早日规划PbD应用于自身业务流程中,即可早日拿到信息化时代的数据利用的入场券。
PbD(Privacy by Design)的字面意义是“通过设计保护隐私”。简单的说,PbD是个人信息保护链条上的第一环,直接将保护个人信息的理念以技术手段运用到产品和服务的最新形态中。由于个人数据和隐私合规运营的巨大价值,PbD受到各司法管辖区域监管机构以及各大互联网及新科技公司的高度重视,成为了目前企业保护个人数据的最新探索和热点关注。但需要承认的是,尽管PbD已经是知名的个人信息保护手段,但其整体发展仍处于起步阶段,因此PbD的实践也具有强烈的始发特点:在广度和深度上仍存在诸多空白,并出现了两极分化的趋势——强者在技术和理念上已经遥遥领先。
本文试图对PbD进行一些浅层的探讨,主要从其概念、原则、发展对PbD进行简要介绍,并根据我们的观察,试图对PBD实施步骤、实施策略及策略的分类进行简要总结,最后,我们将以“最小化”为例分享公开资料可查的部分实践案例。
PBD概念
通过设计保护隐私(Privacy by Design,PbD),最早由加拿大渥太华省信息与隐私委员会前主席安 卡沃基提出,是一种综合技术、运行系统、工作流程、管理结构、物理空间和基础设施的隐私设计理论。PbD理论出现在价值导向设计理论(Value Sensitive Design)、代码之法(code as law)和隐私增强技术(PET)之后,并综合各家之长,不再纯粹依靠技术和代码的力量,也不再广泛考虑包括福祉、尊严、正义、福利、人权、隐私在内的人类利益,而是更加侧重于个人信息保护,强调科技与法律的结合,主张在系统设计的最初阶段将个人信息保护的需求“嵌入其中”,成为系统运行的默认规则,而不是事后简单地“附加其上”。
PBD原则
在安·
卡
沃基女士提出PbD原则之初,强调了PbD应当遵循的“隐私设计七原则”,分别是(1)
积极预防,而非被动救济
。
(2)
隐私默认保护
。
(3)
将隐私嵌入设计之中。
(4)
功能完整——正和而非零和。
(5)
全生命周期的保护
。
(6)
可见性和透明性
。
(7)
尊重用户隐私——确保以用户为中心
。
由于公开资料中对七大原则的论述已经非常完善,且七大原则亦并非本文讨论的重点,此处不再赘述。
PBD发展
近十年来,为贴合日新月异的科技发展中对个人信息的保护需求,PbD理论得到了长足的发展。欧盟GDPR第25条
[1]
,美国《消费者隐私权利法案(草案)》,FTC隐私设计新框架
[2]
,英国ICO《数据保护指南》
[3]
,国际数据保护和隐私委员会《隐私设计方案》(Resolution >),乃至国际标准《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》,都充分吸收、借鉴和发展了PbD理论。2019年11月,欧盟数据保护委员会(“EDPB”)发布了《关于GDPR第25条设计数据保护及默认设置数据保护的指南(征求意见稿)》(《PbD指南(草案)》),以要求结合案例的形式,将PbD理论与GDPR的实践进行了充分指导。
PBD实施步骤
隐私设计的践行需要经历什么样的步骤,学界有不同看法。有学者认为,隐私设计需要经过隐私词汇的引入、创建加密网络、隐私设计执行三个阶段;也有学者认为,隐私设计的实施主要包括敏感数据分析、攻击模式界定以及隐私策略执行三个步骤。在《通过设计的个人信息保护》一文中,学者郑志峰比较认可分为六大步骤的实施方案,即:(1)
界定法律需求
;(2)
系统功能分析
;(3)
确定数据范围和类型
;(4)
隐私风险分析
;(5)
多边需求分析
;(6)
方案的实施和测试
。
对于如何界定法律需求,需要根据企业所在地、经营地等不同法律法规的要求来制定需要遵从的合规框架。我们认为,全球化运营的企业往往选择以GDPR作为合规框架的遵从标准,因此,其法律需求随GDPR的规定而体现为:(1)
数据处理的合法性基础
;(2)
数据主体的权利范围及保障
;(3)
第三方数据交互的合法共享和接收
;(4)
数据存储和销毁的合法依据
; (5)
数据保护的技术和组织措施要求(包括数据安全事件的应急处置要求)
PBD实施策略
中国境内监管在PbD理论的实践方面已经展开探索。2014年,欧盟网络和信息安全局(ENISA)报告中正式提出了八项隐私设计策略:(1)最小化,(2)隐藏,(3)聚集,(4)隔离,(5)通知,(6)控制,(7)强制/执行,(8)证明。2019年4月,全国信息安全标准化技术委员会首次在工作组会议上发布了《个人信息安全工程指南》(草案),草案的附表C.1沿用并肯定了前述八种设计策略,如下表所列:
