时间: 2021-07-30 11:14:11 人气: 12 评论: 0
编辑导语:产品在满足用户需求时,应当做好数据安全防控,以便更好地保障用户权益、避免数据泄露问题。那么,作为产品经理,在产品相应业务设计中,可以从哪些方面做好数据安全问题的考量呢?本文作者就发表了他的看法,一起来看一下。
上周我们产品部在沟通讨论关于采购融资的金融产品设计,在中信银行有着近10年产品经验的老大,对我们说,金融产品设计首要考虑的就是合规。
合规是金融产品成立的前提,这句话我印象很深刻。很多同学都知道,供应链金融最大的风险就是信任风险,这也是供金产品需要努力协助完成信用可靠迁移的价值所在,比如说,银行对供应链行业链条不熟悉,不信任借款人,无法证实交易的真实性等,满足不了授信的心理门槛。
那就需要有一个平台产品,能透视化这些风险因素,让交易各方都能透明化,从而降低风险到可接受范围。所以你看,对于供金产品来说,风控其实是贯穿产品的最底层的逻辑,所有的功能设计在满足各方用户需求的基础之上,风控管理才是最基础的产品需求。
入行金融后,我一个最大的感受是:严谨是金融思维的内核。
这个严谨包括很多,比如说,流程严谨、设计规范要求等等。而在这些背景下,金融产品的数据安全同样是各方角逐的焦点,比如说,银行等金融机构作为贷款人,需要尽可能多的业务交易数据、物流数据等用户信息,而这些信息的生产者,并不一定愿意给到。
如何合规地取得用户数据,并将数据合规地应用到产品场景服务里,是供应平台的产品的两大要务。
这一点,其实,不光对金融产品,对于消费产品,又或者说是,不管C端产品、B端产品,都是通用的,既要保证获取数据的渠道合法,又要保证应用的合法。这是基础要求,也是大势所趋。
举个例子来说,前段时间,搜狗输入法、讯飞输入法等一大堆输入法均被下架,原因其实就是获取用户数据的渠道不合法。
再比如,刚赴美低调上市没两天的滴滴,被网络安全审查,具体细节原因还不可知,数据的获取并没有什么大问题,那数据的应用一定存在风险问题或者风险隐患。可以想象,这么大的体量数据,数据应用风险一旦真实发生,造成的影响不可想象。
这两天还看得到,国家也在整治大数据杀熟现象,数据安全应该从各个相关方同时迈向新时代,野蛮、原始的数据自留地将一去不复返了,更加规范的数据生态,将在国家的重拳治理下,快速向我们走进。
数据安全对于产品来说,不仅仅是产品经理的事儿,更多的是整个产品团队的工作,比如,技术保障,风控团队,法律设置等等。
但对于产品经理来说,在设计产品时,考虑数据安全也是不可回避的重要任务。
第一,应该有数据安全思维。
虽然说,产品经理不一定能在最终的产品方向上决策一切,但内心算法一定要有价值观,要心有畏惧,真正的把用户的数据安全放在心上。只有我们作为产品的初始塑造者,有信仰,才有可能在商业和用户之间的天平,尽可能地保持公平。如果产品经理都完全在企业逐利的驱动下,无所畏惧,没有底线思维和责任意识,那注定是小天地、格局小了。
虽然咱也人微言轻,坚持己见很难,但,对于我们躬身入局的产品们来说,做难而正确的事儿本就是使命所然,既然选择了,便要遵循内心,忠于使命。
第二,获取及应用用户数据一定要合规。
在国家意志面前,在人民觉醒的年代,挑战底线的行为一定**付出巨大的代价。
就在昨天,某滴被强制下架,凉凉怕是已注定,如果确有严重违法使用用户数据的行为,溃退是瞬间,千夫所指是必然,甚至被定在耻辱柱上也未可所知。
在具体执行时,仍然有一些方法可以借鉴,比如说,关于对用户数据的获取方式,要兼顾产品商业的转化效率,也就是数据的应用价值。比如说,当前的产品对于用户的某些行为数据,其实不太需要,那可以等等看,产品设计时不必一次获取完美。
再比如,有些数据需要第三方来提供,而且,并不是很合规,又或者说,需要爬取等非法获取一些敏感数据。这样行为在产品设计时就应该明确拒绝掉,既有风险,又不长久。
同时,在用户数据的应用时,应该建立有效的决策和监督机制。
这个组织在产品设计时就应该考虑,比如,可以将业务同学、技术同学、运营同学、售后同学、法务同学等组织起来,成立一个数据应用小组,针对用户的行为数据,可以内部做哪些处理,如果有对外输出能力,又能做哪些用途,哪些可以商业应用,哪些绝不可试图违背原则,一定要有组织的决策。
有人说,决策这个有用吗?其实很有用,这个就是流程的威力,一旦需要签字确认,没有人愿意以未来风险来胡言乱语,真的能规避掉很多后续麻烦,对产品经理来说,也是一种制度保护。
第三,要有坚固的保障团队来为用户数据保驾护航。
合法获取的用户数据,不仅是公司的资产,也是一颗核弹,如果泄露,临时工是担当不起的,一定要有保障措施来为用户数据安全保驾护航。
这个保障团队,要从流程上、制度规范上、技术应用上等都要有所限制。
比如说,什么级别以上的人员才能接触到核心数据,权限要分清,审批流要严格合理,只有授权的人员才能使用数据,要从流程上进行限制和约束。
再者,制度要规范。比如,数据要分层、权限分配清晰、日志可追寻、哪些可以下载、哪些可以查看,第三方用户数据合作商的管理制度要落实,对外输出的数据范围要明确等等。
还有,在技术上要做好保障。比如,用户的相册数据,或者笔记类软件数据,隐私程度很高,技术上架构设计要保障到位,如果被技术破解,从而造成隐私泄露,那对公司来说,仍然是无法推卸和难以承担的责任。
说了这么多,产品经理在产品设计时,尤其是在用户数据的获取和应用时,一定要有安全思维、底线思维和风险意识。这不仅是个人的责任,也是企业的义务。
行于所当行。
止于所不得不止!
本文由 @公众号:产品大峡谷 原创发布于人人都是产品经理,未经许可,禁止转载。
题图来自 Unsplash,基于CC0协议