蚂蚁金融服务集团(蚂蚁金服)于近日发布《隐私保护和数据安全白皮书》。
白皮书强调隐私安全的重要性,首次全面披露了蚂蚁金服旗下产品支付宝在隐私保护方面所做的尝试。比如,如果涉及数据采集,系统会全程监控,一旦发现存在未经用户授权等风险,将启动预警或直接终止;在数据使用阶段,运用技术对数据进行智能分类,通过对敏感数据进行特别标识与脱敏处理,防止信息泄露;在数据共享阶段,不但对数据异常调用行为进行实时监测,而且要求合作伙伴调取用户数据前应取得用户同意。为保障隐私安全,蚂蚁金服还制定了《隐私保护制度》、《数据安全管理规范总则》等三十多项制度规范体系,这一体系成为其业务活动中不可分割的一部分。
蚂蚁金服首席隐私官聂正军表示:“在隐私保护的路上,只有起点没有终点。”他强调,隐私保护不是企业被动的负担,而是为了更好地服务客户,也为了企业能走得更长远。
随着我国社会网络化、数据化和智能化的加速推进,数据成为社会经济发展的驱动力。数据驱动的核心是让无处不在的网络和智能设备形成的数据被再次挖掘和利用,用于科技创新、经济转形、社会治理、风险防控等各个领域。数据具有巨大的社会经济价值,因而被公认为是继石油之后的新能源。于是,各个企业尽可能多地采集和收集数据,并进行各种数据分析,应用于产品或服务推广、风险控制等领域。
但是,一切数据皆有源头,其中来源于或关于个人的数据又涉及个人尊严和自由,关涉个人隐私保护(或个人信息保护)。如何在维护隐私和数据安全利益的前提下,促进数据的开放、共享和流通利用,成为推动数据经济发展的关键制度所在。这也是国外从上世纪七十年代即开始着手构建的个人数据保护法律制度的目的之所在。
国外在计算机刚刚开始大范围应用阶段,即开始从维护个人尊严或自由的角度着手保护个人信息,防范电子化的个人信息被滥用,侵犯公民的尊严和自由。相关工作的核心是防范个人被毫不知悉地“被处理”,因而要让个人知情并给予必要的参与、控制权利。
相比较而言,我国没有这样的传统。而在计算机尤其是网络普遍应用之后,内部泄露、非法窃取、买卖公民个人信息等成为社会公害,不仅危害个人隐私,而且是数据正当使用的“拦路虎”。随着数据价值的被逐步开掘,个人信息非法收集、加工处理、买卖、应用形成一条难以铲除的黑灰色产业链条,甚至挂牌企业都守不住不法买卖公民个人信息的底线。于是,保护公民个人信息不受侵犯成为我国的政治命题,公、检、法、司、学各界几乎都在探讨我国的个人信息保护方案。
探讨中我们发现,我们面临环境和任务与国外不完全相同。我国当前的问题是,个人信息被不法利用,危害的是公民的人身和财产安全。而国外立法要解决的问题是,在个人信息用于合法目的的前提下,如何规范对个人信息的利用行为,防范对个人尊严、自由及隐私的侵害。
但是,现有的个人信息保护规则合法与非法边界不甚清晰,于是打击个人信息的非法提供和获取成为我国推动数据经济发展的“魔咒”,成为正当合法的数据再利用的障碍。指望立法的确立规则,需待时日。如何打破困局,企业,尤其是大企业要有作为,要有担当。
时不我待,探索新技术条件下个人信息保护的合理制度规则,成为数据驱动型企业的担当和使命。
切实的个人信息保护有赖于领头企业的担当和探索
2012年始,我国开始移植国外的个人信息保护规则,其中最核心的是知情同意规则。
根据我国现行法律,收集和使用个人信息必须经过个人同意,非经同意的任何收集和使用行为均为违反法律规定的行为,有可能被行政处罚和承担刑事责任。于是,如何做到同意便成为企业数据合规的主要任务。
但同时,我们也发现,同意根本起不到保护个人权利的作用,反而成为滥用个人信息的保护伞。这不仅仅是因为用户往往不会细读相关授权条款,而且即使读了也没有选择自由。而在没有选择自由的情形下,同意就意味着将“命运”交给企业。
