隐私

您是否正在编写一个处理个人数据（例如姓名、地址和其他可用于识别个人身份的信息）的插件？您需要妥善保管这些数据并保护用户和访问者的隐私。

什么是隐私？

WordPress.org 在欧洲通用数据保护条例出台之前进行了多项改进。这项工作启动后，我们将隐私作为核心 trac 开发的永久重点，这将使我们能够在特定立法之外继续增强隐私和数据保护。

但什么样的问题可能属于“隐私”的定义，我们如何定义它呢？尽管隐私要求在不同国家、文化和法律体系之间存在很大差异，但有一些适用于任何情况的一般原则：

• 同意和选择：为用户（和网站访问者）提供对其数据使用的选择和选择，并要求明确、具体和知情的选择加入；
• 目的合法性和规范性：仅出于预期目的且事先明确告知用户的目的收集和使用个人数据；
• 收集限制：仅收集需要的用户数据；如果可以避免，请勿制作额外的数据副本或将您的数据与其他插件的数据合并
• 数据最小化：将数据处理以及有权访问数据的人数限制在最低限度的用途和必要的人员；
• 使用、保留和披露限制：删除接收者和任何第三方在主动使用和存档中不再需要的数据；
• 准确性和质量：确保收集和使用的数据是正确的、相关的和最新的，特别是如果不准确或不良的数据可能对用户产生不利影响；
• 公开、透明和通知：告知用户他们的数据如何被收集、使用和共享，以及他们对这些使用拥有的任何权利；
• 个人参与和访问：为用户提供访问或下载其数据的方式；
• 问责制：记录数据的使用情况，保护数据在传输过程中和第三方使用中的安全，并尽可能防止滥用和泄露；
• 信息安全：通过适当的技术和安全措施保护数据；
• 隐私合规性：确保作品符合收集和处理人员数据所在地的隐私法规。

（来源：ISO 29100/隐私框架标准）

虽然并非所有这些原则都适用于所有情况和用途，但在开发过程中使用它们可以帮助确保用户信任。

隐私设计

其中许多原则都在“隐私设计”框架中得到体现，该框架指出：

• 隐私应该是主动的，而不是被动的，并且必须在隐私问题到达用户之前就预见到它们。隐私还必须是预防性的，而不是补救性的。
• 隐私应该是默认设置。用户不应采取行动来保护其隐私，也不应假定用户同意数据共享。
• 隐私应作为核心功能而不是附加功能纳入设计中。
• 隐私应该是正和的：隐私与安全、隐私与安全、隐私与服务提供之间不应该有任何取舍。
• 隐私应通过数据最小化、最小化数据保留以及定期删除不再需要的数据来提供端到端的生命周期保护。
• 您的插件（和服务，如果适用）使用的隐私标准应该是可见的、透明的、开放的、记录在案的且可独立验证的。
• 隐私应该以用户为中心。应为人们提供诸如精细的隐私选择、最大化的隐私默认值、详细的隐私信息通知、用户友好的选项以及明确的更改通知等选项。

您的插件值得深思的地方

为了帮助您的插件做好准备，我们建议您针对您制作的每个插件检查以下问题列表：

1. 您的插件如何处理个人数据？使用 wp_add_privacy_policy_content（链接）向您的用户披露以下任何内容：
   • 该插件是否与第三方共享个人数据（例如外部 API/服务器）。如果是，它与哪些第三方共享哪些数据？他们是否有已发布的隐私政策（您可以提供链接）？
   • 该插件是否收集个人数据？如果是，什么数据以及存储在哪里？考虑用户数据/元、选项、帖子元、自定义表、文件等地方。
   • 该插件是否使用其他人收集的个人数据？如果是的话，什么数据？该插件是否将个人数据传递给 SDK？该 SDK 对数据有何作用？
   • 该插件是否直接或间接收集遥测数据？例如，在每次安装时从第三方源加载图像可以间接记录和跟踪所有插件安装的使用数据。
   • 该插件是否将 Javascript 入队、跟踪像素或嵌入来自第三方的 iframe（第三方 JS、跟踪像素和 iframe 可以收集访问者的数据/操作、留下 cookie 等）？
   • 该插件是否在浏览器中存储内容？如果是这样，在哪里以及什么？考虑 cookie、本地存储等。
2. 如果您的插件收集个人数据......
   • 它提供个人数据导出器吗？
   • 它是否提供个人数据擦除回调？
   • 该插件出于什么原因（如果有）拒绝删除个人数据？（例如订单尚未完成等）——这些也应该披露。
3. 该插件是否使用错误日志记录？如果可能的话，它是否会避免记录个人数据？您可以使用 wp_privacy_anonymize_data 之类的东西来最大程度地减少记录的个人数据吗？日志条目保留多长时间？谁有权访问它们？
4. 在 wp-admin 中，访问/查看个人数据需要什么角色/能力？它们足够了吗？
5. 该插件会在网站前端暴露哪些个人数据？它是否向登录和注销的用户显示？应该是？
6. 该插件会在 REST API 端点中公开哪些个人数据？它是否向登录和注销的用户显示？需要什么角色/能力才能看到​​它？那些合适吗？
7. 该插件是否正确删除/清理数据，特别是个人数据：
   • 卸载插件期间？
   • 当相关项目被删除时（例如，从帖子元数据或另一个表中的任何帖子引用行）？
   • 当用户被删除时（例如，从引用表中的行的任何用户中）？
8. 该插件是否提供控件来减少所需的个人数据量？
9. 插件是否仅在 SDK 或 API 需要时才与 SDK 或 API 共享个人数据，还是插件也共享可选的个人数据？
10. 当还安装某些其他插件时，此插件收集或共享的个人数据量是否会发生变化？

外部资源

• 隐私博客https://privacy.blog
• WordPress.org 隐私政策https://wordpress.org/about/privacy/