文聶正軍 芝麻信用首席隱私官

首席隱私官眼中的數(shù)據(jù)安全

文聶正軍 芝麻信用首席隱私官

近年來(lái)，互聯(lián)網(wǎng)技術(shù)廣泛應(yīng)用和大數(shù)據(jù)產(chǎn)業(yè)的持續(xù)高速發(fā)展，促進(jìn)了經(jīng)濟(jì)社會(huì)的繁榮和進(jìn)步，也給社會(huì)民生帶來(lái)了各種便利，例如水電煤繳費(fèi)、交通出行、支付等。但國(guó)家信息化建設(shè)推進(jìn)和大數(shù)據(jù)應(yīng)用的普及，在推動(dòng)社會(huì)高速發(fā)展和創(chuàng)新變革的同時(shí)，也為個(gè)人信息安全帶來(lái)了新的挑戰(zhàn)。

當(dāng)前，數(shù)據(jù)安全和個(gè)人信息的保護(hù)，已經(jīng)與個(gè)人財(cái)產(chǎn)、人身乃至生命權(quán)利相關(guān)。比如，徐玉玉案件，還有近期出現(xiàn)的全國(guó)最大單筆電信網(wǎng)絡(luò)詐騙，一次騙走一個(gè)多億的案件，都是由于個(gè)人信息安全和數(shù)據(jù)安全的問(wèn)題所導(dǎo)致。

同時(shí)，對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)可以說(shuō)已然成為一個(gè)企業(yè)的重要核心資產(chǎn)。核心資產(chǎn)如果沒(méi)有數(shù)據(jù)安全和信息保護(hù)，可能會(huì)立即蕩然無(wú)存。今年6月1日出臺(tái)的網(wǎng)絡(luò)安全法，把網(wǎng)絡(luò)安全上升為國(guó)家安全。而網(wǎng)絡(luò)安全最重要的一個(gè)組成部分就是數(shù)據(jù)安全和信息安全?，F(xiàn)今的數(shù)據(jù)安全和信息保護(hù)，不僅涉及到每個(gè)老百姓的利益，每家企業(yè)的利益，更高層次地涉及到國(guó)家安全與國(guó)家利益。

數(shù)據(jù)安全和隱私保護(hù)存在的諸多挑戰(zhàn)

一方面，相關(guān)的法律制度仍有待完善。從2012年全國(guó)人大常務(wù)委員會(huì)頒布關(guān)于保護(hù)個(gè)人信息的決定，到6月份出臺(tái)的網(wǎng)絡(luò)安全法，這些法律都只是框架性地給出了個(gè)人信息保護(hù)方面的一些原則，但是具體層面如何操作，還有待進(jìn)一步的細(xì)化和配套措施。

另一方面，數(shù)據(jù)黑色產(chǎn)業(yè)鏈猖獗。我們做過(guò)一個(gè)統(tǒng)計(jì)調(diào)查，54%的人認(rèn)為個(gè)人信息泄露問(wèn)題比較嚴(yán)重，84%的人感受到了因?yàn)樾畔⑿孤抖a(chǎn)生的焦慮甚至恐慌。地下黑色產(chǎn)業(yè)鏈?zhǔn)菇鹑?、交通、醫(yī)療、商業(yè)、教育各個(gè)領(lǐng)域的信息數(shù)據(jù)非法流通。有數(shù)據(jù)表明，2009年至2016年的6年時(shí)間里，公安和檢察院系統(tǒng)打擊了969起信息類的犯罪。但是在2015年到2016年間就打擊了495起，即過(guò)往的1年的工作量超過(guò)以往6年來(lái)的一半，涉及到的黑產(chǎn)數(shù)據(jù)量多達(dá)數(shù)百億條，這還只是冰山的一角，所以數(shù)據(jù)黑產(chǎn)的猖獗有待進(jìn)一步高壓態(tài)勢(shì)的持續(xù)刑事打擊。

然而，企業(yè)普遍存在濫采濫用的現(xiàn)象，也要?dú)w咎于用戶自我保護(hù)意識(shí)不強(qiáng)。例如我們?nèi)ド虉?chǎng)，可能為一些蠅頭小利而提供個(gè)人信息，姓名、工作單位、聯(lián)系方式等。我們很少會(huì)去考慮或拷問(wèn)商家拿信息有什么目的。

