“螞蟻315”新動作：加強合作伙伴資料安全管理，週期性進行安全評估

鞭牛士報道 網際網路平臺提供的服務範圍越來越廣，網民授權平臺的個人資訊也不斷增多，個人資訊保護已成為社會關注的重點問題。近年來，資料安全、個人資訊保護等相關法律法規陸續出臺，社會各屆也不斷呼籲明確平臺方的法定責任和義務。網際網路平臺正面臨更高的資訊保安要求。

記者從螞蟻集團消保專項“螞蟻315”處瞭解到，近日螞蟻集團已出臺《生態合作伙伴安全管理規範》，加強合作伙伴資料安全管理，對從螞蟻旗下相關平臺獲取授權使用者個人資訊的商戶、服務商、合作機構等明確資料安全能力標準，包括應指定資料安全負責人、留存日誌、採用加密技術儲存等，更好地保障使用者個人資訊保安和合法權益。

比如在支付寶平臺上，使用第三方快遞公司提供的小程式，為向用戶提供更優質的服務，快遞公司會基於自身服務需要，向用戶申請授權，使用如地址、手機號等個人資訊。

這一規範以個人資訊授權使用者數或服務商接入商戶數為標準，明確合作伙伴安全能力分級，從組織管理與機制、資料安全管理、系統安全、網路安全、終端安全、安全運營六個維度制定相應評估要求，如合作伙伴必須建立必要的資料安全管理制度、週期性參與螞蟻組織的安全評估工作、發生資料安全事件時有完整的應急處置機制等。

其中，個人資訊授權使用者數超過100萬的合作伙伴將受到更嚴格的評估約束。如必須指定資料安全負責人；每年參與安全評估；採用安全通道、通道加密、資料加密等措施保護資料；採用國家認可的加密演算法及認證產品；應用、系統、資料等涉及個人資訊操作的場景，必須記錄日誌並儲存，儲存週期5年以上等。

如合作伙伴未按時完成安全評估，或不滿足最新安全能力要求，其個人資訊介面許可權及相關服務將受到影響。如合作伙伴在合作過程中，存在違規行為，視情況給予處罰，嚴重者隱藏或終止相關業務。

據悉在多年前，螞蟻就已設立一套完整的資料安全治理體系，在產品評審、資料呼叫、資料留存各個環節形成嚴格規範，遵循“使用者明確授權原則”和“最小化原則”採集、留存和使用資料，並在“使用者保護中心”提供授權管理功能，方便使用者及時解綁不需要的授權。此次推出規範是在原有治理體系基礎上，進一步明確合作伙伴的資料安全管理標準。

（使用者明確授權後，商家才可獲取使用者資訊）

根據“螞蟻315”此前釋出的2021年度報告，過去一年，螞蟻還在多個方面強化使用者資訊保安保護，如上線簡要版隱私權政策、最佳化個性化推薦及個性化廣告關閉入口、設定外部監督獨立機構等。