna untuk mengetahui bagaimana basis pengguna Anda terbagi antara kategori usia "18-34", "35-49", "49-64", dan "65+", maka Anda dapat meminta pengguna untuk memilih mereka masuk ke dalam kategori yang mana. Anda mungkin ingin meminta data yang sangat terperinci, data pribadi dan data yang dipersonalisasi, lalu mengklasifikasikan sendiri pengguna Anda, karena ini menghindari keharusan untuk mengajukan pertanyaan yang sama nanti secara lebih detail; misalnya, untuk menanyakan usia dan tanggal lahir yang tepat, lalu menggunakannya untuk membuat daftar Anda sendiri tentang cara banyak pengguna berada di "35-49" kategori. Tetapi penting untuk menyadari bagaimana hal ini terlihat: karena materi ini sudah membahas dan kita bahas lagi, meminta data terperinci dapat membuat orang merasa tidak nyaman dan mengurangi kepercayaan pengguna pada organisasi Anda, sembari menambahkan risiko.
Penting juga untuk mempertimbangkan kebutuhan data Anda. Terkadang, "kebutuhan" untuk data yang lebih terperinci bersifat spekulatif, "untuk berjaga-jaga" persyaratan. Mungkin sekarang kita hanya perlu mengklasifikasikan pengguna ke dalam empat kelompok usia tersebut, tetapi di masa depan kita mungkin ingin mempersempitnya, dan oleh karena itu kita harus mengumpulkan data yang sangat rinci agar opsi itu tetap terbuka untuk nanti. Hal ini mungkin bermanfaat mempertimbangkan seberapa sering data yang lebih terperinci benar-benar digunakan di masa lalu untuk memandu keputusan. Meminta data yang dianggap invasif dibandingkan dengan layanan yang ditawarkan tentu saja mengakibatkan penurunan seberapa besar organisasi/pengaturan. Jika data itu dikumpulkan untuk alasan "untuk berjaga-jaga", maka Anda tidak hanya menghilangkan kepercayaan pengguna untuk meningkatkan keputusan bisnis tetapi menukarnya hanya untuk kemungkinan beberapa keputusan teoretis di masa depan yang mungkin bahkan tidak ada, sambil mengambil persyaratan keamanan untuk informasi itu.
Ada juga cara algoritma yang lebih terperinci untuk mengurangi perincian data yang dikumpulkan. Metode respons acak berarti bahwa data dikumpulkan dengan tingkat ketidakakuratan yang dapat disesuaikan, dan ini telah digunakan selama beberapa dekade di dunia sosial ketika mengumpulkan data yang berpotensi invasif atau sensitif dengan tetap menjaga kerahasiaan responden. Tujuan pengumpulan data di atas melibatkan perluasan jawaban pengguna (jadi “berapa usia Anda” menjadi "Anda termasuk dalam kelompok usia mana berikut ini"), di mana respons acak melibatkan proporsi tertentu pengguna berbohong tentang jawaban mereka. Jika proporsi pengguna yang merespons secara tidak benar diketahui, maka kesimpulan yang berarti masih dapat diambil dari data yang dikumpulkan, tetapi privasi pengguna individu tidak dikompromikan karena data yang mereka kumpulkan salah. Dalam hal ini, jika 80% audiens Anda masih menyatakan bahwa mereka termasuk dalam demografi 18-34 tahun, Anda dapat relatif yakin bahwa ini masih menjadi bagian terbesar, walaupun 10% dari mereka sengaja memberikan jawaban yang salah. Tingkat kesalahan juga dapat diubah secara terprogram, di mana jawaban yang benar selalu diminta tetapi perangkat lunak mengubah persentase jawaban tertentu sebelum transmisi. Proses ini dan konsekuensinya juga dapat dijelaskan kepada pengguna saat data dikumpulkan: itu berarti pengguna tidak harus percaya bahwa Anda tidak akan menyalahgunakan mengumpulkan data, karena setiap data tidak dapat diandalkan.
Proses serupa, tetapi lebih terlibat secara teknis adalah privasi diferensial. Ini menggunakan teknik matematis untuk mengubah penyimpanan data sehingga properti gabungan data masih ada, tetapi kita tidak dapat mengetahui apakah individu tertentu bahkan memberikan data, atau data mana yang diberikan. Seperti respons acak, hal ini melindungi keamanan data bahkan dari Anda dan menunjukkan niat yang jelas dari Anda: Anda tidak dapat menggunakan data jika Anda tidak memiliki data tersebut.
