编辑导语：产品在满足用户需求时，应当做好数据安全防控，以便更好地保障用户权益、避免数据泄露问题。那么，作为产品经理，在产品相应业务设计中，可以从哪些方面做好数据安全问题的考量呢？本文作者就发表了他的看法，一起来看一下。

01

上周我们产品部在沟通讨论关于采购融资的金融产品设计，在中信银行有着近10年产品经验的老大，对我们说，金融产品设计首要考虑的就是合规。

合规是金融产品成立的前提，这句话我印象很深刻。很多同学都知道，供应链金融最大的风险就是信任风险，这也是供金产品需要努力协助完成信用可靠迁移的价值所在，比如说，银行对供应链行业链条不熟悉，不信任借款人，无法证实交易的真实性等，满足不了授信的心理门槛。

那就需要有一个平台产品，能透视化这些风险因素，让交易各方都能透明化，从而降低风险到可接受范围。所以你看，对于供金产品来说，风控其实是贯穿产品的最底层的逻辑，所有的功能设计在满足各方用户需求的基础之上，风控管理才是最基础的产品需求。

入行金融后，我一个最大的感受是：严谨是金融思维的内核。

这个严谨包括很多，比如说，流程严谨、设计规范要求等等。而在这些背景下，金融产品的数据安全同样是各方角逐的焦点，比如说，银行等金融机构作为贷款人，需要尽可能多的业务交易数据、物流数据等用户信息，而这些信息的生产者，并不一定愿意给到。

如何合规地取得用户数据，并将数据合规地应用到产品场景服务里，是供应平台的产品的两大要务。

这一点，其实，不光对金融产品，对于消费产品，又或者说是，不管C端产品、B端产品，都是通用的，既要保证获取数据的渠道合法，又要保证应用的合法。这是基础要求，也是大势所趋。

举个例子来说，前段时间，搜狗输入法、讯飞输入法等一大堆输入法均被下架，原因其实就是获取用户数据的渠道不合法。

再比如，刚赴美低调上市没两天的滴滴，被网络安全审查，具体细节原因还不可知，数据的获取并没有什么大问题，那数据的应用一定存在风险问题或者风险隐患。可以想象，这么大的体量数据，数据应用风险一旦真实发生，造成的影响不可想象。

这两天还看得到，国家也在整治大数据杀熟现象，数据安全应该从各个相关方同时迈向新时代，野蛮、原始的数据自留地将一去不复返了，更加规范的数据生态，将在国家的重拳治理下，快速向我们走进。

数据安全对于产品来说，不仅仅是产品经理的事儿，更多的是整个产品团队的工作，比如，技术保障，风控团队，法律设置等等。

但对于产品经理来说，在设计产品时，考虑数据安全也是不可回避的重要任务。

02

第一，应该有数据安全思维。

虽然说，产品经理不一定能在最终的产品方向上决策一切，但内心算法一定要有价值观，要心有畏惧，真正的把用户的数据安全放在心上。只有我们作为产品的初始塑造者，有信仰，才有可能在商业和用户之间的天平，尽可能地保持公平。如果产品经理都完全在企业逐利的驱动下，无所畏惧，没有底线思维和责任意识，那注定是小天地、格局小了。

虽然咱也人微言轻，坚持己见很难，但，对于我们躬身入局的产品们来说，做难而正确的事儿本就是使命所然，既然选择了，便要遵循内心，忠于使命。

第二，获取及应用用户数据一定要合规。

在国家意志面前，在人民觉醒的年代，挑战底线的行为一定会付出巨大的代价。

就在昨天，某滴被强制下架，凉凉怕是已注定，如果确有严重违法使用用户数据的行为，溃退是瞬间，千夫所指是必然，甚至被定在耻辱柱上也未可所知。

在具体执行时，仍然有一些方法可以借鉴，比如说，关于对用户数据的获取方式，要兼顾产品商业的转化效率，也就是数据的应用价值。比如说，当前的产品对于用户的某些行为数据，其实不太需要，那可以等等看，产品设计时不必一次获取完美。

再比如，有些数据需要第三方来提供，而且，并不是很合规，又或者说，需要爬取等非法获取一些敏感数据。这样行为在产品设计时就应该明确拒绝掉，既有风险，又不长久。

同时，在用户数据的应用时，应该建立有效的决策和监督机制。

这个组织在产品设计时就应该考虑，比如，可以将业务同学、技术同学、运营同学、售后同学、法务同学等组织起来，成立一个数据应用小组，针对用户的行为数据，可以内部做哪些处理，如果有对外输出能力，又能做哪些用途，哪些可以商业应用，哪些绝不可试图违背原则，一定要有组织的决策。

有人说，决策这个有用吗？其实很有用，这个就是流程的威力，一旦需要签字确认，没有人愿意以未来风险来胡言乱语，真的能规避掉很多后续麻烦，对产品经理来说，也是一种制度保护。

第三，要有坚固的保障团队来为用户数据保驾护航。

合法获取的用户数据，不仅是公司的资产，也是一颗核弹，如果泄露，临时工是担当不起的，一定要有保障措施来为用户数据安全保驾护航。

这个保障团队，要从流程上、制度规范上、技术应用上等都要有所限制。

比如说，什么级别以上的人员才能接触到核心数据，权限要分清，审批流要严格合理，只有授权的人员才能使用数据，要从流程上进行限制和约束。

再者，制度要规范。比如，数据要分层、权限分配清晰、日志可追寻、哪些可以下载、哪些可以查看，第三方用户数据合作商的管理制度要落实，对外输出的数据范围要明确等等。

还有，在技术上要做好保障。比如，用户的相册数据，或者笔记类软件数据，隐私程度很高，技术上架构设计要保障到位，如果被技术破解，从而造成隐私泄露，那对公司来说，仍然是无法推卸和难以承担的责任。

说了这么多，产品经理在产品设计时，尤其是在用户数据的获取和应用时，一定要有安全思维、底线思维和风险意识。这不仅是个人的责任，也是企业的义务。

行于所当行。

止于所不得不止！

本文由 @公众号：产品大峡谷 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自 Unsplash，基于CC0协议