作者:李维扬
1月24日
打开微信扫一扫
李维扬:通过设计保护隐私

摘要:随着大数据、云计算时代的到来,隐私权的内涵和外延正在发生转变。传统时代中不被打扰的隐私权具有被动性和防御性,而当前时代背景下的隐私权具有主动性和支配性。通过设计保护隐私(Privacy by Design,以下简称PbD)的理念旨在产品或服务设计之初,融入隐私保护的理念,其以用户为中心的原则强调,应当给予用户更多对其个人信息的控制权。该理念的七大原则成为了实践中隐私保护的最佳参考与指引。

1 隐私权的演变


在传统的工业背景下形成的隐私权,我们称之为传统隐私权。而进入信息时代后,根据时代的新特征,形成了新的隐私权,我们称为现代隐私权。相较于传统隐私权的消极性与防御性,现代隐私权具有积极性的内容,强调个体以积极主动的控制权参与和支配个人信息的处理进程,即个体对信息的收集、披露、利用等都具有控制权且不受非法侵犯。本文采用广义的隐私概念,认为个人信息保护仍属于现代隐私权的重要内容。

面对大量个人数据被收集与精准利用的现状,社会对隐私保护提出了更高的要求。各国纷纷通过加强立法,我国也于今年颁布实施《网络安全法》,加强网络空间中对隐私安全的保障。除此之外,从最初的源头进行设计,来降低隐私被侵犯的可能性亦是一种可行且具有预防性的保护手段。

 

2 隐私工程:通过设计保护隐私的理念和价值


2.1PbD发展历史和现状

2.1.1 PbD的形成


PbD概念起源于1995年加拿大隐私专员Ann Cavoukian女士和荷兰数据保护局联合小组共同发表的《隐私增强技术:匿名之路》的报告。报告中提到了隐私增强技术(Privacy-enhancing technologies,简称“PET”,该技术随后融入了数据最小化原理,发展形成了PbD的理论。PbD是在系统的设计过程和实际操作中融入隐私保护的理念,除了各种技术以外,还包括业务流程和网络基础设施PbD原则并不单指数据保护,而是强调通过对隐私设计使数据不再需要额外保护。


2.1.2  PbD 的现状——在各国立法实践中的体现


1)欧盟

GDPR第25——默认情况下的数据保护

数据控制者在处理数据时需要实施必要的技术手段,如匿名化,以及实施数据保护原则。数据控制者应该实施适当的技术来确保,在默认情况下只有必要的个人数据才能被收集使用。未经用户的同意,这些数据是不可以被访问收集的。

 欧盟网络和信息安全局(ENISA)报告——端对端安全性:全生命周期的保护

该报告规定加密和解密操作必须在本地执行,而不是由远程服务执行,指出只要数据所有者(而不是云服务)拥有解密密钥,远程云上的外包数据存储才是实用且相对安全的。此外,报告提出了最小化、隐藏化、区隔化、聚集化、通知、控制、强化、展示等八项隐私设计策略。


2)美国

FTC隐私设计新框架

2012年美国联邦贸易委员会提出了隐私设计新框架,主要提出了三个核心原则:通过设计保护隐私,简化选择和透明度。在隐私设计新框架中,FTCFacebookGoogle等互联网公司不符合PbD理念的做法进行了举例,实施了制裁。。

美欧“隐私盾保护框架”(Privacy Shield Framework

2016年欧盟委员会公布了美欧隐私盾保护框架,根据该协定,用于商业目的的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准,包括参与方在利用个人数据时的透明度和可视性,这也是PbD中可视性和透明度原则的要求。


3)英国ICO《数据保护指南》

ICO(Information Commissioner’s Office)是英国维护信息权的独立机构,具有执法权,采取一定的行动来确保企业履行其信息权利和承担义务。


2.2 PbD七大原则


2.2.1 主动而非被动,预防而非补救


主动而非被动,预防而非补救是PbD的一个核心原则。这个原则要求企业在开发某一产品或者设计系统时,从设计、开发之初就要考虑到用户的隐私问题,并且积极主动的将隐私保护纳入到设计开发的理念和原则中,有效的预防信息泄露等安全问题的产生。


2.2.2 以默认方式保护隐私


默认情况下的隐私保护,是指在初始系统中默认设置应保护用户隐私。此原则还涉及时间要素,在默认情况下个人信息只能保留提供产品或服务所需的时间。因为从网络运营商和服务商的角度,保留用户的个人信息时间越长,越能更大程度的从中获利。


2.2.3 隐私嵌入式设计


PbD的最终目标是通过系统程序的开发和实施来确保隐私保护和系统的一体化。如果隐私被嵌入在一个IT系统的结构中,成为其某一代码,那么对个人信息的隐私保护将更有保障。


2.2.4 所有的功能:正和而不是零和


零和思维范式指:一方的收益与另一方的损失是相平衡的,一方赢得了利益,那么另一方必然减少了利益。从个人隐私的角度来说,增强安全性往往以牺牲隐私为代价,如果运营商或服务商拥有的用户个人信息越多,那么用户对其个人隐私权利的控制越少。相比之下,正和思维范式追求所有的参与者双赢。如何在PbD中融入正和模式的理念?第一,将隐私积极构建入整个运营系统中,以便隐私保护能够从开始根植于技术中;第二,最小化不必要个人数据的收集和使用;最后,增强数据安全性,允许更大程度的个人控制。


