隐私用户体验:隐私意识设计框架

已发表: 2022-03-10
快速总结↬本系列文章是关于隐私相关的设计模式。 我们将探索一些尊重隐私和数据收集的方法,以及如何处理臭名昭著的 cookie 同意提示、侵入性推送通知、光荣的许可请求、恶意第三方跟踪和离职体验。
  • 第 1 部分:Web 表单中的隐私问题和隐私
  • 第 2 部分:更好的 Cookie 同意体验
  • 第 3 部分:更好的通知 UX 和权限请求
  • 第 4 部分:隐私意识设计框架

我们已经探索了更好的 cookie 同意提示、权限请求和通知 UX 的方法,但是当我们在设计工具中做出设计决策时,它们如何适应整体设计策略?

在她的文章“GDPR 对 UX 意味着什么?”中,英国布里斯托尔 Mubaloo 的 UX 和 UI 设计师 Claire Barrett 分享了一套非常实用、可操作的 UX 指南,该设计机构一直在遵循这些指南关于 GDPR . 虽然这些指南专门针对 GDPR,但它们适用于更广泛的用户友好和隐私意识交互,因此可以适用于任何类型的项目

  1. 用户必须主动选择收集和使用他们的数据。
  2. 用户必须同意每种类型的数据处理活动。
  3. 用户应有权随时轻松撤回其同意
  4. 用户应该能够检查将处理数据的每个组织和所有第三方。
  5. 同意不等于同意条款和条件,因此不应将它们捆绑在一起; 它们是分开的,应该有不同的形式。
  6. 虽然在正确的时间征求同意很好,但最好清楚地解释为什么同意会有益于他们的体验
跳跃后更多! 继续往下看↓

Claire 在她的文章中推荐的一件有趣的事情是专注于“即时”数据收集(在本系列的第 3 部分中提到); 也就是说,解释为什么需要数据,以及如何使用和使用这些数据——但仅限于应用程序或网站真正需要它的时候。 显然,这可以通过在收集的更多个人信息旁边包含一个“信息”图标来完成,并根据要求显示工具提示以及数据收集背后的好处和理由。

“及时”的解释
表格中带有信息工具提示的“即时”解释。 (图片来源:Claire Barrett)(大图预览)

许多移动应用程序需要在安装过程中访问位置、照片甚至摄像头,这不是大多数客户愿意同意的。 获得许可的一种更有效的方法是通过使用“及时”提示来解释收集点对数据的需求,这样用户只有在理解数据的目的时才能给予同意,就像我们已经做到的那样在本系列前面的权限中看到。

“及时”提示
“即时”提示,仅在实际需要时才要求访问位置。 (图片来源:Claire Barrett)(大图预览)

解释还应告知客户如何在适用的情况下撤回同意,并提供隐私政策的链接。 这些多年来一直是投诉的问题,因为如果没有专门的审查会议,几乎不可能理解用完全晦涩的法律术语编写的冗长隐私政策。 (事实上​​,2008 年的一项研究表明,普通人每年大约需要 244 小时才能阅读他们使用的网站的所有隐私政策,这相当于每天大约 40 分钟。)

与其将隐私政策呈现为一堵复杂的文本墙,不如将其分块并分组为清晰标记的部分和可扩展的文本,并针对扫描、定位和理解进行优化。

分开的政策行动
分开的政策行动,以手风琴的形式呈现。 为便于扫描和理解而优化。 (图片来源:Claire Barrett)(大图预览)

一旦获得同意,客户应该可以完全控制他们的数据; 也就是说,浏览、更改和删除我们的应用程序保存的任何数据的能力。 这意味着我们的移动应用程序中的数据设置需要提供精细的选项来撤销同意,选择退出营销偏好,以及下载和删除任何数据的选项,而无需在错综复杂的帮助部分和模棱两可的设置面板中徘徊。

“数据设置”菜单
客户应该完全控制他们的数据,因此我们的“数据设置”菜单应该提供精细的选项来撤销同意、选择退出偏好以及下载/或删除所有数据。 (图片来源:Claire Barrett)(大图预览)

隐私意识设计决策的主要问题是很难评估数据收集的影响以及它对设计和开发带来的所有界面挑战。 谦虚和微妙不仅仅是尊重的问题,也是减少技术债务和避免未来法律纠纷的问题。 为此,以下一般准则也可能有所帮助。

尽可能少地保存数据

如果您选择存储信用卡数据,则必须提前了解您为保密存储而采取的安全措施。 您需要和存储的数据越少,潜在违规的影响就越小。

善待个人资料

并非所有数据都是平等的。 当用户提供个人信息时,区分不同层次的数据,因为私人信息可能比公共信息更敏感。 善待个人数据,绝不默认发布。 例如,当用户完成他们的个人资料时,提供一个选项以在发布之前查看所有输入。 谦虚,总是先征求许可; 主动保护用户,不存储敏感数据。 这可能有助于防止出现不舒服的情况。

