早上九点半,大多数互联网公司员工才刚踏进办公室,聂正军的第一个会议已经快结束了。

他日程表里的工作之间几乎无缝连接,全天只有不到一个小时可以用来修改第二天的演讲PPT和吃午饭,期间还不停有人找他聊其他工作。

聂正军出任支付宝首席隐私官之后,每天基本都是这种工作节奏。同事戏称他是“移动办公”——哪里需要,他就去哪,工作交集几乎渗透到公司所有业务部门。

或许他自己也没想到,就在短短两年前,他在国内连同行都还很难找到,更不用说如今用户隐私保护已成公司标配的行业繁荣景象。

支付宝首席隐私官聂正军在会上演讲。主办方供图

进入支付宝之前,聂正军做过律师,还在银行和企业做过法务,已经是成熟的法律人。2017年7月,他正式出任首席隐私官一职。

不过,当时外界并不看好这个新兴职业,有人觉得隐私官就是用来“背锅”的,甚至有人直言“这只是个摆设”。聂正军也很快发觉,仅仅是法律经验还远不足以支撑隐私官的工作。

以前在企业做法务,他只需要处理法律合规的事务,而现在不仅要让公司运营符合适用的法律法规要求,还要洞察用户的隐私需求、根据其需求提出产品设计建议。

这些变化的背后,除了谙熟法律法规,他还要懂产品运营、用户体验、技术逻辑等,这些要求极大程度上拓宽了一名隐私官的能力边界。

聂正军的同事笑称,每逢产品上线前,聂正军总会向产品经理抛出“灵魂四问”:你的产品给用户创造什么价值?实现这个价值需要采集的最少必要信息是哪些?如果用户质疑产品在处理信息的合理性,你会如何解释?如果你或你的家人使用这款产品,会有什么感受?

聂正军觉得,在回答这四个问题的过程中,产品经理往往会对产品的隐私设计产生更高的追求。

“对于我来讲,做隐私保护绝对不仅仅是为了符合法律和监管的要求”,聂正军对隐私护卫队说,“我们的目标是要让用户能够在使用我们产品的过程中,有好的隐私被保护的体验,让隐私保护能力变成企业真正的生产力。”

他用一句直白的话表达做隐私保护的目标:“因为隐私保护做得好,所以我要选用支付宝。”

把获取数据作为目标是因果关系倒置

南都:近两年,个人信息保护的相关法律、规范频繁出台,你觉得工作更顺利了还是压力更大了?

聂正军:一部新的法律法规出台一定意味着对老的规则的变更和调整。每个企业去适应或者是去符合这些新的法律法规的过程中,一定会发生变化,那就一定会碰到成本的投入、理念的接受、资源的投入等等,我觉得很正常。

但我一直认为,今天的立法监管目标跟企业是一致的,总体方向必须得要回应老百姓的需求,而隐私保护确确实实是老百姓的需求。今天企业要发展,就要赢得用户的信任,所以需要去做很多的工作去尊重用户的隐私。

当然,在一些细节的条款上,大家会有不同的意见。但我觉得今天有一个很好的环境,大家能够进行意见的交换和讨论。只要大方向是一致的,大家可能在细节上也更容易达成共识。

南都:据你观察,目前整个行业最突出的问题在哪里?

聂正军:我觉得最主要的问题在于,有少数公司没有拿数据给用户创造价值,只是标榜着“我们从不创造价值,我们只做数据的搬运工”,把数据从这里搬到那里,然后扮演数据中间商赚取中间的差价,这是一定会出问题的。

我一直相信这样一句话:今天任何的数据处理活动,如果不是为了给用户创造价值而做的,都是有问题的。所有的数据一定是在我今天给你提供服务的过程中自然而然所产生,而不是基于我想要拿这个数据去给到第三方、去卖。这是因果关系的倒置。

如果把获取数据变成公司在整个商业活动中追逐的目标,是有极大的危险性的。

聂正军接受专访。图/潘颖欣

南都:上任到现在,你的工作内容有哪些转变?

