数据最小化
本文约需 2 分钟阅读
数据最小化是指仅收集、处理和保留为实现特定目的所必需的最小限度数据的原则。GDPR 第 5 条第 1(c) 款将其明文规定为「adequate, relevant and limited to what is necessary (适当、相关并限于必要范围)」,是欧洲数据保护法的核心原则之一。它不仅是一项法律义务,从安全的角度看,也作为「不持有的数据就不会泄露」这一简单而强大的防御策略发挥作用。
为什么数据最小化能增强安全性
数据最小化的本质在于「缩小攻击面」。如果保留的数据量较少,那么万一发生信息泄露时,受害的个人数量和泄露的数据种类都会受到限制。
泄露时损害巨大。监管机构的罚款也会很高。存储成本、加密成本以及访问控制的管理负担都会增加。
泄露时的影响范围有限。合规应对的成本也会降低。数据质量管理更加容易,分析精度也会提升。
在 2017 年的 Equifax 信息泄露事件中,1 亿 4,700 万人的社会安全号码、出生日期和住址被泄露。长期保留信用调查所不需要的历史数据,是扩大损害的因素之一。如果彻底贯彻数据最小化,泄露数据的数量和种类原本有可能大幅减少。
实现的具体示例
| 措施 | 具体行动 | 效果 |
|---|---|---|
| 精简注册表单字段 | 仅凭电子邮箱即可注册,姓名、住址、电话号码在需要时再获取 | 提高注册率 + 减少保留数据 |
| 设定数据保留期限 | 访问日志保留 90 天、注销用户的数据保留 30 天后自动删除 | 防止积累数据膨胀 |
| 按目的分离数据 | 将用于分析的数据匿名化后转移到另一个数据库,并从生产数据库中删除个人信息 | 降低生产环境的风险 |
| 权限最小化 | 客服仅显示订单历史,隐藏信用卡号 | 降低内部舞弊风险 |
与匿名化和数据分类相结合,可进一步提升数据最小化的效果。重要的是先分类出哪些数据是机密的、哪些数据是不必要的,然后持续运转积极删除不必要数据的循环。
与业务的权衡
数据最小化的最大障碍,是业务部门「将来可能会用到,所以想保留」的诉求。在营销分析、机器学习模型训练、客户行为的长期趋势分析等方面,「持有的数据越多,业务价值越高」的观念根深蒂固。
然而,保留的数据越多,管理成本 (存储、加密、访问控制、审计日志) 也越高,泄露时的法律风险也随之增加。GDPR 的罚款上限为全球年营业额的 4% 或 2,000 万欧元中的较高者,保留不必要数据所带来的风险不容忽视。遵循隐私设计 (Privacy by Design)原则,在数据收集的设计阶段就纳入最小化,是兼顾业务与隐私的最佳方案。
数据保留策略的设计
要让数据最小化成为切实有效的措施,明文规定的数据保留策略不可或缺。策略应包含以下要素。
- 各数据类别的保留期限 (例如:交易日志保留 7 年,营销数据保留 2 年)
- 超过保留期限的数据的自动删除机制 (因为手动删除容易被遗忘)
- 具有法定保留义务的数据的例外规定 (税务记录、诉讼保留等)
- 个人识别信息的特别处理规定
一并参阅隐私与便利的平衡、隐私设置指南、数据泄露应对等文章,便能看清数据保护的全貌。个人信息保护相关书籍 (Amazon)可以从法律法规和技术两个层面加深理解。
这篇文章对您有帮助吗?