Конфиденциальность UX: Дизайн с учетом конфиденциальности

Опубликовано: 2022-03-10
Краткое резюме ↬ Эта серия статей посвящена шаблонам проектирования, связанным с конфиденциальностью. Мы рассмотрим некоторые уважительные способы подхода к конфиденциальности и сбору данных, а также способы борьбы с пресловутыми запросами согласия на использование файлов cookie, навязчивыми push-уведомлениями, великолепными запросами разрешений, вредоносным сторонним отслеживанием и оффбордингом.
  • Часть 1. Вопросы конфиденциальности и конфиденциальность в веб-формах
  • Часть 2. Улучшение согласия на использование файлов cookie
  • Часть 3: Улучшенный интерфейс уведомлений и запросы разрешений
  • Часть 4. Платформа проектирования с учетом конфиденциальности

Мы уже изучили подходы к улучшению запросов согласия на использование файлов cookie, запросов разрешений и уведомлений UX, но как они вписываются в общую стратегию дизайна, когда мы принимаем дизайнерские решения в наших инструментах дизайна?

В своей статье «Что означает GDPR для UX?» Клэр Барретт, дизайнер UX и UI в Mubaloo в Бристоле, Великобритания, поделилась очень практичным и действенным набором рекомендаций по UX, которым дизайнерское агентство следует в отношении GDPR. . Хотя эти рекомендации специально предназначены для GDPR, они применимы к гораздо более широкому кругу удобных для пользователя и конфиденциальных взаимодействий и, следовательно, могут быть применимы к любому типу проектов :

  1. Пользователи должны активно соглашаться на сбор и использование своих данных.
  2. Пользователи должны давать согласие на каждый вид деятельности по обработке данных.
  3. Пользователи должны иметь право легко отозвать свое согласие в любое время.
  4. Пользователи должны иметь возможность проверить каждую организацию и всех третьих лиц, которые будут обрабатывать данные.
  5. Согласие — это не то же самое, что согласие с условиями, поэтому их не следует объединять; они отдельные и должны иметь отдельные формы.
  6. Хотя просить согласия в нужное время — это хорошо, еще лучше четко объяснить, почему согласие принесет пользу их опыту .
Еще после прыжка! Продолжить чтение ниже ↓

Одна из интересных вещей, которые Клэр рекомендует в своей статье, — сосредоточиться на сборе данных «точно в срок» (упоминается в части 3 этой серии); то есть объясните, зачем нужны данные и как они будут и не будут использоваться — но только тогда, когда они действительно нужны приложению или веб-сайту. Очевидно, это можно сделать, включив значок «информация» рядом с более личными фрагментами собранной информации и показав всплывающую подсказку с преимуществами и обоснованием сбора данных по запросу.

Объяснения «точно в срок»
Своевременные пояснения с всплывающей подсказкой в ​​формах. (Источник изображения: Клэр Барретт) (Большой превью)

Многим мобильным приложениям требуется доступ к местоположению, фотографиям и даже камере во время установки, что не является чем-то, на что большинство клиентов согласились бы. Более эффективный способ получить разрешение — объяснить потребность в данных в момент сбора с помощью подсказок «точно в срок», чтобы пользователи могли дать согласие только тогда, когда они понимают цель этого, очень похоже на то, что мы видел с разрешениями ранее в этой серии.

Подсказки «точно вовремя»
Подсказки «точно вовремя», запрашивающие доступ к местоположению только тогда, когда это действительно необходимо. (Источник изображения: Клэр Барретт) (Большой превью)

Объяснения также должны информировать клиентов о том, как отозвать согласие, где это применимо, и содержать ссылку на политику конфиденциальности. Это было предметом постоянных жалоб в течение многих лет, поскольку длинные политики конфиденциальности, написанные совершенно непонятным юридическим языком, почти невозможно понять без специального сеанса проверки. (На самом деле, исследование 2008 года показало, что среднему человеку требуется примерно 244 часа в год, чтобы прочитать все политики конфиденциальности для сайтов, которые он использует, что соответствует примерно 40 минутам в день .)

