世界动态:蚂蚁集团首席隐私官：为什么技术驱动是个人信息保护的唯一出路

2022-11-04 06:36:48来源：21世纪经济报道

在蚂蚁集团首席隐私官聂正军看来，随着多部法律法规的出台，个人信息保护的网织得更密，而企业也将数据安全及隐私保护提升到更为重要的位置。

数字经济的健康发展离不开安全二字，其中如何保护个人信息，已成为企业必须回答的问题。截至目前我国已先后出台多部法律，2021年11月1日，我国正式施行专门法律——个人信息保护法，重点关注作为“守门人”的大型互联网平台对于个人信息保护的实践。

蚂蚁集团是国内互联网企业中最早组建隐私保护办公室的企业之一。在今年的中国网络文明大会上，蚂蚁集团首席隐私官聂正军发表观点：技术驱动是个人信息保护的唯一出路。日前，聂正军接受21世纪经济报道专访，在他看来，这一观点也是对如何全面、切实、有效保护个人信息之问的最好回答。

(资料图)

聂正军。资料图

隐私保护办公室新招的第一位员工就是技术人员

2017年恰逢人工智能、大数据、云计算蓬勃发展，与此同时，网络环境中的个人信息保护问题也逐渐引起重视。用聂正军的话来说，“当时公众对个人信息保护的焦虑一度超过了对食品安全的焦感。”

2017年也是个人信息保护的法制建设大步向前推进的一年。《民法总则（草案）》在第十二届全国人民代表大会第五次会议上高票通过，个人信息保护相关内容被写入其中；同年，《网络安全法》正式实施，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，个人信息保护规则进一步细化。一年之后，被誉为世界范围内最严格的，欧盟《通用数据保护条例》（GDPR）也将执行，其对域外适用情形的规定，扩大了欧盟在个人信息保护方面域外管辖的范围。

在这样的背景之下，2017年，蚂蚁集团组建业内首个隐私保护办公室，法务出身的聂正军成为蚂蚁集团首席隐私官，专注于个人信息保护工作。如果说互联网平台是个人信息保护的“守门人”，那蚂蚁的隐私保护办公室就是公司内部“守门人的守门人”。

“我们认为隐私保护是个真命题，不仅为了满足合规要求而做，更是自发去满足用户隐私受保护的期待，科技企业要实现可持续高质量发展必须建设的基础能力。”

具体要怎么做？技术驱动成为破题关键。隐私风险有别于其他风险。隐私风险的治理对象是数据，呈现出使用高频率、可复制、易扩散、处理链条长、应用场景广泛等特点，传统仅靠专家经验做事前风险评审、事后风险处置的模式无法全面、准确、有效发现和处置问题。数据的固有特征，决定了必须要用技术的方式解决风险问题，才能实现对风险的看清、看全、看住，才能向用户提供便捷和易获取的隐私保护服务。

“技术不是万能的，但没有技术却万万不能。如果不用技术驱动个人信息保护能力建设，那么我们对保护个人信息的承诺就无法落到实处，那就成了所谓的隐私保护表演艺术家。”聂正军说到。在他看来，真正决定用户个人信息安全的往往是处理个人信息的各类系统、应用、权限和接口。它们承载了个人信息处理的逻辑、标准。通过底层技术进行识别、监测、干预，让法律要求得以真正落实。

“隐私保护办公室设立后，新招的第一位同事便是技术人员。”发展到现在，隐私保护办公室成员70%为技术出身，更能从技术角度出发进行产品把控和制度设计。

蚂蚁集团内部对于个人信息的保护的投入也在不断升级。2021年专设董事会隐私保护及数据安全委员会，在公司层面统筹数据安全及隐私保护工作。

基于技术的隐私保护应当是一套有序运转、智能纠偏的系统

2021年个人信息保护法的推出从一开始就吸引了社会关注，对企业的影响成为焦点之一。企业面临一系列更为严格的法定义务，亟需加快内部合规、监督体系的建设。在实践路径上，各家企业会结合自身实际进行选择。

回顾蚂蚁集团的隐私保护历程，每个阶段都和技术发展密不可分，技术与隐私保护相互嵌入。

第一个阶段，问诊。在团队初创阶段，隐私保护办公室在公司内部扮演“老中医”角色，熟知并判断产品设计、运行的每一个环节应如何切实保护用户信息，向相关同事提出建议把关。在问诊同时，跑步进入第二个阶段，即线上化环节，将产品审核转变为标准的线上流程以保障运行，既统一标准，也积累了案例和经验。第三个阶段，系统化。将线上判断总结成规则写入系统，由系统执行，确保决策和判断在实际过程中保持一致。

