文章图片
前言 在监管合规层面 , 国内个人信息保护相关法律法规陆续出台 , 监管机构的检查力度也在不断加大;从企业内部自身发展来看 , 各类型企业都在向信息化方向进行转型 。 随着处理的各类数据的爆炸增长 , 企业如何在科技高速创新和迭代的背景下 , 平衡企业利益和隐私保护的关系 , 成为了企业在科技建造和信息化转型中亟待需要解决的问题 。
在如今这个数字化的时代 , 数据资产的价值越来越高 , 云计算、移动通讯、物联网、机器学习、人工智能、区块链以及其他技术驱动下的创新成果 , 正在加速打破并重置原有定位和边界 , 但当有新的技术出现的时候 , 企业除了考虑如何更好的使用这项技术创造业务价值外 , 也应该考虑是否尊重了用户的隐私权利 。
比如在《主动进取 , 审慎经营 |《个人信息保护法》发布解读之(三)当隐私遇上大数据》中描述的“大数据杀熟”场景 , 在使用自动化决策做出带有歧视意味的自动化筛选的时候 , 企业需要考虑到:是否在拓展信息处理技术边界的同时 , 也侵犯了用户所属的隐私权利和自由的边界?我们在开始反思这类问题的同时 , 也面临着一个巨大痛点:隐私保护动作的滞后性带来更高的成本投入与沟通内耗 。
由此 , “前置且嵌入”的隐私保护概念被提出并付诸实践 , 即在应用程序设计之初 , 就提出隐私保护的设计需求 , 也就是业界常说的隐私设计(Privacy by Design, 以下简称“PbD”) 。 这是一个非常好的平衡企业的商业利益和用户的隐私需求的方式 。 这是除了我们在《主动进取 , 审慎经营 |《个人信息保护法》发布解读之(二)企业能力构建》中所提及能力要件外 , 企业应当具备的最重要的个人信息保护能力 。 将隐私的设计嵌入产品的开发源自于技术领域对隐私数据的保护处置概念 , 慢慢的被演化成为包含技术、运行系统、工作流程、管理结构、物理空间和基础设施等各个方面的隐私设计方案 。
隐私设计嵌入产品开发是个人信息保护链条上的首要环节 , 直接将个人信息保护的需求和技术的手段相结合 , 企业既可以切实的用技术来满足数据主体的权利 , 又可以在满足在政府监管的时候 , 提供相关的控制措施的证据 。 在信息系统的设计之初就主动而不是被动的保护个人信息 , 从而做到尊重用户的隐私 , 以用户为中心做出好产品 。
一)什么是PbD? ——将隐私设计嵌入产品开发 概念介绍
隐私设计(PbD)的概念由加拿大渥太华省信息与隐私委员会前主席安·卡沃基安博士(Dr. Ann Cavoukian)在20世纪70年代提出 , 并在90年代纳入第95/46/EC号欧盟数据保护指令(RL 95/46/EC Data Protection Directive) 。 PbD提倡将隐私保护主动、全面、前置地嵌入企业技术与商业实践中 , 即在产品或服务设计之初就纳入隐私保护的需求 , 使得隐私保护的设计贯穿收集、传输、存储、处理、共享、销毁 , 整个个人数据处理活动的全生命周期 , 而不是在产品或服务成型后再寻求事后的补偿措施和手段 。
隐私设计(PbD)核心七大基本原则已经在很多国家和地区的立法中有所体现 , 欧盟通用数据保护条例(General Data Protection Regulations , “GDPR”)第25条和 FTC隐私设计框架都明确提到“Privacy/Data protection by design”和“Privacy by default”的概念 。 欧盟数据保护委员会(European Data Protection Board , “EDPB”)于2019年11月发布的《关于GDPR第25条设计数据保护及默认设置数据保护的指南(征求意见稿)》(Guidelines 4/2019 on Article 25 Data Protection by Design and by Default , version for public consultation)对PbD理论与GDPR的实践做出指导 。
文章图片
图1:隐私设计七大基本原则
优秀实践分享
