译　者　序

在全球化、数字化的浪潮中，我国正在积极拥抱以新质生产力和数据要素为核心的数字经济时代，这不仅体现在日益完善的互联网基础架构上，更加体现在我们日常生活的方方面面。数字化转型已成为我国经济发展的重要驱动力，助力我国实现更加高效、更加便捷、更加智能的生产和生活方式。

数字化变革在带来前所未有的便利与创新的同时，也伴随着一系列的风险与挑战。其中，数据安全和隐私保护问题尤为突出，目前，这两个方面已成为数字化进程中亟待解决的关键问题。随着人工智能、大数据、工业互联网、移动互联网、云计算、边缘计算等技术的广泛运用，个人信息和敏感数据的收集、存储、传输、交换、发布和处理等活动愈发普遍。然而，组织往往面临着滥用、泄露或者非法获取数据的风险，这严重侵犯了用户的个人隐私，甚至可能严重影响国家安全和社会稳定。

近十年来，业界发生了多起大规模数据泄露事故，这些事故向人们揭示了数据安全和隐私保护的重要性，例如：

1. Instagram 用户数据泄露事故：2026 年， Instagram社交平台发生了大规模数据泄露事件，暗网论坛公开了高达 1750 万条全球用户的敏感数据，覆盖 20 多个国家和地区。泄露的信息包括用户名、物理地址、电话号码、电子邮件地址等个人核心身份信息，相关数据在短时间内被大量下载传播。这一事故引发了全球用户对隐私安全的恐慌。

2. Under Armour 数据泄露事故：2025 年，美国运动品牌 Under Armour 遭勒索软件组织入侵，发生重大数据泄露事故，总计超 1.9 亿条记录外泄，涉及 7272 万条客户及员工个人信息。泄露的信息包括姓名、电子邮件地址、电话号码、家庭住址、性别、出生日期、购买历史、地理位置等敏感信息，同时还包含大量企业内部核心商业数据。

3. 韩国 SK Telecom 数据泄露事故：2025 年，韩国最大移动运营商 SK Telecom 发生严重数据泄露事故，黑客通过植入恶意代码窃取服务器数据，造成约 9.82 GB 用户核心数据外泄，影响韩国近 2700 万用户(几乎覆盖其全部移动用户)。泄露的信息包括用户识别码 (IMSI)、USIM 身份认证密钥等核心敏感信息，黑客早在 2022 年就已植入恶意代码，隐患潜伏长达 3 年。

4. TransUnion 数据泄露事故：2025 年，全球知名征信机构 TransUnion 发生数据泄露事件，攻击者通过入侵第三方应用程序侵入其系统，波及约 440 万用户。泄露的信息包括用户全名、身份标识信息、社会安全号码等高度敏感的身份数据。该事故暴露了第三方权限管理带来的数据安全风险。

5. LastPass 数据泄露事故：2022 年，知名密码管理器服务商 LastPass 发生重大数据泄露事故，因安全防护体系存在漏洞，黑客入侵了开发人员及高管的设备，窃取了约 160 万用户的核心数据。泄露的信息包括用户姓名、电子邮件、电话号码，以及加密密码库备份。该事故给用户的全平台账户安全带来了极大隐患。

6. Socialarks 数据泄露事故：2021 年，海外初创公司 Socialarks 因数据库配置错误发生了超大规模数据泄露，408 GB 的数据无防护地对外暴露，影响全球超过 3.18 亿用户。泄露的信息涵盖 Instagram、LinkedIn 等多个主流社交平台的用户姓名、联系方式、社交账号信息、地理位置等个人敏感数据，是当年影响范围最广的数据泄露事故之一。

7. 非法 “社工库” 网络 “开盒” 侵犯公民个人信息案：2025—2026 年，北京公安网安部门破获一起重大侵犯公民个人信息案件，犯罪嫌疑人非法获取海量公民个人信息，搭建 “社工库” 网站，非法提供公民个人信息 1000 余次，对社会热点案件相关人员实施网络 “开盒”，网站访问量达 30 余万人次。泄露及非法传播的信息包括公民姓名、身份证号码、家庭住址、联系方式、行踪轨迹等核心隐私信息，涉案的 5 名被告人最终被判处一年六个月至七年不等的有期徒刑。

8. 虚假招聘骗取求职者个人信息泄露案：2024 年，吉林长春公安机关侦破一起大规模侵犯公民个人信息案件，犯罪团伙通过伪造工商营业执照，在招聘网站发布虚假招聘信息，骗取海量求职者简历并将其出售给电信网络诈骗团伙牟利。此次事件导致数十万条求职者个人信息外泄，泄露的信息包括求职者姓名、身份证号码、联系方式、学历背景、工作经历、家庭情况等敏感信息，涉案的27名犯罪嫌疑人被全部抓获。 

9. Facebook数据泄露事故：2018年，Facebook遭受了一次大规模的数据泄露事故，导致5000万用户的个人信息被泄露。泄露的信息包括姓名、电话号码、电子邮件地址和搜索历史记录等。

10. Equifax数据泄露事故：2017年，信用报告机构Equifax发生了一起数据泄露事故，导致1.43亿人的个人信息失窃。泄露的信息包括姓名、社会保障号码、出生日期、地址和驾驶证号码等。

11. Uber数据泄露事故：2016年，运输服务公司Uber发生了一起数据泄露事故，导致5700万用户的个人信息和司机的个人信息失窃。泄露的信息包括姓名、电子邮件地址和电话号码等。

12. 美国人事管理办公室(OPM)数据泄露事故：2015年，美国联邦人事管理局逾400万条有关前任、现任联邦雇员的个人记录资料遭泄露。泄露的信息包括社会保障号码、住址、教育背景等。

