主动进取，审慎经营 | 《个人信息保护法》发布解读之（四）产品隐私设计

前言

在监管合规层面，国内个人信息保护相关法律法规陆续出台，监管机构的检查力度也在不断加大；从企业内部自身发展来看，各类型企业都在向信息化方向进行转型。随着处理的各类数据的爆炸增长，企业如何在科技高速创新和迭代的背景下，平衡企业利益和隐私保护的关系，成为了企业在科技建造和信息化转型中亟待需要解决的问题。

在如今这个数字化的时代，数据资产的价值越来越高，云计算、移动通讯、物联网、机器学习、人工智能、区块链以及其他技术驱动下的创新成果，正在加速打破并重置原有定位和边界，但当有新的技术出现的时候，企业除了考虑如何更好的使用这项技术创造业务价值外，也应该考虑是否尊重了用户的隐私权利。

比如在《主动进取，审慎经营 |《个人信息保护法》发布解读之（三）当隐私遇上大数据》中描述的“大数据杀熟”场景，在使用自动化决策做出带有歧视意味的自动化筛选的时候，企业需要考虑到：是否在拓展信息处理技术边界的同时，也侵犯了用户所属的隐私权利和自由的边界？我们在开始反思这类问题的同时，也面临着一个巨大痛点：隐私保护动作的滞后性带来更高的成本投入与沟通内耗。

由此，“前置且嵌入”的隐私保护概念被提出并付诸实践，即在应用程序设计之初，就提出隐私保护的设计需求，也就是业界常说的隐私设计（Privacy by Design, 以下简称“PbD”）。这是一个非常好的平衡企业的商业利益和用户的隐私需求的方式。这是除了我们在《主动进取，审慎经营 |《个人信息保护法》发布解读之（二）企业能力构建》中所提及能力要件外，企业应当具备的最重要的个人信息保护能力。将隐私的设计嵌入产品的开发源自于技术领域对隐私数据的保护处置概念，慢慢的被演化成为包含技术、运行系统、工作流程、管理结构、物理空间和基础设施等各个方面的隐私设计方案。

隐私设计嵌入产品开发是个人信息保护链条上的首要环节，直接将个人信息保护的需求和技术的手段相结合，企业既可以切实的用技术来满足数据主体的权利，又可以在满足在政府监管的时候，提供相关的控制措施的证据。在信息系统的设计之初就主动而不是被动的保护个人信息，从而做到尊重用户的隐私，以用户为中心做出好产品。

一、什么是PbD? ——将隐私设计嵌入产品开发

1. 概念介绍

隐私设计（PbD）的概念由加拿大渥太华省信息与隐私委员会前主席安·卡沃基安博士（Dr. Ann Cavoukian）在20世纪70年代提出，并在90年代纳入第95/46/EC号欧盟数据保护指令（RL 95/46/EC Data Protection Directive）。PbD提倡将隐私保护主动、全面、前置地嵌入企业技术与商业实践中，即在产品或服务设计之初就纳入隐私保护的需求，使得隐私保护的设计贯穿收集、传输、存储、处理、共享、销毁，整个个人数据处理活动的全生命周期，而不是在产品或服务成型后再寻求事后的补偿措施和手段。

隐私设计（PbD）核心七大基本原则已经在很多国家和地区的立法中有所体现，欧盟通用数据保护条例（General Data Protection Regulations，“GDPR”）第25条和 FTC隐私设计框架都明确提到“Privacy/Data protection by design”和“Privacy by default”的概念。欧盟数据保护委员会（European Data Protection Board，“EDPB”）于2019年11月发布的《关于GDPR第25条设计数据保护及默认设置数据保护的指南（征求意见稿）》（Guidelines 4/2019 on Article 25 Data Protection by Design and by Default，version for public consultation）对PbD理论与GDPR的实践做出指导。

2. 优秀实践分享

不仅国际上隐私设计（PbD）的概念得到充分地发展和认可，中国境内对个人信息保护和数据全生命周期的安全的关注也是大势所趋。2021年7月12日，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》明确指出需要加强数据全生命周期安全保护，提高个人数据、重要数据安全保护水平，保障人民群众的生命财产安全和个人隐私安全。突破数据共享安全保障技术，推动安全多方计算、联邦学习、可信计算、同态加密、差分隐私、区块链、数据水印等隐私保护和流向溯源技术实用化部署和普及应用。随着个人信息保护法的出台，对于个人隐私的关注将掀起新的浪潮。企业越早将隐私设计（PbD）的概念充分吸收、借鉴、践行越能在商业关系中获得更多的信任，在行业内先一步建立起竞争性优势。

