平安科技姜欣：个人信息应坚决落实"无授权，不使用"

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，为我国个人信息保护提供了更具系统性、针对性和可操作性的法律遵循。三年来，各类数据处理者采取了哪些措施强化个人信息保护，面对人工智能等技术带来的新挑战，有哪些应对举措？

南都大数据研究院推出"《个人信息保护法》落地三周年"系列报道，从案例调查、应用实测、企业对话等方面，探讨近年个人信息保护领域的新变化与新实践，展望未来技术发展方向与挑战。

对话篇第1期，南都采访平安科技（深圳）有限公司副总工程师姜欣，听金融服务企业如何保障海量客户隐私安全。

在全球数字化浪潮中，金融行业无疑站在变革前沿，每天承载着数以亿计的交易和信息流动，涉及个人储蓄、信贷记录、投资详情等极其敏感的内容。

掌握海量个人金融信息的金融服务企业如何落实个人信息保护工作，防范数据泄露事件发生？平安科技（深圳）有限公司副总工程师姜欣近日接受了南都大数据研究院专访。

树立个保价值观 业务发展与合规建设良性互促

南都：在客户个人信息安全方面，金融服务企业正面临哪些压力？

姜欣：首先是国家和监管层面的立法持续细化。相关法规不仅规定了数据处理的原则和条件，还提出了场景化授权等进一步的细化管理要求，需要在实际中不断寻求可行、高效的解决方案。

其次是技术发展的压力。网络和数据技术发展迅速，为了保障数据安全，企业需要不断更新技术手段，如数据加密、访问控制、安全审计等，以应对潜在的安全威胁。

同时，企业也面对持续增加的客户信任压力。客户对企业的信任度，很大程度上与企业能否妥善保护他们的个人信息相关。尤其随着国内外不断有数据泄露事件被曝光，客户越来越谨慎地提供数据。

当然，这些压力也变成企业前进的动力，推动企业投入更多资源来加强数据保护，以回馈客户的信任。

南都：企业应该如何回应用户对个人信息使用的知情权和控制权的需求，在提供个性化服务和保护用户隐私之间找到合适的平衡点？

姜欣：这一直是我们实践探索的内容，可以分享目前的一些经验。

首先是构建更好的合规体系，在协议框架中构建平衡。企业要明确意识到，处理个人信息等数据的行为必须获得授权，从而在严格授权的基础上，获得后续使用的合规。"无授权，不使用"这本身就是平衡的基础。

其次，技术保障是实现平衡的关键。少数几个客户的数据实现严格管理和使用并不难，真正困难的是大规模客户信息的合规使用。既要保证合规，又要保证提供个性化服务，需要个人信息处理者规划建立从数据收集开始就能进行授权管理的技术体系。

然后是增加信任和透明性，保障数据合规使用。信任的基础，源于透明度。在收集和使用用户信息时，应明确告知信息的收集目的、使用方式和范围，并征得用户同意；通过隐私政策、用户协议等方式，向用户公开数据处理活动的相关信息。

最后是树立个人信息保护合规价值观。我们认为在个人信息保护方面，必须坚持优先保护客户权益，然后才能考虑服务发展，这个观点要贯彻到每一个决策环节。通过在企业内部自上而下确立个人信息保护的合规价值观，从而找到个性化服务与合规平衡的良性互促路径。

积极探索前沿技术 支持数据要素发展

南都：您预计未来的哪些技术革新会对个人信息保护产生重大影响？

姜欣：当前来看，以下几个方面的技术发展可能对个人信息保护有较大影响。一是加密技术的发展。加密技术可以有效地保护个人数据的安全性。但随着数据规模和处理时效要求的增加，个人信息保护对加密技术的效率和可靠性，提出了更高的要求。加密技术的不断发展和完善，将大大提升数据传输和存储的安全性。

二是人工智能技术。AI能够自动化分析合规过程风险，提高合规工作效率；机器学习等技术也有助于及时发现并应对潜在的数据泄露和非法访问。但同时，AI应用对数据的需求持续上升，数据使用范围不断深化，如何在提供AI所需的海量数据和保证个人信息合规使用之间形成高效的技术方案，是未来需面对的挑战。平安在集团层面已成立AI伦理管理委员会，并发布了AI伦理治理政策声明，对人工智能的开发和应用进行全面科学管控。

三是区块链技术。区块链技术有望成为数据流通中权限和合规管理的基础技术之一。利用区块链的防篡改性，能够保证数据的完整性和真实性。区块链的去中心化结构，也能够降低数据被恶意攻击的风险。我们已经开展了相关技术准备，通过区块链技术确保数据的安全性和不可篡改性，保证只有拥有相应私钥的用户才能解密和访问相应的资源或服务，确保交易数据的安全合规。

南都：随着技术不断更新、合规要求不断变化，您认为行业标准或最佳实践可能会有哪些变化，企业应如何做好准备？

姜欣：在技术不断发展和数据要素市场化的大背景下，我们认为以下三个方面需要企业积极应对。

数据要素流通方面，在国家大战略的推动下，企业做好数据合规管理工作的同时，必然需要面对数据跨境、数据交易等方面的业务发展，企业应该提早布局，按法律法规要求建立规范指引。

其次，我们认为，未来企业的数据采集、存储、使用到销毁全生命周期范畴，将从企业内部扩展到更广阔的范围。有关企业可协同构建解决方案和共识，促进相关数据管理行为、控制措施的规范。

先进技术应用方面，企业需要积极探索隐私计算、区块链等技术的应用，通过新技术措施，确保数据的安全和合规，实现更加高效的数据加密、访问控制、数据脱敏等，以防止数据泄露和未授权访问，从而支持数据要素化发展的需求。

强化个人信息保护措施 有助建立企业正面形象

南都：在个人信息保护上的投入能为企业带来哪些方面的效益？

姜欣：个人信息保护方面的投资，我们认为是企业获得长期价值的基础。从当前实践中，我们也看到，个人信息保护投入对品牌价值和用户忠诚度具有显著的正向影响。我们认为，个人信息保护不仅是法律的要求，也是企业社会责任的体现。通过加强个人信息保护措施，向客户传递出企业对隐私保护的重视程度，以负责任、可信赖的企业形象，回馈更多消费者的信任，进而为客户提供更好的服务。

南都：平安集团在个人信息保护方面的总体思路是什么？

姜欣：平安集团在个人信息保护方面的总体思路是"严守合规底线，保障客户权益"。作为集团旗下科技解决方案专家团队，平安科技根据集团要求开展数据管理机制和平台建设相关工作，全面保障数据安全合规、高效流通。

一方面，我们确保APP、小程序等触客渠道在数据收集时已对个人信息收集目的、使用方式等进行明示告知并获取用户授权同意，严格根据个人授权处理使用个人信息，同时采取一系列技术措施保障数据安全。另一方面，我们通过建立准入机制、约定合同条款、定期监督等方式，确保第三方供应商和服务提供商也遵循相同级别的数据保护标准。

出品：南都大数据研究院 数据安全治理与发展课题组

采写：研究员 李伟锋 实习生 纪依

设计：林泳希 欧阳静 张博