这不仅适用于在您的服务器上存储和发布用户数据的过程,还适用于密码恢复或将客户数据用于任何类型的附属伙伴关系的过程。 事实上,在没有明确同意的情况下将客户的电子邮件交给其他人是违反信任和隐私的行为,并且通常会导致电子邮件被标记为垃圾邮件,因为客户突然面临一个他们不信任的陌生品牌。 事实上,后者几乎就像是一种防御机制,可以抵御贪婪的网站,这些网站不断收集电子邮件以换取免费的礼物、视频的访问权和免费增值产品。

尽早解释第三方将收到什么样的用户数据

在提供社交登录选项时,请具体说明用户数据会发生什么以及第三方将拥有哪些权限。 通常在提示社交登录时会出现一个微妙的注释,但最好直接明确说明如何处理数据,特别是用户数据不会发生什么。

一旦客户被迫将他们的全新帐户与现有帐户连接起来,或者当他们被鼓励使用他们的社交资料来使用应用程序取得进展时,通常会看到用户交互停止。 这绝不是一个简单的步骤,并且需要一些解释和保证撤销访问权限很容易。

准备要导出的客户数据

全面了解收集的数据并非易事,尤其是在涉及第三方的情况下。 确保无论何时收集个人数据,其结构都经过优化,便于日后导出和删除。 如果最终用户也可以消化它,则可以加分,因此一旦他们对非常具体的事物感兴趣,他们就可以找到所需的点点滴滴。 这也意味着跟踪收集了哪些类型的数据以及数据流向何处,因为我们稍后可以使用此结构在我们的 UI 中提供对数据设置和隐私偏好的精细控制。

您可能听说过一些友好的公司,它们可以非常无缝地导入个人数据,但导出用户数据却非常困难,或者几乎是不可能的。 不出所料,这种做法并没有得到客户的好评。 尤其是在他们考虑删除账户的时候,这种普遍的锁定会导致客户支持投诉、呼叫中心电话以及社交渠道中的愤怒爆发。 这不是一个能让他们长期保持忠诚的令人愉快的功能。

虽然有些公司因为规模太大而可以公开指责,但对于许多中小型公司来说,声誉是他们拥有的最宝贵的资产,所以不要拿它来赌博是明智的。 您甚至可以考虑与类似的服务合作,让用户数据无缝地移植和传输到每个服务,同时期望合作伙伴也支持相同的功能。

从长远来看,难以关闭或删除帐户会失败

企业庞然大物擅长让客户关闭或删除他们的账户变得异常困难。 当搬家非常困难时,这种技术很有效——亚马逊和 Facebook 就是这种情况。

但是,如果您在一个相对较小的网站上努力争取其忠实客户,那么您可能无法成功实现它,至少不能长期实现。 如果您很难取消定期付款,那么整体影响甚至会更加有害,就像订阅经常发生的情况一样。 (事实上​​,这就是订阅也难以出售的原因——这不仅仅是每月付款的承诺,而是由于提前取消而难以在以后取消订阅而无需支付额外费用。)

事实上,正如设计师在隐藏臭名昭著的个人资料设置以删除帐户方面做得越来越好一样,客户也在寻找在迷宫中导航的方法,这通常得到博客中易于发现的教程的无限智慧的支持。 如果不是这样,客户会求助于他们认为最有效的工具:拒绝不尊重他们意图的服务——通常是通过将电子邮件标记为垃圾邮件、阻止通知和减少使用该服务。 它不会在一夜之间发生。 但慢慢地,如采访所示,这些客户保证不会向他们的朋友或同事推荐这项服务。

令人惊讶的是,当关闭帐户非常容易时,情况恰恰相反。 就像通知一样,用户选择继续前进可能有充分的理由,而且通常与服务质量无关。 试图说服客户留下来,详细概述您提供的所有美妙好处,可能会达到错误的目标:尤其是在公司环境中,已经做出决定,因此关闭帐户的人实际上可以'在改变方向方面做的不多。

粉碎杂志注销账号和终止订阅的例子
通过 Smashing Membership,我们试图以清晰的方式解释数据会发生什么,并提供一个选项,让会员可以在没有任何隐藏技巧的情况下导出他们的数据。 (大预览)

对于 Smashing Membership,我们努力让声音保持尊重和谦逊,同时在离职时也表现出一些我们的个性。 我们解释数据会发生什么以及何时将其不可撤销地删除(7 天),提供恢复计划的选项,允许客户导出他们的订单并保证不与第三方共享数据。 令人惊讶的是,许多取消会员订阅的人最终将其推荐给他们的朋友和同事,因为即使他们自己不使用它,他们也觉得它对他们有一些价值。

推迟导入联系人,直到用户对服务感到满意

当然,如果不整合用户的社交圈,我们的许多应用程序并不是特别有用,因此要求客户邀请他们的朋友不要在早期感到孤独或被遗弃似乎是合理的。 但是,在这样做之前,请考虑鼓励客户使用该服务一段时间的方法,并将导入联系人推迟到用户更倾向于这样做的时候。 默认情况下,许多客户会阻止早期请求,因为他们尚未对该应用程序建立信任。

在帐户关闭后在有限的时间内保存用户数据

错误发生了,对于意外的错误点击,以及在非常糟糕的一天后删除所有个人数据都是如此。 因此,虽然我们需要提供下载和删除数据的选项,但也要提供在短时间内恢复帐户的选项。 这意味着数据将在帐户被删除后保存,但在宽限期过后将被不可撤销地删除。 通常,7-14 天就足够了。

