最佳实践

通过合集保持井井有条 根据您的偏好保存内容并对其进行分类。

在为 Web 开发时为了保护隐私而需要执行的关键事项列表。

基础知识

在整个课程中，某些主题反复出现。保护用户的隐私包括了解您需要了解的关于他们的最少信息，诚实和透明地说明您需要什么以及为什么需要，并在您不再需要时立即删除您拥有的信息。您还对其他人能够做什么以及被允许对您的用户数据做什么负责，这意味着您需要能够诚实和透明地解释那是什么。任何您不需要的数据，您都不应该拥有；任何您需要的数据，您都应该能够解释为什么您需要它，以及需要多久。

在较大的组织中，可能存在专门的角色或团队来跟踪您的部署环境和浏览器中的最新技术变化，并了解技术和法律变化对用户隐私的影响。但是，较小的组织仍然需要意识到用户隐私，不断变化的环境如何影响已经做出的决策，以及从现在开始做出的决策需要考虑什么。本模块总结了一些最佳实践，说明您如何与您的隐私选择和要求以及用户的隐私选择和要求保持联系。

注意您所做的事情

这里的第一个最佳实践是理解。您需要了解您对用户的了解以及您为什么了解；您需要了解您的合作伙伴对用户的了解以及他们是如何发现的。这应该是您的隐私政策的文档化部分。首先将此列表放在一起很困难且耗时，但更重要的是，这对您和企业也具有启发意义。您收集和存储的关于用户的数据量之多，常常会令人惊讶（而且不是令人愉快的惊讶）。记录它将使您对数据收集和隐私以及系统的用户体验和底层软件有一定的认识。经常会有需要更新且已被遗忘的过时角落或被取代的请求。

执行

对于可能与用户相关的每条数据，明确记录

• 收集它的具体目的列表。
• 何时删除它（以及如何让用户删除它，而不仅仅是您的团队删除）。
• 您如何收集它。

确保仅以足够的粒度收集它以单独回答这些问题。

此文档供内部使用，应完整且全面，但公开记录此信息对用户可能很有价值，因为建立信任氛围非常重要。这不仅在客户关系方面总体上有益，而且如果您的用户确信他们的数据不会被滥用，他们也更愿意自愿提供您做出业务决策所需的数据。此公共文档链接到您的更通用的隐私政策（实际上，它将构成您隐私政策的绝大部分），并且以用户可以理解的形式（与法律语言一起）编写此文档有助于建立信任关系。

保持最新

第二个最佳实践是保持最新。整个行业通常发展迅速，隐私是一个快速变化的领域；保持最新本身可能就是一个挑战。您可以使用的技术会经常变化，但用户的期望也会同样快速地变化。重要的是不要落后，如果您能够保持领先，那么通过确立作为隐私保护者的地位，就可以获得真正的竞争优势。管理用户隐私和了解行业可能如何变化可能不是某人的全部工作，您不需要成为专家，但这应该是某人的部分工作。将一些培训或会议预算用于与行业趋势和监管更新保持联系。

保持对隐私方面不断变化的态度和最佳实践的关注可能很困难。没有一个方便的单一去处。这部分是因为隐私保护是一个范围广泛的领域，它影响着许多不同行业的许多不同部分。但是，关于如何最好地保护您的用户和其他人的隐私这一主题存在很大争议，并且存在许多不同且常常相互冲突的方法。在本课程中，我们已经制定了一条遵循的路径和一些最佳实践，但对您来说，综合您自己的方法以最适合您的目标、您的组织和用户的需求将非常有用。我们汇编了一份可供您、您的管理层和您周围的团队使用的资源列表，以帮助您及时了解不断变化的规范以及当前构成最佳实践的内容。

浏览器所做的一些隐私更改在技术上是性质上的，需要开发团队理解。例如，考虑更改为 SameSite=Lax 默认情况下 在 Cookie 上。此更改影响了某些网站上的功能，因此可能需要技术更改。它已提前宣布并在最终推出之前进行了试验。这是一个很好的例子，说明了可能影响用户隐私的更改类型（在这种情况下，该更改是一种改进），并且您的应用程序可能还需要进行更改才能正确处理。

