企业,尤其是经营所谓「2C」业务(以个人消费者为主要客户群)的企业,在运营过程中可能会收集和处理大量用户的个人信息。
大部分企业法务或者隐私合规官都已注意到如何预防「未经用户同意」或者「法律明令禁止」的、故意滥用个人信息的情形。
然而,只做到避免和制止故意侵权是远远不够的。隐私保护和合规是一个复杂的系统工程。在企业的用户群体数量变得庞大以前,或者是当企业将自己的产品推向多个国家和地区(例如同时来自中国内地和香港、东南亚乃至欧美)以前,企业必须立项建立一套系统完整的隐私管理体系。这个体系不但要能杜绝「故意」的隐私侵权行为,而且还要能有效预防和应对「无意中」侵害个人信息、乃至「无意中」出现合规漏洞的情况。
这是一个很宏大的问题。一两万字说不清楚。所以,本文将焦点缩小到客服部门。
以下,首先总结2C业务的客户服务部门运营过程中、对用户隐私保护可能出现的几种常见失误,然后介绍企业隐私战略管理过程中可以采取的预防方法。
常见失误
1、过份热情主动
无论是在处理客户投诉还是在协助客户选择更合适的服务时,客服人员都可能因为「过份」热情而适得其反。
例如,客户希望恢复自己遗忘的非实名账户的密码,客服为了加快流程,要求客户进行实名认证,甚至要求提供身份证件信息。这种行为,在一些上网实名的国家可能风险较小,但在很多国家属于相当冒犯隐私的行为。
再如,客户在投诉过程中披露了自己的一些个人信息,客服将信息记录下之后交给产品推广部门,令推广部门能根据这些信息进行产品推广。
又如,在接到用户的个人信息查询要求(request of access,即用户要求企业提供企业收集掌握的所有个人数据)或者账户交易记录时,为了让客户及时收到反馈,可能会在未曾与数据安全和隐私法务讨论的情况下,就向用户提供了未经「消毒」(sanitization)的数据。其中不仅包括提出要求的用户的个人信息,而且还无意中包括了其他相关人(例如用户的交易对手)的个人信息。
2、误将「隐私保护」与「数据安全」等同
信息安全(或称数据安全)与隐私保护密切相关,但数据安全不等于隐私保护。即便是被安全存储、处理和传输的数据,仍可能构成隐私侵害。
例如,企业客服部门可能制订了保障数据安全的流程和政策,技术上也做到了对所收集的用户数据加密存储和传输。但是在安全策略中没有考虑到用户数据与企业所提供的服务之间的必要性,以为加密了数据就等于保护了隐私,在非必要或者用户不知情的情况下传输这些加密后的数据给第三方,造成相当严重的隐私侵权和合规双重风险。
3、宣称的目的与实际使用的范围不一致
客服的责任应限于协助客户解决其已经签约的服务中遇到的问题。如果推销员和客服角色混同甚至存在业绩压力,就很容易出现客服搜集客户信息后,使用这些信息去挖掘客户需求、联络客户甚至将这些信息提供给第三方的情况。
4、外包客服导致的数据泄露或违规
为降低成本,企业可能采用外包方式,由第三方主体承接其客服工作。这些第三方主体的客服人员可能很容易地获得委托方的用户个人信息。很多外包协议是笼统的协议,没有针对的不同产品草拟和签署不同的协议。这不但可能增大隐私侵权和数据超范围使用的风险,在合规层面也可能因为缺乏防火墙和数据权限的分类,无法证明企业尽到了保护隐私的责任。
此外,在WFH(在家工作)的环境下,客服人员很可能使用自己的设备访问用户数据库,这就在隐私之外还增加了数据安全的风险。
预防上述失误的方法
首先 ,将客服(尤其是第三方外包的客服)的隐私保障和数据安全制度和流程纳入到企业的整体部署中。
避免让客服部门自行决定隐私保护的方式和标准。尤其是在企业的用户来自不同国家或法域的时候,需要由企业总部的职能部门(例如法务或者专职的隐私保护官)集中化地(centralized)确立企业所有产品和服务的隐私保障标准和政策。然后,将这些标准和政策与客服部门(或者外包客服)的既存做法相比对,发现其中的差距(gap analysis)。针对差距,一方面改变既存做法,另一方面也对总体的保障标准和政策作必要的、贴地的修订。更重要的是,只有作出这种部署,才可能在企业预算中合理地分配资源——客服部门需要资源和人力才能真正确保隐私保护的到位和数据合规的达成。即使这些资源不能准确量化,也至少需要一个定期检讨的估算机制。换句话说,隐私保护的预算不仅要拨给法务或合规团队,而且还要考虑包括客服和其它部门。唯其如此,客服才有能力去配合完成隐私保障的工作。
其次 ,对客服人员进行常态化的针对性培训。
(1)所有客服人员上岗时都应当接受企业的总的隐私保护政策和行为标准的培训;(2)每当一种新产品或产品功能推出(因而需要客服部门的支持)时,对客服的产品培训中就包括隐私培训;(3)客服和法务、隐私保护部门之间应当就培训内容建立动态的沟通机制,以便令客服工作中实际遇到的案例体现在培训内容中。
第三 ,针对每个具体的产品,在客服人员中选择「隐私牵头人」。
隐私牵头人(privacy champion)的作用并非代表企业回应用户的隐私查询或者自行决定如何与有关用户和解,而是定期收集可能与隐私保护有关的事件和客服团队内部的意见和建议,并将这些信息提供给企业的隐私保护团队。
第四, 那么,涉及到隐私的事件和问题,由谁来应对呢?
就产生纠纷的案件或者存在纠纷端倪的具体个案而言,企业法务部门或隐私保护专员应当是方案的决定者和工作任务的分配者,更应当是有关流程的设计者。不过,在实际操作中(以及企业的隐私保护政策规章中),客服人员必须承担第一线的责任。这些责任因企业和产品的不同而不同,但至少应包括(1)明确记录用户需求并及时报告法务部门;(2)避免自行回应客户的法律要求;(3)严格按照产品设计和培训内容确定个人信息的收集范围,不向用户收集额外信息;(4)未经许可,不向用户提供其他用户的个人信息;(4)即使确需临机处置特定的个人数据,也应避免对有关行为作出泛化的描述(例如「我们公司的政策就是如此」之类)或向用户作出不必要的承诺。
第五 ,优化客服所使用的软硬件系统和数据库权限管理
前述「差距分析」的一项重点内容,就是由隐私保障团队分析客服工作所依赖的软硬件系统和数据库权限设置情况,发现其中的风险点和必须予以优化的地方。在设计新产品或功能的时候,也需要将「客服系统是否需要优化、修改」作为新产品设计草案或者计划书中的一个节点,让隐私保护团队对这个节点的完备性进行审计、判断乃至直接参与设计,再由客服部门予以实施。
最后 ,必须认识到真实世界的复杂性
客服部门在工作流程的设计和实际运营过程中,不仅需要关注隐私保障、数据安全,还需要关注很多其它事项。例如辨别真假用户、安抚用户情绪(以防出现公关危机)、提高用户粘性、自动化处理用户来电(以节省成本)等。这些事项中,有的与隐私保护目标一致,有的则可能存在冲突。因此,企业管理层和隐私保护团队应当定期与客服部门领导以及前述各个产品客服团队的「隐私牵头人」沟通,尽早发现或者预判不同工作目标中出现的冲突。
对绝大部分问题而言,产生后果后的成本会远远高于预防后果的成本。对绝大部分的内部目标冲突而言,在产品设计之前即开始沟通和协调,往往能找到降低风险的同时仍能达成业务目标的方案。