什么是數(shù)據(jù)安全能力？

數(shù)據(jù)安全能力是未來(lái)企業(yè)必備的基礎(chǔ)能力，也是企業(yè)的核心競(jìng)爭(zhēng)力。企業(yè)如果沒(méi)有數(shù)據(jù)安全能力和個(gè)人信息保護(hù)能力，就不可能在市場(chǎng)上得到發(fā)展、站穩(wěn)腳跟。未來(lái)我們的機(jī)構(gòu)如果沒(méi)有數(shù)據(jù)安全能力和隱私保護(hù)能力，也沒(méi)有資格去參加信用體系的建設(shè)。

數(shù)據(jù)安全能力的第一層面是硬件，即數(shù)據(jù)庫(kù)的物理安全。數(shù)據(jù)庫(kù)運(yùn)行的系統(tǒng)安全決定了你是否能夠抵擋住黑客的攻擊。

第二層面是軟件，更多體現(xiàn)在企業(yè)是否建立了完善的內(nèi)控制度，員工管理是不是科學(xué)可靠等。據(jù)統(tǒng)計(jì)，在數(shù)據(jù)黑色產(chǎn)業(yè)里流通的信息，有75%來(lái)自內(nèi)部員工作案。以前商業(yè)合作中，衡量一家企業(yè)是不是值得合作，更多是看它具不具備資質(zhì)和實(shí)力，是不是有資金的支持。未來(lái)，我們應(yīng)該將企業(yè)的數(shù)據(jù)安全能力作為合作的標(biāo)準(zhǔn)和考量的因素。

↑聶正軍

芝麻信用的探索與呼吁

在數(shù)據(jù)安全能力和個(gè)人信息保護(hù)方面，芝麻信用主要做過(guò)四部分的探索。第一部分，在組織架構(gòu)上引入了獨(dú)立董事和設(shè)置了首席隱私官，這兩個(gè)崗位的職責(zé)是在芝麻信用的日常經(jīng)營(yíng)中為用戶權(quán)益代言。獨(dú)立董事有權(quán)對(duì)包括用戶個(gè)人權(quán)益在內(nèi)的相關(guān)事宜發(fā)表意見(jiàn)，首席隱私官負(fù)責(zé)公司信息管理體系并監(jiān)督落實(shí)。第二部分，業(yè)務(wù)流程上引入同時(shí)制度。任何一個(gè)產(chǎn)品在設(shè)計(jì)、施工和上線的同時(shí)，都把隱私保護(hù)的功能和方案同時(shí)設(shè)計(jì)、同時(shí)實(shí)施、同時(shí)上線。第三部分，不斷探索用新技術(shù)，確保數(shù)據(jù)安全和隱私保護(hù)。比如多方安全技術(shù)、區(qū)塊鏈，保障數(shù)據(jù)可用不可見(jiàn)、可控可追溯。第四部分，不斷強(qiáng)化員工安全意識(shí)和技能。

我想呼吁的是，希望社會(huì)各界以實(shí)際行動(dòng)共同參與到數(shù)據(jù)安全和個(gè)人信息保護(hù)的大趨勢(shì)中。其一是相關(guān)立法不斷完善。其二是司法，特別是民事救濟(jì)制度的建立。很多人感受到自己的信息權(quán)益沒(méi)有得到保障，但幾乎沒(méi)有人或者很少人會(huì)拿起法律的武器，因?yàn)槲覀儧](méi)有一套適用于今天、回應(yīng)今天用戶權(quán)益保障的有效司法救濟(jì)體系或制度。其三是執(zhí)法。希望各行各業(yè)的行政主管部門，能夠在企業(yè)的事前準(zhǔn)入、事中追蹤、事后處罰方面，加大加強(qiáng)監(jiān)管的力度以及執(zhí)法的透明度，達(dá)到處罰不良企業(yè)和教育行業(yè)的雙重目的。此外，企業(yè)應(yīng)加強(qiáng)自律，有所為有所不為，不去采集來(lái)歷不明的信息，不去采集跟自身業(yè)務(wù)無(wú)關(guān)的信息，不去采集不能為用戶創(chuàng)造價(jià)值的信息。其四是提升用戶安全意識(shí)和自我保護(hù)能力。