以某国际科技公司为例，早在近10年前就组建了包含产品、法务、安全工程、隐私审核的隐私团队，在官网设立了隐私专页，在自研移动操作系统和应用中落地隐私设计。此番成果或许能从去年9月中旬发布的某主流移动操作系统更新的隐私功能窥见一斑。

此次更新下的隐私设计能看见默认隐私保护、正和而非零和、保持可见性和透明度、以用户为中心等隐私设计（PbD）原则的实例，也能看到对于用户知情权、反对权、数据访问权以及数据收集最小化等基本个人信息保护原则的践行。

此外，我们身边关于隐私设计（PbD）的最佳实践不胜枚举。某常用的浏览器设置界面中建立了一个新的隐私审查页面，向提供用户分享其浏览行为以换取更优质的搜索服务的选项。某知名电脑软件服务商向用户提供隐私仪表板工具，将用户数据和相关信息做了直观可视的陈列展示，同时向用户提供可以管理其所用产品的隐私设置的功能。这些设计一方面保证了企业商业活动的需求，另一方面用户在接受企业提供服务的同时拥有了更多的控制，实现双赢。

二、企业该如何开展工作？

1. 建立隐私默认设计的机制流程

正如前文所述，隐私是一个需要贯穿整个产品开发过程中的因素。企业通过建立系统的工程方法，将隐私保护纳入到完整的产品开发流程中。在产品开发和系统设计之初定义数字化产品隐私功能需求，隐私设计贯穿整个生命周期，有效地实现对用户隐私数据权利的主张与产品的隐私合规。

建立产品隐私设计流程前

首先需要企业高层意志明确，自上而下地推动流程机制的建立，在此过程中，明确各部门协作分工的基调，坚定隐私保护团队与业务部门之间是合作模式，而非监察模式。

其次，企业应立足于国内外隐私标准，结合业内最佳实践，形成一整套隐私安全开发管理策略，包括二阶规范、三阶程序、四阶执行文档及简化的自评估模板。

建立产品隐私设计流程中

企业应建立项目关键节点，根据产品研发项目管理流程，选择合适的节点开展隐私安全评审工作，并明确在各个节点各人员的角色分工及职责要求。“三步走”的实施步骤可为企业提供参考：

由于当前大部分移动APP的开发都采取DevOps的模式，迭代周期都较短，为了保证每一个发布的新版本都满足个人信息保护的合规要求，将安全和个人信息保护的要求嵌入到DevOps流程中至关重要，衍生出“DevSecPrivOps”的概念。

在整个DevSecPrivOps的实施初期，可能无法覆盖全生命周期的所有环节，企业可以选重要的流程进行卡点，比如产品需求阶段的隐私合规评审、产品上线前的隐私检查、第三方SDK的引入检查等。

以引入新的SDK为例：

a. 当由于业务的需求引入新的SDK时，需要对SDK进行隐私合规评审，包括了解业务使用场景，SDK收集使用个人信息的类型、目的、方式、范围、存储期限，需申请的相关权限等。同时，App提供者还应该要求SDK提供其安全能力说明及安全评估报告，并通过合同等形式共同约定双方在防止恶意行为、安全漏洞响应、数据安全防护、个人信息安全保护方面各自应承担的责任和义务，并做到信息披露及时、准确。

b. 一旦确认引入新的SDK，应将个人信息保护需求作为非功能性故事用例提出给到开发团队，明确SDK嵌入使用的具体开发要求与相应的测试用例。

c. 产品上线前，隐私合规部门除了对开发团队提供的测试验证文档进行审阅以确保满足隐私合规要求，还可以考虑将自动化扫描工具嵌入CI/CD流程中，对可能存在的隐私风险如SDK超频收集个人信息、授权前收集个人信息、后台调用等风险进行识别。

除了SDK的合规使用外，移动APP的个人信息收集使用合规还应当重点关注以下几个要点：