更多报告关注公众号：阿尔法研报风险实践消费者数据机会和隐私权势在必行随着消费者在共享数据方面变得更加谨慎，监管机构提高了隐私要求，领先的公司正在学习数据保护和隐私可以创造商业优势。作者：Venky Anant、Lisa Donchak、James Kaplan 和 Henning Soller2020 年 4 月©菲尔夏普/盖蒂图片社 更多报告关注公众号：阿尔法研报2消费者数据机会和隐私权势在必行随着消费者越来越多地采用数字技术，他们产生的数据为企业创造了一个机会来改善他们的消费者参与和保护消费者数据安全的责任。这些数据，包括位置跟踪和其他类型的个人身份信息，对公司来说非常有价值：例如，许多组织使用数据来更好地了解消费者的痛点和未满足的需求。这些见解有助于开发新产品和服务，以及个性化广告和营销（目前全球数字广告的总价值估计为 3000 亿美元）。消费者数据显然正在改变业务，公司有责任管理他们收集的数据。为了了解消费者对隐私和数据收集的看法，麦肯锡对 1000 名北美消费者进行了一项调查。为了确定他们对数据收集、黑客攻击和违规行为、法规、通信和特定行业的看法，我们向他们询问了有关他们对所光顾的企业的信任度的尖锐问题。回应表明，消费者越来越关注他们共享的数据类型以及与谁共享。他们更有可能共享个人数据，这些数据是他们与组织互动的必要组成部分。按行业划分，消费者最愿意与医疗保健和金融服务提供商共享数据，尽管没有一个行业的数据保护信任度达到 50%。鉴于近期备受瞩目的消费者数据泄露历史，这种缺乏信任是可以理解的。受访者知道此类违规行为，这为他们的调查回答提供了有关信任的信息。在最灾难性的违规行为中暴露的消费者数据规模令人震惊。在一家大型公司的两次违规事件中，超过 35 亿条记录被公开。其他几家公司的违规行为暴露了数亿条记录。赌注是对处理消费者数据的公司来说很高：即使是没有直接受到这些违规行为影响的消费者也会关注公司对它们的反应方式。激增的违规行为以及消费者对隐私和控制自己数据的需求导致政府采用新法规，例如欧洲的《通用数据保护条例》(GDPR) 和美国各州的《加州消费者隐私法》(CCPA)。许多其他人也在效仿。这些违规行为还促进了人们更多地使用工具，这些工具可以让人们更好地控制他们的数据。全世界十分之一的互联网用户（以及十分之三的美国用户）部署了可以阻止公司跟踪在线活动的广告拦截软件。绝大多数受访者（87%）表示他们不会如果他们担心公司的安全实践，则与公司开展业务。 71% 的人表示，如果某家公司未经许可泄露敏感数据，他们将停止与该公司开展业务。由于风险如此之高——而且对这些问题的认识越来越高——公司处理消费者数据和隐私的方式可能成为差异化点，甚至是竞争的商业优势。我们研究的主要发现如下。然后，我们为数据映射、运营和基础架构以及面向客户的流程提供规范性步骤最佳实践。这些可以帮助公司定位自己以赢得竞争优势。信任问题——或缺乏信任消费者对我们调查的反应导致了一些关于数据管理和隐私的重要见解。首先，消费者的信任度总体较低，但因行业而异。两个行业——医疗保健和金融服务——在信任方面取得最高分：44%。值得注意的是，这些领域的客户互动涉及使用个人和高度敏感的数据。其他行业的信任度要低得多。例如，只有大约 10% 的消费者受访者表示他们信任消费品或媒体和娱乐公司（图表 1）。大约三分之二的美国互联网用户表示内容“非常重要” 消费者数据机会和隐私权势在必行3更多报告关注公众号：阿尔法研报图表 1消费者认为医疗保健和金融服务业务是最值得信赖的。受访者选择了在保护隐私和数据方面最受信任的特定行业，% (n = 1,000)卫生保健制药/医疗零售先进的电子产品航空航天和国防汽车和装配包装消费品媒体和娱乐金融服务电力/天然气技术旅行、运输和物流电信公共部门和政府农业油和气 资料来源：麦肯锡关于数据隐私和保护的北美消费者调查，2019 年他们的电子邮件应该只有他们授权的人才能访问，并且他们的电子邮件通讯员的姓名和身份保持私密（图表 2）。