在蚂蚁集团首席隐私官聂正军看来,随着多部法律法规的出台,个人信息保护的网织得更密,而企业也将数据安全及隐私保护提升到更为重要的位置。
数字经济的健康发展离不开安全二字,其中如何保护个人信息,已成为企业必须回答的问题。截至目前我国已先后出台多部法律,2021年11月1日,我国正式施行专门法律——个人信息保护法,重点关注作为“守门人”的大型互联网平台对于个人信息保护的实践。
蚂蚁集团是国内互联网企业中最早组建隐私保护办公室的企业之一。在今年的中国网络文明大会上,蚂蚁集团首席隐私官聂正军发表观点:技术驱动是个人信息保护的唯一出路。日前,聂正军接受21世纪经济报道专访,在他看来,这一观点也是对如何全面、切实、有效保护个人信息之问的最好回答。
2017年恰逢人工智能、数据、云计算蓬勃发展,与此同时,网络环境中的个人信息保护问题也逐渐引起重视。用聂正军的话来说,“当时公众对个人信息保护的焦虑一度超过了对食品安全的焦感。”
2017年也是个人信息保护的法制建设大步向前推进的一年。《民法总则(草案)》在第十二届全国人民代表大会第五次会议上高票通过,个人信息保护相关内容被写入其中;同年,《网络安全法》正式实施,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,个人信息保护规则进一步细化。一年之后,被誉为世界范围内最严格的,欧盟《通用数据保护条例》(GDPR)也将执行,其对域外适用情形的规定,扩大了欧盟在个人信息保护方面域外管辖的范围。
在这样的背景之下,2017年,蚂蚁集团组建业内首个隐私保护办公室,法务出身的聂正军成为蚂蚁集团首席隐私官,专注于个人信息保护工作。如果说互联网平台是个人信息保护的“守门人”,那蚂蚁的隐私保护办公室就是公司内部“守门人的守门人”。
“我们认为隐私保护是个真命题,不仅为了满足合规要求而做,更是自发去满足用户隐私受保护的期待,科技企业要实现可持续高质量发展必须建设的基础能力。”
具体要怎么做?技术驱动成为破题关键。隐私风险有别于其他风险。隐私风险的治理对象是数据,呈现出使用高频率、可复制、易扩散、处理链条长、应用场景广泛等特点,传统仅靠专家经验做事前风险评审、事后风险处置的模式无法全面、准确、有效发现和处置问题。数据的固有特征,决定了必须要用技术的方式解决风险问题,才能实现对风险的看清、看全、看住,才能向用户提供便捷和易获取的隐私保护服务。
“技术不是万能的,但没有技术却万万不能。如果不用技术驱动个人信息保护能力建设,那么我们对保护个人信息的承诺就无法落到实处,那就成了所谓的隐私保护表演艺术家。”聂正军说到。在他看来,真正决定用户个人信息安全的往往是处理个人信息的各类系统、应用、权限和接口。它们承载了个人信息处理的逻辑、标准。通过底层技术进行识别、监测、干预,让法律要求得以真正落实。
“隐私保护办公室设立后,新招的第一位同事便是技术人员。”发展到现在,隐私保护办公室成员70%为技术出身,更能从技术角度出发进行产品把控和制度设计。
蚂蚁集团内部对于个人信息的保护的投入也在不断升级。2021年专设董事会隐私保护及数据安全委员会,在公司层面统筹数据安全及隐私保护工作。
基于技术的隐私保护应当是一套有序运转、智能纠偏的系统2021年个人信息保护法的推出从一开始就吸引了社会关注,对企业的影响成为焦点之一。企业面临一系列更为严格的法定义务,亟需加快内部合规、监督体系的建设。在实践路径上,各家企业会结合自身实际进行选择。
回顾蚂蚁集团的隐私保护历程,每个阶段都和技术发展密不可分,技术与隐私保护相互嵌入。
第一个阶段,问诊。在团队初创阶段,隐私保护办公室在公司内部扮演“老中医”角色,熟知并判断产品设计、运行的每一个环节应如何切实保护用户信息,向相关同事提出建议把关。在问诊同时,跑步进入第二个阶段,即线上化环节,将产品审核转变为标准的线上流程以保障运行,既统一标准,也积累了案例和经验。第三个阶段,系统化。将线上判断总结成规则写入系统,由系统执行,确保决策和判断在实际过程中保持一致。
最后一个阶段,即目前正在发展的智能化。不仅实现把相关法律规则“翻译”成系统代码,还要实现系统代码随着法律法规的变化而变化。
在四个阶段的发展同时,蚂蚁集团的隐私保护技术体系也不断迭代和完善。加密技术、数据技术、隐私计算、可信AI构成技术底座,在底座之上发展出合规机器人、合规管控平台、受控匿名化、自动化巡检、双重确权等系列技术产品,对产品功能的用户个人信息进行全方位监测和保护,同时依托安全审计、红蓝攻防、应急响应等措施,持续提升针对风险的发现和处理能力。
其中,蚂蚁集团在隐私计算技术上的技术研究和应用持续保持行业领先,包括安全多方计算、可证去标识、零知识证明、差分隐私、可信计算、同态加密等,适用于解决不同主体间数据流动的隐私保护问题。
根据全球知识产权
