• Data Protection by Design (DPbD), a holistic approach to embedding principles in technical and organisational measures undertaken by data controllers, building on the notion of Privacy by Design, is now a qualified duty in the GDPR. • Practitioners have seen DPbD less holistically, instead framing it through the confidentiality-focussed lens of Privacy Enhancing Technologies (PETs). • While focussing primarily on confidentiality risk, we show that some DPbD strategies deployed by large data controllers result in personal data which, despite remaining clearly reidentifiable by a capable adversary, make it difficult for the controller to grant data subjects rights (eg access, erasure, objection) over for the purposes of managing this risk. • Informed by case studies of Apple’s Siri voice assistant and Transport for London’s Wi-Fi analytics, we suggest three main ways to make deployed DPbD more accountable and data subject–centric: building parallel systems to fulfil rights, including dealing with volunteered data; making inevitable trade-offs more explicit and transparent through Data Protection Impact Assessments; and through ex ante and ex post information rights (arts 13–15), which we argue may require the provision of information concerning DPbD trade-offs. • Despite steep technical hurdles, we call both for researchers in PETs to develop rigorous techniques to balance privacy-as-control with privacyas-confidentiality, and for DPAs to consider tailoring guidance and future frameworks to better oversee the trade-offs being made by primarily wellintentioned data controllers employing DPbD.

中文翻译：

---

当设计数据保护与数据主体权利发生冲突时

• 设计数据保护 (DPbD) 是一种将原则嵌入数据控制者采取的技术和组织措施中的整体方法，建立在设计隐私的概念之上，现在是 GDPR 中的一项合格职责。• 从业者较少从整体上看待 DPbD，而是通过隐私增强技术 (PET) 以机密性为重点的镜头来构建它。• 虽然主要关注机密性风险，但我们表明，大型数据控制者部署的一些 DPbD 策略会导致个人数据，尽管这些数据仍然可以被有能力的对手清楚地重新识别，但使控制者难以授予数据主体权利（例如访问、删除, 反对) 以管理此风险。• 根据 Apple 的 Siri 语音助手和 Transport for London 的 Wi-Fi 分析案例研究，我们建议通过三种主要方式使部署的 DPbD 更加负责和以数据主体为中心：构建并行系统以实现权利，包括处理自愿数据；通过数据保护影响评估使不可避免的权衡更加明确和透明；并通过事前和事后信息权（第 13-15 条），我们认为这可能需要提供有关 DPbD 权衡的信息。• 尽管存在巨大的技术障碍，但我们呼吁 PET 研究人员开发严格的技术来平衡隐私作为控制和隐私作为机密，并呼吁 DPA 考虑定制指导和未来框架，以更好地监督主要由善意的数据控制者采用 DPbD。建立并行系统以实现权利，包括处理自愿数据；通过数据保护影响评估使不可避免的权衡更加明确和透明；并通过事前和事后信息权（第 13-15 条），我们认为这可能需要提供有关 DPbD 权衡的信息。• 尽管存在巨大的技术障碍，但我们呼吁 PET 研究人员开发严格的技术来平衡隐私作为控制和隐私作为机密，并呼吁 DPA 考虑定制指导和未来框架，以更好地监督主要由善意的数据控制者采用 DPbD。建立并行系统以实现权利，包括处理自愿数据；通过数据保护影响评估使不可避免的权衡更加明确和透明；并通过事前和事后信息权（第 13-15 条），我们认为这可能需要提供有关 DPbD 权衡的信息。• 尽管存在巨大的技术障碍，但我们呼吁 PET 研究人员开发严格的技术来平衡隐私作为控制和隐私作为机密，并呼吁 DPA 考虑定制指导和未来框架，以更好地监督主要由善意的数据控制者采用 DPbD。并通过事前和事后信息权（第 13-15 条），我们认为这可能需要提供有关 DPbD 权衡的信息。• 尽管存在巨大的技术障碍，但我们呼吁 PET 研究人员开发严格的技术来平衡隐私作为控制和隐私作为机密，并呼吁 DPA 考虑定制指导和未来框架，以更好地监督主要由善意的数据控制者采用 DPbD。并通过事前和事后信息权（第 13-15 条），我们认为这可能需要提供有关 DPbD 权衡的信息。• 尽管存在巨大的技术障碍，但我们呼吁 PET 研究人员开发严格的技术来平衡隐私作为控制和隐私作为机密，并呼吁 DPA 考虑定制指导和未来框架，以更好地监督主要由善意的数据控制者采用 DPbD。