Почему это попадает к вам на стол? Потому что жалобы сначала попадают к вам. Интернет-провайдеры оценивают репутацию вашего отправителя. А регулирующие органы ожидают чистоты источников, а не отговорок поставщиков. Поэтому сегодня мы расскажем вам о законах о конфиденциальности и брокерах данных.
В этом руководстве мы соединим все точки. Чем занимаются брокеры данных. Как должны работать реестры. Что выводы EFF/PRC означают для рисков. Затем мы расскажем о рисках, лучших практиках и покажем вам контрольный список, который можно использовать уже сегодня.
Что показало расследование EFF и PRC
В этом году разговоры о законах о конфиденциальности и брокерах данных стали еще громче, когда исследователи из Electronic Frontier Foundation (EFF) и Privacy Rights Clearinghouse (PRC) обнаружили нечто, что должно заставить задуматься каждого маркетолога. Они обнаружили, что многие брокеры данных систематически пропускают основной шаг — регистрацию в государственных органах: 291 компания в Калифорнии, 524 в Техасе, 475 в Орегоне и 309 в Вермонте.
Это тревожный сигнал для тех, кто покупает списки или добавляет данные.
Эти законы о регистрации существуют для того, чтобы создавать солнечный свет. Они заставляют брокеров данных составлять списки:
- кто они,
- какие данные они продают,
- и как люди могут удалить себя из этих баз данных.
Но когда сотни таких компаний пропускают регистрацию, эта прозрачность исчезает. Потребители теряют представление о том, куда уходят их данные, а регулирующие органы теряют информацию о том, кто присутствует на рынке.
В отчете не названы публично имена всех компаний, не прошедших регистрацию, но закономерность очевидна. Десятки компаний регистрировались в одной юрисдикции, но игнорировали другие, где действуют почти такие же правила. Некоторые использовали дочерние компании, чтобы спокойно работать в тех штатах, где они не подавали документы.
Почему это предупреждающая лампочка?
Брокеры данных питают многие распространенные маркетинговые процессы — аренду списков электронной почты, обогащение данных и моделирование аудитории. Если брокер нарушает правила в одной области, есть вероятность того, что он срезает углы и в других. Сотрудничество с ними может привести к расследованию, внесению вашей компании в черные списки или, что еще хуже, к публичному позору, связанному с поставщиками, нарушающими конфиденциальность.
Как должны работать реестры брокеров данных
Каждый штат с такой системой требует от брокеров:
- предоставить контактную информацию,
- описать, с какими типами данных они работают,
- объяснить, как они собирают согласие,
- и раскрывать информацию о процедуре отказа от использования.
Некоторые из них даже требуют ежегодного обновления, чтобы доказать, что информация по-прежнему точна.
Идея проста: люди должны иметь возможность узнать, кто владеет их данными, и заставить их прекратить это делать, если они этого хотят.
Для бизнеса такая прозрачность задает основу для этичного партнерства. Когда вы проверяете поставщика, вы можете просмотреть его регистрационную запись, узнать, какими категориями данных он торгует, и убедиться, что он выполняет запросы на удаление.
Однако эти системы работают только тогда, когда в них участвуют брокеры. Если половина игроков остается скрытой, публичный список становится неполным и менее надежным.
Нормативно-правовая база, регулирующая согласие на использование электронной почты/данных
В большинстве регионов на первом месте стоит опшн.
В ЕС GDPR и правила ePrivacy рассматривают электронную почту как персональные данные, поэтому перед отправкой маркетинговых материалов вам необходимо получить четкое, информированное согласие. Сохраняйте доказательства того, когда и как вы его получили. Для получения согласия с повышенным риском лучше всего использовать двойное согласие (double opt-in). В Германии оно требуется по решению суда, а в Австрии рассматривается как обязательное. Некоторые другие европейские рынки рекомендуют его, даже если не требуют.
В соответствии с CAN-SPAM в США используется модель отказа от рассылки, но это не означает, что «все можно». В каждом сообщении необходимо указывать правдивую тему письма, возможность отписаться от рассылки и физический почтовый адрес. Также необходимо быстро обрабатывать отказы от рассылки — в установленные сроки.
В Канаде действует строгий закон CASL, который требует прямого согласия и четкой идентификации в каждом сообщении. Но он также выходит за пределы страны, когда сообщения попадают в канадские почтовые ящики.
