在螞蟻集團首席隱私官聶正軍看來,隨著多部法律法規(guī)的出臺,個人信息保護的網織得更密,而企業(yè)也將數(shù)據安全及隱私保護提升到更為重要的位置。
(資料圖片)
數(shù)字經濟的健康發(fā)展離不開安全二字,其中如何保護個人信息,已成為企業(yè)必須回答的問題。截至目前我國已先后出臺多部法律,2021年11月1日,我國正式施行專門法律——個人信息保護法,重點關注作為“守門人”的大型互聯(lián)網平臺對于個人信息保護的實踐。
螞蟻集團是國內互聯(lián)網企業(yè)中最早組建隱私保護辦公室的企業(yè)之一。在今年的中國網絡文明大會上,螞蟻集團首席隱私官聶正軍發(fā)表觀點:技術驅動是個人信息保護的唯一出路。日前,聶正軍接受21世紀經濟報道專訪,在他看來,這一觀點也是對如何全面、切實、有效保護個人信息之問的最好回答。
聶正軍。資料圖
隱私保護辦公室新招的第一位員工就是技術人員
2017年恰逢人工智能、大數(shù)據、云計算蓬勃發(fā)展,與此同時,網絡環(huán)境中的個人信息保護問題也逐漸引起重視。用聶正軍的話來說,“當時公眾對個人信息保護的焦慮一度超過了對食品安全的焦感。”
2017年也是個人信息保護的法制建設大步向前推進的一年。《民法總則(草案)》在第十二屆全國人民代表大會第五次會議上高票通過,個人信息保護相關內容被寫入其中;同年,《網絡安全法》正式實施,最高人民法院、最高人民檢察院發(fā)布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,個人信息保護規(guī)則進一步細化。一年之后,被譽為世界范圍內最嚴格的,歐盟《通用數(shù)據保護條例》(GDPR)也將執(zhí)行,其對域外適用情形的規(guī)定,擴大了歐盟在個人信息保護方面域外管轄的范圍。
在這樣的背景之下,2017年,螞蟻集團組建業(yè)內首個隱私保護辦公室,法務出身的聶正軍成為螞蟻集團首席隱私官,專注于個人信息保護工作。如果說互聯(lián)網平臺是個人信息保護的“守門人”,那螞蟻的隱私保護辦公室就是公司內部“守門人的守門人”。
“我們認為隱私保護是個真命題,不僅為了滿足合規(guī)要求而做,更是自發(fā)去滿足用戶隱私受保護的期待,科技企業(yè)要實現(xiàn)可持續(xù)高質量發(fā)展必須建設的基礎能力。”
具體要怎么做?技術驅動成為破題關鍵。隱私風險有別于其他風險。隱私風險的治理對象是數(shù)據,呈現(xiàn)出使用高頻率、可復制、易擴散、處理鏈條長、應用場景廣泛等特點,傳統(tǒng)僅靠專家經驗做事前風險評審、事后風險處置的模式無法全面、準確、有效發(fā)現(xiàn)和處置問題。數(shù)據的固有特征,決定了必須要用技術的方式解決風險問題,才能實現(xiàn)對風險的看清、看全、看住,才能向用戶提供便捷和易獲取的隱私保護服務。
“技術不是萬能的,但沒有技術卻萬萬不能。如果不用技術驅動個人信息保護能力建設,那么我們對保護個人信息的承諾就無法落到實處,那就成了所謂的隱私保護表演藝術家。”聶正軍說到。在他看來,真正決定用戶個人信息安全的往往是處理個人信息的各類系統(tǒng)、應用、權限和接口。它們承載了個人信息處理的邏輯、標準。通過底層技術進行識別、監(jiān)測、干預,讓法律要求得以真正落實。
“隱私保護辦公室設立后,新招的第一位同事便是技術人員。”發(fā)展到現(xiàn)在,隱私保護辦公室成員70%為技術出身,更能從技術角度出發(fā)進行產品把控和制度設計。
螞蟻集團內部對于個人信息的保護的投入也在不斷升級。2021年專設董事會隱私保護及數(shù)據安全委員會,在公司層面統(tǒng)籌數(shù)據安全及隱私保護工作。
基于技術的隱私保護應當是一套有序運轉、智能糾偏的系統(tǒng)
2021年個人信息保護法的推出從一開始就吸引了社會關注,對企業(yè)的影響成為焦點之一。企業(yè)面臨一系列更為嚴格的法定義務,亟需加快內部合規(guī)、監(jiān)督體系的建設。在實踐路徑上,各家企業(yè)會結合自身實際進行選擇。
回顧螞蟻集團的隱私保護歷程,每個階段都和技術發(fā)展密不可分,技術與隱私保護相互嵌入。
第一個階段,問診。在團隊初創(chuàng)階段,隱私保護辦公室在公司內部扮演“老中醫(yī)”角色,熟知并判斷產品設計、運行的每一個環(huán)節(jié)應如何切實保護用戶信息,向相關同事提出建議把關。在問診同時,跑步進入第二個階段,即線上化環(huán)節(jié),將產品審核轉變?yōu)闃藴实木€上流程以保障運行,既統(tǒng)一標準,也積累了案例和經驗。第三個階段,系統(tǒng)化。將線上判斷總結成規(guī)則寫入系統(tǒng),由系統(tǒng)執(zhí)行,確保決策和判斷在實際過程中保持一致。
最后一個階段,即目前正在發(fā)展的智能化。不僅實現(xiàn)把相關法律規(guī)則“翻譯”成系統(tǒng)代碼,還要實現(xiàn)系統(tǒng)代碼隨著法律法規(guī)的變化而變化。
