消费者数据的机会和隐私的必要性（英文版）

风险实践 消费者数据的机会和隐私的必要性 随着消费者对共享数据越来越谨慎，监管机构提高了隐私要求，领先的公司正在了解到数据保护和隐私可以创造业务优势。 作者：VenkyAnant，LisaDonchak，JamesKaplan和HenningSoller ©菲尔夏普/盖蒂图片社 2020年4月 随着消费者越来越多地采用数字技术，它们产生的数据既为企业创造了改善其 消费者参与和保护消费者数据安全的责任。这些数据，包括位置跟踪和其他类型的个人身份信息，对公司来说非常有价值：例如，许多组织使用数据来更好地了解消费者的痛点和未满足的需求。这些见解有助于开发新产品和服务，以及个性化广告和营销（目前数字广告的全球总价值估计为3000亿美元）。 消费者数据显然正在改变业务，公司负责管理他们收集的数据。为了了解消费者对隐私和数据收集的看法，麦肯锡对1000名北美消费者进行了调查。为了确定他们对数据收集，黑客和违规行为，法规，通信和特定行业的看法，我们向他们询问了有关他们对所光顾业务的信任的尖锐问题。 这些回应表明，消费者越来越关注他们共享哪些类型的数据以及与谁共享的数据。他们更有可能分享个人数据，这些数据是他们与组织互动的必要组成部分。按行业划分，消费者最愿意与医疗保健和金融服务提供商共享数据，尽管没有一个行业对数据保护的信任度达到50％。 鉴于最近备受瞩目的消费者数据泄露事件的历史，这种缺乏信任是可以理解的。 受访者知道此类违规行为，这为他们提供了有关信任的调查答案。在最灾难性的违规行为中暴露的消费者数据规模惊人。在一家大公司的两次违规行为中，公开了超过35亿条记录。其他几个违规行为暴露了数亿条记录。赌注是对于处理消费者数据的公司来说很高：即使没有受到这些违规行为直接影响的消费者也会关注公司对这些数据的回应方式。 不断增加的违规行为以及消费者对隐私和控制自己数据的需求，导致政府采用了新的法规，例如欧洲的《通用数据保护法规》（GDPR）和美国的《加利福尼亚消费者隐私法》（CCPA）。许多其他人也在效仿。 这些违规行为还促进了人们对数据的更多使用。全球十分之一的互联网用户(以及十分之三的美国用户)部署了可以阻止公司跟踪在线活动的广告拦截软件。绝大多数受访者(87%)表示他们不会这样做 如果他们担心公司的安全做法，则与公司进行业务。71 ％的人表示，如果未经许可泄露敏感数据，他们将停止与公司开展业务。 由于赌注如此之高-而且对这些问题的认识正在增加-公司处理消费者数据和隐私的方式可以成为差异化的一点，甚至是 有竞争力的业务优势。我们研究的主要发现如下。然后 ，我们为数据映射、运营和基础设施以及面向客户提供规范步骤 最佳实践。这些可以帮助公司定位自己以赢得竞争优势。 信任或缺乏信任的问题 消费者对我们调查的回应导致了许多关于数据管理和隐私 的重要见解。首先，消费者信任水平总体上较低，但因行业而异。两个部门-医疗保健 和金融服务——在信任方面得分最高：44%。值得注意的是，这些行业的客户互动涉及个人和高度敏感数据的使用。其他行业的信任水平要低得多。例如，只有大约10%的消费者受访者表示他们信任消费者包装商品或媒体和娱乐公司（图表1）。 大约三分之二的美国互联网用户表示，内容“非常重要” 附件1 消费者认为医疗保健和金融服务企业是最值得信赖的。 受访者选择在保护隐私和数据方面最受信任的特定行业，%(n=1,000) 18 医疗保健 44 医药/医疗Retail先进的电子产品 航空航天和国防 汽车和总成包装消费品 媒体和娱乐 金融服务 电力/天然气技术 旅行、运输和物流电信 公共部门和政府 Agriculture 石油和天然气 17 17 13 12 10 10 10 10 19 14 12 11 44 22 资料来源：麦肯锡2019年北美消费者数据隐私和保护调查 oftheiremailshouldremainaccessonlytothosewhomtheyauthorizedandthatthenamesandidentityoftheiremailrelattersremainprivate(Exhibit2). 