Privacy by Design：设计原则

1）为什么需要（目的和领域）

PbD确保默认产品中嵌入隐私而不是顶部"粘贴"。对于iGaming来说，它可以降低监管风险（GDPR/ePrivacy/本地法律），保护弱势用户，增强信任并降低事件成本。覆盖范围：web/mobile，KYC/AML/RG，支付，营销/CRM，分析/DWH，logi/ARM，合作伙伴/供应商。

2）七项原则（以及如何在行动中降落）

1.主动性，非反应性

在发现阶段进行威胁建模（LINDDUN/STRIDE）。
Jira/PR模式中的隐私接受标准。

2.默认隐私（Privacy by Default）

所有营销/个性化拨号器-关闭，直到达成协议。
仅收集"严格要求"默认标识符。

3.隐私嵌入到设计中

PII存储在区域回路（数据驻留）中，控制平面存储在PII中。
服务事件中的密钥令牌/别名化。

4.完整功能（win-win）

"匿名分析"和"同意个性化"模式。
平等的UX，不歧视拒绝跟踪的人。

5.通过生命周期实现安全

在rest/in transit加密；BYOK/HYOK;网络分割；秘密管理。
用于证据和审计的WORM期刊。

6.透明度

简短的策略和"摘要框"关键条件；个人资料中的隐私面板。
报告：谁/什么/何时/为什么可以访问数据。

7.面向用户

简单的文本，没有深色模式，WCAG AA+可用性。
方便的同意反馈和方便的DSAR渠道。

3）角色和RACI

DPO/法规遵从性-PbD政策，DPIA/TRA，风险控制。(A)

Security/Infra Lead-密码学，访问，日志，供应商。(R)

产品/UX-熟食店中的隐私要求，没有黑暗模式。(R)

工程/体系结构-令牌化，tenant/region隔离，API合同。(R)

Data/Analytics-de-PII流水线,PETs,聚合。(R)

法律是法律依据，文本和地方。(C)

Marketing/CRM-同意/支持，诚实的沟通。(R)

内部审计-工件样本，CAPA。(C)

4）数据分类和分类

PII基本：FIO，电子邮件，电话，地址，出生日期，IP/ID设备。
敏感PII：生物识别（自拍/生存），KYC文件，付款详细信息，RG/SE状态。
操作：游戏事件,logi/traces（默认情况下为无PII）。
营销/分析：cookies/SDK ID（经同意）。

规则：最小化，分离存储，明确目的和保留期。

5）数据生命周期（Data Lifecycle）

1.收集只是必要的字段；SMR/同意；年龄检查。
2.传输是TLS 1。2 +/mTLS，webhook签名，区域路由。
3.存储-加密、令牌化、密钥旋转、市场隔离。
4.用法是RBAC/ABAC，"需要知道"，用于分析的PET。
5.交换-DPA/SCC，最小集合，可审核通道。
6.Retence/Remove-按类别排列的期限；级联删除乔布；加密删除档桉。
7.报告/审计-访问和导出日志,DPIA/DSAR工件。

6）DPIA/TRA（如何简短）

触发因素：新的PII类别，特殊类别，新供应商，跨境转移，高风险的RG/生物识别。
DPIA模板：目标→数据类别→法律依据→流/映射→风险→措施（tes/org） →剩余风险→解决方桉。
工件：线程图，字段列表，风险表，批准协议。

7） PbD建筑模式

Tenant/Region Isolation：物理/逻辑数据库隔离，密钥和秘密。
控制vs数据平面：全球控制-无PII；PII仅在本地。
De-PII管道：在出口到DWH之前-哈希/盐，截断，k 匿名/cohoration。
Tokenization Gateway：代币代替服务总线中的主ID。
Edge no PII：CDN/edge缓存-仅公开内容。
Fail-Closed：未知的"player_region" →禁止PII操作。

8）技术措施和标准

加密： AES-256/GCM at rest；TLS 1.2+/1.3;PFS.

