蚂蚁、旷视紧急澄清背后 机构如何筑牢数据隐私安全“防线”

“我们曾在早期帮助旷视科技公司找了包括美图和蚂蚁金服等合作伙伴,让他们拿到了大量的人脸数据,并在随后的摸索过程中找到了几个有价值的商业化方向。” 9月12日,创新工场创始人李开复公开提到的人脸数据收集一事,引发多家公司紧急澄清。直至9月13日、14日,该事件仍在发酵,登上热搜引爆热议。多方紧急回应背后,数据隐私安全问题也再次成为金融科技讨论“沸点”。

01

李开复“口误”引多机构紧急澄清

李开复言论一出,第一时间内触动了多家公司的敏感神经。

9月12日晚间,蚂蚁集团通过微博紧急澄清称,蚂蚁集团在与旷视科技合作事宜上从未与李开复有过接触;且蚂蚁集团从未提供任何人脸数据给旷视科技,双方过往合作仅限旷视科技授权其图像识别算法能力给蚂蚁单独部署和使用,不涉及任何数据的共享和传输。目前双方已无相关业务合作;并重申数据安全和隐私保护是蚂蚁的生命线,遵守法律法规、遵循用户明确授权原则和最小化原则,是采集、留存和使用数据的三条红线,在任何时候都不会违背。

注意到蚂蚁集团的紧急否认后,李开复迅速在微博致歉称,“初期我曾经建议并帮助旷视科技团队寻找更多应用合作伙伴,以增强技术水平,提升模型识别率。合作中,旷视科技提供AI技术给到合作方,我理解数据一直存在合作方客户服务器中,不涉及任何数据的共享与传输。我的口误,给三家公司带来困扰,深感歉意。”

一石激起千层浪,随即旷视科技也在官微回应称,其不掌握也不会主动收集终端用户的任何个人信息;数据安全是人工智能企业的立身之本。旷视科技一直高度重视“数据隐私安全保护”问题,并已在企业内部制定、实施了完善的数据隐私保护制度。

02

数据隐私问题引关注

多方紧急回应背后,数据隐私安全问题也再次成为金融科技行业讨论“沸点”。

众所周知,金融科技To B的一大竞争点就是数据。然而,在很长一段时间里,在用户数据的采集、分析、利用等都颇有争议。

中国并购公会信用管理专业委员会常务副主任刘新海告诉北京商报记者,一直以来,数据应用和隐私保护都处于博弈状态,很多金融科技公司如果没有很好的数据做支撑,将没办法研发推出新产品。但由于国内金融科技早期的粗放式发展,以及立法比较滞后,因此很多机构在实际操作对于个人信息保护重视程度不够。

不得不说,近年来金融科技行业在数据使用方面存在乱象。一方面是数据范围。正如麻袋研究院高级研究院苏筱芮所说,“目前有一些数据是与业务无关的,非必要提供给第三方的,但某些商业机构不作为,没有采取保护措施,例如今年315晚会提到的SDK就存在这种问题。目前,已有一些公司在隐私协议中披露SDK合作伙伴名单,也有公司在工信部通报后积极整改,控制住外部机构的访问权限。”

另一方面则是数据内容。苏筱芮称,金融领域涉及到个人信息相当敏感,而有一些数据的处理是非必要原样照搬提供给第三方的,因此,数据的加密传输以及匿名化,也就是去标识化,成为了当前的一个重要议题。

此外还涉及到公司自身的信息安全保护水平,苏筱芮认为,有的公司风控水平低下,防护措施形同虚设,或者被钓鱼网站、仿冒App等侵害,也会导致问题和乱象。

值得一提的是,金融行业移动App安全问题也成为数据泄露的一大源头,有行业报告评测超13万个金融App,但发现有70.22%存在高危漏洞,甚至将导致App数据泄露的风险。其中,互联网第三方支付和信托类App的高危漏洞问题较为突出,保险、投资理财等分类的App高危漏洞问题也相对严重。

不过,今年以来,个人信息保护问题也受到空前重视,除了App专项治理工作小组持续开展整治外,工信部前后通报了上百家侵犯用户权益的App名单,在所涉问题当中,“私自共享给第三方”沦为重灾区,监管对此已展开针对性治理。

此外在立法层面,我国数据安全也正在迎来一次深刻性变革,7月3日,数据安全法草案全文公开征求意见。该法将确立我国数据安全保护管理基本制度,完善我国在数据安全方面的法律体系。

03

隐私安全“防线”如何筑牢?

当前,不论是金融科技公司还是银行,都在向“开放”、“平台”化方向探索。其中的To B过程中,机构又应如何合理合规与B端合作伙伴共建或者分享数据资产,也成为业内关注的热点话题。

“要特别注意个人数据隐私保护,尤其是个人敏感信息,如人脸数据、金融信息等,务必要有严格的合规流程。如果要分享数据,首先要取得消费者本人同意,同时共享的数据要在合理合法的授权范围内;此外要注意用最小的数据量,不能‘一揽子’共享。”刘新海称。

苏筱芮则告诉北京商报记者,机构要实现第三方共享,应该从数据的采集、存储、加工、传输、披露等环节进行规范,例如采集前需征求用户同意,必要加工时应采取匿名加工原则等。

谈及数据和客户能在多大程度上共享,苏筱芮认为主要取决于两方面:一是业务范围,与业务处理无关没必要共享,即不能“超范围”共享信息,这与不能“超范围”收集信息的理念是一脉相承的。二是客户资质,如果是政府机构,那么可以按照政府要求传输信息,业务无关的亦可,但如果是资质不佳,甚至有前科劣迹的,机构务必谨慎对待,避免因第三方的不规范甚至违法操作牵连到自身。

“实际上B端机构自身对数据安全的重视程度更高。相关技术服务商只有做好数据安全,双方才有可能进一步深化合作。”一业内人士指出,科技输出过程中,数据使用权限可根据不同对象设定不同级别,所有敏感数据都加密处理。而针对第三方数据的使用,也必须合规、可溯源,数据供应商应有合法资质。

谈及后续金融科技To B数据安全管理,一行业资深律师则建议,机构首先要做好事前的企业合规准备。大数据是一条重要的监管红线,企业盈利固然重要,但也要在安全的环境下。目前很多金融行业移动App或多或少都存在一些收集个人信息的问题,但野蛮生长的时代已经落幕,企业应尽早排查,避免法律风险。