2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）正式施行，為我國個人信息保護提供了更具系統性、針對性和可操作性的法律遵循。三年來，各類數據處理者采取了哪些措施強化個人信息保護，面對人工智能等技術帶來的新挑戰，有哪些應對舉措？

    南都大數據研究院推出“《個人信息保護法》落地三周年”系列報道，從案例調查、應用實測、企業對話等方面，探討近年個人信息保護領域的新變化與新實踐，展望未來技術發展方向與挑戰。

    對話篇第1期，南都采訪平安科技（深圳）有限公司副總工程師姜欣，聽金融服務企業如何保障海量客戶隱私安全。

    在全球數字化浪潮中，金融行業無疑站在變革前沿，每天承載著數以億計的交易和信息流動，涉及個人儲蓄、信貸記錄、投資詳情等極其敏感的內容。

    掌握海量個人金融信息的金融服務企業如何落實個人信息保護工作，防范數據泄露事件發生？平安科技（深圳）有限公司副總工程師姜欣近日接受了南都大數據研究院專訪。

    樹立個保價值觀

    業務發展與合規建設良性互促

    南都：在客戶個人信息安全方面，金融服務企業正面臨哪些壓力？

    姜欣：首先是國家和監管層面的立法持續細化。相關法規不僅規定了數據處理的原則和條件，還提出了場景化授權等進一步的細化管理要求，需要在實際中不斷尋求可行、高效的解決方案。

    其次是技術發展的壓力。網絡和數據技術發展迅速，為了保障數據安全，企業需要不斷更新技術手段，如數據加密、訪問控制、安全審計等，以應對潛在的安全威脅。

    同時，企業也面對持續增加的客戶信任壓力。客戶對企業的信任度，很大程度上與企業能否妥善保護他們的個人信息相關。尤其隨著國內外不斷有數據泄露事件被曝光，客戶越來越謹慎地提供數據。

    當然，這些壓力也變成企業前進的動力，推動企業投入更多資源來加強數據保護，以回饋客戶的信任。

    南都：企業應該如何回應用戶對個人信息使用的知情權和控制權的需求，在提供個性化服務和保護用戶隱私之間找到合適的平衡點？

    姜欣：這一直是我們實踐探索的內容，可以分享目前的一些經驗。

    首先是構建更好的合規體系，在協議框架中構建平衡。企業要明確意識到，處理個人信息等數據的行為必須獲得授權，從而在嚴格授權的基礎上，獲得后續使用的合規。"無授權，不使用"這本身就是平衡的基礎。

    其次，技術保障是實現平衡的關鍵。少數幾個客戶的數據實現嚴格管理和使用并不難，真正困難的是大規模客戶信息的合規使用。既要保證合規，又要保證提供個性化服務，需要個人信息處理者規劃建立從數據收集開始就能進行授權管理的技術體系。

    然后是增加信任和透明性，保障數據合規使用。信任的基礎，源于透明度。在收集和使用用戶信息時，應明確告知信息的收集目的、使用方式和范圍，并征得用戶同意；通過隱私政策、用戶協議等方式，向用戶公開數據處理活動的相關信息。

    最后是樹立個人信息保護合規價值觀。我們認為在個人信息保護方面，必須堅持優先保護客戶權益，然后才能考慮服務發展，這個觀點要貫徹到每一個決策環節。通過在企業內部自上而下確立個人信息保護的合規價值觀，從而找到個性化服務與合規平衡的良性互促路徑。

    積極探索前沿技術

    支持數據要素發展

    南都：您預計未來的哪些技術革新會對個人信息保護產生重大影響？

    姜欣：當前來看，以下幾個方面的技術發展可能對個人信息保護有較大影響。

    一是加密技術的發展。加密技術可以有效地保護個人數據的安全性。但隨著數據規模和處理時效要求的增加，個人信息保護對加密技術的效率和可靠性，提出了更高的要求。加密技術的不斷發展和完善，將大大提升數據傳輸和存儲的安全性。

    二是人工智能技術。AI能夠自動化分析合規過程風險，提高合規工作效率；機器學習等技術也有助于及時發現并應對潛在的數據泄露和非法訪問。但同時，AI應用對數據的需求持續上升，數據使用范圍不斷深化，如何在提供AI所需的海量數據和保證個人信息合規使用之間形成高效的技術方案，是未來需面對的挑戰。平安在集團層面已成立AI倫理管理委員會，并發布了AI倫理治理政策聲明，對人工智能的開發和應用進行全面科學管控。

    三是區塊鏈技術。區塊鏈技術有望成為數據流通中權限和合規管理的基礎技術之一。利用區塊鏈的防篡改性，能夠保證數據的完整性和真實性。區塊鏈的去中心化結構，也能夠降低數據被惡意攻擊的風險。我們已經開展了相關技術準備，通過區塊鏈技術確保數據的安全性和不可篡改性，保證只有擁有相應私鑰的用戶才能解密和訪問相應的資源或服務，確保交易數據的安全合規。

    南都：隨著技術不斷更新、合規要求不斷變化，您認為行業標準或最佳實踐可能會有哪些變化，企業應如何做好準備？

    姜欣：在技術不斷發展和數據要素市場化的大背景下，我們認為以下三個方面需要企業積極應對。

    數據要素流通方面，在國家大戰略的推動下，企業做好數據合規管理工作的同時，必然需要面對數據跨境、數據交易等方面的業務發展，企業應該提早布局，按法律法規要求建立規范指引。

    其次，我們認為，未來企業的數據采集、存儲、使用到銷毀全生命周期范疇，將從企業內部擴展到更廣闊的范圍。有關企業可協同構建解決方案和共識，促進相關數據管理行為、控制措施的規范。

    先進技術應用方面，企業需要積極探索隱私計算、區塊鏈等技術的應用，通過新技術措施，確保數據的安全和合規，實現更加高效的數據加密、訪問控制、數據脫敏等，以防止數據泄露和未授權訪問，從而支持數據要素化發展的需求。

    強化個人信息保護措施

    有助建立企業正面形象

    南都：在個人信息保護上的投入能為企業帶來哪些方面的效益？

    姜欣：個人信息保護方面的投資，我們認為是企業獲得長期價值的基礎。從當前實踐中，我們也看到，個人信息保護投入對品牌價值和用戶忠誠度具有顯著的正向影響。我們認為，個人信息保護不僅是法律的要求，也是企業社會責任的體現。通過加強個人信息保護措施，向客戶傳遞出企業對隱私保護的重視程度，以負責任、可信賴的企業形象，回饋更多消費者的信任，進而為客戶提供更好的服務。

    南都：平安集團在個人信息保護方面的總體思路是什么？

    姜欣：平安集團在個人信息保護方面的總體思路是“嚴守合規底線，保障客戶權益”。作為集團旗下科技解決方案專家團隊，平安科技根據集團要求開展數據管理機制和平臺建設相關工作，全面保障數據安全合規、高效流通。

    一方面，我們確保App、小程序等觸客渠道在數據收集時已對個人信息收集目的、使用方式等進行明示告知并獲取用戶授權同意，嚴格根據個人授權處理使用個人信息，同時采取一系列技術措施保障數據安全。另一方面，我們通過建立準入機制、約定合同條款、定期監督等方式，確保第三方供應商和服務提供商也遵循相同級別的數據保護標準。

    （CIS）