文│ 小米集团信息安全与隐私委员会副主席、数据合规法务总监 朱玲凤;BSI 中国区技术经理、高级项目经理、高级讲师 汪明

数据保护设计和默认数据保护是数据保护领域极为重要的理念和原则,在技术高速发展的今天具有高度延展性和包容性,充分保障用户的个人数据,也代表隐私文化和企业自律的发展。了解数据保护设计和默认数据保护的概念缘起和实践导入,可以更好理解其概念所指和具体运用。具体看,二者在国际标准和法律规定中有不同的侧重,国际标准偏重于体系化,法律规定偏重于与已有的法律原则相结合适用。数据保护设计和默认数据保护未来将会有更细致的指南和细则,便于进一步实施落地。

一、概念起源

隐私设计(Privacy by Design)等同于欧盟《通用数据保护条例》(GDPR)中的数据保护设计(Data Protection byDesign),是最初由加拿大学者安·卡沃基安(Ann Cavoukian)于 20 世纪 90 年代提出的概念。卡沃基安认为,隐私的未来不能仅仅通过遵守监管框架保证,而应当顺其自然地成为一个组织的默认运营模式,让自然人的隐私权利得到真正意义上的保护与尊重。

这一理念强调,对隐私的保护必须由产品设计师们以一种双赢的方式设计出来。双赢的设计策略应该使隐私保护目标与其他目标相互包容而不是冲突、排斥,而且,隐私设计应当贯穿始于采集、终于销毁的个人数据处理活动全生命周期。卡沃基安相信,充分实践该设计策略的组织必将在商业关系中获得更多的信任。

如今,这一概念正逐渐被各家有社会责任感的企业运用到产品研发和业务流程实践中,遵循隐私设计的产品也越来越受到人们的欢迎。

二、走向实践

卡沃基安最初提出的隐私设计虽然只是一种概念,但并不是空谈。在随后的若干年里,诸多学者和权威机构提出了一系列经典理论和知识体系,从深度和广度上,将隐私设计推向实践。在对深度的推进方面,从隐私风险建模(Privacy Risk Models)到隐私影响评估(Privacy Impact Analysis), 再从隐私工程设计策略(Privacy Engineering DesignStrategy)到隐私设计模式(Privacy Pattern)和隐私增强技术(Privacy Enhancement Technology),一系列模型和方法论将隐私设计从理论基础引向技术实现。在对广度的拓展方面,隐私工程(PrivacyEngineering)将隐私问题引入系统与软件生命周期过程,以扩展系统与软件工程实践,从系统与软件工程的视角,强调通过一整套体系化、标准化、规范化的过程和方法,确保上述有关系统与软件的隐私设计技术实现要求被有效贯彻执行。

(一)国际标准:从系统工程的过程化视角确保隐私设计得以实施

ISO/IEC 27550:2019 是一份专注隐私工程的指南性国际标准,旨在帮助组织将隐私工程融入系统生命周期过程中。该标准首先解读了隐私工程与其他理论体系(包括系统工程、安全工程、风险管理)之间的关系,随后结合另一份专注于系统与软件工程的 ISO/IEC/IEEE 15288 国际标准中定义的系统生命周期过程,描述了如何在系统生命周期过程中嵌入隐私工程活动,以应对并解决隐私工程方面的问题。

1. 在采购过程和供应过程中,强调个人数据处理的供应链关系。制定供应链相关方之间关系的准则,以确保相关的隐私要求被传达,包括控制者与处理者之间的关系,以及控制者/处理者与供应商之间的关系。

2. 在人力资源管理过程中,强调针对人员的隐私工程能力与意识管理。制定隐私工程人力资源管理准则,以确保人员具备相关能力,并成为一个组织的文化和核心价值观的组成部分。

3. 在知识管理过程中,强调隐私工程的知识管理。制定如何在隐私工程中持续改进的准则,以确保最佳实践得到更新。

4. 在风险管理过程中,强调隐私风险管理。制定如何开展风险管理的准则,以确保隐私风险得到适当评估。风险应当源于数据处理,也可能是系统的威胁和漏洞,而风险的本质在于可能影响自然人的隐私权和组织自身的业务运营。