13. 健身追踪应用程序Strava数据泄露事故：因为Strava具有记录用户运动轨迹并分享给其他用户的功能，所以导致外部人员可以通过美军人员的运动数据获取美军敏感信息，包括美国某军事基地的物理位置和人员活动情况。

14. 纽约时报通过手机上的应用程序跟踪美国总统行踪事故：据报道，纽约时报曾经使用一款手机应用程序追踪美国总统的物理位置和活动情况。该手机应用程序通过收集和分析手机信号数据，可以精确定位用户的物理位置和行动轨迹，这进一步引发了隐私和国家安全的争议。

上述案例都在提醒我们，在数字化与互联网技术迅猛发展的时代背景下，隐私保护问题显得愈发重要和紧迫。个人隐私数据的泄露与滥用不仅威胁到个人的日常生活，还会对社会的稳定与和谐造成潜在威胁。

当前，隐私保护面临着来自法律、社会、技术、伦理和经济等多方面的挑战。为了应对这些新型挑战，组织和个人需要采取综合性的措施，包括完善法律法规、提高公众意识、加强技术研发、强化企业自律等。只有通过全社会的共同努力和协作，才能有效保护个人隐私，维护社会的稳定与和谐。

近年来，全球范围内对于隐私保护法律法规的修订和加强趋势明显增长，各国政府已经或者正在陆续出台更加严格的法律法规监管合规要求以保护个人隐私，进而平衡个人隐私权益与社会公共利益之间的关系。例如，《欧盟通用数据保护条例》(GDPR)自2018年生效以来，为全球隐私保护树立了新的标杆，GDPR不仅要求组织严格保护用户数据，还规定了高额的罚款制度，以强化组织对于隐私保护的重视程度；美国加州于2020年通过了《加州消费方隐私法案》(CCPA)，要求组织向消费方提供更为透明的数据收集和信息使用情况；我国于2021年开始陆续颁布了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，明确了数据处理活动的安全要求和个人信息保护的基本原则。隐私工程方面的法律法规监管合规要求和法律诉讼体系日益更新完善，不仅体现了各国政府对于隐私保护问题的重视，也为全球隐私保护法律体系的完善提供了有力支持。

随着公众不断地深入理解隐私问题，人们将更加注重保护自己的隐私。这可能会促使组织更加关注用户隐私，提供更加安全、透明的产品和服务。

隐私保护是一个涵盖广泛领域的议题，其核心在于确保个人数据的安全、保密和合法使用。为了实现这一目标，数据治理的概念和技术保护手段也发挥着至关重要的作用。通过制定明确的数据治理策略和运用先进的技术保护手段(例如，加密技术、匿名化技术、标识化技术、差分隐私技术等)，组织可以更加完善地管理和保护个人数据，从而实现有效保护个人隐私的目标。目前，有些组织已经开始积极探索，开展隐私保护实践工作，这既提高了产品的用户体验，又保护了用户的隐私，实现了双赢的局面。隐私保护领域的众多实践案例，能够为组织提供更好的隐私保护服务，使其不再需要从零开始实施隐私保护工作。

在保护个人隐私的同时，也需要考虑数据的利用价值。未来，我们可能会进行更多的探索，进一步研究如何在保护个人隐私的同时，最大化利用数据。

 总之，随着信息技术的飞速发展，隐私保护的重要性与紧迫性日益凸显。在数字化时代，个人隐私信息已成为一种重要的资产，不仅关乎个人权益，更与国家安全、社会稳定息息相关。隐私保护的全面解决方案需要我们从多个方面入手，不断完善和更新法律法规、研究隐私保护技术、探索实践案例，以及关注未来发展趋势。只有这样，我们才能在保护个人隐私的同时，推动社会的可持续发展。

为此，清华大学出版社引进并主持翻译了Data Privacy：A runbook for engineers(中文书名为《隐私数据保护实践》)一书，全书内容分为四大部分，共11章。具体内容介绍如下：

第Ⅰ部分，主要介绍数据隐私的基本概念、起源与发展，以及数据隐私对组织业务的影响。其中，第1章介绍数据隐私的含义、发展和演变、对组织业务的影响，以及部分隐私工具。第2章探讨隐私保护及其内涵、隐私保护工作的开展情况对组织业务的影响结果、隐私监管和隐私计划等内容。

第Ⅱ部分，主要讲解数据治理基本概念，为隐私工程师提供将隐私保护嵌入数据活动中的实践技能。其中，第3章介绍数据分类分级的实现流程，并提供部分示例帮助隐私工程师培养在工作中的执行能力和惯性思维模式。第4章深入研究数据清单流程，通过构建一套系统，以人工和智能分类相结合的方式实现数据的盘点和索引。第5章探讨数据共享的情况和原因，介绍匿名化数据收集和度量隐私影响的技术。

第Ⅲ部分，主要基于数据治理提出相应的技术解决方案。其中，第6章介绍隐私审查，包括隐私审查的含义、职责划分、两种隐私审查方式，以及部分隐私审查示例。第7章探讨数据删除的含义、流程，以及如何删除不同类型的数据。第8章主要研究数据主体访问请求，包括数据主体访问请求的含义、实现流程、自动化，以及定制化实现等。

