上个月,脱口秀艺人池子发布长文称,中信银行未获本人授权,就将其个人账户流水提供给上海笑果文化传媒有限公司,属于侵犯公民个人信息的违法行为。在这则典型的个人隐私泄露案件中,作为案件的责任方,已经公开道歉的中信银行随即也被立案调查。在我们生活中,这样的例子更是比比皆是,谁一天不接到几通骚扰电话呢?
如今,数字经济的蓬勃发展正在将我们带入数字时代,个人信息的保护已经迫在眉睫。在5月28日表决通过的《中华人民共和国民法典》中,更是将隐私权和个人信息保护提到前所未有的高度,并首次将数据、网络虚拟财产纳入保护范围。同时,专门的《个人信息保护法》也正在研究起草当中。
在日前由北大E法论坛主办、360金融协办的金融大数据及个人隐私保护研讨会上,360金融信息安全专家吴业超表示,金融行业中个人金融信息由于其数据价值高,信息非法交易问题尤其严峻,暴露出第三方内控不严、信息系统出现安全漏洞,信息泄漏传输链条长,难追溯等问题。
但要解决这些问题,做好数据安全和个人信息保护,不仅是一个技术活,更是一个系统性工程。正如吴业超所说,用户信息的保护不仅需要金融科技企业等加强内控与管理,同时针对无法约束第三方机构数据管理等问题,需要行业与警方,法学界、高校、实验室全生态一同打造数据安全生态。作为一家血液里流淌着安全基因的金融科技公司,360金融是这么说的,也是这么做的。
谁来守护个人信息安全?
得益于数字经济的快速发展,人们对网络、数据等的安全越来越重视。从立法层面,2017年6月,《网络安全法》的颁布实施,成为我国第一部全面规范网络空间安全管理方面问题的基础性法律,也是我国网络空间法治建设的重要里程碑。
网络安全由此上升到国家安全层面,如今,随着民法典的正式颁布实施,个人信息保护法、数据安全法等的制定也列入日程。正如社会科学院大学互联网法治研究中心执行主任刘晓春所说,个人信息保护是数字经济的基石,民法典的颁布在我国具有划时代性的意义,为司法实践有序、有预期性和系统性地进行隐私权与个人信息保护划定了非常重要的规范基础。
尤其在数字经济时代,金融科技行业在大数据、人工智能等新技术的应用上日渐深入,金融服务与用户数据的关联越来越密切,这也给个人隐私保护提出了新挑战。对此,北大法学院副院长薛军教授认为,如今一切皆可数字化,作为重度依赖信息输入的行业,个人信息保护为金融科技行业的运行设定制度前提,要求从业者在个人信息保护的法律框架下开展活动。
同时,薛军也建议,个人信息保护需要从互联网技术,科技平台的流程治理、行业生态、产业链监管,制度保障、法律共建治理体系,亟需行业生态、产业链监管和制度保障做后盾。
个人隐私数据保护,表面上看是一个法律问题,但实质上与用户个人保护意识、企业对用户数据的重视程度等都密切相关。其中,作为个人隐私数据的拥有方,金融科技企业在个人信息保护上的所扮演的角色至关重要。过去,人们并不是特别重视个人隐私保护,企业的意识也不足,再加上网络黑产的肆虐,践行个人隐私数据保护并非易事。
就企业该如何处理用户数据这一问题,360公司创始人、董事长兼CEO周鸿祎不久前表示,首先,数据所有权属于用户;其次,互联网公司采集用户数据应向用户尽到告知义务;第三,拥有海量用户数据的互联网公司,能力越大,责任越大。
作为一家起源于360公司的金融科技平台,360金融的血液里也流淌着安全的基因,也深刻意识到自己的责任所在。360金融不仅时刻将保护个人信息放在重要位置,还在如何实现个人隐私保护、用户数据安全等方面进行了持续创新,为金融科技行业开展个人隐私数据保护作出了有益探索。
管理+技术,360金融的个人隐私数据保护之道
对于金融科技企业来说,若想切实保证用户数据安全,就必须从用户数据泄露的原因查起。在外部因素上,由于个人金融信息数据价值较高,金融科技行业一直是网络黑产的重灾区;在内部因素上,用户在借助金融科技平台完成一笔交易过程中,会产生大量的数据交互,其中一个环节存在内控不严或安全漏洞,都会造成信息泄露。
作为一家有两亿注册用户、APP月活达到1500万的金融科技公司,360金融要在正常开展业务的同时确保个人隐私数据安全,业务经营上的压力很大。360金融CEO吴海生形象地将其比喻为开飞机,而数据则类似于飞机发动机,用户个人隐私类似于飞机上的乘客,一旦数据出现问题,就会直接威胁个人隐私安全。