大约一半的消费者受访者表示，他们更有可能信任一家只要求提供与其产品相关的信息或限制所需个人信息数量的公司。这些标记显然向消费者表明，公司正在采取深思熟虑的数据管理方法。 我们一半的消费者受访者也更有可能信任那些对黑客攻击和违规行为做出快速反应或积极披露此类事件的公司 这些做法对公司和消费者来说都变得越来越重要，因为违规行为的影响越来越大，更多的法规管理着数据违规披露的时间表。 调查显示，其他问题在获得消费者信任方面不太重要 ：特定行业的监管水平，公司是否将总部设在政府值得信赖的国家，或者公司是否 主动在网站或广告中分享网络实践(图表3)。 消费者赋权和行动 鉴于整体信任水平较低，消费者经常想要限制他们与企业 共享的数据类型也就不足为奇了。由于现在有许多可用的隐私工具，包括内置cooie阻止程序的Web浏览器，广告阻止软件（在全球超过6亿台设备上使用）和隐身浏览器（全球超过40％的互联网用户使用）。然而，如果提供的产品或服务——例如，医疗保健或资金管理——是 。 附件2 消费者隐私和保护问题因数字数据类型而异。 按数据类型划分的相对重要性，%的受访者（n=792） 非常重要 有点重要不太重要N/A 13 68 4 15 电子邮件内容 19 55 5 21 电子邮件通讯员的身份 62 16 16 54 16 26 4 下载文件的内容位置数据 内容、在线聊天室、群组的使用 51 12 22 15 浏览的网站 46 23 28 3 已执行的搜索 44 25 27 4 使用的应用程序和程序 40 27 28 5 互联网使用次数 33 17 45 5 来源：互联网与美国生活项目，皮尤研究中心 对消费者来说至关重要的是，许多人愿意搁置他们的隐私问题。 消费者不愿意为他们认为不那么重要的交易共享数据 。他们甚至可能“用脚投票”，并放弃与他们不信任数据隐私做法的公司开展业务。 同意或不理解。此外，尽管对消费者隐私的总体了解正在增加，但许多消费者仍然不知道如何保护自己：例如，只有14％的互联网用户对其在线通信进行加密，只有三分之一的用户定期更改密码（图表4）。 不断发展的法规 隐私法规正在演变，向保护消费者的显著转变：GDPR 例如，2018年5月在欧洲实施，为消费者提供了更多的选择和数据使用方式保护。GDPR使消费者更容易访问公司持有的有关他们的数据，并使他们更容易要求公司删除他们的数据。 对于公司而言，GDPR要求对其收集，存储，共享和删除数据的方式进行有意义的更改。不遵守规定可能会导致高额罚款，从而可能使公司损失高达其全球收入的4％。一家公司因数据泄露而被罚款1.8亿美元，其中包括近40万人的登录和付款信息。 未能遵守GDPR的5700万美元。该法规的副作用是消费者对其数据隐私权和保护的意识增强。欧洲十分之六的消费者现在意识到规则规范了其数据的使用 1罚款是由英国数据监管机构信息委员会办公室征收的，目前正在进行监管程序审查。 附件3 消费者信任那些限制个人数据使用并对黑客和违规行为做出快速反应的公司。 受访者通过实践信任，%(n=1,000) 不要询问与其产品无关的信息 52 对黑客和违规行为迅速作出反应 50 不要要求太多个人信息 48 主动报告黑客攻击或违规行为 46 拥有值得信赖的品牌 43 不要收集被动数据（例如，单击或浏览历史记录） 43 很少有黑客或违规行为 42 不使用跟踪Cookie 41 促进其产品的隐私（例如，双因素认证） 36 拥有值得信赖的领导者 35 不要在政府不受信任的国家/地区开展业务，被家人，朋 32 友认为值得信赖 32 分享他们保护数据的方法是受到高度监管的行 31 业的一部分 28 在一个拥有可信赖政府的国家中任职，公开其消费者隐私利 28 益 20 资料来源：麦肯锡2019年北美消费者数据隐私和保护调查 附件4 消费者对数据收集和隐私的担忧正在增加，但很少有人采取适当的保护措施。 