为什么这些投诉会出现在你的办公桌上?因为投诉首先会落到你的头上。互联网服务提供商会评判你的发件人声誉。而监管机构期望的是干净的来源,而不是供应商的借口。因此,今天我们将向您详细介绍隐私法和数据经纪人。
在本指南中,我们将一一道来。数据经纪人的工作。注册机构应如何工作。EFF/PRC 调查结果对风险意味着什么。然后,我们将介绍风险和最佳实践,并向您展示一份您现在就可以使用的清单。
EFF 和 PRC 的调查揭示了什么?
今年,当电子前线基金会(EFF)和隐私权信息交换所(PRC)的研究人员发现了一些应该让每个营销人员暂停的事情时,关于隐私法和数据经纪人的讨论变得更加热烈。他们发现,许多数据经纪人系统性地跳过了向州当局注册这一基本步骤:加利福尼亚州有 291 家公司,德克萨斯州有 524 家,俄勒冈州有 475 家,佛蒙特州有 309 家。
对于任何购买列表或添加数据的人来说,这都是一个警示。
这些登记法的存在是为了创造阳光。它们让数据经纪人榜上有名:
- 他们是谁
- 他们出售什么样的数据、
- 以及人们如何将自己从这些数据库中删除。
但是,当数百家这样的公司跳过注册时,这种透明度就消失了。消费者无法获知他们的信息流向,监管机构也无法追踪市场上有哪些公司。
报告没有公开点出每一家未注册企业的名称,但其模式是显而易见的。数十家企业在一个司法管辖区注册,却忽视了规则几乎相同的其他司法管辖区。有些企业利用子公司在没有提交文件的州悄悄经营。
为什么是警示灯?
数据经纪人为许多常见的营销流程提供数据,如电子邮件列表租赁、数据充实和受众建模。如果数据经纪商在某一领域徇私舞弊,那么他们很可能在其他领域也会偷工减料。与他们合作可能会使您的公司面临调查、被列入黑名单,或者更糟糕的是,被公众认为与侵犯隐私的供应商有关联,从而陷入尴尬境地。
数据中介注册机构应如何工作
有这种制度的每个州都要求经纪人:
- 提交联系方式、
- 描述它们处理的数据类型、
- 解释他们是如何收集同意的、
- 并披露退出程序。
有些甚至要求每年更新,以证明信息仍然准确。
这个想法很简单: 人们应该能够发现谁在掌握他们的数据,并在他们愿意的情况下让他们停止。
对于企业来说,这种透明度为建立合乎道德的合作伙伴关系设定了基线。在审查供应商时,您可以查看他们的注册记录,了解他们交易的数据类别,并核实他们是否尊重删除请求。
然而,这些系统只有在经纪人参与的情况下才能发挥作用。如果有一半的参与者隐藏起来,公开名单就会变得不完整,可信度也会降低。
电子邮件/数据同意的监管环境
在大多数地区,选择加入是第一位的。
在欧盟,GDPR和 ePrivacy 规则将电子邮件视为个人数据,因此在发送营销信息前,您需要获得明确、知情的同意。请保存好获得同意的时间和方式证明。对于风险较高的同意,双向选择是最安全的选择。在德国,法院裁决要求必须这样做,在奥地利,也被视为必须这样做。其他几个欧洲市场即使没有强制要求,也推荐使用。
美国根据CAN-SPAM 采用退出模式,但这并不意味着 “什么都可以做”。您需要在每封邮件中使用真实的主题行、明显的取消订阅标志和实际邮寄地址。您还需要在规定期限内快速处理退订。
加拿大的 CASL 规定较为严格,要求在每条信息中都要有明确的同意和清晰的标识。当信息进入加拿大收件箱时,它也会超越国界。
*其他地区更接近欧盟模式–澳大利亚和新西兰采用选择加入模式。韩国则增加了同意更新的程序。英国在实施英国 GDPR 的同时,还制定了自己的 PECR 规则,这与欧盟的做法如出一辙。
现在谈谈高风险实践。
- 1.购买的列表会造成事后无法弥补的同意空白。人们不同意接收您的品牌信息,因此投诉增多,送达率下降。
- 2.抓取和采集会引发隐私和反垃圾邮件问题。
- 3.含糊不清的表格也是一个陷阱–如果注册框中没有说明人们能得到什么以及多久得到一次,那么在审计时,同意书就会站不住脚。
简洁的同意语言、明确的期望和证明日志会让你远离麻烦。
快速检查电子邮件内容要求的现实情况。
- 1.保持发件人详细信息的真实性。
- 2.将主题行与正文相匹配。
- 3.包含有效的退订链接和邮寄地址。
这些基础知识听起来很简单,但却是许多团队的绊脚石。它们还能保护您的发件人声誉,因为邮箱提供商在决定收件箱还是垃圾邮件时会寻找这些信号。
还有一块:跟踪和个性化。
在更严格的司法管辖区,跟踪打开和点击可能需要单独的同意,类似于 cookie 同意。告诉人们你要跟踪什么,给出选择,并记录在案。只使用您在注册时承诺的实际所需的数据。这将使您的程序严密,审计线索清晰。
营销人员从不法经纪商处获取数据的风险
让我们来谈谈实际问题:当你依赖不可靠的数据时会发生什么?