隐私控制示例
处理个人信息的量尽可能限制在最小数量
在你收集之前选择;
匿名化/假名
个人资料,他们的人际关系,从全貌中隐藏
数据的存储和中转加密
混合网络
隐藏流量模式
基于属性证书
匿名化/假名
个人信息尽可能在分布式方式,分离的部分中处理
点对点排列
隔离和虚拟化
个人信息以最高水平聚集在一起并确保尽可能少的细节仍然有用。
聚合超时(在智能计量使用)
动态位置粒度(基于位置的服务中使用)
k-匿名
差分隐私
隐私首选项平台
数据泄露通知
数据主体提供给机构对他们的个人信息的处理
用户为中心的身份管理
端至端的加密支持控制
强制/执行
与法律要求相适应隐私政策予以强制执行
访问控制
粘性政策和隐私权管理
证明符合隐私政策和所有适用的法律要求
隐私管理系统
日志记录和审计的使用
PBD策略分类
6.1
依据数据生命周期涉及的合规需求点分类
策略如何使用到设计中是PbD实践的重点和难点。为解决这一问题,需要首先考虑每一主要法律合规需求点需要应用那一种或者哪几种PbD策略,以保障该合规需求点在设计之出即保障了数据主体权利。根据与技术部门及信息安全部门的讨论,我们认为
,主要合规需求点下主要的
P
b
D
策略如下:
主要合规需求点
PbD策略
最小化
隐藏
分离
控制
最小化
隐藏
聚合
最小化
隐藏
分离
聚合
控制
最小化
隐藏
分离
控制
最小化
聚合
控制
最小化
隐藏
聚合
最小化、通知、执行和展示策略,适用于数据处理过程的每个阶段
6.2
其他需要兼顾的策略分类方式
同时需要指出的是,尽管PbD(Privacy by Design)的字面意义更偏重于在产品设计之初即充分考虑个人信息的保护,但实际上无论是GDPR第25条的表述还是EDPB公布的《PbD指南(草案)》的指导意见和案例,都展现了PbD策略应当同时关注产品设计之后、在使用和运营过程中的默认隐私保护设计。我们据此理解
P
bD
的实施步骤和设计策略应当同时兼顾产品的“开发设计”和“运营设计”。同时,在设计过程中还应当考虑兼顾“基于数据”保护设计和“基于流程”保护设计的不同策略。
PBD实践
公开资料中,我们着重关注了数据生命周期中有关数据收集和使用、数据存储、数据共享、数据主体权利保障、数据销毁和安全责任等方面的PbD策略及具体案例,并在调研过程中发现了诸多优秀的PbD实践案例,例如:
❖苹果官网
上公布了
其运用的隐私保护
技术措施
,
避免用户在使用
S
afari、地图、照片、
信息
、
健康
等功能时
在不知情的情况下将个人
信息透露给
A
pple公司或其他第三方。
微软提出的
PrivTree
(利用算法保护位置隐私)、
google提出的开源其差分隐私库(Differential Privacy Library)均是非常典型的个人数据保护策略应用。
❖英特尔
Intel的
执行概念验证(
proof of concept,简称 PoC)
的方式
,
对匿名化的数据进行安全的分析和进一步使用。
❖苹果、谷歌等大型互联网企业非常重视的针对儿童及其监护人的控制策略。
❖思科的公示文件远远超出了一般企业隐私政策的所及范围,是优秀的
“通知”策略展现。
鉴于最小化是贯穿于整个数据生命周期的PbD设计策略,
我们将在本文中介绍若干以“最小化”为主的设计策略
,以便读者直观感受PbD在实际案例中的应用。
7.1 数据收集和使用:最小化
EDPB《PbD指南(草案)》示例
EDPB示例中,着重强调了在数据收集阶段的PbD设计中应当充分考虑业务目的和收集数据最小化之间的对应关系:
通过查看苹果的整体隐私政策与各项预装APP的隐私政策,初步认为苹果收集使用的个人信息的范围与其所需实现的业务功能严格匹配,
并随着业务功能的不断扩充逐步扩展个人信息的收集使用范围
。具体示例如Siri:
7.2 数据存储:最小化
诺基亚手机
《HMD Global 产品和服务隐私政策》中披露,其会删除不正确或不必要的个人数据,并根据数据类型和相关服务或产品的不同确立不同的数据类型的保留期。
7.3 数据共享:最小化
华为移动终端
华为在数据共享中通过《华为消费者业务隐私声明》获得个人信息主体的授权同意,并在部分服务中为用户提供了交互界面,允许用户自行授予或撤回第三方应用从华为间接获取相关个人信息的权利。例如,华为HiHealth,详见下图:
华为在其《EMUI 10.0安全技术白皮书》中称,EMUI 系统提供了多种具有不同行为特性的唯一标识符。应用根据不同的场景选择最合适标识符。EMUI 标识符的作用域分三种,标识符授予的作用域越大,其被跟踪的风险就越大。重置性和持久性定义了标识符的生命周期。标识符持久存在得越久、越可靠,用户被长期跟踪的风险就越高。应用重新安装时或者手动重置标识符,能缩短其持续时间,减少被跟踪风险。为了防止应用通过设备标识符对用户进行追踪,EMUI 禁止第三方应用获取设备的永久性设备标识符,如IMEI、SN、MAC。此类标识符有效地控制了个人数据在共享阶段可能产生的风险。
7.4 数据销毁
苹果在官网公布的于
2019年12月31日更新的隐私政策
中对
数据销毁的条件做出了限制
,在以下情况下,苹果会拒绝删除数据:(1)如果苹果认为删除数据的请求的某些方面可能会导致苹果无法出于该隐私政策前述的反欺诈和安全目的合法使用数据,可能会拒绝销毁数据;(2)无实质意义/纠缠式的请求;(3)损害他人隐私权的请求;(4)极端不现实的请求;(5)根据当地法律无需给予信息访问权的请求。我们认为这是数据销毁最小化的体现。
此外,在苹果官网Apple ID的管理界面中,
用户可以出于任何原因请求永久性删除账户,在删除账户前,官方会提示账号删除后将会出现什么情形,以及删除账号前需要做哪些准备(见下图)
。苹果在收到请求后会对删除请求进行验证,验证过程最多需要7天,在此过程中用户的帐户仍处于活跃状态。我们认为,苹果在7天的验证期内保证用户帐户活跃在时间上符合数据销毁最小化的需求。
事实上,我们针对PbD在数据生命周期的应用进行了工程量巨大的调研。各个企业投入PbD的研发重点和展现渠道各不相同,但均体现了产品、技术和法律在PbD运用上的紧密套嵌关系。对于身处信息化时代的今日企业,已经无法回避个人信息保护、数据保护及数据安全带来的企业合规挑战,早日规划PbD应用于自身业务流程中,即可早日拿到信息化时代的数据利用的入场券。此类调整和应对或许令人有所不适,但作为个人信息保护及数据安全领域的从业律师,我们的体悟是——我们也早已跨出了舒适区。
[1]GDPR第25条——数据设计保护和默认保护 data protection by design and by default
1.考虑到国家的发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理可能给自然人的权利和自由带来的风险和损害,控制者在决定和实施数据处理的方法时,应当以一种有效的方法实施适当的技术、组织措施,例如设计来实施数据保护原则的匿名机制和数据最小化机制,并且将必要的保障措施融入到处理之中以使数据处理既符合本条例的要求又保护数据主体的权利。
这一条款要求数据控制者通过设计保护个人数据在数据收集前便设置好保障个人隐私不受侵犯的措施
2.数据控制者应当实施相应的技术和组织措施以确保在默认(by default)情形下,被处理的个人数据对每个特定处理目的都是必要的。此项义务适用于一定量的个人数据的收集,一定规模上的处理,这些数据的存储和它们的可访问性。尤其是这些机制应当确保在默认的情形下,个人数据在缺乏个人介入时是不能被不特定数量的自然人所访问的。”
这一条款要求数据控制者通过默认方式设置数据保护措施。
[2]2012年美国联邦贸易委员会提出了隐私设计新框架,主要提出了三个核心原则:通过设计保护隐私,简化选择和透明度。在隐私设计新框架中,FTC对Facebook、Google等互联网公司不符合PbD理念的做法进行了举例,实施了制裁。例如 Facebook 曾在数据使用和共享的文字说明方面,向用户使用了误导性的语句,Facebook告诉消费者,第三方应用程序只能访问应用程序需要运行的用户信息。事实上,应用程序可以看到几乎所有用户的个人数据。FTC因此对Facebook实施了制裁。
[3]英国ICO《数据保护指南》(the Guide to data protection),ICO(Information Commissioner’s Office)是英国维护信息权的独立机构,具有执法权,采取一定的行动来确保企业履行其信息权利和承担义务。其近期关于PbD的最新实践如下:ICO 裁定英国皇家医院与Google的Deep Mind数据共享协议违反了数据保护法。在《数据保护指南》中专门设立了“隐私设计(PbD)”的章节,对其进行了说明,鼓励企业将隐私设计纳入现有的项目管理和风险管理方法和政策中。
(2020.02.06)
你应该了解的疫情阻断武器 ——互联网医疗
(2020.02.04)
(2020.1.16)
返回搜狐,查看更多
责任编辑:
