随着《一般数据保护条例》(GDPR)对处理客户数据的公司造成阴影,解决企业技术问题的紧迫感日益增强。
我们的客户经常问的一个问题是:如何让我的Botpress 聊天机器人符合 GDPR 标准? 虽然遵守 GDPR 可能很棘手,但我们可以提供帮助。
如果 GDPR 适用于贵公司,这里有一些确保聊天机器人持续合规的提示和技巧。
GDPR 速成班
什么是 GDPR?
GDPR 是一项以数据保护和隐私为中心的欧盟法规。它影响欧盟和欧洲经济区(EEA)的个人和公司,包括欧盟和欧洲经济区以外的数据传输。
其目的是让个人控制自己的个人数据,并在欧盟范围内提供统一的监管。如果您的业务涉及这些领域,就必须遵守 GDPR。
不遵守 GDPR 是要付出代价的。它可能导致巨额罚款,最高可达 2,000 万欧元或上一财政年度全球营业额的 4%(以较高者为准)。
我们的目标是向用户证明,您会按照承诺准确处理他们的数据。这必将建立起客户对chatbots 的信任,从而最终提高公司的盈利能力和成功率。
什么被视为个人数据?
根据 GDPR,个人数据被定义为"与已识别或可识别的在世个人有关的任何信息"。这包括
- 电话号码
- 信用卡号码
- 人员数量
- 账户数据
- 号码牌
- 外观
- 客户编号
- 地址
但是,GDPR 下的定义非常宽泛--如果您不确定信息是否应算作个人数据,您最好假设它应作为个人数据处理。
透明
如果您正在通过聊天机器人收集客户数据(根据 GDPR,这些数据被视为个人数据),您就必须对聊天机器人用户保持透明。您必须解释收集用户数据的 "是谁、做什么、在哪里、何时以及为什么"。
这意味着要告知用户,你们收集了哪些客户数据、如何使用这些数据以及与谁共享这些数据。在收集任何客户数据之前,都应向用户介绍这些内容。
收集前通知用户
在通过聊天机器人管理任何客户数据之前,您应该提供一份清晰易懂的通知。
这通常看起来像弹出式窗口,向用户解释你将收集他们的哪些数据、为什么要收集这些数据以及他们对个人数据收集的权利。
发布公开隐私声明
您还应在在线隐私政策或声明中详细说明您的数据处理做法,并在必要时进行更新。您可以参考Botpress的 "隐私声明 "作为范例。
您的隐私声明应包括
- 收集用户哪些信息
- 为什么要处理他们的个人数据(即收集数据的目的)
- 如何存储和传输个人数据
- 您如何保护和处理他们的个人数据
- 用户的隐私权
对客户数据的使用和处理保持透明,可以培养信任感和善意,从而建立更牢固、更持久的客户关系,最终使企业更具可持续性和信誉。
实事求是
您只应为既定目的处理数据。这包括确保贵公司及其员工只为既定目的处理客户数据。
例如,如果您声明将客户数据用于发送商业通信、训练算法、产品改进数据分析、技术支持、客户服务或服务个性化,那么您只能将数据用于这些目的,而不能用于其他目的。
聪明点
您只能在有适当法律依据的情况下处理数据。
退后一步,在内部评估处理客户数据的法律依据。这项分析是 GDPR 所要求的。
只有满足以下一个或多个条件,您才能管理客户数据:
- 基于聊天机器人用户的明确同意
- 这是与用户签订的合同的一部分,处理过程不可或缺
- 履行法律义务
- 这是为了保障用户的切身利益(生死关头!)。
- 它在执行一项符合公众利益 的任务
- 这是您官方权力的一部分
- 为了追求合法利益(除非用户的利益或基本权利和自由超过了这些利益)。
处理客户数据最常见的理由是同意、执行合同 或合法利益。
以客户为导向
您必须让用户能够行使其数据隐私权。
在线chatbots 的 GDPR 清单中有一项涉及确保聊天机器人用户能够行使 GDPR 赋予他们的一项或多项数据隐私权。
聊天机器人用户必须能够访问聊天机器人收集到的有关他们的客户数据、更正数据、限制处理和反对处理、要求删除他们的数据或以可移植格式获取数据。
理想情况下,用户可以通过chatbots 对话流程,通过互动问答程序直接行使这些权利。值得庆幸的是,Botpress 提供了这种可能性。
做人
尽量证明自动决策有人工参与。
Chatbots 由Botpress 提供支持的聊天机器人使用人工智能技术。除非满足某些条件,否则您不能以人工智能单独对用户做出关键决定的方式来构建聊天机器人:对用户做出的决定不能产生法律效力或对用户产生重大影响。
这意味着在部署人工智能驱动的聊天机器人的任何阶段都应该有人工监督,以确保符合 GDPR。您必须能够向用户证明,人工参与在这些决定的形成过程中发挥了作用。
不喜对数
评估您通过聊天机器人维护的日志类型。有错误日志吗?访问日志?安全审计日志?
如果有,请确定这些日志是否包含客户数据,如 IP 地址、身份识别信息或全名。如果答案是 "是",您可能必须制定删除这些客户数据的流程。GDPR 禁止您在没有正当理由的情况下保留这些数据。
如果没有理由保留,则删除通过日志获取的任何个人数据。
在Botpress ,我们会在明确规定的期限后自动删除通过日志获取的个人数据。
确保安全
除所有其他要素外,您还必须确保实施技术、组织、物理和管理措施,保护聊天机器人处理的信息。
这可能意味着要确保您
- 对客户数据进行静态和传输加密
- 匿名化或假名化客户数据
- 根据需要适当管理员工对客户数据的访问权限
- 除其他考虑因素外,还要有适当的备份
这些都是确保委托给您的数据安全的适当措施--它们会根据聊天机器人的用途和收集的数据而有所不同。
有关其他示例,您可以查看Botpress' 数据处理协议的附表 2,其中列出了您在我们的帮助下构建聊天机器人时我们采取的安全措施。
建筑符合标准chatbots
确保您的聊天机器人符合 GDPR 不仅仅是法律或财务原因。与用户建立信任和透明度对公司的公众形象和个人客户关系至关重要。如果有疑问,请确保您的产品和服务遵循GDPR 清单 ,以确保合规。
我们很乐意帮助您确保您的人工智能聊天机器人符合必要的法规。GDPR 合规性的许多功能都直接内置在Botpress 中,因此您可以专注于机器人开发。
如有任何疑问,请致电[email protected]。
.svg)
