消费者数据的机会和隐私的必要性（英文版）

风险实践 消费者数据机会和隐私权势在必行 随着消费者在共享数据方面变得更加谨慎，监管机构提高了隐私要求，领先的公司正在学习数据保护和隐私可以创造商业优势。 作者：VenkyAnant、LisaDonchak、JamesKaplan和HenningSoller ©菲尔夏普/盖蒂图片社 2020年4月 随着消费者越来越多地采用数字技术，他们产生的数据为企业创造了一个机会来改善他们的 消费者参与和保护消费者数据安全的责任。这些数据，包括位置跟踪和其他类型的个人身份信息，对公司来说非常有价值：例如，许多组织使用数据来更好地了解消费者的痛点和未满足的需求。这些见解有助于开发新产品和服务 ，以及个性化广告和营销（目前全球数字广告的总价值估计为3000亿美元）。 消费者数据显然正在改变业务，公司有责任管理他们收集的数据。为了了解消费者对隐私和数据收集的看法，麦肯锡对1000名北美消费者进行了一项调查。为了确定他们对数据收集、黑客攻击和违规行为、法规、通信和特定行业的看法，我们向他们询问了有关他们对所光顾的企业的信任度的尖锐问题。 回应表明，消费者越来越关注他们共享的数据类型以及与谁共享。他们更有可能共享个人数据，这些数据是他们与组织互动的必要组成部分。按行业划分，消费者最愿意与医疗保健和金融服务提供商共享数据，尽管没有一个行业的数据保护信任度达到50%。 鉴于近期备受瞩目的消费者数据泄露历史，这种缺乏信任是可以理解的。 受访者知道此类违规行为，这为他们的调查回答提供了有关信任的信息。在最灾难性的违规行为中暴露的消费者数据规模令人震惊。在一家大型公司的两次违规事件中，超过35亿条记录被公开。其他几家公司的违规行为暴露了数亿条记录。赌注是 对处理消费者数据的公司来说很高：即使是没有直接受到这些违规行为影响的消费者也会关注公司对它们的反应方式。 激增的违规行为以及消费者对隐私和控制自己数据的需求导致政府采用新法规，例如欧洲的《通用数据保护条例》(GDPR)和美国各州的《加州消费者隐私法》(CCPA)。许多其他人也在效仿。 这些违规行为还促进了人们更多地使用工具，这些工具可以让人们更好地控制他们的数据。全世界十分之一的互联网用户（以及十分之三的美国用户）部署了可以阻止公司跟踪在线活动的广告拦截软件。绝大多数受访者（87%）表示他们不会 如果他们担心公司的安全实践，则与公司开展业务。71%的人表示，如果某家公司未经许可泄露敏感数据，他们将停止与该公司开展业务。 由于风险如此之高——而且对这些问题的认识越来越高——公司处理消费者数据和隐私的方式可能成为差异化点，甚至是 竞争的商业优势。我们研究的主要发现如下。然后，我们为数据映射、运营和基础架构以及面向客户的流程提供规范性步骤 最佳实践。这些可以帮助公司定位自己以赢得竞争优势。 信任问题——或缺乏信任 消费者对我们调查的反应导致了一些关于数据管理和隐私 的重要见解。首先，消费者的信任度总体较低，但因行业而异。两个行业——医疗保健 和金融服务——在信任方面取得最高分：44%。值得注意的是，这些领域的客户互动涉及使用个人和高度敏感的数据。其他行业的信任度要低得多。例如，只有大约10%的消费者受访者表示他们信任消费品或媒体和娱乐公司（图表1）。 大约三分之二的美国互联网用户表示内容“非常重要” 图表1 消费者认为医疗保健和金融服务业务是最值得信赖的。 受访者选择了在保护隐私和数据方面最受信任的特定行业，%(n=1,000) 18 卫生保健 44 制药/医疗零售先进的电子产品 航空航天和国防 汽车和装配包装消费品 媒体和娱乐 金融服务 电力/天然气技术 旅行、运输和物流电信 公共部门和农业政府 油和气 17 17 13 12 10 10 10 10 19 14 12 11 44 22 资料来源：麦肯锡关于数据隐私和保护的北美消费者调查，2019年 他们的电子邮件应该只有他们授权的人才能访问，并且他们的电子邮件通讯员的姓名和身份保持私密（图表2） 。 