- GDPR 适用于任何收集或处理欧盟用户个人数据的聊天机器人,要求透明度、用户权利和严格的数据保护措施。
- 您必须事先明确告知用户,您的聊天机器人会收集哪些数据、为什么收集、如何存储或共享这些数据,以及用户访问或删除其数据的权利。
- 数据处理只能出于特定的、公开的目的,并有法律依据(如同意、履行合同或合法利益)。
- 用户必须能够行使 GDPR 权利,如访问、更正或删除自己的数据,最好是直接通过聊天机器人流程进行。
如果你正在考虑为公司部署聊天机器人,这篇文章就是为你准备的。
随着《一般数据保护条例》(GDPR)对处理客户数据的公司造成阴影,解决企业技术问题的紧迫感日益增强。
我们的客户经常问的一个问题是:如何让我的Botpress 聊天机器人符合 GDPR 标准? 虽然遵守 GDPR 可能很棘手,但我们可以提供帮助。
如果 GDPR 适用于贵公司,这里有一些确保聊天机器人持续合规的提示和技巧。
GDPR 速成班
什么是 GDPR?
GDPR 是一项以数据保护和隐私为中心的欧盟法规。它影响欧盟和欧洲经济区(EEA)的个人和公司,包括欧盟和欧洲经济区以外的数据传输。
其目的是让个人控制自己的个人数据,并在欧盟范围内提供统一的监管。如果您的业务涉及这些领域,就必须遵守 GDPR。
不遵守 GDPR 是要付出代价的。它可能导致巨额罚款,最高可达 2,000 万欧元或上一财政年度全球营业额的 4%(以较高者为准)。
我们的目标是向用户证明,您会按照承诺准确处理他们的数据。这必将建立起客户对chatbots 的信任,从而最终提高公司的盈利能力和成功率。
什么被视为个人数据?
根据 GDPR,个人数据被定义为"与已识别或可识别的在世个人有关的任何信息"。这包括
- 电话号码
- 信用卡号码
- 人员数量
- 账户数据
- 号码牌
- 外观
- 客户编号
- 地址
但是,GDPR 下的定义非常宽泛--如果您不确定信息是否应算作个人数据,您最好假设它应作为个人数据处理。
1.透明
如果您正在通过聊天机器人收集客户数据(根据 GDPR,这些数据被视为个人数据),您就必须对聊天机器人用户保持透明。您必须解释收集用户数据的 "是谁、做什么、在哪里、何时以及为什么"。
这意味着要告知用户,你们收集了哪些客户数据、如何使用这些数据以及与谁共享这些数据。在收集任何客户数据之前,都应向用户介绍这些内容。
收集前通知用户
在通过聊天机器人管理任何客户数据之前,您应该提供一份清晰易懂的通知。
这通常看起来像弹出式窗口,向用户解释你将收集他们的哪些数据、为什么要收集这些数据以及他们对个人数据收集的权利。
发布公开隐私声明
您还应在在线隐私政策或声明中详细说明您的数据处理做法,并在必要时进行更新。您可以参考Botpress的 "隐私声明 "作为范例。
您的隐私声明应包括
- 收集用户哪些信息
- 为什么要处理他们的个人数据(即收集数据的目的)
- 如何存储和传输个人数据
- 您如何保护和处理他们的个人数据
- 用户的隐私权
对客户数据的使用和处理保持透明,可以培养信任感和善意,从而建立更牢固、更持久的客户关系,最终使企业更具可持续性和信誉。
2.实事求是
您只应为既定目的处理数据。这包括确保贵公司及其员工只为既定目的处理客户数据。
例如,如果您声明将客户数据用于发送商业通信、训练算法、产品改进数据分析、技术支持、客户服务或服务个性化,那么您只能将数据用于这些目的,而不能用于其他目的。
3.要聪明
您只能在有适当法律依据的情况下处理数据。
退后一步,在内部评估处理客户数据的法律依据。这项分析是 GDPR 所要求的。
只有满足以下一个或多个条件,您才能管理客户数据:
- 基于聊天机器人用户的明确同意
- 这是与用户签订的合同的一部分,处理过程不可或缺
- 履行法律义务
- 这是为了保障用户的切身利益(生死关头!)。
- 它在执行一项符合公众利益 的任务
- 这是您官方权力的一部分
- 为了追求合法利益(除非用户的利益或基本权利和自由超过了这些利益)。
处理客户数据最常见的理由是同意、执行合同 或合法利益。
4.以客户为导向
您必须让用户能够行使其数据隐私权。
在线chatbots 的 GDPR 清单中有一项涉及确保聊天机器人用户能够行使 GDPR 赋予他们的一项或多项数据隐私权。
聊天机器人用户必须能够访问聊天机器人收集到的有关他们的客户数据、更正数据、限制处理和反对处理、要求删除他们的数据或以可移植格式获取数据。
理想情况下,用户可以通过chatbots 对话流程,通过互动问答程序直接行使这些权利。值得庆幸的是,Botpress 提供了这种可能性。
5.做人
尽量证明自动决策有人工参与。
由Botpress 提供支持的聊天机器人使用了人工智能技术。具体来说,它们是由LLMs驱动的人工智能代理。
除非满足某些条件,否则您不能以人工智能单独对用户做出关键决定的方式来构建聊天机器人:对用户做出的决定不能产生法律效力或对用户产生重大影响。
这意味着在部署使用代理人工智能的聊天机器人的任何阶段,都应该有人工监督,以确保符合 GDPR。您必须能够向用户证明,人工参与在这些决策的形成过程中发挥了作用。
6.厌恶对数
评估您通过聊天机器人维护的日志类型。有错误日志吗?访问日志?安全审计日志?