但是,您也可以为用户提供一个选项,以通过电子邮件请求请求立即删除数据,甚至单击按钮。 是否应该告知用户他们的文件最终会被删除? 可能是。 最终决定可能取决于数据的敏感程度:它越敏感,用户就越有可能想知道数据已经永远消失了。 匿名数据是个例外:大多数时候,客户根本不会关心它。

提供用户友好的隐私政策变更摘要

没有什么是一成不变的,因此您的隐私政策和默认隐私设置可能需要调整,因为新的个性化功能或跟踪脚本的更改。 每当发生这种情况时,与其在冗长的文本段落中强调隐私的重要性,不如提供清晰、用户友好的更改摘要。 你可以通过强调过去的情况和现在的不同来构建摘要。 不要忘记将法律术语翻译成更易于阅读的内容,解释更改对用户的实际意义。

坦率地说,大多数用户似乎并不关心隐私政策的变化。 在 2018 年源源不断的政策更新通知之后,默认反应通常是立即同意。 一旦他们注意到主题行或电子邮件正文中与隐私政策相关的任何内容,他们就会立即接受更改,甚至在滚动到电子邮件底部之前。 然而,存储的数据越私人,审查更改所花费的时间就越多,而这些更改通常非常令人困惑和不清楚。

medium.com 隐私政策
Microcopy 一直是 Medium.com 的核心。 精心设计和结构良好的隐私政策,其中包含隐私政策变更的清晰摘要。 (图片来源:Email Design BeeFree)(大图预览)
mailchimp 隐私政策
MailChimp,简明扼要地总结了其隐私政策的变化。 (大预览)

注意如果您正在寻找有关如何与您的用户和订阅者分享隐私政策更改的更多灵感,Really Good Emails 的人们已经收集了一些与 GDPR 相关的电子邮件设计的绝佳示例。

制定沟通策略以防出现违规行为

在用户数据被泄露后,没有人想要破坏。 在这种情况下,制定清晰而有力的沟通策略至关重要。 准备好解释,以防某些用户数据被泄露。 Mandy Brown 在A List Apart 上发表了一篇精彩的文章“消防演习:危机中的沟通策略”,解释了如何进行设置,以及在进行设置时需要考虑的一些事项。

隐私设计

听起来访问网站是一项很普通的活动,用户应该对社交登录、导入联系人和 cookie 提示等功能感到舒适和熟悉。 正如我们在本系列中所见,有许多重要的隐私注意事项,而且通常情况下,客户对共享他们的个人数据有顾虑、疑虑和担忧。

当然,这个系列的范围可能会更进一步,我们甚至还没有研究过密码恢复、应用内隐私设置设计、浮动聊天窗口和弹出窗口、性能和可访问性考虑,或者设计隐私体验最脆弱的用户——儿童、老年人和弱势群体。 但是,围绕隐私做出设计决策时的关键点始终相同:我们需要在严格的业务要求和尊重设计之间找到平衡,以帮助用户控制和跟踪数据,而不是收集我们可以收集的所有信息和将客户锁定在我们的服务中。

找到这种平衡的一个很好的路线图是采用隐私优先的最佳实践框架,称为隐私设计 (PbD)。 早在 1990 年代就出现在加拿大,它是关于在编写一行代码之前预测、管理和防止隐私问题。 随着欧盟数据保护政策的到位,设计隐私和数据保护已成为所有用途和应用程序的默认设置。 这意味着可以应用它的许多原则来确保您的网站或应用程序符合 GDPR 和更好的隐私用户体验。

从本质上讲,该框架希望隐私是一种默认设置,并且是一种主动(而非被动)措施,将在设计的初始阶段和整个产品生命周期中嵌入到设计中。 它鼓励为用户提供细粒度的隐私选项、尊重的隐私默认设置、详细的隐私信息通知、用户友好的选项和明确的更改通知。 因此,它适用于我们在本系列中概述的指南。

我强烈建议阅读 Heather Burns 的一篇文章“如何使用隐私设计框架保护您的用户”,其中她提供了在数字服务中实施隐私设计框架的详细指南。

那从哪里开始呢? 大变革从小步骤开始。 在设计阶段的初始研究和构思中包括隐私,并决定默认值、隐私设置和敏感接触点,从填写 Web 表单到入职和离职。 尽可能减少收集的数据量,并跟踪第三方可能收集的数据。 如果您可以匿名化个人数据,那也是一个好处。

每次用户提交他们的个人信息时,都要跟踪问题是如何构建的以及数据是如何收集的。 当您几乎可以肯定客户会接受时,及时显示通知和许可请求。 最后,以易于理解的摘要形式通知用户隐私政策的变化,并让导出和删除数据或关闭帐户变得容易。

最重要的是:下次你想添加一个复选框或提供二元选项时,想想我们生活的美丽的模糊和非二元世界。通常有两个以上的可用选项,所以总是提供一个出路,无论选择多么明显。 您的客户会欣赏它。