디자인 별 프라이버시

디자인 별 개인 정보 보호 (GDPR)

1) 무엇에 관한 이유와 이유

PBD (Privacy by Design) 는 비즈니스 요구 사항, 아키텍처, 코드, 프로세스 및 운영에서 처음부터 제품에 개인 정보가 포함되는 원칙입니다. GDPR의 관점에서, 이것은 "설계 및 기본적으로 개인 정보 보호" 에 나타납니다 (수수료를 최소화하면 기본 설정은 가능한 한 개인적이며 투명성과 책임감).

• 개인 데이터 (PD) 의 수집 및 처리를 최소화하십시오.
• 합법성, 투명성, 정확성, 목표 제한 및 마감일을 확인하십시오.
• 위험 (기술 및 법률) 을 줄이고 감사를 단순화하며 규정 준수를 입증하십시오.

2) GDPR 역할, 법적 틀과 원칙

2. 역할 1 개

컨트롤러는 처리 목표/수단을 정의합니다.

프로세서-프로세스는 DPA 계약에 따라 컨트롤러를 대신하여 개인 데이터를 처리합니다

데이터 주제: 개인 데이터가 속한 개인.
DPO (데이터 보호 책임자): 주문형-독립적 인 모니터링 및 상담.

2. 2 가지 법적 근거 (선택 및 문서)

동의, 계약, 정당한 이익, 법적 의무, 중요한 이익, 공공 업무. 각 목표-목표, 데이터, 보존, 취소 (동의).

2. 3 처리 원칙 (Art 5)

합법성, 공정성, 투명성

목표 제한

데이터 최소화

정확성

스토리지 제한

무결성과 기밀 유지

책임-규정 준수 증명 기능.

3) SDLC의 PbD 프로세스 (참조 프레임 워크)

1. 개시: 처리 목표 및 법적 근거 공식, 데이터 소유자 할당 및 DPO 포인트.
2. 데이터 매핑 (데이터 매핑): 소스 → 필드 → 기밀 모델 → 여기서 흐름을 읽는 사람 → 가 저장된 곳 → 항입니다.
3. 위험 평가/DPIA: 개인 정보 보호 위협, 영향 평가, 완화 조치에 대한 LINDDUN 모델.
4. 건축 솔루션: 최소화, 가명, 암호화, 구별 체계 선택.
5. UX/동의/알림 요구 사항: 명확한 텍스트, 세분화 된 동의, 기본 설정.
6. 구현: 개인 채무 불이행, 보안 원격 측정, 비밀 로깅/PII.
7. 검증: 개인 정보 보호 테스트, 정적 분석, 개인 장치 테스트, DPIA 프로토콜.
8. 운영: DSAR 프로세스, 보존 및 처리, 사고 모니터링, 공급 업체 검토.
9. 정기적 인 검토: 목표/기술을 변경할 때 다시 DPIA.

4) 엔지니어링 PbD 패턴

4. 1 최소화 및 분해

필요한 필드 만 수집하십시오. 프로그레시브 프로파일 링을

별도의 ID 및 컨텐츠: 링크 키를 별도로 저장합니다 (토큰/참조).

4. 2 노출 및 익명화

앨리어싱-실제 ID를 별도로 저장하십시오. 작업 계층은 토큰을 봅니다.
익명 화: k- 익명 성, l- 다양성, t- 폐쇄; 분석 용 - 차등 개인 정보 보호 (λ- 예산).

4. 3 액세스 제어 및 역할 분리

PoLP, ABAC/RBAC, 업무 분리, 관리자 및 분석가를위한 별도의 윤곽.
그것들. 측정: mSL, SSO/OIDC, 범위가 지정된 토큰, 개인 데이터에 대한 액세스를위한 임시 계정.

4. 4 암호화 및 격리

대중 교통: TLS 1. 3/mTLS; 휴식 시간: AEAD/Envelope + KMS/HSM.
테넌트/데이터 세트에 대한 별도의 키; "잊을 권리" 에 대한 암호화 삭제.

