数据最小化原则

什么是数据最小化原则

数据最小化原则是指仅应收集和处理实现目的所需最少个人数据的隐私基本原则。在 GDPR 第 5 条第 1 款 (c) 中明确规定："个人数据应当充分、相关且限于处理目的所必需的范围。"

这一原则背后的理念很简单：未收集的数据不会泄露。未保存的数据不会被滥用。也就是说，减少数据收集量本身就是最根本的隐私保护措施。

日本的个人信息保护法也通过利用目的的特定 (第 17 条) 和禁止目的外利用 (第 18 条) 实质性地反映了数据最小化的理念。

与隐私设计的关系

数据最小化是"隐私设计 (Privacy by Design)"的核心要素。隐私设计是从系统和服务的设计阶段就融入隐私保护的理念，在 GDPR 第 25 条中被义务化。

具体来说，以下设计决策属于数据最小化。

• 收集最小化：将表单输入项控制在最少。如果新闻通讯注册只需邮箱地址就够了，就不要要求姓名或电话号码
• 限制保存期限：明确规定数据保存期限，到期后自动删除。不要无限期保存访问日志
• 限制访问：将能够访问数据的人员限制在业务所需的最少范围
• 匿名化/假名化：用于分析目的时，先将数据加工为无法识别个人的形式再处理

在服务设计初期持续追问"这些数据真的需要吗"就是数据最小化的实践。从一开始就不收集比事后削减数据要有效得多且成本更低。

数据最小化带来的好处

数据最小化不仅是为了合规，对经营者也有实质性好处。

• 减轻数据泄露时的影响：持有的数据越少，泄露时流出的信息也越少。可大幅减少影响范围和应对成本
• 降低存储和管理成本：不保存不必要的数据可降低存储成本和数据管理运营负担
• 获得用户信任：只要求最少必要数据的服务更容易获得用户信任。研究也表明表单输入项越少转化率越高
• 降低法律风险：持有的数据越少，受 GDPR 和个人信息保护法监管的数据也越少，合规负担减轻

这一理念也与零信任安全的"仅授予最小必要访问权限"原则相通。

个人可实践的数据最小化

数据最小化不仅是经营者的责任，个人也可以实践。

• 注册服务时只填必填项：非必填项 (电话号码、地址、出生日期等) 如非真正需要就留空
• 将 SNS 个人资料信息控制在最少：审查 SNS 隐私设置，将公开的个人信息限制在最少
• 删除不用的账户：不要放置不用的服务账户，注销并删除。闲置账户会不必要地扩大数字足迹
• 审查应用权限：定期检查授予智能手机应用的权限 (位置、通讯录、相机等)，撤销不必要的权限
• 使用邮箱别名：为每个服务使用不同的邮箱地址，防止通过单个地址关联所有账户

常见误解

收集越多数据服务质量越好

数据的量和质不成正比。收集大量与目的无关的数据只会增加分析噪音，不会提升质量。很多情况下，少量直接相关的高质量数据更有用。

数据最小化技术上很难，只有大企业才能实践

数据最小化的基本是"不收集不必要的数据"这一简单判断。减少表单输入项、设置日志保存期限、删除不必要的追踪，这些都不需要高深的技术。小规模组织反而能更快速地实践。

相关术语