北京企业网站建设：如何使用隐私设计框架保护您的用户

通过设计满足隐私

让我们在信用到期时给予信任。过去12个月的全球政治动荡使得开发人员比以往任何时候都更多地考虑隐私，监控和防御性用户保护。对我们自己和用户的风险和威胁不再是理论上的; 他们是真实的，他们是每天，他们是可怕的。人们只需看看有关Cambridge Analytica的持续启示，这是一家与加拿大有着奇怪联系的英国公司，该公司代表唐纳德特朗普的总统竞选活动开展了一项复杂的数据挖掘活动，以汇总每位美国成年人的5,000条数据，了解我们所有人的利害关系。

北京企业网站建设作为开发人员和决策者，我们需要做一些事情来应对这一挑战。我们生活的政治不确定性迫使我们改变我们处理工作的方式。作为应用程序的创建者和他们创建的数据流，我们可以在保护用户免受其隐私，尊严甚至安全的攻击方面发挥关键和积极的作用。

我们能够做到这一点的一种方法是采用隐私优先的最佳实践框架。这个称为隐私设计（PbD）的框架是关于在编写单行代码之前预测，管理和预防隐私问题。根据PbD理念，减轻隐私风险的最佳方法不是首先创建隐私风险。

自20世纪90年代以来，PbD作为最佳实践框架存在，但很少有开发人员意识到这一点，更不用说使用它了。那即将改变。欧盟的数据保护大修，GDPR，成为2018年5月依法强制执行，需要通过在所有的用途和应用默认设计的隐私和数据保护。

与之前的欧盟数据保护制度一样，任何为欧洲客户提供服务的开发商都必须遵守这些数据保护标准，即使他们自己并非位于欧洲。因此，如果您在欧洲开展业务或向欧洲销售产品，则设计隐私现在是您的责任。

这为各地的开发者提供了一个重新思考其隐私方法的巨大机会。让我们了解什么是PbD以及它是如何工作的。

什么是PbD？

PbD框架最早是在20世纪90年代在加拿大制定的。其创始人Ann Cavoukian博士，当时的安大略省隐私专员，设计了框架，以解决开发人员在项目完成后应用隐私修复的常见问题：

隐私设计框架可以防止隐私侵入事件发生之前。隐私设计不会等待隐私风险实现，也不会提供解决隐私违规行为的补救措施; 它旨在防止它们发生。简而言之，隐私设计先于事实，而不是之后。

PbD框架有七个基本原则：

1. 隐私必须是主动的，而不是被动的，并且必须在到达用户之前预见到隐私问题。隐私也必须是预防性的，而不是补救性的。

2. 隐私必须是默认设置。用户不必采取措施来保护他们的隐私，不应该假定数据共享的同意。

3. 隐私必须嵌入到设计中。它必须是产品或服务的核心功能，而不是附加组件。

4. 隐私必须是正数，应避免二分法。例如，PbD看到了隐私和安全之间可实现的平衡，而不是隐私或安全的零和游戏。

5. 隐私必须提供用户数据的端到端生命周期保护。这意味着要进行适当的数据最小化，保留和删除过程。

6. 隐私标准必须可见，透明，开放，有文件记录且可独立验证。换句话说，您的流程必须经得起外部审查。

7. 隐私必须以用户为中心。这意味着为用户提供精细的隐私选项，最大化的隐私默认值，详细的隐私信息通知，用户友好的选项以及明确的变更通知。

为什么PbD比以往更重要

PbD一直可供任何开发人员用作自愿最佳实践框架。在具有传统正面隐私观的文化中，例如加拿大和许多欧洲国家，它的受欢迎程度往往更高。然而，隐私在传统上并不被视为美国的正面价值，其公司主宰着科技界。出于这个原因，并且长期以来，Web开发已经被接近，有时感觉与PbD观点完全相反。开发人员发布需要社交媒体注册的应用程序几乎变得正常，这些应用程序请求不必要的权限，例如麦克风访问和位置数据，并且需要访问所有用户的联系人。

设计作为自愿概念的隐私概念即将发生变化。

在欧洲，管理所有个人数据收集和处理的法规，无论用途，行业或情况如何，都已经彻底改革。这套新的规则被称为通用数据保护条例（GDPR），已经出现在账簿上，但在2018年5月25日可以合法执行。您的企业应该在此截止日期之前努力实现更广泛的GDPR合规义务，快来

至关重要的是，GDPR通过欧盟内部的默认法律要求制定PbD和隐私。您不仅需要开发PbD，还必须记录您的PbD开发过程。如果发生数据泄露或消费者投诉，必须向欧洲监管机构提供该文件。

“如果我不在欧盟怎么办？”

请记住，欧洲数据保护和隐私法的域外：它们适用于其中的数据被收集在欧洲范围内的人有关，无论在哪里服务，提供从。换句话说，如果您为欧洲客户开发，即使您自己不在欧洲境内，也必须遵守欧盟数据保护和隐私标准。

还要记住，欧盟通过其数据保护系统，拥有世界上一些最严格和最明确的隐私框架; 相比之下，美国根本没有全面的数据保护和隐私框架。文化也很重要。在欧洲，隐私被视为一项基本人权。在一个隐私不是一项基本人权的国家生活和发展，并不能否定你对那些享有这种权利的人的道德或法律义务。

