訪談
就任國內(nèi)企業(yè)少見的職位———首席隱私官已有數(shù)月時(shí)間的聶正軍,28日出現(xiàn)在南方都市報(bào)舉辦的“2017個(gè)人信息安全大會(huì)”上。作為螞蟻金服主管隱私的“官”,聶正軍在會(huì)上從企業(yè)實(shí)踐的角度分享了關(guān)于用戶隱私保護(hù)的觀點(diǎn),并接受了南都專訪。
他對(duì)南都記者表示,企業(yè)要把決定權(quán)放在用戶手上,同時(shí)也需要用戶主動(dòng)加強(qiáng)隱私保護(hù)意識(shí),這樣才能平衡隱私保護(hù)和企業(yè)發(fā)展需要。此外他認(rèn)為,企業(yè)只有好的產(chǎn)品和服務(wù)還不夠,未來信息安全和隱私保護(hù)能力才是企業(yè)的核心競爭力。
南都:業(yè)界普遍認(rèn)為大數(shù)據(jù)時(shí)代,用戶不可避免地要讓渡一部分個(gè)人信息。大數(shù)據(jù)發(fā)展和隱私保護(hù)的平衡點(diǎn)在哪?
聶正軍:我覺得最重要的是把決定權(quán)放在用戶手上。用戶的個(gè)人信息通常會(huì)涉及財(cái)產(chǎn)安全和人身安全兩個(gè)方面,如果決定權(quán)不在用戶手上,用戶就容易感到焦慮,然后不敢或不想去使用這個(gè)產(chǎn)品。
這樣一來,企業(yè)就沒法在市場競爭中得到好的發(fā)展,企業(yè)和用戶一環(huán)扣一環(huán)形成惡性循環(huán)。如果要解開這個(gè)“扣”,就只能是把決定權(quán)交給用戶,在透明的、用戶知情的情況下讓用戶自己選擇,用戶能感受到他的個(gè)人信息時(shí)刻處于安全的狀態(tài),他的隱私是被尊重的,這樣用戶才會(huì)有隱私得到保護(hù)的安全感,從而產(chǎn)生信任。
南都:你剛才說到的“透明的、用戶知情的情況”是指什么?
聶正軍:就是企業(yè)的隱私政策。陽光是最好的消毒劑,現(xiàn)在很多企業(yè)連隱私政策都沒有,用戶怎么可能放心使用你的產(chǎn)品?如果你讓用戶知道會(huì)采集他的哪些信息、怎樣使用這些信息、將用于哪些合理的目的,用戶就會(huì)理解企業(yè)的邏輯。如果一個(gè)手電筒APP還要采集人像和讀取短信,這顯然是不必要、不合理的。
有人覺得隱私權(quán)政策就像皇帝的新裝,都知道沒用,但還要強(qiáng)調(diào)。我認(rèn)為不是沒用,而是首先企業(yè)要擺正姿態(tài),起碼要讓用戶有機(jī)會(huì)去了解;然后重點(diǎn)在于使用和對(duì)外披露,要讓用戶更強(qiáng)地感知自己擁有的權(quán)利。
我認(rèn)為,企業(yè)的隱私政策,永遠(yuǎn)都要寫我為了什么而要干什么、你同意我這么干的同時(shí)你還有什么樣的權(quán)利。而不是說我要干什么、你得同意我這么干。這是過往很多企業(yè)隱私政策的通病。
南都:所以說在企業(yè)的隱私政策做得還不夠好的現(xiàn)狀下,用戶焦慮是正?,F(xiàn)象?
聶正軍:用戶的焦慮還有一大因素在于,他的行動(dòng)跟不上焦慮。你覺得有多少用戶會(huì)看隱私政策?估計(jì)不到1%。這說明用戶在焦慮的同時(shí),又缺少主動(dòng)提升自己隱私保護(hù)的意識(shí)和能力。
所以這是個(gè)多元共治的問題,不是說把企業(yè)管好了就行了。企業(yè)提供隱私政策,并且把它做得更加通俗易懂當(dāng)然非常重要,但是還需要用戶的共同努力。
南都:企業(yè)應(yīng)該以什么態(tài)度看待用戶隱私保護(hù)?