不仅国际上隐私设计(PbD)的概念得到充分地发展和认可 , 中国境内对个人信息保护和数据全生命周期的安全的关注也是大势所趋 。 2021年7月12日 , 工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》明确指出需要加强数据全生命周期安全保护 , 提高个人数据、重要数据安全保护水平 , 保障人民群众的生命财产安全和个人隐私安全 。 突破数据共享安全保障技术 , 推动安全多方计算、联邦学习、可信计算、同态加密、差分隐私、区块链、数据水印等隐私保护和流向溯源技术实用化部署和普及应用 。 随着个人信息保护法的出台 , 对于个人隐私的关注将掀起新的浪潮 。 企业越早将隐私设计(PbD)的概念充分吸收、借鉴、践行越能在商业关系中获得更多的信任 , 在行业内先一步建立起竞争性优势 。
以某国际科技公司为例 , 早在近10年前就组建了包含产品、法务、安全工程、隐私审核的隐私团队 , 在官网设立了隐私专页 , 在自研移动操作系统和应用中落地隐私设计 。 此番成果或许能从去年9月中旬发布的某主流移动操作系统更新的隐私功能窥见一斑 。
文章图片
图2:隐私功能更新
此次更新下的隐私设计能看见默认隐私保护、正和而非零和、保持可见性和透明度、以用户为中心等隐私设计(PbD)原则的实例 , 也能看到对于用户知情权、反对权、数据访问权以及数据收集最小化等基本个人信息保护原则的践行 。
此外 , 我们身边关于隐私设计(PbD)的最佳实践不胜枚举 。 某常用的浏览器设置界面中建立了一个新的隐私审查页面 , 向提供用户分享其浏览行为以换取更优质的搜索服务的选项 。 某知名电脑软件服务商向用户提供隐私仪表板工具 , 将用户数据和相关信息做了直观可视的陈列展示 , 同时向用户提供可以管理其所用产品的隐私设置的功能 。 这些设计一方面保证了企业商业活动的需求 , 另一方面用户在接受企业提供服务的同时拥有了更多的控制 , 实现双赢 。
二)企业该如何开展工作? 建立隐私默认设计的机制流程
正如前文所述 , 隐私是一个需要贯穿整个产品开发过程中的因素 。 企业通过建立系统的工程方法 , 将隐私保护纳入到完整的产品开发流程中 。 在产品开发和系统设计之初定义数字化产品隐私功能需求 , 隐私设计贯穿整个生命周期 , 有效地实现对用户隐私数据权利的主张与产品的隐私合规 。
文章图片
图3:隐私嵌入研发全生命周期示例
建立产品隐私设计流程前
首先需要企业高层意志明确 , 自上而下地推动流程机制的建立 , 在此过程中 , 明确各部门协作分工的基调 , 坚定隐私保护团队与业务部门之间是合作模式 , 而非监察模式 。
其次 , 企业应立足于国内外隐私标准 , 结合业内最佳实践 , 形成一整套隐私安全开发管理策略 , 包括二阶规范、三阶程序、四阶执行文档及简化的自评估模板 。
建立产品隐私设计流程中
企业应建立项目关键节点 , 根据产品研发项目管理流程 , 选择合适的节点开展隐私安全评审工作 , 并明确在各个节点各人员的角色分工及职责要求 。 “三步走”的实施步骤可为企业提供参考:
第一步 , 需求分析:
产品设计前的需求分析应至少包含对于隐私合规需求与业务需求的界定 。 业务团队负责确定产品需求及提供产品需求清单 , 隐私合规团队负责基于个人信息保护原则和产品需要收集的数据范围和类型 , 对产品个人信息保护需求进行论证并启动个人信息保护风险评估 , 双方共同确认最终的产品需求 。
第二步 , 产品设计与开发:
业务团队负责根据第一步中确定的产品需求 , 设计具体的实现方案 , 并输出产品设计说明书 , 经隐私合规团队评估合规性并沟通修改后 , 形成最终版的产品设计说明书 , 交付技术开发团队进行产品开发及编码实现 。 在执行中 , 隐私合规需求需要合理平衡安全和业务并根据实际场景提出差异化方案 。
第三步 , 测试与实施:
在这一步 , 主要由测试团队、业务团队在测试运行中确保系统在能够达到基本功能的基础上 , 完全涵盖隐私保护要求 , 并出具测试报告 。 隐私合规团队对测试报告进行审核 。 此外 , 此步骤伴随产品生命周期 , 需要持续进行 。
整个产品隐私设计流程需要在持续性的磨合中不断改进 , 最终实现主动识别产品的隐私设计缺陷 , 预防隐私漏洞 , 并在任何负面影响发生之前以主动、系统和创新的方式纠正它们 。
最后 , 除了产品隐私设计流程本身 , 企业还需建立一整套隐私保护管理体系支持产品隐私设计的落地 , 如隐私数据的安全管控框架及配套规范指南、隐私数据的分级分类、隐私影响分析、数据保护影响评估、投诉机制及事件响应流程等 。
