众所周知，对于个人数据主体权益的保护不仅依赖于法律等社会规范，也依赖于技术上的具体落地。欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）第25条所规定的数据设计保护和默认保护（Data protection by design and by default）正是从技术角度强调了对个人数据主体的权益的保障，然而这条规定本身存在一定的模糊性，如何适用需要进一步的释明。

2018年5月31日欧洲数据保护监督机构（European Data Protection Supervisor，下文简称为“EDPS”）发布的《隐私设计保护的初步意见》（Preliminary Opinion on privacy by design）（以下简称“意见”）对隐私设计保护进行了介绍并阐述了看法，旨在提升业界对GDPR第25条所规定的“数据设计保护和默认保护”的重视，并推动相关讨论，同时提出一定的行动指南。

意见对于理解“隐私设计保护（privacy by design）”以及GDPR第25条具有一定的意义，本文将围绕该意见进行对“隐私设计保护（privacy by design）”进行介绍及简评。

概述

（一）欧洲数据保护监督机构（EDPS）

意见在开篇针对欧洲数据保护监督机构（EDPS）进行了简要的介绍。EDPS是欧盟的一个独立机构，与欧盟议会的Regulation 45/2001第41条第2款以及第28条第2款相关，当出现下列情形时，应当咨询EDPS：一、当对个人数据进行处理时，确保自然人的基本权利和自由尤其是隐私权受到尊重；二、当通过一项关于个人数据保护的法规议案时。

（二）意见整体结构概述

意见针对隐私设计保护进行了较为详细的介绍与说明，正文分为六大部分，合计共109条，分别针对隐私设计保护的概念和历史发展状况、欧盟法律下的数据设计保护和默认保护、国际维度下的隐私设计保护、保护个人数据时设计和运行程序和系统、技术、建议等问题进行了讨论。

意见主要内容

在意见的摘要中，EDPS提出了一系列的建议，比如要保证强有力的隐私保护、在所有影响技术设计的法律框架中保护隐私、进行激励、设置妥当的责任规则、确保足够的能力和资源以研究和分析隐私设计、支持新实践和业务模式等。

以下将针对意见正文的主要内容进行介绍。

（一）第一部分：隐私设计保护和默认保护：有效保护个人的契机（Privacy by design and by default: an opportunity for effective protection of individuals ）

正文的第一部分共计22条，主要论述了两点，第一点是EDPS出具“隐私设计保护”（Privacy by Design）这一意见的原因，以及隐私设计保护和数据设计保护（Data Protection by Design）这两个概念之间的关系。第二点是隐私设计保护概念的历史沿革。

2018年初，公众对于运用先进的信息和通信技术所做的个人数据处理的讨论达到了前所未有的高度，无论是各个国家的议员，还是普通民众，都想要知晓其个人数据是如何被收集、处理、使用的。意见旨在全球范围内促进法律和技术的发展，为隐私和数据的设计保护提供建议与方法。

意见中，“隐私设计保护（privacy by design）”这一术语指代“有关保护隐私的技术手段”的广义概念；而意见中所用的“数据设计保护和数据默认保护（data protection by design and data protection by default）”指的是GDPR第25条所规定的特定法律义务。显然，在意见中，“隐私设计保护”这一术语的范围比“数据设计保护和默认保护”更广，“隐私设计保护”包含了观念和伦理上的维度，与欧盟宪章中所规定的基本权利的价值和原则相一致。

意见第13到22条介绍了隐私设计保护的历史。“隐私设计保护”这一术语最初由Ann Cavoukian所提出，当时她是加拿大安大略省信息和隐私委员会委员（Information and Privacy Commissioner of Ontario, Canada），她认为隐私设计保护可分为七大原则：

1、主动实施而非被动反应，预防而不是救济（proactivity instead of reactivity: preventing rather than remedying）；

2、在默认系统配置时考虑隐私保护（privacy protection since the default configuration）；

3、在设计系统和商业处理时进行隐私保护（protection of privacy since the design of systems and business processes）；