资源

浏览器供应商和 Web 平台开发者

对于大多数 Web 开发团队来说，了解最新的行业隐私和用户保护实践的最佳场所是浏览器供应商和消费者数据保护组织。对于公告和新闻稿，这意味着各种浏览器供应商团队博客：其中很大一部分是关于技术和与隐私无关的事项，但如果有与隐私相关的公告，它们就会在那里显示

• Webkit (https://webkit.org/blog/)
• Chrome (https://developer.chrome.com/blog/ 和 https://blog.chromium.org/)
• Firefox (https://hacks.mozilla.ac.cn/)
• Edge (https://blogs.windows.com/msedgedev/)
• Samsung Developers (https://developer.samsung.com/blog)。

要了解浏览器计划实施什么以及找出他们对您正在考虑使用的即将推出和提议的 API 的立场，可以使用状态页面和立场页面

• WebKit (https://webkit.org/status 和 https://github.com/WebKit/standards-positions)
• Chrome (https://chromestatus.com/features 和 https://developer.chrome.com/tags/deprecations/ 用于删除的内容)
• Edge (https://developer.microsoft.com/en-us/microsoft-edge/status/)
• Firefox (https://mozilla.github.io/standards-positions/)

隐私组织

当然，浏览器供应商的立场只是这场对话的一个输入。还有一些组织正在推动改进当前状态下的隐私保护，并且值得关注它们。列表很长，但这里只是一些示例

• EFF 的隐私问题 (https://www.eff.org/issues/privacy)。
• 开放权利组织的数字隐私倡议 (https://www.openrightsgroup.org/category/online-privacy)。
• IAPP (https://iapp.org/)。

政府组织

为了更密切地关注整个领域，还有其他领域的参与者需要关注。政府组织的决策及其方法具有最大的影响

• 欧洲数据保护委员会 (欧盟)。
• ICO (英国)。
• 加利福尼亚州隐私保护局 (加利福尼亚州)。
• 非洲数据保护
• IAPP 关于亚洲数据保护的概述.

主流媒体隐私报告通常主要关注“大型科技”公司和政府组织，这可能看起来与较小公司或组织的工作无关。它通常也非常以美国为中心。但即便如此，了解未来的规则可能是什么仍然很有用，这样您、您的团队和周围的管理结构就可以做好准备。

还值得查看 Heather Burns 于 2022 年 11 月出版的 《理解隐私》，它很好地审视了数据隐私的整个领域以及您需要了解的内容。强烈推荐！

内省

保持最新也意味着与您自己的立场保持同步。作为理解您自己的软件的一部分，您将对您自己的数据收集和您的第三方合作伙伴进行审计和审查。这些审计不是一次性的事情：它们应该定期重复并随着软件更改而保持更新。强制要求隐私审计文档与开发一起保持更新可能很有用，就像其他技术文档一样。如果新版本收集更多数据，那么更新隐私审计以包括收集的内容、原因以及何时删除它与公共文档中描述的新版本的 API 具有同等的重要性。

执行

• 及时了解行业和用户对隐私的期望可能随时间变化的方式。通常情况下，团队中的某人对与隐私相关的主题特别感兴趣，即使没有预算或足够的需要来担任全职角色。考虑通过使隐私成为某人工作的正式组成部分来正式化这一点，并为责任提供相应的福利。
• 使“理解”中较早的隐私审计文档成为您的文档流程的一部分，就像 API 文档一样。
• 定期或在主要功能更改时重新运行您收集的数据和您使用的第三方的审计；以新用户的身份测试您的软件，以发现要求提供哪些信息，并将其添加到审计中。

防止过度扩张和控制访问

第三个最佳实践是防止过度扩张：也就是说，避免对数据执行超出您承诺的操作，并避免推测性地收集数据，以防将来有用。这涉及调整您的流程，以便您围绕保护用户隐私设定您想要的文化。文化变革是困难的，但一旦完成，它将在很大程度上自行维护，这更容易。