第Ⅳ部分，主要介绍可能导致隐私损害的安全漏洞、隐私工作成熟度等相关方面的内容。其中，第9章提供用户“同意管理平台”的样本设计，以满足监管机构及组织自身的强制要求。第10章深入研究安全事故案例，分析产生的影响并提出补救措施。第11章设计隐私计划成熟度模型，帮助组织扩展隐私保护能力。

本书的翻译工作历时十个月圆满完成。在翻译过程中，译者团队力求忠于原著，尽可能精准传达作者的原意，使译文贴近数据安全和隐私保护实务的要求，确保内容表达准确、一致且连贯。由于原文涉猎领域广泛，内容包含诸多技术难点，数据安全人才之家(Data Security Talent Home，DSTH)技术委员会在本书译校过程中为我们提供了高效且专业的解答，在此，谨向数据安全人才之家(DSTH)技术委员会及广大会员的参与、支持和帮助致以衷心感谢。本书的顺利付梓，离不开所有参与翻译、校对工作的专家们的辛勤付出；同时也感谢各位参与校对的安全专家，他们为译文内容的表达一致性与文字流畅性筑牢了基础。

在此，感谢本书的审校单位——深圳益诚法律服务有限公司(以下简称“益诚法律服务”)。作为一家在数字科技风险和传统法律领域具有专业深厚积淀的专业法律服务机构，益诚法律服务凭借对数字化业务、数据资产价值应用、数据安全与个人信息保护、知识产权保护的深入理解，贴近实务的服务团队以及高效协同的工作机制，致力于为客户提供清晰、务实且可操作的全生命周期法律支撑服务。在提供数字科技风险咨询与顾问、数据合规服务、个人信息保护合规服务、数据出入境合规服务、常年顾问、信贷流程、零售金融、资产处置、产品合规、同业合作及纠纷化解等领域，益诚法律服务积累了扎实的实务能力。益诚法律服务为金融、医疗、建筑、能源、科研院校、智能制造、集团企业等客户群体，提供涵盖日常咨询、合同审查、流程合规、风险排查、债权维护及专项培训等全方位、响应式的法律服务，其核心在于协助客户控制运营风险、保障业务合规推进并维护合法权益。益诚法律服务配备了熟悉数字化和传统业务的专职服务团队，以其专注、及时、稳健的服务，为客户业务的平稳开展与风险防控提供了持续有效的法律支持。在本书的译校过程中，益诚法律服务投入了多名专家助力本书的译校工作。

同时，还要感谢本书的组织支撑单位——上海珪梵科技有限公司(以下简称“上海珪梵”)。上海珪梵是一家集数字化转型、数字化软件技术与数字科技风险于一体的专业服务机构，专注于数字化、数据化、软件技术与数字安全领域的研究与实践，并提供数字化转型、数字科技建设、数字安全规划与建设、软件研发技术、网络安全技术、数据与数据安全治理、软件项目造价、数据安全审计、信息系统审计、人工智能安全、数字安全与数据安全人才培养与评价等服务。上海珪梵是数据安全人才培养运营中心单位。在本书的译校过程中，上海珪梵投入了多名专家助力本书的译校工作。

此外，还要感谢本书的技术支撑单位——北京金联融科技有限公司(以下简称“北京金联融”)。北京金联融是一家集数字化软件技术与数字安全于一体的专业服务机构，凭借现代化的企业管理手段与高效的团队，不断发挥自身优势和整合行业资源，利用丰富的技术经验，专注于双碳产业、数字化软件技术与数字安全领域的研究与实践，为党政机关、大型国有企业、银行保险机构、大型民营企业等客户群体提供数字经济建设、数字安全规划与建设、网络安全技术、数据安全治理、软件造价评估和信息系统审计等项目，以帮助客户实现管理目标以及以数字资产价值交付为核心的、全方位的、定制化的专业服务。北京金联融是数据安全品牌的全国授权招生单位。在本书的译校过程中，金联融投入了多名人员助力本书的译校工作。

在此，一并感谢中国科学院南昌高新技术产业协同创新研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国卫生信息与健康医疗大数据学会信息及应用安全防护分会、数据安全关键技术与产业应用评价工业和信息化部重点实验室、中国计算机行业协会网络和数据安全专业委员会、江西首赞科技有限公司、河北新数科技有限公司、江西立赞科技有限公司、北京泓博智睿教育科技有限公司、广东信证数字科技有限公司、天津信诺天和数字技术有限公司、深圳信诺天和科技有限公司在本书译校工作中给予的大力支持。

最后，再次感谢清华大学出版社和王军等编辑的严格把关，悉心指导，正是有了他们的辛勤付出和努力，才有了本书中文译本的出版发行。

隐私保护技术这一新兴领域正在快速发展，本书涉及多个横向和纵向专业领域，内容涉猎广泛，且相关术语体系复杂且难于辨析。因译者能力局限，在翻译过程中难免有错误或不妥之处，恳请广大读者朋友批评指正。

译 者 简 介

牛承伟，获得中南大学工商管理专业管理学硕士学位，持有注册数据安全审计师(CDSA)、CISP等认证。现任技术经理职务，负责云计算、云安全、数据安全、虚拟化运维安全、基础架构和资产安全等工作。牛承伟先生负责本书第1~11章的翻译和校对工作。

