保护用户隐私,小米用心良苦
星期五, 七月 3, 2020
近年来,手机已经成为人们现代生活的必备品,同时也是用户个人信息泄露的重要途径之一。信息安全无小事,要保护好手机中的数据与隐私信息,不仅需要用户增强安全防护意识,养成良好的手机使用习惯,更需要手机制造商从源头处完善安全防护能力和规则的设计。
2020年7月1日,即MIUI12和小米隐私品牌发布两个月后,小米首届安全与隐私宣传月活动顺利落下帷幕。此次宣传月活动面向小米2万名员工,分为科技园主题活动周、信息安全线下讲座、隐私保护线上讲座、在线知识竞赛与答题、CTF黑客世界杯和专项训练营六大主题。小米安全与隐私委员会表示,希望通过宣传月活动提升全员的安全隐私保护意识,让小米的软硬件产品都能够高标准保护用户信息安全,进而唤醒国内整个互联网行业以及网民对信息安全和隐私的保护意识。
安全牛认为,小米安全与隐私宣传月,不仅是小米内部组织的一次全员信息安全宣贯活动,其深层思想和核心目的其实是推广和展现小米在个人隐私保护方面的理念与能力,进一步支撑MIUI系统和小米生态。通过安全意识和安全能力的提升,可以为用户打造了一个信任、放心的米兔形象,有助于在用户心里筑起一道防护网。作为一家高科技互联网公司,在利用自身信息安全能力服务并扩展业务的道路上,小米已跻身前列并且做了一个较为优秀的示范。通过全员信息安全意识宣贯,全员信息安全能力提升,不仅对内部风险控制打下了良好的基础,也给供应链企业输送了相应的安全能力,值得点赞。
(小米隐私核心思想架构图)
在数字化时代,安全已经从伴生需求转化为基础需求。在基础需求的前提下,将安全能力转化为业务对外输出,将会成为一种潮流与趋势。
安全牛对话小米副总裁崔宝秋
安全牛:在众多用户数据之中,小米究竟把什么数据定义为隐私并将其保护起来。因为关于隐私的定义,各国之间的法律法规都有一些不同。
崔保秋:对于隐私的法律法规与定义,我愿意坚持最严格的,目前来看就是新加坡个人数据保护机构PDPC的标准,他们给的定义我认为最严,我也最喜欢。他说能够唯一确定的,定位到你个人的一些数据,比如说你的姓名,你的电话号码我直接就找到了,但是姓名有时候不是唯一的。某个机构的什么人的姓名和电话号码可以确定一个人,但是他加了另外一个。就以此为例,你就可以感觉一下他加了另外一个这些数据算,再加上另外一些数据也算。
另外一些什么数据呢?比如说你的IMEI号,按说IMEI号是手机上的一个唯一标识符是吧,一般人不知道的,你拿那个那么长谁也记不住,但是如果说这家公司或者这个机构能够拿到这个数据,再结合其他一些数据给它对应上了,那么这些数据也叫隐私数据。
所以根据这个原则,我当时就讲了IMEI号也应该算做一个因素,因为小米有能力拿到IMEI号。比如你买了小米手机,那么我就知道小米IMEI号跟你的电话号码是对应的,然后电话号码又和你的姓名或者其他信息对应。所以说这些数据是有传染性的,我们要用最严格的标准去定义和保护。
安全牛:小米自身作为一个比较大的用户隐私资源池,是如何在公司内部严格管理和保护用户隐私的呢?在这方面做了哪些技术和内控上的措施呢?
崔宝秋:那太多了。这里面矛盾的就是小米要通过数据获取互联网收入,比如说广告合作。但哪些能做哪些不能做,确实我们拿了很多数据,但都是经用户同意的。明确的告诉用户让用户同意,我们都会说清楚的,这些我们拿到以后就是责任。
所以这些数据都是专项专用的。我这数据是用来比如给你提供天气服务,我不能把你地址给你去搜广告。就是我知道你朝阳的,因为你要知道朝阳区的一些情况,但我不能说你要天气服务,你必须把你的门牌号告诉我。这肯定不对,这不是最小化的原则,假如这样做肯定是不到位的。
比如说你要送快递,你在网上买个什么东西,我知道你的邮寄地址,然后我每天给你发广告,给你打电话那就侵犯你的隐私了。拿你地址是为了给你寄东西的,那么我拿来给你做其他的什么健身保险广告就不对了,所以这数据的隔离这里面很多东西。
安全牛:有没有从技术或者规范的角度,防止内部员工去滥用我的一些隐私。
崔宝秋:我们有很详细的集团的隐私访问规则,就因为刚才你提到的各国其实标准不一样,所以我们是自己定了一个最高的规则。然后这是相当于公司内的最高宪章,虽然你可能不违反国家的法律,但是如果违反小米集团内部的隐私保护规则,我们也是会处罚的。我们对待集团内部隐私数据保护这个事是跟贪腐是一样重视的。