【律师视点】周杨、江智茹 | 隐私保护设计(PbD):个人信息保护的学霸方法论
北京德和衡律师事务所合伙人
北京德和衡(深圳)律师事务所
律师助理
PbD(Privacy by Design)的字面意义是“通过设计保护隐私”。简单的说,PbD是个人信息保护链条上的第一环,直接将保护个人信息的理念以技术手段运用到产品和服务的最新形态中。由于个人数据和隐私合规运营的巨大价值,PbD受到各司法管辖区域监管机构以及各大互联网及新科技公司的高度重视,成为了目前企业保护个人数据的最新探索和热点关注。但需要承认的是,尽管PbD已经是知名的个人信息保护手段,但其整体发展仍处于起步阶段,因此PbD的实践也具有强烈的始发特点:在广度和深度上仍存在诸多空白,并出现了两极分化的趋势——强者在技术和理念上已经遥遥领先。
本文试图对PbD进行一些浅层的探讨,主要从其概念、原则、发展对PbD进行简要介绍,并根据我们的观察,试图对PBD实施步骤、实施策略及策略的分类进行简要总结,最后,我们将以“最小化”为例分享公开资料可查的部分实践案例。
看点
01
PbD概念
通过设计保护隐私(Privacy by Design,PbD),最早由加拿大渥太华省信息与隐私委员会前主席安 卡沃基提出,是一种综合技术、运行系统、工作流程、管理结构、物理空间和基础设施的隐私设计理论。PbD理论出现在价值导向设计理论(Value Sensitive Design)、代码之法(code as law)和隐私增强技术(PET)之后,并综合各家之长,不再纯粹依靠技术和代码的力量,也不再广泛考虑包括福祉、尊严、正义、福利、人权、隐私在内的人类利益,而是更加侧重于个人信息保护,强调科技与法律的结合,主张在系统设计的最初阶段将个人信息保护的需求“嵌入其中”,成为系统运行的默认规则,而不是事后简单地“附加其上”。
看点
02
PbD原则
在安 卡沃基女士提出PbD原则之初,强调了PbD应当遵循的“隐私设计七原则”,分别是(1)积极预防,而非被动救济。(2)隐私默认保护。(3)将隐私嵌入设计之中。(4)功能完整——正和而非零和。(5)全生命周期的保护。(6)可见性和透明性。(7)尊重用户隐私——确保以用户为中心。由于公开资料中对七大原则的论述已经非常完善,且七大原则亦并非本文讨论的重点,此处不再赘述。
看点
03
PbD发展
近十年来,为贴合日新月异的科技发展中对个人信息的保护需求,PbD理论得到了长足的发展。欧盟GDPR第25条[1],美国《消费者隐私权利法案(草案)》,FTC隐私设计新框架[2],英国ICO《数据保护指南》[3],国际数据保护和隐私委员会《隐私设计方案》(Resolution on Privacy by Design),乃至国际标准《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》,都充分吸收、借鉴和发展了PbD理论。2019年11月,欧盟数据保护委员会(“EDPB”)发布了《关于GDPR第25条设计数据保护及默认设置数据保护的指南(征求意见稿)》(《PbD指南(草案)》),以要求结合案例的形式,将PbD理论与GDPR的实践进行了充分指导。
看点
04
PbD实施步骤
隐私设计的践行需要经历什么样的步骤,学界有不同看法。有学者认为,隐私设计需要经过隐私词汇的引入、创建加密网络、隐私设计执行三个阶段;也有学者认为,隐私设计的实施主要包括敏感数据分析、攻击模式界定以及隐私策略执行三个步骤。在《通过设计的个人信息保护》一文中,学者郑志峰比较认可分为六大步骤的实施方案,即:(1)界定法律需求;(2)系统功能分析;(3)确定数据范围和类型;(4)隐私风险分析;(5)多边需求分析;(6)方案的实施和测试。
对于如何界定法律需求,需要根据企业所在地、经营地等不同法律法规的要求来制定需要遵从的合规框架。我们认为,全球化运营的企业往往选择以GDPR作为合规框架的遵从标准,因此,其法律需求随GDPR的规定而体现为:(1)数据处理的合法性基础;(2)数据主体的权利范围及保障;(3)第三方数据交互的合法共享和接收;(4)数据存储和销毁的合法依据; (5) 数据保护的技术和组织措施要求(包括数据安全事件的应急处置要求)
看点
05
PbD实施策略
