只使用你所需的資料

如要降低使用者的風險，請勿保留您不需要的使用者機密資料，以免影響他們的隱私權。您可以透過多種方式達成這項目標，同時滿足業務目標，因此不妨考慮各項做法。建議做法：

• 說明你需要的資料。
• 以較低的精細程度收集資料。
• 使用完畢後移除資料。
• 一開始就不要收集。

上述每種做法都能讓使用者更能接受您所做的事和原因，這對您與使用者之間的關係有極大助益。秉持開誠佈公的精神，建立信任感。對貴公司來說，信任是獨一無二的賣點。許多人會假設使用者和客戶會一開始就信任他們，但消費者會不斷評估產品和服務，因此這可能並非事實。在使用者信任您處理他們的資料和互動方式時，與他們建立關係。 對你而言，這可以創造為專案或企業帶來的競爭優勢，你的競爭對手可能會 卻是真正的競爭優勢。

讓我們一起深入瞭解上述方法，依照何者最有效 (但對您的業務最具影響力) 至最不有效的方式進行說明。 可減少實作幹擾

一開始就不要收集

最顯而易見的方式，避免危害使用者不會收集任何資料提供服務時，有些資料收集作業是必要的，但您可以避免在更多地方進行資料收集，舉例來說，你可以使用訪客結帳功能。當使用者透過您的網頁應用程式購買商品時，您可能需要要求使用者註冊帳戶，因為 擷取了個人資訊以便之後出貨：您可以將這些資料加入郵寄清單，表示您已經預先符合資格 或來自其他管道的 Google 搜尋關鍵字然而，客戶很認可這個現象： 2021 年的研究發現，有 1 件放棄購買 要求使用者建立帳戶。如果不需要帳戶，就更有可能留住這些客戶。 讓使用者無須註冊就能完成購買程序， 使用者享有更好的選擇，這也意味著您完全無法掌控要保護的資料。

「Fuzz」為企業創造領先

當然，要避免收集任何資料、為提供服務及打造 做出明智的業務決策建立行銷文宣也有助於建立信任關係。 然而也請務必瞭解，所做的決策是綜合考量 (也就是同時影響許多使用者) 的決策 其他匯總資料 (即資料的集體屬性)。

舉例來說，掌握觀眾客層資訊有時十分有用，例如他們所屬的年齡層、 位置等等。這可能會影響您的訊息或做法。但這並不代表您需要收集每位服務使用者的確切年齡。使用者通常會需要觀察趨勢和整體屬性。如果您希望觸及的目標對象，會受到「18 至 34 歲的目標客層」是否為大多數使用者所影響，那麼您只需要問使用者是否屬於該客層。這會將這些資料收集到兩個「區塊」：屬於該群組和不屬於該群組。在某些情況下，您可能需要更精細的資料，但如果您要使用客層資料清單來做出決策，並要求使用者根據該清單將自己歸類，這麼做完全合理。

範例

因此，如果您想瞭解使用者群組如何劃分「18 至 34 歲」、「35 至 49 歲」、「49 至 64 歲」和「65 歲以上」等年齡層，可以要求使用者選擇所屬年齡層。所以最好要提供非常精細的資訊 ，然後自行分類使用者，這樣就不必在 我們稍後會再詳細說明例如，要求他們提供確切的年齡和出生日期，然後據此產生專屬清單 使用人數在「35-49」類別但請務必瞭解這會造成什麼影響：由於課程已涵蓋這些內容，且將再次涵蓋，要求詳細資料可能會讓使用者感到不舒服，進而降低他們對貴機構的信任，並增加風險。

此外，您也應該考量資料需求。有時，需要更精細的資料只是「以防萬一」的「必要」要求。或許我們現在只將使用者歸類到這四個年齡層，但未來我們可能想 縮小範圍，因此 我們現在就必須收集非常詳細的資料，以保持開啟該選項以供日後使用。您不妨思考，過去有多少次是使用更精細的資料來做決策。如果要求的資料與提供的服務相比過於侵入性，使用者對貴機構的信任度就會降低。如果只是出於「特殊情況下」而收集的資料，您可能不會只因為這樣而失去使用者的信任 公司決策是推動企業決策的關鍵 卻未存在，卻仍符合安全性要求。

您也可以透過更精細的演算法降低收集資料的精細程度。隨機回應方法是指收集資料時，可調整不準確的程度，這類方法在社會科學領域已使用了數十年，可在收集可能侵犯隱私權或敏感資料的同時，維持受訪者的隱私。上述資料收集方法會擴大使用者的答案範圍 (例如將「您幾歲了」改為「您屬於下列哪個年齡層」)，而隨機回應則會讓一定比例的使用者謊報答案。如果知道做出錯誤回應的使用者比例，即可得到有意義的結論 仍可從所收集的資料取得資訊，但個別使用者的隱私權不會因此外洩，因為他們收集的資料可能 不正確。在本例中，如果 80% 的觀眾仍表示他們屬於 18 到 34 歲的客層，您就可以 相對地，即使其中 10% 的確提供了錯誤的答案，但這仍是最大的貢獻者。 錯誤程度也可以透過程式改變，其正確答案一律會要求正確答案，但 軟體在傳送前會修改特定比例的答案。這項程序及其結果 因為這代表使用者不必擔心應用程式 不會濫用 收集的資料，因為個人資料並不可靠。