4. 5 유지 및 제거

필드/목표 당 명시 적 TTL 정책; 파이프 라인의 자동 퍼지; "2 상" 삭제 (논리 → 물리적).
백업의 경우 개인 스냅 샷을위한 별도의 키 및 짧은 저장 창이 있습니다.

4. 6 개인 원격 측정 및 로깅

기본값은 PII가 아닙니다. 소금으로 토큰/해싱을 사용하십시오.
생산자의 민감한 필드의 마스킹/토큰 화.

4. 7 UX 개인 정보 보호 및 동의

카테고리 별 세분화 동의 (분석, 마케팅, 개인화).

"개인 채무 불이행": 모든 것이 중요하지 않습니다. 합의 될 때까지 꺼졌습니다

새로 사용할 때 "동의 철회" 및 적시 알림 옵션을 지우십시오.

5) DPIA 및 LINDDUN (짧은)

DPIA (데이터 보호 영향 평가): 고위험 (대규모 모니터링, 평가, 신기술) 에 필요합니다. 처리, 필요성/비례 성, 위험 평가, 완화 조치에 대한 설명으로 구성됩니다.
LINDDUN 각 위협-대책 (최소화, 가명, DP, 투명성, 동의 관리, 감사).

6) 국경 간 이동

공급 업체 저장/액세스 위치를 식별합니다

SCC (표준 계약 조항) 를 사용하고 이전 영향 평가를 수행하십시오.
기술 측정: 엔드 투 엔드 암호화, 특히 민감한 데이터에 대한 클라이언트 암호화, 원격 액세스 제한.

7) 공급 업체 및 프로세서 (공급 업체 관리)

DPA/중첩 프로세서, 기술 및 조직 측정, 하위 프로세서-통제됩니다.
정기적 인 검토 및 감사; 검사 권리; 데이터 수출 계획.

8) 데이터 주제 권리 (DSAR)

AADM (프로파일 링/자동화) 개체가 아닌 액세스, 치료, 삭제, 제한, 이식성, 이의 제기.
SLA 및 자동화: 추적, 식별 증명, 응답 로그 요청.
제품의 기술적 고리: ID에 의한 빠른 검색 및 수출; 보존에 의한 캐스케이드 제거.

9) 자동 솔루션 및 프로파일 링 (Art 22)

인간의 개입, 설명 불가능, 징후의 투명성에 대한 권리를 보장하기 위해 "중요한 영향" 을 가진 결정이 자동으로 이루어지는 경우.
로그 경로 및 모델 버전 지정; 항소 메커니즘.

10) 처리 보안 (Art 32) 및 사건 (Art 33/34)

위험 지향 측정: 암호화, 무결성, 탄력성, 복구 계획 (RTO/RPO).
PD 사고: → 심사 감지 프로세스 → 위험 평가 → 규제 기관의 알림은 72 시간 (필요한 경우) 및 피험자 (위험이 높은 경우) 입니다.
별도의 플레이 북, DPO/변호사 연락처 목록, 알림 템플릿.

11) 개인 정보 보호 및 ML/분석

데이터 거버넌스 세트: 데이터 라인, 라이센스/근거, 동의.
기술: 차등 개인 정보 보호, 연합 학습, 안전한 집계, 기능 최소화.
공격으로부터의 보호: 멤버십/모델 반전-정기적 인 누출 평가, 지정 설정, 노이즈/클립.
합성 데이터-사람의 복원이 없는지 확인한 경우에만 가능합니다.

12) 건축 다이어그램 (패턴)

12. 1 "듀얼 루프" ID 아키텍처

루프 A (PDS-개인 데이터 저장소): 실제 식별 데이터 (RID), 액세스-엄격히 제한됨, 키/암호화/감사.
개요 B (운영): 토큰이있는 비즈니스 데이터; 한계 및 감사가있는 토큰 브로커를 통한 커뮤니케이션.

12. 동의 서비스 2 개

동의 버전과 이력을 저장하는 중앙 집중식 서비스.
SDK: 'can _ use (카테고리, 목적)' -즉석에서 해결됩니다. 모든 것이 기록됩니다.

