自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

浅析个人信息及隐私保护存在的误区     

     文 | 陈圣

陈圣

中通快递安全专家

“个人信息及隐私保护”已成为近几年来全国范围内备受关注的话题，企业一旦曝出隐私泄露或个人信息泄露事件，分分钟就会登上热搜。因此，它对于企业过去那种无限制访问消费者数据的行为提出了非常大的质疑，并迫使大型科技公司逐步提出其保护客户数据隐私和安全的计划。

但是，许多企业仍然没有自己的隐私政策，与软件或APP紧密贴合的隐私政策及包括数据安全在内的最佳安全实践等。所以本文所分享的是笔者在学习工作中所积累的、亟须解决的关于数据隐私保护框架中存在的一些误区。

无论国内国外，互联网经济大行其道，面向消费者的相关业务确实面临着个人信息和隐私与“同意”（用户知情权）相关的一系列不断扩大的监管要求，例如国内有《数安法》《个保法》《网安法》……国外有GDPR《通用数据保护条例》、CCPA《加州消费者隐私法案》、LGPD《巴西通用数据保护法》。单纯从合规性角度来说，这些法律法规已经成为企业参照的标准，以及企业法务和合规人员的主要工作目标和关键结果 (OKR）。

如果企业提高投入，用于个性化和提高客户体验度——在用户访问网站和其他数字资产时，能够积极参与感兴趣的产品和服务，再到最终成交下订单，还将个人信息隐私保护和身份管理较好地整合在一起。这可以帮助企业实现客户获取和保留，也能实现收入和盈利能力增长，包括市场份额扩大等方面的提升。在笔者看来，这些投资还有助于降低隐私合规的总成本，并将监管罚款和违规可能带来的风险降到最低。

图片来自torontomu.ca

关注云安全的同学可能会注意到，很多企业相信知名品牌云解决方案是牢不可破的。但是从最近发生的事件来看，例如：今年1月，美国克罗诺斯（Kronos）公司私有云平台遭勒索软件攻击，事件造成的混乱在数百万人中蔓延；另外还有SolarWinds 网络攻击和 Twitter 黑客攻击；此外，国内流传较广的某云厂商个人隐私数据泄露事件也是轰动全网。虽然在我们听起来都是故事，但是发生在自己企业身上的话就是“事故”了。

笔者认为，黑客可以闯入任何平台。当前围绕供应链攻击的热议证实了这一点。数以千计的公司已将其内部通信安全交给了第三方，例如 Google、Slack、Microsoft Teams 或 Zoom。其实在笔者看来，这种将安全全部交给第三方的感觉如同“将你的灵魂卖给了魔鬼”，一旦发生意外，企业能做些什么呢？是否准备好了一流的 DRP（灾难恢复计划）、BCP（业务连续性计划）和 SIRP（安全事件响应计划）？Plan B不应该只是一种形式，应该是一个真正的可落地的计划，而不是一堆纸质制度材料。

图片来自Shutterstock.com

从2017年开始，国家层面就起草或颁布了多项法案，某知名公司因违反相关法律而受到巨额罚款（罚款超过80亿元人民币），监管机构的任务是提供准确的指导协助企业遵守各种适用的法律。

近几年发生的这些不同事件代表了全球监管机构和组织正在采取的以个人信息及隐私保护为中心的转变，从而正在并将继续导致技术和隐私技术行业发生巨变，这些行业依赖于大数据和大量消费者数据集甚至用户画像，在可预见的未来下将继续存在。此外，世界各国都发现了隐私漏洞，并一直在利用GDPR作为模板起草自己的隐私法案，其实国内的个保法也是这样。

就个人信息和隐私而言，每个地区和国际都需要采用类似的标准来保护其民众的数据，以确保经济平稳运行。在中国，个人信息及隐私保护仍处于初级阶段，有一件事是肯定的——隐私权将继续存在，围绕个人信息和保护的相关话题将在未来很长的一段时间里会保持继续发展的态势。监管机构和消费者权益保护团体才刚刚开始，个人觉得2022年将是执法、处罚和其他类似罚款的创纪录年份。