中国境内监管在PbD理论的实践方面已经展开探索。2014年,欧盟网络和信息安全局(ENISA)报告中正式提出了八项隐私设计策略:(1)最小化,(2)隐藏,(3)聚集,(4)隔离,(5)通知,(6)控制,(7)强制/执行,(8)证明。2019年4月,全国信息安全标准化技术委员会首次在工作组会议上发布了《个人信息安全工程指南》(草案),草案的附表C.1沿用并肯定了前述八种设计策略,如下表所列:
看点
06
PbD策略分类
6.1依据数据生命周期涉及的合规需求点分类
策略如何使用到设计中是PbD实践的重点和难点。为解决这一问题,需要首先考虑每一主要法律合规需求点需要应用那一种或者哪几种PbD策略,以保障该合规需求点在设计之出即保障了数据主体权利。根据与技术部门及信息安全部门的讨论,我们认为,主要合规需求点下主要的PbD策略如下:
6.2其他需要兼顾的策略分类方式
同时需要指出的是,尽管PbD(Privacy by Design)的字面意义更偏重于在产品设计之初即充分考虑个人信息的保护,但实际上无论是GDPR第25条的表述还是EDPB公布的《PbD指南(草案)》的指导意见和案例,都展现了PbD策略应当同时关注产品设计之后、在使用和运营过程中的默认隐私保护设计。我们据此理解PbD的实施步骤和设计策略应当同时兼顾产品的“开发设计”和“运营设计”。同时,在设计过程中还应当考虑兼顾“基于数据”保护设计和“基于流程”保护设计的不同策略。
看点
07
PbD实践
公开资料中,我们着重关注了数据生命周期中有关数据收集和使用、数据存储、数据共享、数据主体权利保障、数据销毁和安全责任等方面的PbD策略及具体案例,并在调研过程中发现了诸多优秀的PbD实践案例,例如:
❖ 苹果官网上公布了其运用的隐私保护技术措施,避免用户在使用Safari、地图、照片、信息、健康等功能时在不知情的情况下将个人信息透露给Apple公司或其他第三方。微软提出的PrivTree(利用算法保护位置隐私)、google提出的开源其差分隐私库(Differential Privacy Library)均是非常典型的个人数据保护策略应用。
❖ 英特尔Intel的执行概念验证(proof of concept,简称 PoC)的方式,对匿名化的数据进行安全的分析和进一步使用。
❖ 苹果、谷歌等大型互联网企业非常重视的针对儿童及其监护人的控制策略。
❖ 华为通过面部识别功能实现的隐私控制表现。
❖ 思科的公示文件远远超出了一般企业隐私政策的所及范围,是优秀的“通知”策略展现。
鉴于最小化是贯穿于整个数据生命周期的PbD设计策略,我们将在本文中介绍若干以“最小化”为主的设计策略,以便读者直观感受PbD在实际案例中的应用。
7.1数据收集和使用:最小化
7.1.1 EDPB《PbD指南(草案)》示例
EDPB示例中,着重强调了在数据收集阶段的PbD设计中应当充分考虑业务目的和收集数据最小化之间的对应关系:
一家书店想通过在网上卖书来增加收入。书店老板想为订购过程建立一个标准化的表格。为了防止客户没有填写所有必要的信息,书店老板使用标准的联系表单,将表单中的所有字段都设置为必填字段(如果没有填写所有字段,客户就不能下订单)。网店老板最初使用标准的联系表格,询问顾客的出生日期、电话号码和家庭住址。然而,并不是表单中的所有字段都是购买和交付图书所必需的。数据主体的出生日期及电话号码并非购买产品所必需。这意味着这些字段不是订购产品所需的网页表单字段。此外,在某些情况下地址都不需要。例如,当订购电子书时,客户可以下载书籍,他/她的地址不需要交由网店处理。
因此,网店店主决定创建两个网页表单:一个用于订购图书,其中有客户地址的字段;另一个网页表单用于订购电子书,其中没有关于客户的地址的字段。
7.1.2苹果
通过查看苹果的整体隐私政策与各项预装APP的隐私政策,初步认为苹果收集使用的个人信息的范围与其所需实现的业务功能严格匹配,并随着业务功能的不断扩充逐步扩展个人信息的收集使用范围。具体示例如Siri:
7.2数据存储:最小化
7.2.1诺基亚手机
《HMD Global 产品和服务隐私政策》中披露,其会删除不正确或不必要的个人数据,并根据数据类型和相关服务或产品的不同确立不同的数据类型的保留期。
7.3数据共享:最小化
7.3.1华为移动终端
华为在数据共享中通过《华为消费者业务隐私声明》获得个人信息主体的授权同意,并在部分服务中为用户提供了交互界面,允许用户自行授予或撤回第三方应用从华为间接获取相关个人信息的权利。例如,华为HiHealth,详见下图:
华为在其《EMUI 10.0安全技术白皮书》中称,EMUI 系统提供了多种具有不同行为特性的唯一标识符。应用根据不同的场景选择最合适标识符。EMUI 标识符的作用域分三种,标识符授予的作用域越大,其被跟踪的风险就越大。重置性和持久性定义了标识符的生命周期。标识符持久存在得越久、越可靠,用户被长期跟踪的风险就越高。应用重新安装时或者手动重置标识符,能缩短其持续时间,减少被跟踪风险。为了防止应用通过设备标识符对用户进行追踪,EMUI 禁止第三方应用获取设备的永久性设备标识符,如IMEI、SN、MAC。此类标识符有效地控制了个人数据在共享阶段可能产生的风险。
7.4 销毁
7.4.1苹果
苹果在官网公布的于2019年12月31日更新的隐私政策中对数据销毁的条件做出了限制,在以下情况下,苹果会拒绝删除数据:(1)如果苹果认为删除数据的请求的某些方面可能会导致苹果无法出于该隐私政策前述的反欺诈和安全目的合法使用数据,可能会拒绝销毁数据;(2)无实质意义/纠缠式的请求;(3)损害他人隐私权的请求;(4)极端不现实的请求;(5)根据当地法律无需给予信息访问权的请求。我们认为这是数据销毁最小化的体现。
此外,在苹果官网Apple ID的管理界面中,用户可以出于任何原因请求永久性删除账户,在删除账户前,官方会提示账号删除后将会出现什么情形,以及删除账号前需要做哪些准备(见下图)。苹果在收到请求后会对删除请求进行验证,验证过程最多需要7天,在此过程中用户的帐户仍处于活跃状态。我们认为,苹果在7天的验证期内保证用户帐户活跃在时间上符合数据销毁最小化的需求。
看点
08
结 语
事实上,我们针对PbD在数据生命周期的应用进行了工程量巨大的调研。各个企业投入PbD的研发重点和展现渠道各不相同,但均体现了产品、技术和法律在PbD运用上的紧密套嵌关系。对于身处信息化时代的今日企业,已经无法回避个人信息保护、数据保护及数据安全带来的企业合规挑战,早日规划PbD应用于自身业务流程中,即可早日拿到信息化时代的数据利用的入场券。此类调整和应对或许令人有所不适,但作为个人信息保护及数据安全领域的从业律师,我们的体悟是——我们也早已跨出了舒适区。
注释:
[1] GDPR第25条——数据系统保护和默认保护 data protection by design and by default
1.考虑到国家的发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理可能给自然人的权利和自由带来的风险和损害,控制者在决定和实施数据处理的方法时,应当以一种有效的方法实施适当的技术、组织措施,例如设计来实施数据保护原则的匿名机制和数据最小化机制,并且将必要的保障措施融入到处理之中以使数据处理既符合本条例的要求又保护数据主体的权利。
这一条款要求数据控制者通过设计保护个人数据在数据收集前便设置好保障个人隐私不受侵犯的措施
2.数据控制者应当实施相应的技术和组织措施以确保在默认(by default)情形下,被处理的个人数据对每个特定处理目的都是必要的。此项义务适用于一定量的个人数据的收集,一定规模上的处理,这些数据的存储和它们的可访问性。尤其是这些机制应当确保在默认的情形下,个人数据在缺乏个人介入时是不能被不特定数量的自然人所访问的。”
这一条款要求数据控制者通过默认方式设置数据保护措施。
[2] 2012年美国联邦贸易委员会提出了隐私设计新框架,主要提出了三个核心原则:通过设计保护隐私,简化选择和透明度。在隐私设计新框架中,FTC对Facebook、Google等互联网公司不符合PbD理念的做法进行了举例,实施了制裁。例如 Facebook 曾在数据使用和共享的文字说明方面,向用户使用了误导性的语句,Facebook告诉消费者,第三方应用程序只能访问应用程序需要运行的用户信息。事实上,应用程序可以看到几乎所有用户的个人数据。FTC因此对Facebook实施了制裁。
[3]英国ICO《数据保护指南》(the Guide to data protection),ICO(Information Commissioner’s Office)是英国维护信息权的独立机构,具有执法权,采取一定的行动来确保企业履行其信息权利和承担义务。其近期关于PbD的最新实践如下:ICO 裁定英国皇家医院与Google的Deep Mind数据共享协议违反了数据保护法。在《数据保护指南》中专门设立了“隐私设计(PbD)”的章节,对其进行了说明,鼓励企业将隐私设计纳入现有的项目管理和风险管理方法和政策中。
或许您还想看
周杨:GDPR实践笔记 | GDPR辖内,cookie应何去何从?