#1 法律
即使你的公司自己没有收集数据,监管机构仍可追究你使用未经合法收集的信息的责任。有些州将购买或使用未注册经纪人的数据视为参与同样的违法行为。
#2 声誉
人们的隐私意识逐年增强。如果你的用户数据库来自一个正在接受调查的经纪人,那么受众对你的信任就会迅速消失。一旦此事在网上传开,任何隐私声明都无法弥补这一漏洞。
#3 交付能力
互联网服务提供商和垃圾邮件过滤器比监管机构更快发现投诉模式。从有问题的经纪人处获得的名单往往包含过期或不愿意接收的收件人。这就导致了高跳出率、垃圾邮件投诉,并最终被主要电子邮件提供商过滤。
#4 文件
大多数隐私政策和营销平台条款都规定,所有联系数据的收集都必须获得适当的同意。如果审计发现您的供应商未能达到这些标准,您就可能违反了自己的政策和电子邮件服务提供商的条款。这可能导致账户被暂停或无法使用营销工具。
#5 控制
如果您依赖不透明的经纪人,您就无法了解数据是如何获得的,以及同意是否仍然有效。相比之下,通过直接选择加入或经过验证的表单来收集地址,可以为您提供证据、时间戳和清晰的审计跟踪。这对每个地区来说都是更安全的选择。
归根结底,合规可以建立一个经得起审查的营销计划。正如 EFF 的调查结果提醒我们的那样,偷工减料今天可能会节省时间,但明天监管机构或客户来敲门时,代价就大得多了。
合规数据采购和供应商审查的最佳实践
第一件事:合规性早在您发送第一封邮件之前就已经开始了。从您选择联系人数据来源的那一刻起就开始了。最安全的途径是什么?
▢只与已通过透明度测试的经纪商或平台合作。
要做的事:
➡️ 检查他们是否出现在其运营所在各州的公共注册表中。快速查询可以告诉你他们是否已经注册、更新了联系信息并列出了退出方法。如果他们的记录缺失,这就是第一个红旗。
其次,要透过表象看本质。值得信赖的供应商会准确解释他们收集的数据类别(商业、人口统计或行为),以及他们如何获得每类数据的同意。如果答案听起来含糊不清或充满法律迷雾,那就走开吧。真正的透明度不需要隐藏在行话背后。因此,我们要
▢进一步了解您的合作伙伴。他们是否解释了他们获取了哪些数据?他们如何管理这些数据?
