- GDPR 適用於任何收集或處理歐盟使用者個人資料的聊天機器人,要求透明度、使用者權利和嚴格的資料保障措施。
- 您必須事先清楚告知使用者您的聊天機器人會收集哪些資料、為何收集、如何儲存或共用,以及使用者存取或刪除資料的權利。
- 資料的處理只能用於特定的、已申報的目的,並有法律依據,例如同意、合約履行或合法利益。
- 使用者必須能夠行使 GDPR 權利,例如存取、更正或刪除其資料,最好是直接透過聊天機流程。
隨著GDPR(通用數據保護條例)給處理客戶數據的公司蒙上了陰影,解決企業技術方面的緊迫感越來越強。
我們客戶經常提出的一個問題是: 我如何製作我的 Botpress 聊天機器人是否符合GDPR標準? 雖然遵守GDPR可能很棘手,但我們隨時為您提供説明。
如果 GDPR 適用於您的公司,這裡有一些提示和技巧可以確保您的聊天機器人持續合規。
GDPR速成班
什麼是GDPR?
GDPR 是一項以數據保護和隱私為中心的歐盟法規。它會影響歐盟和歐洲經濟區 (EEA) 的個人和公司,包括在歐盟和歐洲經濟區之外傳輸數據。
其目的是讓個人控制他們的個人數據,並在整個歐盟提供統一的監管。如果您的企業在這些地區運營,則必須遵守GDPR。
不遵守GDPR是有代價的。這可能會導致巨額罰款,最高可達 2000 萬歐元或上一財政年度全球營業額的 4%——以較高者為準。
目標是能夠向用戶證明您將按照承諾精確處理他們的資料。這肯定會建立客戶對您的信任 chatbots,這最終可以提高貴公司的盈利能力和成功率。
什麼是個人數據?
根據GDPR, 個人數據被定義為 “與已識別或可識別的在世個人相關的任何資訊”。這包括:
- 電話號碼
- 信用卡號碼
- 人員編號
- 帳戶數據
- 車牌
- 外觀
- 客戶數量
- 位址
然而,GDPR 的定義很寬泛——如果您不確定資訊是否應該算作個人數據,您最好假設它應該被這樣處理。
1.透明化
如果您通過聊天機器人收集客戶數據(根據 GDPR,這些數據被視為個人數據),您需要對聊天機器人使用者保持透明。您必須解釋收集他們數據的「誰、什麼、在哪裡、何時以及為什麼」。
這意味著告知您的使用者您收集了哪些客戶數據、如何使用這些數據以及與誰共用這些數據。在收集任何客戶數據 之前 ,應始終向用戶顯示這些元素。
收集前通知使用者
在通過聊天機器人管理任何客戶數據之前,您應該提供清晰易懂的通知。
這通常看起來像彈出視窗,向用戶解釋您將從他們那裡收集哪些數據、您為什麼要收集這些數據以及他們收集個人數據的權利。
發佈公開隱私聲明
您還應該在在線隱私政策或聲明中詳細說明您的數據處理實踐,並在必要時進行更新。您可以參考 Botpress'以隱私聲明 為例。
您的隱私聲明應包括:
- 從用戶那裡收集哪些資訊
- 您為什麼要處理他們的個人資料(即資料收集的目的)
- 您如何儲存和傳輸個人數據
- 您如何保護和處理他們的個人數據
- 用戶的隱私權
您使用和處理客戶數據的透明度可以培養信任感和商譽感,從而帶來更強大、更持久的客戶關係,並最終實現更可持續和信譽良好的業務。
2.誠實
您應僅出於所述目的處理數據。這包括保持警惕,您的公司及其員工僅出於所述目的處理客戶數據。
例如,如果您聲明將使用客戶數據來發送商業通信、訓練演算法、用於產品改進的數據分析、技術支援、客戶服務或服務個人化,則您只能將數據用於此類目的,僅此而已。
3.聰明一點
您只應在有適當法律依據的情況下處理數據。
退後一步,在內部評估您處理客戶數據的法律依據。此分析是GDPR要求的。
只有在滿足以下一個或多個條件時,您才能管理客戶數據:
- 它基於聊天機器人用戶的明確同意
- 這是與用戶 簽訂的合同 的一部分,處理是必不可少的
- 這是在履行 法律義務
- 這是為了維護使用者 的切身利益 (閱讀:生死攸關的情況!
