从生态链企业小米集团视角看个人信息与隐私保护
2020-07-02 18:28:47 Author: www.4hou.com(查看原文) 阅读量:197 收藏

小米此次隐私保护宣传月活动分为科技园主题活动周、信息安全线下讲座、隐私保护线上讲座、在线知识竞赛与答题、CTF黑客世界杯和专项训练营六大主题,贯穿整个六月份。

据嘶吼记者了解,小米作为一家全球化的互联网企业,2012年便成立了专业的信息安全团队,在2014年成立了安全与隐私委员会,紧接着于2016年成为国内首家通过TrustArc隐私认证的企业,2018年小米开启欧盟GDPR准备工作,并顺利通过了外部咨询公司的评估。2019年,小米获得了三项国际ISO安全与隐私认证,并发布了MIUI安全与隐私白皮书。今年上半年,小米隐私品牌也正式发布,预示着小米隐私保护工作进入新的阶段。嘶吼采访到了小米集团副总裁、安全与隐私委员会主席崔宝秋和其他隐私保护委员会的成员,探讨个人信息与隐私保护技术的发展,以及时代变化对于隐私保护的影响。

截屏2020-07-02 下午5.22.12.png

一、小米隐私保护月两大亮点

嘶吼:今年隐私安全月有哪些亮点?

崔宝秋:第一个亮点,全员参与。作为小米全员的安全隐私宣传月有近两万名员工参与,受疫情影响也有些人通过线上的方式参与到当中来,有1300多名进行了课程的系统学习,2700名内部的白帽子被培训。起初在成立隐私委员会时,鲜少有人支持和理解,时至今日,小米安全与隐私委员会有近200名的隐私委员会的委员和隐私专员,以及数名工程师在各个地方、业务线、产品线上为用户的隐私保驾护航。

第二个亮点,本次宣传月采取了线上与线下相融合,以视频的形式通过小米内部管理培训、技术培训的清河大学,对内存档与校外发布结合。上半年小米发布全新系统MIUI12,三大用户信息安全与隐私保护实用功能照明弹、拦截网、隐匿面具全面提升了用户隐私保护堤坝。

二、 生态链企业网络安全与隐私保护的协同发展

嘶吼:您可以结合小米生态的发展与建设,小米在技术上做了哪些储备和布局?

崔宝秋:首先,我觉得每家企业都应先提升对安全和隐私的重视程度,在过去的几年中,国内互联网企业、AI企业、智能设备企业、大数据公司对于隐私保护的重视程度远远不够。我们特别呼吁,不论是信息安全还是隐私保护都应重视起来,安全意识、隐私保护意识一直是我们强调并为之持续努力的方向。第二是技术与管理,小米未来要将技术、合规、管理流程等内容做专做透,最终将安全意识深深刻入企业员工的内心,再难花费再多的时间我们会一直坚持做下去。近些年,政企机构都在推动信息安全保护法的快速落地,企业之间彼此影响着。

截屏2020-07-02 下午5.20.47.png

嘶吼:生态链公司之间是如何在网络安全信息与隐私保护上相互协同的呢?

小米安全与隐私委员会:此次宣传月活动上我们也邀请了很多生态链公司一起来参加,这背后是什么?背后是一套完整统一的IoT安全规范和制度,所有的生态链公司都是遵循同一套IoT安全规范,并且对应相同的培训机制,也会同步给各家生态链公司。

第二,光靠规范和培训肯定也是远远不够的,第二层是我们有一套统一的技术解决方案,这个技术解决方案包括相对应的已内置安全芯片的通讯模组、SDK、对应IoT的云服务等,所有的生态链公司都是在这一套基础的技术框架上进行开发,我们把安全的技术、标准、通讯协议均封装到技术解决方案中,尽最大可能减少不同公司间网络安全的差异化。

第三,每一款生态链产品上线前针对安全和隐私的评估,以黑客的角度模拟产品实际应用场景进行渗透测试、漏洞检测,反复测试其安全性能。通过调研统计他们分别采集了哪些隐私数据,进行严格控制。通过这些严格的筛选之后才被允许进行内测,最终才能在小米商城、有品等商城上市。上市后,实时对产品进行漏洞检测,小米的IoT安全实验室将产品实时连接至检测设备上,实施7×24小时的监控和漏洞检测,以及面向全球的安全漏洞和隐私漏洞的奖励计划,多维度保障IoT产品的安全。我们希望在这之中起到一个强调个人信息与隐私保护重要性的角色,为行业提供最佳案例参考,做好自己,影响周边。

三、小米集团数据隐私保护的未来计划有哪些?