在四個階段的發(fā)展同時,螞蟻集團的隱私保護技術體系也不斷迭代和完善。加密技術、數(shù)據技術、隱私計算、可信AI構成技術底座,在底座之上發(fā)展出合規(guī)機器人、合規(guī)管控平臺、受控匿名化、自動化巡檢、雙重確權等系列技術產品,對產品功能的用戶個人信息進行全方位監(jiān)測和保護,同時依托安全審計、紅藍攻防、應急響應等措施,持續(xù)提升針對風險的發(fā)現(xiàn)和處理能力。
其中,螞蟻集團在隱私計算技術上的技術研究和應用持續(xù)保持行業(yè)領先,包括安全多方計算、可證去標識、零知識證明、差分隱私、可信計算、同態(tài)加密等,適用于解決不同主體間數(shù)據流動的隱私保護問題。
根據全球知識產權第三方機構IPRdaily與incoPat創(chuàng)新指數(shù)研究中心聯(lián)合發(fā)布的2022年《全球隱私計算技術發(fā)明專利排行榜(TOP100)》,螞蟻集團隱私計算專利數(shù)達1152件,連續(xù)兩年位列排行榜第一。
在聶正軍的構想中,基于技術的隱私保護應當是一套有序運轉、智能糾偏的系統(tǒng),可以清晰地看到用戶信息的來源、存儲、流轉,并實現(xiàn)信息追蹤、信息安全巡檢。
“能不能、敢不敢、滿意不滿意”
2021年4月,支付寶上線業(yè)內首個消費者權益保護頻道,11月又升級為“用戶保護中心”,一站式提供隱私保護、安全管理、賬戶設置等內容。通過“用戶保護中心”用戶可以直接管理隱私的相關設置,例如看到授權應用及共享的個人信息種類、一鍵關閉個性化推薦,實現(xiàn)個人信息復制、查詢等系列操作。這個功能的實現(xiàn)有賴于技術的支持,通過對基礎數(shù)據的打通、產品功能的設置調整,最終讓每個人清晰地看到個人信息情況并進行管理。
這一產品功能是受技術驅動后,用戶可以直觀感知的最新變化。
而在日常的產品設計開發(fā)過程中,螞蟻隱私保護辦公室作為個人信息保護的“守門人”經常會靈魂拷問業(yè)務兩個問題:第一個問題,你是消費者,你的家人也是消費者,如果有一個產品如此處理個人信息,你滿意還是不滿意?第二個問題,我們敢不敢、能不能把個人信息處理活動公之于眾?
“某種程度上他們就有答案了,企業(yè)不僅僅是被動合規(guī)滿足60分。隱私保護有三方面,第一確保數(shù)據安全,第二是確保合規(guī),第三則還要注重用戶體驗。產品要讓用戶覺得做好,能夠提供用戶隱私保護的獲得感、便捷感。”聶正軍進一步解釋。
而更多的對個人信息的保護則在后臺發(fā)生。作為一個大型互聯(lián)網平臺企業(yè),用戶隱私保護的獲得感更在于平臺對于其生態(tài)內各類運營方的治理。如此龐大的生態(tài)內存有形態(tài)各異、功能各異的運營方,從平臺角度來說,又該如何保障流轉中的個人信息安全?這也是個人信息保護法第58條所針對的企業(yè)主體必須履責的背景。
聶正軍告訴21世紀經濟報道,目前螞蟻集團下屬的各個平臺適用一套貫穿事前、事中、事后的智能化管控體系。事前準入環(huán)節(jié),關注合作伙伴的數(shù)據安全能力和隱私保護情況,對合作伙伴的數(shù)據安全能力進行評級。事中環(huán)節(jié),制定了原子化的數(shù)據接口。不同行業(yè)可授權獲取的數(shù)據范圍根據行業(yè)性質不同,評估可獲取用戶信息的環(huán)節(jié)、目的以及時間是否恰當,并建立配套巡檢機制。事后環(huán)節(jié),建立和完善治理機制,根據螞蟻集團生態(tài)合作伙伴安全管理規(guī)范進行整改、隱藏甚至直接下架。
2021年的數(shù)據顯示,支付寶小程序數(shù)量已超過300萬個。面對數(shù)量龐大的小程序,支付寶已上線運行小程序智能巡檢,通過機器智能巡檢小程序信息授權情況,并對發(fā)現(xiàn)的問題進行評估和治理。依照已經配置好的規(guī)則,智能巡檢可以實現(xiàn)自動治理,包括減少曝光、隱藏下架的處罰,不需要人工操作。
作為國內最早一批個人信息保護工作的從業(yè)者,在聶正軍看來,隨著多部法律法規(guī)的出臺,個人信息保護的網織得更密,而企業(yè)也將數(shù)據安全及隱私保護提升到更為重要的位置。今年6月,螞蟻集團發(fā)布ESG可持續(xù)發(fā)展報告,數(shù)據安全及隱私保護就作為關鍵議題被囊括其中。
對于個人信息保護的下一步,聶正軍表示,螞蟻集團個人信息保護正處于智能化發(fā)展階段,在這個過程中總結出來的標準和經驗希望能夠對行業(yè)有所幫助。“除了做好自身之外,也希望能夠使用實踐中總結出來的經驗,與大家一起探索隱私保護的共識。隱私保護不僅是一家企業(yè)的工作,只有行業(yè)都做得好,才能確保用戶的信息在企業(yè)間的合作、互動之中仍然安全,得到保護。”
(作者:見習記者鄭雪 編輯:陳磊)
