在螞蟻集團(tuán)首席隱私官聶正軍看來，隨著多部法律法規(guī)的出臺，個(gè)人信息保護(hù)的網(wǎng)織得更密，而企業(yè)也將數(shù)據(jù)安全及隱私保護(hù)提升到更為重要的位置。

數(shù)字經(jīng)濟(jì)的健康發(fā)展離不開安全二字，其中如何保護(hù)個(gè)人信息，已成為企業(yè)必須回答的問題。截至目前我國已先后出臺多部法律，2021年11月1日，我國正式施行專門法律——個(gè)人信息保護(hù)法，重點(diǎn)關(guān)注作為“守門人”的大型互聯(lián)網(wǎng)平臺對于個(gè)人信息保護(hù)的實(shí)踐。

【資料圖】

螞蟻集團(tuán)是國內(nèi)互聯(lián)網(wǎng)企業(yè)中最早組建隱私保護(hù)辦公室的企業(yè)之一。在今年的中國網(wǎng)絡(luò)文明大會(huì)上，螞蟻集團(tuán)首席隱私官聶正軍發(fā)表觀點(diǎn)：技術(shù)驅(qū)動(dòng)是個(gè)人信息保護(hù)的唯一出路。日前，聶正軍接受21世紀(jì)經(jīng)濟(jì)報(bào)道專訪，在他看來，這一觀點(diǎn)也是對如何全面、切實(shí)、有效保護(hù)個(gè)人信息之問的最好回答。

聶正軍。資料圖

隱私保護(hù)辦公室新招的第一位員工就是技術(shù)人員

2017年恰逢人工智能、大數(shù)據(jù)、云計(jì)算蓬勃發(fā)展，與此同時(shí)，網(wǎng)絡(luò)環(huán)境中的個(gè)人信息保護(hù)問題也逐漸引起重視。用聶正軍的話來說，“當(dāng)時(shí)公眾對個(gè)人信息保護(hù)的焦慮一度超過了對食品安全的焦感。”

2017年也是個(gè)人信息保護(hù)的法制建設(shè)大步向前推進(jìn)的一年。《民法總則（草案）》在第十二屆全國人民代表大會(huì)第五次會(huì)議上高票通過，個(gè)人信息保護(hù)相關(guān)內(nèi)容被寫入其中；同年，《網(wǎng)絡(luò)安全法》正式實(shí)施，最高人民法院、最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，個(gè)人信息保護(hù)規(guī)則進(jìn)一步細(xì)化。一年之后，被譽(yù)為世界范圍內(nèi)最嚴(yán)格的，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）也將執(zhí)行，其對域外適用情形的規(guī)定，擴(kuò)大了歐盟在個(gè)人信息保護(hù)方面域外管轄的范圍。

在這樣的背景之下，2017年，螞蟻集團(tuán)組建業(yè)內(nèi)首個(gè)隱私保護(hù)辦公室，法務(wù)出身的聶正軍成為螞蟻集團(tuán)首席隱私官，專注于個(gè)人信息保護(hù)工作。如果說互聯(lián)網(wǎng)平臺是個(gè)人信息保護(hù)的“守門人”，那螞蟻的隱私保護(hù)辦公室就是公司內(nèi)部“守門人的守門人”。

“我們認(rèn)為隱私保護(hù)是個(gè)真命題，不僅為了滿足合規(guī)要求而做，更是自發(fā)去滿足用戶隱私受保護(hù)的期待，科技企業(yè)要實(shí)現(xiàn)可持續(xù)高質(zhì)量發(fā)展必須建設(shè)的基礎(chǔ)能力。”

