Privacy by Design(PbD, 隐私设计)是一种通过将隐私保护嵌入到产品开发,业务流程及基础架构设计中的方法,它最早由Dr. Ann Cavoukian在2009年提出,并在2016年写入了GDPR条款中。
PbD包含了七项基本原则,分别是 1-主动防御, 2-默认隐私保护,3-隐私嵌入设计,4-完整功能-正和而非零和,5-全生命周期保护,6-开放与透明,7-以用户为中心。
PbD虽然被广泛讨论,但并没有一个被一致认可的实施框架。作为一个技术人员(架构师/软件开发工程师/技术项目经理),我们应该如何理解并在软件开发过程中实践这些原则呢?
首先为用户提供合理的隐私保护是企业的共同目标,组织中的不同角色需要承担不同的部分。公司管理层确定整个组织的隐私愿景,隐私团队制定清晰的隐私政策,业务/产品负责人梳理对应的隐私需求,而技术团队在产品中通过代码实现所需的隐私保护功能。
从这个视角来看,我们就能从七大原则梳理出在软件开发过程中需要实现的技术需求。
原则一:Proactive, Not Reactive; Preventative, Not Remedial
它指的是我们的隐私保护策略应该是对可能的隐私伤害进行预测与防止,而不是等待发生后再进行补救。在组织层面,需要制定具清晰的隐私政策来指导产品开发与业务流程,预防隐私问题的发生。
为了实现主动防御,我们在软件开发过程中要做到
1. 确保产品设计中的隐私需求和公司的隐私政策是一致的,能完全满足公司的隐私保护标准;
2. 对新产品/服务执行PIA/DPIA,确保产品/服务发布前所有干系人对可能的隐私影响有充分的理解与沟通
原则二:Privacy as the Default Setting
该原则的目的是确保用户的个人数据保护措施是在默认情况下就生效的,并不需要用户主动采取行动。
1. 在产品设计中充分实现数据最小化原则,利用技术手段(加密,匿名化,隐私计算等)实现数据在采集,计算和披露阶段的最小化;
2. 支持目的限定原则,通过建立产品数据地图,记录个人数据的来源,目的和使用方式,验证并防止数据处理超过和用户的约定。
原则三:Privacy Embedded into Design
该原则要求隐私保护措施需嵌入到系统设计和业务流程中。对研发团队来说,意味着我们要将隐私需求作为产品的核心功能进行设计与实现。
1. 在产品需求分析阶段,确保从隐私团队和业务团队获取隐私需求,并作为核心功能需求
2. 在设计和研发阶段,对隐私需求做持续的跟踪,确保隐私需求的完整实现
3. 软件产品的研发和后续迭代过程中都进行完整的安全测试与隐私评估
原则四: Full Functionality - Positive Sum, Not Zero Sum
不将隐私保护作为一个可以放弃的需求,当和其他设计需求相冲突时寻找双赢方案。这是对技术人员一个非常高的要求,我们需要学习和掌握不断涌现的新的隐私技术,为产品功能实现提供能兼顾隐私与业务功效的实现方案。
原则五:End-to-End Security - Full Life Cycle Protection
它要求隐私保护措施能覆盖从数据开始采集到销毁的完整处理流程中,所以我们要能实现
1. 个人数据默认加密保护,并实现与业务流程的无缝对接,不影响业务用户的正常使用
2. 对有隐私泄漏风险的数据进行合适的匿名化/去标识化处理
3. 为个人数据设置过期时间,创建个人数据销毁工具/流程,支持个人数据超期后的自动销毁
原则六: Visibility and Transparency - Keep It Open
在软件产品中我们需要提供足够的透明度,获取用户对产品信任与信心
1. 设计隐私管理界面,帮助用户理解数据收集的范围,目的与处理目的;
2. 为用户提供合适的隐私通知机制
原则七:Respect for User Privacy; Keep it User Centric
隐私保护的核心目的是帮助用户实现对个人数据更好的自主控制,如下产品功能可以赋能用户完成个人数据的有效管理
1. 确保软件有合适的机制在采集数据前获取用户的同意
2. 设计隐私管理工具/流程,支持用户实行各项数据主体权利
参考资料
1. CIPT官方教程 - 《Strategic Privacy by Design》
2. Ann Cavoukian - Operationalizing Privacy by Design
网友评论