2021.08.29 郭超 韩景达
1、关于隐私设计
隐私设计(Privacy by Design,以下简称“PbD”或“隐私设计”)是一种在产品、服务提供的全过程去考虑数据隐私问题的基本方法。具体而言,PbD需要个人信息处理者从产品或服务开发的初始阶段去制定相关的个人信息合规措施,而不应在产品投入运营后才去考虑隐私保护问题或甚至完全忽视该问题。隐私设计是个人信息合规的关键部分,开展相关实践有助于企业履行《个保法》项下的义务。
2、隐私设计的基本原则
隐私设计方法最早由加拿大隐私保护专员Ann Cavoukian提出。结合域外立法的规定,隐私设计一般可以概括为下列七项主要原则或重要合规标准。
原则/合规标准
具体要求
积极预防而非被动救济
(Proactive not Reactive; Preventative not Remedial)
采取积极预防的态度,不应在个人信息风险发生后才提供事后救济,企业内部应当建立健全隐私保护制度,所有业务均应遵守该制度。
默认的隐私保护
(Privacy as the Default Setting)
个人信息保护应当成为商业实践和产品的默认规则。用户不需要经过变更隐私设置即得到自动保护。
将隐私嵌入设计之中
(Privacy Embedded into Design)
个人信息保护的需求应当嵌入到产品、服务的设计之中,成为其核心组成部分,同时又不损害产品、服务的功能。
功能完整:正和而非零和
(Full Functionality: Positive-Sum,not Zero-Sum)
反对个人信息保护与效率、商业利益等价值相对立,二者并非零和博弈,应在保护个人信息的同时实现用户、企业等多方共赢。
全生命周期保护
(End-to-End Security: Full Lifecycle Protection)
个人信息保护扩展至产品、服务的全生命周期,提供从设计到产品下线的全过程保护。
可见性和透明性
(Visibility and Transparency: Keep it Open)
信息的处理和收集活动都应当依据公开声明的承诺和目标来运作,并且能够接受独立核查。
尊重用户隐私:以用户为中心
(Respect for User Privacy: Keep it User-Centric)
最好的隐私设计都是围绕用户需求和利益展开的,用户在管理个人信息中扮演积极角色。
3、《个保法》项下的隐私设计要求
虽然《个保法》未明确引入“隐私设计”的概念,但该法的若干规定直接或间接体现了上述隐私设计原则的要求,相关条款及合规要点总结如下。我们建议企业积极审视自身的个人信息保护合规情况,并将隐私设计理念充分纳入到自身产品和服务的开发以及企业活动的全过程。
隐私设计原则
《个保法》相关条款
合规要点
积极预防而非被动救济/将隐私嵌入设计之中
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。 (第五十一条)
企业应针对个人信息保护制定内部管理制度和操作规程等政策文件,以指导企业及其相关人员在产品设计开发、业务运营等全过程合法合规开展个人信息处理活动。
默认的隐私保护
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。(第九条)
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。(第十条)
企业应强化个人信息保护的责任意识,合法合规处理个人信息,将个人信息安全作为企业发展的必要环节。
功能完整(正和而非零和)
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。(第一条)
法律对个人信息处理活动意在“规范”而非“禁止”,这体现了个人信息保护与合理利用的平衡。企业在保护用户个人信息和隐私安全时也可兼顾产品和服务的创新和发展,力求二者平衡。
全生命周期保护
在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法。(第三条)
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等(第四条)
对个人信息的保护既需要贯穿于处理个人信息的生命周期,包括但不限于收集、存储、使用、删除等;同时也需贯穿于产品和服务的生命周期,包括但不限于需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等阶段。
可见性和透明性
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。(第七条)
企业应尊重个人选择,确保个人信息主体能够根据自己的意愿决定是否同意实施处理活动,不得阻碍或限制其行使个人权利。