王文娟，获得中国防卫科技学院信息安全专业工学学士学位，持有CISP、CISA等认证。负责全集团网络安全体系建设及安全管理审查等工作。王文娟女士承担本书前言、封面的翻译工作以及所有章节的校对工作。

栾浩，获得美国天普大学IT审计与网络安全专业理学硕士学位，马来亚-威尔士大学(UMW)计算机科学专业博士研究生(人工智能研究和数据分析方向)，中级工程师，持有CISSP、CISA、注册数据安全审计师(CDSA)、CISP、CISP-A和TOGAF等认证证书，曾供职于思科中国、东方希望集团、华维资产集团、京东集团、包商银行等企业，历任软件研发工程师、安全技术工程师、安全架构师、CTO\CISO职位，现担任CTO职务，并担任中国卫生信息与健康医疗大数据学会信息及应用安全防护分会委员、中国计算机行业协会网络和数据安全产业专家委员会专家、中关村华安关键信息基础设施安全保护联盟团体标准管理委员会委员、DAC全球数据资产理事会专家、数据安全人才之家(DSTH)技术委员会委员、海南省大数据产业联盟专家委员会专家，负责绿碳环保业务的培训与咨询；数转智改建设、数字安全治理、人工智能安全治理、数据安全治理与审计、个人隐私保护；安全赋能项目的架构咨询、安全技术与运营、信息化3+1体系建设、IT审计和人才培养等工作。栾浩先生是本书翻译工作的总技术负责人，统筹全书的翻译、校对和定稿工作，并负责全书术语表的确认工作。

高崇明，获得解放军信息工程大学信号与信息处理专业工学硕士学位，高级工程师。持有CISP-PTE、CISP和商用密码应用安全性评估等认证。担任总工程师职务，负责信息安全评估、商用密码应用、电子认证技术、数字证书应用、密码应用安全性评估等工作。高崇明先生承担本书部分章节的校对工作。

赵超杰，获得燕京理工学院计算机科学与技术专业工学学士学位，持有注册数据安全审计师(CDSA)、DSTP-1等认证。现任安全技术经理职务，负责数字化转型过程中的数字科技风险治理、数据安全管理、渗透测试、攻防演平台研发、安全评估与审计、安全教育培训、数据安全课程研发等工作。赵超杰先生担任本书项目经理，负责前言、封面的翻译工作，并为本书撰写了译者序。

王宜娟，获得湖南湘潭大学法学学士学位，持有法律职业资格证书，担任律师、数字科技风险合规负责人职务，负责企业数字科技风险治理、数字化转型合规风险治理、数字安全治理、个人隐私保护、知识产权保护等工作。王宜娟女士承担本书全部章节的校对和通读工作，是本书法律合规、数据资产合规、个人信息保护合规等领域的特聘专家。

徐坦，获得河北科技大学理工学院网络工程专业工学学士学位，持有注册数据安全审计师(CDSA)、DSTP、CISP、CISP-A等认证。现任安全技术总监职务，负责数据安全技术、渗透测试、代码审计、安全教育培训、云计算安全、安全工具研发、IT审计和企业安全攻防等工作。徐坦先生承担本书部分章节的校对工作。

李婧，获得北京理工大学软件工程专业工学硕士学位，高级工程师，持有CISSP、CISP、CISA等认证。现任中国软件评测中心(工业和信息化部软件与集成电路促进中心)网络安全和数据安全研究测评事业部副主任职务，负责数据安全和网络安全的研究、测评、安全人才培养、黑灰产反制与检测等工作。李婧女士现任中国计算机行业协会网络和数据安全专业委员会专家。李婧女士承担本书部分章节的校对工作。

张建林，北京师范大学信息科学与技术专业工学学士，中级工程师。获得CISSP、CISI、CISA、CISP、CISAW等认证。担任中国卫生信息学会安防分会副主任委员，负责医疗大健康安全、安全教育培训项目管理、信息安全服务、安全咨询服务等工作，曾发表多篇论文，制定多项团体标准及行业标准。张建林先生承担本书部分章节的校对工作。

余莉莎，获得南昌大学工商管理专业管理学硕士学位，持有CDSA、DSTP-1、CISP等认证。负责数字科技风险、数据安全评估、咨询与审计、数字安全人才培养体系等工作。余莉莎女士承担本书部分章节的校对工作。

魏来，毕业于江西科技学院，持有注册数据安全审计师(CDSA)、数据安全评估师等认证。专注于数据安全治理、人工智能技术应用与软件系统架构设计，负责企业数字化转型、数据安全合规体系建设、人工智能技术应用与商业落地等工作。魏来先生承担本书部分章节的校对工作。

序    言

我在网飞(Netflix)公司成立之初担任产品和工程团队负责人时结识了Nishant，当时的团队大约有500名成员。虽然在早期就遇到了一些安全挑战，但Netflix并未充分重视隐私问题，直到接连面临Netflix奖项事件、《欧盟通用数据保护条例》(European General Data Protection Regulation，GDPR)和《美国加州消费者隐私法案》(U.S. California Consumer Privacy Act，CCPA)的冲击，团队才从根本上解决了隐私问题。那时，我们一边扩充团队规模，一边构建隐私工作理念并交付工作成果，而Nishant是团队的灵魂人物。他既熟悉工程技术，又精通隐私保护，还深谙实用主义、业务需求、工程工作的约束，以及Netflix向客户已经做出的(和需要做出的)承诺，并知道如何兑现这些隐私承诺。