大约一半的消费者受访者表示，他们更有可能信任一家只要求提供与其产品相关的信息或限制所要求的个人信息数量的公司。这些标记显然向消费者表明公司正在采取深思熟虑的数据管理方法。我们一半的消费者受访者也更有可能信任对黑客和违规行为做出快速反应或积极披露此类事件的公司对公众。随着数据泄露的影响越来越大，以及越来越多的法规管理着数据泄露披露的时间表，这些做法对公司和消费者都变得越来越重要。调查显示，在获得消费者信任方面，其他问题不太重要：特定行业的监管水平、公司总部是否位于政府值得信赖的国家，或者公司是否主动在网站或广告中分享网络实践（图表 3）。消费者赋权和行动鉴于总体信任度较低，消费者经常希望限制他们与企业共享的数据类型也就不足为奇了。由于现在有许多可用的隐私工具，包括内置 cookie 拦截器的网络浏览器、广告拦截软件（在全球超过 6 亿台设备上使用）和隐身浏览器，消费者可以更好地控制他们的个人信息。全球超过 40% 的互联网用户使用）。但是，如果产品或服务（例如医疗保健或资金管理）是22191817171413121211101010104444 4消费者数据机会和隐私权势在必行更多报告关注公众号：阿尔法研报图表 2消费者隐私和保护问题因数字数据类型而异。数据类型的相对重要性，受访者百分比（n = 792）很重要有一些重要不太重要 N/A电子邮件的内容6813154电子邮件通讯员的身份6216166下载文件的内容5519215位置数据5416264内容、在线聊天室的使用、群组51122215浏览的网站4623283执行的搜索4425274使用的应用程序和程序4027285上网次数3317455资料来源：互联网与美国生活项目，皮尤研究中心对消费者至关重要，许多人愿意抛开他们的隐私问题。消费者不愿意分享他们认为不太重要的交易的数据。他们甚至可能“用脚投票”，放弃与他们不信任、不信任数据隐私做法的公司开展业务。同意，或者不理解。此外，虽然对消费者隐私的总体了解在增加，但许多消费者仍然不知道如何保护自己：例如，只有 14% 的互联网用户加密他们的在线通信，只有三分之一的人定期更改密码（图表4）。不断发展的法规隐私法规正在不断发展，明显转向保护消费者：GDPR，对于例如，2018 年 5 月在欧洲实施，在如何使用他们的数据方面为消费者提供了更多选择和保护。 GDPR 让消费者更容易访问公司持有的关于他们的数据，并使他们更容易要求公司删除他们的数据。对于公司而言，GDPR 要求对他们收集、存储、共享和删除数据的方式进行有意义的改变。不遵守可能会导致巨额罚款，可能使公司损失高达其全球收入的 4%。一家公司因数据泄露而被罚款 1.8 亿美元，其中包括近 40 万人的登录和支付信息。¹另一家被罚款因未能遵守 GDPR 而获得 5700 万美元。该法规的一个副作用是提高了消费者对其数据隐私权和保护的认识。大约十分之六的欧洲消费者现在意识到规则会规范其数据的使用1该罚款由英国数据监管机构信息委员会办公室实施，目前正在接受监管程序审查。 消费者数据机会和隐私权势在必行5更多报告关注公众号：阿尔法研报图表 3消费者信任那些限制个人数据使用并对黑客攻击和违规行为做出快速反应的公司。受访者对实践的信任，% (n = 1,000)不要询问与他们的产品无关的信息 52 对黑客攻击和违规行为迅速做出反应 50 不要要求太多的个人信息 48 主动报告黑客攻击或违规行为 46 拥有值得信赖的品牌 43 不要收集被动数据（例如，点击或浏览历史记录） 43 很少有黑客或违规行为 42 不要使用跟踪 cookie 41 促进其产品的隐私（例如，2 因素身份验证）拥有值得信赖的领导者不要在政府不受信任的国家运营 被家人、朋友认为值得信赖分享他们保护数据的方法 属于高度监管的行业总部设在政府值得信赖的国家 宣传他们的消费者隐私利益 36 35 32 32 31 28 28 20 资料来源：麦肯锡关于数据隐私和保护的北美消费者调查，2019 年 6消费者数据机会和隐私权势在必行更多报告关注公众号：阿尔法研报图表 4消费者对数据收集和隐私的担忧与日俱增，但很少有人采取足够的保护措施。