具體要怎么做？技術(shù)驅(qū)動(dòng)成為破題關(guān)鍵。隱私風(fēng)險(xiǎn)有別于其他風(fēng)險(xiǎn)。隱私風(fēng)險(xiǎn)的治理對象是數(shù)據(jù)，呈現(xiàn)出使用高頻率、可復(fù)制、易擴(kuò)散、處理鏈條長、應(yīng)用場景廣泛等特點(diǎn)，傳統(tǒng)僅靠專家經(jīng)驗(yàn)做事前風(fēng)險(xiǎn)評審、事后風(fēng)險(xiǎn)處置的模式無法全面、準(zhǔn)確、有效發(fā)現(xiàn)和處置問題。數(shù)據(jù)的固有特征，決定了必須要用技術(shù)的方式解決風(fēng)險(xiǎn)問題，才能實(shí)現(xiàn)對風(fēng)險(xiǎn)的看清、看全、看住，才能向用戶提供便捷和易獲取的隱私保護(hù)服務(wù)。

“技術(shù)不是萬能的，但沒有技術(shù)卻萬萬不能。如果不用技術(shù)驅(qū)動(dòng)個(gè)人信息保護(hù)能力建設(shè)，那么我們對保護(hù)個(gè)人信息的承諾就無法落到實(shí)處，那就成了所謂的隱私保護(hù)表演藝術(shù)家。”聶正軍說到。在他看來，真正決定用戶個(gè)人信息安全的往往是處理個(gè)人信息的各類系統(tǒng)、應(yīng)用、權(quán)限和接口。它們承載了個(gè)人信息處理的邏輯、標(biāo)準(zhǔn)。通過底層技術(shù)進(jìn)行識別、監(jiān)測、干預(yù)，讓法律要求得以真正落實(shí)。

“隱私保護(hù)辦公室設(shè)立后，新招的第一位同事便是技術(shù)人員。”發(fā)展到現(xiàn)在，隱私保護(hù)辦公室成員70%為技術(shù)出身，更能從技術(shù)角度出發(fā)進(jìn)行產(chǎn)品把控和制度設(shè)計(jì)。

螞蟻集團(tuán)內(nèi)部對于個(gè)人信息的保護(hù)的投入也在不斷升級。2021年專設(shè)董事會(huì)隱私保護(hù)及數(shù)據(jù)安全委員會(huì)，在公司層面統(tǒng)籌數(shù)據(jù)安全及隱私保護(hù)工作。

基于技術(shù)的隱私保護(hù)應(yīng)當(dāng)是一套有序運(yùn)轉(zhuǎn)、智能糾偏的系統(tǒng)

2021年個(gè)人信息保護(hù)法的推出從一開始就吸引了社會(huì)關(guān)注，對企業(yè)的影響成為焦點(diǎn)之一。企業(yè)面臨一系列更為嚴(yán)格的法定義務(wù)，亟需加快內(nèi)部合規(guī)、監(jiān)督體系的建設(shè)。在實(shí)踐路徑上，各家企業(yè)會(huì)結(jié)合自身實(shí)際進(jìn)行選擇。

回顧螞蟻集團(tuán)的隱私保護(hù)歷程，每個(gè)階段都和技術(shù)發(fā)展密不可分，技術(shù)與隱私保護(hù)相互嵌入。

第一個(gè)階段，問診。在團(tuán)隊(duì)初創(chuàng)階段，隱私保護(hù)辦公室在公司內(nèi)部扮演“老中醫(yī)”角色，熟知并判斷產(chǎn)品設(shè)計(jì)、運(yùn)行的每一個(gè)環(huán)節(jié)應(yīng)如何切實(shí)保護(hù)用戶信息，向相關(guān)同事提出建議把關(guān)。在問診同時(shí)，跑步進(jìn)入第二個(gè)階段，即線上化環(huán)節(jié)，將產(chǎn)品審核轉(zhuǎn)變?yōu)闃?biāo)準(zhǔn)的線上流程以保障運(yùn)行，既統(tǒng)一標(biāo)準(zhǔn)，也積累了案例和經(jīng)驗(yàn)。第三個(gè)階段，系統(tǒng)化。將線上判斷總結(jié)成規(guī)則寫入系統(tǒng)，由系統(tǒng)執(zhí)行，確保決策和判斷在實(shí)際過程中保持一致。

