2023年2月23日,英国举办了最新的ICO隐私论坛本系列旨在帮助产品设计师和经理将“设计的隐私”或“设计和默认的数据保护”原则纳入他们的工作。
来自各行各业(包括ICO)的演讲者提供了实际指导,可以帮助企业更好地理解当前的市场实践、ICO的期望以及即将到来的监管指导的方向。
会议期间分享的主要意见包括:
- 隐私不仅仅是律师的专利。隐私不应该与产品团队隔离开来。这种方法可能导致仅仅按照设计来保护产品,而不是按照隐私法规来设计产品。发言者建议产品设计团队从头到尾直接参与隐私考虑,并包括合规人员。
- 设置隐私反馈间隔。通过在产品团队级别集成隐私,在整个产品创建过程中更容易实现收集关于隐私问题的反馈的过程。“设计、测试、重复、重申”的框架可以帮助从一开始就确保遵从性。
- 抛弃深色图案。小组成员表示,“黑暗模式”的概念正在围绕一致的术语进行融合,可能很快就会使进一步的监管成为可能。例如,数字服务法案法典这一术语并列出了一些涵盖的做法,这可能会刺激欧盟内外进一步的监管。至少一些小组成员认为,监管对于引导企业领导层走向正确方向是必要的,因为许多产品设计师没有能力通过反对有缺陷的隐私设计来反抗管理层,或者缺乏发现问题的必要培训。
- 优先培训。各小组的与会者强调了向整个产品团队提供隐私培训的必要性。这种培训将包括关注法律背后的基本原则,并确定高水位标志。不知情的产品团队成员可能无法识别和升级隐私问题,而将隐私“留给律师”或其他团队的一般文化可能不会培养一个初级设计师感到有权提出问题的环境。
- 安全设计也是如此。讨论涉及隐私的相互作用以及监控应用程序和共享银行账户等技术带来的人际伤害风险。设计师习惯于考虑用户目标和未经授权访问所带来的隐私风险,但不一定要考虑如何应对已知用户的有害目标,或者如何向受害用户提供可操作的信息。设计人员可能需要考虑(i)用户之间的权力不平衡,(ii)用户是否容易识别其他用户,他们采取了什么行动,以及如何删除他们,以及(iii)防止未经同意或低效率监视的保障措施。
大部分讨论都与ICO的观点一致指导关于设计和默认的数据保护,评论黑色的图案,和他们的强调有关儿童数据的设计,组织可能希望审查这些内容,以确保与ICO的期望保持一致。我们很可能会看到ICO在许多这些主题上的进一步指导,包括完成指导关于使用隐私增强技术(“pet”),这是我们之前讨论过的在这里到2023年春末。
订阅数据博客,请点击这里。
本文的封面由DALL-E制作。
