螞蟻金服釋出隱私保護白皮書｜涉及資訊授權，必須“打擾”使用者

繼設立首席隱私官、成立隱私保護辦公室後，螞蟻金服在隱私保護上又有新動作：8月22日，螞蟻金服釋出《隱私保護和資料安全白皮書》，強調了隱私安全的重要性，全面介紹了螞蟻金服的做法。螞蟻金服首席隱私官聶正軍表示，“在隱私保護的路上，只有起點沒有終點”。

前言

作為一家科技公司，螞蟻金服擅長利用前沿技術來解決碰到的問題。在隱私保護上也不例外。白皮書首次全面披露了支付寶在隱私保護上做的嘗試。

目前在螞蟻金服，如果涉及資料採集，系統會全程監控，一旦發現存在未經使用者授權等風險，將啟動預警或直接終止；在資料使用階段，運用技術對資料進行智慧分類，通過對敏感資料進行特別標識與脫敏處理，防止資訊洩露；同時遵循“最小夠用”原則，建立了細粒度的許可權控制。在資料共享階段，不但對資料異常呼叫行為進行實時監測，而且限制合作伙伴調取使用者資料前應取得使用者同意。

螞蟻金服用技術驅動隱私保護上的努力，還體現在推進產品化，賦能生態夥伴。在將隱私保護產品化方面，螞蟻金服開發了系列安全產品，如資料隱私保護產品“資料保護傘”、許可權控制產品“虎符”、多方安全計算平臺“摩斯MORSE”等，去幫助合作伙伴提升資料安全保障能力。

堅守三不要原則

App的使用，一般是越不打擾使用者越好。但對現在的支付寶而言，涉及到資訊授權時，是必須要“打擾”使用者，請求其授權的。這也是支付寶對內部的“約法三章”之一。這“三要三不要”原則：不要替使用者做主，不要濫用資料，不要採集來歷不明的資料，也寫進了白皮書。

為保障隱私安全，螞蟻還制定了《隱私保護制度》、《資料安全管理規範總則》、《資料分級分類規範》等30多項制度規範體系，讓其成為業務活動中不可分割的一部分，保障資料安全風險管理有章可循以及資料安全風險可控。

螞蟻金服首席隱私官聶正軍表示，隱私保護不是企業被動的負擔，而是為了更好的服務客戶，也為了企業能走得更長遠。在移動網際網路時代，如何既給使用者提供更好的服務，又能保護好使用者的隱私？這是整個世界網際網路行業都必須面對的一個挑戰。“科技可以讓資料的價值更加充分使用，但也唯有科技才能實現更有保障的隱私保護”。

關於隱私保護，螞蟻金服已經做到的

螞蟻金服認為，保護使用者的隱私不是企業被動的負擔，而是為了更好地服務客戶。保護使用者個人隱私，是一家有擔當、負責任的企業必須要解決的問題、以及要承擔的責任，也是為了讓企業走的更長遠。本著這樣的初心，螞蟻金服做了這些事情。

• 堅持公開透明。用簡明易懂的方式公佈隱私權政策；使使用者瞭解自己的個人資訊如何收集、使用；使使用者基於充分的資訊做出自己的選擇。

• 堅持“三同時”：加強新產品上線的隱私保護能力評估流程，執行“三同時制度”，即：產品設計時，同時制定隱私保護和資料安全的管理方案；產品方案開發時，同時實施隱私保護和資料安全管理措施；產品上線執行時，同時上線執行隱私保護和資料安全管理功能。

• 堅持“三要三不要”：“要給使用者安全感，要用資料給使用者創造價值，要確保安全與合規”，“不要替使用者做主，不要濫用資料，不要採集來歷不明的資料”。

• 用前沿技術技術驅動隱私保護

用前沿技術全面保護使用者資料隱私包括以下三個階段：

• 資料收集階段：對於資料來源進行篩查，以確保資料來源的可靠性和穩定性，篩查的標準包括：資料合法產生、使用者授權同意、在合理範圍內保證提供資訊的真實性、具備異議處理能力等。在資料輸入後，持續開展事中監控，如發現存在資料洩露、未經授權提供使用者個人資訊等侵害使用者權益的情況或隱患的，及時處理。

• 資料使用階段：將大資料技術充分應用到資料安全監測和管理之中。對資料進行標準化處理，抽取資料特徵，通過AI演算法進行智慧分類分級。根據資料內容將其分為身份資訊、財產資訊、賬戶資訊和交易資訊等多種類別；根據資料的敏感程度將其分為機密、保密、內部和公開四個級別。對敏感資料進行特別標識，並對合作夥伴異常呼叫和員工異常使用敏感資料的行為進行實時監測。利用大資料技術進行人員管理，對訪問量激增、行為基線偏離、操作時間集中等行為進行監測，一旦超過正常數值即觸發風險監測模型和高風險事件警告，由風險運營團隊對相關人員開展調查和應急響應。用大資料技術對整體生態安全進行監測，建立合作伙伴異常分析模型並對風險進行量化，達到相應風險閥值時觸發報警系統。

• 資料共享階段：合作伙伴調取使用者資料應經過使用者的同意，防控第三方未經授權調取使用者資料的風險。對第三方呼叫資料進行監控，發現超出授權範圍，會啟動相應處置機制。用產品加持使用者隱私保護，並賦能合作伙伴。為賦能合作伙伴，我們開發了“資料保護傘”、“虎符”、“摩斯MORSE”等資料安全產品，幫助行業合作伙伴建設和完善資料安全保障能力，提升行業資料安全水平。其中，“資料保護傘”主要幫助合作伙伴提升資料資產識別、敏感資料發現、資料分類分級、資料脫敏、訪問監控、風險預警與審計等能力。“摩斯MORSE” 產品包括安全釋出、安全統計、安全模型、安全查詢功能等。

在隱私保護的道路上，只有起點沒有終點

隨著資料分析技術的更新和智慧演算法的自我學習，未來大資料分析將更具多樣性，分析結果也將更有針對性和可用性，能夠幫助隱私保護和資料安全防護的實現。人工智慧、區塊鏈等更多新技術的應用，跨產業的融合與創新，將滿足使用者多元化、個性化的需求。

但是，從整個行業來看，資料規模急劇增長，資料型別更加多樣，應用場景更加多元，隱私和個人資訊的邊界則更難以劃定，物件本身的模糊不清、場景的複雜多變為使用者隱私保護和資料安全帶來更多的不確定性。

全球都在探索應對大資料、人工智慧、區塊鏈等新技術新業務帶來的挑戰，在戰略部署、法律制度、政策引導等方面多頭並進。我國也在持續推進資訊通訊業的法治化程式，完善法律制度，創新監管手段。

在這樣的情況下，螞蟻金服將堅持“客戶第一”，持續加強隱私保護和資料安全能力建設，為使用者提供更好的服務和隱私安全保護；開展數字經濟時代隱私保護的前瞻性研究，為未來立法貢獻行業實踐和智慧；探索應用隱私保護技術，在保護隱私資料的前提下，推動行業大資料的安全、融合、共享和利用。

— END —