因此，欧盟以外的开发商应考虑采用GDPR指南中的PbD原则作为开发框架，尽管位于欧洲以外。该指南将为您提供一个清晰，常识和负责任的框架，供您在开发过程中使用 - 而且该框架比没有任何指南要好得多。

什么是个人资料？

欧洲数据保护法将个人数据定义为可以通过其自身或与其他信息相结合从该数据中识别出的活人的任何信息。

还有一个名为“_sensitive personal data_”的分类，这意味着任何有关个人的信息

• 种族或民族血统

• 政治观点，

• 宗教或哲学信仰，

• 工会会员，

• 健康数据，

• 遗传数据

• 生物识别数据，

• 性生活或性取向，

• 过去或花了刑事定罪。

用户在您的应用中生成的数据是个人数据。他们与贵公司的帐户信息是个人数据。标识其设备的UID是个人数据。他们的IP地址，位置数据，浏览器指纹和任何可识别的遥测也是如此。

实用的PbD实施

对于应用程序开发人员，PbD合规性意味着默认情况下会考虑数据隐私

• 在您应用的初始设计阶段，

• 在整个生命周期中，

• 在整个用户与您的应用的互动中，

• 用户参与结束后，

• 并在应用程序被封存后。

没有现成的问题清单可以帮助你。通用数据保护法规要求开发人员提出问题和答案。但是在积极的开发环境中，答案可能会采用GDPR所要求的实际形式，例如以下内容。

设计阶段

• 为您的企业创建一个隐私影响评估模板，用于涉及个人数据的所有功能，我们将在稍后介绍。

• 审查与合作伙伴和第三方的合同，以确保您传递给他们的数据正在按照PbD和GDPR进行处理。

• 不要求不必要的应用程序权限，尤其是那些暗示隐私侵犯的权限，例如访问联系人或麦克风。

• 审核您的系统的安全性，我们也将很快介绍。

生命周期

• 最大限度地减少收集的数据量。

• 最大限度地减少与第三方共享的数据量。

• 在可能的情况下，假名化个人数据。

• 重新访问联系表格，注册页面和客户服务切入点。

• 允许定期删除通过这些过程创建的数据。

用户参与

• 提供明确的隐私和数据共享通知。

• 在这些通知中嵌入粒度选择。

• 不要求社交媒体注册访问该应用程序。

• 默认情况下不启用社交媒体共享。

• 对分析和广告的同意，必须同意基本的第三方数据共享。

订婚和后备的结束

• 定期提醒用户查看并刷新其隐私设置。

• 允许用户下载和删除旧数据。

• 删除已关闭其帐户的用户的数据。

• 在应用程序生命结束时删除所有用户数据。

PbD在行动

如果你知道你在寻找什么，很容易发现良好的PbD练习及其缺失。

让我们为这个受欢迎的英国酒吧连锁店的应用程序提供快速的PbD审核。

该应用没有设置页面，这表明用户无法控制隐私。这意味着下载应用程序需要同意数据共享，这不符合第二个PbD原则。

此“建议”在“编辑帐户”选项中得到确认，该选项仅允许用户编辑其姓名和电子邮件地址。这不符合第三个PbD原则“隐私必须嵌入到设计中”。

隐私政策的链接提供了针对过时的1995年数据保护指令编写的五页PDF的模糊扫描。有没有用户控件或颗粒状的选项。如果我想控制我的数据，我将不得不写一封电子邮件给一般的客户服务地址，或者 - 在历史悠久的隐私政策传统中，真正试图让用户离开 - 给他们发一封信在文中。这不符合第七个PbD原则，即为用户提供最大化隐私默认值的精细隐私选项。

隐私政策告诉我，我的数据将与第三方共享，但没有告诉我这些第三方是谁，也没有给我选择拒绝数据共享。交易所需的服务（例如，PayPal）和不必要的服务（例如广告网络）之间没有区别。这不符合第六个PbD原则。

但是，让我说我写这些东西是为了谋生，所以我真的需要一杯啤酒。我去酒吧并启动Wi-Fi以使用其应用程序。当我连接到Wi-Fi时，我会注意到它的“设置”页面。该页面仅提供三个法律文件的链接。与酒吧自己的应用程序一样，没有可以更改的设置，没有选项也没有选择。没有任何PbD。

很明显，我可以通过这个酒吧链确保我的隐私的唯一方法是根本不使用应用程序或其Wi-Fi。这产生了零和二分法，这是第四个PbD原则试图避免的。

根据任何定义，该酒吧链不符合良好的PbD实践或GDPR合规性。

相比之下，Twitter最近的隐私改革表明了非常好的PbD实践和早期的GDPR合规性。这是一个问题：它的新隐私选择可能会对用户的隐私产生不利和负面影响。然而，不同之处在于它是开放和透明的，并为用户提供了有根据的选择和选择。