大约一半的消费者受访者表示，他们更有可能信任一家只要求提供与其产品相关的信息或限制所要求的个人信息数量的公司。这些标记显然向消费者表明公司正在采取深思熟虑的数据管理方法。 我们一半的消费者受访者也更有可能信任对黑客和违规行为做出快速反应或积极披露此类事件的公司 对公众。随着数据泄露的影响越来越大，以及越来越多的法规管理着数据泄露披露的时间表，这些做法对公司和消费者都变得越来越重要。 调查显示，在获得消费者信任方面，其他问题不太重要 ：特定行业的监管水平、公司总部是否位于政府值得信赖的国家，或者公司是否 主动在网站或广告中分享网络实践（图表3）。 消费者赋权和行动 鉴于总体信任度较低，消费者经常希望限制他们与企业共 享的数据类型也就不足为奇了。由于现在有许多可用的隐私工具，包括内置cookie拦截器的网络浏览器、广告拦截软件（在全球超过6亿台设备上使用）和隐身浏览器，消费者可以更好地控制他们的个人信息。全球超过40%的互联网用户使用）。但是，如果产品或服务（例如医疗保健或资金管理）是 图表2 消费者隐私和保护问题因数字数据类型而异。 数据类型的相对重要性，受访者百分比（n=792） 很重要 有一些重要不太重要N/A 13 68 4 15 电子邮件的内容 19 55 5 21 电子邮件通讯员的身份 62 16 16 54 16 26 4 下载文件的内容位置数据 内容、在线聊天室的使用、群组 51 12 22 15 浏览的网站 46 23 28 3 执行的搜索 44 25 27 4 使用的应用程序和程序 40 27 28 5 上网次数 33 17 45 5 资料来源：互联网与美国生活项目，皮尤研究中心 对消费者至关重要，许多人愿意抛开他们的隐私问题。 消费者不愿意分享他们认为不太重要的交易的数据。他们甚至可能“用脚投票”，放弃与他们不信任、不信任数据隐私做法的公司开展业务。 同意，或者不理解。此外，虽然对消费者隐私的总体了解在增加，但许多消费者仍然不知道如何保护自己：例如，只有14%的互联网用户加密他们的在线通信，只有三分之一的人定期更改密码（图表4）。 不断发展的法规 隐私法规正在不断发展，明显转向保护消费者：GDPR， 对于 例如，2018年5月在欧洲实施，在如何使用他们的数据方面为消费者提供了更多选择和保护。GDPR让消费者更容易访问公司持有的关于他们的数据，并使他们更容易要求公司删除他们的数据。 对于公司而言，GDPR要求对他们收集、存储、共享和删除数据的方式进行有意义的改变。不遵守可能会导致巨额罚款，可能使公司损失高达其全球收入的4%。一家公司因数据泄露而被罚款1.8亿美元，其中包括近40万人的登录和支付信息。¹另一家被罚款 因未能遵守GDPR而获得5700万美元。该法规的一个副作用是提高了消费者对其数据隐私权和保护的认识。大约十分之六的欧洲消费者现在意识到规则会规范其数据的使用 1该罚款由英国数据监管机构信息委员会办公室实施，目前正在接受监管程序审查。 图表3 消费者信任那些限制个人数据使用并对黑客攻击和违规行为做出快速反应的公司。 受访者对实践的信任，%(n=1,000) 不要询问与他们的产品无关的信息52 对黑客攻击和违规行为迅速做出反应50 不要要求太多的个人信息48 主动报告黑客攻击或违规行为46 拥有值得信赖的品牌43 不要收集被动数据（例如，点击或浏览历史记录）43 很少有黑客或违规行为42 不要使用跟踪cookie41 促进其产品的隐私（例如，2因素身份验证）拥有值得信赖的领导者 36 35 不要在政府不受信任的国家运营被家人、朋友认为值得信赖 32 分享他们保护数据的方法属于高度监管的行 32 业 31 总部设在政府值得信赖的国家宣传他们的消费者隐私利益 28 28 20 资料来源：麦肯锡关于数据隐私和保护的北美消费者调查，2019年 图表4 消费者对数据收集和隐私的担忧与日俱增，但很少有人采取足够的保护措施。 