Вместо того, чтобы представлять политику конфиденциальности в виде стены запутанного текста, ее можно было бы разбить на части и сгруппировать в четко обозначенные разделы и расширяемый текст, оптимизированный для сканирования, поиска и понимания.

Отдельные действия политики
Отдельные действия политики, представленные в виде аккордеонов. Оптимизирован для легкого сканирования и понимания. (Источник изображения: Клэр Барретт) (Большой превью)

После предоставления согласия клиенты должны иметь полный контроль над своими данными; то есть возможность просматривать, изменять и удалять любые данные, которые хранятся в наших приложениях. Это означает, что настройки данных в наших мобильных приложениях должны предоставлять детализированные параметры для отзыва согласия и отказа от маркетинговых предпочтений, а также возможность загрузки и удаления любых данных, не блуждая по запутанному лабиринту разделов справки и неоднозначных панелей настроек.

меню настроек данных
Клиенты должны иметь полный контроль над своими данными, поэтому наше меню «Настройки данных» должно предоставлять детализированные параметры для отзыва согласия, отказа от настроек и загрузки/или удаления всех данных. (Источник изображения: Клэр Барретт) (Большой превью)

Основная проблема с проектными решениями, учитывающими конфиденциальность, заключается в том, что трудно оценить влияние сбора данных и всех связанных с ним проблем интерфейса на проектирование и разработку. Быть скромным и тонким — это не только вопрос уважения, но и уменьшение технического долга и избежание юридических баталий в будущем. В этом также могут помочь следующие общие рекомендации.

Сохраняйте как можно меньше данных

Если вы решите хранить данные кредитной карты, вы должны заранее сообщить о мерах безопасности, которые вы принимаете для их конфиденциального хранения. Чем меньше данных вам требуется и хранится, тем меньше последствий может иметь потенциальное нарушение.

Хорошо относитесь к персональным данным

Не все данные одинаковы. Когда пользователи предоставляют личную информацию, различайте разные слои данных, поскольку личная информация, вероятно, более конфиденциальна, чем общедоступная информация. Хорошо обращайтесь с личными данными и никогда не публикуйте их по умолчанию. Например, когда пользователь заполняет свой профиль, предоставьте возможность просмотреть все введенные данные перед их публикацией. Будьте скромны и всегда сначала спрашивайте разрешения ; активно защищайте пользователей и не храните конфиденциальные данные. Это может помочь предотвратить неприятные ситуации в будущем.

Это касается не только процедуры хранения и публикации пользовательских данных на ваших серверах, но и восстановления пароля или использования данных клиентов для любого рода партнерских отношений. На самом деле, передача электронной почты клиента кому-то еще без явного согласия является нарушением доверия и конфиденциальности и часто приводит к тому, что электронные письма помечаются как спам, потому что клиенты внезапно сталкиваются с незнакомым брендом, которому они не доверяют. На самом деле, последнее похоже на защитный механизм от ненасытных веб-сайтов, которые постоянно собирают электронные письма в обмен на бесплатное лакомство, доступ к видео и предложения freemium.

Заранее объясните, какие пользовательские данные получат третьи стороны

Предоставляя возможность входа через социальные сети, укажите, что произойдет с данными пользователя и какие разрешения будут у третьих лиц. Обычно при появлении запроса на вход в социальную сеть появляется тонкое примечание, но рекомендуется сразу четко указать, как будут обрабатываться данные, и, в частности, что не произойдет с данными пользователя.

Обычно взаимодействие с пользователем прекращается, когда клиенты вынуждены подключать свои совершенно новые учетные записи к уже существующим или когда им предлагается использовать свои социальные профили для продвижения в приложении. Это никогда не бывает простым шагом и требует некоторого объяснения и уверенности в том, что отозвать доступ легко.