差異化隱私是類似的程序，但技術層面更為複雜。這項技術會使用數學技巧來變更資料儲存空間，讓資料的匯總屬性仍可供查看，但無法判斷特定使用者是否提供資料，或他們提供的資料為何。這項功能與隨機回覆功能類似，可保護使用者資料，甚至是您自己的資料，並表明您的明確意圖：如果您沒有使用者資料，就無法使用這些資料。

這些和類似方法也能加強安全性，以防範資料侵害和外洩，因為收集的資料 能降低使用者隱私的危害，即使是您自己也不受影響，在資料外洩時，也能降低資料外洩程度。 不過，請注意，如果您在伺服器上套用差異化隱私權技術 (也就是使用者傳送未匯總的資料，然後您使用這些技術匯總資料)，仍需保護原始使用者資料，並在處理後刪除資料，且應制定並遵循明確的政策，確認您不會在匯總前使用資料 (或清楚說明您使用資料的用途)。

保留：收集資料，使用後將其移除

請記住，收集到的資料有生命週期：收集資料、用於協助您做出業務決策，然後在某個時間點移除資料。這同樣需要權衡一些優勢 例如詢問使用者的問題 儲存他們造訪過的其他網站的相關資訊，或是追蹤他們瀏覽了哪些商品和瀏覽了多久 預測他們的偏好，而這些資料是基於特定目的授予 並開放開發人員視需求使用。當資料不再用於該用途時 (有時是 1 分鐘後，有時是多年後)，就應予以刪除。

無論何時收集使用者資訊，您都應瞭解這些資料的用途 (請參閱下文)，並瞭解何時及為何停止保留這些資料。這可能是使用者選擇刪除或登入 、在特定時間範圍過後或特定事件發生之後建立信任關係的絕佳方法，就是向使用者清楚說明如何控管自己的資料，包括盡可能提供單方面選擇退出功能。如何刪除資料？他們如何刪除帳戶？除了協助與消費者建立良好關係之外 練習儲存資料，只要您需要處理資料即可，不必長時間，而且使用者應該要能 查看及移除您為他們或他們代為收集的資料。在某些情況下， 以及自身營運的 IP 位址

您可以在這裡定義明確的技術目標，讓使用者享有自助式服務。貴機構使用者、 不必徵詢同意即可調整資料倉儲系統， 建議使用支援資源

請務必瞭解簡單和預設的選擇退出功能的重要性：「為了建立信任和認同，公司可以先同意社會契約，承諾在每個接觸點尊重目標對象，傾聽他們的需求，並做出回應。」IAPP 指出。Nielsen Norman Group 表示，使用者「需要清楚標示的『緊急出口』，才能在不必經過冗長程序的情況下，放棄不想要的動作」。大家都知道 比取消訂閱容易多了不過，如 Nielsen Norman 所言，如果使用者不必經過重重關卡，就能離開網站，這會「營造出一種自由和自信感」。學術研究也證實了這一點，並命名為 可撤銷性。 仍可撤銷。使用者應有權撤銷同意，進而減少授權單位存取資源 可以的話。」(如需範例，請參閱 Yee 和 Iacono)。

資料保留時間和保留資料的類型，是各機構和專案之間差異極大的議題，但仍有一些通用的規範可供參考。

正確做法

這對於允許使用者刪除帳戶 (以及任何相關聯的資料，如果有的話) 並定期 (例如登出) 就很實用 使用者登出時，可使用 Clear-Site-Data 標頭，清除暫時儲存的暫時資料和本機儲存的資料。

在合理情況下，提供 Clear-Site-Data 標頭，移除部分或所有已儲存在用戶端的使用者資料 (無論是儲存在 Cookie、localStorage 或 IndexedDB 中，或是瀏覽器快取中)。Clear-Site-Data 資料的主要用途是 也會在發生安全性事件後使用，確保可能遭入侵的帳戶沒有留下任何追蹤資料 儲存在用戶端的外洩資料。

新增 Clear-Site-Data 支援功能時，需要在使用者登出 (或您想要清除用戶端儲存空間的其他時間) 時，在確認登出狀態 (https://your-site/logout 或類似項目) 的頁面上傳送 HTTP 標頭 Clear-Site-Data。此標頭可以包含下列部分或所有值，或全部使用 "*"：

Clear-Site-Data: "cache", "cookies", "storage"