2.2.5 端对端安全性:全生命周期的保护


该原则要求在默认情况下对个人信息实施加密,特别是对容易被盗窃或意外丢失的数据,此外,在数据的生命周期结束时需要对相关数据进行销毁。


2.2.6 可视性和透明度:保持开放性


一个优秀的隐私保护系统的标志是可视性和透明度。公司需要清楚地告知用户其将被收集的个人信息范围、该产品或服务如何去使用其个人信息等内容。


2.2.7 尊重用户个人隐私:以用户为中心


该原则要求开发人员在开发系统或应用程序的时候要重视用户隐私,隐私权的默认设置、明确告知用户相关信息是关键。特别是在复杂系统(例如社交网络)中,用户应获得更大程度的隐私授权选项。

 

2.3 PbD的价值


2.3.1指导立法,形成统一的隐私保护标准


PbD 理念倡导的是一种预防性、高要求的隐私保护标准,作为一种理念,它亦可以成为法律的原则,指导隐私权立法。如上文所述,PbD 已被多个国家的相关立法所吸收,并取得不错的实益。


2.3.2 实现安全与隐私双赢的正和模式


关于安全与隐私的讨论中,有观点认为二者处于零和的模式,即加强二者中的某一方都会削弱另一方。PbD 则提出了通过将隐私保护嵌入系统的方式来实现隐私与安全兼得的正和模式,这是未来隐私权保护的方向。

 

3 最佳实践


3.1谷歌街景中的人脸模糊——隐私嵌入式设计原则


为了避免隐私权争议,Google利用研发的自动人脸识别技术,在Google MapsGoogle Earth街景服务中,将人脸进行模糊化处理。在用户使用谷歌街景功能时,将不会识别到这些人物的身份,有效保护了用户隐私,见图1

1 谷歌街景中给人脸加上了马赛克


3.2微信“附近的人”——尊重用户个人隐私:以用户为中心


微信“附近的人”功能在用户首次使用时会通过弹窗的形式明确告知用户,当开启该功能后,将会获取用户的地理位置信息,同时提醒用户可以随时手动清除地理位置信息。此设计充分尊重了用户的隐私权,并且防止用户在不熟悉产品和隐私设置的情况下泄露个人信息,见图2


微信“附近的人”界面


3.3 WhatsApp的隐私政策明示告知——主动而不是被动原则


用户在初次使用WhatsApp时,软件将会主动进入是否同意其隐私政策的界面,见图3,用户需要点击同意并继续的按钮才能进入下一步操作,并且也可点击进入隐私政策的链接查看隐私政策文本。这符合了PbD中主动而不是被动的原则,积极和明示地告知用户。


3 WhatsApp的初始登录界面


3.4 苹果的Safari阻止第三方Cookie——默认情况下的隐私保护原则


苹果的Safari将阻止第三方Cookie的功能作为其默认设置,用户在初次使用Safari时就能有效避免其数据被第三方收集,见图4


苹果Safari的隐私设置页面


3.5 Facebook的广告偏好设置——正和而不是零和原则


Facebook的主要利润来源于广告业务,因此其在关于广告设定的部分较为全面。在广告设置偏好的页面中,用户可以查看与自己相关的广告主,并进行保留或者移除的管理,见图5。并且Facebook将对与用户互动过的广告主分类,用户可以审核自己会出现在哪些广告商的客户名单中。Facebook此种设计符合PbD设计原则中的正和而非零和的功能要求,允许了更大程度的个人控制,实现双赢。


5 Facebook的广告偏好设置页面


3.6 Line的帐号删除功能——全生命周期的保护


Line提供了帐号删除功能,并且详细告知了会被删除的个人信息,以及删除后的后果,需要用户逐步勾选后才能删除帐号,见图6。用户若担心在停止使用Line的服务后,已上传的个人信息仍可能被使用时,可以主动的删除该帐号,防止个人信息被泄露。Line允许用户对个人资料永久性删除,给予用户更大程度的控制权。


6  Line的删除帐号界面


3.7 可视性和透明度:保持开放性


Twiiter在新增的你的twitter数据(Your Twitter data,给予了用户更多的数据控制项,并清晰地展示各项资料的收集情况,用户还可以下载读取其个人信息的广告商名单并加以控制,见图7。在该功能的设计中,Twiiter保持了极大程度的可视性和透明度。

7 你的twitter数据(Your Twitter data)界面


4 结语


大数据时代,隐私权问题再次成为社会所关注的热点及重点问题。PbD为企业和其他机构在进行产品设计、系统架构和业务操作时,提供了隐私保护方法论的新鲜血液。本文论述了欧盟、美国和英国关于PbD理念的立法及执法机制,融入国内外优秀的企业实践,对PbD如何在实际中运用进行了介绍,以期对当下企业的运营提供指引。

PbD强调从设计着手保护隐私,从根源上对信息安全漏洞防控,防止企业的用户隐私泄露风险。从企业发展的角度来看,PbD理念需从上至下的推动,纳入内部政策和标准之中。结合PbD的理念及原则来看,增强企业数据透明度、提升用户控制力、保证数据安全是最为关键的核心要素。希望通过更多的先进经验,为大数据时代的隐私保护问题添薪加火。



原文PDF下载


0 0 评论
流媒体
全球网络安全产业创新论坛致辞
全球网络安全企业竞争力评价
人工智能助力网络威胁防御
全球网络安全产业创新论坛
上海社会科学院互联网研究中心
地址:上海市徐汇区中山西路1610号  电话:64862266-24114  网站:http://cis.sass.org.cn/   邮箱:cis@sass.org.cn
@2017 上海社会科学院互联网研究中心,Inc All rights reserved