支付宝和蚂蚁金服事件后续：蚂蚁金服发布隐私保护报告

支付宝和蚂蚁金服事件后续：蚂蚁金服发布隐私保护报告【浙江新闻 】蚂蚁金服首席隐私官聂正军：隐私政策不是“皇帝的新衣”聂正军告诉记者，隐私保护不是企业被动的负担，而是为了更好地服务客户，也为了企业能走得更长远。在移动互联网时代，如何既给用户提供更好的服务，又能保护好用户的隐私？这是整个世界互联网行业都必须面对的一个挑战。“科技可以让数据的价值更加充分使用，但也唯有科技才能实现更有保障的隐私保护”。蚂蚁金服用技术驱动隐私保护上的努力，还体现在推进产品化，赋能生态伙伴。在将隐私保护产品化方面，蚂蚁金服开发了系列安全产品，如数据隐私保护产品“数据保护伞”、权限控制产品“虎符”、多方安全计算平台“摩斯MORSE”等，去帮助合作伙伴提升数据安全保障能力。App的使用，一般是越不打扰用户越好。但对现在的支付宝而言，涉及到信息授权时，是必须要“打扰”用户，请求其授权的。这也是支付宝对内部的“约法三章”之一。这“三要三不要”原则：不要替用户做主，不要滥用数

2018-08-22 18:04 | 浙江新闻客户端 | 记者 章卉

继设立首席隐私官、成立隐私保护办公室后，蚂蚁金服在隐私保护上又有新动作：8月22日，蚂蚁金服发布《隐私保护和数据安全白皮书》，强调了隐私安全的重要性，全面介绍了蚂蚁金服的做法。蚂蚁金服首席隐私官聂正军表示，“在隐私保护的路上，只有起点没有终点”。

作为一家科技公司，蚂蚁金服擅长利用前沿技术来解决碰到的问题。在隐私保护上也不例外。这份白皮书首次全面披露了支付宝在隐私保护上做的尝试。

目前在蚂蚁金服，如果涉及数据采集，系统会全程监控，一旦发现存在未经用户授权等风险，将启动预警或直接终止；在数据使用阶段，运用技术对数据进行智能分类，通过对敏感数据进行特别标识与脱敏处理，防止信息泄露；同时遵循“最小够用”原则，建立了细粒度的权限控制。在数据共享阶段，不但对数据异常调用行为进行实时监测，而且限制合作伙伴调取用户数据前应取得用户同意。

蚂蚁金服用技术驱动隐私保护上的努力，还体现在推进产品化，赋能生态伙伴。在将隐私保护产品化方面，蚂蚁金服开发了系列安全产品，如数据隐私保护产品“数据保护伞”、权限控制产品“虎符”、多方安全计算平台“摩斯MORSE”等，去帮助合作伙伴提升数据安全保障能力。

App的使用，一般是越不打扰用户越好。但对现在的支付宝而言，涉及到信息授权时，是必须要“打扰”用户，请求其授权的。这也是支付宝对内部的“约法三章”之一。这“三要三不要”原则：不要替用户做主，不要滥用数据，不要采集来历不明的数据，也写进了白皮书。

为保障隐私安全，蚂蚁金服还制定了《隐私保护制度》、《数据安全管理规范总则》、《数据分级分类规范》等30多项制度规范体系，让其成为业务活动中不可分割的一部分，保障数据安全风险管理有章可循以及数据安全风险可控。

聂正军告诉记者，隐私保护不是企业被动的负担，而是为了更好地服务客户，也为了企业能走得更长远。在移动互联网时代，如何既给用户提供更好的服务，又能保护好用户的隐私？这是整个世界互联网行业都必须面对的一个挑战。“科技可以让数据的价值更加充分使用，但也唯有科技才能实现更有保障的隐私保护”。

【浙江新闻 】蚂蚁金服首席隐私官聂正军：隐私政策不是“皇帝的新衣”

记者：业界普遍认为大数据时代，用户不可避免的要让渡一部分个人信息。大数据发展和隐私保护的平衡点在哪？

聂正军：我觉得最重要的是把决定权放在用户手上。用户的个人信息通常会涉及财产安全和人身安全两个方面，如果决定权不在用户手上，用户就容易感到焦虑，然后不敢或不想去使用这个产品。这样一来，企业就没法在市场竞争中得到好的发展，企业和用户一环扣一环形成恶性循环。如果要解开这个“扣”，就只能是把决定权交给用户，在透明的、用户知情的情况下让用户自己选择，用户能感受到他的个人信息时刻处于安全的状态，他的隐私是被尊重的，这样用户才会有隐私得到保护的安全感，从而产生信任。

