编者按:华为资深隐私专家康强昨日出席了由MobTech袤博科技主办的【CoderPark】直播活动,与信通院、MobTech专家齐聚一堂共话安全,并分享了华为终端云服务在隐私安全方面的实践。
一直以来,华为非常重视网络安全和隐私保护,并将此作为公司的最高纲领。隐私是用户的基本权利,网络安全是产品的基本属性。在消费者业务领域,我们将隐私保护作为产品设计的基石,把“透明可控、用户受益、安全保障、合法合规”,这四项基本原则融入产品设计和开发的各个环节,持续优化产品和服务,保障用户的数据与隐私安全。
GAPP(General Acceptable Privacy Principle)是业界普遍认可的通用隐私原则,定义了个人数据处理生命周期的各个环节,并加入对管理、质量和监控的要求。为了保证业务在全球范围内隐私合规,我们在GAPP的基础上,融入了欧盟GDPR(General Data Protection Regulation)的个人数据保护要求,并结合各国本地法律进行适配,形成全球化的隐私合规基线,构建了全球隐私合规框架。
技术,不只是用于提升用户体验,也可以用于探索如何实现用户体验提升和用户隐私保护的平衡。我们坚信,通过创新科技的应用,可以在不断提升业务体验的同时,确保用户的个人隐私得到更好的保护。在HMS(Huawei Mobile Services,华为终端云服务)的实践中,我们将多种业界前沿的技术应用到了用户隐私保护中。
HMS Core如何使能合作伙伴合规
通过HMS Core提供端云全面开放能力,华为在构建HMS生态的同时,积极落实全球化隐私治理框架,聚焦开发准备、开发集成、分发运营三个阶段,分别采取相应的技术手段,使能合作伙伴合规。
1. 开发准备阶段
HMS Core制定了详细的开发者协议框架,划分华为和开发者的责任边界,约束华为和开发者双方的数据处理权责,保护用户的个人数据和隐私安全。
2. 开发集成阶段
HMS Core将创新的隐私保护方案和业界先进的隐私保护技术作为隐私保护的基石,最大限度地减少华为和开发者接触到消费者个人数据。
例如,华为的ID分层防跟踪体系,将数据的可关联性限制在适当的范围内,实现仅仅基于目的的最小化使用数据,这包括禁止收集和使用持久化硬件标识符、设备层面和帐号层面的数据隔离,以及广告场景下的广告标识符可重置能力。
在隐私技术方面,HMS Core基于数据生命周期的不同阶段,采用了不同的隐私保护技术,例如在数据收集阶段,采用随机化、差分隐私、联邦学习等技术,保护个人隐私数据安全;在数据使用、留存和处置阶段,通过训练数据脱敏、数据加密、数据沙箱等技术,有效防止数据被滥用和数据泄露;在数据披露阶段,采用PSI(Private Set Intersection)等技术实现数据最小化披露,同时基于数据水印、权限管理等技术,实现对已披露数据的可追溯。
3. 分发运营阶段
华为应用市场通过开发者实名认证、独家四重检测、下载安装保障、运行防护机制实现从应用上架到下载、运行的全流程安全保障,为开发者应用分发保驾护航。
华为全力支持开发者过程隐私合规,包括确保用户的数据安全存储和处理、记录数据处理的过程,保证数据处理活动可追溯,以及定义详细客服和运维处理机制,有效支撑开发者各项运营和运维活动合法合规开展等。
此外,为了帮助用户在下载应用前更方便、快捷地了解应用收集使用个人数据的情况,华为应用市场在国内率先推出隐私标签功能,将冗长且晦涩难懂的隐私政策内容通过标签化、瀑布流的方式,简洁清晰地列举出来。
目前,华为隐私标签中共定义了12大类52项数据及6大业务场景,涵盖了大部分应用的数据采集和使用场景,用户可以通过隐私标签清晰地了解应用如何使用个人数据,在下载应用之前判断它是否真的适合自己。
华为终端云服务已在全球范围内获得多项隐私安全认证,例如安全领域的ISO/IEC 27001和CSA STAR国际权威认证,移动支付领域的PCI DSS权威认证,身份认证领域的FIDO联盟规范认证,以及隐私领域的ISO/IEC 27701、ISO/IEC 27018等认证。获得这些认证充分表明,华为终端云服务已经满足国际公认标准的要求,并致力于确保用户数据得到妥善管理。
未来,华为终端云服务将继续努力,坚持“创新科技保护隐私”的理念,在用户数据和隐私安全上加大投入,构建安全可信的网络环境,为用户的数据与隐私安全保驾护航。