Pendekatan ini dan pendekatan serupa juga memberikan peningkatan keamanan terhadap pelanggaran dan kebocoran data, karena data yang dikumpulkan mengurangi penyusupan privasi pengguna, bahkan bagi Anda, dan juga akan mengurangi tingkat penyusupan jika data bocor. Namun demikian, ingatlah bahwa jika Anda menerapkan teknik privasi diferensial pada server (sehingga pengguna mengirim data yang terpisah dan kemudian menggunakan teknik untuk menggabungkannya), Anda masih perlu mengamankan data pengguna mentah itu dan lalu menghapusnya setelah pemrosesan, dan harus memiliki serta mengikuti kebijakan yang jelas untuk mengonfirmasi bahwa Anda tidak menggunakannya sebelum agregasi (atau memperjelas tujuan Anda menggunakannya).
Retensi: mengumpulkan data lalu menghapusnya setelah digunakan
Penting untuk diingat bahwa data yang dikumpulkan memiliki siklus hidup; data dikumpulkan, dan digunakan untuk membantu Anda membuat keputusan bisnis, dan pada suatu saat, data itu harus dihapus. Ini adalah, sekali lagi, kompromi: ketika Anda mengajukan pertanyaan kepada pengguna, atau Anda Anda menyimpan informasi tentang situs web lain yang mereka kunjungi, atau melacak hal-hal yang mereka lihat dan durasinya secara berurutan membuat prediksi tentang preferensi mereka, ini adalah data yang diberikan kepada Anda untuk tujuan tertentu-bukan hibah terbuka untuk digunakan pengembang sesuai kebutuhan. Ketika data tersebut tidak lagi diperlukan untuk tujuan tersebut-terkadang setelah satu menit, terkadang setelah bertahun-tahun- konten tersebut harus dihapus.
Setiap kali Anda mengumpulkan informasi tentang pengguna Anda, Anda harus tahu untuk apa Anda menggunakan data tersebut (lihat di bawah) dan Anda harus juga mengetahui kapan dan mengapa Anda akan berhenti menyimpan data tersebut. Hal ini mungkin terjadi ketika pengguna memilih untuk menghapusnya, atau saat mereka login setelah jangka waktu tertentu, atau setelah peristiwa tertentu terjadi. Cara terbaik untuk membangun kepercayaan dalam hubungan adalah menjelaskan kepada pengguna cara mengontrol data tentang diri mereka, termasuk, jika memungkinkan, ketidakikutsertaan sepihak. Bagaimana cara mereka menghapus data mereka? Bagaimana cara mereka menghapus akun mereka? Selain membantu membangun hubungan itu, sebaiknya menyimpan data selama Anda perlu memprosesnya dan tidak lebih lama, dan harus ada cara bagi pengguna untuk melihat dan menghapus data yang Anda kumpulkan dari mereka atau atas nama mereka. Bahkan mungkin ada undang-undang tentang hal ini di wilayah yang Anda operasikan.
Ini adalah area di mana Anda dapat menentukan sasaran teknis yang jelas, yang membantu pengguna dengan layanan mandiri; jika pengguna Anda dapat memilih untuk tidak data warehouse Anda tanpa harus meminta izin, maka mereka akan merasa jauh lebih nyaman untuk memilih ikut serta, dan juga mengambil sumber daya dukungan untuk melakukannya.
Penting untuk memahami pentingnya kemudahan dan ketidakikutsertaan default: "Untuk membangun kepercayaan dan pengakuan, perusahaan dapat memulai dengan menyetujui kontrak sosial di mana mereka berkomitmen untuk menghormati audiens mereka di setiap poin kontak, mendengarkan kebutuhan mereka, dan merespons dengan sesuai", menyatakan IAPP. Nielsen Norman Group mengatakan bahwa pengguna "memerlukan visibilitas yang 'keluar darurat' meninggalkan tindakan yang tidak diinginkan tanpa harus melalui proses yang diperpanjang". Semua orang menyadari bahwa komunikasi adalah lebih mudah untuk berlangganan daripada berhenti berlangganan. Tetapi, seperti yang dikatakan Nielsen Norman, memberi pengguna kemampuan untuk pergi tanpa harus melewati rintangan, "membangun rasa kebebasan dan kepercayaan diri". Studi akademis mendukung hal ini dan menyebutnya sebagai "prinsip pencabutan izin", yang menyatakan: "Antarmuka harus memungkinkan pengguna dengan mudah mencabut otoritas yang telah diberikan pengguna di mana pun pencabutan masih memungkinkan. Pengguna harus dapat mencabut izin tersebut sehingga mengurangi otoritas untuk mengakses resource mereka jika memungkinkan." (Lihat Yee dan Iacono untuk mengetahui contohnya.)
Berapa lama data disimpan, dan data mana yang disimpan, adalah subjek yang sangat berbeda antara organisasi dan antar proyek, tetapi ada beberapa pedoman umum untuk dipertimbangkan.
