「數據合規和隱私保護是企業發展的競爭力」
從事個人信息處理活動的,應當遵循最小必要原則;不得通過欺騙、誤導等方式處理個人信息;應當採取加密、去標識化等安全技術措施,防止未經授權的訪問及個人信息泄露或者被竊取、篡改、刪除等風險……2021年11月1日,《個人信息保護法》(以下簡稱「個保法」)正式實施。作為國內首部個人信息保護的專門性法律,個保法明確要求個人信息處理者在個人信息收集、使用、加工、傳輸、存儲等環節須遵循相應原則。
針對個人信息被「過度采、強製要、誘導取、違規用」等問題,2023年6月,在國家網信辦網絡執法與監督局的指導下,上海市網信辦、上海市市場監督管理局等聯合啟動「亮劍浦江·消費領域個人信息權益保護專項執法行動」,取得了富有成效的工作成果。在個保法實施三週年之際,專項執法行動向縱深推進,聚焦掃碼點餐、停車掃碼、景點景區購票服務、人臉識別濫用、未成年人個人信息保護等重點場景,通過一年的努力,促進重點場景下個人信息保護現狀大幅改觀。
事實上,個人信息的保護,監管部門、數據處理企業和公眾三方缺一不可。近日,圍繞企業如何保障用戶個人信息權益、數據合規的投入如何轉化為企業競爭優勢和長期價值等議題,澎湃新聞對話了美團相關負責人。
「企業積極投入數據合規建設,能夠向用戶展示對用戶隱私的尊重和保護,增強用戶對企業的信任,樹立良好的企業聲譽和品牌形象,從而提高用戶的忠誠度和市場競爭力。」美團相關負責人表示,當用戶知道企業在認真對待他們的個人信息,並採取了嚴格的保護措施時,會更願意與企業分享自己的信息,從而建立起更緊密的用戶關係。
澎湃新聞:在日常運營中,企業應該如何保障用戶個人信息安全?美團為此做了哪些嘗試?
美團:作為一家互聯網平台,美團始終秉持 「以客戶為中心」的 發展理念,積極主動承擔企業主體責任,致力於保障數據和用戶隱私安全。自《網絡安全法》《數據安全法》《個人信息保護法》陸續出台後,美團主動部署合規策略,通過加強組織保障、完善制度建設、優化產品功能、增加技術能力投入和開展合規培訓等多項舉措,不斷提升自身數據安全和隱私保護能力,來保障用戶、商戶等各方的合法權益。
美團很早就成立了專門的數據合規和隱私保護委員會(以下簡稱「數安委」),統籌內部數據隱私合規治理工作,及時向各方同步數據隱私最新要求和重要信息,不斷提升各方對數據隱私合規的重視程度。從公司層面製定《數據安全管理辦法》《數據安全管理流程》等一系列規則制度,製定並對內發佈了「數據合規和隱私保護工作手冊」,圍繞個人信息全生命週期處理活動,製定了統一的內部合規原則和標準流程。公司還建立了數據安全事件應急處理機制,明確數據安全事件處理要求,確保及時、有效的管理安全事件,預防和減少損失和危害。
澎湃新聞:作為一家大型互聯網平台,美團對合作夥伴(例如商家等)在個人信息保護方面製定了哪些規範和監督措施?
美團:為了提高隱私合規和數據安全保障能力,美團不斷加強技術投入和系統能力建設,健全數據全生命週期合規管理和安全防禦體系。
在隱私合規方面,一是建設並上線App隱私權限註冊管理平台,嚴格遵循法律要求的「最小必要原則」,對十三類隱私數據的合規收口管理。二是設立App上線前隱私合規檢測流程,避免App帶著隱私合規問題上線。三是通過App隱私合規檢測平台建立漏洞檢測能力,提前發現並解決風險問題。在數據安全方面,美團有專門的信息安全團隊,負責公司數據系統安全及防禦保護,通過加密存儲、加密傳輸、脫敏處理、數據備份等技術手段保障業務全鏈路的數據安全,確保數據的完整性和一致性。
為了保障用戶的個人信息安全,早在2021年美團平台旗下主要業務場景均實現了用戶號碼隱私保護,當用戶通過美團使用外賣、閃購、酒店住宿、打車等多種生活服務時,平台會為用戶生成專屬的隱私號碼。在訂單過程中,用戶和商家、騎手之間的聯繫都支持通過虛擬隱私號來完成,當服務結束,這一虛擬號會立即失效。隱私號是一種虛擬號碼,在短時間內和用戶的手機號綁定,商家、騎手聯繫用戶時使用虛擬號可以保護用戶的手機號不被泄露,用戶可以在美團App側啟用「號碼保護」功能打開隱私號功能。
澎湃新聞:從長期來看,對數據合規的投入如何轉化為企業的競爭優勢和長期價值?
美團:首先是維護企業聲譽。在數據泄露和隱私侵犯事件頻發的背景下,消費者對個人信息保護的關注度越來越高。企業積極投入數據合規建設,能夠向用戶展示其對用戶隱私的尊重和保護,增強用戶對企業的信任,樹立良好的企業聲譽和品牌形象,從而提高用戶的忠誠度和市場競爭力。
其次是提升用戶體驗與信任。當用戶知道企業在認真對待他們的個人信息,並且採取了嚴格的保護措施時,會更願意與企業分享自己的信息,從而建立起更緊密的用戶關係。這種信任關係不僅有助於企業留住現有用戶,還能吸引更多新用戶,為企業的長期發展奠定堅實的用戶基礎。
澎湃新聞:從社會治理層面來說,您認為企業可以採取哪些舉措促使個人信息獲得更好地保護?
美團:第一,完善企業內部安全管理機制,製定明確的信息保護策略,建立健全內部控制體系,同時加強人員的安全意識培訓。第二,強化安全技術防護措施建設和應用,採取數據全生命週期管理,保障企業的數據安全。比如在數據流通共享環節,積極推廣應用隱私增強技術,如安全多方計算、同態加密、差分隱私等,在不影響數據可用性和分析價值的前提下,最大程度地保護個人信息的隱私性,實現數據的安全共享和利用。