推动隐私默认设计的策略落地
为支持隐私设计的落地 , 欧盟网络和信息安全局(ENISA)在其报告中提出了八项隐私设计策略:(1)最小化 , (2)隐藏 , (3)聚集 , (4)隔离 , (5)通知 , (6)控制 , (7)强制/执行 , (8)证明 。 在国内标准制定中 , 全国信息安全标准化技术委员会公布了《信息安全技术 个人信息安全工程指南》(征求意见稿) , 草案的附表C.1沿用并肯定了前述八种设计策略 。
如何应用策略到设计中是产品隐私设计实践的重点和难点
在解决这一难题时 , 可以首先考虑根据数据生命周期梳理每个阶段涉及的隐私设计策略及合规需求点 , 确保产品在设计之初即保障了个人信息主体的权利 。
在数据收集阶段 , 应重点分析数据最小化原则的落实
实现最小化的策略时 , 应注意收集的个人信息字段应与当前功能场景的实现 , 产品或服务的业务功能有直接关联 , 非必须收集的信息确保不收集 , 不能因为将来业务上可能有应用而收集当前不必要的个人信息 。 比如注册的业务场景仅收集用户的邮箱地址信息;再比如 , 如收集所在城市地区就能实现业务目的 , 就不收集精准定位信息 。
在数据存储阶段 , 访问控制决定隐私保护的成败
数据访问控制是产品侧隐私保护的重要一环 , 比如后台系统应重视业务需求 , 对不同角色(包括用户、门店、区域员工等)可访问的数据进行隔离 , 权限控制应设计为最小颗粒度 , 必须区分系统或平台的菜单权限、数据权限、功能权限 , 数据权限(即同一个菜单下的可视数据也需要根据使用人职责的不同进行差别化展示) 。
在数据使用/处理阶段 , 脱敏/去标识化的思想要成为基本默认属性
实现脱敏策略时 , 需要对展示敏感个人信息的系统界面进行脱敏处理 , 此时 , 不仅仅需要考虑后台系统在展示敏感个人信息进行脱敏 , 同时需要考虑前端系统在集中展示用户个人信息时 , 对敏感个人信息字段的脱敏 。
在隐私设计策略的落地中 , 可同时参考《信息安全技术个人信息安全工程指南》(征求意见稿)中的隐私架构 , 配套建立技术平台的合规需求点 。
文章图片
图4:隐私系统架构示意
关注热点——移动APP隐私合规设计
目前移动APP隐私合规是热点领域 , 指导性文件主要以工信部出台的App侵害用户权益专项整治行动通知、GB/T 35273-2017《个人信息安全规范》和《App违法违规收集使用个人信息行为认定方法》作为主要标准依据 。 对于移动APP产品 , 应遵循透明性原则、最小范围、目的限制、存储限制、可问责等隐私设计原则 。
文章图片
图5:APP隐私设计原则
由于当前大部分移动APP的开发都采取DevOps的模式 , 迭代周期都较短 , 为了保证每一个发布的新版本都满足个人信息保护的合规要求 , 将安全和个人信息保护的要求嵌入到DevOps流程中至关重要 , 衍生出“DevSecPrivOps”的概念 。
文章图片
图6:DevSecPrivOps流程示例
在整个DevSecPrivOps的实施初期 , 可能无法覆盖全生命周期的所有环节 , 企业可以选重要的流程进行卡点 , 比如产品需求阶段的隐私合规评审、产品上线前的隐私检查、第三方SDK的引入检查等 。
以引入新的SDK为例 。
1)当由于业务的需求引入新的SDK时 , 需要对SDK进行隐私合规评审 , 包括了解业务使用场景 , SDK收集使用个人信息的类型、目的、方式、范围、存储期限 , 需申请的相关权限等 。 同时 , App提供者还应该要求SDK提供其安全能力说明及安全评估报告 , 并通过合同等形式共同约定双方在防止恶意行为、安全漏洞响应、数据安全防护、个人信息安全保护方面各自应承担的责任和义务 , 并做到信息披露及时、准确 。
2)一旦确认引入新的SDK , 应将个人信息保护需求作为非功能性故事用例提出给到开发团队 , 明确SDK嵌入使用的具体开发要求与相应的测试用例 。
文章图片
图7:SDK的个人信息保护要求示例
3)产品上线前 , 隐私合规部门除了对开发团队提供的测试验证文档进行审阅以确保满足隐私合规要求 , 还可以考虑将自动化扫描工具嵌入CI/CD流程中 , 对可能存在的隐私风险如SDK超频收集个人信息、授权前收集个人信息、后台调用等风险进行识别 。