4、在保护个人数据的同时确保功能的完整（ensure the full functionality without ignoring the protection of personal data）；

5、整个信息生命周期的端到端的安全（end-to-end security for the entire information lifecycle）；

6、可视和透明（visibility and Transparency）；

7、以“用户为中心”的理念尊重用户的隐私（respect for user privacy via a User-Centric Approach）。

隐私设计保护的概念在2010年10月的第32届国际受托人隐私会议上被官方承认。随后，第29条工作组要求欧洲委员会引入隐私设计保护这一原则，并建议用此原则约束技术研发者以及数据控制者。EDPS在2010年3月的《关于通过促进数据保护和隐私以促进信息社会中的信任的意见》（Opinion on Promoting Trust in the Information Society by Fostering Data Protection and Privacy of March 2010）中签署了隐私设计保护的原则，并将之作为增进信息社会中的信任的关键措施，EDPS还在该意见中提出了如何在IT产品和服务中执行此原则的看法。

（二）欧盟法律下的数据设计保护和默认保护（Data protection by design and by default in EU law）

意见第二部分主要论述了欧盟法律下的数据设计保护和默认保护。第一点主要围绕GDPR第25条展开，第二点主要讨论欧盟其他法律规定中的隐私设计保护和数据设计保护的相关规定。

1.GDPR第25条。GDPR第25条规定了数据设计保护和默认保护。  该条是GDPR第24条所规定的数据控制者责任的重要组成部分。GDPR第24条是一个关键条文，该条定义了“谁应当做什么”以保护个人及其个人数据。此外，GDPR第32条规定了“处理安全”是GDPR第25条所规定的数据设计保护和默认保护的一个具体体现。 

意见从以下几个方面进行了较为具体的论述。

（1）隐私设计保护义务的多个方面。

其一，由IT系统部分或完全支持的个人数据保护应始终是项目研发的结果之一。GDPR第25条要求在设计和运行的过程中都应考虑安全保障问题，目的是在项目的整个生命周期（the whole project lifecycle）中明确对个人数据的保护。

其二，应确立采取技术措施保护个人数据的理念，数据控制者或处理者应将处理行为的性质、范围、环境、目的等因素考虑在内，以选择适当的个人数据保护方法。同时，数据控制者或处理者在选择某一安全保障措施时，还得考虑国家的发展水平、实施成本以及处理可能给自然人的权利和自由带来的风险和损害等问题。

其三，所采取的措施需适当且有效。保证能够证明符合GDPR、贯彻数据保护原则以及保护数据主体的权利。GDPR第5条所规定的数据保护原则可以被视为所欲实现的目标，立法者将这些原则作为保护数据主体权利的基石，并据此规定了更为具体的规则，比如应提供给数据主体的信息，即是透明原则的体现。

其四，将公认的安全保障措施整合在处理过程之中的义务。GDPR规定了一些在外部处理时保护数据主体权利的安全保障措施，比如通知义务等。

（2）数据默认保护义务的具体要求。

数据控制者应当实施相应的技术和组织措施以确保在默认（by default）情形下，被处理的个人数据对每个特定处理目的都是必要的。这强调了采取技术手段以满足数据主体的预期的重要性。不得基于与产品和服务不相关的目的处理数据，确保在默认的情况下不得进一步使用数据。数据默认保护本身蕴含着其他关于数据保护的基本原则，比如数据最小化原则、存储限制原则等。

（3）“数据处理者”的义务。

GDPR中的数据处理者是指代表数据控制者处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构。数据控制者有义务选择能够支持其遵守法律的数据处理者。这间接地要求数据处理者同样要遵守数据设计保护和数据默认保护的义务。

（4）GDPR第25条与产品和技术的开发者。

GDPR第25条所规定的义务存在一定的适用限制，即GDPR第25条仅适用于数据控制者，而不适用于产品和技术的开发者。产品和技术的提供者的义务未能规定在GDPR的正文条款中，但是GDPR序言第78条规定，当开发、设计、选择和使用基于个人数据处理或者处理个人数据的应用程序、服务和产品以执行其职责时，应当鼓励产品、服务和应用程序的生产者在开发和设计该类产品、服务和应用程序时将数据保护考虑在内，并在适当考虑现有技术的情况下，确保数据控制者和处理者能够履行其数据保护义务。