這些值分別清除、快取網頁 (和其他 HTTP 快取資源)、儲存的 Cookie，以及 localStorage 和 IndexedDB 和類似。 您可能會看到其他選項 (executionContexts) 的參照，但許多瀏覽器都不支援此方法。 請注意，使用 Clear-Site-Data 標頭可能比個別刪除已建立的所有資源來得簡單，因為無需設定 JavaScript 程式碼 在用戶端上執行 (這是清除瀏覽器快取的唯一正式方式)，但並非所有瀏覽器都支援。

使用注意事項：如要清除快取 (透過傳送 Clear-Site-Data: cache) 時，不應使用 Clear-Site-Data 標頭 傳送，但網頁載入的部分其他資源。這是因為在快取容量較大且速度較慢的電腦上，清除快取時網頁會遭到封鎖，導致無法瀏覽。更新作業可能需要幾分鐘才能完成 讓使用者感到困擾這種情況不可能發生，但難以測試，因此建議您謹記這一點。

說明您需要資料

我們多次強調，使用者與服務之間的信任關係非常重要，因為這有助於延長使用者壽命。還能提供競爭優勢。提升信任感的方法之一，就是讓您的程序公開透明，而讓程序公開透明的好方法，就是說明您要收集資料的原因。先前你已瞭解到，對於你不可不知的每項內容 刪除相關內容的時間為了瞭解，您需要知道這些資料的原因，以及哪些特定問題需要 才能找到答案，並收集這些資訊能夠做為決策依據。知道為何您需要這些資料 拒絕善後，向這些使用者解釋，有助於贏得他們的信任。載明隱私權政策或帳戶相關問題 建立，請說明您需要回答這個特定問題的原因、您會如何處理這些資料，以及移除資料的時機和方式。

在內文中顯示這些說明，能讓讀者更容易看到。將說明埋藏在網站其他位置的冗長政策文件中，可能會讓人誤以為您試圖隱藏說明。註冊、結帳或索取表單可說明收集資料的原因 機器學習是向機器提供資料和答案 讓機器自行探索規則的科學一般來說，表單欄位可能會有星號 (*) 代表必填欄位；複雜的表單通常都有資訊連結 (i) 說明欄位的意義。您可以考慮在這些說明中加入資料收集原因的說明。常見的做法是將「Why do we need this?」這句話放在表單欄位旁，點選後會彈出說明視窗。

以下是一些 HTML 範例，CSS 和 JavaScript 會負責隱藏 <aside>，並在點選連結時以彈出式視窗顯示。(請務必確認你為網站提供的表單方便存取！) 具體的呈現方式取決於您的風格和做法，但重點是直接將資料收集與資料收集原因連結。並非所有欄位都需這麼做。無論您為何要求使用者在註冊時選擇密碼，不過，您可以為每項要求提供個人和聯絡資訊的請求，說明您打算如何使用和保留這些資訊，藉此向使用者清楚表明您致力於保護使用者資料。

<div>
    <label for="email">Email address*</label>
    <input id="email" type="email" name="email" required aria-describedby="whyemail">
    <a href="#whyemail">Why do we need this?</a>
    <aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>

您也可以針對收集到的所有使用者資訊執行這項程序，以利內部程序和討論。稍早，您已瞭解「在未有的情況下」收集資料時，可能有什麼樣的誘惑。當您清楚說明自己的理由時 就會明顯發生變化了如果您不願公開說明您想如何使用使用者資料，因為使用者不會喜歡該說明，這可能表示您應該重新考慮收集資料。這適用於是否會造成負面說明過於侵略性 (「我們將使用此資訊追蹤每小時造訪的網頁」)， 範圍太寬 (「我們不知道該用什麼功能，但希望能在思考時用」等) 或太過誇張 (「我們會將其用於未揭露的內部用途」)。這不只是道德問題，如前文所述，使用者足夠聰明，能夠認知這一點，而且使用者也預期實驗並非長期承諾的開始。這是使用者體驗設計的常見途徑，能讓使用者以最簡單明瞭的方式註冊。 因為在早期就定義使用者而言，他們並未大量投資您的服務，因此請務必 如果缺乏意願，可以提高投資難度。如果可以輕鬆離開 實驗就是進行實驗，而不是放棄長期的強制性承諾。 和先前一樣，雖然做法相當糟糕，但事實上，想要贏得使用者信任，最好的方法就是不要要求使用者信任你。

使用者不分享資料或只分享少量資料，通常是有充分的理由。開始建立關係時 可能沒有理由信任您，所以也不該不該保持信任你的目標是向他們說明為何要這樣做。

正確做法

• 請決定你要收集哪些資料的原因，以及這些資料的保存期限。
• 要求使用者提供這類資料時，請向他們說明收集資料的原因。
• 使用後，從伺服器資料庫中刪除。
• 允許使用者透過 Clear-Site-Data 標頭刪除自己建立的帳戶，並清除儲存空間中儲存的資料。

原因

與使用者建立關係的關鍵在於信任，而信任的關鍵在於開放。如果您能證明自己並非只為了收集使用者相關資料，並隱瞞使用方式，這有助於建立信任感，進而讓您在競爭對手中脫穎而出。