在全球数字化浪潮中,金融行业无疑站在变革前沿,每天承载着数以亿计的交易和信息流动,涉及个人储蓄、信贷记录、投资详情等极其敏感的内容。掌握海量个人金融信息的金融服务企业如何落实个人信息保护工作,防范数据泄露事件发生?平安科技(深圳)有限公司副总工程师姜欣近日接受了南都大数据研究院专访。
南都:企业应该如何回应用户对个人信息使用的知情权和控制权的需求,在提供个性化服务和保护用户隐私之间找到合适的平衡点?
姜欣:这一直是我们实践探索的内容,可以分享目前的一些经验。首先是构建更好的合规体系,在协议框架中构建平衡。企业要明确意识到,处理个人信息等数据的行为必须获得授权,从而在严格授权的基础上,获得后续使用的合规。“无授权,不使用”这本身就是平衡的基础。
其次,技术保障是实现平衡的关键。少数几个客户的数据实现严格管理和使用并不难,真正困难的是大规模客户信息的合规使用。既要保证合规,又要保证提供个性化服务,需要个人信息处理者规划建立从数据收集开始就能进行授权管理的技术体系。
然后是增加信任和透明性,保障数据合规使用。信任的基础,源于透明度。在收集和使用用户信息时,应明确告知信息的收集目的、使用方式和范围,并征得用户同意;通过隐私政策、用户协议等方式,向用户公开数据处理活动的相关信息。
最后是树立个人信息保护合规价值观。必须坚持优先保护客户权益,然后才能考虑服务发展。通过在企业内部自上而下确立个人信息保护的合规价值观,从而找到个性化服务与合规平衡的良性互促路径。
姜欣:一是加密技术的发展。加密技术可以有效地保护个人数据的安全性。但随着数据规模和处理时效要求的增加,个人信息保护对加密技术的效率和可靠性,提出了更高的要求。加密技术的不断发展和完善,将大大提升数据传输和存储的安全性。
二是人工智能技术。AI能够自动化分析合规过程风险,提高合规工作效率;机器学习等技术也有助于及时发现并应对潜在的数据泄露和非法访问。但同时,AI应用对数据的需求持续上升,数据使用范围不断深化,如何在提供AI所需的海量数据和保证个人信息合规使用之间形成高效的技术方案,是未来需面对的挑战。平安在集团层面已成立AI伦理管理委员会,并发布了AI伦理治理政策声明,对人工智能的开发和应用进行全面科学管控。
三是区块链技术。区块链技术有望成为数据流通中权限和合规管理的基础技术之一。利用区块链的防篡改性,能够保证数据的完整性和真实性。区块链的去中心化结构,也能够降低数据被恶意攻击的风险。我们已经开展了相关技术准备,通过区块链技术确保数据的安全性和不可篡改性,保证只有拥有相应私钥的用户才能解密和访问相应的资源或服务,确保交易数据的安全合规。
南都:随着技术不断更新、合规要求不断变化,行业标准或最佳实践可能会有哪些变化,企业应如何做好准备?
姜欣:数据要素流通方面,在国家大战略的推动下,企业做好数据合规管理工作的同时,必然需要面对数据跨境、数据交易等方面的业务发展,企业应该提早布局,按法律法规要求建立规范指引。未来企业的数据采集、存储、使用到销毁全生命周期范畴,将从企业内部扩展到更广阔的范围。有关企业可协同构建解决方案和共识,促进相关数据管理行为、控制措施的规范。
先进技术应用方面,企业需要积极探索隐私计算、区块链等技术的应用,通过新技术措施,确保数据的安全和合规,实现更加高效的数据加密、访问控制、数据脱敏等,以防止数据泄露和未授权访问,从而支持数据要素化发展的需求。
姜欣:个人信息保护方面的投资,我们认为是企业获得长期价值的基础。从当前实践中,我们也看到,个人信息保护投入对品牌价值和用户忠诚度具有显著的正向影响。我们认为,个人信息保护不仅是法律的要求,也是企业社会责任的体现。通过加强个人信息保护措施,向客户传递出企业对隐私保护的重视程度,以负责任、可信赖的企业形象,回馈更多消费者的信任,进而为客户提供更好的服务。
姜欣:平安集团的总体思路是“严守合规底线,保障客户权益”。作为集团旗下科技解决方案专家团队,平安科技根据集团要求开展数据管理机制和平台建设相关工作,全面保障数据安全合规、高效流通。
一方面,我们确保APP、小程序等触客渠道在数据收集时已对个人信息收集目的、使用方式等进行明示告知并获取用户授权同意,严格根据个人授权处理使用个人信息,同时采取一系列技术措施保障数据安全。另一方面,通过建立准入机制、约定合同条款、定期监督等方式,确保第三方供应商和服务提供商也遵循相同级别的数据保护标准。