*Другие регионы склоняются к модели ЕС — Австралия и Новая Зеландия работают по принципу opt-in. Южная Корея добавляет каденцию обновления согласия. Великобритания повторяет подход ЕС, применяя собственные правила PECR наряду с британским GDPR.
Теперь о практиках повышенного риска.
- 1. Покупные списки создают пробелы в согласии, которые вы потом не сможете исправить. Люди не давали согласия на получение информации от вашего бренда, поэтому количество жалоб растет, а доставляемость падает.
- 2. Скраппинг и сбор информации вызывают проблемы как с конфиденциальностью, так и со спамом.
- 3. Расплывчатые формы тоже являются ловушкой — если в поле для подписки не указано, что и как часто люди получают, согласие не будет подтверждено в ходе аудита.
Четкие формулировки согласия, ясные ожидания и журналы регистрации доказательств помогут вам избежать неприятностей.
Быстрая проверка реальности требований к содержанию электронной почты.
- 1. Храните информацию об отправителе честно.
- 2. Соотнесите тему письма с его текстом.
- 3. Включите рабочую ссылку для отказа от подписки и почтовый адрес.
Эти основы кажутся простыми, но именно на них спотыкаются многие команды. Они также защищают репутацию вашего отправителя, поскольку провайдеры почтовых ящиков обращают внимание на эти сигналы при принятии решения о том, что является входящим, а что спамом.
Еще одна деталь: отслеживание и персонализация.
В более строгих юрисдикциях отслеживание открытий и кликов может потребовать отдельного согласия, аналогичного согласию на использование cookie. Расскажите людям о том, что вы отслеживаете, предоставьте им выбор и задокументируйте его. Используйте только те данные, которые вам действительно нужны для выполнения обещания, данного при регистрации. Это позволит сохранить жесткость программы и четкость аудиторского следа.
Риски для маркетологов, получающих данные от брокеров, не соблюдающих требования законодательства
Давайте поговорим о практической стороне: что происходит, когда вы полагаетесь на сомнительные данные?
#1 Юридический
Даже если ваша компания не собирала данные самостоятельно, регулирующие органы все равно могут привлечь вас к ответственности за использование информации, которая была собрана не законно. В некоторых штатах покупка или использование данных незарегистрированного брокера рассматривается как участие в одном и том же нарушении.
#2 Репутация
Люди с каждым годом становятся все более осведомленными о конфиденциальности. Если выяснится, что ваша база данных подписчиков получена от брокера, находящегося под следствием, доверие вашей аудитории быстро испарится. Как только эта история распространится в сети, никакие заявления о конфиденциальности не смогут залатать эту брешь.
#3 Доставляемость
Интернет-провайдеры и спам-фильтры улавливают характер жалоб быстрее, чем регулирующие органы. Списки, полученные от сомнительных брокеров, как правило, содержат устаревших или нежелательных получателей. Это приводит к высоким показателям отказов, жалобам на спам и, в конечном счете, к фильтрации со стороны крупных поставщиков электронной почты.
#4 Документация
Большинство политик конфиденциальности и условий маркетинговых платформ требуют, чтобы все контактные данные собирались при наличии соответствующего согласия. Если в ходе проверки выяснится, что ваши поставщики не соблюдают эти стандарты, вы можете нарушить свою собственную политику и условия поставщика услуг электронной почты. Это может привести к приостановке действия учетной записи или потере доступа к маркетинговым инструментам.
#5 Контроль
Если вы полагаетесь на непрозрачных брокеров, вы лишаетесь возможности контролировать, как были получены данные и сохраняется ли согласие. Напротив, сбор адресов с помощью прямого согласия или проверенных форм дает вам доказательства, временные метки и четкий аудиторский след. Это более безопасный вариант для любого региона.
В конце концов, соблюдение требований может создать маркетинговую программу, способную выдержать проверку. И как напомнили нам результаты исследования EFF, срезание углов может сэкономить время сегодня, но обойдется гораздо дороже, если завтра к вам постучатся регулирующие органы или клиенты.
Лучшие практики поиска и проверки поставщиков данных в соответствии с требованиями законодательства
Во-первых, соблюдение требований начинается задолго до того, как вы отправите первую кампанию. Оно начинается с того момента, когда вы выбираете, откуда брать контактные данные. Самый безопасный путь?
▢ Сотрудничайте только с брокерами или платформами, которые уже прошли проверку на прозрачность.
