隨著GDPR(通用數據保護條例)給處理客戶數據的公司蒙上了陰影,解決企業技術方面的緊迫感越來越強。
我們客戶經常提出的一個問題是: 我如何製作我的 Botpress 聊天機器人是否符合GDPR標準? 雖然遵守GDPR可能很棘手,但我們隨時為您提供説明。
如果 GDPR 適用於您的公司,這裡有一些提示和技巧可以確保您的聊天機器人持續合規。
GDPR速成班
什麼是GDPR?
GDPR 是一項以數據保護和隱私為中心的歐盟法規。它會影響歐盟和歐洲經濟區 (EEA) 的個人和公司,包括在歐盟和歐洲經濟區之外傳輸數據。
其目的是讓個人控制他們的個人數據,並在整個歐盟提供統一的監管。如果您的企業在這些地區運營,則必須遵守GDPR。
不遵守GDPR是有代價的。這可能會導致巨額罰款,最高可達 2000 萬歐元或上一財政年度全球營業額的 4%——以較高者為準。
目標是能夠向用戶證明您將按照承諾精確處理他們的資料。這肯定會建立客戶對您的信任 chatbots,這最終可以提高貴公司的盈利能力和成功率。
什麼是個人數據?
根據GDPR, 個人數據被定義為 “與已識別或可識別的在世個人相關的任何資訊”。這包括:
- 電話號碼
- 信用卡號碼
- 人員編號
- 帳戶數據
- 車牌
- 外觀
- 客戶數量
- 位址
然而,GDPR 的定義很寬泛——如果您不確定資訊是否應該算作個人數據,您最好假設它應該被這樣處理。
保持透明
如果您通過聊天機器人收集客戶數據(根據 GDPR,這些數據被視為個人數據),您需要對聊天機器人使用者保持透明。您必須解釋收集他們數據的「誰、什麼、在哪裡、何時以及為什麼」。
這意味著告知您的使用者您收集了哪些客戶數據、如何使用這些數據以及與誰共用這些數據。在收集任何客戶數據 之前 ,應始終向用戶顯示這些元素。
收集前通知使用者
在通過聊天機器人管理任何客戶數據之前,您應該提供清晰易懂的通知。
這通常看起來像彈出視窗,向用戶解釋您將從他們那裡收集哪些數據、您為什麼要收集這些數據以及他們收集個人數據的權利。
發佈公開隱私聲明
您還應該在在線隱私政策或聲明中詳細說明您的數據處理實踐,並在必要時進行更新。您可以參考 Botpress'以隱私聲明 為例。
您的隱私聲明應包括:
- 從用戶那裡收集哪些資訊
- 您為什麼要處理他們的個人資料(即資料收集的目的)
- 您如何儲存和傳輸個人數據
- 您如何保護和處理他們的個人數據
- 用戶的隱私權
您使用和處理客戶數據的透明度可以培養信任感和商譽感,從而帶來更強大、更持久的客戶關係,並最終實現更可持續和信譽良好的業務。
誠實
您應僅出於所述目的處理數據。這包括保持警惕,您的公司及其員工僅出於所述目的處理客戶數據。
例如,如果您聲明將使用客戶數據來發送商業通信、訓練演算法、用於產品改進的數據分析、技術支援、客戶服務或服務個人化,則您只能將數據用於此類目的,僅此而已。
聰明一點
您只應在有適當法律依據的情況下處理數據。
退後一步,在內部評估您處理客戶數據的法律依據。此分析是GDPR要求的。
只有在滿足以下一個或多個條件時,您才能管理客戶數據:
- 它基於聊天機器人用戶的明確同意
- 這是與用戶 簽訂的合同 的一部分,處理是必不可少的
- 這是在履行 法律義務
- 這是為了維護使用者 的切身利益 (閱讀:生死攸關的情況!
- 它正在執行一項符合公共利益的任務
- 這是你官方權力的一部分
- 這是為了追求 合法利益 (除非這些利益被使用者利益或基本權利和自由所壓倒)
處理客戶數據的最常見原因是 同意、執行合同 或 合法利益。
以客戶為導向
您必須允許使用者行使其數據隱私權。
GDPR 在線清單上的一項 chatbots 涉及確保聊天機器人用戶能夠行使GDPR賦予他們的各種數據隱私權中的一項或多項。
聊天機器人用戶必須能夠訪問聊天機器人收集的有關他們的客戶數據,更正它,限制處理和反對它,請求刪除他們的數據或以便攜式格式獲取它。
理想情況下,用戶能夠直接通過您的 chatbots 對話流程,通過互動式問答過程。謝天謝地 Botpress 提供了這種可能性。
做人
嘗試證明自動化決策需要人工參與。
Chatbots 提供者 Botpress 使用人工智慧驅動的技術。除非滿足某些條件,否則您無法以人工智慧單獨對使用者做出關鍵決策的方式構建聊天機器人:對使用者做出的決定不會產生法律效力或對用戶產生重大影響。
這意味著在部署人工智慧聊天機器人的任何階段都應該存在人工監督,以確保符合GDPR。您必須能夠向用戶證明,人工參與在制定這些決策方面發揮了作用。
厭惡日誌
評估您通過聊天機器人維護的日誌類型。你有錯誤日誌嗎?訪問日誌?安全審計日誌?
如果這樣做,請確定這些日誌是否包含客戶數據,例如IP位址、標識資訊或全名。如果答案是“是”,您可能需要制定一個流程來刪除此客戶數據。GDPR 禁止您在沒有正當理由的情況下保留和保留這些數據。
當保留不合理時,請刪除通過日誌獲取的任何個人數據。
在 Botpress,我們會在明確定義的時間段後自動刪除通過日誌獲取的個人數據。
安全無虞
除了所有其他元素外,您還必須確保實施技術、組織、物理和管理措施,以保護通過聊天機器人處理的資訊。
這可能意味著確保您:
- 對靜態和傳輸中的客戶數據進行加密
- 對客戶數據進行匿名化或假名化處理
- 根據需要知道的基礎,適當管理員工對客戶數據的訪問
- 除其他考慮因素外,還要進行適當的備份
這些都是保護委託給您的數據的適當措施——它們會根據聊天機器人的目的和收集的數據而有所不同。
對於其他範例,您可以查看附表 2Botpress' 資料處理協定,瞭解您在我們的説明下構建聊天機器人時我們採取的安全措施清單。
建築合規 chatbots
確保您的聊天機器人遵守GDPR不僅出於法律或財務原因很重要。與使用者建立信任和透明度對於公司的公眾形象和個人客戶關係是不可或缺的。如有疑問,請確保您的產品和服務遵循 GDPR 清單 ,以確保合規性。
我們很樂意幫助您確保您的 AI 聊天機器人符合必要的法規。GDPR 合規性的許多功能都直接內置在 Botpress 因此,您可以專注於機器人構建。
如有任何問題,您可以聯繫 法律@botpress.com。
.svg)
