数据合规第一步:产品交互设计的隐私保护设计(PbD)

来源:iLaw合规

文章摘要
编者按:隐私设计(PbD - Privacy by Design)的重要性逐步提升。无论是从政府监管还是从用户需求的角度来说,企业都必须实施符合规定的数据框架设计。

编者按:隐私设计(PbD - Privacy by Design)的重要性逐步提升。无论是从政府监管还是从用户需求的角度来说,企业都必须实施符合规定的数据框架设计。然而,真正实施数据合规PbD重重困难。不少企业已经固化数据处理体系与流程,重塑或调整内部的数据合规制度需要不断地调试,并付出时间、人力成本。与此同时,企业却期待付出最低成本保护隐私的情况下,实现最大商业目的。在此背景下,通过分析数据合规交互设计原理,提出企业数据合规需率先开展合规隐私期待设计建议,并基于注册与共享环节提出产品交互设计实践PbD的实务建议,以平衡企业利益与个人隐私权利。
一、数据合规中的交互设计原理
隐私设计(PbD)是指从设计着手的数据保护以及默认数据保护的核心在于采取适当的技术、组织措施以有效地实施个人信息保护原则与保护个人信息主体地权利,如实施假名化机制以实施数据最小化原则。基于实践经验表述,PbD遵循设计着手保护以及默认设计数据保护两个基本原则。
其中设计着手数据保护原则旨在实现用户无需付出更多注意力也能实现数据保护目的,而默认设计数据保护原则则是要求实现目的限制下地最小化数据处理目的。
首先,基于设计着手数据保护原则,数据合规交互设计应遵从默认保护方式,但在实践中,经营者时常在《用户服务协议中》规定:“我们会随时更新《用户服务协议》内容,该等更新构成本《用户服务协议》的一部分。为更有效保护您的合法权益,我们希望您能不时关注我们网站——用户协议中的通知。若您继续使用我们的产品/服务,即表示您充分阅读、理解并同意接受经修订的《用户服务协议》的约束”,此类行为被视为“设计无注意力负担”,本质赋予用户强大负面注意力负担,与默认保护方式宗旨相悖。此外,实务中尚存在默认无跳转以及默认无减损等非默认保护方式,带来数据合规风险。
其次,在默认设计保护原则方面,其主张实现数据利用最小化,当前中国发布《常见类型移动互联网应用程序(App)必要个人信息范围》深入贯彻默认数据保护简化方式,是践行默认设计保护原则的典型实践。产品交互设计遵循默认设计保护原则时,需紧密结合数据使用目的,实现必要性与目的性相结合,才能保证数据使用范围控制在必要最小范围内,降低数据合规风险。基于此,要求经营率先明晰其数据使用目的,明确并合理制定数据使用目的性政策,以指导后续数据收集与使用范围。
二、合理隐私期待设计——数据合规第一步
(一)立法与实践概况
根据经验总结发现,当前数据合规违法事件的发生大多源自用户对经营者以及产品理解与经营者商业化开发之间存在的矛盾,因此,合理隐私期待设计便成为产品数据合规的首要考量因素。
首先,在立法层面。合理隐私期待由1976美国Katz案提出:Katz因经常使用某一位于其家附件的公共电话亭向博彩公司传递赌博投注信息而被警方发现,警方通过在该公共电话亭安装窃听装置的方式收集证据后逮捕了Katz,指控检察官认为警方实在公共电话亭外安装录音设备而没有对电话亭实施“物理性侵入”,而最终哈伦法官在该案判决中提出了创新的“合理隐私期待标准”,其认为美国宪法第四修正案保护的是人们的“合理隐私期待”,而不应当是传统的“物理侵入受宪法保护的区域”理论,并且提出了判断合理隐私期待的标准:一为用户已经客观表现出对其隐私的真实期待;二为社会承认其期待是合理的。
此外,美国于《美国数据隐私和保护法案》草案中明确加入合理隐私期待相关内容,在“数据最小化”定义中,最小化被认定为“被涵盖的实体不得收集、处理或传输所涵盖的数据,除非收集、处理或传输仅限于以下合理必要和相称的:(1)提供或维护数据相关个人要求的特定产品或服务;(2)在个人与所涵盖实体的互动中提供个人收件人合理预期的通信”。
加拿大《个人信息保护和电子文件法》中也引入合理隐私期待,规定“只有当有理由期望该组织的活动所针对的个人了解收集、使用或披露他们同意的个人信息的性质、目的和后果时,个人的同意才有效”。
其次,实践层面。新闻报道中所出现的肖像以及个人信息、餐厅包间设计摄像头以及草稿箱等场景都会设计合理隐私期待设计,如新闻报道中所出现的肖像以及个人信息,由于法律明确规定主体在该场景下不应具备合理隐私期待因而大概率将不会引发数据合规风险问题。
(二)合理着眼点
合理隐私期待设计的存在能够充分基于产品期待感设计倒逼产品合规隐私设计工作的开展:
首先,进行商业模式设计,针对产品未来适用人群及目的指导企业开展商业模式针对化设计;
其次,开展入口产品设计,入口作为吸引眼球的重要因素,需要充分结合用户隐私期待进行开发;
最后,推进提示设计工作。从而实现从产品研发、设计、使用、售后全链条的数据合规保护。
三、交互设计如何实践PbD:注册和共享环节观察
(一)前提
交互设计需考虑用户的期待和体验以及可用性。交互设计是最显性的数据合规风险所在,当前越来越多的交互形式为数据合规带来了更多的难题与困扰。交互目的在于辅助经营者快速做出决策判断,而商业模式并不具备此类功能,产品或功能前端设计与后端商业模式之间存在天然性鸿沟,如短视频平台中,其商业逻辑为通过短视频方式植入广告实现增值收入,用户使用过程中仅仅对于其前端短视频交互方式较为了解,而对其后端商业模式却知之甚少,对于相关平台收集以及使用本人相关信息数据情况不甚了解,数据合规风险频发。
因此,要求经营者开展交互设计时需将所有商业模式贴合用户前端交互设计,进而作出判断与决策,缩小双方之间信息不对称鸿沟,降低数据合规风险发生可能性。
(二)交互设计要点
经营者开展交互设计需要增加数据收集、使用透明度,优化交互设计工作,覆盖数据全生命周期,并采取有效组织措施,保障主体权利,并充分提供技术保障。
本文以交互设计优化为例,此前图文交互为最常见交互方式之一,但随着数字信息技术的高速发展与成熟,语音交互、眼球交互、触觉交互、脑机交互以及生物识别交互等交互方式不断涌现,不断推进交互方式的优化与升级,经营者在开展产品交互设计时应紧密结合当前技术发展水平与用户需求程度对于交互方式进行不断设计优化。
(三)产品交互设计实操
1、以“希望用户开通支付账户”为交互设计目的
在该场景中,开展产品交互设计应当遵守以下步骤:
第一,实名认证作为入口,该场景下用户期待为实名认证,而非开通支付;
第二,提供信息后,不应出现“下一步”,而是通过“完成”结束实名认证,用户期待完成必须有闭环设计,若改变个人信息处理目的则须有重新开始机制;
第三,可在完成后,另行开启开通支付账号的通道和入口;
第四,或将实名认证和开通支付设置不同的入口通道;
第五,开通支付过程中,向第三方提供支付数据属于单独同意机制设计。
2、以“希望打通关联产品数据”为交互设计目的
若经营者以打通关联产品数据作为交互设计目的,须明晰:数据的对外不提供不仅仅限于不同之间的数据提供,同时包括不同产品之间的数据提供方式。因此在实现关联产品数据互通时,须加强数据合规保护规则的设计,如加强用户提示,以免发生超出用户期待的违规行为。
3、人脸交互设计
在人脸交互设计场景中,经营者应注意以下问题:
首先,敏感信息处理单独同意机制的设计;
其次,非注册无交互用户权利保障方式;
最后,遵循最小化克制处理路径,平衡本地数据存储与云存储之间的权利保护。
基于实践经验发现,若要求在任何使用场景下都必须要个征得双重同意,或将导致具体场景下的利益失衡,因此需要在具体应用场景中考察是否存在构成个人信息合理使用的场景,即在没有对信息主体造成不合理损害的前提下,认定某些个人信息的利用行为可以不必征得信息主体的同意。
该场景下关键在于价值取得,欧盟GDPR中将数据处理者的合法利益作为合法性处理基础的原因,也在于特定情况下仍然要实施价值比例评估,若正向价值高于负面上海,则该损害的后果应当是可被容忍的,而创新技术带来的负面影响可被豁免。

技术驱动法律,专业成就未来