Что нужно сделать:
➡️ Проверьте, есть ли они в публичных реестрах всех штатов, где они работают. Быстрый поиск подскажет вам, зарегистрировались ли они, обновили ли свою контактную информацию и указали ли методы отказа от услуг. Если запись отсутствует, это первый тревожный сигнал.
Затем загляните глубже, чем на поверхность. Надежный поставщик объяснит, какие именно категории данных он собирает (деловые, демографические или поведенческие) и как он получает согласие на каждую из них. Если ответ звучит расплывчато или полон юридического тумана, уходите. Настоящая прозрачность не должна скрываться за жаргоном. Поэтому:
▢ Узнайте больше о своем партнере. Объясняют ли они, какие данные они получают? Как они ими управляют?
Что делать:
➡️ Попросите предоставить документацию, показывающую, откуда взялся каждый контакт и на что было получено первоначальное разрешение. Вы не усложняете себе задачу, а защищаете историю соответствия вашей компании.
Кроме того, переосмыслите, как вы определяете «квалифицированный список». Аудитории, основанные на разрешении и полученные самостоятельно, неизменно показывают лучшие результаты, чем те, что покупаются оптом. Покупные списки, даже если они рекламируются как «opt-in», часто опираются на общие согласия, которые не распространяются на ваш бренд. Вот почему вам следует:
▢ Создавайте свою аудиторию напрямую через собственные формы подписки или проверенных партнеров, а не покупайте списки.
Сделать:
➡️ Если вы когда-нибудь соблазнитесь «быстрым списком», попросите письменное подтверждение того, что каждый контакт дал явное, конкретное для бренда разрешение и что регистрация брокера актуальна во всех соответствующих юрисдикциях.
Кроме того, при повышенном риске (например, при проведении международных кампаний или в чувствительных секторах) используйте двойное согласие. Второе нажатие кнопки подтверждения подтверждает право собственности на адрес и создает цифровой бумажный след: дата, время и способ получения согласия. Итак, выводы:
▢ Используйте двойную опцию.
Что нужно сделать:
➡️ Храните эту информацию в надежном месте, в идеале — в системе, которая привязывает каждую запись к конкретной форме регистрации. Чем точнее будет аудиторский след, тем безопаснее будет ваша программа при проверке регуляторами.
Ваши собственные материалы о конфиденциальности также рассказывают свою историю. Убедитесь, что каждая форма и целевая страница понятны. Если несколько брендов используют одну платформу, укажите каждого отправителя. Понятные формулировки укрепляют доверие и защищают вас от претензий по поводу скрытого согласия.
▢ Сделайте формы регистрации и политики конфиденциальности прозрачными и понятными.
Сделать:
➡️ Четко опишите, на что подписываются люди, как часто вы будете с ними связываться и как они могут отписаться. Обновляйте эту формулировку каждый раз, когда меняется частота или цель вашей рассылки.
И наконец, относитесь к аудиту данных как к регулярному обслуживанию, а не как к рутинной работе раз в год.
▢ Регулярно проверяйте источники данных и контракты с поставщиками.
Что делать:
➡️ Запланируйте периодические проверки, чтобы убедиться, что ваши источники соответствуют требованиям. Обновите контракты с поставщиками, включив в них пункты о соблюдении законов о конфиденциальности и возмещении ущерба. Если партнер нарушит правила, у вас будет письменная защита.
Какие существуют инструменты/варианты обеспечения соответствия и прозрачности
После того как ваши методы поиска данных станут чистыми, следующим шагом будет поддержание доказательств и видимости. К счастью, в этом могут помочь многочисленные инструменты.
Начните с реестров штатов. Калифорния, Техас, Орегон и Вермонт ведут онлайновые базы данных зарегистрированных брокеров с возможностью поиска. Добавьте их в закладки. Проверка статуса потенциального партнера перед подписанием контракта займет считанные минуты и подтвердит, что он играет по правилам. В большинстве списков указаны даты регистрации, деловые контакты, а также URL-адреса, по которым можно отказаться от сотрудничества.
Существуют платформы управления согласием. Эти инструменты регистрируют и управляют разрешениями подписчиков в соответствии с GDPR, CCPA и другими аналогичными нормами конфиденциальности. Они регистрируют каждое действие по получению согласия с указанием временных меток и IP-адресов, чтобы сохранить доказательства соответствия требованиям и легко найти их. Многие из них также синхронизируются с программным обеспечением для электронной почты и могут автоматически отмечать адреса, на которые не получено действительное согласие.