最后一个阶段，即目前正在发展的智能化。不仅实现把相关法律规则“翻译”成系统代码，还要实现系统代码随着法律法规的变化而变化。

在四个阶段的发展同时，蚂蚁集团的隐私保护技术体系也不断迭代和完善。加密技术、数据技术、隐私计算、可信AI构成技术底座,在底座之上发展出合规机器人、合规管控平台、受控匿名化、自动化巡检、双重确权等系列技术产品，对产品功能的用户个人信息进行全方位监测和保护，同时依托安全审计、红蓝攻防、应急响应等措施，持续提升针对风险的发现和处理能力。

其中，蚂蚁集团在隐私计算技术上的技术研究和应用持续保持行业领先，包括安全多方计算、可证去标识、零知识证明、差分隐私、可信计算、同态加密等，适用于解决不同主体间数据流动的隐私保护问题。

根据全球知识产权第三方机构IPRdaily与incoPat创新指数研究中心联合发布的2022年《全球隐私计算技术发明专利排行榜(TOP100)》，蚂蚁集团隐私计算专利数达1152件，连续两年位列排行榜第一。

在聂正军的构想中，基于技术的隐私保护应当是一套有序运转、智能纠偏的系统，可以清晰地看到用户信息的来源、存储、流转，并实现信息追踪、信息安全巡检。

“能不能、敢不敢、满意不满意”

2021年4月，支付宝上线业内首个消费者权益保护频道，11月又升级为“用户保护中心”，一站式提供隐私保护、安全管理、账户设置等内容。通过“用户保护中心”用户可以直接管理隐私的相关设置，例如看到授权应用及共享的个人信息种类、一键关闭个性化推荐，实现个人信息复制、查询等系列操作。这个功能的实现有赖于技术的支持，通过对基础数据的打通、产品功能的设置调整，最终让每个人清晰地看到个人信息情况并进行管理。

这一产品功能是受技术驱动后，用户可以直观感知的最新变化。

而在日常的产品设计开发过程中，蚂蚁隐私保护办公室作为个人信息保护的“守门人”经常会灵魂拷问业务两个问题：第一个问题，你是消费者，你的家人也是消费者，如果有一个产品如此处理个人信息，你满意还是不满意？第二个问题，我们敢不敢、能不能把个人信息处理活动公之于众？

“某种程度上他们就有答案了，企业不仅仅是被动合规满足60分。隐私保护有三方面，第一确保数据安全，第二是确保合规，第三则还要注重用户体验。产品要让用户觉得做好，能够提供用户隐私保护的获得感、便捷感。”聂正军进一步解释。

而更多的对个人信息的保护则在后台发生。作为一个大型互联网平台企业，用户隐私保护的获得感更在于平台对于其生态内各类运营方的治理。如此庞大的生态内存有形态各异、功能各异的运营方，从平台角度来说，又该如何保障流转中的个人信息安全？这也是个人信息保护法第58条所针对的企业主体必须履责的背景。

聂正军告诉21世纪经济报道，目前蚂蚁集团下属的各个平台适用一套贯穿事前、事中、事后的智能化管控体系。事前准入环节，关注合作伙伴的数据安全能力和隐私保护情况，对合作伙伴的数据安全能力进行评级。事中环节，制定了原子化的数据接口。不同行业可授权获取的数据范围根据行业性质不同，评估可获取用户信息的环节、目的以及时间是否恰当，并建立配套巡检机制。事后环节，建立和完善治理机制，根据蚂蚁集团生态合作伙伴安全管理规范进行整改、隐藏甚至直接下架。

2021年的数据显示，支付宝小程序数量已超过300万个。面对数量庞大的小程序，支付宝已上线运行小程序智能巡检，通过机器智能巡检小程序信息授权情况，并对发现的问题进行评估和治理。依照已经配置好的规则，智能巡检可以实现自动治理，包括减少曝光、隐藏下架的处罚，不需要人工操作。

作为国内最早一批个人信息保护工作的从业者，在聂正军看来，随着多部法律法规的出台，个人信息保护的网织得更密，而企业也将数据安全及隐私保护提升到更为重要的位置。今年6月，蚂蚁集团发布ESG可持续发展报告，数据安全及隐私保护就作为关键议题被囊括其中。

对于个人信息保护的下一步，聂正军表示，蚂蚁集团个人信息保护正处于智能化发展阶段，在这个过程中总结出来的标准和经验希望能够对行业有所帮助。“除了做好自身之外，也希望能够使用实践中总结出来的经验，与大家一起探索隐私保护的共识。隐私保护不仅是一家企业的工作，只有行业都做得好，才能确保用户的信息在企业间的合作、互动之中仍然安全，得到保护。”

（作者：见习记者郑雪编辑：陈磊）

标签：个人信息保护蚂蚁集团