最佳实践

在 Web 开发过程中，为保护隐私而需要采取的一系列重要措施。

基础知识

在整个课程中，某些主题层出不穷。为保护用户的隐私，您需要了解用户最基本的要求，坦诚透明地说明您的需求和原因，并尽快移除您不再需要的资源。此外，您还要为其他用户对您的数据所能执行的操作以及允许其执行的操作负责，这意味着您需要能够诚实且透明地说明所代表的内容。对于您不需要的数据，就不应该拥有；确实需要的任何数据，也应该能够说明您为何需要这些数据以及需要保留多长时间。

在较大的组织中，可能会有一些角色或团队专门负责跟踪部署环境和浏览器中的最新技术变化，并了解技术和法律变化对用户隐私的影响。但是，小型组织仍然需要注意用户隐私、不断变化的环境如何影响已经做出的决策，以及从现在开始作出决策需要考虑哪些因素。本单元总结了一些最佳实践，帮助您了解自己以及用户的隐私选择和要求。

注意自己执行的操作

这里的第一个最佳实践是understanding。您需要了解自己对用户的了解，以及为什么知道这些信息；您需要了解合作伙伴对用户的了解以及他们是如何发现这些信息的。这应记录在隐私权政策中。一开始制作这份清单既困难又耗时，但更重要的是，这对您和您来说也可以大有裨益。您收集和存储了多少关于用户的数据，这往往让人感到惊讶，但这并不奇怪。记录数据有助于了解数据的收集和隐私保护，以及系统的用户体验和底层软件。经常会出现一些布满灰尘的角落或已被取代的请求，需要更新并且已经被忘记。

正确做法

对于可能与用户相关的每条数据，请明确记录以下内容：

• 收集这类数据的具体列表。
• 系统将于何时删除数据（以及用户如何将其删除，而不仅仅是由您自己的团队删除）。
• 收集方式。

请确保仅以足够的粒度收集此类信息，以便仅回答这些问题。

本文档仅供内部使用，应完整完整，但公开记录该文档可能对用户很有价值，因为建立信任氛围非常重要。这不仅对一般来说对客户关系有益，而且如果您的用户确信所需的数据不会被滥用，他们更有可能自愿提供您做出业务决策所需的数据。本公开文档与更为通用的隐私权政策相关联（事实上，该政策将构成您的隐私权政策的重要组成部分），以用户能理解的形式（以及法律用语）撰写本文有助于建立信任关系。

随时掌握最新动态

第二个最佳实践是及时掌握最新动态。一般来说，整个行业发展迅猛，隐私也是一个快速变化的领域；随时了解最新动态本身可能是一项挑战。您可用的技术会经常改变，但用户期望也会改变一样快。千万不要落后，如果您可以保持领先地位，那么通过树立可保护隐私的立场，将获得真正的竞争优势。管理用户隐私并了解行业可能正在如何变化可能不是某人的工作，您也不必成为专家，但应该由其他人来做一些工作。投入一些培训或会议预算来及时了解行业趋势和监管动态。

在隐私保护方面跟上不断变化的态度和最佳实践并非易事。没有一个完全方便的地方。部分原因是隐私保护是一个涵盖广泛的领域，对许多不同行业的许多不同部分都有影响。但关于如何最好地保护用户和他人的隐私这一主题存在很大的争议，有很多不同的方法并且经常会相互冲突。在本课程中，我们列出了一条需要遵循的路径和一些最佳实践，但根据您的目标、贵组织的 和用户需求综合运用自己的方法将很有帮助。我们整理了一份资源列表，供您、您的管理层以及您周围的团队使用，以帮助您及时了解不断变化的规范和目前的最佳行动。

浏览器所做的一些隐私权变更本质上是技术方面的，因此需要开发团队理解。例如，请考虑在 Cookie 上将 SameSite=Lax 默认更改为“Lax”。这项更改影响了某些网站上的功能，因此可能需要进行技术更改。它提前宣布并进行了试验，最终才发布。这是一个很好的例子，说明可能影响用户隐私的那类更改（在本例中，这项更改属于改进）并且可能需要对应用进行更改才能正确处理。

