通过数字政策确保您的业务和客户的安全

已发表: 2022-03-10

快速总结 ↬数字工作者，尤其是网页设计师和开发人员，需要认识到政策对他们的在线产品的影响与对离线产品的影响一样大。无论我们的企业规模如何——无论是大型公司、小型数字机构、软件公司还是个人企业——我们都必须在这个法规体系（我们简称为“政策”）内工作，以保持我们对法律的遵守。

数字工作者，尤其是网页设计师和开发人员，需要认识到政策对在线产品的影响与对离线产品的影响一样大。无论我们的企业规模如何——无论是大型公司、小型数字机构、软件公司还是个人企业——我们都必须在这个法规体系（我们简称为“政策”）内工作，以保持我们对法律的遵守。

每个企业都需要数字政策

我们目前的监管环境是一个规则世界，我们必须每天在工作场所驾驭，尤其是如果我们拥有一家企业。那么，为什么我们应该期望我们建立网站和交易业务的数字世界会有所不同呢？不是——事实上，如果有的话，网络上的监管环境近年来变得更加复杂和规范化，对可访问性（2010 年的英国）、cookie（2011 年的欧盟）、在线的新要求迅速出现隐私权（2012 年美国）、被遗忘权（2014 年欧盟）、个人公民信息输出（2015 年俄罗斯）等。跟踪全球法律要求并不总是那么容易。有些甚至对我们来说似乎不合逻辑，例如影响软件公司的欧盟增值税法，但可能对我们的业务构成严重威胁。

关于 SmashingMag 的进一步阅读：

我们是否在考虑数字化一切都错了？
您需要了解的有关客户旅程地图的所有信息
如何让自己变得多余
如何引发用户体验革命

跳跃后更多！继续往下看↓

遵守数字政策应该与为在线开展业务的任何公司或个人纳税一样重要。在过去 15 年的政策工作中，我见证了在数字空间工作与在模拟世界工作一样多的风险和责任。如果您没有并遵循数字政策，您的公司、客户和收入就会面临风险。

数字政策不一定是困难的

如果您对此不熟悉，那么关于数字政策的对话可能听起来非常合法和严格。不过，不要害怕。我们将为您提供一些有关如何处理数字政策的一般提示和资源，并为您提供一些基本知识，以便您可以与律师、法律部门或数字政策顾问讨论数字政策。

为了帮助您入门，我们将介绍：

如果不考虑数字政策可能会出现问题的示例，
数字政策的类型，
数字政策模板，
如何驾驭不断变化的数字环境，
如何选择正确的政策方法。

政策将您组织的风险、业务目标和适用的法律法规转化为您在在线空间中应该和不应该做的事情。（大预览）

数字政策管理数字业务

当然，并非所有公司都对数字政策不屑一顾。有些人，尤其是小型数字机构和个人网络从业者，只是缺乏参考框架，因为这些政策超出了他们的日常运营重点。

但是，正如他们所说，对法律的无知不是借口。数字政策可以直接影响公司的网站，以及其社交媒体、移动平台、电子邮件营销和在线 CRM，以制定确保遵守当地、联邦甚至国际法律法规的指导方针。只需考虑保护个人可识别消费者信息的要求以及随后针对 Target、Neiman Marcus、Adobe、Sony 和 LinkedIn 的数据泄露诉讼，因为它们没有适当的保护。或者考虑一下公司可以出于广告目的从用户的移动设备中收集哪些地理定位信息，以及在违规时对 Capital One、Discover、American Express、Chase 和 GE Capital 零售银行等公司处以数百万美元的罚款。

当然，许多组织认为他们已经“获得”了数字政策。毕竟，他们在网站的页脚中有一个链接，表明他们支持基于 W3C 政策的网站可访问性。他们甚至可能制定了隐私政策（作为另一个页脚链接）。但这几乎没有触及表面——数字政策不仅仅包含网页上的页脚链接。它们应该是向全球网络工作者提供和使用的程序化指南。

真正的风险

如果您决定冒险并完全无视数字政策，会发生什么？如果您的组织是一个拥有庞大且多方面的全球在线业务的组织，那么您显然向监管机构提出了一个更具吸引力的目标。在其中许多情况下，不合规可能导致以下情况：

昂贵的罚款和法律诉讼。仅 2015 年就有 45 起与无障碍相关的诉讼，包括针对美国国家篮球协会 (NBA)、Sprint、JC Penney 和 Home Depot 的诉讼。
销售渠道的封锁比利时法院裁定，可以要求 ISP 封锁违反版权法的商业网站。
关闭数字业务今年早些时候，由于不符合本地化和所有权要求，中国关闭了苹果的在线图书和电影服务。
品牌声誉、市场份额和公共信誉的损失宜家在 2015 年放弃了其在俄罗斯的生活方式网站，原因是担心政府会认为这是向未成年人宣传同性恋价值观，结果却遭到公众的强烈反对和抵制。