图片来自自行截图

有一个普遍的误解，认为消费者更关心的是免受黑客攻击（数据保护），而不是控制他们的个人隐私数据。确实，消费者越来越担心将他们的数据委托给第三方，尤其是当他们认为自己的数据容易受到攻击时。但公司存储和处理个人数据的方式也是行为和忠诚度的主要驱动力，特别是如果消费者认为这些数据是在未经许可的情况下泄露的。最近的一项研究显示，消费者对数据保护和数据隐私都感到担忧，大约 57% 的客户表达了对在线隐私的担忧，85%的客户希望更多地了解公司收集的数据会发生什么。

因此，选择将数据保护优先于隐私保护的公司可能会疏远客户，如果他们的数据存储和使用方式存在歧义，就会更换供应商。相反，企业应该更加致力于识别和充分理解法律法规在个人信息及隐私数据方面要求，作为一系列窗口来更好地与客户建立联系，而不是作为合规驱动议程的一部分来进行勾选。同样，个人隐私不应被视为数据保护相关要求唯一责任，而应站在业务角度，最大化地遵守相关法律法规并定义和定制隐私政策，以满足客户对隐私安全的需求。

图片来自 央视财经

个人信息及相关个人隐私法规的颁布，从某种程度上来说限制了数据驱动的商业模式，因为客户将不再允许企业无目的或超范围地收集和处理他们的个人数据，特别是隐私数据。设想一下，你到了一家店后，还没有开口，店员通过大数据就得出了你的人物画像，获取到你的物质需求，那将是一件多么可怕的事情。尽管遵守相关隐私法规带来了挑战，但采取积极主动方法的企业将会收获更加积极的影响。

事实表明，消费者仍然愿意企业利用并存储和收集他们的个人数据，从而更方便地为用户提供服务，但前提是明确表明这样做对他们有什么好处，这样的个性化应用程序才能提供更大的便利。阐明明确利益并加强个人数据收集和保护方式的公司将会被授权继续访问客户个人数据甚至隐私数据。

真正的区别可能在于建立数据分析能力，以更好地了解消费者的生活和习惯，这让企业对于向人们推广哪些产品和服务更有选择性。拿金融服务提供商来说，现在正在结合数据和人工智能来定制活动并推动销售。在这里，数据可以帮助他们将客户申请新产品的决策时间从几天缩短到几小时。

某公司整理了关于每次客户互动的见解（例如客户投资组合数据、客户银行数据、客户参与数据和触发事件）。他们使用人工智能来预测客户行为并提供更加个性化和有针对性的优惠，这些优惠在所有渠道（如应用程序、网上银行和电话银行）中始终如一。结果，这家商业公司能够在推动其客户群转型的工具上实现活动成功率成倍提升和投资回报率提升，客户何乐而不为呢？

笔者认为，客户需要最大限度地共享数据以实现数据分析，这一点很明确，首先要对客户数据进行分类分级并进行全面审查，并以直观的方式嵌入到产品中。如果客户同意收集和共享个人数据，他们应该清楚地提示和解释允许公司做什么，以便他们可以方便地行使自己的个人信息主体权利。

再打个比方，隐私政策应该对客户更加友好，使用简单的语言并避免使用专业法律术语。在必须处理个人数据（例如将个人数据共享给第三方服务机构服务）的情况下，应该有明确的方式来提供同意和提示确认，及最终的目的。同样，企业需要提供符合人性化的渠道和平台，消费者可以在其中更新、修改、删除他们的同意偏好。

图片来自 笔者自行制作

企业个人信息和隐私保护应建立在坚实的个人信息保护制度的基础上，例如通过创建个人信息保护执行机构和设立个人信息保护负责人，其任务不仅是最大限度地减少暴露并保护整个数据生命周期，而且是在整个公司业务中始终贯穿如一。领导者（个人信息保护负责人或者隐私合规官）还应该将“设计隐私”的原则嵌入到他们的技术设置和运营流程中，以创建一个企业范围的治理框架，了解这些隐私保护能力如何相互联系以实现监管和用户的期望。

消费者将越来越多地使用数字技术与企业互动，由此产生的数据既带来了加深参与的机会，也增加了保护数据及隐私安全的责任。对于企业跟上不断变化的个人信息保护和隐私立法及规范将继续具有挑战性，但这不应成为我们不断质疑企业如何以更智能和更具便捷的方式使用我们的数据。毕竟，个性化、用户画像为消费者和企业都带来了一定的好处，如何控制这种度，恰恰是非常值得我们深思的。

2022诸子笔会  

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  朱文义

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在