资源

浏览器供应商和网络平台开发者

对于大多数 Web 开发团队而言，了解隐私权和用户保护方面的最新业界做法是浏览器供应商和消费者数据保护组织的最佳渠道。对于公告和新闻稿，这意味着各浏览器供应商团队博客：其中很大一部分与技术和内容无关，但如果有与隐私权相关的公告，则会显示在此处：

• Webkit (https://webkit.org/blog/)
• Chrome (https://developer.chrome.com/blog/ 和 https://blog.chromium.org/)
• Firefox (https://hacks.mozilla.org/)
• Edge (https://blogs.windows.com/msedgedev/)
• 三星开发者 (https://developer.samsung.com/blog)。

为了了解浏览器计划实现什么，并了解他们对您考虑使用的即将推出和提议使用的 API 的立场，我们有状态页面和位置页面：

• WebKit(https://webkit.org/status 和 https://github.com/WebKit/standards-positions)
• Chrome (https://chromestatus.com/features 和 https://developer.chrome.com/tags/deprecations/，其中列出了要移除的内容）
• Edge (https://developer.microsoft.com/en-us/microsoft-edge/status/)
• Firefox (https://mozilla.github.io/standards-positions/)

隐私权组织

当然，浏览器供应商的位置只是此对话的一个输入。还有一些组织在推动当前状态加强隐私保护，值得密切关注。该列表很长，但仅展示几个示例：

• EFF 的隐私权问题 (https://www.eff.org/issues/privacy)。
• Open Rights Group 的数字隐私权倡议 (https://www.openrightsgroup.org/category/online-privacy)。
• IAPP (https://iapp.org/)。

政府组织

为了密切关注整个区域，业内其他参与者也在关注。政府组织的决策及其方法的影响最大：

• 欧盟的欧洲数据保护委员会。
• ICO。
• 加利福尼亚州的加州隐私权保护局。
• 数据保护（非洲）
• IAPP 对亚洲的数据保护概述。

主流媒体隐私报告通常主要侧重于“大型科技”公司和政府组织，这些公司或组织可能认为这类公司或组织不做这些工作。内容往往以美国为中心。但即便如此，您也需要知道未来可能会有哪些规则，以便做好充分准备，就像您周围的团队和管理结构一样。

另外，值得一读的一篇《Understanding Privacy》由 Heather Burns 于 2022 年 11 月出版，其中详细介绍了整个数据隐私领域以及您需要了解的相关内容。推荐！

审视内心

随时掌握最新动态也意味着，及时了解自己的立场。understanding了解您自己的软件，并对您自己的数据收集和第三方合作伙伴进行审核和审查。这些审核不是一次性的，它们应该定期重复，并随着软件的更改而更新。与其他技术文档一样，强制在开发过程中更新隐私审核文档会很有用。如果新版本收集更多数据，则更新隐私审核以包含收集的内容、删除的原因和时间，与公开文档中描述的新版本 API 的重要性相似。

正确做法

• 随时了解行业和用户期望在隐私保护方面随时间变化的情况。通常，一个团队中有人对隐私权相关主题特别感兴趣，即使没有预算或充分需要一个全职职位也是如此。请考虑正式推出隐私保护措施，让隐私保护成为某人的工作中的正式组成部分，并附带此责任的益处。
• 将隐私权审核文档中的“了解”部分保留为文档流程的一部分，就像 API 文档一样。
• 定期审核或当主要功能发生变化时，重新审核您收集的数据和使用的第三方；以新用户的身份测试您的软件，以发现需要哪些信息，并将其添加到审核中。

防止数据滥用并控制访问权限

第三个最佳实践是防止数据超出：也就是说，要避免超出您承诺的数据，并避免推测性地收集数据，以备将来有用。这涉及调整您的流程，以便在保护用户隐私方面树立您所需要的文化。文化变革很难，但一旦成功，它在很大程度上就能维持，这样就更容易了。