对于如何保护用户数据安全,吴海生认为,其核心思路就是管理和技术双管齐下。在管理机制上,除了传统的各种权限管理、流程管理、业绩管理之外,把人工智能的技术运用在管理流程的各个环节里,能够降低成本、提高效率,最大程度地避免人为的干预;在技术层面上,则要积极探索信息保护、隐私保护的新的方法,通过数据加密、红外加密,做黑客监控,把外部风险降到最低。
在这一核心思路的指导下,360金融已经形成了一整套数据治理理念,即“一个中心、两个方向、三个重点”。一个中心指的是以数据为中心,无论是网站、系统、还是人员操作,最终都需要调取数据,常规的系统入侵、人员违规并不能必然导致核心数据遭到破坏或者窃取。
而两个方向则是对内利用ATT&CK模型建立防御体系,严控黑客入侵和安全问题带来的数据泄露和威胁;对外以舆情信息为基础,第一时间获取互联网上的安全舆情、数据舆情,通过多部门的合作和自身安全攻防技术打击犯罪和数据风险问题。
三个重点则是以数据安全监控、数据生命周期的管控、数据隐私保护及管理制度为重点。其中,数据隐私保护及管理制度主要是做好防控,有效控制安全问题的发生;数据安全监控则是及时发现数据流向;数据生命周期管控则是在发生数据泄露时第一时间进行数据治理,追溯定位安全问题源头,通过这三个方面的密切结合,可以做到对整个安全防卫体系的把控。
为了从技术上增强数据安全防护能力,2019年,360金融专门成立了隐私保护与安全计算研究院,探索将安全多方计算、同态加密、差分隐私、联邦学习等技术用于用户数据保护,从根源上确保用户隐私不被盗用、窃取,同时处理过程也实现了全程“封闭”。
凭借在隐私保护和安全上的持续投入,不久前,360金融旗下的360借条获得国家计算机病毒应急处理中心颁发的APP信息安全认证证书与APP安全认证证书,在APP隐私与安全两项检测中皆获三级认证(最高等级),并通过了中互金移动金融APP首批备案。
搭建数据安全生态,为个人隐私保护加码
数据安全的保障涉及制度、法律、行业、企业乃至个人等多个层面,只有建设一个完善的数据安全生态,才是应对数据安全威胁的有效途径。因此,在此次金融大数据及个人隐私保护研讨会上,与会专家都非常认同建设数据安全生态的必要性。
正所谓“达则兼济天下,穷则独善其身”,在个人隐私保护、数据安全等方面积累了丰富经验的360金融,也在积极参与安全生态的构建,加速推动金融科技全行业的数据安全建设,进而为个人信息保护法、数据安全法等的制定建言献策。
去年10月,360金融与上海交通大学共同设立了人工智能联合实验室,深挖人工智能在业务中的落地应用;而360金融隐私保护与安全计算研究院,通过与上海交通大学计算机系—360金融人工智能联合实验室紧密配合,前期先从用户层面落地,后期将致力于构建产业联盟,制定行业标准。
与此同时,360金融还投入大量资金和研发力量,积极联合行业合作伙伴,营造健康数据生态,共同制定解决数据安全问题的金融科技方案。这是继谷歌、苹果、腾讯、阿里之后,隐私保护机器学习进入金融科技领域的重要尝试。
除了做好自身的防护和对合作方的管控,360金融还在致力打造一个护卫数据安全的生态圈,与各地公安、司法机构合作,共同打击数据泄露相关的违法犯罪,并与人民网、中国互联网金融协会等行业性机构合作探讨共性问题,为行业治理建言献策,倡导通过共建、共享、共防的合作,打击非法数据泄露,保护用户数据安全,共建良好的数据保护生态圈。
如今,民法典的颁布,对互联网、大数据、高科技“井喷式”发展所催生的问题进行了明确的规范,解决了公众在网络信息时代对个人隐私保护的急切需求;已经让个人信息保护和数据安全有了一定的法律基础。
如何在此基础上,进一步推进个人信息保护、数据安全生态的发展壮大,将成为下一步包括360金融在内的金融科技企业,乃至各行各业及产学研等多方共同努力的目标和方向。
事实上,对于金融科技行业而言,建设这样一个生态圈的意义不仅在于提升行业整体的数据保护能力,更在于在数据安全的基础上,推动金融数据的合规共享,进而提升整个行业的抗风险能力,为金融安全提供有效保障。
—————————————————————————————————
微信关注公众号“懂懂笔记”每天第一时间为您奉上最新最热的科技圈资讯~
多年财经媒体经历,业内资深分析人士,圈中好友众多,信息丰富,观点独到。
发布各大自媒体平台,覆盖百万读者。
《小米生态链战地笔记》、《微信思维》、《微信力量》三本畅销书的作者。