Netflix奖项由Netflix在2006年至2009年设立，该奖项价值100万美元，旨在通过发布一个由50万名用户的1亿项评分组成的大型数据集(例如，用户N喜欢标题T，并打了四颗星)，获取基于该数据集构建的最佳预测评分引擎。显然，Netflix奖项需要匿名化的数据集，因而，James Bennett采用了一种复杂的方法，随机化了一定比例的评分，使其无法与其他公共数据来源相互匹配。但是，来自Texas大学Austin分校的Arvind Narayanan和Vitaly Shmatikov发表了一篇论文，指出通过统计再识别技术(Statistical Reidentification Technique)可以将收视率与互联网电影数据库(Internet Movie Database，IMDB)评级相互匹配，从而暴露了若干人员的身份信息——Netflix还没有充分考虑收视率与IMDB相匹配的可能性。这件事给我敲响了警钟。

在此期间，其他公司也接连发生了一系列不断升级的数据泄露事故，涉及姓名、地址、社会保障号码(Social Security Number，SSN)、信用卡等个人信息。组织和个人容易将个人数据泄露事故视为安全问题，但在许多情况下，数据泄露事故并不是因为攻击方入侵防御系统，而是由内部人员或攻击方通过内部人员或意外活动引发的。当开始研究如何避免自身受到攻击时，组织和个人越来越清楚地意识到，虽然组织需要部署强有力的安全控制措施，但是组织也有必要改进IT系统设计以限制和隔离个人信息，进而避免发生意外，减少内部人员泄露数据的可能性(需要动机)，同时让恶意攻击方更难拼凑出完整信息。

随后，欧盟颁布了GDPR监管合规要求，GDPR是多部新的隐私法律法规监管合规要求陆续颁布的先兆。在我于2021年撰写本篇序言时，业界仍在不断推出新的法律法规监管合规要求。GDPR(以及后来的CCPA)增加了新的考虑因素，即个体有权知晓组织收集了哪些数据，有权查看这些数据，如果数据不正确可以要求组织修改数据，如果不愿保留可以要求组织删除数据。新的法律法规监管合规要求进一步加强了组织在设计系统时考虑隐私的必要性，以促进系统更加妥善地处理隐私数据。

对于Netflix而言，在设计系统时，需要充分考虑隐私就意味着在采用数据标记化技术(Data Tokenization)的数据存储中隔离用户的个人身份识别信息(Personally Identifying Information，PII)，确保所有的数据引用都是间接的，并在访问标记化存储数据时添加策略、控制措施和审计技术。在不影响性能的前提下，在规模化运行的系统上考虑如何实现隐私工程是一项重大挑战，Nishant是隐私保护工作的关键领导人员。为了在启动隐私保护工作时就做好充分的规划，而不是事后补救，我开始与团队思考并沟通隐私设计原则。

本书深入地探讨了隐私这一主题，是为科技公司中那些面临着与Netflix当时同样挑战的专业人士而编著的宝典。对于企业而言，如今所处的隐私工程环境更加严格和苛刻：个人和监管机构更加重视隐私，公司存储的数据越来越多，数据泄露事故时有发生，技术平台不再单一(由各类合作伙伴和服务组合而成)，公众对于科技公司使用和滥用私人数据的看法也越来越不满。

消费方的数字排放(digital exhaust)能够带来巨大价值，用于支付科技公司所提供的免费产品和服务(或者增加收费产品的收入)。免费(或者低价)一直以来对消费方具有吸引力，但如今消费方也越来越精明，提出了更严格的处理消费方数据的要求。科技公司正在更加积极地从消费方数据中挖掘最大价值，以吸引消费方为更加丰富、更加有趣的产品付费。

但是，与隐私行为相关的私人信息(private information)也越来越多地用于不可避免的服务或者系统中，包括政府服务、医疗健康、银行业、旅游业等基础架构，以及评级机构等第三方基础架构服务。公共服务系统是强制的，在如何安全地使用个人信息方面肩负着更大的责任，因为用户无法“用脚投票”(vote with your feet)，也无法规避那些滥用用户信任的公司。

隐私保护要求科技公司认真地思考如何处理数据，提前与用户明确沟通，并通过一种安全的方式处理数据，以重建部分失去的信任。

履行数据隐私保护要求应从组织中的人员着手：培养隐私意识，塑造一种思维模式，促使隐私保护成为组织的首要议题。

然后，个人隐私保护需要深思熟虑的产品和服务设计，思考需要做什么，需要多长时间，之后应该怎么办，以及要具有与用户清晰沟通的能力。

最后，数据隐私保护需要技术设计和实现手段，以帮助组织兑现做出的承诺，遵守需要遵循的法律法规监管合规要求，而不至于成为组织的负担，避免因为隐私问题而影响生产效率、敏捷程度和交付价值的能力。技术设计需要预测未来的隐私需求，随着公众期望和未来隐私法律法规监管合规要求的不断变化，业界将不断出现新的隐私需求。

本书将帮助隐私工程师更加容易地理解什么是隐私，以及隐私为什么如此重要；频繁出现的数据泄露案例引发隐私工程师不断思考：如果隐私工程师所在的组织发生数据泄露事故将如何处理？工程师应该采取哪些措施以降低风险？