嘶吼:全球首家做隐私保护月,小米信息与隐私保护宣传月很大程度上提升了员工的网络安全意识,请问小米未来对于数据隐私保护还会有哪些举措和计划?

崔宝秋:安全与隐私宣传月更多是一个对内的推广、安全意识的提升,或者知识、经验的分享、技术培训。自从MIUI12发布后,行业对于小米在安全与隐私保护上做的工作非常感兴趣,我也希望通过多与外界沟通,更多的开发者、企业、行业都联动起来,用户的信息和数据才能得到更为有效的保护,隐私才能受到尊重。

未来我们有很多在隐私保护方向的计划,因为网络安全和隐私保护是两个相伴相生的话题,付出99.9%的努力,0.1%的失误就会前功尽弃。所以,这方面有很多技术手段和管理手段,未来我希望在技术上做更多的研究,因为今天的大数据技术、数据科学、数据驱动和数据智能,AI带来的各类新挑战,所见是否还是所得?未来我们将不断积累技术和人才,招聘大量的安全人员、安全研究者、隐私保护工作者、资深法务等,进行政策法规的解读,以及安全解决方案的调整。从管理的角度,过去一些年在信息安全隐私保护上大家讲的更多的是七分管理,三分技术,但是在今天这个信息化时代、数据时代、智能的时代,慢慢的我赞同行业里的观点:三分管理,七分技术。

    管理对小米这家企业非常重要,小米不仅有自己的手机、音箱、电视、电脑、路由器等等一系列硬件产品和众多互联网产品,形成了生态链,小米200多家生态链企业都在致力于打造各种各样的智能设备与互联网服务。所以,小米的安全与隐私边界在无限的延展。因此,如何管理这样形态的企业,也是我们面临的一个挑战之一。不仅将小米丰富的产品线管好,还有小米生态链的兄弟企业:内部流程、产品,乃至他们的技术管控都在管理的范围中。

    当然,关于隐私意识我们还需要提升,虽然相对很多同行小米已经做的非常好了,但这还远远不够。我认为原因是,第一,小米不断有新鲜血液加入,新毕业生、新的管理者、各级的管理者,都要培养安全意识,像宣传月的活动要变成常态。其次,从设计着手的隐私保护理念,能不能深入人心,印在人们的脑海中,印在每个管理者、产品经理、设计师、工程师的脑海中,这种培训也是需要我们不断加强的。如何通过这种形式影响中国的各个行业,再把中国对信息安全和隐私保护的高度重视的程度向外推广,改变西方国家对中国企业的一些偏见,也是小米要跟更多的中国企业一起要为之努力的。

总结:端午节后的第一个工作日,全国人大常委第一次审议了《个人信息保护法》,这意味着时代的发展,不论是政府层面还是群众安全隐私意识层面上,个人隐私保护的意识都在不断的增强,对于个人隐私的采集知情权也愈加具像化,业内对于减少隐私协议问题的呼声越来越高。在这个变革的过程中,小米不仅做到了对产品、用户负责,另一方面也承担起了重要的社会责任,通过加强自身对于隐私保护意识,深化关于隐私保护的研究。为了实现隐私保护,我们始终坚信这需要个人、组织、政府部门的共同努力,对数据流转的每个环节严格把控,做到被采集时的知情权,数据流转过程中的风险再评估,事件发生后的及时判定、修补相关安全漏洞和隐私漏洞,为信息时代的人们提供高效、值得信赖的网络生活。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/kDBJ
如有侵权请联系:admin#unsafe.sh