Подготовьте данные клиента для экспорта

Получить полную картину собранных данных непросто, особенно при участии третьих лиц. Убедитесь, что всякий раз, когда собираются личные данные, они структурированы таким образом, чтобы их можно было экспортировать и впоследствии удалить . Бонусные баллы, если это также понятно для конечного пользователя, поэтому они могут найти нужные им кусочки, когда заинтересуются чем-то очень конкретным. Это также означает отслеживание того, какие типы данных собираются и куда передаются данные, поскольку мы можем использовать эту структуру позже, чтобы обеспечить детальный контроль над настройками данных и настройками конфиденциальности в нашем пользовательском интерфейсе.

Возможно, вы слышали о нескольких дружественных компаниях, которые делают импорт личных данных удивительно простым, но экспорт пользовательских данных мучительно сложен или почти невозможен. Неудивительно, что эта практика плохо воспринимается клиентами; и особенно в моменты, когда они думают об удалении своей учетной записи, такая повсеместная блокировка приведет к жалобам клиентов в службу поддержки, звонкам в колл-центр и вспышкам гнева в социальных сетях. Это не восхитительная особенность, которая сохранит их лояльность в долгосрочной перспективе.

В то время как некоторые компании могут нести публичное обвинение из-за своего огромного размера, для многих малых и средних компаний репутация является самым ценным активом, который у них есть , и поэтому разумно не рисковать ею. Вы даже можете подумать о партнерстве с аналогичными сервисами и сделать пользовательские данные беспрепятственно переносимыми и передаваемыми каждому из них, ожидая, что та же функция будет поддерживаться и партнерами.

Затруднить закрытие или удаление учетной записи в долгосрочной перспективе

Корпоративные гиганты преуспели в том, чтобы клиентам было невероятно сложно закрывать или удалять свои учетные записи. И этот прием работает, когда отдалиться мучительно сложно — так обстоит дело с Amazon и Facebook.

Однако, если вы работаете над относительно небольшим веб-сайтом, который стремится к своим лояльным клиентам, вы, возможно, не сможете добиться успеха, по крайней мере, в долгосрочной перспективе. Общее влияние еще более вредно, если вы затрудняете отмену регулярного платежа, как это часто бывает с подписками. (Вообще-то поэтому и подписки трудно продавать — дело не только в обязательствах по ежемесячным платежам, а скорее в сложности отмены подписки в более позднее время без доплаты из-за досрочной отмены.)

На самом деле, так же, как дизайнеры лучше скрывают пресловутые настройки профиля для удаления учетной записи, так же и клиенты находят способы навигации по лабиринту , часто поддерживаемые бесконечной мудростью легко обнаруживаемых учебных пособий в блогах. Если это не так, клиенты прибегают к инструментам, которые, как они знают, работают лучше всего: отказываются от службы, которая не проявляет уважения к их намерениям, — обычно помечая электронные письма как спам, блокируя уведомления и реже используя службу. Это не происходит в одночасье; но медленно и постепенно, и как показали интервью, эти клиенты гарантированно не порекомендуют услугу своим друзьям или коллегам.

Удивительно, но все наоборот, когда закрыть счет удивительно легко. Как и в случае с уведомлениями, могут быть веские причины, по которым пользователь решил двигаться дальше, и очень часто это вообще не имеет ничего общего с качеством обслуживания. Попытка убедить клиента остаться с подробным обзором всех замечательных преимуществ, которые вы предоставляете, может привести к неправильным целям: особенно в корпоративных условиях решение будет уже принято, поэтому человек, закрывающий учетную запись, буквально может т сделать много об изменении направления.

примеры отмены аккаунта и прекращения подписки в smashing magazine
С Smashing Membership мы пытаемся объяснить, что происходит с данными, в понятной форме, и даем возможность участникам экспортировать свои данные без каких-либо скрытых уловок. (Большой превью)

Для Smashing Membership мы постарались сохранить уважительный и скромный голос, а также показать немного нашей индивидуальности во время отключения. Мы объясняем, что происходит с данными и когда они будут безвозвратно удалены (семь дней), предоставляем возможность восстановить план, разрешаем клиентам экспортировать свои заказы и гарантируем отсутствие передачи данных третьим лицам. Было удивительно видеть, что большое количество людей, которые отменили свою членскую подписку, в конечном итоге рекомендовали ее своим друзьям и коллегам, потому что они чувствовали, что в ней есть некоторая ценность для них, даже если они не использовали ее для себя.

