查看原文
其他

诸子笔会2022 | 陈圣:隐私设计漫谈

陈圣 安在 2023-01-07

自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。

隐私设计漫谈     


     文 | 陈圣




陈圣


中通快递安全专家



 

“Privacy means people know what they are signing up for, in plain language, and repeatedly. I believe people are smart. Some people want to share more than other people do. Ask them.”

“隐私意谓着用最通俗易懂的语言反复地告知用户他们注册了什么东西,签署了哪些协议。我相信用户是非常聪明的,并且有一些用户可能会愿意共享更多的隐私信息,所以我们需要时刻征得他们的同意。”这是乔帮主在接受采访时传递出的苹果关于尊重用户隐私的态度。


最初看到这句话的时候我一直质疑它的出处,后来通过查询得知,这是乔帮主在AllThingsD大会上的讲话。当时谈到“隐私意味着什么”,资深科技媒体人莫博士(Walt Mossberg)问乔帮主怎么看待围绕Facebook和谷歌的隐私问题,他回复到:“复杂说,隐私就是让人们知道他们注册了什么东西,并不时提示。我是一名悲观主义者,置信人是聪明的。一些人想比别人分享更多的数据,那就讯问他们,每次都问。假如他们厌倦了你的发问,他们就会通知你终止发问。你要让他们精确地知晓你将如何处置他们的数据……”

对我来说,Steve Jobs确实引领了一个时代,这句话让我不由得想到三点:

首先,在当时的情况下,隐私远远达不到当下国际社会普遍讨论并加以到立法层面,甚至引发热点问题的程度,所以这是多么有先见之明的想法。当时大家更关注到底可以用数据做什么事情,在某种程度上也说明一个问题:很少有人想象到技术隐私问题会在硅谷、行业、社会、国家之间乃至全球领域的世界范围中变得如此重要。乔帮主或许预料到,也可能没有预料到技术隐私会成为大众媒体热议的话题,但他确实知道这是一个重要的问题,Apple 需要对其原则做出非常明确的声明。

其次,史蒂夫所说的本质核心就是“同意”。你可以向人们提供任何你喜欢的信息:收集大量数据、收集少量数据、完全不收集数据。而重要的是用户当时应该只停留在基本需求方面,比如获取更好的应用,甚至仅仅可以拨打电话及收发短信。

史蒂夫已经知道你不一定相信科技公司会做正确的事。你必须采取保护措施来防止侵害的行为,无论是技术上的还是法律上的。他举的例子是:Apple 没有制定应用程序必须请求许可才能访问位置数据的规则,因为iOS是通过操作系统而非应用程序执行请求的。如果应用程序的调用不通过 Apple的API,就不可能访问位置数据,并且 API 也不可能在不询问用户的情况下授予权限。

以上不得不说,我个人认为这就是一种隐私设计Privacy by Design (PbD)的理念。隐私设计可确保将良好的隐私实践纳入企业的决策制定,乃至信息系统、业务流程、产品和服务的设计和结构中。这意味着在计划的所有阶段都需要考虑隐私,从概念到开发和实施阶段。通过在整个组织范围内培养隐私意识,设计隐私方法将重点转移到防止与隐私相关的问题上,而不是简单地遵守相关法律,或者说是站在监管的角度,只做满足监管层面的事情。通过设计将隐私嵌入组织的实践中也将帮助人们满足对企业如何处理个人信息的期望。


在1990年代,安大略省前信息和隐私专员 Ann Cavoukian 制定了隐私设计,将隐私纳入技术实践和程序,Cavoukian 的七项原则继续影响着世界各地的隐私法规和框架。组织实施 PbD 的主要目标是保护个人和服务用户的隐私,Privacy by Design 的概念也已融入全球数据保护法规,例如GDPR第 25 条关于通过设计和默认保护数据。

在这里,我们来了解一下设计隐私的七项原则,其实我国的《个保法》也直接或间接地体现了相关的原则:

上图看似文字比较冗长复杂,且《个保法》未明确引入“隐私设计”的概念,但该法的若干规定直接或间接体现了上述隐私设计原则的要求。我认为应当基于PbD原则在设计中考虑隐私,即通过设计来保护个人数据和隐私,将保护个人数据和隐私的理念以技术手段运用到产品和服务的各个环节中。以下为企业应当贯彻和落实的隐私保护基本原则,简单归纳总结如下:

■ 合法、正当、透明:

以合法、正当以及对数据主体透明的方式,来收集和处理数据主体的个人数据。

■ 目的限制:

基于具体、明确、合法的目的来收集数据主体的个人数据,与此目的不相符的方式进行数据处理均属于不合规行为。

■数据最小化:

收集和处理的个人数据都是为了满足服务目的所必需,并且向企业的用户承诺会尽可能对个人数据进行匿名或化名处理,降低对数据主体的风险。

■准确性:

个人数据应当是准确的,并在必要的情况下及时更新。根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据。

■存储期限最小化:

在存储个人数据时不超过实现数据处理目的所必要的期限,在业务活动完成后,即对个人数据删除或匿名化处理。

■完整性与保密

根据现有技术能力、实施成本、隐私风险程度和概率采取适度的技术或组织措施确保个人数据的适度安全,包括防止个人数据被意外或非法毁损、丢失、篡改、未授权访问和披露。

■可归责:

作为数据控制者,企业应承诺会对上述原则负责,并对收集和处理过程留有相关的记录,以供审计。

Privacy by design 已成为国际公认的隐私保护框架。它还被纳入著名的欧盟通用数据保护条例(GDPR)第 25 条,该条例将“设计和默认数据保护”列为欧盟和英国的强制性要求。那企业如何通过设计实现隐私呢?根据使用的系统、承担的项目类型以及处理个人信息的程度,如何通过设计实现隐私会有所不同呢?以下简单说说应该能有助于在组织中嵌入隐私设计几个思考项:

当开始一个新项目或对现有项目进行更改时,请考虑是否需要进行隐私影响评估;

尽量减少处理的个人信息量:仅收集和使用需要的信息用于企业的基础业务为目的;

以尽可能优化的汇总类型和尽可能少的使用和存储个人信息;

如果可能,请使用匿名化或假名化个人信息。还应该将来自不同来源的个人信息存储在单独的数据库中,除非出于其他目的,否则不应链接这些数据库。这将有助于防止个人的敏感信息被破译或关联出来;

对任何公共文件采用“通俗易懂的语言”政策,以便人们轻松了解企业对他们的个人信息所做的事情;

发布组织中负责隐私和数据保护的人员的详细联系信息,并链接到企业的隐私政策或个人信息保护中心中去;

在企业的系统中创建和改进安全功能,可以使用增强隐私计算或加密的技术;

确保个人信息在企业的 IT 系统、服务、产品和/或业务实践中自动受到高级别的保护,这样个人就不必采取任何具体行动来保护他们的隐私;

当企业使用其他系统、服务或产品时,请确保只使用那些其设计者和制造商已考虑隐私因素的系统、服务或产品。企业应该考虑与这些方签订的合同是否包括第三方遵守当地隐私或个人信息保护政策或法律。

这里不得不再次强调隐私影响评估 (PIA),因为PIA 有助于识别因政策变更以及新项目带来的隐私风险。PIA 是一种重要的隐私设计流程,有助于遵守隐私义务并为企业带来好处。

隐私影响评估 (PIA) 是对项目的系统评估,确定项目可能对个人隐私产生的影响,并提出管理、最小化或消除这些影响的建议。完成PIA可能很简单,重要的是将企业的注意力转向隐私风险。 每个PIA将根据项目中涉及的个人信息的性质和范围而有所不同。但是,有一些一般原则始终适用于 PIA。

需要考虑项目的隐私风险和缓解策略,这不仅仅是基本的合规性检查;

应该在足够早的阶段完成,以影响项目的进展方式(例如,在规划和设计或业务案例阶段);

应该与项目一起进行(有效的 PIA 将考虑如果项目规模或范围扩大可能出现的隐私风险;当项目发生变化时,应该重新审查和更新 PIA);

应纳入可能感兴趣或受项目影响的利益相关者对隐私风险的反馈;

将映射作为项目一部分的信息是如何收集的,一旦收集到信息,信息将如何流动(谁可以访问它,如何存储它,将用于什么,等等);

应识别任何隐私问题并提出可以管理、最小化或消除隐私风险的方法(使用信息流图) 。

不是所有的项目都需要 PIA。相比之下,笔者觉得设计隐私是一个更广泛的概念,因为它适用于任何需要处理个人信息的企业,并要求企业在经营的各个方面都考虑到隐私因素。

另外,不能忽视隐私增强技术Privacy Enhancing Technologies(PET)——在某些情况下,企业可以使用隐私增强技术来最大限度地减少个人信息的使用并提高数据安全性。其中包括加密、数据库中的私人搜索功能和匿名通信协议等工具。PET 有助于降低 IT 系统中的隐私风险并履行隐私法规定的义务。

虽然 PET 在保护隐私方面发挥着作用,但它们通常被用作现有 IT 系统的附加组件(而不是作为系统本身设计的一部分)。当 PET 被视为更广泛的信息治理战略的一部分时,它们应当将是最有效的,其中还采取其他技术和政策措施来确保在整个组织及其系统中安全处理个人信息。

最后,笔者建议企业积极审视自身的个人信息保护合规情况,并将隐私设计理念充分纳入到自身产品和服务的开发以及企业活动的全过程中去。




推荐阅读

2022诸子笔会  

【12月主题:回顾与展望,无题】

张永宏  刘志诚  肖文棣  杨文斌  朱文义


【11月主题:考场,战场与职场】

刘志诚   张永宏  杨文斌  肖文棣  孙琦  

孙瑜 王忠惠  朱文义  陈圣   回顾


【10月主题:过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦  孙瑜  王忠惠  朱文义  陈圣   回顾


【9月主题:查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾


【8月主题:红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾


【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名




原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存