Anjuran
Hal ini berguna untuk mengizinkan pengguna menghapus akun (dan data terkait, jika memungkinkan) dan secara rutin (misalnya, saat logout) menghapus data yang disimpan secara lokal dan sementara saat logout dengan header Clear-Site-Data.
Sediakan header Clear-Site-Data untuk menghapus sebagian atau semua data pengguna yang telah disimpan di sisi klien (baik dalam cookie,
localStorage atau tensorflow, atau di cache browser), jika wajar. Kasus penggunaan yang jelas untuk
Clear-Site-Data adalah ketika pengguna
logout, tetapi juga dapat digunakan setelah insiden keamanan untuk memastikan bahwa akun yang berpotensi disusupi tidak memiliki jejak yang masih ada
data yang disusupi yang
disimpan di klien.
Menambahkan dukungan untuk Clear-Site-Data melibatkan pengiriman header HTTP, Clear-Site-Data, saat pengguna logout (atau di
kapan Anda ingin menghapus penyimpanan sisi klien), di halaman yang mengonfirmasi status logout (https://your-site/logout
atau yang serupa). Header ini dapat memiliki beberapa atau semua nilai berikut, atau "*" untuk semua:
Clear-Site-Data: "cache", "cookies", "storage"
Masing-masing nilai ini menghapus halaman yang di-cache (dan resource yang di-cache HTTP lainnya), cookie yang disimpan, serta localStorage, dan IndexedDB dan yang serupa.
Anda mungkin melihat referensi ke opsi lainnya, executionContexts, tetapi tidak didukung oleh banyak browser.
Perhatikan bahwa menggunakan header Clear-Site-Data kemungkinan akan lebih mudah daripada menghapus sendiri semua resource yang dibuat satu per satu, karena tidak memerlukan kode JavaScript untuk
berjalan di klien (dan ini adalah satu-satunya cara resmi untuk menghapus cache browser), tetapi tidak didukung oleh semua browser.
Catatan penggunaan: Jika Anda menghapus cache (dengan mengirim Clear-Site-Data: cache), header Clear-Site-Data tidak boleh
dikirim pada halaman logout yang sebenarnya, tetapi di beberapa resource lain, halaman akan dimuat. Hal ini terjadi karena komputer yang lebih lambat
dengan cache yang besar, halaman akan diblokir saat mengosongkan cache dan hal ini mencegah navigasi. Ini bisa memakan waktu beberapa menit,
yang akan membuat pengguna frustasi. Hal ini tidak mungkin terjadi, tetapi sulit diuji, dan oleh karena itu, praktik terbaik adalah mengingat hal ini.
Jelaskan data yang Anda butuhkan
Pentingnya kepercayaan terhadap pengguna hubungan dengan layanan Anda telah dinyatakan berulang kali, karena meningkatkan umur pengguna. Hal ini juga memberikan keunggulan kompetitif. Salah satu cara untuk meningkatkan tingkat kepercayaan adalah dengan transparansi dalam proses Anda, dan cara yang baik untuk bersikap transparan adalah dengan menjelaskan data yang Anda inginkan. Anda telah belajar sebelumnya bahwa untuk setiap hal yang dikumpulkan, Anda harus tahu kapan hal tersebut akan dihapus. Untuk mengetahui hal itu, Anda perlu tahu mengapa Anda menginginkan data ini, pertanyaan spesifik mana yang membutuhkannya dalam untuk menemukan jawaban, dan keputusan mana yang akan dipandu dengan cara mengumpulkannya. Setelah Anda tahu mengapa Anda membutuhkan data ini, maka Anda telah menanyakan menyerah, membangun kepercayaan dengan menjelaskannya kepada pengguna tersebut. Dalam kebijakan privasi Anda, atau saat mengajukan pertanyaan tentang akun pembuatan konten, jelaskan mengapa Anda memerlukan jawaban untuk pertanyaan khusus ini, apa yang akan Anda lakukan dengan data tersebut, serta kapan dan bagaimana data dapat dihapus.
Penjelasan ini jauh lebih terlihat saat ditampilkan secara inline. Mengubur penjelasan dalam dokumen kebijakan yang padat di tempat lain di situs tampak seperti upaya untuk menyembunyikannya. Formulir pendaftaran, checkout, atau permintaan dapat menunjukkan alasan untuk mengumpulkan data bersamaan dengan pengumpulan data. itu sendiri. Sering kali, bidang formulir memiliki tanda bintang (*) untuk menunjukkan bahwa bidang wajib diisi; formulir yang rumit sering kali memiliki tautan informasi (i) untuk menjelaskan apa arti bidang tersebut. Pertimbangkan untuk menambahkan penjelasan tentang mengapa data dikumpulkan. A Sering yang digunakan untuk ini adalah "Mengapa kita memerlukan ini?" di samping kolom formulir, yang saat diklik akan menampilkan penjelasan pop-up.