键：KMS，BYOK/HYOK，轮换，HSM角色访问，关键操作日志。
访问：RBAC/ABAC，JIT访问，分离管理角色和审计角色。
期刊：不可变（WORM），哈希链，区域存储。
DevSecOps：Vault的秘密，SAST/DAST，linter PII字段，CI的隐私测试。
测试数据：默认合成；如果re-department是de标识和简短的回避。

9) PETs (Privacy-Enhancing Technologies)

别名：用令牌替换ID；Key-Map是单独存储的。
匿名：聚合，k- anonimnost/ℓ-多元化，bining/cohorts。
差分隐私：报告上的噪音，"privacy budget"。
联合分析：局部模型,仅输出权重/聚合物。
掩码/修订版本：删除EXIF,在KYC文档中设置字段。

10）没有黑暗模式的UX

"拒绝全部"/"接受全部"/"自定义"的同等可见性。
可理解的目标文本和数据使用的示例。
拒绝个性化不会损害基本体验。
1-2点击的隐私面板；AA+的可用性。

11）供应商和数据传输

供应商注册表：DC辖区，子处理器，认证，存储区域，DPA/SCC/IDTA。
"最低设置"策略：只有正确的字段,禁止自由出口。
更改位置/子处理器时通知和修订。

12）数据和事件（最小模型）

data_asset{id, category{KYC    PCI    RG    CRM    LOG    ANON}, region, owner, retention_days, lawful_basis, pii{yes/no}}
processing_event{id, actor, purpose, lawful_basis, started_at, ended_at, records_count, export{yes/no, basis_id}}
access_log{id, subject_id_hash, actor, action{read/write/export/delete}, ts_utc, reason, ticket_id}
erasure_job{id, subject_id_hash, scope, started_at, completed_at, evidence_id}

13） KPI/KRI和dashboard PbD

PII最小化指数（每个字节的平均PII字段数）。
Residency Coverage（在正确区域中记录的百分比）。
出口保证率（参考基础的出口数量）。
DSAR SLA（执行中位/精度）。
Tag Firing Violations（未经同意的标签）。
Auditability Score（具有完整工件包的案例的百分比）。
Incidents/Findings（重复的审计/监管评论）。

14）支票单

A. fici开发前（设计）

• 确定了处理目的和法律依据。
• 数据图和标有PII/敏感字段的列表。
• DPIA/TRA执行；接受残余风险。
• 考虑了"匿名模式"或具有最小数据模式。

B.发布前（构建/发布）

• 管理员中的秘密,密码/加密配置。
• 没有PII的Logi；包括事件和审计。
• 区域路由和保留政策是活跃的。
• 测试：consent-gate, deny-by-default标签,erasure路径。

C.在操作中

• 季度的供应和出口评论。
• 监测火灾违规和跨境查询。
• DSAR/删除按时执行；文物被保存。

15）模板（快速插入）

A）DPIA模板（简称）

B）字段最小化策略

C） Clause with vendor （PbD承诺）

D）对DSAR的响应（摘录）

16）频繁的错误以及如何避免错误

"以防万一"收集。→最小化策略+修改电路代码。
APM中带有PII的原始日志。→代理上的蒙面/编辑，本地存储。
带有PII的全球DWH。→仅de-PII聚合/别名。
没有DPIA/consent工件。→ WORM存储库、UI自动快照/文本。
未注册的供应商/SDK。→季度注册表，禁止"灰色"连接。

17）30天实施计划

第一周

1.批准PbD策略和DPIA/TRA模板。
2.在关键区域（KYC/PCI/RG/CRM/Logi）上构建数据/流映射。
3.划定区域边界（EU/UK/……）；定义密钥模型（BYOK/HYOK）。

第二周

4） 启用标记化/de-PII流水线和标记的deny-by-default。
5）设置WORM日志（访问/导出/同意/删除）。
6）更新供应商合同（DPA/SCC，位置，子处理器）。

第3周

7）在CI中实施隐私测试（linter PII，CMP屏幕定位，erasure-E2E）。
8）配置文件中隐私面板的发布；改进文本和位置。
9）进行团队培训（Product/Eng/Data/CS/Legal）。

第四周

10）进行DPIA顶级比赛，关闭CAPA。
11）运行KPI/KRI（Residency，Exports，DSAR SLA）行车记录仪。
12）计划v1。1：diff。报告的隐私，联邦管道。

18）相互关联的部分

GDPR： 用户同意管理/Cookie和CMP政策

跨辖区数据本地化

年龄检查和年龄过滤器

AML/KYC和文物存储

Dashboard complians和监控/监管报告

内部/外部审计和审计清单

BCP/DRP/加密恢复和运输