《通用数据保护条例》（GDPR）是一项复杂且强制力强的隐私法，旨在保护欧盟数据主体的个人数据。虽然许多人将他们的GDPR合规工作集中在更新隐私政策、响应数据主体请求和标准合同条款上，但有一个元素往往被忽视——设计隐私。

设计隐私要求将隐私集成到新设备、系统和操作的开发和创建中，并与GDPR 第25条的合规性相结合。

在本文中，我们将讨论设计隐私的概念，它是什么以及它所提出的要求，它如何与GDPR相关以及设计隐私的七个基础原则。

什么是设计隐私？

设计隐私是一个框架，它基于积极地将隐私嵌入到IT系统、网络基础设施和业务实践的设计和操作中。最初由加拿大信息和隐私专员Ann Cavoukian提出，该框架表明隐私要求应在设计阶段开始考虑，贯穿整个数据生命周期。

设计隐私框架包括以下七个基础原则：

1. 主动而非被动；预防而非补救。设计隐私旨在防止在发生之前的数据泄露；
2. 隐私为默认设置。个人数据将自动得到保护，因此用户无需采取额外行动以保护其隐私；
3. 将隐私嵌入到设计中。隐私必须是核心功能的必要组成部分，而不仅仅是附加功能；
4. 全面功能；正和而非零和。在隐私和功能之间应该有权衡；
5. 端到端安全。全生命周期保护。该框架将安全性扩展到个人数据的整个生命周期，确保从开始到结束都实施强有力的措施；
6. 可见性和透明度。您应该向用户和提供商清楚地说明您提供的保密性和隐私程度；
7. 尊重用户隐私：以用户为中心。您应该通过提供诸如强大的隐私默认设置、适当的公告和用户友好的隐私选项等措施来尊重用户。

设计时的隐私和GDPR

虽然遵循设计时的隐私原则是将最佳隐私和安全实践融入组织中的最有效方式，但该框架与GDPR合规有何关系？GDPR第25条讨论了默认和设计时的数据保护，并包括以下要求：

1. 实施适当的技术和组织措施，如匿名化，这些措施旨在实施数据保护原则；
2. 实施适当的技术和组织措施，以确保默认情况下，仅处理每个特定目的所必需的个人信息。

遵循设计时的隐私框架将帮助您满足上述GDPR的要求。

实施设计时的隐私

与一些其他合规性任务不同，实施设计时的隐私是一个持续的工作，涵盖了众多项目和部门。如果您考虑将此概念纳入工作和组织中，您应遵循欧洲数据保护监督员的以下指南：

1. 定义一种方法，将隐私和数据保护要求作为涉及个人数据处理的项目的一部分进行整合；
2. 确定并实施适当的技术和组织措施来保护个人信息；
3. 通过确定任务并定义和分配资源及责任，将隐私支持纳入您组织的管理和治理框架。

设计时的隐私是任何负责任的隐私管理计划的基础，可以帮助您实现GDPR合规，减少事件和投诉。因此，实施这一概念应该是合规部门的一项优先任务。