【環球報資訊】螞蟻集團首席隱私官：為什么技術驅動是個人信息保護的唯一出路

在螞蟻集團首席隱私官聶正軍看來，隨著多部法律法規的出臺，個人信息保護的網織得更密，而企業也將數據安全及隱私保護提升到更為重要的位置。

數字經濟的健康發展離不開安全二字，其中如何保護個人信息，已成為企業必須回答的問題。截至目前我國已先后出臺多部法律，2021年11月1日，我國正式施行專門法律——個人信息保護法，重點關注作為“守門人”的大型互聯網平臺對于個人信息保護的實踐。

【資料圖】

螞蟻集團是國內互聯網企業中最早組建隱私保護辦公室的企業之一。在今年的中國網絡文明大會上，螞蟻集團首席隱私官聶正軍發表觀點：技術驅動是個人信息保護的唯一出路。日前，聶正軍接受21世紀經濟報道專訪，在他看來，這一觀點也是對如何全面、切實、有效保護個人信息之問的最好回答。

聶正軍。資料圖

隱私保護辦公室新招的第一位員工就是技術人員

2017年恰逢人工智能、大數據、云計算蓬勃發展，與此同時，網絡環境中的個人信息保護問題也逐漸引起重視。用聶正軍的話來說，“當時公眾對個人信息保護的焦慮一度超過了對食品安全的焦感。”

2017年也是個人信息保護的法制建設大步向前推進的一年。《民法總則（草案）》在第十二屆全國人民代表大會第五次會議上高票通過，個人信息保護相關內容被寫入其中；同年，《網絡安全法》正式實施，最高人民法院、最高人民檢察院發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，個人信息保護規則進一步細化。一年之后，被譽為世界范圍內最嚴格的，歐盟《通用數據保護條例》（GDPR）也將執行，其對域外適用情形的規定，擴大了歐盟在個人信息保護方面域外管轄的范圍。

在這樣的背景之下，2017年，螞蟻集團組建業內首個隱私保護辦公室，法務出身的聶正軍成為螞蟻集團首席隱私官，專注于個人信息保護工作。如果說互聯網平臺是個人信息保護的“守門人”，那螞蟻的隱私保護辦公室就是公司內部“守門人的守門人”。

“我們認為隱私保護是個真命題，不僅為了滿足合規要求而做，更是自發去滿足用戶隱私受保護的期待，科技企業要實現可持續高質量發展必須建設的基礎能力。”

具體要怎么做？技術驅動成為破題關鍵。隱私風險有別于其他風險。隱私風險的治理對象是數據，呈現出使用高頻率、可復制、易擴散、處理鏈條長、應用場景廣泛等特點，傳統僅靠專家經驗做事前風險評審、事后風險處置的模式無法全面、準確、有效發現和處置問題。數據的固有特征，決定了必須要用技術的方式解決風險問題，才能實現對風險的看清、看全、看住，才能向用戶提供便捷和易獲取的隱私保護服務。

“技術不是萬能的，但沒有技術卻萬萬不能。如果不用技術驅動個人信息保護能力建設，那么我們對保護個人信息的承諾就無法落到實處，那就成了所謂的隱私保護表演藝術家。”聶正軍說到。在他看來，真正決定用戶個人信息安全的往往是處理個人信息的各類系統、應用、權限和接口。它們承載了個人信息處理的邏輯、標準。通過底層技術進行識別、監測、干預，讓法律要求得以真正落實。

“隱私保護辦公室設立后，新招的第一位同事便是技術人員。”發展到現在，隱私保護辦公室成員70%為技術出身，更能從技術角度出發進行產品把控和制度設計。

螞蟻集團內部對于個人信息的保護的投入也在不斷升級。2021年專設董事會隱私保護及數據安全委員會，在公司層面統籌數據安全及隱私保護工作。

基于技術的隱私保護應當是一套有序運轉、智能糾偏的系統

2021年個人信息保護法的推出從一開始就吸引了社會關注，對企業的影響成為焦點之一。企業面臨一系列更為嚴格的法定義務，亟需加快內部合規、監督體系的建設。在實踐路徑上，各家企業會結合自身實際進行選擇。

回顧螞蟻集團的隱私保護歷程，每個階段都和技術發展密不可分，技術與隱私保護相互嵌入。

第一個階段，問診。在團隊初創階段，隱私保護辦公室在公司內部扮演“老中醫”角色，熟知并判斷產品設計、運行的每一個環節應如何切實保護用戶信息，向相關同事提出建議把關。在問診同時，跑步進入第二個階段，即線上化環節，將產品審核轉變為標準的線上流程以保障運行，既統一標準，也積累了案例和經驗。第三個階段，系統化。將線上判斷總結成規則寫入系統，由系統執行，確保決策和判斷在實際過程中保持一致。