记录您的用途

考虑一下前面讨论的最佳实践之一，即记录用户数据的收集目的。此文档对于您了解您做什么以及为什么这样做很重要，但同样重要的是确保遵守此规则。如果有人建议将已收集的数据用于新的分析，请拒绝该建议，因为这不是收集数据的目的。数据的其他理解方面对此有所帮助：数据仅以最低可接受的粒度收集，并在使用后删除，因为如果没有现有数据，则不可能将现有数据重用于新的分析。

制定处理用户数据的流程和规则

这可能很困难。在这些情况下，当可能有见解可以获得，并且除了先前做出的承诺之外没有任何东西可以阻止这种情况时，很难解释用户关系的性质。但重要的是要考虑到用户为了特定目的将数据委托给您，而您（和您的团队）不应将其滥用于其他用途。这里的一个好方法是要求围绕访问用户数据制定一定数量的流程。非常重要的是，避免在每个工作流程中插入强制性的“隐私”组件，以替代真正关心这个问题，因为它很快就会变成每个人都忽略的“复选框”功能（而且没有人喜欢更多的文书工作，尤其是如果它是没有人阅读的文书工作）。

使避免过度扩张成为阻力最小的路径

但是，在这里，您有机会稍微利用官僚主义的烦人性质来为自己谋取利益！如果挖掘现有收集的数据需要填写“隐私请求”，其中新的分析是合理且记录在案的，那么实际上不需要该访问的项目很可能会避免它，以避免官僚主义，或者为了避免在文书工作中被点名。您可能已经制定了有关用户数据安全性的政策：已保存的帐户详细信息受到限制，未经正当理由，员工无法访问。考虑将隐私要求与这些现有政策联系起来。如果在早期阶段将对用户隐私的一些考虑纳入您的流程中，那么这种考虑可以很快成为计划的例行部分。至关重要的是，架构师、开发人员和营销人员不要将隐私保护视为外部强加的繁重限制，而是视为客户关系的核心组成部分。

用替代方案而不是停止能量来反击

在先前的最佳实践到位的情况下，您将仅出于特定且可衡量的目的收集用户数据，并且您的用户群将被告知这些目的并理解它们。但是，您还将拥有大量的用户数据集合，企业通常会寻求将该数据用于与其收集目的不同的原因。您的目标是拒绝这些用途，但重要的是通过提供替代方案来做到这一点。想象一下，您已要求您的用户提供他们所属的年龄段：18-25、25-35、35-50、50+。您这样做是为了衡量不同年龄段购买最多的产品类型，并且您明确告知用户这就是为什么要求他们提供年龄的原因。如果有人随后建议他们可以使用该数据向 25 岁以下的所有用户发送广告电子邮件，那么这就是对现有数据的新增且未声明的用途，因此是不允许的。但您在此处的意图应该是找到一种满足业务需求的方法，而无需将数据用于未声明的目的。如果您在不提出任何替代方案的情况下拒绝这样做，那么用户隐私将开始看起来像是先前警告过的外部强加的限制，而不是您的用户信任您的核心部分。尽可能避免向流程添加停止能量：唯一比光秃秃的“计算机说不”更糟糕的是“内部监管机构说不”。相反，考虑其他方式，您可以在不使用用户的个人数据的情况下实现该目标：也许可以使用购买的产品列表作为向谁发送电子邮件的指南，或者完全避免有针对性的分发。帮助您的团队了解为什么您的用户信任您，以及这种信任的基础是什么，然后帮助他们做他们想做的事情和您的用户想要的事情。让隐私为您服务。

执行

• 要求指定员工提供访问用户数据的（简短、简单的）书面理由。
• 尽早将用户隐私要求添加到您的流程中。
• 避免将隐私问题作为强制性的“复选框”功能添加。
• 强制执行先前定义的数据删除。
• 帮助团队的其他成员了解如何在不损害用户隐私的情况下实现他们的目标。