京東金融總法律顧問劉志堅：個人資訊保護是開展一切業務的起點

3月15日，在南都個人資訊保護研究中心舉辦的“2018年消費者個人資訊保護論壇”活動現場，京東金融總法律顧問劉志堅就大數據時代互聯網企業面臨的挑戰，和京東金融個人資訊保護實踐等話題，發表了主題演講。

京東金融總法律顧問劉志堅

“我們一直把消費者權益保護置於企業發展的核心位置。”劉志堅說，“大數據時代，企業有諸多困惑和難題需要破解，比如數據安全，其實這是企業的生命線。因為一旦發生個人資訊泄露事件，企業有可能因此退出市場。”

個人財產資訊屬於機密數據

“當你想買一輛二手車時，如果可以查詢到這輛車出廠後，遇到過多少交通事故，保險公司有什麽理賠數據，掌握了這些資訊，整個交易就會更安全。”

在劉志堅看來，在數字經濟時代，數據如同工業時代的石油，是數字經濟時代的重要資產。數據的應用和處理，不僅可以節約交易成本，也能提高社會效率。當然前提是做好個人資訊的保護。

“獲得數據之後，如何讓數據形成關聯，在保護消費者權益的基礎上，形成經濟價值，提升社會效益。”劉志堅說，這是大數據時代，互聯網企業面臨的極大挑戰。

去年9月，位列世界三大征信機構之一的艾可飛“Equifax Inc”被曝發生涉及1.43億用戶的個人資訊泄露事件。事後，該公司董事會主席兼首席執行官和幾名高管宣布引咎辭職。

近年來，類似的個人資訊泄漏事件時有發生。在國內，雖然國家相關部門正嚴厲打擊資訊交易黑市，但是非法資訊交易還是屢禁不止。

如何有效遏製這種局面？劉志堅認為，這需要包括監管機構、專家學者、企業和消費者等在內的多方參與，一起共建防控機制。

對於企業而言，他強調，數據是企業賴以生存的基礎，很多企業把數據安全視為生命線。一旦發生數據泄露事件，不僅會嚴重損害公司聲譽，而且還會危及企業運營。

作為京東金融的總法律顧問，劉志堅表示，“我們希望在全社會對個人資訊安全充滿焦慮感時，行業應該更加重視，並把個人資訊保護放在一切業務最基本的起點，堅定消費者的信心，堅持正道成功。”

為了做好隱私保護工作，京東金融在公司內部成立了個人資訊保護委員會，由京東金融CEO陳生強親自掛帥。該委員會下設資訊安全和隱私保護兩個小組，囊括業務、技術、法務合規團隊。劉志堅透露，未來也不排除和其他機構合作，引入外部監督組織和技術專家的可能性。

在人員管理上，他特別提到，能夠接觸到大量用戶敏感資訊的員工，在入職前都必須經過充分的背景調查，並簽署相關保密協定。即便被調離崗位或終止勞動合約，個人資訊處理崗位上的相關人員也必須會被要求繼續履行保密義務。

在京東金融內部，所有數據按照敏感資訊和非敏感資訊進行分類和存儲。其中個人財產資訊屬於機密數據，個人生物識別資訊、個人身份資訊、網絡身份標識資訊等為保密數據。而系統日誌，業務日誌等內部數據也在敏感資訊範疇內。

如需提取這些敏感數據，業務部門需要進行安全備案，同時還有數量限制和時間控制，“比如一個人一段時間內只能查詢三條。”

如何確保用戶選擇同意？這是個很難的選擇

“如何最大限度的保護個人資訊的安全？關鍵在於企業是否把客戶資訊安全放在至高無上的地位。”據劉志堅介紹，目前京東金融遵循國際隱私合規領域都普遍推崇的PbD（Privacy by Design 隱私保護設計）理念。

據南都記者了解，PbD理論認為，為了平衡和兼顧技術創新和隱私保護的關係，隱私保護的需求應該主動嵌入公司的組織架構、系統和程式設計中。具體包括建立隱私事務管理部門，規劃數據保護戰略，制定隱私政策程式和指南，在系統和程式中考慮隱私，開展隱私影響評估等。

