理解Data protection by design and

虽然说GDPR将Privacy by Design理念很好地嵌入其中，但它的具体要求还是略有些不同的。它在第25条单独提出了对数据保护设计以及默认数据保护的明确要求。作为一个技术人，我们一起看下其中的异同点。

Data Protection by Design

第25.1条是对DP by Design的要求，原文翻译如下

在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的，以及处理给自然人权利与自由带来的伤害可能性与严重性之后，控制者应当在决定处理方式时和决定处理时，应当采取合适的技术与组织措施，并且在处理中整合必要的保障措施，以便符合本条例的要求和保护数据主体的权利。例如，控制者可以采取匿名化，一种设计用来实施数据保护原则——比如数据最小化原则——的措施。

这其中首先明确了DP by Design和Privacy by Design是一样的，它的目的是确保我们在开发新的产品和服务时，在设计阶段就要将隐私保护措施考虑其中，并在开发和运维阶段保障这些措施的有效性。

第二、在进行隐私设计时需要考虑如下因素：

1. 系统的数据处理情况(目的，范围与场景)；

2. 数据处理活动给自然人带来的风险

3. 解决方案的可选项(最新水平)和对应成本；

这三部分内容其刚好是在DPIA的主要内容，也代表着我们要基于DPIA的结果来针对性的选择适宜的安全保障措施。

第三它明确了可用的手段： 需要同时考虑技术措施和组织措施。

Data Protection by Default

既然有了Data Protection by Design，要求在产品/服务设计和运维中要有对应的保护措施，那为什么还单独增加了一个“默认的数据保护”呢。我们先看第25.2条中对DP by Default的要求。

控制者有责任采取适当的技术与组织措施，以保障在默认情况下，只有某个特定处理目的所必要的个人数据被处理。这种责任适用于收集的个人数据的数量、处理的限度，储存的期限以及可访问性。尤其需要注意的是，此类措施必须确保，在默认情况下，如果没有个体介入，个人数据不能为不特定数量的自然人所访问。

从内容来看，其实是对GDPR数据处理原则中“数据最小化”和“目的限制原则”的再次重申，要求在产品与服务中有对应措施保障这两个原则的落地。

同时它要求这些技术和组织措施，是“在默认的情况下”即被激活，也就是说不需要用户干预。象隐私暗黑模式中常见的通过默认勾选，让用户放弃更多个人数据的方式是不符合该款要求的。

除此之外，该条款还进一步对数据最小化原则在数据声明周期中的适用情况做了扩展，它应该覆盖数据采集(采集的数量)，处理阶段(处理的限度)，存储阶段(储存的期限)以及披露阶段(可访问性)。

做个总结：数据保护设计条款要求我们利用DPIA做好产品与服务的隐私设计，它的核心理念和Privacy by Design是一脉相承的。默认数据保护条款是要求在产品和服务中，默认实现全生命周期的“数据最小化”和“目的限制”。一个是对设计原则/决策的要求，一个是对结果(产品/服务功能)的要求。

//特别说明：文中引用的GDPR中文翻译来自于人民大学丁晓东教授的译稿

//其他参考资料： ICO - Guide to The GDPR