|
在2022vivo開發(fā)者大會上,vivo安全總監(jiān)劉洪善發(fā)表了題為《守正創(chuàng)新,vivo安全隱私保護(hù)“知”與“行”》的演講,分享了vivo在數(shù)據(jù)安全與隱私保護(hù)上的部分思考。以下為演講的主要部分。 (vivo安全總監(jiān)劉洪善在發(fā)表演講) 隱私安全挑戰(zhàn)凸顯 今天的分享,先從2個數(shù)據(jù)說起,據(jù)統(tǒng)計,去年,我國約產(chǎn)生了130億GB的數(shù)據(jù),而消費(fèi)者個人則平均每人每天約產(chǎn)生1GB,人們每天的生產(chǎn)生活,顯然已經(jīng)離不開數(shù)據(jù)了。數(shù)據(jù),成為當(dāng)今時代的一種基本生產(chǎn)要素,對國家、企業(yè)和個人,都意義重大。人們早已進(jìn)入數(shù)字化時代。但對數(shù)據(jù)的依賴,也導(dǎo)致了各個層面面臨的安全挑戰(zhàn)越來越大。 首先,數(shù)據(jù)的不規(guī)范采集和使用,每天都在用戶身邊發(fā)生。據(jù)某安全廠商統(tǒng)計,去年,針對全國32萬款應(yīng)用進(jìn)行檢測,發(fā)現(xiàn)39.4%存在“違規(guī)收集個人信息”問題;38.67%,存在“超范圍收集個人信息”問題;11.58%,存在“App強(qiáng)制、頻繁、過度索取權(quán)限”問題。這一切,都增加了用戶的安全焦慮。 而翻開新聞,安全大事件層出不窮,安全小事件更是不計其數(shù),更增加用戶對安全隱私的擔(dān)憂。 全球多個國家和地區(qū)都意識到了數(shù)據(jù)安全與隱私保護(hù)的重要性和艱巨性,因此紛紛加緊立法,加大執(zhí)法力度,以實現(xiàn)國家、企業(yè)和個人的安全意志。 總之,在數(shù)字化時代,安全隱私問題,成為了人們關(guān)注的焦點(diǎn),也成為了社會各層面需要共同面對和解決的難題。 vivo打造安全新范式 在這樣的背景下,用戶的安全隱私意識不斷覺醒,因此會更直接地向企業(yè)提出安全隱私需求,更積極地介入到企業(yè)的安全隱私體系的構(gòu)建中,促進(jìn)了以用戶為導(dǎo)向的、以數(shù)據(jù)安全與隱私保護(hù)為核心的安全體系的發(fā)展,一個安全新范式也就應(yīng)運(yùn)而生了,這個新范式主要包括四個方面: 首先是,安全認(rèn)知。自上而下的安全戰(zhàn)略與原則,是一切安全工作的起點(diǎn);第二,是基礎(chǔ)安全體系。一個由安全組織+技術(shù)+流程+工具等等組成的完整的安全體系,是隱私保護(hù)的基礎(chǔ);第三,是安全體驗。安全隱私,實際上已經(jīng)成為一種無處不在的需要設(shè)計的用戶體驗;最后,是透明溝通。與監(jiān)管、行業(yè)和用戶的透明溝通,可以使企業(yè)的安全能力得到有效的檢驗,為安全能力的提升創(chuàng)造更好的條件。 安全新范式,是對vivo安全實踐的一個總結(jié)。下面會一一展開。 先講講安全認(rèn)知。一切安全工作,最重要的是制定和推行一個自上而下的安全戰(zhàn)略。去年,我們首次披露了vivo公司創(chuàng)始人、總裁兼CEO沈煒先生的一段安全戰(zhàn)略講話:“數(shù)據(jù)安全與隱私保護(hù)是消費(fèi)者的基本權(quán)利,是企業(yè)獲得消費(fèi)者信任的基石,我們要把數(shù)據(jù)安全、隱私保護(hù)與守法合規(guī)作為企業(yè)研發(fā)經(jīng)營活動中絕對不可以觸碰的紅線和基本底線,來指導(dǎo)各項工作的開展。” 這段講話,明確了vivo的安全戰(zhàn)略。我們認(rèn)為,戰(zhàn)略是不應(yīng)該也不能經(jīng)常變的,如果要變,也應(yīng)該是變得更重要了。