聂正军:2017年到2019年,从支付宝的隐私保护工作来讲,我觉得是一个由“虚”逐渐变“实”的一个过程。这里所谓的“虚”倒不是说我们过去只是喊口号、喊理念,而是说真正的能力建设在逐渐加强。

这些能力首先体现在组织保障——从隐私保护办公室只有一个人,到我们今天有将近上百人来做隐私保护、数据安全的相关工作。另外,我们还设立了隐私保护及数据安全风险委员会,这个委员会的组成人员全部是公司管理层,能支持隐私办协调资源、推动隐私保护策略落地。

第二个是真正地把我们的隐私保护机制和流程建立起来,更广泛地参与产品的隐私保护和数据安全风险评估、设计上线功能等等。

第三个就是应用新的技术去做隐私保护的工作。比如说如何用新的技术去防止数据的泄露,如何用技术的方式去发现风险、定位风险和解决风险。我觉得这些其实是今天我们能够沉淀下来的一些能力。

微小的隐私设计对用户而言意义重大

南都:今年隐私保护办公室全体人员去到七座城市了解用户在隐私保护上的感受。为什么要做这件事?

聂正军:一方面是倾听用户的声音。我们今天要解决的是用户的问题,必须得要去听、去看,去体验用户到底在担心什么、关注什么、焦虑什么,在什么时候、什么场景会有不好的体验。

另一方面其实我是想让我们全体人员形成把客户放在第一位的意识,然后去对照自己的实际工作,这样他们对用户的体验会有更加直观的感受。事实上,大家在直接面对用户之后,整个执行力和推动力的确更加笃定。

我们回来之后就做了很多的分析复盘的工作,把收到的用户问题逐一分类,搞清楚这些问题涉及到我们的哪个产品,有哪些功能需要我们去改善和完善,然后排优先级、立项,再一个个去落实。

南都:有哪些用户反馈已经被体现在了功能上?

聂正军:比如我们优化了支付宝的隐私控制中心。现在到隐私控制中心里面去做设置的日活跃用户有很多。

过去我们的产品设计可能会觉得这个功能没什么人愿意用,在这里投入成本没有意义和价值,但是优化以后,真的有很多用户愿意到里面去看看,去管理自己的信息、权限等等。

还有比如用户去看财富金额的时候,可以关闭“小眼睛”,用星号代替具体数字;蚂蚁森林的能量球也可以选择不公开克数,因为好多用户担心这个克数对应着自己做过的行动。其实这些都是因为用户的声音而驱动的产品改善。

南都:支付宝在未来的用户隐私保护方面还有哪些计划?

聂正军:第一是进一步增强用户对于自己信息的管控能力,第二是进一步扩大和加强关于数据安全和隐私保护的新技术的探索,第三是进一步在我们的产品里加入让用户有更好的隐私保护体验上的设计,让产品说话。

国内隐私团队应增加技术人员占比

南都:目前来说,国内的首席隐私官还是不多。

聂正军:我觉得这个头衔并不重要。重要的是将隐私保护落在实处。

我能够看到的是近两年以来,非常多的我们的同行都在关注和重视隐私保护的工作,也有很多的职能部门,特别是像法务、数据安全这些团队参与到企业对这块的能力建设里面去。

而且大家的工作重点还挺相似的,同行们见面的频率越来越高,从过去一年见一次,到一个季度见一次,到现在一个月得见好几次。这也折射出一种现象:如今企业越来越关注、越来越去落地隐私保护,所以我们之间自然会有非常多的交流。

南都:国外和中国的隐私官有何异同?

聂正军:欧洲和美国有一些互联网公司设立了这一职位,有的只负责制定策略、要求和制度,整个落地和实施其实是交给业务;而我们是从制度、流程、产品设计、事件的处置,覆盖用户个人信息全生命周期的。

国外经验给我最大的一个启示是:在隐私保护方面要加大技术资源和人力的投入。国外很多企业的隐私保护人员组成上,技术人员占了相当大的比例。我觉得我们未来要进一步加大在这一块的投入。(蒋琳 潘颖欣

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。