受访者采取行动，%(n=792) 清除cookie和浏览器历史记录 64 删除或编辑过去的互联网帖子 41 将浏览器设置为禁用或关闭cookie 41 没有使用网站，因为它要求真实姓名 36 使用的临时用户名、电子邮件地址 26 发表评论而不透露身份 25 要求某人删除侵扰性帖子 21 蒙面身份 18 使用公用电脑匿名浏览 18 使用了虚假或无法追踪的用户名 18 加密通信 14 使用允许匿名浏览的服务 14 鉴于不准确的个人信息 13 资料来源：互联网与美国生活项目，皮尤研究中心 在他们自己的国家，从2015年的十分之四增加。 GDPR被认为是数据隐私监管的风向标。即使在欧洲，政策制定者也在寻求制定额外的消费者隐私措施，包括ePrivacy法规（GDPR的扩展），该法规侧重于对电子传输数据的隐私保护。它作为法规（而不是指令）的地位意味着它可以在欧盟成员国之间统一执行。电子隐私法规可能会在2020年颁布。 超越欧洲 欧洲以外的政府也开始制定数据隐私法规。例如，在巴西，LeiGeraldeProteçãodeDados或LGPD（通用数据保护法）将于2020年8月生效。巴西之前的数据保护法规是基于行业的。LGPD是一项统括性的全国性法律，集中和编纂管理收集、使用、处理和存储的规则 个人资料。虽然罚款没有GDPR高，但仍然令人生畏：未能 遵守LGPD可能会使公司损失高达其巴西收入的2%。在美国，加利福尼亚州消费者隐私法(CCPA)于2020年1 月在该州生效。它赋予居民了解收集了哪些关于他们的数 据并防止其数据被出售的权利。CCPA是一项广泛的衡量标准，适用于在加利福尼亚州开展业务并满足以下条件之一的营利性组织：超过一半的年收入来自出售消费者的个人信息；总收入超过5000万美元；或持有超过100,000名消费者、家庭或设备的个人信息。 CCPA是美国最严格的消费者隐私法规，目前还没有国家数据隐私法。然而，美国联邦贸易委员会(FTC)对数据处理不当开出了最大的罚款。 合规投资 公司正在投入巨资，以确保他们遵守这些新规定。财富全球500强企业总共花费了 根据国际协会的估计，到2018年为GDPR做准备的资金将达到78亿美元 的隐私专家。公司已聘请数据保护官，这是GDPR为所有处理大量个人数据的公司规定的新定义的公司职位。尽管采取了这些措施，但很少有公司感到完全合规，许多公司仍在研究可扩展的解决方案。 一个核心挑战——尤其是对于在国际上运营的公司而言— —是监管的拼凑性质。要求从一个司法管辖区或市场到另一个非常不同。为了解决监管多样性和预测未来的监管，许多公司已经开始系统化他们的合规方法。 有些人已经开始在他们的组织内创建监管角色和职责。许多人正在尝试实施面向未来的解决方案。微软不仅在加利福尼亚州满足CCPA要求，而是将它们应用于所有美国公民，尽管 其他州还没有像CCPA那样严格的政策。这种做法可能会变得更加普遍，因为许多公司正在使用最严格的法律要求作为自己的标准。对于美国的大多数公司来说，这意味着遵循CCPA的指导方针。 隐私监管的另一个困难方面与数据的删除和移植有关 ： 法规允许消费者要求删除其数据或企业向个人消费者或其他服务提供用户数据。对于许多公司而言，这些任务在技术上具有挑战性。企业数据集通常 分散在不同的IT基础设施中，因此难以恢复有关个人消费者的所有信息。此外，一些数据可能位于企业外部、附属机构或第三方网络中。由于这些原因，企业 可能难以识别来自所有来源的所有数据以进行传输或删除 。 企业的积极措施 对于寻求解决增强的消费者隐私和数据保护要求的公司， 已经出现了几项有效的行动。这些跨越企业数据的生命周期，包括运营、基础设施和面向客户的实践中的步骤，并通过数据映射实现。 数据映射 领先的公司已经创建了数据地