受访者采取行动，% (n = 792)清除 cookie 和浏览器历史记录 64 删除或编辑过去的互联网帖子 41 将浏览器设置为禁用或关闭 cookie 41 没有使用网站，因为它要求真实姓名 36 使用的临时用户名、电子邮件地址 26 发表评论而不透露身份 25 要求某人删除侵扰性帖子 21 蒙面身份 18 使用公用电脑匿名浏览 18 使用了虚假或无法追踪的用户名 18 加密通信 14 使用允许匿名浏览的服务 14 鉴于不准确的个人信息 13 资料来源：互联网与美国生活项目，皮尤研究中心在他们自己的国家，从 2015 年的十分之四增加。GDPR 被认为是数据隐私监管的风向标。即使在欧洲，政策制定者也在寻求制定额外的消费者隐私措施，包括 ePrivacy 法规（GDPR 的扩展），该法规侧重于对电子传输数据的隐私保护。它作为法规（而不是指令）的地位意味着它可以在欧盟成员国之间统一执行。电子隐私法规可能会在 2020 年颁布。超越欧洲欧洲以外的政府也开始制定数据隐私法规。例如，在巴西，Lei Geral de Proteçãode Dados 或 LGPD（通用数据保护法）将于 2020 年 8 月生效。巴西之前的数据保护法规是基于行业的。 LGPD 是一项统括性的全国性法律，集中和编纂管理收集、使用、处理和存储的规则个人资料。虽然罚款没有 GDPR 高，但仍然令人生畏：未能 消费者数据机会和隐私权势在必行7更多报告关注公众号：阿尔法研报遵守 LGPD 可能会使公司损失高达其巴西收入的 2%。在美国，加利福尼亚州消费者隐私法 (CCPA) 于 2020 年 1 月在该州生效。它赋予居民了解收集了哪些关于他们的数据并防止其数据被出售的权利。 CCPA 是一项广泛的衡量标准，适用于在加利福尼亚州开展业务并满足以下条件之一的营利性组织： 超过一半的年收入来自出售消费者的个人信息；总收入超过 5000 万美元；或持有超过 100,000 名消费者、家庭或设备的个人信息。CCPA 是美国最严格的消费者隐私法规，目前还没有国家数据隐私法。然而，美国联邦贸易委员会 (FTC) 对数据处理不当开出了最大的罚款。合规投资公司正在投入巨资，以确保他们遵守这些新规定。财富全球 500 强企业总共花费了根据国际协会的估计，到 2018 年为 GDPR 做准备的资金将达到 78 亿美元的隐私专家。公司已聘请数据保护官，这是 GDPR 为所有处理大量个人数据的公司规定的新定义的公司职位。尽管采取了这些措施，但很少有公司感到完全合规，许多公司仍在研究可扩展的解决方案。一个核心挑战——尤其是对于在国际上运营的公司而言——是监管的拼凑性质。要求从一个司法管辖区或市场到另一个非常不同。为了解决监管多样性和预测未来的监管，许多公司已经开始系统化他们的合规方法。有些人已经开始在他们的组织内创建监管角色和职责。许多人正在尝试实施面向未来的解决方案。微软不仅在加利福尼亚州满足 CCPA 要求，而是将它们应用于所有美国公民，尽管其他州还没有像 CCPA 那样严格的政策。这种做法可能会变得更加普遍，因为许多公司正在使用最严格的法律要求作为自己的标准。对于美国的大多数公司来说，这意味着遵循 CCPA 的指导方针。隐私监管的另一个困难方面与数据的删除和移植有关：法规允许消费者要求删除其数据或企业向个人消费者或其他服务提供用户数据。对于许多公司而言，这些任务在技术上具有挑战性。企业数据集通常分散在不同的 IT 基础设施中，因此难以恢复有关个人消费者的所有信息。此外，一些数据可能位于企业外部、附属机构或第三方网络中。由于这些原因，企业可能难以识别来自所有来源的所有数据以进行传输或删