7项隐私设计原则–提高您的隐私合规性

使用Privacy by Design来实现更好的隐私合规性。

隐私设计:这七项原则将帮助您遵守数据隐私,无论您在世界任何地方开展业务。

通过设计保护隐私:这七项原则将使您更容易遵守数据保护,无论您在世界任何地方开展业务。

近年来,隐私法越来越多地成为头条新闻,随着数字化成为几乎所有经济领域的响当当的趋势,这种趋势还将继续。一个同样强大的驱动力将确保数据保护在公司的合规工作和监管机构的观察清单上保持高度优先,这就是数据主体(即像你和我这样的普通人)对其在全球数据保护法下的权利的认识不断提高。

随着数据保护成为全球趋势,旨在编纂与个人数据有关的权利和义务的法律数量自然会增加。欧盟的GDPR大约在一年前引领了潮流,随后印度数据保护法案(IDPB)有望将印度的数据保护制度与欧洲接轨。美国经济规模最大的加州,投票支持新的数据保护制度–CCPA,该制度旨在让加州消费者在个人数据方面享有与欧洲人相当的权利。最后但并非最不重要的是,中国最近宣布,它已经开始制定有史以来第一部纯粹以隐私为重点的法律–《个人信息保护法》(PIPL)。除了这些领跑者,还有几十个国家的司法管辖区更新了现有的法律(如日本)或首次引入了数据保护法(如泰国),你会发现,对于在世界多个地区运营的公司来说,监管环境并不是小菜一碟。

虽然实现可信的隐私标准的唯一可靠和坚实的方法是通过合规计划来解决公司必须遵守的所有隐私法规的具体要求,这取决于它在哪里以及向谁提供产品和服务,但有七项基本原则,如果遵循这些原则,将对你的隐私合规工作只有好处而没有坏处。这七条基本规则统称为 “设计隐私”(通常缩写为 “PbD”),构成了任何隐私法律框架的核心,而这些法律中的许多条款实际上都明确规定必须遵守这一隐私工具箱。

7 设计中的隐私原则

这是 “隐私设计 “的 “序曲”。

1. 主动而不是被动,预防而不是治疗。

你的隐私工作应该是主动的,而不是被动的;应该是预防的,而不是补救的。换句话说,一个完善的隐私计划应该以保护隐私为目标,而不仅仅是准备减轻对隐私的伤害。

2. 数据保护为默认设置

默认提供您的产品和服务的隐私。让人们在不知不觉中给你提供他们的数据,从长远来看对你没有好处。只需要向数据保护机构举报一次,就可以揭露一个组织所有的数据收集不当行为。

3. 设计中的隐私

从现在开始,早在概念阶段就把隐私功能作为你的每一个产品和服务的设计过程中不可或缺的一部分。如果您无法承担集体审查现有产品目录的费用,请在下一次产品更新之前将隐私审查作为首要任务。

4. 正和,不是零和

全功能–正和,而非零和。你不应该让消费者在隐私或安全等看似矛盾的选项中做出选择。这两个目标是而且必须是相辅相成的,组织的职责是使这两个目标都发挥作用。如果你把这种选择的负担转嫁到客户身上,你就不会走远。

5. 端到端安全

全生命周期保护。隐私设计并不意味着您在产品的标准版本中提供隐私作为默认设置,您作为数据收集组织的义务就结束了。合法收集数据的同时,还要在您拥有数据时对其进行适当保护,并在您不再需要数据时,小心谨慎地对其进行安全处置。高度的隐私和安全设置应该将你定义为数据收集者和拥有者,从你占有别人数据的第一时间开始,直到你安全地、不可挽回地摆脱它。

6. 敞开

可见性和透明度—-保持开放; 与客户坦诚相见,不仅要向他们保证你会很好地照顾他们的数据,还要解释你是如何做到这一点的。你对自己在隐私问题上所做的具体努力越透明越好。这一点可以很容易地得到验证,只要他们坦诚地告诉我们出了什么问题,以及他们为防止事故的发生做出了哪些努力,那些对数据泄露变得更加宽容的处理机构就可以了。

7. 保持以用户为中心

尊重用户隐私–以用户为中心。总的来说,隐私应该是可见的,容易理解的,容易管理的,最重要的是,普通用户容易恢复。换句话说 如果你的隐私计划很全面但很复杂,就不足以说服监管机构。复杂是好事,但它不应该意味着复杂;不是所有的客户都是控制狂,他们会深入了解你的产品设置,以确保你对他们的个人数据照顾得很好,他们也不应该。

Xenofon Kontargyris is a lawyer specializing in data protection and IT law, particularly in cybersecurity and IT outsourcing. He holds a PhD from the Faculty of Law of the University of Hamburg (UHH) for writing a doctoral thesis on “IT Laws in the Era of Cloud-Computing; A Comparative Analysis between EU and US Law on the Case Study of Data Protection and Privacy” (2018, NOMOS Verlag). Xenofon is also a CIPP/E certified member of the International Association of Privacy Professionals (IAPP).

Comments are closed.