Отложите импорт контактов до тех пор, пока пользователь не почувствует себя комфортно с сервисом

Конечно, многие из наших приложений не особенно полезны без интеграции круга общения пользователя, поэтому кажется правдоподобным попросить клиентов приглашать своих друзей, чтобы не чувствовать себя одинокими или покинутыми на раннем этапе. Однако прежде чем сделать это, подумайте о том, как побудить клиентов использовать сервис на какое-то время, и отложите импорт контактов до того момента, когда пользователи будут более склонны к этому. По умолчанию многие клиенты блокируют ранний запрос, поскольку они еще не доверяют приложению.

Сохраняйте данные пользователя в течение ограниченного периода времени после закрытия учетной записи

Ошибки случаются, и это относится как к случайным оплошностям, так и к удалению всех личных данных после крайне неудачного дня. Поэтому, хотя нам нужно предоставить возможность загрузки и удаления данных, также предоставьте возможность восстановить учетную запись в течение короткого промежутка времени. Это означает, что данные будут сохранены после удаления учетной записи, но будут безвозвратно удалены по истечении льготного периода. Обычно 7–14 дней более чем достаточно.

Однако вы также можете предоставить пользователям возможность запросить немедленное удаление данных по электронной почте или даже одним нажатием кнопки. Должны ли пользователи быть проинформированы об окончательном удалении их файлов? Может быть. Окончательное решение, вероятно, будет зависеть от того, насколько конфиденциальны данные: чем они более конфиденциальны, тем больше вероятность того, что пользователи захотят узнать, что данные исчезли навсегда. Исключением являются анонимные данные: в большинстве случаев клиентам это совершенно безразлично.

Предоставляйте удобные сводки об изменениях политики конфиденциальности

Ничто не установлено на камне, поэтому ваша политика конфиденциальности и настройки конфиденциальности по умолчанию могут нуждаться в корректировке из-за новых функций персонализации или изменения сценария отслеживания. Всякий раз, когда это происходит, вместо того, чтобы подчеркивать важность конфиденциальности в длинных отрывках текста, предоставьте четкие, удобные для пользователя сводки изменений. Вы можете структурировать резюме, подчеркнув, как все было раньше и чем оно изменилось сейчас. Не забудьте перевести юридический язык на что-то более понятное для человека, объяснив, что на самом деле означает изменение для пользователя.

Честно говоря, большинство пользователей, похоже, не слишком заботились об изменениях в политике конфиденциальности. После бесконечного потока уведомлений об обновлениях политики в 2018 году реакцией по умолчанию обычно является немедленное согласие. Как только они замечают что-либо, связанное с политикой конфиденциальности, в строке темы или теле письма, они немедленно принимают изменения, даже не прокручивая письмо до конца. Однако чем более персональными являются хранящиеся данные, тем больше времени уходит на просмотр изменений, которые часто бывают чрезвычайно запутанными и неясными.

Политика конфиденциальности Medium.com
Микрокопия всегда была в самом сердце Medium.com. Хорошо продуманная и хорошо структурированная политика конфиденциальности с четким описанием изменений политики конфиденциальности. (Источник изображения: Дизайн электронной почты BeeFree) (Большой предварительный просмотр)
политика конфиденциальности мэйлчимп
MailChimp с кратким изложением изменений политики конфиденциальности. (Большой превью)

Примечание . Сотрудники Really Good Emails собрали несколько отличных примеров дизайна электронной почты, связанных с GDPR, если вы ищете дополнительные идеи о том, как поделиться изменениями политики конфиденциальности со своими пользователями и подписчиками.

Настройте коммуникационную стратегию в случае нарушения

Никто не хочет хаоса после того, как пользовательские данные будут скомпрометированы. В таких ситуациях очень важно иметь четкую и сильную коммуникационную стратегию. Подготовьте объяснение на случай, если некоторые пользовательские данные будут скомпрометированы. Мэнди Браун опубликовала фантастическую статью «Пожарные учения: коммуникационная стратегия в условиях кризиса» в A List Apart, в которой объясняется, как их настроить, и несколько вещей, которые следует учитывать при этом.