记录您的使用

我们来考虑一下前面讨论的最佳实践之一，即记录收集用户数据的确切用途之一。本文档对您了解自己做什么以及这样做的原因很重要，但确保遵守此规则同样重要。如果有人建议使用已收集的数据进行新的分析，请予以反驳，因为收集这些数据的目的并不是这样做。这有助于了解数据的其他方面：仅以可接受的最低粒度收集数据，并在使用后将其删除，因为如果没有现有数据，则无法重复使用现有数据来进行新的分析。

制定与处理用户数据相关的流程和规则

这并非易事。在这些情况下，很难解释用户关系的性质，因为除了先前作出的承诺之外，可能可以获得数据洞见，并且没有任何阻碍。但重要的是，要考虑到用户会将数据托付给您用于特定用途，您（和您的团队）不应将数据滥用用于其他用途。这种情况下，就需要围绕访问用户数据进行一些处理，这是很好的方法。请务必避免在每个工作流程中都插入强制性的“隐私”组件来替代实际关注问题，因为它可能很快成为所有人都忽略的“复选框”功能（没有人喜欢更多的文书工作，尤其是无人阅读的文书工作）。

尽量避免过度攀登

不过，你还是可以利用这种烦人的层层制度来为自己谋取利益！如果在挖掘已收集的现有数据时需要填写“隐私权请求”，并且要求新分析的理由和记录，那么实际上不需要相应访问权限的项目很可能会避免此类访问权限，以避免官式化，或者为了避免文书工作中被提及。您可能已经围绕用户数据的安全性制定了政策：保存的帐号详细信息受到限制，没有正当理由的员工无法使用。不妨考虑将这些隐私权要求与这些现有政策绑定。如果在早期阶段就对用户隐私产生了一定的影响，那么这些考虑因素很快就会成为规划的常规环节。架构师、开发者和营销人员务必要将隐私保护视为外部施加的繁重限制，而是视为客户关系的核心部分。

采用替代品进行反驳，而不是停止能源

采用上述最佳实践后，您将仅会出于特定且可衡量的目标收集用户数据，您的用户群将获知这些目标并理解其中的内容。不过，您还会收集大量用户数据，企业会出于收集这些数据之外的其他原因寻求使用这些数据。您的目标是抵制这些用途，但重要的是提供替代方案。假设您已要求用户提供他们所属的年龄段：18-25 岁、25-35 岁、35-50 岁、50 岁以上。您这样做是为了衡量不同年龄段的用户最常购买哪些类型的产品，并且您明确告知用户这就是要求其年龄的原因。如果有人随后建议可以使用这些数据向所有未满 25 周岁的用户发送广告电子邮件，这是对现有数据的一种新用途，未声明，因此是不允许的。但在这里，您的意图应该是找到一种方式来满足业务需求，而不使用数据来处理未声明的内容。如果您反驳了这一要求，但没有提出任何替代方案，那么用户隐私看起来就像先前受到外部施加的限制，而不是用户信任您的核心部分。尽可能避免向进程添加停止能量：唯一比光头“计算机说不”更糟糕的地方是“内部监管机构说不”。相反，您可以考虑采用其他方式来实现该目标，而无需使用用户的个人数据：可以使用已购产品的列表作为电子邮件收件人指导，或完全避免定向分发。帮助您的团队了解用户为什么信任您以及这种信任所建立的根基，然后帮助他们做自己想做的事，满足用户的需求。让隐私保护为您服务。

正确做法

• 要求指定员工提供（简短且简单）的书面理由才能访问用户数据。
• 在您的流程中尽早添加用户隐私要求。
• 避免将隐私问题作为强制性“复选框”功能添加。
• 强制执行之前定义的删除数据。
• 帮助团队的其他成员了解如何在不侵犯用户隐私的情况下实现目标。