通過數字政策確保您的業務和客戶的安全

已發表: 2022-03-10

快速總結 ↬數字工作者，尤其是網頁設計師和開發人員，需要認識到政策對他們的在線產品的影響與對離線產品的影響一樣大。無論我們的企業規模如何——無論是大型公司、小型數字機構、軟件公司還是個人企業——我們都必須在這個法規體系（我們簡稱為“政策”）內工作，以保持我們對法律的遵守。

數字工作者，尤其是網頁設計師和開發人員，需要認識到政策對在線產品的影響與對離線產品的影響一樣大。無論我們的企業規模如何——無論是大型公司、小型數字機構、軟件公司還是個人企業——我們都必須在這個法規體系（我們簡稱為“政策”）內工作，以保持我們對法律的遵守。

每個企業都需要數字政策

我們目前的監管環境是一個規則世界，我們必須每天在工作場所駕馭，尤其是如果我們擁有一家企業。那麼，為什麼我們應該期望我們建立網站和交易業務的數字世界會有所不同呢？不是——事實上，如果有的話，網絡上的監管環境近年來變得更加複雜和規範化，對可訪問性（2010 年的英國）、cookie（2011 年的歐盟）、在線的新要求迅速出現隱私權（2012 年美國）、被遺忘權（2014 年歐盟）、個人公民信息輸出（2015 年俄羅斯）等。跟踪全球法律要求並不總是那麼容易。有些甚至對我們來說似乎不合邏輯，例如影響軟件公司的歐盟增值稅法，但可能對我們的業務構成嚴重威脅。

關於 SmashingMag 的進一步閱讀：

我們是否在考慮數字化一切都錯了？
您需要了解的有關客戶旅程地圖的所有信息
如何讓自己變得多餘
如何引髮用戶體驗革命

跳躍後更多！繼續往下看↓

遵守數字政策應該與為在線開展業務的任何公司或個人納稅一樣重要。在過去 15 年的政策工作中，我見證了在數字空間工作與在模擬世界工作一樣多的風險和責任。如果您沒有並遵循數字政策，您的公司、客戶和收入就會面臨風險。

數字政策不一定是困難的

如果您對此不熟悉，那麼關於數字政策的對話可能聽起來非常合法和嚴格。不過，不要害怕。我們將為您提供一些有關如何處理數字政策的一般提示和資源，並為您提供一些基本知識，以便您可以與律師、法律部門或數字政策顧問討論數字政策。

為了幫助您入門，我們將介紹：

如果不考慮數字政策可能會出現問題的示例，
數字政策的類型，
數字政策模板，
如何駕馭不斷變化的數字環境，
如何選擇正確的政策方法。

政策將您組織的風險、業務目標和適用的法律法規轉化為您在在線空間中應該和不應該做的事情。（大預覽）

數字政策管理數字業務

當然，並非所有公司都對數字政策不屑一顧。有些人，尤其是小型數字機構和個人網絡從業者，只是缺乏參考框架，因為這些政策超出了他們的日常運營重點。

但是，正如他們所說，對法律的無知不是藉口。數字政策可以直接影響公司的網站，以及其社交媒體、移動平台、電子郵件營銷和在線 CRM，以製定確保遵守當地、聯邦甚至國際法律法規的指導方針。只需考慮保護個人可識別消費者信息的要求以及隨後針對 Target、Neiman Marcus、Adobe、Sony 和 LinkedIn 的數據洩露訴訟，因為它們沒有適當的保護。或者考慮一下公司可以出於廣告目的從用戶的移動設備中收集哪些地理定位信息，以及在違規時對 Capital One、Discover、American Express、Chase 和 GE Capital 零售銀行等公司處以數百萬美元的罰款。

當然，許多組織認為他們已經“獲得”了數字政策。畢竟，他們在網站的頁腳中有一個鏈接，表明他們支持基於 W3C 政策的網站可訪問性。他們甚至可能製定了隱私政策（作為另一個頁腳鍊接）。但這幾乎沒有觸及表面——數字政策不僅僅包含網頁上的頁腳鍊接。它們應該是向全球網絡工作者提供和使用的程序化指南。

真正的風險

如果您決定冒險並完全無視數字政策，會發生什麼？如果您的組織是一個擁有龐大且多方面的全球在線業務的組織，那麼您顯然向監管機構提出了一個更具吸引力的目標。在其中許多情況下，不合規可能導致以下情況：

昂貴的罰款和法律訴訟。僅 2015 年就有 45 起與無障礙相關的訴訟，包括針對美國國家籃球協會 (NBA)、Sprint、JC Penney 和 Home Depot 的訴訟。
銷售渠道的封鎖比利時法院裁定，可以要求 ISP 封鎖違反版權法的商業網站。
關閉數字業務今年早些時候，由於不符合本地化和所有權要求，中國關閉了蘋果的在線圖書和電影服務。
品牌聲譽、市場份額和公共信譽的損失宜家在 2015 年放棄了其在俄羅斯的生活方式網站，原因是擔心政府會認為這是向未成年人宣傳同性戀價值觀，結果卻遭到公眾的強烈反對和抵制。

