【進博會熱點】Linkflow創始人盛馬丁出席渣打創投圓桌討論，談金融行業數字化轉型中的個人信息保護

原創贊收藏評論

舉報 2020-11-13

掃描,分享朋友圈

11月8日，在第三屆中國國際進口博覽會場館內，渣打銀行集團旗下的渣打創投(SC Ventures)舉辦以“金融行業數字化轉型中的個人信息保護”為主題的圓桌論壇。Linkflow創始人兼CEO 盛馬丁、富數科技創始人兼CEO 張偉奇、渣打創投上海創新實驗室總監謝建寧出席并展開討論。

當下，數字經濟越發成為中國經濟的新增長源，數據已成為新的生產要素。本次圓桌論壇以“金融行業數字化轉型中的個人信息保護”為主題，反映出渣打創投以及金融業界對中國數據領域發展潛力及數據安全保護與價值流通的逐步重視。本次會議特邀Linkflow創始人兼CEO盛馬丁出席并做分享，也是渣打創投以及業內對Linkflow在營銷科技行業內的認可與肯定。

文字記錄

Q1：請Martin（盛馬丁）簡單介紹一下Linkflow

其實Linkflow的誕生，從更早的時候說起，2011年開始，我就和團隊一起研究數字營銷領域。之所以研究數字營銷是因為之前在SAP從事行業模板工作時，就敏銳地感覺到把一個公司的成功經驗復制到其它公司的方式越來越不可取，因為每個企業都覺得自身的業務是獨一無二的。逐漸地發現，企業需要的是一種可以快速應對各種市場變化，響應客戶需求的能力。

2015 年前后，我開始研究國外Hubspot、Marketo等公司的產品。發現這些營銷自動化SaaS產品的確能賦予企業一定的靈活應變能力，但是當企業使用10個不同SaaS工具的時候，用戶數據是存儲在10個不同的excel里面，企業很難將這么多不同形式的數據整合在一起。于是我意識到，數據整合是一個剛需。

2017年，我帶領著強大的開發團隊，在經過多年的深鉆和研發后，成立了Linkflow。

Linkflow以對接為產品基因，構建低代碼客戶數據平臺（CDP），無需編程即可讓數據流動起來。通過連接內外部數據源，打通營銷觸點，為企業市場及運營部門提供從客戶數據采集、分析到執行的一體化客戶運營閉環，最終幫助企業通過數據驅動業務增長。

目前已經服務了平安、安聯等金融公司。

Q2：從營銷科技行業的角度來說，您覺得個人信息法的意義是什么？

簡單來說，《個人信息安全法》從總體來說是歐盟GDPR法案的中國版。對于整個行業來說都是有非凡的意義與重大的影響。其大背景還是泄露和侵害個人信息的事件頻頻發生，在這個大數據時代，個人信息似乎成為了人可以隨意買賣的“商品”，非法買賣公民個人信息的違法犯罪活動也日益泛濫。我想在坐的每個人都收到過各種垃圾短信和推銷電話。簡而言之，這是歷史上最為強調個人權利的信息保護法案。

我這里就談談個人信息安全法對我所處的營銷科技行業的一些影響。舉幾個具體例子。

《個人信息安全法》中有被遺忘權。我在使用一家公司的產品或服務一段時間以后，如果不愿意繼續同意其用戶使用協議，可以選擇中斷并撤回許可。我隨時有權要求把我的個人資料和信息徹底刪除，也就是有要求對方徹底“遺忘”我的權利。這兩條從根本上杜絕了個人信息的被無限使用，同時杜絕了產品提供方強制我接受數據協議然后再賦予我使用產品的許可的霸王條款，因為我完全可以先同意再使用再撤回再令其刪除我的資料（不要低估西方人較真的品性與習慣）。

這個影響對于整個銷行業的影響是非常深遠的。因為原來整個廣告營銷行業，包括Google，Facebook等，都依賴于大量收集個人信息來做推薦。在歐盟的GDPR出現以后，導致各種平臺對于用戶數據的安全越來越關心。所以現在Android和iOS都開始從技術上限制各類app去記錄deviceid。這個變化對于AdTech廣告技術行業是致命的。因為這些行業本來是依賴于DeviceID作為唯一ID來標示一個人的。現在如果DeviceID沒有了，所有的DSP/DMP行業，都有巨大的問題。

第二呢，個人信息安全法和GDPR一樣，有長臂管轄效力，它會嚴格規范中國公民跨境信息的安全。個人信息處理者向境外提供個人信息的，應當向個人告知境外接收方的身份、聯系方式、處理目的，并且爭取到個人同意。

第三個例子，最近工業和信息化部修訂并發布《通信短信息和語音呼叫服務管理規定（征求意見稿）》。其中第十七條還提出“短信息服務提供者發送端口類商業性短信的，應當確保有關用戶已同意或請求接收，并保留用戶同意憑證至少五個月。”

這個條款基本宣布了絕大多數營銷類短信網關的死刑。比如以前淘寶系商家，做營銷最主要的渠道是短信。但是現在要求保留用戶同意憑證至少五個月。目前絕大多數的系統是做不到的。所以這直接決定了以前粗暴的網絡外呼或者群發垃圾短信的營銷方式無效了。

