西班牙数据保护局《默认数据保护指南》全文翻译

译者序

设计数据保护原则（Data Protection by Design）和默认数据保护原则（Data Protection by Default）从技术领域遵守的原则，被《欧盟一般数据保护条例》（GDPR）纳入法律规定中成为数据控制者的一项义务。其原则的内涵和应用措施等具有高度抽象性和技术性。随后，EDPB发布4/2019指南（"Guidelines 4/2019 on Article 25 Data Protection by Design and by Default" of the European Data Protection Board），解释了设计数据保护原则和默认数据保护原则的含义以及如何执行落地。

西班牙数据保护局AEPD基于GDPR第25条规定与EDPB的指南，重点阐释了默认数据保护原则的策略、实施措施、记录和审计要求等，对于企业具体实践默认数据保护原则具有较具体的实践指导。

默认数据保护原则分为三个层面，包括默认数据保护策略、措施和配置选项，具体参见下图：

默认数据保护原则要求数据控制者为处理行为设置一个符合数据保护原则的默认配置，倡导最小的侵入性处理: 最低限度的个人数据量、最低限度的处理范围、最短的存储时间和最低限度的个人数据访问。同时默认数据保护原则需要与GDPR规定的其他原则相互协调，包括默认安全原则、设计数据保护原则、透明性原则等，比如只有保证处理行为的透明性，用户才能在了解潜在后果的情况下自由选择更好尊重隐私的默认配置。

默认数据保护原则根据EDPB指南集中在三个策略：优化、配置和限制。而三个策略实施的核心目的是贯彻最小化原则。

优化处理的核心在于基于数据保护为核心目的优化处理行为。将处理行为拆分为多个独立的阶段，根据处理阶段为用户提供的服务的不同设定不同的用例，将用例作为其后默认配置值的基础。同时，因为部分处理阶段可能是共用组件，基于每个数据处理阶段处理数据所需的最小数据来判断是否隔离数据等。在上述分析后则来判断每个处理阶段的必要性，和是否收集了最少数据量、最短保存期限以及最小访问权限，以及是否给予用户上述控制权。

可配置性强调的是允许通过应用程序、设备或系统中可用的值（设置）对个人数据进行可配置处理，这种可配置的一部分必须在用户的控制之下。根据优化处理过程中已经分析得出的处理阶段、用例等确定可配置性要求，而可配置性具体而言包括可配置的参数、可用的值范围以及默认值，而可配置性信息应当纳入为数据保护影响评估的部分。值得注意的是，如上述优化处理阶段分析所得的共用组件，分析其是否执行了不必要的且不可配置的功能。当确定某个参数是可配置时，应当确定是否允许用户对其配置的控制权，如不应当赋予用户设置自己对系统的控制角色。为用户提供可配置的控制权时应当保证信息充分性、避免信息疲劳以及提供两级控制方法（第一级是一般性用例，第二级是每个用例的详细配置）。

限制意在保证在默认情况下，数据处理尽可能地尊重隐私，所以此时默认限制性最大。

默认数据保护原则的保护措施围绕着收集的个人数据数量、处理的范围、存储期限以及数据的可访问性。AEPD通过附录形式提供了可配置的处理活动以及相应的配置选项作为参考。

最后，默认数据保护原则的落实应当是有记录的和可审计的。AEPD提供了一份记录和审计的控制措施，包括验证是否有默认数据保护原则的优化处理阶段的记录、验证是否将可配置性要求已经按照设计落实并正确执行，验证默认用例是否更严格地符合最小化原则等。

该份指南从技术角度阐述了具体落地执行默认数据保护的清单，更符合产品和研发人员的理解，能充分实现将隐私和数据保护嵌入到设计开发全生命周期中。