最后一個階段，即目前正在發展的智能化。不僅實現把相關法律規則“翻譯”成系統代碼，還要實現系統代碼隨著法律法規的變化而變化。

在四個階段的發展同時，螞蟻集團的隱私保護技術體系也不斷迭代和完善。加密技術、數據技術、隱私計算、可信AI構成技術底座,在底座之上發展出合規機器人、合規管控平臺、受控匿名化、自動化巡檢、雙重確權等系列技術產品，對產品功能的用戶個人信息進行全方位監測和保護，同時依托安全審計、紅藍攻防、應急響應等措施，持續提升針對風險的發現和處理能力。

其中，螞蟻集團在隱私計算技術上的技術研究和應用持續保持行業領先，包括安全多方計算、可證去標識、零知識證明、差分隱私、可信計算、同態加密等，適用于解決不同主體間數據流動的隱私保護問題。

根據全球知識產權第三方機構IPRdaily與incoPat創新指數研究中心聯合發布的2022年《全球隱私計算技術發明專利排行榜(TOP100)》，螞蟻集團隱私計算專利數達1152件，連續兩年位列排行榜第一。

在聶正軍的構想中，基于技術的隱私保護應當是一套有序運轉、智能糾偏的系統，可以清晰地看到用戶信息的來源、存儲、流轉，并實現信息追蹤、信息安全巡檢。

“能不能、敢不敢、滿意不滿意”

2021年4月，支付寶上線業內首個消費者權益保護頻道，11月又升級為“用戶保護中心”，一站式提供隱私保護、安全管理、賬戶設置等內容。通過“用戶保護中心”用戶可以直接管理隱私的相關設置，例如看到授權應用及共享的個人信息種類、一鍵關閉個性化推薦，實現個人信息復制、查詢等系列操作。這個功能的實現有賴于技術的支持，通過對基礎數據的打通、產品功能的設置調整，最終讓每個人清晰地看到個人信息情況并進行管理。

這一產品功能是受技術驅動后，用戶可以直觀感知的最新變化。

而在日常的產品設計開發過程中，螞蟻隱私保護辦公室作為個人信息保護的“守門人”經常會靈魂拷問業務兩個問題：第一個問題，你是消費者，你的家人也是消費者，如果有一個產品如此處理個人信息，你滿意還是不滿意？第二個問題，我們敢不敢、能不能把個人信息處理活動公之于眾？

“某種程度上他們就有答案了，企業不僅僅是被動合規滿足60分。隱私保護有三方面，第一確保數據安全，第二是確保合規，第三則還要注重用戶體驗。產品要讓用戶覺得做好，能夠提供用戶隱私保護的獲得感、便捷感。”聶正軍進一步解釋。

而更多的對個人信息的保護則在后臺發生。作為一個大型互聯網平臺企業，用戶隱私保護的獲得感更在于平臺對于其生態內各類運營方的治理。如此龐大的生態內存有形態各異、功能各異的運營方，從平臺角度來說，又該如何保障流轉中的個人信息安全？這也是個人信息保護法第58條所針對的企業主體必須履責的背景。

聶正軍告訴21世紀經濟報道，目前螞蟻集團下屬的各個平臺適用一套貫穿事前、事中、事后的智能化管控體系。事前準入環節，關注合作伙伴的數據安全能力和隱私保護情況，對合作伙伴的數據安全能力進行評級。事中環節，制定了原子化的數據接口。不同行業可授權獲取的數據范圍根據行業性質不同，評估可獲取用戶信息的環節、目的以及時間是否恰當，并建立配套巡檢機制。事后環節，建立和完善治理機制，根據螞蟻集團生態合作伙伴安全管理規范進行整改、隱藏甚至直接下架。

2021年的數據顯示，支付寶小程序數量已超過300萬個。面對數量龐大的小程序，支付寶已上線運行小程序智能巡檢，通過機器智能巡檢小程序信息授權情況，并對發現的問題進行評估和治理。依照已經配置好的規則，智能巡檢可以實現自動治理，包括減少曝光、隱藏下架的處罰，不需要人工操作。

作為國內最早一批個人信息保護工作的從業者，在聶正軍看來，隨著多部法律法規的出臺，個人信息保護的網織得更密，而企業也將數據安全及隱私保護提升到更為重要的位置。今年6月，螞蟻集團發布ESG可持續發展報告，數據安全及隱私保護就作為關鍵議題被囊括其中。

對于個人信息保護的下一步，聶正軍表示，螞蟻集團個人信息保護正處于智能化發展階段，在這個過程中總結出來的標準和經驗希望能夠對行業有所幫助。“除了做好自身之外，也希望能夠使用實踐中總結出來的經驗，與大家一起探索隱私保護的共識。隱私保護不僅是一家企業的工作，只有行業都做得好，才能確保用戶的信息在企業間的合作、互動之中仍然安全，得到保護。”

（作者：見習記者鄭雪 編輯：陳磊）