隐私工程的“保护左移”

1960年代的软件危机，催生了软件工程。2010年依赖学术味很浓的深度学习，催热了现在的“AI工程化”。现在，工程化思维正在被引入隐私保护，来应对这场新技术带来的隐私危机。

早期的计算机，企业专用、封闭、昂贵和数量稀少，软件多由计算机厂家开发并专用，那时的计算机安全问题主要来自外部环境，防火防盗防震防尘。

到了个人电脑时代，家用计算机数量和软件数量一起猛增，软件开发者来源平民化和多样化，计算机安全的焦点从外转内，主要是两大类。一是从软件开发商看，盗版猖獗，软件资产无法得到有效保护。二是从普通用户看，恶意软件威胁计算机系统和数据安全。

到了PC互联网时代，原来封闭和专用的计算机和软件，忽然连接到开放的互联网上了，大门敞开了，尤其是在1990年代末到2000年初，计算机安全问题被互联网直接引爆，盗版和恶意软件“转型”为通过网络快速传播了。

即使如此，人们的主要关注点被吸引到互联网带来的创新、便利性和安全性了，几乎还什么人关心隐私议题，甚至主流的宣传说“互联网是免费的”。

到了移动互联网时代，智能手机和APP具备了强大的个人数据(如位置、社会关系、行为习惯等)采集能力，大数据具备了低成本分析处理海量个人数据的能力，AI能够快速识别处理人脸等个人数据了，隐私危机大爆发。

天下没有免费的午餐，到现在大家才发现，我才是那份午餐。

为应对隐私危机，一方面各国政府纷纷制定相关的法律法规和政策，另一方面技术产业界发明应用各类隐私计算和隐私增强技术。

前者提出需求，后者落地实施。

但这是法律与技术的交叉领域，太复杂了，尤其是缺乏适当的可重复使用的工具和最佳实践，构建隐私友好型应用程序和服务很困难，需要工程化的方法论指引。

于是，提供可用于降低隐私风险和满足合规性的工程化指导的方法论，“隐私工程”兴起了。

隐私工程化将隐私保护的法律法规，以及“用户导向”的基本原则引入到系统设计、开发和使用的各个环节，将隐私保护“左移”，从需求设计阶段就考虑到如何解决隐私保护问题，并且在用户界面上提供醒目易懂的隐私条款提示。

隐私工程涉及组织架构、流程管理、数据治理、安全工程、软件工程甚至道德工程等，一般会采用隐私计算和隐私增强等技术来实现匿名化和去标识等。

当然，还需要做隐私影响评估等。技术人员在将法律规范落地为具体的技术实现时，需要权威机构根据技术和隐私实践的现状，进行合规性和隐私等级等评判和解释。

声明：本文来自何所思，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。