在最新發(fā)布的《vivo可持續(xù)發(fā)展報告》中,我們將信息安全和用戶隱私保護(hù)作為公司可持續(xù)發(fā)展的最重要的2個方向進(jìn)行投入和管理,把這一戰(zhàn)略提到了更高的高度,保障公司在安全隱私上的投入。而去年披露的隱私保護(hù)三原則,經(jīng)過不斷的實踐,我們加深了對它的理解,豐富了它的內(nèi)涵: 原則1.透明可控:確保用戶知悉設(shè)備上的數(shù)據(jù)分享和使用情況,并且可以管控這些數(shù)據(jù)。 原則2.隱私端側(cè)處理:在提供各類產(chǎn)品和服務(wù)時,盡可能在設(shè)備本地處理數(shù)據(jù),最大化的減少數(shù)據(jù)收集。 原則3.數(shù)據(jù)最小化:在提供各類產(chǎn)品和服務(wù)時,僅采集和加工產(chǎn)品和服務(wù)所需的最少數(shù)據(jù)。 這三個原則,指導(dǎo)著vivo產(chǎn)品安全體驗的打造,在用戶數(shù)據(jù)流動的全鏈路、用戶體驗的全場景中,保護(hù)用戶隱私。 而基礎(chǔ)安全體系,是冰山下的努力,用戶看不到、摸不著,但卻是一切安全隱私工作的根本。 為確保安全戰(zhàn)略和原則的高效執(zhí)行,vivo建立了自上而下的安全組織架構(gòu)。這其中,vivo網(wǎng)絡(luò)信息安全和用戶隱私保護(hù)委員會,是vivo數(shù)據(jù)安全與隱私保護(hù)的最高管理機(jī)構(gòu),直接向公司經(jīng)營的最高決策機(jī)構(gòu)——公司管理委員會匯報,負(fù)責(zé)決策和批準(zhǔn)公司總體安全隱私保護(hù)戰(zhàn)略及相應(yīng)的執(zhí)行落實,這個機(jī)構(gòu)層層往下,直至與業(yè)務(wù)組織緊密銜接,讓安全融入vivo業(yè)務(wù)的每個細(xì)胞中。 在技術(shù)方面,我們通過對行業(yè)、用戶、趨勢和競爭態(tài)勢的分析,結(jié)合vivo業(yè)務(wù)情況,得出了要聚焦投入的7大安全技術(shù)方向,分別是隱私保護(hù)、數(shù)據(jù)安全風(fēng)險、產(chǎn)品對象安全、關(guān)鍵安全技術(shù)、安全工程、合規(guī)管理和安全攻防。這7大技術(shù)方向的確立和深入,保障了vivo能夠獲得最新最好的技術(shù)去保護(hù)用戶的隱私安全。 產(chǎn)品的安全質(zhì)量需要流程和制度進(jìn)行保障,而不能依賴于個人。因此,在產(chǎn)品的全生命周期中,我們通過在集成產(chǎn)品開發(fā)IPD流程的各個環(huán)節(jié),即從產(chǎn)品策劃到開發(fā)到運(yùn)維各個階段,融入安全要求和活動,來保障最終交付的產(chǎn)品的安全質(zhì)量。 設(shè)計驅(qū)動,是vivo的企業(yè)文化之一。在安全隱私上,則表現(xiàn)為踐行隱私設(shè)計PbD,將隱私設(shè)計貫穿于產(chǎn)品的全生命周期,目標(biāo)是從產(chǎn)品設(shè)計開始,就充分考慮可能的隱私風(fēng)險,并提出消減措施。vivo已實踐隱私設(shè)計多年,這是保障vivo產(chǎn)品的隱私體驗達(dá)到較高水平的重要基礎(chǔ)。 vivo始終將用戶數(shù)據(jù)安全放在首位,制定了《vivo用戶數(shù)據(jù)分類分級規(guī)范》,指導(dǎo)產(chǎn)品與服務(wù)對用戶數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)。與規(guī)范相匹配,vivo定制了覆蓋數(shù)據(jù)流動各階段的數(shù)據(jù)保護(hù)能力,守護(hù)用戶數(shù)據(jù)安全。 我們盡可能把流程中可工具化的部分以安全工具、安全平臺的形式固化和沉淀下來,提升安全工作效率。