Nishant介绍了对于具有不同隐私敏感度的数据开展分类分级工作的方法，讨论了数据的流向及用途，并延展出以下问题：是达成目的所必要的吗？是客户想要的吗？合乎道德标准吗？数据处理是否符合公司策略和法律法规监管合规要求？接着，Nishant考虑了与组织的其他部门，以及与(越来越重要的)合作方、供应方和第三方共享数据的场景，并讨论了在将用户数据传递至其他值得信赖的组织之前，如何向他们提出正确的问题。

本书的大部分内容是关于技术设计的，用于帮助组织更加容易地保护隐私信息。隐私保护技术包括加密技术(encryption)、哈希技术(hash)、标记化技术(tokenization)及隔离数据的技术，以确保私有数据的安全。另一方面是避免非正式的数据收集(例如，日志记录或者调试数据流)，数据收集活动可能无意间以不安全的方式收集个人身份信息。避免发生非法数据收集活动需要工具支持，以收集不含PII(个人身份识别信息)的敏感数据；还需要教育计划(educational program)，以确保工程师们意识到小心谨慎的必要性。

隐私在一定程度上取决于收集哪些数据。因此，隐私设计的一个重要部分就是确保组织有理由收集和保留数据，并确保在不需要时不收集数据或者删除数据。定义需求非常重要——有些数据是工程师认为将来需要的，工程师希望在有机会收集数据时就能够收集到；有些数据是之前需要的，但实际上并没有增加太多的价值，而且也可能一开始就没有那么重要。

新的隐私法律法规监管合规要求赋予了用户知晓、查看、更正和删除其数据的权利；实现用户权利即将成为一项不可能完成的任务，除非数据收集从一开始就被设计为能够找到有关个人的一切数据，并且能够有选择性地删除记录，而不会使数据出现不一致的情况(例如，指向已删除客户的交易记录的审计轨迹)。

隐私与安全紧密相关。如果没有强有力的身份/身份验证和(适当细化的)授权，组织就不可能控制或审计针对私人信息的访问活动。如果组织没有部署适当的控制措施来管理未经授权的访问行为，攻击方将更加容易地破坏隐私数据。

本书以拓展思维作为结尾，也就是说，本书将专注于隐私保护的资源和团队与组织的规模、成熟度及组织所面临的任务相匹配。组织十分容易因为投入资源不足而无法实现隐私保护的目标，也非常容易因为投入成本过大而浪费资源，延缓组织发展，并削弱组织应该寻求实现的业务价值。对组织而言，能否探索出适用于自身的隐私保护投入程度是一项巨大挑战！

我多么希望在2015年或2016年，Netflix开始着手准备GDPR工作时我就能看到本书。在2008—2012年发生重大技术架构革新时，本书应该能够帮助技术团队更轻松地实现部分更优秀的创意。早在2006年，我在思考Netflix奖项时，甚至在20世纪90年代末为Netflix奠定基础之前，如果能够看到本书则应该受益匪浅。现在，我即便在医疗健康领域从事人工智能方面的研究，也能从本书中获益。数据驱动医疗的机会巨大，但监管和公众的监督也更为严格，在现代科技领域的隐私观念日益受到重视的技术时代，这些隐私法律法规监管合规要求可能显得有些陈旧且难以理解。

对于经常忽略或者未考虑隐私，认为隐私是以后的事情的团队而言，本书是一剂良药，同时也是一本优秀的入门书籍，能够帮助他们以平衡、经济高效、价值提升的方式在隐私保护领域取得进展。

祝广大读者阅读愉快！

Neil Hunt

首席产品官，Netflix 1999—2017

作 者 简 介

Nishant Bhajaria拥有计算机专业学士和硕士学位。自2010年以来，Nishant一直是网络安全和隐私社区的成员，曾在Nike、Netflix、Google和Uber领导过不同规模的网络安全与隐私团队。目前，Nishant领导着隐私工程团队，并向CISO汇报工作。Nishant领导过的团队成员包括工程师和架构师、数据分析师和隐私顾问，以及产品经理和事故响应专家。

Nishan的职业生涯始于团队和项目的建设，之后转向构建更具战略性的项目，以促进公司隐私成熟度、与核心工程和数据平台团队建立合作伙伴关系，并加强与法律和公关团队的紧密配合。Nishant的影响范围包括帮助董事会做出数据驱动决策、指导产品管理团队以公平和信任作为主要考虑因素等。

Nishant还活跃在网络安全领域，发表过关于隐私计划的白皮书，并曾多次在行业机构发表演讲。Nishant为初创公司提供数据保护战略方面的建议，并在LinkedIn Learning上讲授有关数据隐私的课程(https://www.linkedin.com/learning/instructors/ nishant-bhajaria)，以及其他领域的课程，包括职业发展和科技行业人员的多样化。Nishant还曾与MIT的研究人员合作，起草了第一份用于COVID-19接触追踪的隐私原则(https://law.mit.edu/pub/commentaryoncovid19contacttracingpri-vacyprinciples/ release/1)。

Nishant是一位在大学期间就能够做出多方面贡献的杰出人士。那时，Nishant就是一位相当罕见的工程师，还曾为大学报纸撰写社论，参加辩论队并为政治学教授们工作。

工作之余，Nishant还热衷于几项与野生动物相关的事业。Nishant的道德目标是救助即将被安乐死的收容所犬只、打击野生动物走私行为、保护大象免受偷猎和虐待。

致    谢

如果没有日益壮大的网络安全社区(其中隐私和数据保护是关键组成部分)，本书将无法完成。不断努力保护客户数据的工程师们，既是鼓舞人心的目标受众群体，也为本书的编写指引了前进方向。有许多提供解决方案和评论的行业专家未能在此逐一列出，但是这并不能磨灭众多工程师对本书的贡献。