与此同时,我们还发现,在大数据、人工智能普遍应用的情形下,许多个人信息的获取,根本无法也无需取得个人的同意,而非经同意即违法的“大棒”又时时刻刻威胁着企业的数据应用。也就是说,同意变得越来越形式化,实施同意并不一定能够给个人以保护,未经同意也不见得就损害个人隐私。
于是,满足于形式还是给个人以实质性的保护,就不仅成为一种立法选择,而且也是企业选择。一个有担当、负责任的企业不应当满足于法律合规或监管要求,不应当将个人信息保护流于形式,而应当以用户利益为重,把用户隐私保护贯彻到企业的每个角落,成为企业的自觉意思。
网络为个人提供了无限的便利,人们的衣、食、住、行、工作都已离不开网络,进入到了网络化、数字化生存时代。云计算、物联网、大数据等技术支撑着人们的便捷生活。
所有这一切造成的一个后果是,个人越来越难以掌控自己,无力掌控数据。真正能够控制和使用数据的是企业、网络运营者。那种以个人控制为理论基础的个人信息保护制度也就越来越不适应网络时代的个人信息保护。即使法律赋予个人再多的权利,如果没有实际掌握数据的企业配合,这些权利也很难落地。因此,保护个人信息需要企业自觉贯彻实施相关法律,将法律转化为企业的制度和行动。这便是在世界范围内得到提倡的企业自律的作用。
在现阶段,企业自律在我国尤显重要。因为我国缺失专门的个人信息保护法,现有的法律不足以指导企业正当合理地利用个人信息,因而需要探索如何在保护个人隐私利益的前提下实现对个人数据合理利用的规则。
白皮书提出了“三同时”原则和“三要三不要”原则。
所谓“三同时”是指,在产品设计、开发和上线运行三个时间段,同步制定、实施和运行隐私保护和数据安全管理方案。这既体现了蚂蚁金服将其科技能力应用于隐私和数据安全保护的思路,也与发达国家提倡的“设计隐私”(privacy by design)的理念和作法一致,将在未来显现其有效性。
“三要三不要”则体现了蚂蚁金服个人信息保护的基本理念。“三要”是指:要给用户安全感,要用数据给用户创造价值,要确保安全与合规。“三不要”是指:不要替用户做主,不要滥用数据,不要采集来历不明的数据。这三句通俗易懂的话反映了企业对个人信息保护本质的理解和重视,必将指导和约束企业坚实作好隐私安全和合规工作,实现稳健发展。
在上述原则基础上,蚂蚁金服在数据收集、使用和共享阶段提出了自己的一套制度规则和措施。这些规则虽然具有探索性质,但对我国确立个人信息权利实质保护规则具有借鉴意义。
个人隐私保护没有终点
隐私的本质是对个人的尊重。因此,保护个人隐私本质上是培育尊重个人的文化。显然,保护隐私文化的形成依赖全社会的参与。一家企业对隐私保护的重视和探索,只是一个企业的担当和努力,没有全社会的参与不可能营造良好的隐私保护生态。
蚂蚁金服不仅自己用运科技力量,破局隐私难题,而且开发数据隐私保护产品“数据保护伞”、权限控制产品“虎符”、 多方安全计算平台“摩斯MORSE”等,赋能生态伙伴。这种携手合作伙伴,改善个人数据利用的生态环境的作法也是在打造良好的数据生态,推动社会隐私文化建设。我们期待这些保护隐私的技术措施能够发挥作用,带动整个金融服务行业乃至其他行业个人信息保护环境的彻底改善。
网络化、数据化、智能化已经成为不可阻挡的趋势,在这个大背景下,如何既给用户提供更好的服务,又能保护好用户的隐私?这是整个世界互联网行业都必须面对的一个挑战。蚂蚁金服从制度、组织、内训、用户政策、数据治理多维度构筑了一套个人隐私保护和数据安全治理体系,是一个平台在保护好用户隐私前提下,发挥数据的社会价值的一种探索,值得业内其他企业学习。
不过,隐私保护是一件只有起点,没有终点的事业。笔者不仅希望蚂蚁金服持续推进,为行业提供示范引领作用,而且希望更多的企业和相关组织加入进来,推动隐私保护事业进步,促进中国数字经济的发展。(作者:高富平 华东政法大学法律学院教授、大数据政策法律研究中心主任)
《军人一分钟》