当客户援引作为合同标准部分的免责条款和赔偿条款时，即使是独立的内容作者和独立的小型网络商店也可能遭受后果，例如诉讼或罚款。

您的网站或数字资产的知名度越高（包括其对消费者的可见度）以及数字资产针对的国家越多，相关数字政策的风险和需求就越高。

数字政策清单

虽然数量通常很少（通常每个组织 5 到 40 个），但这些数字政策为网站和相关数字渠道上的注意事项设定了明确的方向。

显然，每家公司都需要决定哪些数字政策值得他们关注——相反，他们对那些他们打算忽略的政策有多大的规避风险。尽管如此，根据我的经验，以下是每个公司都应该审查的基本清单：

可访问性
品牌推广
cookie 和跟踪
儿童隐私 (COPPA)
版权和保护、知识产权和商标
数据泄露通知（法律要求在发生安全漏洞和个人信息丢失或被盗时通知用户）
数据加密与传输、数据本地化
数据隐私，以及保护个人身份信息和健康信息
数字记录管理
股东通知（法律要求股东或股东年度信息，包括会议通知，在网站上发布或在数字渠道中公布）
语言和内容本地化
反垃圾邮件法，包括电子邮件营销法
适当和禁止的内容
数字版权管理
域名、电子邮件地址和社交媒体账户（防御性注册以保护品牌，或保留数字资产以确保版权和商标安全）
在线广告和促销
社交媒体（个人和公司）

您的公司选择遵守的数字政策将取决于几个变量：

行业。例如，药品的要求与银行不同。
商业部门。部门包括商业、企业对企业、政府和非营利组织。
位置。这包括您网站的地理位置（域国家/地区），以及与您的内容相关联的用户的地理位置。推动网站开发和管理合规性的要求可能很广泛，可能有多种排列方式。
数字平台。 Web、移动、CRM 和社交都有自己独特的政策要求。当您在多个国家/地区可用的移动平台上操作时，合规性会很快变得更加复杂，每个国家/地区都有自己的一套政策要求（隐私、地理定位等）。

对于网页设计机构或小型网络开发商店，列表可能很短，主要集中在与可访问性、cookie 和隐私相关的政策上。当您与客户合作时，该列表将根据网站、微型网站、社交媒体活动或移动应用程序的目标而增长。数据存储和处理、电子商务网站的税收和安全政策可能是最先考虑的问题。快速咨询政策专家或数字律师，并与客户一起解决要求，因为他们可能不知道这些要求。

在本文后面，我们将了解谁负责确保确定监管和法律要求、制定和传播政策以及衡量合规性。但是，如果您在考虑数字政策时立即想到一页又一页的法律术语，那么您就是一个好伙伴，因为在过去，许多政策都是作为法律文件编写的，包括网络工作者在内的人类不容易理解。

数字政策模板

好的政策往往是内容创建者和编辑者、网络开发人员甚至非网络用户都能理解的简短声明（最多两页）。它们通常应包含以下信息，以通俗易懂的日常语言书写：

保单名称
政策声明（即您应该始终或永远不要在网上做的事情，作为事实陈述，而不是作为指导方针或最佳实践）
理由（即解释为什么您应该遵守本政策）
来源政策源自何处，您依据什么权限调用该政策？
相关标准由于该政策仅说明合规的“内容”方面，因此应提供支持标准来解释如何遵守该政策。

策略的结构很重要，但策略的存储位置和方式更为关键。建立一个中央存储库，那些必须遵守政策的人可以轻松访问，使其可搜索，并且通常将政策的受众视为利益相关者群体，应用基本的用户体验原则。换言之，策略不应作为 PDF 文件存储在共享驱动器上或分散在组织的 Intranet 中。

典型的政策声明应该简短而中肯。例如，可访问性政策声明可能读作：

在本政策生效日期之后，由组织或其部门之一发布的所有新的和重新设计的数字资产（无论是 Web 还是移动应用程序）都必须符合 Web 内容可访问性指南 (WCAG) 2.0 AA 级标准。在本政策生效日期之前发布的所有旧版数字资产在更新或编辑时必须符合这些可访问性标准。数字资源中心的可访问性标准部分提供了有关必须实施哪些标准的说明。必须在每个部门的年度数字状态报告中记录实现和维护完全可访问的数字资产的进展，该报告作为预算请求的一部分提交。

