個人信息保護法創設了“守門人”制度，其中規定互聯網平臺需要成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督，這就像是在個人隱私保護的“大門”內再設一道“護欄”。然而，這道“護欄”建設的標準是什么?怎么建?行業內仍處于“摸著石頭過河”的階段。

　　雖然相關部門、企業和老百姓的個人隱私保護意識不斷提高，但個人在互聯網“裸奔”的風險似乎沒有明顯降低。3月15日，中國消費者協會發布了2023年消費維權年主題調查報告，其中，“個人信息泄露煩擾多”排在當前消費環境存在的問題之首。

　　事實上，對于個人信息保護的監管一直在“加碼”，尤其是加大了對掌握數據較多的互聯網平臺的監管力度。2021年11月1日開始實施的個人信息保護法創設了“守門人”制度，其中規定互聯網平臺需要成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督，以及定期發布個人信息保護社會責任報告，接受社會監督。

　　“該規定的核心邏輯就是提高企業在個人信息處理以及管理上的透明度。”近日，螞蟻集團首席隱私官聶正軍在接受中青報·中青網記者采訪時表示，透明度是提升企業在這方面意識和能力最好的驅動力，“陽光是最好的消毒劑，當一切在陽光之下時，健康的東西就會生長出來，不健康的東西就會滅亡”。

　　在“守門人”制度框架之下，借助外部獨立機構與社會力量對平臺進行監督，一定程度上像是在個人隱私保護的“大門”內再設一道“護欄”，也是再上一道“保險”。然而，這道“護欄”建設的標準是什么?怎么建?行業內仍處于“摸著石頭過河”的階段。

　　多家企業設立個人信息保護監督委員會

　　當前，行業內已有一些互聯網平臺開始嘗試在個人信息保護“大門”內再設“護欄”。

　　3月22日，在螞蟻集團個人信息保護監督委員會(以下簡稱“監委會”)2023年度首次會議上，監委會委員、華東政法大學教授高富平表示，全社會的數字化轉型，本質上是將數據作為資產轉型，在兼顧數據安全性的基礎上，進一步探索數據的價值。

　　“個人信息保護的背后反映的是信任問題，是關于企業和用戶、企業和監管機構之間的信任。”另一位監委會委員、對外經濟貿易大學法學院副教授許可認為，重建信任可以從兩個方面入手：一是提高算法的透明度;二是加強平臺內經營管理者的保護能力，平臺不僅自己要合規，更要重視平臺內經營者的合規。

　　據悉，該監委會設立于2022年下半年，由螞蟻集團董事會、董事會隱私保護及數據安全委員會批準設立，首批委員共5人，他們是來自法學領域和技術領域專家，作為獨立機構對公司個人信息保護情況進行監督，進一步健全個人信息保護評價和監督機制。

　　“隱私合規能力是數字化企業行穩致遠的重要基石和核心競爭力。”聶正軍表示，設立該委員會，一是為了洞察社會對于平臺在數據安全和個人隱私保護方面的期待和關切;二是希望通過外部監督力量督促企業提升數據安全和個人隱私保護水平。

　　此前，一些企業已在這方面進行了一些嘗試。2021年10月22日，騰訊公司副總裁謝呼曾在發言時透露，將成立個人信息保護外部監督委員會，獨立評議騰訊公司及各產品隱私保護的相關工作，提出指導和修改意見等，提高騰訊公司個人信息保護工作的機制建設和透明度水平。

　　騰訊宣布這一消息后的第三天，攜程集團合規委員會就發布了一則《攜程“個人信息保護外部監督專家團”招募公告》，招募9名專家，獨立監督、評估攜程集團及旗下各產品的個人信息保護相關工作，并為攜程提出指導和修改建議等。

　　外部監督如何保證獨立且有效

　　目前，關于如何建設外部監督機構，行業缺乏統一的標準。

　　行業亦有隱憂。比如，外部監督機構介入企業太深，可能會涉及企業商業秘密，甚至可能影響企業運營。如果企業披露信息不夠充分，可能無法保障監督效果。那么，該如何保證外部監督的獨立性以及有效性?

