蚂蚁金服发布隐私保护白皮书|涉及信息授权,必须“打扰”用户

本文涉及的产品
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
数据安全中心,免费版
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
简介: 小蚂蚁说: 继设立首席隐私官、成立隐私保护办公室后,蚂蚁金服在隐私保护上又有新动作:8月22日,蚂蚁金服发布《隐私保护和数据安全白皮书》,强调了隐私安全的重要性,全面介绍了蚂蚁金服的做法。蚂蚁金服首席隐私官聂正军表示,“在隐私保护的路上,只有起点没有终点”。

小蚂蚁说:

继设立首席隐私官、成立隐私保护办公室后,蚂蚁金服在隐私保护上又有新动作:8月22日,蚂蚁金服发布《隐私保护和数据安全白皮书》,强调了隐私安全的重要性,全面介绍了蚂蚁金服的做法。蚂蚁金服首席隐私官聂正军表示,“在隐私保护的路上,只有起点没有终点”。


前言

作为一家科技公司,蚂蚁金服擅长利用前沿技术来解决碰到的问题。在隐私保护上也不例外。白皮书首次全面披露了支付宝在隐私保护上做的尝试。

目前在蚂蚁金服,如果涉及数据采集,系统会全程监控,一旦发现存在未经用户授权等风险,将启动预警或直接终止;在数据使用阶段,运用技术对数据进行智能分类,通过对敏感数据进行特别标识与脱敏处理,防止信息泄露;同时遵循“最小够用”原则,建立了细粒度的权限控制。在数据共享阶段,不但对数据异常调用行为进行实时监测,而且限制合作伙伴调取用户数据前应取得用户同意。

蚂蚁金服用技术驱动隐私保护上的努力,还体现在推进产品化,赋能生态伙伴。在将隐私保护产品化方面,蚂蚁金服开发了系列安全产品,如数据隐私保护产品“数据保护伞”、权限控制产品“虎符”、多方安全计算平台“摩斯MORSE”等,去帮助合作伙伴提升数据安全保障能力。

坚守三不要原则

App的使用,一般是越不打扰用户越好。但对现在的支付宝而言,涉及到信息授权时,是必须要“打扰”用户,请求其授权的。这也是支付宝对内部的“约法三章”之一。这“三要三不要”原则:不要替用户做主,不要滥用数据,不要采集来历不明的数据,也写进了白皮书。

为保障隐私安全,蚂蚁还制定了《隐私保护制度》、《数据安全管理规范总则》、《数据分级分类规范》等30多项制度规范体系,让其成为业务活动中不可分割的一部分,保障数据安全风险管理有章可循以及数据安全风险可控。

蚂蚁金服首席隐私官聂正军表示,隐私保护不是企业被动的负担,而是为了更好的服务客户,也为了企业能走得更长远。在移动互联网时代,如何既给用户提供更好的服务,又能保护好用户的隐私?这是整个世界互联网行业都必须面对的一个挑战。“科技可以让数据的价值更加充分使用,但也唯有科技才能实现更有保障的隐私保护”。

关于隐私保护,蚂蚁金服已经做到的

蚂蚁金服认为,保护用户的隐私不是企业被动的负担,而是为了更好地服务客户。保护用户个人隐私,是一家有担当、负责任的企业必须要解决的问题、以及要承担的责任,也是为了让企业走的更长远。本着这样的初心,蚂蚁金服做了这些事情。

  • 坚持公开透明。用简明易懂的方式公布隐私权政策;使用户了解自己的个人信息如何收集、使用;使用户基于充分的信息做出自己的选择。
  • 坚持“三同时”:加强新产品上线的隐私保护能力评估流程,执行“三同时制度”,即:产品设计时,同时制定隐私保护和数据安全的管理方案;产品方案开发时,同时实施隐私保护和数据安全管理措施;产品上线运行时,同时上线运行隐私保护和数据安全管理功能。
  • 坚持“三要三不要”:“要给用户安全感,要用数据给用户创造价值,要确保安全与合规”,“不要替用户做主,不要滥用数据,不要采集来历不明的数据”。
  • 用前沿技术技术驱动隐私保护

用前沿技术全面保护用户数据隐私包括以下三个阶段:

  • 数据收集阶段:对于数据来源进行筛查,以确保数据来源的可靠性和稳定性,筛查的标准包括:数据合法产生、用户授权同意、在合理范围内保证提供信息的真实性、具备异议处理能力等。在数据输入后,持续开展事中监控,如发现存在数据泄露、未经授权提供用户个人信息等侵害用户权益的情况或隐患的,及时处理。
  • 数据使用阶段:将大数据技术充分应用到数据安全监测和管理之中。对数据进行标准化处理,抽取数据特征,通过AI算法进行智能分类分级。根据数据内容将其分为身份信息、财产信息、账户信息和交易信息等多种类别;根据数据的敏感程度将其分为机密、保密、内部和公开四个级别。对敏感数据进行特别标识,并对合作伙伴异常调用和员工异常使用敏感数据的行为进行实时监测。利用大数据技术进行人员管理,对访问量激增、行为基线偏离、操作时间集中等行为进行监测,一旦超过正常数值即触发风险监测模型和高风险事件警告,由风险运营团队对相关人员开展调查和应急响应。用大数据技术对整体生态安全进行监测,建立合作伙伴异常分析模型并对风险进行量化,达到相应风险阀值时触发报警系统。
  • 数据共享阶段:合作伙伴调取用户数据应经过用户的同意,防控第三方未经授权调取用户数据的风险。对第三方调用数据进行监控,发现超出授权范围,会启动相应处置机制。用产品加持用户隐私保护,并赋能合作伙伴。为赋能合作伙伴,我们开发了“数据保护伞”、“虎符”、“摩斯MORSE”等数据安全产品,帮助行业合作伙伴建设和完善数据安全保障能力,提升行业数据安全水平。其中,“数据保护伞”主要帮助合作伙伴提升数据资产识别、敏感数据发现、数据分类分级、数据脱敏、访问监控、风险预警与审计等能力。“摩斯MORSE” 产品包括安全发布、安全统计、安全模型、安全查询功能等。
蚂蚁金服发布隐私保护白皮书|涉及信息授权,必须“打扰”用户

