用户隐私和您的 WordPress 网站 #
根据您的国家或国际隐私法规(例如可能适用于您的欧盟通用数据保护条例),您可能需要展示披露您收集和共享个人数据的隐私政策。个人数据包括您的用户的姓名、电子邮件、生日、电话号码、IP 地址和其他可用于识别他们的数据。
您可能还需要向您的用户提供索取您持有的关于他们的信息副本或要求删除这些信息的方法。
WordPress 现在包含几个简单的工具,供站点管理员执行这些步骤。这些工具使您可以更轻松地通过透明的隐私通知通知您的用户,了解您网站上收集的数据。它通常至少包括:
- 您收集的关于他们的哪些数据,
- 为什么以及如何收集数据,
- 以及您如何处理这些数据(包括您可能与谁共享该数据)。
这些新工具还使用户可以更轻松地请求其数据的副本或将其删除。使用新的数据隐私工具(无论法律是否要求)将使您更容易保护用户的隐私。
请注意:每个网站都不同。没有两个隐私声明会是相同的,就像没有两个站点管理员会有相同的合规旅程一样。此外,新法规以及对现有法规的调整可能会改变您的合规之旅。 我们强烈建议您考虑保护隐私不是一次性的责任。 采取措施保护用户数据的安全是一个在线和离线的持续过程。这些工具可以帮助您完成部分流程,但它们本身并不是合规流程。 我们强烈建议您查看适用于您的法规和期望,并根据需要调整您对这些工具的使用。
隐私设置 #
该工具使选择和构建隐私政策页面变得更加容易。它将创建一个专用页面(或调整现有页面)并提供提示和标题以启动该过程。
站点管理员可以通过转到 管理隐私策略页面设置的设置 > 隐私来创建此页面。
该工具中默认提供的提示和标题是基于欧洲 GDPR 作为领先隐私标准的预期。虽然这为您提供了一个开始,但您的隐私政策不受此入门文本的限制。 您有责任 编写全面的隐私政策,以确保它反映所有国家和国际隐私法律要求,并保持您的政策最新和准确。
隐私政策编辑助手 #
编辑助手 功能是新 隐私设置 工具的 一部分。编辑助手从 WordPress 核心和网站的主题和插件中提取信息,将收集的一组默认文本汇总在一起,这些文本详细说明了网站的数据收集和共享,生成可用于完成隐私政策的起始文本。
虽然您不一定需要使用此工具来制定隐私政策,但我们认为它很有帮助,因为它提供了有关您的 WordPress 网站可能如何收集和处理核心、主题和插件代码中的数据的信息。考虑这些数据的后端使用很重要:虽然并非所有网站都会使用所有功能(例如,管理员可能选择不启用对帖子的评论),但几乎每个网站都使用分析 cookie、社交媒体共享按钮等功能,或联系表单插件。请添加尽可能多的额外披露,以完全透明地了解您的网站如何使用个人数据。
此工具仅从 WordPress 和参与插件收集政策帮助文本。 许多网站还将嵌入第三方工具(例如电子邮件订阅服务),这些工具以编辑助手工具无法检测到的方式收集数据,因此默认模板可能无法完全描述您的网站如何收集有关其用户的数据。花点时间了解您的网站如何实际收集用户数据,并对您的用户网站上的数据实际发生的情况保持透明。
此外,还邀请主题和插件开发人员了解隐私政策编辑助手的工作原理,并将有关您的主题或插件如何将数据收集到隐私政策工具中的信息。
导出个人数据工具 #
WordPress 现在包含一个功能来存档用户数据以供导出。这与 创建帖子、页面或媒体存档文件的工具 > 导出工具不同;新工具出口到其他地方。您可以通过单击 WordPress 仪表板中的工具 > 导出个人数据来使用此工具。
此工具管理您的用户的电子邮件导出请求。手动批准后,它允许您生成一个(.zip格式)文件,其中包含您的 WordPress 站点中存在的有关用户的个人数据。
我们强烈建议您使用导出工具中内置的电子邮件验证功能。此确认过程将有助于防止滥用,例如恶意用户假装自己不是。 与擦除工具一样,擦除个人数据工具使用电子邮件验证将用户请求发送给管理员。管理员必须手动批准将相关数据发送给用户的请求。
由于此工具仅从 WordPress 和参与的插件收集数据,您可能需要超越以遵守导出请求。 虽然它可能会给您一个良好的开端,以便为您的用户提供他们所请求的信息,但每个站点管理员都应该了解他们在 WordPress 站点之外收集和处理哪些数据,作为一个完整的站点请求可能比仅使用此导出承担更多的责任。
虽然此工具的范围涵盖了 WordPress 用户数据的大部分范围,但它可能不包括您的网站可能使用第三方服务收集的信息,例如分析提供商、时事通讯订阅服务、广告联盟合作伙伴或嵌入式媒体.