感谢帮助本书出版的Manning出版社的工作人员：出版方Marjan Bace、编辑Ian Hough、策划编辑Michael Stephens。营销部门的CandaceGillhooley和BethFaris，以及其他在幕后工作的编辑和制作团队成员。衷心感谢Michael Jensen为本书提供了技术审阅，使本书能够更加专注于帮助核心隐私工程社区。

真诚地感谢在隐私保护领域助力我职业发展，并为本书润色的各位行业导师和专家：Anthony Dupre、Larry Drebes、Anne Bradley、Jason Chan、Benjamin Malley、Patrick Mueller、Neil Hunt、Naresh Gopalani、Russell Lewis、Charles Smith、Vikram Khare、Vinay Goel、John“Four”Flynn、Yong Qiao、Ruby Zefo、Derek Care、Uttara Sivaram、Michelle Dennedy、Melanie Ensign、Simon Hania、Mohammad Islam、Catherine Nelson、Peter Dickman、Kim Lucy、Bryan Casper、Ben Feinstein、Engin Bozdag、Calvin Seto、Matt Olsen、Ayana Miller、Ahmed Ibrahim、Avni Verma、Latha Maripuri、Nicolas Lidzborski、Zhengquin Luo，以及其他多位专家。

感谢所有审校人员：Benjamin Lampert、Brian Liceaga、Des Horsley、Diego Casella、Doniyor Ulmasov、Floris Bouchot、Håvard Wall、Jean-François Beauchef、Jens Gheerardyn、Joe Ivans、John Tyler、Jon Riddle、Jonathan Bourbonnais、Marc Roulleau、Marcin Sęk、Matthew Todd、Maytham Fahmi、Michael Langdon、Nadia Noori、Osama Khan、Paul Love、Peter White、Pietro Alberto Rossi、Tim Wooldridge和Willem van Ketwich，你们的建议使本书的质量变得更好。

关于封面插图

本书封面上的图片标题为“Paysanne des Environs de Berne”，意为“来自瑞士伯尔尼周边地区的农妇”。这幅插图选自Jacques Grasset de Saint-Sauveur(1757—1810)所著的各国服饰系列收藏集，标题为“Costumes civils actuels de tous les peuples connus”，最初于1788年在法国出版。每幅插图都由手工精心绘制并着色，藏品中丰富多样的绘画生动地提醒世人：仅仅在200年前，世界上各地区、城镇、村庄和社区之间的文化差异是如此之大。人们彼此隔绝，说着不同的方言和语言。无论是在街头还是乡间，仅凭衣着打扮就能轻易辨别出人们住在哪里，从事什么行业和处于什么社会地位。

自那以后，着装规范发生了变化，当时丰富的地区多样性也逐渐消失。现在从服饰上已经难以区分不同大陆的居民，更加难以区分不同的城镇或者地区。也许，人们已经用文化的多样性换取了更加多样化的个人生活。当然，也换取了更加丰富多彩、快节奏的科技生活。

在计算机书籍难分伯仲的当下，Manning出版社通过书封设计让那些尘封的插图焕发新的生机，以此彰显计算机行业的创造力和主动性，这些设计灵感源自两个世纪前丰富多样的地区生活。

前    言

有些已知的已知，是我们知道的事情。有些已知的未知，也就是有些事情我们清楚自己并不知道。但也有未知的未知，即有些事情我们还不知道自己并不知道。

—— Donald Rumsfeld，美国前国防部长

在早期担任安全和隐私工程师期间，我时常想起Donald Rumsfeld的上述讲话。查找数据、验证用户接受度和删除数据，这些看似微不足道的工作往往暴露出难以想象的复杂性。在我担任工程师和产品经理期间，收集和传播数据的本能帮了我大忙，但是当我担任隐私领导方的角色时，这种收集和传播数据的本能会产生反作用。

我曾经在网上寻找资源，结果一无所获。更加令我沮丧的是，业务部门将从事隐私工作的人员视为拦路虎。由于工程团队之间缺乏数据卫生(Data Hygiene)的习惯，导致我难以在法庭上向自己的律师提供清晰和可验证的答案。

开展隐私监管合规和审查工作，能够有效改善正在使用用户数据的公司的管理现状。即便如此，现有的隐私法律法规监管合规要求往往过于割裂且混乱。不出所料，模棱两可的做法对于缺乏大型公司资源的科技企业造成了伤害。企业与隐私监管机构之间的关系从互不信任到彼此厌恶，而消费方因为隐私问题也成为受害方。

我在Netflix工作期间最喜欢的一个示例是：1988年，美国国会通过了《视频隐私保护法案》(Video Privacy Protection Act，VPPA)。VPPA法案源于最高法院对Robert Bork法官的提名引起争议的结果。Bork法官曾表示，“美国人民只享受立法赋予的隐私保护。”作为回应，华盛顿市报纸(Washington City Paper)的自由撰稿人Michael Dolan曾说服一家音像店的店员向他提供了Bork的租赁记录。

在Netflix和Amazon Prime等流媒体平台出现之前的数十年，美国国会就通过了VPPA法案，以监管公众的历史查看数据。不过，这些流媒体平台依然会受到VPPA法案的约束。较新的隐私法律法规监管合规要求也存在缺陷，因为隐私法律法规监管合规要求通常没有考虑构建隐私技术解决方案的复杂性。