目前,我們自研了應(yīng)用安全檢測平臺、隱私與合規(guī)檢測平臺、代碼掃描插件等工具和平臺,并于本次開發(fā)者大會面向開發(fā)者開放,一同為vivo用戶打造更健康更安全的應(yīng)用生態(tài)。 第三是安全體驗。 在上面的思考和實踐的基礎(chǔ)上,我們孵化了千鏡安全架構(gòu)。它基于隱私設(shè)計原則,內(nèi)置于vivo設(shè)備中。這些設(shè)備由千鏡保護(hù),通過可信的多層硬件和軟件功能保護(hù)用戶的數(shù)據(jù)和隱私。在芯片上,我們內(nèi)置了硬件可信根,從最基礎(chǔ)的硬件開始保護(hù)用戶隱私;內(nèi)核層,我們提供了可信執(zhí)行環(huán)境,提升隱私保護(hù)等級;框架層,我們使用了可信度量,隨時感知設(shè)備安全等級;應(yīng)用層,通過可信交互,保護(hù)敏感數(shù)據(jù)的輸入。 基于千鏡架構(gòu)的安全能力,我們構(gòu)建了冰山上的、用戶可感可知可控的產(chǎn)品安全體驗。我們打造這些產(chǎn)品安全體驗,不是以“賣點(diǎn)”的思路去思考的,更不在乎首發(fā)、第一之類的噱頭,而是以構(gòu)建整體的安全體系,系統(tǒng)性的去滿足和解決用戶的安全痛點(diǎn)的思路去思考的,我們希望沖在貼近用戶的最前線,去洞察用戶、去了解用戶的安全需求,并使用各種專業(yè)的安全手段,包括安全產(chǎn)品、安全技術(shù)、安全攻防、安全工程、安全合規(guī)等等去滿足用戶的需求,打造出簡單好用的安全體驗,最終表現(xiàn)出來的,可能是冰山上用戶和開發(fā)者可交互、可使用的安全產(chǎn)品、安全工具,也可能是冰山下看不到的安全技術(shù)、安全工程等基礎(chǔ)安全能力。 但無論用什么手段,本質(zhì)都是以用戶為導(dǎo)向,用對產(chǎn)品安全體驗的追求,去牽引和構(gòu)建一個完整的安全體系來系統(tǒng)化的服務(wù)好用戶。 最后,是透明溝通。 我們意識到,單靠任何一個廠商,都無法滿足用戶的所有安全需求、解決用戶的所有安全問題,安全體系需多方共建。因此,除了加強(qiáng)自身安全體系建設(shè),我們一貫秉持開放透明的心態(tài),與各方攜手,在生態(tài)聯(lián)盟、行業(yè)交流、標(biāo)準(zhǔn)制定、監(jiān)管合作、技術(shù)研究等方面做了大量工作,共建安全生態(tài),共推安全產(chǎn)業(yè),共創(chuàng)安全體驗。 比如,在行業(yè)交流上,vivo每年都舉辦面向高校學(xué)子與安全研究者的網(wǎng)絡(luò)安全挑戰(zhàn)賽,設(shè)置豐富的獎勵,為大家提供一個安全溝通平臺。同時,共同提升vivo產(chǎn)品安全體驗,最終讓億萬用戶受益。 上面的一系列安全工作,我們都透明的向用戶和行業(yè)展示。先后上線了vivo隱私中心、發(fā)布了多本安全隱私白皮書,通過了多個業(yè)界公認(rèn)的權(quán)威安全隱私認(rèn)證。我們認(rèn)為,安全隱私工作越透明,才越容易讓用戶檢驗實際的安全效果,也越容易提升自己的安全隱私水平,也才越容易贏得用戶的信任。 總之,vivo在安全隱私上,有著體系化的思考和實踐,構(gòu)建了涵蓋安全戰(zhàn)略、安全原則、安全組織、安全技術(shù)、安全流程等等在內(nèi)的完整的安全體系,形成了一整套完善的安全新范式,以與各方一道,努力解決面臨的安全挑戰(zhàn),讓用戶在享受便捷的數(shù)字生活的同時,保護(hù)好自身隱私。 我們的這些思考和實踐,形成了《vivo安全與隱私保護(hù)透明白皮書》,在2022vivo開發(fā)者大會上正式面向全球發(fā)布,大家可以在vivo官網(wǎng)的隱私中心閱覽和下載。 不懈地保護(hù)用戶隱私安全 雄關(guān)漫道真如鐵,而今邁步從頭越!沒有絕對的安全,但有絕對的安全努力。安全隱私之路是沒有盡頭的,有的只是vivo不懈的努力!不懈的保護(hù)用戶隱私安全。 這,很vivo! |