最后一個(gè)階段，即目前正在發(fā)展的智能化。不僅實(shí)現(xiàn)把相關(guān)法律規(guī)則“翻譯”成系統(tǒng)代碼，還要實(shí)現(xiàn)系統(tǒng)代碼隨著法律法規(guī)的變化而變化。

在四個(gè)階段的發(fā)展同時(shí)，螞蟻集團(tuán)的隱私保護(hù)技術(shù)體系也不斷迭代和完善。加密技術(shù)、數(shù)據(jù)技術(shù)、隱私計(jì)算、可信AI構(gòu)成技術(shù)底座,在底座之上發(fā)展出合規(guī)機(jī)器人、合規(guī)管控平臺、受控匿名化、自動(dòng)化巡檢、雙重確權(quán)等系列技術(shù)產(chǎn)品，對產(chǎn)品功能的用戶個(gè)人信息進(jìn)行全方位監(jiān)測和保護(hù)，同時(shí)依托安全審計(jì)、紅藍(lán)攻防、應(yīng)急響應(yīng)等措施，持續(xù)提升針對風(fēng)險(xiǎn)的發(fā)現(xiàn)和處理能力。

其中，螞蟻集團(tuán)在隱私計(jì)算技術(shù)上的技術(shù)研究和應(yīng)用持續(xù)保持行業(yè)領(lǐng)先，包括安全多方計(jì)算、可證去標(biāo)識、零知識證明、差分隱私、可信計(jì)算、同態(tài)加密等，適用于解決不同主體間數(shù)據(jù)流動(dòng)的隱私保護(hù)問題。

根據(jù)全球知識產(chǎn)權(quán)第三方機(jī)構(gòu)IPRdaily與incoPat創(chuàng)新指數(shù)研究中心聯(lián)合發(fā)布的2022年《全球隱私計(jì)算技術(shù)發(fā)明專利排行榜(TOP100)》，螞蟻集團(tuán)隱私計(jì)算專利數(shù)達(dá)1152件，連續(xù)兩年位列排行榜第一。

在聶正軍的構(gòu)想中，基于技術(shù)的隱私保護(hù)應(yīng)當(dāng)是一套有序運(yùn)轉(zhuǎn)、智能糾偏的系統(tǒng)，可以清晰地看到用戶信息的來源、存儲、流轉(zhuǎn)，并實(shí)現(xiàn)信息追蹤、信息安全巡檢。

“能不能、敢不敢、滿意不滿意”

2021年4月，支付寶上線業(yè)內(nèi)首個(gè)消費(fèi)者權(quán)益保護(hù)頻道，11月又升級為“用戶保護(hù)中心”，一站式提供隱私保護(hù)、安全管理、賬戶設(shè)置等內(nèi)容。通過“用戶保護(hù)中心”用戶可以直接管理隱私的相關(guān)設(shè)置，例如看到授權(quán)應(yīng)用及共享的個(gè)人信息種類、一鍵關(guān)閉個(gè)性化推薦，實(shí)現(xiàn)個(gè)人信息復(fù)制、查詢等系列操作。這個(gè)功能的實(shí)現(xiàn)有賴于技術(shù)的支持，通過對基礎(chǔ)數(shù)據(jù)的打通、產(chǎn)品功能的設(shè)置調(diào)整，最終讓每個(gè)人清晰地看到個(gè)人信息情況并進(jìn)行管理。

這一產(chǎn)品功能是受技術(shù)驅(qū)動(dòng)后，用戶可以直觀感知的最新變化。

而在日常的產(chǎn)品設(shè)計(jì)開發(fā)過程中，螞蟻隱私保護(hù)辦公室作為個(gè)人信息保護(hù)的“守門人”經(jīng)常會(huì)靈魂拷問業(yè)務(wù)兩個(gè)問題：第一個(gè)問題，你是消費(fèi)者，你的家人也是消費(fèi)者，如果有一個(gè)產(chǎn)品如此處理個(gè)人信息，你滿意還是不滿意？第二個(gè)問題，我們敢不敢、能不能把個(gè)人信息處理活動(dòng)公之于眾？