Q3：站在金融行業合作伙伴的角度上看，您覺得金融行業數字化轉型可能會有什么趨勢？

首先，數據存儲的問題。

數據不再僅僅是資產，而是負債。數據存儲的成本會大幅度上升。在國外已經，聽到有關于使用區塊鏈等技術來存儲客戶數據。

其次，金融行業核心的交叉銷售、共享數據、精準營銷及大數據風控模式面臨挑戰。

交叉銷售和共享客戶數據是銀行提升綜合收益的重要方式,但在GDPR嚴格的數據收集及應用要求下,銀行集團中銀行與保險、銀行與基金等數據共享,以及銀行內部不同業務之間的交叉銷售,都可能因客戶的反對權而受到嚴格限制。

比如GDPR里面明確規定，用戶畫像或者自動話決策，如果導致用戶無法獲得權利的時候是不允許的。怎么理解呢。比如我在某個app上申請貸款，然后app根據過往數據對我進行畫像，然后把我放到了‘高風險人群’。由于這個標簽，導致我最終沒有辦法拿到貸款。按照GDPR，這個是不可以的。然后在整個催收環節也會出現巨大的問題。因為根據GDPR，老賴可以隨時要求你把他的聯系方式刪除。

第三，對于數據安全反而會帶來新的挑戰

訪問權要求給了黑客更多的個人數據

沒有哪部隱私監管規定能阻止黑客接管個人賬戶。附上一點點上網費用，就可以獲得接管賬戶所需的信息。然而，絕大部分隱私監管規定都賦予了消費者要求公司企業交出其所有個人可識別信息(PII)的權利。

如果要求這些信息的人真的是本人，那這種規定無疑很棒。問題在于，黑客可以獲取到合法用戶的足夠信息來發起PII請求，獲取到更多信息，實施更多侵害。

以往，黑客不過是從用戶曾經買過東西的零售商那里弄到某個賬戶。現在的問題是每家零售商都購買或者收集用戶各種各樣的信息。一旦進入該賬戶，黑客就可以請求所有其他的信息，具備移動到其他賬戶的能力。黑客如今能從零售商那里要到的PII遠比用戶交給零售商的要多得多。

拖慢事件響應（無法定位到黑客）

安全事件發生時，響應人員需快速確定問題，阻止傷害，封鎖攻擊者，并采取措施確保類似事件不會再度發生。但因為擔心違反GDPR，歐洲很多公司的事件響應過程都受到了阻礙。

舉個例子，遭遇黑客入侵的公司須盡快部署終端防護以清除攻擊者并防止攻擊再次發生。但部署動作得全面展開，盡快完成，否則攻擊者就會知道公司的打算，然后隱藏到無法檢測的其他地方。

大型企業可能會有成千上萬臺終端需要在短時間內部署新的防護工具。問題在于，歐洲的隱私監管規定下公司企業不能那么做，因為這些工具要收集終端狀態信息，而這些信息中可能就會包含有PII。防護工具的任務就是阻止私有信息泄露，但得通過查看機器上的文件和服務才可以確保信息安全，而這其中就可能含有某些可以被推導出來的PII。

目前在歐洲，尤其是德國，公司企業需征求到工人委員會的批準才可以部署這些工具，而審批過程往往耗時30-90天之久。

如果圍繞GDPR合規還有針對正在進行的調查的相關政策可以允許安全團隊快速響應，或許情況會好一些。公司企業和政府機構都需要一定程度上的自由來執行某些必要的步驟以限制損失進一步擴大和恢復正常運轉。

Q4：在這些趨勢以及個人信息保護趨嚴的背景下，您如何看待未來的金融業數字化轉型。嚴格的法規是否束縛了我們手腳，還是我們可以用一些創新的方法在合法合規的前提下去加快金融行業的數字化轉型和創新？

首先，會更加注重第一方數據的采集和挖掘。目前看，《個人信息安全法》重點打擊的還是第三方數據買賣。對于第一方數據的使用相對還是比較寬容的，所以對于第一方數據的運用，下面會有更多的創新出現。

它的條例可以歸納為兩個核心要點：數據控制者和處理者的操作規范、用戶對自己數據完全自主的權利。

對數據控制者和處理者而言，在獲取用戶數據前，需要用郵件等方式進行明確的提示與詢問；數據收集后還需要以通俗的語言向用戶解釋收集數據的用途，并有義務采取措施刪除或糾正有誤的個人數據。這方面其實是過去一些條例的加強。

對用戶權利而言，用戶對自己的數據擁有完全的所有權，即便同意收集方收集，也可以隨時查看撤回刪除相關協議，在用戶撤回刪除相關授權后，數據收集者必須立即將相關數據進行匿名化處理。這里提到的一項重要變革是所謂的“遺忘權（撤回權）”，這對企業使用數據產生了極大的麻煩。另一個重要的變革是用戶的“可攜權”，舉個例子，如果我決定不再使用Facebook，我有權要求把我的數據轉移到其他平臺上，例如Instagram。所以只要合規的，不涉及到數據專賣的情況下。其實還是有很多事情可以做的。