當客戶援引作為合同標準部分的免責條款和賠償條款時，即使是獨立的內容作者和獨立的小型網絡商店也可能遭受後果，例如訴訟或罰款。

您的網站或數字資產的知名度越高（包括其對消費者的可見度）以及數字資產針對的國家越多，相關數字政策的風險和需求就越高。

數字政策清單

雖然數量通常很少（通常每個組織 5 到 40 個），但這些數字政策為網站和相關數字渠道上的注意事項設定了明確的方向。

顯然，每家公司都需要決定哪些數字政策值得他們關注——相反，他們對那些他們打算忽略的政策有多大的規避風險。儘管如此，根據我的經驗，以下是每個公司都應該審查的基本清單：

可訪問性
品牌推廣
cookie 和跟踪
兒童隱私 (COPPA)
版權和保護、知識產權和商標
數據洩露通知（法律要求在發生安全漏洞和個人信息丟失或被盜時通知用戶）
數據加密與傳輸、數據本地化
數據隱私，以及保護個人身份信息和健康信息
數字記錄管理
股東通知（法律要求股東或股東年度信息，包括會議通知，在網站上發布或在數字渠道中公佈）
語言和內容本地化
反垃圾郵件法，包括電子郵件營銷法
適當和禁止的內容
數字版權管理
域名、電子郵件地址和社交媒體賬戶（防禦性註冊以保護品牌，或保留數字資產以確保版權和商標安全）
在線廣告和促銷
社交媒體（個人和公司）

您的公司選擇遵守的數字政策將取決於幾個變量：

行業。例如，藥品的要求與銀行不同。
商業部門。部門包括商業、企業對企業、政府和非營利組織。
位置。這包括您網站的地理位置（域國家/地區），以及與您的內容相關聯的用戶的地理位置。推動網站開發和管理合規性的要求可能很廣泛，可能有多種排列方式。
數字平台。 Web、移動、CRM 和社交都有自己獨特的政策要求。當您在多個國家/地區可用的移動平台上操作時，合規性會很快變得更加複雜，每個國家/地區都有自己的一套政策要求（隱私、地理定位等）。

對於網頁設計機構或小型網絡開發商店，列表可能很短，主要集中在與可訪問性、cookie 和隱私相關的政策上。當您與客戶合作時，該列表將根據網站、微型網站、社交媒體活動或移動應用程序的目標而增長。數據存儲和處理、電子商務網站的稅收和安全政策可能是最先考慮的問題。快速諮詢政策專家或數字律師，並與客戶一起解決要求，因為他們可能不知道這些要求。

在本文後面，我們將了解誰負責確保確定監管和法律要求、制定和傳播政策以及衡量合規性。但是，如果您在考慮數字政策時立即想到一頁又一頁的法律術語，那麼您就是一個好夥伴，因為在過去，許多政策都是作為法律文件編寫的，包括網絡工作者在內的人類不容易理解。

數字政策模板

好的政策往往是內容創建者和編輯者、網絡開發人員甚至非網絡用戶都能理解的簡短聲明（最多兩頁）。它們通常應包含以下信息，以通俗易懂的日常語言書寫：

保單名稱
政策聲明（即您應該始終或永遠不要在網上做的事情，作為事實陳述，而不是作為指導方針或最佳實踐）
理由（即解釋為什麼您應該遵守本政策）
來源政策源自何處，您依據什麼權限調用該政策？
相關標準由於該政策僅說明合規的“內容”方面，因此應提供支持標準來解釋如何遵守該政策。

策略的結構很重要，但策略的存儲位置和方式更為關鍵。建立一個中央存儲庫，那些必須遵守政策的人可以輕鬆訪問，使其可搜索，並且通常將政策的受眾視為利益相關者群體，應用基本的用戶體驗原則。換言之，策略不應作為 PDF 文件存儲在共享驅動器上或分散在組織的 Intranet 中。

典型的政策聲明應該簡短而中肯。例如，可訪問性政策聲明可能讀作：

在本政策生效日期之後，由組織或其部門之一發布的所有新的和重新設計的數字資產（無論是 Web 還是移動應用程序）都必須符合 Web 內容可訪問性指南 (WCAG) 2.0 AA 級標準。在本政策生效日期之前發布的所有舊版數字資產在更新或編輯時必須符合這些可訪問性標準。數字資源中心的可訪問性標準部分提供了有關必須實施哪些標準的說明。必須在每個部門的年度數字狀態報告中記錄實現和維護完全可訪問的數字資產的進展，該報告作為預算請求的一部分提交。