Конфиденциальность по дизайну

Может показаться, что посещение веб-сайтов — вполне обычное занятие, и пользователи должны чувствовать себя комфортно и быть знакомыми с такими функциями, как вход через социальные сети, импорт контактов и подсказки о файлах cookie. Как мы видели в этой серии, существует много нетривиальных соображений конфиденциальности, и чаще всего у клиентов возникают опасения, сомнения и опасения по поводу обмена их личными данными.

Конечно, рамки этой серии могут быть расширены намного дальше, и мы даже не рассматривали восстановление пароля, дизайн настроек конфиденциальности в приложении, плавающие окна чата и всплывающие окна, соображения производительности и доступности или разработку возможностей конфиденциальности для наиболее уязвимые пользователи — дети, пожилые люди и малообеспеченные. Тем не менее, критический момент при принятии проектных решений в отношении конфиденциальности всегда один и тот же: нам нужно найти баланс между строгими бизнес-требованиями и уважительным дизайном , который помогает пользователям контролировать свои данные и отслеживать их, вместо того, чтобы собирать всю информацию, которую мы можем и блокировка клиентов в нашем сервисе.

Хорошей дорожной картой для нахождения этого баланса является принятие концепции передовой практики, ориентированной на конфиденциальность, известной как Privacy by Design (PbD). Появившись в Канаде еще в 1990-х годах, речь идет о прогнозировании, управлении и предотвращении проблем с конфиденциальностью до того, как будет написана хоть одна строка кода. Благодаря политике защиты данных ЕС, конфиденциальность по умолчанию и защита данных стали стандартом для всех видов использования и приложений. А это означает, что многие из его принципов могут быть применены для обеспечения как соответствия GDPR, так и лучшей конфиденциальности UX вашего веб-сайта или приложения.

По сути, платформа ожидает, что конфиденциальность будет настройкой по умолчанию и упреждающей (а не реактивной ) мерой, которая будет встроена в дизайн на его начальном этапе и на протяжении всего жизненного цикла продукта. Он поощряет предлагать пользователям детализированные параметры конфиденциальности, уважительные настройки конфиденциальности по умолчанию, подробные уведомления о конфиденциальности, удобные для пользователя параметры и четкое уведомление об изменениях. Таким образом, он хорошо работает с рекомендациями, которые мы изложили в этой серии.

Я настоятельно рекомендую прочитать одну из статей Хизер Бернс «Как защитить своих пользователей с помощью платформы Privacy By Design», в которой она предоставляет подробное руководство по реализации платформы Privacy by Design в цифровых сервисах.

Тогда с чего начать? Большие изменения начинаются с маленьких шагов. Включите конфиденциальность в первоначальные исследования и идеи на этапе проектирования, а также выберите значения по умолчанию, настройки конфиденциальности и конфиденциальные точки взаимодействия, от заполнения веб-формы до подключения и отключения. По возможности сведите к минимуму объем собираемых данных и отслеживайте, какие данные могут собирать третьи стороны. Если вы можете анонимизировать личные данные, это тоже бонус.

Каждый раз, когда пользователь отправляет свою личную информацию, следите за тем, как формулируются вопросы и как собираются данные. Показывайте уведомления и запросы на разрешение как раз вовремя, когда вы почти уверены, что клиент их примет. И, наконец, информируйте пользователей в удобоваримых сводках об изменениях политики конфиденциальности и упрощайте экспорт и удаление данных или закрытие учетной записи.

И самое главное: в следующий раз, когда вы подумаете о том, чтобы добавить просто флажок или предоставить бинарные опционы, подумайте о красивом нечетком и небинарном мире, в котором мы живем. Часто есть более двух доступных вариантов, поэтому всегда предлагайте выход, каким бы очевидным ни казался выбор. Ваши клиенты это оценят.