信息化观察网

访谈

就任国内企业少见的职位———首席隐私官已有数月时间的聂正军，28日出现在南方都市报举办的“2017个人信息安全大会”上。作为蚂蚁金服主管隐私的“官”，聂正军在会上从企业实践的角度分享了关于用户隐私保护的观点，并接受了南都专访。

他对南都记者表示，企业要把决定权放在用户手上，同时也需要用户主动加强隐私保护意识，这样才能平衡隐私保护和企业发展需要。此外他认为，企业只有好的产品和服务还不够，未来信息安全和隐私保护能力才是企业的核心竞争力。

南都：业界普遍认为大数据时代，用户不可避免地要让渡一部分个人信息。大数据发展和隐私保护的平衡点在哪？

聂正军：我觉得最重要的是把决定权放在用户手上。用户的个人信息通常会涉及财产安全和人身安全两个方面，如果决定权不在用户手上，用户就容易感到焦虑，然后不敢或不想去使用这个产品。

这样一来，企业就没法在市场竞争中得到好的发展，企业和用户一环扣一环形成恶性循环。如果要解开这个“扣”，就只能是把决定权交给用户，在透明的、用户知情的情况下让用户自己选择，用户能感受到他的个人信息时刻处于安全的状态，他的隐私是被尊重的，这样用户才会有隐私得到保护的安全感，从而产生信任。

南都：你刚才说到的“透明的、用户知情的情况”是指什么？

聂正军：就是企业的隐私政策。阳光是最好的消毒剂，现在很多企业连隐私政策都没有，用户怎么可能放心使用你的产品？如果你让用户知道会采集他的哪些信息、怎样使用这些信息、将用于哪些合理的目的，用户就会理解企业的逻辑。如果一个手电筒APP还要采集人像和读取短信，这显然是不必要、不合理的。

有人觉得隐私权政策就像皇帝的新装，都知道没用，但还要强调。我认为不是没用，而是首先企业要摆正姿态，起码要让用户有机会去了解；然后重点在于使用和对外披露，要让用户更强地感知自己拥有的权利。

我认为，企业的隐私政策，永远都要写我为了什么而要干什么、你同意我这么干的同时你还有什么样的权利。而不是说我要干什么、你得同意我这么干。这是过往很多企业隐私政策的通病。

南都：所以说在企业的隐私政策做得还不够好的现状下，用户焦虑是正常现象？

聂正军：用户的焦虑还有一大因素在于，他的行动跟不上焦虑。你觉得有多少用户会看隐私政策？估计不到1%。这说明用户在焦虑的同时，又缺少主动提升自己隐私保护的意识和能力。

所以这是个多元共治的问题，不是说把企业管好了就行了。企业提供隐私政策，并且把它做得更加通俗易懂当然非常重要，但是还需要用户的共同努力。

南都：企业应该以什么态度看待用户隐私保护？

聂正军：首先，如果企业想要长远稳健发展，必须有前瞻性和预见性。如果只是把隐私保护当成负担和枷锁，是没有办法走得长远的。其次就是要透明，不要遮遮掩掩。企业要告诉用户，为了更好地提供服务确实需要用户提供这些信息，相信用户是能够理解的。第三个层面就是要有底线，有所为有所不为，这也是真伪大数据的根本区别。

南都：这里的“伪大数据”是指什么？

聂正军：就是企业的目的不是给用户提供服务，而是想做数据买卖。我认为，不给用户创造价值，只做数据搬运工的都是“耍流氓”。

没有买卖就没有伤害，用在这里也很合适。如果你从黑市买一些来历不明的数据，就会助长整个黑产，让更多人骗取和窃取用户数据。相反，如果企业做到有所为有所不为，把产品和服务变成核心竞争力，就能形成正循环，赢得用户和市场的信任。

不过，这只是过往的模式。随着用户越来越关注隐私保护，监管越来越严格，未来企业光有好的产品和服务还不够，还要有足够的信息安全和隐私保护能力，这才是未来企业的核心竞争力。

南都：除了数据买卖，企业如何合理使用匿名化的大数据实现精准营销也是值得关注的问题。

聂正军：要分两种情况：第一种是把统计数据，比如男女性别比例、顾客来源，用来制定营销计划，而不针对个体，这时候企业大数据使用和隐私保护不冲突；第二种是针对用户个体定向营销，这就有冲突了。

比如2015年在南京判决的一起百度被诉侵犯个人隐私案。原告在百度搜索了整容相关的信息之后，被定向推送整容广告，她认为百度侵犯了其个人隐私。终审判决认为百度不构成侵犯用户隐私权，因为百度利用cookie技术收集、利用数据信息虽然具有隐私属性，但其终端只是特定IP地址的浏览器，不与特定用户产生必然关联。

南都：如何解决这个矛盾？

聂正军：就百度的案例来说，最好的解决办法就是百度把取消cookie监测的选择权交给用户，让用户可以便捷取消使用cookie功能。

在金融行业里还有一种处理方式。比如我们的芝麻信用会用到一种叫“多方安全计算”的技术，把收集到的用户信息经过模型加工处理，得出芝麻信用分。这个分数实际上是一个高度概括的等级，本身没有任何意义，真正隐私的是分数背后的原始信息。

南都：蚂蚁金服在实际工作中是否遇过法律法规方面的问题？

聂正军：现有法律还是比较原则性，指引了方向，但对于企业来讲，规则当然是越明确越具可操作性，这就需要具体的管理规范，比如网信办正在做的“个人信息安全规范”。

但今天我们还是在发展过程中，国外很多地方其实有非常多的第三方认证机构。虽然我们也有，但更多是从系统的稳定性、可用性的角度认证。我相信未来我们也会有权威的、中立的民间第三方认证机构，用软性的、行业自律的方式促进企业隐私保护，在形成了一定的公信力以后，大家自然就会认可。