聶正軍:首先,如果企業(yè)想要長遠(yuǎn)穩(wěn)健發(fā)展,必須有前瞻性和預(yù)見性。如果只是把隱私保護(hù)當(dāng)成負(fù)擔(dān)和枷鎖,是沒有辦法走得長遠(yuǎn)的。其次就是要透明,不要遮遮掩掩。企業(yè)要告訴用戶,為了更好地提供服務(wù)確實(shí)需要用戶提供這些信息,相信用戶是能夠理解的。第三個(gè)層面就是要有底線,有所為有所不為,這也是真?zhèn)未髷?shù)據(jù)的根本區(qū)別。
南都:這里的“偽大數(shù)據(jù)”是指什么?
聶正軍:就是企業(yè)的目的不是給用戶提供服務(wù),而是想做數(shù)據(jù)買賣。我認(rèn)為,不給用戶創(chuàng)造價(jià)值,只做數(shù)據(jù)搬運(yùn)工的都是“耍流氓”。
沒有買賣就沒有傷害,用在這里也很合適。如果你從黑市買一些來歷不明的數(shù)據(jù),就會(huì)助長整個(gè)黑產(chǎn),讓更多人騙取和竊取用戶數(shù)據(jù)。相反,如果企業(yè)做到有所為有所不為,把產(chǎn)品和服務(wù)變成核心競爭力,就能形成正循環(huán),贏得用戶和市場的信任。
不過,這只是過往的模式。隨著用戶越來越關(guān)注隱私保護(hù),監(jiān)管越來越嚴(yán)格,未來企業(yè)光有好的產(chǎn)品和服務(wù)還不夠,還要有足夠的信息安全和隱私保護(hù)能力,這才是未來企業(yè)的核心競爭力。
南都:除了數(shù)據(jù)買賣,企業(yè)如何合理使用匿名化的大數(shù)據(jù)實(shí)現(xiàn)精準(zhǔn)營銷也是值得關(guān)注的問題。
聶正軍:要分兩種情況:第一種是把統(tǒng)計(jì)數(shù)據(jù),比如男女性別比例、顧客來源,用來制定營銷計(jì)劃,而不針對(duì)個(gè)體,這時(shí)候企業(yè)大數(shù)據(jù)使用和隱私保護(hù)不沖突;第二種是針對(duì)用戶個(gè)體定向營銷,這就有沖突了。
比如2015年在南京判決的一起百度被訴侵犯個(gè)人隱私案。原告在百度搜索了整容相關(guān)的信息之后,被定向推送整容廣告,她認(rèn)為百度侵犯了其個(gè)人隱私。終審判決認(rèn)為百度不構(gòu)成侵犯用戶隱私權(quán),因?yàn)榘俣壤胏ookie技術(shù)收集、利用數(shù)據(jù)信息雖然具有隱私屬性,但其終端只是特定IP地址的瀏覽器,不與特定用戶產(chǎn)生必然關(guān)聯(lián)。
南都:如何解決這個(gè)矛盾?
聶正軍:就百度的案例來說,最好的解決辦法就是百度把取消cookie監(jiān)測(cè)的選擇權(quán)交給用戶,讓用戶可以便捷取消使用cookie功能。
在金融行業(yè)里還有一種處理方式。比如我們的芝麻信用會(huì)用到一種叫“多方安全計(jì)算”的技術(shù),把收集到的用戶信息經(jīng)過模型加工處理,得出芝麻信用分。這個(gè)分?jǐn)?shù)實(shí)際上是一個(gè)高度概括的等級(jí),本身沒有任何意義,真正隱私的是分?jǐn)?shù)背后的原始信息。
南都:螞蟻金服在實(shí)際工作中是否遇過法律法規(guī)方面的問題?
聶正軍:現(xiàn)有法律還是比較原則性,指引了方向,但對(duì)于企業(yè)來講,規(guī)則當(dāng)然是越明確越具可操作性,這就需要具體的管理規(guī)范,比如網(wǎng)信辦正在做的“個(gè)人信息安全規(guī)范”。
但今天我們還是在發(fā)展過程中,國外很多地方其實(shí)有非常多的第三方認(rèn)證機(jī)構(gòu)。雖然我們也有,但更多是從系統(tǒng)的穩(wěn)定性、可用性的角度認(rèn)證。我相信未來我們也會(huì)有權(quán)威的、中立的民間第三方認(rèn)證機(jī)構(gòu),用軟性的、行業(yè)自律的方式促進(jìn)企業(yè)隱私保護(hù),在形成了一定的公信力以后,大家自然就會(huì)認(rèn)可。