此特定政策应链接到相关的可访问性标准，例如：

图片，
链接，
视频，
和测试。

（相关标准不必是外部的，例如来自 W3C 的这些标准，链接到上面。政策也可以链接到组织的内部标准。）

有时我们可以链接到现有标准，例如 WCAG 2.0。但很多时候，组织内已经存在相关标准。（大预览）

该政策应提供生效日期、应审查该政策以确定其是否仍然相关或需要更新的日期、联系人（例如公司可访问性管理员）和指标声明，例如以下内容：

使用自动化工具扫描数字资产的可访问性合规性，并每月报告企业所有者的合规率。每季度向管理发起人报告可访问性合规率。

知识就是杠杆

为了最大限度地降低风险，面临数字化的公司以及支持他们的机构和开发商必须学会接受全球数字化政策的不断学习曲线。外部政策变化可能是突然而迅速的，例如俄罗斯最近的数据本地化要求或欧盟-美国数据传输框架。其他实体可以制定指南，但将精确的要求搁置一旁，就像美国食品和药物管理局在社交媒体上最终确定药品要求的情况一样。

当然，数字决策也发生在内部，尤其是在大公司中。此类政策可能源于技术变革、从其他数字或网络项目中吸取的经验教训，或者最近发现需要新的或更新的实践的项目或倡议。许多更典型的数字政策，例如关于品牌、质量和内容所有权的政策，都是由组织的营销部门或组成网络运营团队的个人发布的。

虽然我们距网络已有近 30 年的历史，但我们对网络使用所带来的风险以及遏制这些风险所必需的政策的集体意识仍然不成熟。没有中央资源来指导数字工作者和机构通过政策迷宫，但如果你做一些事情，你可以掌握许多主题：

阅读 Lainey Feingold、Dechert LLP、SIIA 和 Hunton & Williams 等数字政策专家和协会的博客文章。
为关键政策主题设置新闻提醒，例如数据泄露、数据本地化、国际数据传输、可访问性和数据隐私。
关注 Andrea Siodmok、Adonis Hoffman，当然还有我 Kristina Podnar 等政策评论员，通过 Twitter 了解趋势。
密切关注 Digital Trends、ComputerWorld 和 CIO 杂志等新闻媒体。

选择正确的数字政策方法

面对如此复杂的合规性，公司如何提高和保持其数字政策智商？以成熟方式管理政策的组织通常会聘请数字政策管家，他们将被分配几项职责：

确定当前的数字政策范围并评估其潜在风险的细微差别。对于网页设计机构或小型网络企业来说，最大的风险可能是其自身的在线形象受到损害；因此，关注数据收集、隐私、存储和传输以及数据泄露可能是最合适的。如果您的网站只有内容，没有任何交易支持，那么最大的关注点可能是通过您的分析软件收集的信息，以及您如何根据您所在的国家/地区管理这些信息。如果网页设计机构或小型网络企业为客户执行工作，可能的风险和相关政策将迅速增长——再次根据网站或数字渠道的类型评估风险，并专注于减轻最大风险的政策。
监控其市场中的数字政策趋势如何变化，同时与他们的数字领导层进行沟通，以确定在特定主题上的适当组织立场。这意味着让具有法律倾向或风险意识的人关注行业中正在发生的事情以及这些趋势可能对组织产生的影响。例如，当 LinkedIn 最近因数据泄露而受到威胁时，人们非常关注让用户重置其 LinkedIn 密码。使用 LinkedIn 作为用户身份验证来源的公司如果有人考虑与单一来源身份验证相关的风险并制定了政策，他们会迅速做出反应。但是，正如我们所看到的，思杰等公司错过了风险，从而导致了二次数据泄露。
通知内部数字利益相关者，包括内容创建者和开发者，同时在整个组织内传播适当的政策。
与整个组织内的各种主题专家和政策作者合作，定义和记录适当的政策。
创建一个内部程序，将这些策略集成到在线操作中。

缺乏此类内部支持的小型数字机构和个人设计师应咨询其客户的隐私官或法律部门，以深入了解潜在的数字政策问题。如果您的团队资源或资金有限，您可以随时与数字政策顾问合作，为您的组织确定关键政策和风险，参加有关数字政策的行业研讨会，例如 The Foundry 提供的研讨会，或参考到在线资源，例如 Digital Context Next。

合规作为竞争优势

不仅应从风险的角度看待数字政策，还应从机会的角度看待数字政策。与数字政策紧密结合的公司，反过来利用他们的数字存在（例如，通过品牌），将获得明显的竞争优势。以英特尔为例，它通过在组织内外积极提出要求，在全球范围内推广其品牌；或维多利亚州税务局，它强调可访问性并已达到 WCAG 的 AAA 合规性；或者卫报，它制定了一项非常简单但强有力的在线评论审核政策，将其定位为该领域的全球领导者。

在当今蓬勃发展的数字市场中，每家公司都会因避免与数字政策保持一致而遭受损失。同样，通过将这些政策纳入您的数字企业的整体长期战略计划，您可以获得更多收益。通过这样做，您将通过保护您的高管、您的组织、您的客户和您自己免受本文中提出的各种诉讼、罚款和品牌风险来增加价值。通过遵守，您已确保您在网络上的家保持安全。

当创造力与指导（这些政策的真正目标）取得平衡时，数字工作者比其他组织更自由地进行创新和更有效地工作。