记者：你刚才说到的“透明的、用户知情的情况”是指什么？

聂正军：就是企业的隐私政策。阳光是最好的消毒剂，现在很多企业连隐私政策都没有，用户怎么可能放心使用你的产品？如果你让用户知道会采集他的哪些信息、怎样使用这些信息、将用于哪些合理的目的，用户就会理解企业的逻辑。如果一个手电筒APP还要采集人像和读取短信，这显然是不必要、不合理的。

有人觉得隐私政策就像皇帝的新衣，都知道没用，但还要强调。我认为不是没用，而是首先企业要摆正姿态，起码要让用户有机会去了解；之后的重点在于如何使用和对外披露，要让用户更强的感知自己拥有的权利。

我认为，企业的隐私政策，永远都要写我为了什么而要干什么、你同意我这么干的同时你还有什么样的权利，而不是说我要干什么、你得同意我这么干，这是过往很多企业隐私政策的通病。

记者：所以说在企业的隐私政策做得还不够好的现状下，用户焦虑是正常现象？

聂正军：用户的焦虑还有一大因素在于，他的行动跟不上焦虑。你觉得有多少用户会看隐私政策？估计不到百分之一。这说明用户在焦虑的同时，又缺少主动提升自己隐私保护的意识和能力。

所以这是个多元共治的问题，不是说把企业管好了就行了。企业提供隐私政策，并且把它做得更加通俗易懂当然非常重要，但是还需要用户的共同努力。

记者：企业应该以什么态度看待用户隐私保护？

聂正军：首先，如果企业想要长远稳健发展，必须有前瞻性和预见性。如果只是把隐私保护当成负担和枷锁，是没有办法走得长远的。其次就是要透明，不要遮遮掩掩。企业要告诉用户，为了更好地提供服务，确实需要用户提供这些信息，相信用户是能够理解的。第三个层面就是要有底线，有所为有所不为，这也是真伪大数据的根本区别。

记者：这里的“伪大数据”是指什么？

聂正军：就是企业的目的不是给用户提供服务，而是想做数据买卖。我认为，不给用户创造价值，只做数据搬运工的都是“耍流氓”。

没有买卖就没有伤害，用在这里也很合适。如果你从黑市买一些来历不明的数据，就会助长整个黑产，让更多人骗取和窃取用户数据。相反，如果企业做到有所为有所不为，把产品和服务变成核心竞争力，就能形成正循环，赢得用户和市场的信任。

不过，这只是过往的模式。随着用户越来越关注隐私保护，监管越来越严格，未来企业光有的好的产品和服务还不够，还要有足够的信息安全和隐私保护能力，这才是未来企业的核心竞争力。

记者：除了数据买卖，企业如何合理使用匿名化的大数据实现精准营销也是值得关注的问题。

聂正军：要分两种情况：第一种是把统计数据，比如男女性别比例、顾客来源，用来制定营销计划，而不针对个体，这时候企业大数据使用和隐私保护不冲突；第二种是针对用户个体定向营销，这就有冲突了。

比如2015年在南京判决的一起百度被诉侵犯个人隐私案。原告在百度搜索了整容相关的信息之后，被定向推送整容广告，她认为百度侵犯了个人隐私。终审判决认为百度不构成侵犯用户隐私权，因为百度利用cookie技术收集、利用数据信息虽然具有隐私属性，但其终端只是特定IP地址的浏览器，不与特定用户产生必然关联。

记者：如何解决这个矛盾？

聂正军：就百度的案例来说，最好的解决办法就是百度把使用cookie的选择权交给用户，让用户可以便捷的取消使用cookie功能。

在金融行业里还有一种处理方式。比如我们的芝麻信用会用到一种叫“多方安全计算”的技术，把收集的用户信息经过模型加工处理，得出芝麻信用分。这个分数实际上是一个高度概括的等级，本身没有任何意义，真正隐私的是分数背后的原始信息。

记者：蚂蚁金服在实际工作中是否遇过法律法规方面的问题？

聂正军：现有法律还是比较原则性，指引了方向，但对于企业来讲，规则当然是越明确越具可操作性，这就需要具体的管理规范，比如网信办正在做的“个人信息安全规范”。

我们现在还在发展中，其实国外很多地方已经有非常多的第三方认证机构，虽然我们也有，但更多是从系统的稳定性、可用性的角度认证。我相信未来我们也会有权威的、中立的民间第三方认证机构，用软性的、行业自律的方式促进企业隐私保护，在形成了一定的公信力以后，大家自然就会认可。据南方都市报