Чековые акции становятся инструментом сбора данных о покупателях. О каких рисках вам лучше знать

Чековые акции с бонусами и кешбэком становятся для брендов не только способом стимулировать продажи, но и инструментом изучения покупательских привычек. Эксперты отмечают, что такие акции могут послужить способом получения персональных данных пользователей.

По данным компании Morizo (входит в E-Promo Group), до 93% компаний собирают через такие механики данные о клиентах, а доля брендов, которые продолжают общение после завершения акции, выросла с 7% до 23%. При этом переход к гиперперсонализации не дает сиюминутного роста продаж, но позволяет выстроить доверительные отношения на основе персональных предложений.

При этом чековые промо не превращаются в инструмент долгосрочного сбора и анализа данных, отмечает гендиректор Morizo Денис Царев. Они остаются инструментом коммуникации, который позволяет актуализировать портрет целевой аудитории, а далее формировать доверие и повышать лояльность потребителя к бренду. Продолжительность сбора зависит только от продолжительности чековой акции.

"Если внедрить более глубокую аналитику чеков, загруженных во время промо, бренды могут интерпретировать полученные сведения по-разному. Например, оцифровать способы покупки. Еще один вариант - получить больше информации для создания цифрового портрета целевой аудитории. Подобные данные требуют системного подхода, но позволяют сгруппировать потоки информации, чтобы найти оптимальный канал общения", - объясняет эксперт.

Однако существуют и риски сбора большого количества личных данных участников акций. Формально компании получают согласие на обработку персональных сведений, но пользователь часто не осознает, что, участвуя в акции, он соглашается на анализ своего потребительского поведения.

Преподаватель кафедры инструментального и прикладного ПО Института информационных технологий РТУ МИРЭА Андрей Рыбников рассказал, что есть три основных риска таких форматов сбора данных. Первый - утечки. Гипермаркеты и сервисы с чековыми акциями далеко не всегда являются лидерами по уровню защиты инфраструктуры. В погоне за скоростью вывода акции безопасность приложения или API-интерфейсов, через которые загружаются чеки, часто "приносят в жертву". Взлом такой системы приведет к утечке не просто номеров телефонов, а детализированных профилей: кто чем болеет, какие лекарства покупает, как воспитывает детей, какое приобретает детское питание, каков его кредитный рейтинг по истории покупок.

Второй риск - это использование данных мошенниками для социальной инженерии. Зная, что человек купил в конкретном магазине час назад, злоумышленник может построить идеальный сценарий обмана.

И третий риск - перепродажа обезличенных, а по факту легко деанонимизируемых массивов данных третьим лицам, что формально может не нарушать оферту, но полностью противоречит ожиданиям пользователя о приватности, говорит Рыбников.

Также требования к безопасности у компаний должны быть радикально выше тех, что применяются сегодня. Поскольку чек содержит уникальную комбинацию идентификаторов, такие данные должны приравниваться к специальной категории персональных данных или как минимум к данным, чувствительным к подмене.

"До старта кампании необходимо определить, какие именно данные и у кого собираются, где и как они будут обрабатываться, а также сроки хранения. Нужно четко обозначить применимое законодательство - как минимум 152-ФЗ о персональных данных, а если планируется раскрывать характеристики новой продукции, то и 98-ФЗ", - отмечает профессор, доцент факультета безопасности информационных технологий Университета ИТМО Илья Лившиц.

Он добавляет, что важно четко определить все активы, задействованные в акции. Это не только ноутбуки, планшеты и серверы, но и потенциальные "теневые" каналы - копии через облачного провайдера, флешки или неконтролируемые действия системного администратора.

Также необходимо внедрять мониторинг активности пользователей. Например, DLP-системы, антивирусную защиту, шифрование каналов связи (VPN). Обязательно резервное копирование на разные носители с шифрованием самих копий.

"И принципиальный момент - скрининг персонала. Нужно четко понимать, кто именно будет собирать, обрабатывать, хранить и передавать данные и кто получит финальный доступ к результатам, например к дашбордам", - говорит Илья Лившиц.

Важно, что сами чеки и их содержание - это не персональные данные, а информация, позволяющая лучше понять потребителя. При этом в рамках подобных акций участники могут добровольно предоставлять персональные данные и давать согласие на их обработку.

"Не секрет, что операторы фискальных данных (ОФД) предоставляют доступ к содержанию чеков, но они не привязаны к какому-либо профилю. В свою очередь, чековые акции позволяют сформировать портрет покупателя, привязав к нему различные чеки, а затем использовать их для анализа и поиска так называемых инсайтов - закономерностей в поведении потребителей, которые могут повысить эффективность взаимодействия с ним", - заключает сопредседатель комитета Big Data & Programmatic АРИР Александр Папков.