周杨、张忠:从抖音被罚案审视未成年人个人信息保护——基于合规视角
周杨:信息保护标准解读系列之一 |《个人信息安全工程指南》解读
江智茹:信息保护标准解读系列之四 |《信息安全技术智能家居安全通用技术要求》解读
周杨律师系北京德和衡律师事务所网络安全与数据合规业务部合伙人律师,北京律协科技与大数据法律事务专业委员会委员、互联网仲裁院副秘书长,德衡律师集团互联网与TMT业务中心副总监,电子商务合规业务专业委员会主任,具有十余年工作经验,致力于与客户及其互联网产品共同应对每一次合规挑战。
2012年之前在内资知名知识产权律师事务所担任公司部律师及负责人,主要负责高新技术、知识产权相关的企业法律事务,处理事务包含企业法律风险合规处理、投资并购及争议解决。2012年之后在国内著名互联网企业360专业从事网络安全及相关互联网产品合规工作,并在后续执业中专注于互联网高新技术企业及前沿领域研究,擅长领域主要包含个人数据保护、GDPR、信息安全和电子商务平台合规治理(含跨境电商)。
周杨律师代表业绩有:奇虎360多个产品线合规工作,《360隐私保护白皮书》首版撰稿人之一;为某国内知名地产客户提供个人信息保护合规治理项目法律服务;为某金融机构提供个人信息保护合规治理项目法律服务;为某跨国企业员工数据出境提供合规治理法律服务;为某央企下属科技企业提供产品合规治理法律服务;为某著名跨境电子商务平台提供产品合规服务,兼顾国内个人信息保护及GDPR合规需求,为客户产品设计、开发及上线的产品合规工作,以及线上线下运营的商务模式的法律合规工作提供咨询和文件起草服务;为国内大型清算交易中心提供多次GDPR及个人信息保护专题培训;为国内著名女性电子商务平台提供产品合规服务,除完成产品筛查、用户协议、隐私政策撰写及修订工作外,为信息安全部门提供了多轮个人信息保护培训。
联系方式
电话:18610123230
邮箱:zhouyang@deheng.com
江智茹,北京德和衡(深圳)律师事务所互联网与TMT业务中心网络安全与数据合规业务部律师助理,西安交通大学法学硕士(信息安全法方向)。曾就职于微软(中国)有限公司(实习)、奇虎360。擅长互联网产品法律风险分析及控制,并尤为擅长研究和解决网络与数据安全、软件研发、电子商务等领域内的产品合规问题。
代表业绩有:为某大型房地产企业信息化项目提供数据合规专项法律服务;为某独角兽大数据公司提供数据合规常年法律顾问服务;为知名智能产品制造及互联网应用服务企业集团提供数据合规顾问咨询;为多家数据安全企业提供产品合规筛查及常年法律顾问服务;为某国内Linux系统开发商提供常年法律顾问服务;为某国内宠物生活网站提供专项数据及个人信息保护合规专项法律服务;为某著名跨境电子商务平台提供产品合规服务;为某国内著名女性电子商务平台提供常年法律咨询服务;协助某漏洞检测网站的产品法律合规工作;参编《网络安全法律遵从》(电子工业出版社,2018)。
联系方式
电话:13810669648
邮箱:jiangzhiru@deheng.com
✦质控人:辛小天 互联网与TMT业务中心总监
✦本文仅代表作者观点,如需转载、节选,请在后台留言联系小编