- 它正在執行一項符合公共利益的任務
- 這是你官方權力的一部分
- 這是為了追求 合法利益 (除非這些利益被使用者利益或基本權利和自由所壓倒)
處理客戶數據的最常見原因是 同意、執行合同 或 合法利益。
4.以客戶為導向
您必須允許使用者行使其數據隱私權。
GDPR 在線清單上的一項 chatbots 涉及確保聊天機器人用戶能夠行使GDPR賦予他們的各種數據隱私權中的一項或多項。
聊天機器人用戶必須能夠訪問聊天機器人收集的有關他們的客戶數據,更正它,限制處理和反對它,請求刪除他們的數據或以便攜式格式獲取它。
理想情況下,用戶能夠直接通過您的 chatbots 對話流程,通過互動式問答過程。謝天謝地 Botpress 提供了這種可能性。
5.以人為本
嘗試證明自動化決策需要人工參與。
由Botpress 驅動的聊天機器人使用 AI 技術。具體來說,它們是由LLMs的 AI 代理。
除非滿足某些條件,否則您不能以人工智能會單獨針對使用者做出關鍵決策的方式來架構您的聊天機器人:針對使用者做出的決策不能產生法律效力或對使用者造成重大影響。
這表示在部署使用代理人工智慧的聊天機器人的任何階段都應該有人工監督,以確保符合 GDPR 規範。您必須能夠向使用者證明,人類的參與在這些決策的形成過程中扮演了一定的角色。
6.厭惡對數
評估您通過聊天機器人維護的日誌類型。你有錯誤日誌嗎?訪問日誌?安全審計日誌?
如果這樣做,請確定這些日誌是否包含客戶數據,例如IP位址、標識資訊或全名。如果答案是“是”,您可能需要制定一個流程來刪除此客戶數據。GDPR 禁止您在沒有正當理由的情況下保留和保留這些數據。
當保留不合理時,請刪除通過日誌獲取的任何個人數據。
在 Botpress,我們會在明確定義的時間段後自動刪除通過日誌獲取的個人數據。
7.安全
除了所有其他元素外,您還必須確保實施技術、組織、物理和管理措施,以保護通過聊天機器人處理的資訊。
這可能意味著確保您:
- 對靜態和傳輸中的客戶數據進行加密
- 對客戶數據進行匿名化或假名化處理
- 根據需要知道的基礎,適當管理員工對客戶數據的訪問
- 除其他考慮因素外,還要進行適當的備份
這些都是保護委託給您的數據的適當措施——它們會根據聊天機器人的目的和收集的數據而有所不同。
對於其他範例,您可以查看附表 2Botpress' 資料處理協定,瞭解您在我們的説明下構建聊天機器人時我們採取的安全措施清單。
建立合規的聊天機器人
確保您的聊天機器人遵守GDPR不僅出於法律或財務原因很重要。與使用者建立信任和透明度對於公司的公眾形象和個人客戶關係是不可或缺的。如有疑問,請確保您的產品和服務遵循 GDPR 清單 ,以確保合規性。
我們很樂意幫助您確保您的 AI 聊天機器人符合必要的法規。GDPR 合規性的許多功能都直接內置在 Botpress 因此,您可以專注於機器人構建。
如有任何問題,您可以聯繫 法律@botpress.com。
常見問題
1.使用聊天機器人的非歐盟公司是否必須遵守 GDPR?
是的,如果您的聊天機器人與歐盟的使用者互動或處理歐盟居民的資料,無論您公司的總部在哪裡,都必須遵守 GDPR。
2.如何為我的聊天機器人進行資料保護影響評估 (DPIA)?
要為您的聊天機器人進行資料保護影響評估 (DPIA),首先要確定您的聊天機器人會處理哪些個人資料、涉及的風險,以及您要採取的減緩措施。這是一種結構化的方式,可顯示您已考慮到隱私權的影響以及如何處理。
3.如何確保聊天機器人在除錯或分析時不會記錄敏感資料?
為了確保您的聊天機器人在除錯或分析時不會記錄敏感資料,請停用對話內容記錄、將您保留的任何記錄匿名化,並確保除錯工具排除或刪除個人資料。請隨時檢視記錄擷取的內容,並應用嚴格的存取控制。
4.我需要針對不同地區的不同資料法來本地化我的聊天機器人嗎?
是的,您需要針對不同地區本地化您的聊天機器人。雖然 GDPR 很嚴格,但其他地區(如加州或巴西)也有自己的規定,因此針對每個地區量身打造聊天機器人的資料實務,有助於您在全球範圍內保持合規。
5.透過LLMs 進行即時使用者側寫是否符合 GDPR?
至於透過LLMs 進行即時使用者側寫是否符合 GDPR,則視情況而定。剖析是允許的,但如果它會對使用者造成重大影響,或在沒有人為輸入的情況下做出自動決策,您就需要強而有力的理由和明確的同意。透明度和人工監督是關鍵。
.png)
