隐私设计
本文约需 2 分钟阅读
隐私设计 (Privacy by Design) 是一种从系统或服务的规划与设计阶段就将隐私保护纳入其中的设计原则。它并非「事后再追加隐私对策」,而是将隐私置于架构的核心,从结构上降低个人信息泄露的风险。该原则由 1990 年代时任加拿大安大略省信息与隐私专员的 Ann Cavoukian 博士提出,并因在 2018 年生效的GDPR 第 25 条中被明文规定为法律义务,而成为全球性的设计标准。
Ann Cavoukian 博士的 7 大原则
在隐私侵害发生之前加以预防,而非事后处理。
即使用户不做任何设置,也处于隐私得到最大保护的状态。
隐私不是附加功能,而是整合进系统的核心设计中。
隐私与功能性并非取舍关系,二者可以兼得。
从数据收集到销毁的每一个阶段都确保隐私。
公开处理机制,使独立验证成为可能。
将个人利益放在首位,让用户能够管理自己的数据。
GDPR 第 25 条带来的法律义务化
GDPR 第 25 条以「Data protection by design and by default」(经由设计与默认的数据保护) 之名,将隐私设计提升为法律义务。数据控制者必须在决定处理方式时以及处理时这两个时点,采取适当的技术与组织措施,以落实数据最小化等原则。一旦违反,可能被处以最高相当于全球年营业额 4% 或 2,000 万欧元 (以较高者为准) 的罚款。日本的《个人信息保护法》也在 2022 年的修订中要求强化安全管理措施,因此从设计阶段着手应对实质上已成为必需。
数据最小化原则
在隐私设计的实施中,最重要且最具即时效果的是数据最小化。它是「仅收集和保留实现目的所必需的最少数据」的原则,具体而言意味着以下这些设计决策:如果用户注册不需要真实姓名,就不收集;如果分析无需识别个人身份,就进行匿名化;设定保留期限,对不再需要的数据自动删除。通过运用数据脱敏与假名化,将对原始数据的访问降到最低。
默认隐私保护 (Privacy by Default)
- 默认公开全部数据
- 选择退出模式 (除非自行更改设置,否则会被共享)
- 持续获取位置信息
- 退出后仍无限期保留数据
- 默认不公开
- 选择加入模式 (仅在明确同意时才共享)
- 仅在必要时获取位置信息
- 设定保留期限并自动删除
与暗黑模式的对比
暗黑模式是与隐私设计处于对立面的设计手法。诸如让同意按钮醒目而把拒绝按钮做小、把设置界面复杂化以增加更改隐私设置的难度、故意让退出流程繁琐等手法,都会妨碍用户的自主判断。欧盟的《数字服务法》(DSA) 自 2024 年起明确禁止暗黑模式,违反隐私设计原则的 UI 设计已开始伴随法律风险。
现场使用案例
“在一项新服务的设计评审中,我指出了用户行为日志中包含 IP 地址的地方。由于分析目的使用匿名化的标识符就已足够,于是我们更改了设计,实现了数据最小化。结果,GDPR 合规成本也大幅降低。”
关于隐私与便利的兼顾,请参阅隐私与便利的文章;具体的设置方法请参阅隐私设置指南;数字身份的保护请参阅数字身份保护的文章,其中均有详细说明。隐私保护相关书籍 (Amazon)也可作为制度设计的参考。
这篇文章对您有帮助吗?