随着我国数据合规监管体系的逐步完善,对产品研发中的隐私保护设计提出了更高要求,需要各企业有意识地从产品设计之初,就把隐私保护嵌入设计之中,避免产品存在侵犯隐私风险。
隐私保护设计(PBD,Privacy by Design)的字面意思就是「通过设计保护隐私」。
它是个人信息保护链条上的第一环,可以直接将各企业的个人信息保护理念以技术手段运用到具体产品中。
隐私保护设计要求我们在产品规划、开发、更新产品时融入隐私保护因素。
2019-2021年,工信部累计对 5406 款 APP 发出整改通知,公开通报 2049 款整改不到位的 APP ,下架 646 款仍存在问题的 APP 。(数据来源:iLAW 合规创研院《2021APP数据隐私合规监管研究报告》,可文末扫码领取)
产品研发时,若不提前考虑隐私保护设计问题,可能面临监管通报、下架的风险。
此外,在监管部门通报后再进行整改,不仅会导致时间与人力成本的重复浪费,更可能因为等待审核而错失产品发布良机,导致竞争对手的同类产品捷足先登。
因此,在产品设计开发时,应当主动考虑用户隐私保护问题,从产品研发层面开始落实公司个人信息保护政策,提升公司在用户心中的合规形象。
研发中的隐私保护设计思考逻辑依然可以依托数据生命周期进行,下文将分别从前后端两个角度,以数据生命周期为基本逻辑,逐一分析介绍研发中的隐私保护设计要点。
前端
1. 隐私政策展示
根据规范要求,研发部门在设计产品时,应将详细规定了产品如何处理用户个人信息的隐私政策置入产品页面中。
在用户首次启动 APP 时通过弹窗或单独页面提示隐私政策,提示弹窗应至少包含隐私政策文件访问链接与用户是否同意隐私政策的选项这两个元素,此外还可附上隐私政策摘要,方便用户了解隐私政策的重点内容。
此外,出于便利用户查阅的考虑,还应确保产品的隐私政策易于访问,不能隐藏过深,最好确保用户在 APP 中通过 4 步以内的操作可以点开,字体适中,方便用户阅读。
最后,隐私政策中涉及个人敏感信息的,需明确标识或突出显示,如字体加粗、标星号、下划线、斜体等。
2. 个人信息收集、共享清单
根据相关法律规定,「未逐一列出 APP (包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等」,可被认定为「未明示收集使用个人信息的目的、方式和范围」,违反《个人信息保护法》规定。
因此,建议研发在设计软件页面时,留出专门页面对产品个人信息收集清单与第三方信息共享清单进行公示,并注意内容维护。
3. 设置授权窗口
根据个人信息处理的公开透明、知情同意,敏感信息单独同意等原则要求,在收集、使用以及与第三方共享用户个人信息前应设置弹窗或通过其他明示方式提示,设置明确的同意选项申请用户授予权限,并在申请权限时同步告知用户申请的目的、数据接收方信息等。
当涉及个人敏感信息时,应单独提示并征得个人信息主体的单独明示同意。
例如,需要申请定位权限、储存权限、相机权限等敏感权限时应通过单独弹窗提醒,同步告知权限申请目的,并设计明确的同意选项征求用户单独同意。
4. 用户信息脱敏呈现及安全验证页面
产品设计中需考虑对用户个人信息的呈现形式,即使是需要用户本人登陆后才能查看的信息,也不应全部公开,应在评估敏感等级后对敏感信息进行脱敏处理。
如身份证号、金融账户信息等当然属于个人敏感信息的类别,在前端显示时应当采取脱敏措施。
为进一步保障用户信息安全,还可通过增加身份验证页面要求用户在查看账户实名信息及财产信息前必须进行安全验证,如增设要求用户发送验证码进行验证的页面。
5. 前端数据加密传输
部分产品在前端研发时不会考虑加密问题,但为了落实用户隐私保护,我们仍建议前端在向后端传输数据,尤其是如用户个人的账密等敏感数据,若不设置任何加密措施,一旦 APP 的流量被攻击者劫持,传输中的用户密码和用户名都是明文,那么攻击者便能轻而易举的使用这些资料进行了 Replay 登录, 又因为很多用户在不同的网站都会使用相同的账号信息,一旦发生用户数据大批量泄漏,损害不可估量。
因此,前端应在数据发送前,将数据进行哈希或使用公钥加密。
如果数据被中间人获取,拿到的则不再是明文,增加了攻击者破译难度。另外,如果前端使用哈希算法,不仅可以帮助后端分担部分计算压力,还可以增加撞库成本,可极大提升用户数据安全保障水平。
后端
1. 数据收集最小必要原则
根据法律规定,搜集个人信息应尽可能限制在最小数量。
因此,在产品研发前,产品经理应当首先与业务部门沟通明确各个业务场景需要收集的用户个人信息范围、时机,并考虑这些信息和实现业务功能是否具有相关性及必要性,之后确定出一个最小的信息收集范围。
例如:对某业务功能,若通过收集用户所在城市地区就能实现业务目的,便不建议收集精准定位信息。此外,不能在用户未使用相应功能时过早开始收集。
2. 数据隔离、访问授权
大部分产品需收集的用户个人信息数量庞大且种类较复杂,为保护存储和传输的用户数据、避免泄漏,研发部门应根据业务需求,对公司不同角色的员工,采取可访问数据隔离、分层访问、列级数据授权等措施。
3. 数据后端加密与账号安全验证
后端开发者必须采用一定方式进行数据的传输与存储加密,同时,务必做好密钥及算法的保密工作。
在进行账号安全验证或登陆验证时,最好采用双因素认证,避免确认用户身份过程中可能出现的漏洞,最大程度地保证用户的帐号安全。
4. 数据更正及删除
出于增加软件用户体验及节省公司资源的目的,开发时应在前端设计相应交互页面,允许用户自行进行个人信息的更正或注销申请。
对于敏感信息的更正,应增加安全验证环节。对于注销账户的申请,应加设弹窗告知注意事项和风险。
对于后端研发人员而言,当用户需要更正或删除个人信息,应在核验用户身份之后及时删除,若用户数据量较大,可设计相应删除程序。
如根据法律法规或有其他需求不能删除用户个人信息时,应当进行匿名化处理,在匿名化处理之前不能继续使用、分享用户信息。
5. 数据分享脱敏处理
为了防止数据分享时的数据外泄,加强对用户数据保护,研发时应对涉及对外分享的用户数据进行脱敏处理,或在涉及用户自主对外分享数据的功能上增设脱敏处理程序。
例如,在手机拍照的时候往往都会开启定位功能,记录照片的拍摄地点,一般情况下把照片分享出去的时候这些定位信息也一齐分享出去,从而造成隐私泄露。
若进行照片数据脱敏处理,在用户分享原图时候自动抹掉定位信息,接收方也无法看到具体的拍摄地点,可极大程度避免信息泄漏的风险。
毫无疑问,在数据生命周期的每个阶段做好产品隐私保护设计,是企业在数据合规上可以迈出的第一步。
这不仅是应对数据合规监管、规避合规风险必须完成的要求,也是企业对外展示其对用户隐私保护程度的橱窗,每一步如何设计、如何抉择,都体现着一个企业在发展战略上的格局与追求。
如何实施隐私保护设计?(PBD)
作者:张琪琦来源:iLaw合规

随着我国数据合规监管体系的逐步完善,对产品研发中的隐私保护设计提出了更高要求,需要各企业有意识地从产品设计之初,就把隐私保护嵌入设计之中,避免产品存在侵犯隐私风险。