除了SDK的合规使用外 , 移动APP的个人信息收集使用合规还应当重点关注以下几个要点:
移动APP的隐私政策内容及展示
除了内容需要清晰易于查阅 , 包含收集的个人信息及其目的APP运营者的基本信息、如何使用个人信息等关注点外 , 还需要在用户首次启动APP时通过弹窗的方式或单独的页面提示隐私政策 。 这个弹窗中应该至少有3个元素:隐私条款内容的重点介绍、隐私政策文件访问链接、用户是否同意隐私政策的选项 。
个人信息收集时的同意授权
在收集用户个人信息时 , 又分为用户主动提交个人信息和APP自动收集个人信息 。
? 当用户主动提交个人信息时 , 需要获得用户授权 , 针对个人敏感信息 , 应满足《个人信息保护法》第二十九条规定 , “处理敏感个人信息应当取得个人的单独同意” 。 “单独同意”的方式比如通过弹窗提示 , 向用户明示收集、使用个人信息的目的、方式、范围” 。
? 当APP自动收集个人信息时 , 比如通过埋点SDK收集用户行为数据 , 应注意仅能够在隐私政策授权后开始进行收集 。 同时 , 应当在隐私政策中声明所收集个人信息的方式、个人信息类型、频率、目的等 。
系统权限的申请与调用
移动APP调用系统权限时 , 属于个人信息收集的一种方式 。 在实际应用中 , APP会调用如位置信息 , 拍照等系统权限以获取用户的GPS定位信息或头像等个人信息 。 在APP隐私合规设计时 , 推荐的做法是为每个系统功能设计一个单独的弹窗 , 明确APP启动时需获取系统权限的场景 , 以及后续业务场景中需要获取的系统权限 。 通过此设计也可以实现在下次启动APP时 , 对用户选择“禁止”的功能进行单独弹窗 。
用户权利的实现
移动APP应为用户提供查询、修改、删除个人信息、注销账号及撤回同意的渠道 。 例如用户提交的个人信息、行为记录(如搜索记录)、评论、收藏 , 在移动APP中应存在查询、修改或删除的功能;又如根据合规要求 , 移动APP中应提供账号注销的功能 , 除了前端提供注销按钮给到用户进行便利的注销 , 还应将后台的账号进行去标识化处理 , 如手机号码、地址等信息 。
《个人信息保护法》的第二十四条规定 , “通过自动化决策方式向个人进行信息推送、商业营销 , 应当同时提供不针对其个人特征的选项 , 或者向个人提供便捷的拒绝方式” 。 若移动APP会根据用户个人信息、行为数据等进行个性化推送 , 如“猜你喜欢”“推荐商品”等 , 移动APP应为用户提供关闭个性化推送的开关 。 部分移动APP会将该开关置于会员设置页面 , 可能会导致用户无法对个性化推送选项进行拒绝 , 因此该功能在设计之初应将不同业务场景考虑在内 。
结语 个人信息的保护不应该是一种事后的控制 , 仅在合规问题出现后才进行补救 。 伴随着公民隐私保护意识的觉醒 , 隐私与安全性逐渐也成为了各大知名产品的宣传点和竞争优势 。 在产品需求、开发、上线的过程中嵌入隐私设计 , 将个人信息保护的要求考虑在内 , 不但能达到事半功倍的效果 , 更能为品牌赢得更多消费者的信任 。
天有不测风云 , 当企业发生个人信息安全事件时 , 该如何应对?敬请期待《主动进取 , 审慎经营 |《个人信息保护法》发布解读之(五)制胜应急响应》 。
【设计|主动进取,审慎经营 | 《个人信息保护法》发布解读之(四)产品隐私设计】本文是为提供一般信息的用途所撰写 , 并非旨在成为可依赖的会计、税务、法律或其他专业意见 。 请向您的顾问获取具体意见 。
推荐阅读
- 平板|消息称 vivo 平板明年上半年推出:骁龙 870,四边等宽全面屏设计
- 设计|宇瞻发布 NOX 系列 DDR5 电竞内存,速度最高 7200MHz
- 圆角|诺基亚3310圆角设计,造型依旧经典
- 设计|腾讯宣布企业级设计体系 TDesign 对外开源
- 硬件|纽约设计师展示“风力涡轮机墙”将发电变成一种美学特征
- 硬件|Jabra推新款无线耳机Elite 4 Active 支持主动降噪
- 架构|ROG 预热新款魔霸游戏本,依旧采用大下巴设计
- 方面|OPPO Find X5渲染图首次曝光:一脉相承的环形山后置设计
- IT|“宇宙中心”曹县终于开通第一条高铁 设计时速350公里
- 设计|虚拟世界里的仓颉,竟是我自己?