5. 通过相关方需求管理过程,管理来自相关方的隐私诉求,制定如何满足利益相关者隐私期望的指南。

6. 通过系统需求定义过程,确保隐私原则的实现。制定将隐私原则转化为操作要求的指南,以确保从系统生命周期开始就考虑这些原则。

7. 在架构定义过程中,强调隐私对架构的影响。制定系统架构定义的指南,以确保架构设计考虑到隐私原则的要求。

8. 在设计定义过程中,强调隐私对设计的影响。制定系统设计指南,以确保集成了适当的隐私控制措施。

此外,ISO/IEC 27550:2019 也通过附录部分,将一系列隐私设计理论进行了串接,分别从技术和实操视角描述了隐私工程目标、数据处理风险、隐私威胁、隐私策略、隐私控制措施、隐私风险模型、隐私风险分析方法。总体而言,这样一份标准既适用于负责涉及隐私保护要求的信息系统开发、实施、运行的工程师,也适用于负责隐私合规、产品管理、营销和运营管理人员。

毫无疑问,隐私设计一旦拓展开,将会是一套多维度、集大成的体系,ISO/IEC 27550:2019具备了一个知识索引的功能,但每个细节都无法穷尽。该标准将这些细节内容指向了其他框架、标准、书籍和论文。从另一个角度看,标准更多的是对理论进行沉淀。随着处理个人数据的信息技术不断更新迭代、处理个人数据的业务场景不断创新变换,更具有实操性的隐私控制措施还需要各行各业的隐私专家们持续地进行梳理和积累,以及脑洞大开的隐私工程师们持续地进行研究和创新,不断地推陈出新,形成有关最佳实践的指南文件,但很难也没有必要把这些细节固化成一个通行的要求类标准。

(二)法律领域:数据保护设计和默认数据保护是具有延展性但可进一步细化的机制

数据保护设计和默认数据保护因 GDPR 从一个技术领域的概念转化为法律概念。GDPR 第 25条规定,“考虑到国家的技术发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理可能给自然人的权利和自由带来的风险和损害,控制者在决定和实施数据处理的方法时,应当以一种有效的方法实施适当的技术、组织措施,例如设计以实施数据保护原则的匿名机制和数据最小化机制,并且将必要的保障措施融入处理中,以使数据处理既符合本条例的要求又保护数据主体的权利。数据控制者应当实施相应的技术和组织措施,以确保在默认情形下,被处理的个人数据对于每个特定处理目的都是必要的。该最小必要义务适用于被收集的个人数据的数量、处理规模、存储期限与其可访问性。尤其是这些措施应当确保在默认情形下,个人数据在缺乏个人介入时无法被不特定数量的自然人所访问。”

然而,数据保护设计和默认数据保护作为法律概念的内涵和外延,相对比较模糊。欧洲数据保护委员会(EDPB)在 2019 年 11 月发布了《关于第 25 条的设计和默认数据保护指南》(Guidelineson Article 25 Protection by Design and by Default)第一版征求意见稿,在 2020 年 10 月发布了第二版,就设计数据保护和默认数据保护提出了具体含义,以及具体如何有效实施 GDPR 第 5 条第 1款的数据保护原则,列出了关键的设计数据保护和默认数据保护的行动,同时,强调了认证和可归责性。

设计数据保护原则的核心在于:第一,应考虑最新技术、实施成本以及处理行为的风险,确定适当的技术、组织措施,因此,设计数据保护原则是在当前最新技术发展以及可管理的成本下可采取的措施。因最新技术发展是动态的,则该原则具有高度延展性和包容性。但是,该原则又基于风险导向,结合了数据影响保护评估,能确保个人数据得到保护。第二,设计数据保护原则包括了技术措施和组织措施,未明确规定具体的措施内容,也不限定于技术措施。第三,实施时间是在决定和实施数据处理过程时,即符合设计数据保护原则之一“将数据保护嵌入到设计中”,强调设计阶段的介入。

默认数据保护原则的核心在于:第一,默认指的是预先分配的值或选定的可配置的值,与计算机技术领域的视角相同。第二,默认数据保护原则也同样包括技术措施和组织措施,不限于仅仅是技术措施,例如分配给组织不同成员的权限时考虑最小化的权限分配规则。第三,默认数据保护原则的内核是在默认情况下最小必要原则的贯彻,尤其是收集个人数据的范围、处理的程度、存储期限和可访问性方面的最小必要性。

《设计和默认数据保护指南》强调,采取设计数据保护原则和默认数据保护原则均应保障数据保护原则、数据主体权利(尤其是未被数据保护原则涵盖的内容),并列出了数据保护原则执行设计和默认数据保护原则的关键性元素和举例。

数据最小化原则是指只有充分、相关且仅限于此目的所需的个人数据才可处理。因此,控制者必须预先确定处理系统的哪些特性和参数及其支持功能是允许的。数据最小化证实并实施了必要性原则。在进一步的处理中,控制者应定期考虑处理后的个人资料是否仍然充分、相关和必要,或资料是否应删除或匿名。