Чтобы глубже прочувствовать соответствие требованиям, запланируйте аудит конфиденциальности и прозрачности. Внутренние аудиты проверяют, соответствуют ли ваши формы, базы данных и автоматизированные рабочие процессы развивающимся правилам конфиденциальности. Внешние аудиты (проводимые консультантами или юридическими партнерами) проверяют вашу программу на соответствие нормативным требованиям и законам.
Крупным организациям также может потребоваться надзор со стороны специалиста по защите данных. DPO проверяет, как данные проходят через ваш маркетинговый стек, следит за тем, чтобы при внедрении новых инструментов проводилась оценка воздействия на конфиденциальность, и обучает команды лучшим практикам. Даже небольшие компании могут назначить ответственного за защиту конфиденциальности.
Еще одна малоиспользуемая тактика — пересмотр политики. Звучит скучно, но приносит свои плоды. Пересматривайте свою политику конфиденциальности, язык согласия и контракты с поставщиками каждый квартал. Обновляйте их при появлении новых региональных законов или при изменении маркетинговой стратегии.
Наконец, читайте отчеты регуляторов. Такие организации, как EFF, КНР и различные органы по защите данных, регулярно публикуют информацию о новых интерпретациях существующих законов. Следование их брифингам поможет вам предвидеть изменения до того, как их подхватит правоприменительная практика.
Практический контрольный список
Вы ознакомились с контекстом, рисками и инструментами. Теперь вот список быстрых действий, которые помогут вам обеспечить защиту маркетинга от несанкционированного доступа в течение всего года:
▢ Проверьте статус регистрации каждого брокера.
Прежде чем подключать партнера по передаче данных, проверьте его имя во всех соответствующих государственных реестрах. Убедитесь, что данные совпадают с информацией о субъекте контракта и что срок регистрации не истек.
▢ Принимайте только документально подтвержденное согласие.
Работайте с третьими лицами, которые могут предоставить четкие доказательства разрешения — дату, способ и текст согласия. Никаких скриншотов, никаких расплывчатых заявлений и никаких «доверьтесь нам».
▢ Используйте двойной опшн, когда ставки высоки.
Если вы нацелены на страны с более строгими законами о конфиденциальности или работаете с конфиденциальными данными, включите функцию отправки писем с подтверждением. Записывайте метаданные, такие как временная метка, устройство и путь подтверждения. Это ваша лучшая юридическая защита.
▢ Формулировка конфиденциальности должна быть понятной и человечной.
На страницах подписки должно быть точно указано, что и как часто получают подписчики. Избегайте скрытых полей или туманных обещаний. Сделайте отказ от подписки легким и заметным в каждом сообщении. Прозрачность вызывает доверие к вам и помогает избежать споров.
▢ Регулярно следите за изменениями в законодательстве.
Законы о конфиденциальности на уровне штатов продолжают расширяться. Подпишитесь на информационные бюллетени агентств по защите данных или организаций, следящих за соблюдением конфиденциальности. Простое ежемесячное сканирование может уберечь вас от устаревших практик.
Помимо списка, относитесь к соблюдению требований как к живому процессу. Документируйте обновления. Ведите записи о проверках. Сделайте конфиденциальность частью своей маркетинговой культуры.
Последние слова о законах о конфиденциальности и брокерах данных
Посыл для маркетологов очень прост: будьте прозрачны, получайте реальное согласие и точно знайте, откуда берутся ваши данные. Теперь вы знаете, насколько запутанной может быть ситуация с законами о конфиденциальности и брокерами данных. Эти пробелы в регистрации и надзоре — своего рода красные флажки, которые могут отразиться на ваших собственных кампаниях.
Разумный шаг — опередить его. Работайте только с теми брокерами, которые подтверждают соответствие требованиям. Наращивайте списки с помощью настоящих подписчиков и следите за соблюдением правил. Используйте инструменты для отслеживания разрешений, узнавайте о новых правилах и обновляйте свои материалы о конфиденциальности до того, как кто-то скажет вам об этом.
А если вам нужна помощь в маркетинге по электронной почте или проверке списков, обратитесь к Bouncer. Наши инструменты помогут вам сохранить списки чистыми, соответствующими требованиям и высокопроизводительными, а наша служба поддержки всегда готова помочь вам сделать все правильно.