12. 3 코드로 유지 정책

YAML 설정-엔터티 → 필드 → TTL → 만료 조치 (Anonymize/Delete/Coarse).
스케줄러는 작업을 수행하며보고는 DPO에 제공됩니다.

13) 미니 레시피

def collect(field, purpose):
if not is_required(field, purpose):
return None # do not collect v = read_input (field)
return truncate(v, policy. max_length(field))

yaml dataset: users fields:
email: { ttl: P18M, on_expire: pseudonymize }
phone: { ttl: P12M, on_expire: delete }
session_logs: { ttl: P3M, on_expire: aggregate }
consent: { ttl: P7Y, on_expire: archive }

analytics:
default: deny legal_basis: consent scope: anonymous_metrics marketing:
default: deny legal_basis: consent scope: email,push

GET /privacy/export? subject_id=... -> zip:
- profile. json (metadata, legal basis)
- activity. ndjson (events, aggregates)
- consents. json (consent history)
- processors. json (list of processors and transfers)

14) 문서 및 책임

ROPA (처리 활동 기록) - 운영 등록: 목적, 법적 근거, 데이터/주제 범주, 전송, 보존 기간, 측정.
정책: 개인 정보 보호, 쿠키, 제품의 정보 알림 (일반 언어).
직원 교육 및 연례 검토.

15) 빈번한 오류

"만일의 경우" 를 수집하고 "영원히" 보관하십시오.
계약/합법적 이익이 적절하지만 단독 근거로 동의합니다.
실제 스위치가없는 "빈" 쿠키 배너.

데이터 매핑이없고 DSAR에 대한 준비가되지 않았습니다

PII, 보호되지 않은 백업, REED 및 운영 데이터가 포함 된 로그.
공급 업체 및 국경 간 이체를 통제 할 수 없습니다.

16) 점검표

• 처리 목적과 법적 근거가 결정됩니다. ROPA에 의해 업데이트되었습니다.
• 데이터 매핑 및 DPIA가 수행되었습니다 (필요한 경우).
• 최소화, 앨리어싱, 암호화 (경로/휴식 중).
• 명확한 UX와 동의는 세분화되어 있습니다. 기본값은 비공개입니다.
• 보존 정책을 코드로 설정했습니다. 삭제/익명화가 확인되었습니다.
• 로그/원격 측정 - PII 없음; 마스킹이 활성화되었습니다
• DSAR 후크 및 수출 준비.
• 팀 교육 및 DPO 승인이 완료되었습니다.

• 보류 및 법적 근거에 대한 분기 별 검토.
• 정기 프로세서/서브 프로세서 감사.
• 사고 모니터링 및 알림 준비 시간
• 프로세스/기술 변경으로 DPIA의 개정.
• 규정 준수 아티팩트 저장 (DPIA, ROPA, 테스트 보고서).

17) FAQ

Q: 동의에서 완전히 "도망 칠" 수 있습니까?
A: 때때로 그렇습니다 (계약/법적 의무/법적 이익). 그러나 엄격히 필요할 때와 이해 관계의 균형을 평가하는 경우에만 가능합니다. 마케팅 및 비판적 분석-대부분 동의가 필요합니다.

Q: 충분히 앨리어싱하고 있습니까?
A: 아니요, 여전히 개인 데이터입니다. GDPR 영역을 빠져 나가려면 안정적인 익명화가 필요합니다 (다시 식별 할 수 없는지 확인).

Q: ML 및 개인화는 어떻습니까?
A: 기능을 최소화하고, DP/연합 접근 방식을 사용하고, 의사 결정을 기록하고, 인간의 개입과 비 프로파일 링에 대한 권리를 보장하십시오.

Q: 비즈니스 및 개인 정보 보호가 충돌 할 때 어떻게해야합

A: 컬렉션 재 설계 (프로그레시브 프로파일 링), 집계/합성으로 전환, 법적 근거 재평가, 추적없이 옵션 제공.

• "비밀 관리"
• "휴식 암호화 중"
• "대중 교통 암호화"
• "감사 및 불변의 통나무"
• "서명 및 확인 요청"
• "키 관리 및 회전"