数据最小化的四个维度

我们在设计产品或服务时，习惯是尽可能多的收集用户信息，主要的考虑是两点。一是数据存储成本在云时代变得非常低廉，二是随着数据挖掘技术的提升，用户数据的价值越来越高。但随着隐私法规的推出，数据最小化成为了个人数据处理的核心原则，需要我们在产品/服务开发过程中遵守。

数据最小化不仅仅是代表着减少不不要的个人数据收集，它包含了四个不同维度的要求

一、个人数据收集范围

我们采集的个人数据从种类/类型/粒度/频率等方面都需要匹配数据处理的目的。如果更粗粒度的数据已经能满足要求，就不应该采集细粒度数据。

例如为了分析用户来源的省市分布，要求用户输入详细地址或调用GPS获取用户精确地址；或者是高频调用用户设备GPS权限获取用户粗略位置，都超过了满足目的所必需的数据采集范围。

二、数据处理的程度

数据处理行为必须限定在必需范围内，很多时候多个处理动作是为了同一处理目的，不代表着能对该数据进行所有类型/频率的数据处理。数据处理者要控制目的边界，不能超过数据主体的合理期待。

例如：为了提升用户访问网站的体验，提供个性化内容与服务，而采集用户设备信息有一定合理性，但基于用户的设备情况做人群画像，为ios和andriod用户提供不同的内容和服务就超过了处理的必要范围。

三、数据存储期限

如果个人数据的使用没有合法性基础，不能存储个人数据。同时，需要限定数据存储的期限为满足处理目的所必需，当该目的已完成或者是该目的已经不再存在，那收集的个人数据应该默认被删除或匿名化。我们应该确保有自动化的机制，来实现对达到数据存储期限的个人数据进行删除或匿名化。

例如：门禁系统进行人脸识别时，再将人脸信息转化为特征数据后，应该立即删除人脸图片数据，因为处理目的已实现。

四、数据的可访问性

产品中对个人数据访问有严格的限制措施和控制机制，数据的访问控制要符合“知其必需”原则。

在没有数据主体干预的情况下，不能将个人数据进行公开披露。这里的干预措施包括事前获取用户的同意，也包括为用户提供选项可以自己控制是否开放。

遵循数据最小化原则，既能减少攻击面，控制数据泄露风险；也能通过实现数据处理方式符合用户隐私期望，来加强和用户之间的信任。

参考资料：

EDPB-Guidelines 4/2019 on Article 25-Data Protection by Design and by Default