如果有,请确定这些日志是否包含客户数据,如 IP 地址、身份识别信息或全名。如果答案是 "是",您可能必须制定删除这些客户数据的流程。GDPR 禁止您在没有正当理由的情况下保留这些数据。
如果没有理由保留,则删除通过日志获取的任何个人数据。
在Botpress ,我们会在明确规定的期限后自动删除通过日志获取的个人数据。
7.确保安全
除所有其他要素外,您还必须确保实施技术、组织、物理和管理措施,保护聊天机器人处理的信息。
这可能意味着要确保您
- 对客户数据进行静态和传输加密
- 匿名化或假名化客户数据
- 根据需要适当管理员工对客户数据的访问权限
- 除其他考虑因素外,还要有适当的备份
这些都是确保委托给您的数据安全的适当措施--它们会根据聊天机器人的用途和收集的数据而有所不同。
有关其他示例,您可以查看Botpress' 数据处理协议的附表 2,其中列出了您在我们的帮助下构建聊天机器人时我们采取的安全措施。
构建合规聊天机器人
确保您的聊天机器人符合 GDPR 不仅仅是法律或财务原因。与用户建立信任和透明度对公司的公众形象和个人客户关系至关重要。如果有疑问,请确保您的产品和服务遵循GDPR 清单 ,以确保合规。
我们很乐意帮助您确保您的人工智能聊天机器人符合必要的法规。GDPR 合规性的许多功能都直接内置在Botpress 中,因此您可以专注于机器人开发。
如有任何疑问,请致电legal@botpress.com。
常见问题
1.使用聊天机器人的非欧盟公司是否必须遵守 GDPR?
是的,如果您的聊天机器人与欧盟用户互动或处理欧盟居民的数据,无论您的公司总部在哪里,都必须遵守 GDPR。
2.如何为聊天机器人进行数据保护影响评估(DPIA)?
要为您的聊天机器人进行数据保护影响评估(DPIA),首先要确定聊天机器人处理哪些个人数据、涉及的风险以及您将采取的缓解措施。这是一种结构化的方式,可以表明您已经考虑过隐私影响以及如何处理。
3.如何确保聊天机器人在调试或分析过程中不会记录敏感数据?
为确保您的聊天机器人在调试或分析过程中不会记录敏感数据,请禁用对话内容日志,对保留的任何日志进行匿名化处理,并确保调试工具排除或编辑个人数据。经常查看日志记录的内容,并实施严格的访问控制。
4.我是否需要针对不同地区的不同数据法律对聊天机器人进行本地化?
是的,您需要针对不同地区本地化您的聊天机器人。虽然 GDPR 很严格,但加利福尼亚或巴西等其他地区也有自己的规定,因此根据每个地区的情况定制聊天机器人的数据实践有助于您在全球范围内保持合规。
5.通过LLMs 进行实时用户分析是否符合 GDPR?
至于通过LLMs 进行实时用户分析是否符合 GDPR,这要视情况而定。剖析是允许的,但如果剖析会对用户产生重大影响,或在没有人工输入的情况下做出自动决策,则需要强有力的理由和明确的同意。透明度和人工监督是关键。
.png)