此外，由于工程团队越来越多地独自运作，并且受到定制流程的限制，导致组织希望通过可扩展的和可衡量的方式部署隐私控制措施愈发困难。长期以来，企业和政府热衷于拥有更多的数据，但是相应的控制约束却太少。

2019年，我决定帮助其他工程师和团队领导人员，这些工程师和领导人员正试图解决与我多年以来遇到的类似的问题。我开始在LinkedIn Learning上讲授有关隐私保护主题的课程，听众非常喜欢。我的见解和经验迅速得到了初创公司的创始团队、稳定期的公司员工、风险投资方和网络安全社区广大成员的认可。

我发现利用自身具备的雄厚技术实力——工程、数据保护和监管政策的组合技能，能够运作大规模且有影响力的隐私计划(privacy program)。如果我能够将所有成功和失败的经验教训作为众多公司的参考，则它们从一开始就可以在产品中融入隐私保护功能，而不是等到最后再去添加。

市场和政府都需要一套将商业、政策背景和实际技术技能相互结合的框架。因此，我决定撰写本书以满足此需求。

在2021年整整一年的时间里，尽管数据在全世界肆意传播，而我们大多数人却只能被迫居家、无法出门，但我还是完成了本书的撰写工作，旨在丰富“已知的已知”(know knowns)，同时尽可能减少“已知的未知”(known unknowns)和“未知的未知”(unknown unknowns)。

关 于 本 书

本书致力于服务两大目标。首先，旨在为工程师提供一套逐步引导的流程，以帮助他们使用工具、自动化和流程解决隐私问题。本书不仅提供实际的技术实施方法，还提供了对于快速发展的科技公司至关重要的业务背景描述。其次，旨在帮助公司、政府和媒体的决策方提供正确的指引，以帮助企业蓬勃发展且有能力保护客户数据。

本书读者对象

本书主要针对从事数据方面工作的工程师，尤其是从事高度分布式架构工作的工程师。工程师需要解决复杂的问题，却缺乏将隐私工程嵌入系统设计和实施的框架。在云计算(cloud computing)和身份图谱(identity graph)时代，本书是第一本助力工程师实现诸如数据治理、技术隐私审查、数据删除、同意管理等复杂隐私目标的书籍。

无论是选择在内部研发，还是引入第三方解决方案，本书都将助力工程师构建隐私解决方案。工程师还可以使用本书查找隐私和安全风险之间的重叠点。重叠点是目前勒索软件、数据泄露和电子邮件欺诈等威胁的一项重要考虑因素。

企业高管也可从本书中获益。虽然有些技术细节超出了企业高管的专业范围，但在阅读本书后，他们将能够更加有效地与工程师合作，解决隐私问题并做出明智的决策。

我同时希望媒体从业者、监管机构和律师使用本书建立自身的数据隐私知识基础，促使各方能够提供基于背景和专业知识的评论和分析。

本书内容结构：路线图

本书内容分为4个部分共11章。本书的开篇和结尾，即第Ⅰ部分和第Ⅳ部分，提供了背景指导，将助力工程师制订可扩展的隐私计划(privacy program)。第Ⅱ部分和第Ⅲ部分分别提供了侧重于数据治理和工具的实践技能。

第Ⅰ部分重点介绍隐私工程如何成为公司整体创新生态系统的组成部分。

●第1章介绍数据流在技术栈和存储中流转时如何影响隐私，以及公司应该如何研发相应的应用程序控制措施。

●第2章介绍数据因遭受泄露、滥用和法律法规监管合规要求的制约而产生的隐私风险。

第Ⅱ部分侧重于数据治理，以确保工程师能够更加完善地管理所收集的数据及相应的风险。

●第3章重点介绍如何与跨职能合作伙伴协同完成分类分级数据活动，以便与隐私风险保持一致。

●第4章深入探讨数据清单，公司需要采用人工和智能分类分级的混合方式开展分类数据活动，以达到深化数据清单的目标。

●第5章以数据共享为例，介绍匿名化数据集和度量隐私影响的技术。

第Ⅲ部分将助力工程师研发关键任务隐私工具，旨在提高隐私合规水平，建立客户信任。

●第6章将助力工程师建立技术隐私审查和咨询流程，以提前提供隐私指引，并减轻隐私法律团队的压力。

●第7章将介绍数据删除的示例架构。数据删除是最小化数据风险及满足多项合规制度的核心要求。

●第8章将助力组织和个人设计数据导出功能，以帮助公司满足“数据主体访问请求”(Data Subject Access Requests，DSARs)，即DSARs框架。

●第9章提供了同意管理平台(Consent Management Platform，CMP)的设计示例，以确保公司能够满足监管机构和公司正在执行的用户同意管理要求。

第Ⅳ部分将以本书的前半部分为基础，帮助工程师拓展公司的隐私计划。

●第10章将隐私风险与安全风险相关联，并提供了缓解隐私风险的最佳实践。

●第11章将助力工程师规划公司隐私产品的成熟度模型和人员配置模型。

第Ⅱ部分和第Ⅲ部分更加倾向于满足实战型工程师的迫切需要。鉴于高级工程师的职责通常涵盖组织的各个领域，因此，高级工程师将从全面阅读本书中获益。建议高管、媒体从业者和监管机构深入阅读本书的第Ⅰ部分和第Ⅳ部分，而对于技术性较强的中间部分自学即可。