起源：从隐私设计到隐私工程

20世纪90年代，加拿大学者、加拿大渥太华省信息与隐私委员会前主席Ann Cavoukian提出“隐私设计”理念，即Privacy by Design（“PbD”），该理念认为隐私不能仅靠遵守法规监管框架来保证，相反，保障隐私安全在理想情况下应当成为一种默认操作模式，对隐私的保护必须由产品设计师们以一种双赢的方式设计出来。双赢的设计策略应该使隐私保护目标与其他目标相互包容而非冲突、排斥，隐私设计应当贯穿始于采集、终于销毁的个人信息处理活动全生命周期。在此之前，隐私计算技术一度成为人们追捧的隐私保护解决方案，但随着隐私保护的法律原则和要求的发展，人们渐渐认识到隐私计算技术虽然能够通过数据最小化、数据可用不可见等方式帮助提升隐私保护安全，但无法实现将法律要求落地到系统上。因此，隐私设计理念提出将隐私计算技术的应用扩展为一套完整的隐私设计框架，主动将隐私保护嵌入信息技术、网络基础设施和商业实践中，并通过实践七项基本原则（如图1）来实现这种嵌入的隐私保护理念。

来源：CCSA TC601

图 1 隐私设计七大基本原则

随着时间的推移，隐私设计理念及其原则逐渐被各国监管机构和国际组织所认可，并成为推动隐私保护发展的重要理论基础。2010年10月，国际数据保护和隐私委员会通过一致决议将隐私设计理论作为未来隐私保护至关重要的组成部分。2018年生效的欧盟《通用数据保护条例》（General Data Protection Regulation，“GDPR”）将隐私设计理念纳入第二十五条“Data Protection by Design and by Default”中；2020年10月，欧洲数据保护委员会（European Data Protection Board，“EDPB”）发布了Guidelines 4/2019 on Article 25 Data Protection by Design and by DefaultVersion 2.0。该指南在对基于设计的数据保护和基于默认的数据保护需要考虑的相关要素进行分析后，提出了透明度、合法性、公平性、目的限制、数据最小化、准确性、存储限制、完整性和保密性、可问责性等原则，并针对每个原则提供了具体的要素和示例解读供参考。

英国信息专员办公室（Information Commissioner’s Office）发布的Guide to Data Protection自2017年以来持续更新，其中就“隐私保护设计”设专章，鼓励企业将隐私保护设计纳入现有的项目管理和风险管理方法和政策中。美国联邦贸易委员会（Federal Trade Commission）在2012年发布的报告中提出以“隐私融入设计”“简化的用户选择”“透明性”为三大原则的隐私框架。2022年6月3日，美国参议院和众议院发布的第一个获得两党两院支持的美国联邦全面隐私保护提案——《美国数据隐私和保护法》（American Data Privacy and Protection Act）草案也将隐私融入设计原则放置在忠诚原则下进行了阐述。

此外，国际标准化组织（International Organization for Standardization，“ISO”）在2023年1月还发布了ISO31700-1:2023《消费者保护 产品及服务中的隐私设计 第一部分：高级要求》和ISO/TR31700-2:2023《消费者保护 产品及服务中的隐私设计 第二部分：实践案例》，从基本原则和应用实践两个层面推动消费者在产品和服务的购买、使用等整个生命周期中的隐私安全保护。

隐私设计的产生和发展标志着一种新的隐私保护范式的兴起，为更完善的隐私保护提供了新思路。同时，Ann Cavoukian提出的隐私设计理念也面临着一些挑战，例如，企业管理层对于隐私保护的事后补救观念难以转变、设计和开发工程师需要有过硬的隐私保护专业知识以选择合适的隐私保护架构和策略、业内尚未形成广泛共识的方法论等等。这些挑战也成了各国数据保护监管机构以及国际组织等持续讨论和研究的课题。

隐私设计理念在提出后，获得了广泛认可。在随后的若干年里，也进行了一系列的演变和发展，诸多学者和权威机构提出了一系列经典理论和知识体系，如隐私风险建模、隐私影响评估、隐私工程设计策略、隐私设计模式等等，将隐私设计从理论推向实践，而其中很重要的一项发展就是隐私工程的诞生。由于隐私设计的七项基本原则较为抽象，业界一直致力于将该等原则具体化，形成一套可以直接指导实际研发并解决特定领域不同隐私需求的方法论，即隐私工程（Privacy Engineering）。

隐私工程对于隐私保护监管和企业实践都有较强的指导意义。一方面，法律的更迭速度与技术的发展速度差距越来越大，引发了数据保护监管机构的担忧。欧盟网络和信息安全局（European Union Agency for Cybersecurity，“ENISA”）指出，“欧盟各国数据监管机构缺乏有效和系统的能力去监管数据处理活动或者处罚违规行为”；另一方面，隐私保护立法日趋严格但较为概括模糊，企业对如何证明其数据处理活动遵守隐私保护要求存在困惑，例如如何保证对法律概念和工程实践概念的理解保持一致，抽象的法律要求如何转化为精确的研发工程，不断更新迭代的系统如何保证持续合规等等。隐私工程通过梳理和总结隐私保护合规要求，将其转化为系统工程中的目标、策略、风险管理框架、组织管理和运营方法，为隐私保护要求提供了具象化的实践指引。