要做的事:
➡️ 要求提供文件,说明每次联系的源头以及原始许可的内容。这不是为难你,而是在保护公司的合规性。
此外,重新思考如何定义 “合格名单”。基于许可、自行获取的受众始终比批量购买的受众表现更好。购买的名单,即使宣传为 “选择进入”,也往往依赖于一揽子同意,而这些同意并不包括你的品牌。因此,您应该
▢通过自己的注册表或经过验证的合作伙伴直接建立受众,而不是购买名单。
要做:
➡️ 如果你受到 “快速名单 “的诱惑,请要求书面确认每个联系人都给予了明确的、针对特定品牌的许可,并且经纪人在所有相关司法管辖区的注册都是有效的。
此外,当感觉风险较高时(如国际活动或敏感领域),应使用双重选择进入。第二次确认点击可以证明地址的所有权,并创建数字纸质跟踪:同意的日期、时间和方式。所以,这就是我们的收获:
▢使用双重选择加入。
要做的:
➡️ 安全地存储这些信息,最好是将每条记录与准确的注册表绑定在一个系统中。审计跟踪越精确,您的程序在监管检查时就越安全。
您自己的隐私材料也是一个故事。确保每个表单和登陆页面都易于理解。如果多个品牌共用一个平台,请标明每个发送方。通俗易懂的语言可以建立信任,使你免于被要求隐藏同意。
▢保持注册表单和隐私政策透明易懂。
要做的事:
➡️ 明确说明用户订阅的内容、您与他们联系的频率以及他们如何取消订阅。在您的电子邮件频率或目的发生变化时,随时更新这些语言。
最后,要将数据审计视为日常维护工作,而不是每年一次的苦差事。
▢定期审查数据源和供应商合同。
要做
➡️ 安排定期审查,以确认您的信息来源仍然合规。更新供应商合同,加入有关遵守隐私法和赔偿的条款。如果合作伙伴违反规定,您将得到书面保护。
有哪些合规性和透明度工具/选项
一旦你的数据来源做法是干净的,下一步就是保持证据和可视性。幸运的是,有很多工具可以提供帮助。
从州登记处开始。加利福尼亚州、德克萨斯州、俄勒冈州和佛蒙特州都有可搜索的注册经纪人在线数据库。将它们加入书签。在签署任何合同之前,检查潜在合作伙伴的状态只需几分钟,而且可以确认他们是否遵守规则。大多数列表都会显示注册日期、业务联系人和任何提供的退出 URL。
还有同意管理平台。这些工具记录并管理 GDPR、CCPA 和类似隐私框架下的用户权限。它们记录每一个同意操作,并带有时间戳和 IP 地址,使您的合规证明井井有条,便于检索。许多工具还能与电子邮件软件同步,并能自动标记未获得有效同意的地址。
为深入了解合规情况,请安排隐私和透明度审计。内部审计可检查您的表单、数据库和自动化工作流程是否仍然符合不断变化的隐私规则。外部审计(由顾问或法律合作伙伴进行)根据法规和执行模式对您的计划进行压力测试。
大型企业可能还需要数据保护官的监督。数据保护官负责审查数据如何在营销堆栈中流动,确保在引入新工具时进行隐私影响评估,并对团队进行最佳实践培训。即使规模较小的公司也可以指派一名隐私负责人。
另一个未被充分利用的策略是政策审查。这听起来很枯燥,但却很有成效。每个季度重新审视一下你的隐私政策、同意语言和供应商合同。当出现新的地区性法律或您的营销堆栈发生变化时,更新它们。
最后,阅读监管机构的报告。欧洲森林论坛、中国和各种数据保护机构会定期发布对现行法律的新解释。关注他们的简报有助于您在执法部门跟上之前预测变化。
实用清单
您已经了解了背景、风险和工具。现在,这里有一份快速行动清单,让您的营销全年都能保护隐私:
▢ 核实每个经纪人的注册状态。
在加入数据合作伙伴之前,请在所有相关的国家注册机构中检查其名称。确认详细信息与其合同实体相符,且注册尚未过期。
▢ 只接受有文件证明的同意。
与第三方合作时,应出示明确的许可证据–日期、方法和同意文本。不要截图,不要含糊其辞,也不要说 “相信我们”。
▢ 在风险较高时使用双重选择加入。
如果您的目标国家有更严格的隐私法或需要处理敏感数据,请启用确认电子邮件。记录元数据,如时间戳、设备和确认路径。这是您最好的法律保障。
▢ 保持隐私措辞清晰、人性化。
您的注册页面应明确说明订阅者能得到什么以及多久能得到一次。避免隐藏框或含糊的承诺。让退出毫不费力,并在每条信息中都清晰可见。透明度能为你赢得信誉,并帮助你避免纠纷。
▢ 定期监测法律变化。
州级隐私法不断扩展。订阅数据保护机构或隐私监管机构的通讯。每月一次简单的扫描就能让您避免过时的做法。
除了清单之外,还要将合规视为一个活的过程。记录更新。保留审计记录。让隐私成为营销文化的一部分。
关于隐私法和数据经纪人的最后一句话
对营销人员的启示其实很简单:要透明,要获得真正的同意,要清楚地知道你的数据来自哪里。现在你知道隐私法和数据经纪商会让事情变得多么混乱了吧。这些登记和监督方面的漏洞就像红旗一样,会直接影响到你自己的营销活动。
明智之举是先发制人。只与证明合规的经纪人合作。通过真正的 “选择加入 “来建立列表,并保持严格的同意记录。使用跟踪许可的工具,保持对新规则的好奇心,并在别人告诉你之前更新你的隐私材料。
如果您在电子邮件营销或列表验证方面需要帮助,请访问 Bouncer。我们的工具可帮助您保持清洁、合规和高效的列表,而且我们的支持团队随时准备帮助您完成任务。