（5）GDPR第25条与公共权力机关。

GDPR第25条适用于作为数据控制者的所有机构，包括公共权力机关。GDPR序言第78条规定，在公开招标的情形下，还应当考虑数据设计保护和默认保护的原则。

（6）数据保护影响评估。

GDPR第35条规定了数据保护影响评估。当一种处理行为特别是用到了新技术时，考虑到处理行为的性质、范围、内容和目的可能会对自然人的权利和自由产生高风险时，数据控制者应当在处理前完成一份设想的数据处理对个人数据保护影响的评估。这项义务是对GDPR第24条的风险管理措施的补充。

2.欧盟其他法规中的隐私设计保护和数据设计保护的相关规定。

除了GDPR第25条外，欧盟其他法律规定中也有关于隐私设计保护和数据设计保护的相关规定。

例如《电子隐私指令》（ePrivacy Directive）。虽然隐私设计保护和默认保护原则并未明确出现在的其正文条款中。但是其序言第30条规定电子通信网络和服务系统应当被设计为可以将个人数据的使用限制在严格且必要的最小范围内。这是对公共电子通信服务和产品提供者的一个建议，即尊重数据最小化原则。序言第46条要求电子通信设备生产者在其产品中嵌入保护用户个人数据和隐私的安全保障措施。

再例如eIDAS条例（eIDAS Regulation）。该条例为欧盟电子单一市场中的电子身份和信用服务规定提供了框架，该条例将隐私设计保护作为其原则。

（三）国际视野下的隐私设计保护（The international dimension of privacy by design）

意见第三部分论述了国际视野下的隐私设计保护。隐私和数据的设计保护与默认保护原则不仅被欧盟采纳，而且世界范围内得到了认可。前述隐私设计保护的七大基本原则，在世界范围内产生了影响并被一些国家的法律所吸收。隐私设计保护与默认保护方法被加拿大、澳大利亚、美国的有权机关所承认，经常与隐私影响评估（Privacy Impact Assessments (PIAs)）并行。美国联邦贸易委员会（the US Federal Trade Commission (FTC)）在2012年的一项报告中将隐私设计保护作为“构成21世纪最新的全套公平信息实践原则的新框架”的三大主要概念之一。FTC的框架与GDPR在适用范围、法律性质、条文内容上存在诸多不同，但是FTC框架中所述的隐私设计保护的定义和欧盟法律中的定义十分相似。美国国家标准和技术机构（National Institute of Standards and Technology ，以下简称NIST)的一份内部报告中系统解释了隐私工程和风险管理（concepts of privacy engineering and risk management）的概念。该报告包含了隐私风险模型和开发系统（engineering systems）和在处理个人数据时如何满足隐私要求的方法。

（四）保护个人数据时设计和运行的程序与系统（Designing and operating procedures and systems while protecting personal data）

意见第四部分介绍了保护个人数据时设计和运行的程序与系统，主要分为以下几个部分。

1.隐私和数据的设计保护与默认保护的运行。

欧盟数据保护法和其他隐私框架，比如公平信息实践原则（Fair Information Practice Principles）或OECD指南明确了目标但未能给出如何在实践中满足这些目标的具体实施方法。而意见提出了三项具体要求：其一，定义一种整合隐私和数据保护需求的方法，作为开发和运行处理、程序或系统处理个人数据的项目的一部分；其二，在相关运行处理、程序和系统中识别和实施适当的技术和组织措施以保护个人及其数据，技术创新可以被用来支持这些措施；其三，通过义务与资源分配等在组织的管理和治理框架中支持隐私保护。