劉志堅說，“作為提供線上服務的互聯網企業，在流程設計上，要在有效保護個人資訊安全的同時，注重客戶體驗提升。因此在流程設計時，我們就嵌入了隱私和資訊保護合規要求。”

結合京東金融的實踐，劉志堅分享了他們內部遵循的兩項原則：確保端到端的安全運行機制和貫穿數據全生命周期的個人資訊保護管理策略。在開展業務時更是力圖做到流程透明，從而實現個人資訊有效保護。前者主要涉及端到端採用安全密鑰的技術問題，後者則是將個人資訊保護的理念，貫穿於數據存儲、管理、訪問、共享到銷毀的全周期中，執行嚴格的數據保護策略，從而形成成熟、有效的資訊保護機制。

劉志堅介紹，京東網站首頁設定了隱私政策鏈接。當用戶首次使用APP時，會彈窗提示查閱京東用戶注冊協定和隱私政策。同時，在獲得地理位置等敏感資訊時，系統還會再次向用戶確認是否允許訪問。

不過，南都記者采訪發現，大多數用戶不會認真閱讀隱私政策，即便看完後，也只能默認同意，否則就無法使用相關服務。對此，劉志堅也深有體會。

他說，其實傳統金融行業，用戶也面臨同樣的問題。“比如注冊成為私人銀行客戶前，我需要到那裡簽署幾百頁的用戶協定，然而你根本不可能每頁看，你只能相信它是全球領先的資管公司，應該會保護消費者。當然你還可以選擇另一家銀行。”

如何確保用戶真正選擇同意？劉志堅認為，應當在資訊源頭賦予當事人資訊的控制權，既要考慮用戶使用體驗，也應注重提高授權機制的可執行性。“當然這本身也是個很難的選擇，需要業界進一步探討。”

個人資訊保護立法應注重利益平衡

“我們堅持把個人資訊的保護放在一切業務最基本的起點。”

除了分享京東金融的個人資訊保護實踐外，在當天“2018消費者個人資訊保護論壇”現場，劉志堅還提到了，個人資訊保護立法的問題。

在他看來，“個人資訊保護是消費者權益保護的一部分。相關立法，應在風險管理和創新之間予以平衡。據他介紹，京東金融在內部個人資訊風險管理上，也是下足了功夫。針對內部管理我們制定了24字方針，即誰主管誰負責、誰運營誰負責、誰使用誰負責、誰準入誰負責，真正做到責任到人。”

劉志堅說，“我們的法律研究團隊會定期追蹤域內外法律法規動態，再將其內化到企業實踐中，緊緊把握該領域的政策動向有助於我們明確基本原則，形成內控制度，結合產品和業務流程構建和調整企業的個人資訊保護機制，將個人資訊保護理念傳導給每一位員工。在尊重用戶隱私的態度上，我們是積極主動的。”

劉志堅認為，應從國家競爭戰略的高度看個人資訊保護立法。以美國為例，由於企業對用戶數據的全周期掌控，在使用數據創造商業價值方面，美國也較為領先。反觀歐洲，為什麽實行最嚴格的個人隱私權保護？這或許是因為歐洲本土沒有真正的互聯網經濟，缺乏大型創新性企業。在數字經濟時代，歐洲似乎已經遠遠落後了。

“所以在立法借鑒的時候，一定要看國外法律的立法宗旨和目標。這是一個借鑒的過程，不見得國外的實踐就完全適用於中國。”

與此同時，劉志堅也呼籲，相關部門無論是在制定個人資訊保護法或網絡安全法配套規定，還是修訂消費者保護法，一定要做到兼顧個人隱私保護與數據商業價值。

“我比較擔憂的是失去平衡，要從法律角度區隔數據或資訊中的人格權屬性、財產權屬性，或者商業屬性。我覺得這個問題真的值得全社會深刻思考，因為這有可能直接影響中國未來幾十年的國家競爭戰略。”

采寫：南都記者 李玲