　　有人認為，在互聯網平臺，個人隱私保護與企業盈利存在沖突，因為流量即價值。聶正軍指出，支付寶在設置用戶保護中心的位置時，就曾遇到類似問題。該用戶保護中心包含了個人信息已收集清單以及個人信息共享清單等，消費者可以看到自己的哪些信息被收集了以及被共享到何處。

　　當時討論將這個內容放在更低的位置，然而，最終還是被放在了“第二欄”的高位，他們希望，用戶可以保護好自己。

　　當外部監督與企業業務發生沖突該怎么辦?聶正軍表示，一是監委會提出的意見可以直接提交到螞蟻集團董事會隱私保護及數據安全委員會，從而保障和促進實施。二是社會責任報告最終由監委會審閱通過，監委會有“把關”的權力。

　　高富平認為，監委會成員作為連接企業與社會的“橋梁”，對企業的個人隱私保護情況進行監督的同時，應盡可能更多地反映社會的聲音。并且，作為專業人士，在信息披露方面可以作出更專業的判斷，且對必要信息需要盡到保密責任。他坦言，外部監督不是改變企業隱私合規文化最根本的路徑，“像我們這樣的人能夠發揮的作用還是有限”。他說，要做好這個“橋梁”需要下很多功夫。

　　數據安全與個人隱私保護最關鍵的是數據使用，這一環節鏈條長、涉及面廣、運行復雜。

　　高富平指出，個人信息保護的落實關鍵執行者是平臺，平臺需要借助技術、法律以及管理，尤其是管理等手段，將個人隱私保護的意識貫穿于員工培養、產品設計、產品生產等各個環節。“最關鍵的是執行。”他說。

　　讓監督與發展兩條腿“走路”。作為業內人士，高富平更希望，除了監督，也可以為數據的開發利用找到“出路”。他認為，在數據利用與個人信息保護之間，匿名化或許是一種平衡的手段，因而如何實現數據匿名化制度的落地、落實，也是眾多科技企業可以探索的方向之一。

　　“把數據匿名化落到實處”

　　數字化浪潮是大勢所趨，未來，數據要素流動更多、更活躍，尤其是數據跨域流動，可能會產生新的風險。如何進一步保障數據安全與個人信息是行業共同的考題。

　　當前，大型互聯網平臺在不斷提升隱私合規的能力，更多的中小微企業數字化能力相對較弱，保護數據安全和個人信息安全的能力則更弱。

　　高富平指出，數字化轉型就是向“將數據作為資產”轉型，這個過程中，用戶信息的識別很重要，要區分哪些是正當合法必須保護的，對用戶的信息要分級別，從而采用不同的處理方式，而非“一刀切”，這樣成本高，也不利于數據要素發展。

　　“沒有匿名化，數據可能流動不起來。”高富平談到，在個人數據保護和數據利用方面主要面臨兩個問題，一是個人ID保護問題：如何在匿名的前提下，繼續保留數據的價值，數據的價值不在ID，而在ID關聯的屬性和行為信息，這需要探討一個標準，做好身份信息的安全保護。“把數據匿名化落到實處。”

　　高富平說，數據安全風險主要在數據的使用，而不在采集。高富平指出，對數據使用的控制，是一個隱私問題，也是一個安全問題，也是實現數據可流通利用的問題。這就需要構建起安全體系和權益保護體系。

　　“數據安全保護還沒有從一個‘奢侈品’變成日用品。”螞蟻集團數據安全資深總監郭亮表示，當前，雖然監管形勢逐漸清晰，但行業外部形勢依然嚴峻。

　　“網絡黑產趨于強對抗。”郭亮認為，當前，網絡“黑產”呈現往專業發展趨勢，且產業鏈長、隱蔽性強，打擊難度隨之上升。他說，數據黑市愈加活躍，黑產公開售賣數據，數據還被欺詐等黑產利用。

　　在利益驅動下，數據源頭“內鬼”風險呈頻發態勢。郭亮介紹，全國范圍內數據泄露事件頻發。另外，國內數據企業數據安全意識弱，數據安全投入不足。安全公司加速數據安全領域布局，但能力和方案成熟度低。

　　聶正軍也擔心，在平臺內數據安全可以得到保證，一旦數據走出平臺，這就很難說了。“孩子還在家里時，能夠給它一個安全的港灣，長大成人出去了，很難管住。”他說，“這也是我們最擔心，也最想要解決的問題。”

　　當前，制約這些中小微企業提升數據安全能力的一個關鍵因素是成本太高。聶正軍指出，如果能夠把相關技術從“奢侈品包”變成“帆布包”，大家都可以用，整個行業在這方面的能力就都能夠得到加強。作為平臺企業，在提升自身的相關能力時，也需要提醒行業尤其是下游企業，并且用平臺技術去給它們賦能。

　　他觀察到，近一兩年，國內已經開始涌現出一批關于數據安全合規的創業公司，探索數據安全合規，這也是新賽道的商業機會。

　　聶正軍預測，未來4年，中國將涌現一批比較成熟、成體系的數據安全合規產品的供應者。中國巨大的數據市場之下，隨著技術進步迅猛，這個時間可能會明顯縮短。(趙麗梅)

      編輯：郭成