2.开发隐私和数据保护（Engineering privacy and data protection）

主要包括以下几个方面：

（1）识别数据保护要求并选择适当的方法满足相关要求。

（2）现存方法示例。比如，“隐私工程的六大保护目标（Six protection goals for privacy engineering）”为IT系统处理个人数据时设置安全保障措施提供了框架，除了传统的IT安全三大要求——“保密（confidentiality）”、“完整（integrity）”、“可用（availability）”之外，增加了“不可链接（unlinkability）”、“透明（transparency）”与“可干预（intervenability）”。“不可链接（unlinkability）”是指将可相互关联在一起或可关联到某个人的信息分离的能力。“可干预（intervenability）”是指实施有效的改变和更正的措施，确保个人的权利和对有权机关的干预。应当注意的是，上述目标之间存在关联性，但同时也可能相互冲突。比如可干预服务中个人数据的登录操作会构成对“不可链接（unlinkability）”的威胁，因为这增加了滥用登录操作的风险。

  NIST认为隐私工程（privacy engineering）由多个部分组成，其中最关键的是风险管理框架和开发目标。NIST提出了三个隐私系统目标，即“可预测（predictability）”、“可管理（manageability）”和“不可关联（disassociability）”。“可预测（predictability）”是指“使个人、所有者和操作人员能够对个人可识别信息（PII）及其信息系统的处理做出可靠的预期。“可管理（manageability）”是指“提供对个人可识别信息细粒度的管理的能力，包括选择、删除和选择性披露。“不可关联（disassociability）”是指确保“对PII或事件的处理，不与超出系统运行需求的个人或设备相关联”。

意见还介绍了另外一种隐私工程方法，即Leuven大学开发的“LINDDUN方法”。具体包括四点，其一，创建基于高级系统描述的数据流图；其二，制作图表时要按照方法识别映射以下隐私威胁的种类：可链接（linkability）、可识别（identifiability）、不可拒绝（non-repudiation）、可觉察（detectability）、信息披露（disclosure of information）、不知情（unawareness）、不服从（non-compliance），并作为要素添加到图表中；其三，当前述威胁可能会造成风险时，识别数据流图中的上述要素，并使用方法所提供的隐私威胁树模式进行风险分析。然后根据评估确定威胁的优先级。但是“LINDDUN方法”并未指示如何进行风险评估，有赖于各个组织内部灵活实施；其四，基于风险的优先级，针对特定的威胁，选择缓解策略和特定的解决方案。该方法提供了缓解策略的分类，可以根据需要进行整合与细化，随后选择隐私增强技术（Privacy Enhancing Technologies (PETs)）以有效实施这些策略。

（3）关注服务和产品的整个生命周期、组织治理和管理。意见认为，隐私工程必须考虑某一服务或产品的整个生命周期。意见在此处做出了示例，即PRIPARE research project所提出的方法。有效的隐私设计保护和默认保护意味着对个人基本权利的保护成为了组织的任务，且应当体现在组织的治理和管理结构中，并以一种恰当的方式合理分配隐私任务和责任。隐私和数据保护专员在隐私设计保护的方法中处于中心位置，在组织设计处理个人数据的系统时，他们需要从早期阶段就参与其中。

（4）标准化工作。在全球范围内，标准化工作正在进行中，多个标准化组织和计划里都将隐私需求整合进系统设计中。比如国际标准化组织（ISO）颁布了隐私框架标准(ISO/IEC 29100)和隐私架构(ISO IEC 29101)。2015年，欧盟委员会要求欧洲标准化组织（European Standardisation Organisations (ESOs)）为安全行业制定“隐私和个人数据设计保护方法”和“隐私和数据保护管理框架”。2017年，在GDPR通过后，ESOs认为这是个将隐私、数据保护和网络安全纳入更广泛和更清晰的工作计划的机会。