受访者采取行动，%(n=792) 已清除Cookie和浏览器历史记录 64 删除或编辑过去的互联网帖子 41 将浏览器设置为禁用或关闭Cookie 41 没有使用网站，因为它要求真实姓名 36 使用的临时用户名、电子邮件地址 26 发表评论而不透露身份 25 要求某人删除侵入性帖子 21 蒙面身份 18 使用公共计算机匿名浏览 18 使用了错误或无法追踪的用户名 18 加密通信 14 允许匿名浏览的已使用服务 14 鉴于不准确的个人信息 13 来源：互联网与美国生活项目，皮尤研究中心 在他们自己的国家，比2015年的十分之四增加了。 GDPR被认为是数据隐私法规的领头羊。即使在欧洲，政策制定者也在寻求制定其他消费者隐私措施，包括ePrivacy法规（GDPR的扩展），该法规侧重于以电子方式传输的数据的隐私保护。它作为法规（而不是指令）的地位意味着它可以在欧盟成员国之间统一执行。电子隐私法规可能会在2020年颁布。 超越欧洲 欧洲以外的政府也开始制定数据隐私法规。例如，在巴西，《通用数据保护法》（LGPD）将于2020年8月生效。巴西以前的数据保护法规是基于部门的。LGPD是一项全国性的总体法律，集中和编纂了管理收集，使用，处理和存储的规则。 个人数据。虽然罚款没有GDPR那么高，但它们仍然令人敬畏：未能 遵守LGPD可能会使公司损失高达其巴西收入的2%。在美国，加州消费者隐私法案（CCPA）于2020年1月 在该州生效。它使居民有权知道收集了哪些关于他们的数 据，并防止出售他们的数据。CCPA是一项广泛的衡量标准 ，适用于在加利福尼亚州开展业务并符合以下标准之一的营利性组织：通过出售消费者的个人信息获得其年收入的一半以上；总收入超过5000万美元；或在超过100,000个消费者，家庭或设备上持有个人信息。 CCPA是美国最严格的消费者隐私法规，目前尚无国家数据隐私法。但是，对错误处理数据的最大罚款是由美国联邦贸易委员会（FTC）发布的。 合规性投资 公司正在投入大量资金，以确保它们符合这些新规定。 《财富》全球500强公司总共花费了 根据国际协会的估计，到2018年准备GDPR的78亿美元隐私专业人士。公司已经聘请了数据保护官，这是GDPR为所有处理大量个人数据的公司规定的新公司职位。尽管采取了这些措施，但很少有公司感到完全合规，许多公司仍在开发可扩展的解决方案。 一个主要的挑战——尤其是对于在国际上运营的公司— —是监管的拼凑性质。不同的司法管辖区或市场的要求是非常不同的。为了解决监管的多样性和预测未来的监管 ，许多公司已经开始系统化他们的合规方法。 有些人已经开始在其组织内创建监管角色和责任。许多人正试图实施面向未来的解决方案。微软不仅在加利福尼亚州满足CCPA要求，还将其应用于所有美国公民，尽管 其他州还没有像CCPA那样严格的政策。这种做法可能会变得更加普遍，因为许多公司正在使用最严格的法律要求作为自己的标准。对于美国的大多数公司来说，这意味着遵循CCPA的指导方针。 隐私监管的另一个困难方面与数据的删除和移植有关 ： 法规允许消费者要求删除其数据或企业向个人消费者或其他服务提供用户数据。对于许多公司而言，这些任务在技术上具有挑战性。公司数据集通常 分散在不同的IT基础架构中，很难恢复个人消费者的所有信息。此外，一些数据可能位于企业外部、附属网络或第三方网络中。出于这些原因，公司 可能难以识别来自所有来源的所有数据以进行传输或删除 。 公司采取的积极措施 对于寻求满足增强的消费者隐私和数据保护要求的公司， 已经出现了一些有效的措施。这些措施涵盖了企业数据的生命周期，包括运营，基础架构和面向客