Beberapa contoh HTML mungkin terlihat seperti berikut, kemudian CSS dan JavaScript akan menyembunyikan <aside> dan menampilkannya sebagai pop-up saat
tautan diklik. (Pastikan untuk mengonfirmasi aksesibilitas formulir yang Anda buat untuk situs!)
Cara tepatnya menyusunnya bergantung pada gaya dan pendekatan Anda, tetapi poin utamanya adalah mengaitkan pengumpulan data secara langsung dengan
penjelasan mengapa data
itu dikumpulkan. Ini tidak diperlukan untuk setiap kolom. Tidak ada yang membutuhkan penjelasan
mengapa Anda mengharuskan mereka
pilih sandi saat mendaftar. Tetapi mendekorasi setiap permintaan untuk informasi pribadi dan kontak dengan bagaimana Anda berencana untuk menggunakannya dan menyimpannya dapat membantu
menjelaskan kepada pengguna bahwa Anda berinvestasi dalam melindungi data mereka.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Melakukan proses ini dengan semua yang Anda kumpulkan tentang pengguna juga dapat membantu proses dan diskusi internal. Sebelumnya, Anda melihat bagaimana mungkin ada godaan untuk mengumpulkan data "untuk berjaga-jaga". Jika Anda bersikap transparan tentang alasan Anda untuk mengumpulkan, dapat terlihat jelas bahwa hal ini sedang terjadi. Jika Anda enggan untuk menuliskan apa yang ingin Anda ada hubungannya dengan data pengguna, karena pengguna tersebut tidak akan menyukai penjelasannya, hal ini mungkin merupakan tanda bahwa perlu dipertimbangkan kembali untuk mengumpulkannya. anotasi. Hal ini berlaku jika penjelasan yang tidak menyenangkan terlalu mengganggu ("kami akan menggunakannya untuk melacak tempat yang Anda kunjungi setiap jam"), terlalu luas ("kita tidak tahu untuk apa kita akan menggunakannya, tetapi kita menginginkannya jika kita memikirkan sesuatu untuk itu"), atau terlalu mengelak dari tindakan tersebut. ("kami akan menggunakannya untuk tujuan internal yang tidak diungkapkan"). Ini bukan hanya pertanyaan tentang moralitas; orang cukup cerdas untuk mengenali hal ini, seperti yang telah dijelaskan, dan ada harapan pengguna bahwa bereksperimen dengan sesuatu bukanlah awal dari komitmen jangka panjang. Adalah hal umum dalam desain pengalaman pengguna untuk membuat proses pendaftaran jadi bebas hambatan dan semudah mungkin, karena pada tahap awal, pengguna (menurut definisi) tidak terlalu banyak berinvestasi dalam layanan Anda, sehingga penting untuk memungkinkan mereka menjadi lebih mudah berinvestasi ketika mereka memiliki sedikit kecenderungan untuk melakukannya. Jika mudah untuk keluar lagi, maka bereksperimen dengan layanan akan benar-benar menjadi eksperimen dan bukan awal dari komitmen jangka panjang yang dipaksakan. Seperti sebelumnya, memang paradoks, tetapi kenyataannya cara terbaik untuk membangun kepercayaan adalah dengan tidak mengharuskan pengguna untuk memercayai Anda jika mereka saya tidak menginginkannya.
Orang memiliki alasan yang baik untuk tidak berbagi data, atau untuk berbagi data yang minimal. Pada awal hubungan Anda dengan mereka, mereka mungkin tidak punya alasan untuk mempercayai Anda, dan seharusnya tidak perlu. Tujuan Anda adalah menunjukkan mengapa mereka harus melakukannya.
Anjuran
- Putuskan untuk semua data yang ingin Anda kumpulkan mengapa Anda menginginkannya dan berapa lama Anda akan menyimpannya.
- Saat Anda meminta data tersebut, jelaskan kepada pengguna mengapa Anda mengumpulkannya.
- Hapus dari {i>database<i} server Anda setelah Anda menggunakannya.
- Izinkan pengguna menghapus akun yang telah mereka buat dan menghapus data yang disimpan dari penyimpanan mereka dengan header
Clear-Site-Data.
Mengapa
Membangun hubungan dengan pengguna Anda adalah tentang kepercayaan, dan kepercayaan adalah tentang keterbukaan. Jika Anda dapat menunjukkan bahwa Anda tidak hanya mengumpulkan data sebanyak mungkin tentang pengguna dan menyembunyikan penggunaannya, sehingga membantu membangun kepercayaan, yang dapat menjadi keunggulan kompetitif bagi Anda dibandingkan rival yang tidak terlalu ketat.