体现数据最小化原则的设计数据保护原则和默认数据保护原则的关键性元素包括:1. 避免数据处理——在可能用于相关目的时,避免完全处理个人数据。2. 限制——将收集的个人数据限制在必要范围。3. 访问限制——将数据处理设计为仅最小量的人需要访问个人数据以履行其责任,并据此限制访问。4. 相关性——个人数据应与处理相关,且控制者应能够证明这种相关性。5. 必要性——每个个人数据元素应为特定目的所必需,且仅在无法通过其他方式实现目的时才应进行处理。6. 聚合——尽可能使用聚合数据。7. 假名化——一旦不再需要直接识别的个人数据,就对个人数据进行假名化,并单独存储识别密钥。8. 匿名和删除——如果个人数据不需要或不再需要,则应匿名或删除个人数据。9. 数据流——数据流的效率应足以不产生多余的副本。10. 最新技术——控制人应采用可用和合适的技术,以落实数据避免和最小化。

例如,一家公共交通公司希望收集基于乘客路线的统计信息。这有助于对公共交通时刻表的变化和列车的正确路线作出正确选择。乘客每次进入或离开运输工具都必须通过读卡器刷票。控制者进行了与收集乘客旅行路线有关的乘客权利和自由的风险评估,确定可以根据客票识别码识别旅客。因此,为了优化列车的公共交通时刻表和路线收集客票识别码是不必要的,控制者不存储车票标识符。一旦行程结束,控制者只存储单独的乘车路线,以便无法识别、连接到单个车票的行程,而只保留有关单独乘车路线的信息。如果可能存在仅通过其乘车路线识别一个人的风险,则控制者需要实施措施汇总乘车路线,例如截断路线的起点和终点。

上述案例阐释贯彻了技术领域隐私设计的原则之一“全功能:正和而非零和”。对公共交通公司而言,通过乘客乘坐路线统计结果优化乘车路线与时刻表是合理的商业诉求;对乘客而言,收集其车票信息中的标识符可能会识别个人,对用户的自由和权利造成影响。因此,选择了既符合功能诉求又保护隐私的功能,不保存车票识别符,仅保存路线。同时,该案例和关键性元素的实践,落实了隐私设计策略。例如,去除车票标识符,是落实数据导向原则中最小化之排除策略,即实现排除与处理行为本身无关的数据主体和属性。如果仅基于路线可以识别个人的信息,则采取了截断路线的起点和终点的技术措施,落实了数据导向原则中隐藏之模糊处理策略,对存储操作和信息传输,使用加密、哈希、截断等方式使未经授权查询个人数据的人,难以理解。

EDPB 的阐释还是在解释具体场景下如何符合GDPR 的规定,并未明确指出设计和默认数据保护原则的执行要求,作为一项义务或者风险控制框架难度较大。

纵观国际标准与法律领域对数据保护设计和默认数据保护的探索,从共性上而言,都是一个很庞杂和具有强大包容性的指引,从区别性上而言,都是在寻求自己逻辑体系内的自洽。国际标准贯彻一贯管理体系思路,体系化、全面化,而法律规定更侧重用该理念实现对法律所规定义务的阐释和细化。总的来说,将数据保护设计和默认数据保护从概念到实践做出了跨越式努力,成为真正必须实践且有可行性的方法论和措施。

三、未来发展

EDPB 将内涵和外延更丰富和不确定性的设计和默认数据保护原则作为应对未来科技创新与用户数据保护平衡的利器。根据 EDPB 于 2020 年 12月 15 日通过的《欧洲数据保护委员会战略(2021-2023)》(EDPB Strategy 2021-2023 ),“保护个人数据有助于确保技术、新商业模式和社会的发展符合我们的价值观,如人的尊严、自主和自由。委员会将不断监测新兴技术及其对个人基本权利和日常生活的潜在影响……我们将根据我们共同的价值观和规则帮助塑造欧洲的数字未来。”

其中,关键性举措之一是进一步强化“设计和默认数据保护”及可问责性,就如何有效执行数据保护原则、个人可期望什么以及组织可以做什么提供清晰的指南,从而进一步提高个人对其个人数据进行控制和组织证明其遵守义务的能力,以达到在保障基本权利的基础上发展新技术的目标。

该意图与国际标准中的隐私保护设计以及隐私保护设计概念的理念完全一致,因其与隐私保护、信任文化一脉相承,对未来科技未知的发展具有很大的包容性。据此预测,数据保护设计和默认数据保护将会有更清晰的内容及指引,并不断持续进化,为数据保护提供强有力的方法论和措施。

(本文刊登于《中国信息安全》杂志2021年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。