隐私检修提供了一系列精细的隐私选项，这些选项清晰地传达，包括明确通知它可能与第三方共享您的数据。用户可以禁用部分或全部选项。

突出的启动画面吸引了用户对这些变化的关注，增加了他们花时间教育自己隐私选项的可能性。

隐私影响评估

一个隐私影响评估（PIA）仅仅是记录来实施一个项目，产品或服务健康PBD过程所需的问题，问题和行动的过程。PIA是GDPR的核心要求，如果出现数据保护问题，您的PIA将确定您与监管机构的合作形式。您应该在启动新项目时使用PIA，并对任何现有项目运行PIA评估。

PIA中的步骤如下：

1. 确定是否需要PIA。

2. 描述项目或服务中的信息流（用户到服务提供商，用户到用户，服务提供商到用户，用户到第三方，服务提供商到第三方）。

3. 识别隐私和数据保护风险。

4. 识别并评估隐私解决方案。

5. 签署并记录PIA结果。

6. 将结果整合到项目计划中。

7. 在整个过程中根据需要咨询内部和外部利益相关者。

花一些时间来提出您可以根据需要使用的业务或项目所特有的PIA模板。英国数据保护监管机构ICO的指导将帮助您实现这一目标。

隐私信息通知

良好的PbD实践为用户提供清晰的信息和明智的选择。隐私信息通知是其中的核心。隐私政策是关于服务提供商而非用户需求的密集合法页面页面的日子已经结束。

您的应用，产品或服务应包含隐私信息通知，包括以下详细信息：

• 你收集了什么数据？

• 你为什么收集它，这种推理合法合理吗？

• 您与哪些第三方分享？

• 您汇总了哪些第三方数据？

• 你从哪里获得这些信息？

• 你保留多久了？

• 用户如何调用他们的权利？

• 包括有关使用个人数据履行合同的任何信息。

许多欧洲数据保护监管机构正在设计隐私信息通知的标准化模板，您应该与您一起检查，以便在2018年5月截止日期之前跟踪任何所需格式的进展。

根据GDPR，陈述“我们可能与第三方共享您的数据”的旧隐私政策伎俩将不再被视为合规。GDPR和PbD要求您准确列出这些参与方是谁以及他们如何处理用户数据。

作为一个戏剧性的例子，PayPal最近更新的通知列出了600多个第三方服务提供商。PayPal与多达600个第三方共享数据这一事实并非新闻。这些信息只是被公开。

安防措施

良好的PbD合规性不仅仅与用户体验有关。健全的合规性还涉及实施适当的技术和安全措施以保护用户数据。与完全符合GDPR标准的其他方面一样，这些措施必须记录在案，并应要求向监管机构负责。

技术和安全级别的PbD合规性可包括：

• 密码哈希和腌制;

• 数据沙箱;

• 假名化和匿名化;

• 自动后台更新;

• 静止和传输中的加密;

• 负责任披露;

• 员工培训和数据保护问责制;

• 服务器，系统和存储的物理安全性。

数据保护官

在GDPR下，处理某些类型数据的公司必须指定一名数据保护官（DPO），这是一个对组织的隐私合规性负有法律责任的指定人员，包括PbD。这个要求与公司规模无关，这意味着即使是从事某些类型数据处理的最微小的企业也必须指定一个DPO。

DPO不必是内部或全职的，也不需要法律资格。非常小的企业可以在临时或外包的基础上指定DPO。请咨询您的欧盟成员国的数据保护监管机构，了解有关您的国家DPO要求的信息。

我们鼓励所有组织自愿任命DPO，无论其工作性质如何。将DPO视为隐私的健康和安全官员。让某人充当“好警察”以保持您的开发流程合法合规 - 如果您的实践正在下滑，并充当“坏警察” - 可以帮助您摆脱困境中的困境。

改变你的想法

PbD框架带来的挑战只有你能回答。没有其他人可以为您做到这一点：您有责任开始这个过程。如果您在欧洲境内，请查看您的国家数据保护监管机构的GDPR和PbD资源。如果您在欧洲以外，我们在下面提供了一些链接和资源。

不要将PbD视为要勾选的方框清单，因为“法律说明了这一点”，也不认为它是你必须做的事情或“其他事情。”而是使用PbD来创造性思考。考虑用户数据被滥用，访问，窃取，共享或组合的所有方式。想一想数据可能位于何处，即使您可能没有意识到这一点。想想你可能会产生什么样的责任通过收集，保留和汇总您并不真正需要的数据来为自己。想一想您与之共享数据的第三方（即使他们是您的业务合作伙伴）可能会为您制造负债。在我们当前的政治环境中，考虑一下您收集和处理的数据可能会对您的用户造成伤害的方式。没有错误的问题要问，但有些问题是不要问。

在您的开发工作流程中采用PbD将创建新的步骤和新的义务。在我们快速变化的世界中，这些步骤尽可能繁重。因此，将PbD视为文化转变。通过将隐私纳入您的开发文化，将其用作改善您的政策，实践和产品的机会。您的用户将得到更好的保护，您的业务声誉将得到提升，您将走上健康的法律合规之路。在一个经常令人困惑的世界中，如果我们可以采取这些步骤来一次改变一个应用程序，那么它们是值得的。

北京企业网站建设