3.隐私增强技术（Privacy enhancing technologies）

意见特别讨论了隐私增强技术（PETs），认为隐私增强技术是在系统设计中融入隐私保护的具体技术解决方案之一，比如“属性证书（attribute-based credentials）”或“匿名证书（anonymous credentials）”设计策略。许多开发者，无论是商界或非商界的，都倾注大量精力用于提供具有增强隐私特性的工具和服务。比如一些较为流行的浏览器，增加了更多的隐私控制，诸如不追踪功能（Do Not Track (DNT)）。还有通信基础设施（Communication infrastructures）中的混合网络（Mix networks），已完全投入使用。最近几年，欧盟网络和信息安全机构（ENISA）为分析PETs的成熟度提供了方法，这一方法可以用来评估在线和移动隐私工具，以及为所有的利益相关者提供建议。

（五）为了人类的技术：平衡隐私设计保护和默认保护（Technology for humans: leveraging privacy by design and by default）

意见第五部分讨论了平衡隐私设计保护和默认保护的问题，主要分为两方面：

1.推动“现有技术水平（the state of the art）”和使用隐私增强解决方案。

（1）现状。意见认为，GDPR的生效增加了公众的敏感性，并刺激相关企业将更多的注意力和资源投入到隐私和数据保护之中，这一趋势会一直持续下去。隐私增强技术（PETs）已在某种程度上成为主流商业需求，包括更广泛地采用加密技术来保护个人数据安全（比如移动通信端到端加密）、DNT技术及其默认不追踪设置的使用等。

（2）未来之路。意见认为，应当通过不断的研究，将隐私保护技术推动到一个更高的水准之上，使之成为市场中通用的技术、产品和服务。意见提出了三大看法，第一，从政策上推动隐私增强技术的研发和应用是欧盟的要务；第二，关于隐私设计保护和隐私增强技术应用的共识是在国际层面进行建设性对话的重要方面之一；第三，公共权力机关应当以身作则。

意见认为，当为了数据保护而实施技术和组织措施时必须考虑成本问题。若想要使得关于隐私设计保护的设想令人信服且可持续，则必须保证其能成为一种竞争优势。意见号召广大企业投入更多的资源、能力和创造力用来开发新的服务和业务模式，将用户作为中心，使每个人可以控制自己的数据。

2.隐私设计保护是价值驱动技术发展的里程碑。

（六）建议和承诺（Recommendations and commitments）

意见最后一部分提出了EDPS的一些建议和承诺，发出了如下号召：

第一，在电子隐私条例（ePrivacy Regulation）中施加强有力的隐私保护要求，包括隐私设计保护，以培育更大的隐私增强产品和服务市场，同时为以隐私保护作为核心业务的企业创造更多的市场机会；

第二，当制定或者通过影响技术设计的法律法规时，强调隐私保护，比如制定相应的激励措施或义务，将隐私设计保护整合在相关行业的产品和服务中，例如运输、能源、金融、智能城市和物联网领域；

第三，通过适当的执行措施和政策激励，推动欧盟和成员国层面推出和采用隐私设计保护方法与隐私增强技术；

第四，确保欧盟关于隐私工程和隐私增强技术的研究与分析所需的资源条件；

第五，支持新实践和业务模式的发展，尤其要关注人工智能、机器学习和区块链；

第六，欧盟机构和国家公共权力机关应以身作则；

第七，支持对隐私工程和隐私增强技术的现有技术水平的进一步研发提升，提高公民、商人、政界人士对于这一问题的认识。

简评

经过上述简述，本文认为从范围上看，EDPS此次颁布的意见并不仅限于对GDPR第25条的数据设计保护和默认保护进行解读，而是放眼全球，从世界范围探讨隐私设计保护的问题。从内容上看，意见是关于隐私设计保护的较为全面的一个介绍，从历史、经济、技术等多角度切入，使得人们对于隐私设计保护的认识有所提升。

可以说，意见是欧盟数据保护机构在GDPR生效后对“隐私设计保护（privacy by design）”、“数据设计保护和数据默认保护（data protection by design and data protection by default）”进行解读的一个很好的尝试，但是意见在讨论的深度上还略显不足，对于企业如何贯彻落实这一原则尚缺乏更为具体的指引，还需结合其他相关文件指引的进一步完善和补充。

责任编辑：郑通