擦除个人数据工具 #
与导出个人数据工具类似,WordPress 现在包含一个工具,可根据经过验证的请求删除用户的个人数据。您将 在 WordPress 仪表板的工具 > 擦除个人数据下找到此功能。
我们强烈建议您使用导出工具中内置的电子邮件验证功能。此确认过程将有助于防止滥用,例如恶意用户假装自己不是。 与导出工具一样,擦除个人数据工具使用电子邮件验证将用户请求发送给管理员。管理员必须手动批准删除相关数据的请求。
已删除的数据将从数据库中永久删除。 删除请求一经确认就无法撤消。请注意,它不会从备份或存档文件中删除数据:当与自动备份或存档一起使用该工具时,我们建议您在从备份中恢复用户数据时要小心。恢复网站的存档副本时,应尊重您的删除请求。
由于此工具仅从 WordPress 和参与的插件收集数据,您可能需要超越以遵守擦除请求。 虽然它可能会给您一个良好的开端来满足您的用户删除他们所请求的信息的请求,但每个站点管理员都应该了解他们在 WordPress 站点之外收集和处理的数据,作为完整的站点擦除请求可能比简单地承担更多的责任单独使用这个工具。
特别是(与导出工具一样),它可能不包括您的网站可能使用第三方服务收集的信息,例如分析提供商、时事通讯订阅服务、广告联盟合作伙伴或嵌入式媒体。
删除用户数据时,此工具不会自动删除注册用户及其个人资料数据。 在成功删除注册用户的个人数据后,管理员应自行执行该步骤。在仪表板的用户 菜单中,每个用户都可以删除用户 。
同样重要的是要了解个人数据删除请求不是绝对的。 站点管理员没有义务删除出于其他法律或法定原因可能需要保留的数据。例如,出于税收目的,您可能需要将销售记录保存若干年。出于安全目的,您可能还希望保留用户的记录,例如,如果正在对滥用行为进行调查。这些情况应该在内部处理。
同意收集的数据 #
根据某些隐私法,您可能还需要在收集用户的个人数据之前获得用户的主动、明确和明确的同意。此外,在对个人数据进行某些类型的处理之前,您可能还需要获得用户的主动、明确和明确的同意,如果您的网站不需要该处理。
虽然 WordPress.org 尚未构建同意工具, 但有各种插件可 用于帮助收集同意以符合 2018 年 5 月的 GDPR 合规截止日期。此外,WordPress Core 打算为 WordPress 主题和插件开发人员添加额外的工具,以便在 WordPress 站点中进行同意管理。
一些插件,尤其是在表单和电子邮件订阅服务的情况下,建议您添加一个“必需的”同意字段, 如果这是您的网站的要求,则显示“我同意收集和存储我提交的数据”之类的内容。
在此处向@allendav 和@webdevlaw 提供帮助。
各种注释:
- 待办事项:如果我们可以在 5 月 25 日发布之前添加“如何使用”部分,那就太好了,请参阅这里的 Woo 文章做得很好:https ://woocommerce.wordpress.com/2018/05/ 04/woocommerce-3-4-gdpr-功能/
- 注意:保留“明确同意”,即使我们没有太多可以展示它,因为它实际上是主要插件的主要关注点。我们应该尽可能用关于 WP 核心的内容来替换。
- 想就是否使用链接一或二的反馈:
- https://wordpress.org/plugins/tags/gdpr
- https://wordpress.org/plugins/gdpr/链接二是由一家受人尊敬的开发商店构建的,并按照应有的方式进行明确同意,但链接一的认可较少。
