首席隱私官眼中的數據安全

近年來，互聯網技術廣泛應用和大數據產業的持續高速發展，促進了經濟社會的繁榮和進步，也給社會民生帶來了各種便利，例如水電煤繳費、交通出行、支付等。但國家信息化建設推進和大數據應用的普及，在推動社會高速發展和創新變革的同時，也為個人信息安全帶來了新的挑戰。

當前，數據安全和個人信息的保護，已經與個人財產、人身乃至生命權利相關。比如，徐玉玉案件，還有近期出現的全國最大單筆電信網絡詐騙，一次騙走一個多億的案件，都是由于個人信息安全和數據安全的問題所導致。

同時，對于企業來說，數據可以說已然成為一個企業的重要核心資產。核心資產如果沒有數據安全和信息保護，可能會立即蕩然無存。今年6月1日出臺的網絡安全法，把網絡安全上升為國家安全。而網絡安全最重要的一個組成部分就是數據安全和信息安全。現今的數據安全和信息保護，不僅涉及到每個老百姓的利益，每家企業的利益，更高層次地涉及到國家安全與國家利益。

數據安全和隱私保護

存在的諸多挑戰

一方面，相關的法律制度仍有待完善。從2012年全國人大常務委員會頒布關于保護個人信息的決定，到6月份出臺的網絡安全法，這些法律都只是框架性地給出了個人信息保護方面的一些原則，但是具體層面如何操作，還有待進一步的細化和配套措施。

另一方面，數據黑色產業鏈猖獗。我們做過一個統計調查，54%的人認為個人信息泄露問題比較嚴重，84%的人感受到了因為信息泄露而產生的焦慮甚至恐慌。地下黑色產業鏈使金融、交通、醫療、商業、教育各個領域的信息數據非法流通。有數據表明，2009年至2016年的6年時間里，公安和檢察院系統打擊了969起信息類的犯罪。但是在2015年到2016年間就打擊了495起，即過往的1年的工作量超過以往6年來的一半，涉及到的黑產數據量多達數百億條，這還只是冰山的一角，所以數據黑產的猖獗有待進一步高壓態勢的持續刑事打擊。

然而，企業普遍存在濫采濫用的現象，也要歸咎于用戶自我保護意識不強。例如我們去商場，可能為一些蠅頭小利而提供個人信息，姓名、工作單位、聯系方式等。我們很少會去考慮或拷問商家拿信息有什么目的。

什么是數據安全能力？

數據安全能力是未來企業必備的基礎能力，也是企業的核心競爭力。企業如果沒有數據安全能力和個人信息保護能力，就不可能在市場上得到發展、站穩腳跟。未來我們的機構如果沒有數據安全能力和隱私保護能力，也沒有資格去參加信用體系的建設。

數據安全能力的第一層面是硬件，即數據庫的物理安全。數據庫運行的系統安全決定了你是否能夠抵擋住黑客的攻擊。

第二層面是軟件，更多體現在企業是否建立了完善的內控制度，員工管理是不是科學可靠等。據統計，在數據黑色產業里流通的信息，有75%來自內部員工作案。以前商業合作中，衡量一家企業是不是值得合作，更多是看它具不具備資質和實力，是不是有資金的支持。未來，我們應該將企業的數據安全能力作為合作的標準和考量的因素。

芝麻信用的探索與呼吁

在數據安全能力和個人信息保護方面，芝麻信用主要做過四部分的探索。第一部分，在組織架構上引入了獨立董事和設置了首席隱私官，這兩個崗位的職責是在芝麻信用的日常經營中為用戶權益代言。獨立董事有權對包括用戶個人權益在內的相關事宜發表意見，首席隱私官負責公司信息管理體系并監督落實。第二部分，業務流程上引入同時制度。任何一個產品在設計、施工和上線的同時，都把隱私保護的功能和方案同時設計、同時實施、同時上線。第三部分，不斷探索用新技術，確保數據安全和隱私保護。比如多方安全技術、區塊鏈，保障數據可用不可見、可控可追溯。第四部分，不斷強化員工安全意識和技能。

我想呼吁的是，希望社會各界以實際行動共同參與到數據安全和個人信息保護的大趨勢中。其一是相關立法不斷完善。其二是司法，特別是民事救濟制度的建立。很多人感受到自己的信息權益沒有得到保障，但幾乎沒有人或者很少人會拿起法律的武器，因為我們沒有一套適用于今天、回應今天用戶權益保障的有效司法救濟體系或制度。其三是執法。希望各行各業的行政主管部門，能夠在企業的事前準入、事中追蹤、事后處罰方面，加大加強監管的力度以及執法的透明度，達到處罰不良企業和教育行業的雙重目的。此外，企業應加強自律，有所為有所不為，不去采集來歷不明的信息，不去采集跟自身業務無關的信息，不去采集不能為用戶創造價值的信息。其四是提升用戶安全意識和自我保護能力。