此特定政策應鏈接到相關的可訪問性標準，例如：

圖片，
鏈接，
視頻，
和測試。

（相關標準不必是外部的，例如來自 W3C 的這些標準，鏈接到上面。政策也可以鏈接到組織的內部標準。）

有時我們可以鏈接到現有標準，例如 WCAG 2.0。但很多時候，組織內已經存在相關標準。（大預覽）

該政策應提供生效日期、應審查該政策以確定其是否仍然相關或需要更新的日期、聯繫人（例如公司可訪問性管理員）和指標聲明，例如以下內容：

使用自動化工具掃描數字資產的可訪問性合規性，並每月報告企業所有者的合規率。每季度向管理髮起人報告可訪問性合規率。

知識就是槓桿

為了最大限度地降低風險，面臨數字化的公司以及支持他們的機構和開發商必須學會接受全球數字化政策的不斷學習曲線。外部政策變化可能是突然而迅速的，例如俄羅斯最近的數據本地化要求或歐盟-美國數據傳輸框架。其他實體可以製定指南，但將精確的要求擱置一旁，就像美國食品和藥物管理局在社交媒體上最終確定藥品要求的情況一樣。

當然，數字決策也發生在內部，尤其是在大公司中。此類政策可能源於技術變革、從其他數字或網絡項目中吸取的經驗教訓，或者最近發現需要新的或更新的實踐的項目或倡議。許多更典型的數字政策，例如關於品牌、質量和內容所有權的政策，都是由組織的營銷部門或組成網絡運營團隊的個人發布的。

雖然我們距網絡已有近 30 年的歷史，但我們對網絡使用所帶來的風險以及遏制這些風險所必需的政策的集體意識仍然不成熟。沒有中央資源來指導數字工作者和機構通過政策迷宮，但如果你做一些事情，你可以掌握許多主題：

閱讀 Lainey Feingold、Dechert LLP、SIIA 和 Hunton & Williams 等數字政策專家和協會的博客文章。
為關鍵政策主題設置新聞提醒，例如數據洩露、數據本地化、國際數據傳輸、可訪問性和數據隱私。
關注 Andrea Siodmok、Adonis Hoffman，當然還有我 Kristina Podnar 等政策評論員，通過 Twitter 了解趨勢。
密切關注 Digital Trends、ComputerWorld 和 CIO 雜誌等新聞媒體。

選擇正確的數字政策方法

面對如此復雜的合規性，公司如何提高和保持其數字政策智商？以成熟方式管理政策的組織通常會聘請數字政策管家，他們將被分配幾項職責：

確定當前的數字政策範圍並評估其潛在風險的細微差別。對於網頁設計機構或小型網絡企業來說，最大的風險可能是其自身的在線形象受到損害；因此，關注數據收集、隱私、存儲和傳輸以及數據洩露可能是最合適的。如果您的網站只有內容，沒有任何交易支持，那麼最大的關注點可能是通過您的分析軟件收集的信息，以及您如何根據您所在的國家/地區管理這些信息。如果網頁設計機構或小型網絡企業為客戶執行工作，可能的風險和相關政策將迅速增長——再次根據網站或數字渠道的類型評估風險，並專注於減輕最大風險的政策。
監控其市場中的數字政策趨勢如何變化，同時與他們的數字領導層進行溝通，以確定在特定主題上的適當組織立場。這意味著讓具有法律傾向或風險意識的人關注行業中正在發生的事情以及這些趨勢可能對組織產生的影響。例如，當 LinkedIn 最近因數據洩露而受到威脅時，人們非常關注讓用戶重置其 LinkedIn 密碼。使用 LinkedIn 作為用戶身份驗證來源的公司如果有人考慮與單一來源身份驗證相關的風險並製定了政策，他們會迅速做出反應。但是，正如我們所看到的，思傑等公司錯過了風險，從而導致了二次數據洩露。
通知內部數字利益相關者，包括內容創建者和開發者，同時在整個組織內傳播適當的政策。
與整個組織內的各種主題專家和政策作者合作，定義和記錄適當的政策。
創建一個內部程序，將這些策略集成到在線操作中。

缺乏此類內部支持的小型數字機構和個人設計師應諮詢其客戶的隱私官或法律部門，以深入了解潛在的數字政策問題。如果您的團隊資源或資金有限，您可以隨時與數字政策顧問合作，為您的組織確定關鍵政策和風險，參加有關數字政策的行業研討會，例如 The Foundry 提供的研討會，或參考到在線資源，例如 Digital Context Next。

合規作為競爭優勢

不僅應從風險的角度看待數字政策，還應從機會的角度看待數字政策。與數字政策緊密結合的公司，反過來利用他們的數字存在（例如，通過品牌），將獲得明顯的競爭優勢。以英特爾為例，它通過在組織內外積極提出要求，在全球範圍內推廣其品牌；或維多利亞州稅務局，它強調可訪問性並已達到 WCAG 的 AAA 合規性；或者衛報，它制定了一項非常簡單但強有力的在線評論審核政策，將其定位為該領域的全球領導者。

在當今蓬勃發展的數字市場中，每家公司都會因避免與數字政策保持一致而遭受損失。同樣，通過將這些政策納入您的數字企業的整體長期戰略計劃，您可以獲得更多收益。通過這樣做，您將通過保護您的高管、您的組織、您的客戶和您自己免受本文中提出的各種訴訟、罰款和品牌風險來增加價值。通過遵守，您已確保您在網絡上的家保持安全。

當創造力與指導（這些政策的真正目標）取得平衡時，數字工作者比其他組織更自由地進行創新和更有效地工作。