在隐私保护的道路上,只有起点没有终点

随着数据分析技术的更新和智能算法的自我学习,未来大数据分析将更具多样性,分析结果也将更有针对性和可用性,能够帮助隐私保护和数据安全防护的实现。人工智能、区块链等更多新技术的应用,跨产业的融合与创新,将满足用户多元化、个性化的需求。

但是,从整个行业来看,数据规模急剧增长,数据类型更加多样,应用场景更加多元,隐私和个人信息的边界则更难以划定,对象本身的模糊不清、场景的复杂多变为用户隐私保护和数据安全带来更多的不确定性。

全球都在探索应对大数据、人工智能、区块链等新技术新业务带来的挑战,在战略部署、法律制度、政策引导等方面多头并进。我国也在持续推进信息通信业的法治化进程,完善法律制度,创新监管手段。

在这样的情况下,蚂蚁金服将坚持“客户第一”,持续加强隐私保护和数据安全能力建设,为用户提供更好的服务和隐私安全保护;开展数字经济时代隐私保护的前瞻性研究,为未来立法贡献行业实践和智慧;探索应用隐私保护技术,在保护隐私数据的前提下,推动行业大数据的安全、融合、共享和利用。

— END —

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
目录
相关文章
|
存储 安全 算法
深度解读-《个人信息保护合规审计管理办法(征求意见稿)》
2023年8月3日,国家互联网信息办公室(国家网信办)发布了《个人信息保护合规审计管理办法》(征求意见稿)下称(“《管理办法》”),并同时发布了《个人信息保护合规审计参考要点》(下称“《参考要点》”),拟对《个保法》五十四条、六十四条的进一步落地提供更为详细的指导措施。
228 0
|
7月前
|
存储 运维 安全
[隐私计算实训营笔记]第一课——数据可信流通,从运维信任到技术信任
本课以数据要素可信流通,重构技术信任体系为主题,介绍了信任四要素,以及其对应破环的原因,因此需要从运维信任走向技术信任的路线,并最终完成安全可信基础设施的融合布局。 感谢授课人韦韬老师~
|
7月前
|
运维 安全 数据安全/隐私保护
|
7月前
|
小程序 测试技术 API
【社区每周】芝麻身份信息验证能力API更新(1月第二期)
【社区每周】芝麻身份信息验证能力API更新(1月第二期)
51 0
|
数据安全/隐私保护
带你读《商用密码技术最佳实践白皮书》——委托凭证(1)
带你读《商用密码技术最佳实践白皮书》——委托凭证(1)
|
数据安全/隐私保护
带你读《商用密码技术最佳实践白皮书》——委托凭证(2)
带你读《商用密码技术最佳实践白皮书》——委托凭证(2)
|
安全 测试技术
软件测试能力认证联盟(CBSTC)章程发布、网站和会员申请通道同时开通
020年10月13日在腾讯品质峰会现场,腾讯、阿里巴巴、华为、软通动力、北京大学、南京大学和同济大学共七家单位的代表,共同按下启动按钮,宣布 “软件测试能力认证联盟“(The Certification Board of Software Testing Competency,CBSTC)正式成立,详见 共建世界级测试标准,“软件测试能力认证联盟”正式宣告成立 。
561 0
软件测试能力认证联盟(CBSTC)章程发布、网站和会员申请通道同时开通
|
云安全 存储 弹性计算
赋予数据权利和义务,阿里云重磅发布《数据安全与隐私保护白皮书》
数据的价值是流动时产生的,不能被使用和分析的数据没有意义。数据安全是为了推动数据可以被高效流动,这核心打造的是一套信任机制。不碰用户数据是阿里云的红线,也是最低要求,赋予数据权利和义务,让其所有者、共享者、监管者可以基于信任机制,释放数据的价值,这是阿里云数据安全的理念。 ——阿里巴巴集团副总裁 阿里云安全总经理 肖力
1501 0
赋予数据权利和义务,阿里云重磅发布《数据安全与隐私保护白皮书》
|
云安全 运维 监控
直播预告 | 多账号架构下的身份权限与网络安全新能力发布
新品发布会即将来袭,多账号架构企业到底如何更高效更安全的管理云端?所有干货尽在6月9日直播间!
288 0
|
小程序 中间件 区块链
幂码通过开放联盟链对接阿里生态:上线3日新增用户12万,日活用户4万
开放联盟链为开发者提供了完善的技术支持,这一系列的服务大大降低了开发门槛,让开发者能够专注于打造好应用。同时通过对接阿里生态,实现上线3日新增用户12万,日活用户4万。
1430 0
幂码通过开放联盟链对接阿里生态:上线3日新增用户12万,日活用户4万