“某種程度上他們就有答案了，企業(yè)不僅僅是被動(dòng)合規(guī)滿足60分。隱私保護(hù)有三方面，第一確保數(shù)據(jù)安全，第二是確保合規(guī)，第三則還要注重用戶體驗(yàn)。產(chǎn)品要讓用戶覺得做好，能夠提供用戶隱私保護(hù)的獲得感、便捷感。”聶正軍進(jìn)一步解釋。

而更多的對個(gè)人信息的保護(hù)則在后臺發(fā)生。作為一個(gè)大型互聯(lián)網(wǎng)平臺企業(yè)，用戶隱私保護(hù)的獲得感更在于平臺對于其生態(tài)內(nèi)各類運(yùn)營方的治理。如此龐大的生態(tài)內(nèi)存有形態(tài)各異、功能各異的運(yùn)營方，從平臺角度來說，又該如何保障流轉(zhuǎn)中的個(gè)人信息安全？這也是個(gè)人信息保護(hù)法第58條所針對的企業(yè)主體必須履責(zé)的背景。

聶正軍告訴21世紀(jì)經(jīng)濟(jì)報(bào)道，目前螞蟻集團(tuán)下屬的各個(gè)平臺適用一套貫穿事前、事中、事后的智能化管控體系。事前準(zhǔn)入環(huán)節(jié)，關(guān)注合作伙伴的數(shù)據(jù)安全能力和隱私保護(hù)情況，對合作伙伴的數(shù)據(jù)安全能力進(jìn)行評級。事中環(huán)節(jié)，制定了原子化的數(shù)據(jù)接口。不同行業(yè)可授權(quán)獲取的數(shù)據(jù)范圍根據(jù)行業(yè)性質(zhì)不同，評估可獲取用戶信息的環(huán)節(jié)、目的以及時(shí)間是否恰當(dāng)，并建立配套巡檢機(jī)制。事后環(huán)節(jié)，建立和完善治理機(jī)制，根據(jù)螞蟻集團(tuán)生態(tài)合作伙伴安全管理規(guī)范進(jìn)行整改、隱藏甚至直接下架。

2021年的數(shù)據(jù)顯示，支付寶小程序數(shù)量已超過300萬個(gè)。面對數(shù)量龐大的小程序，支付寶已上線運(yùn)行小程序智能巡檢，通過機(jī)器智能巡檢小程序信息授權(quán)情況，并對發(fā)現(xiàn)的問題進(jìn)行評估和治理。依照已經(jīng)配置好的規(guī)則，智能巡檢可以實(shí)現(xiàn)自動(dòng)治理，包括減少曝光、隱藏下架的處罰，不需要人工操作。

作為國內(nèi)最早一批個(gè)人信息保護(hù)工作的從業(yè)者，在聶正軍看來，隨著多部法律法規(guī)的出臺，個(gè)人信息保護(hù)的網(wǎng)織得更密，而企業(yè)也將數(shù)據(jù)安全及隱私保護(hù)提升到更為重要的位置。今年6月，螞蟻集團(tuán)發(fā)布ESG可持續(xù)發(fā)展報(bào)告，數(shù)據(jù)安全及隱私保護(hù)就作為關(guān)鍵議題被囊括其中。

對于個(gè)人信息保護(hù)的下一步，聶正軍表示，螞蟻集團(tuán)個(gè)人信息保護(hù)正處于智能化發(fā)展階段，在這個(gè)過程中總結(jié)出來的標(biāo)準(zhǔn)和經(jīng)驗(yàn)希望能夠?qū)π袠I(yè)有所幫助。“除了做好自身之外，也希望能夠使用實(shí)踐中總結(jié)出來的經(jīng)驗(yàn)，與大家一起探索隱私保護(hù)的共識。隱私保護(hù)不僅是一家企業(yè)的工作，只有行業(yè)都做得好，才能確保用戶的信息在企業(yè)間的合作、互動(dòng)之中仍然安全，得到保護(hù)。”

（作者：見習(xí)記者鄭雪 編輯：陳磊）