申耀的科技观察 · 2022年04月22日

vivo:为用户隐私持续“保驾护航”,久久为功筑牢数据安全防线

相信大家如今在生活中都会接到类似的各种各样的骚扰电话,从推销房产到育儿养老可谓“花样百出”。而尤为严重的是,随之而来还有各种网络诈骗犯罪活动,而在这背后最为主要的原因就是个人信息和数据遭到泄露导致的。

从宏观层面来看,类似的数据安全问题已经影响到国家安全的方方面面,由数据安全事件造成的影响更是逐渐深入延展到了国家经济、民生等不同层面,涉及到国家关键信息基础设施、工业企业系统等各个领域;而从微观层面来说,隐私泄露同样也对个人造成了巨大的安全风险,轻则造成个人财产损失,重则影响人身安全。

也正因此,未来如何确保用户的数据安全得以更为高效的保护,如何为用户的个人隐私信息筑牢数据安全保护的防线,以适应新环境之下的全挑战,不仅“刻不容缓”,更是“迫在眉睫”。

有人在时刻保护你“不要破防”

近年来,随着电信网络诈骗犯罪活动形势越来越严峻,可以说已严重影响了广大个人群体的获得感、幸福感、安全感。因此,今天“反诈”作为一个全社会急需解决的“顽疾”,不仅已成为社会层面与企业层面探讨的高频词汇,同时各类打击电信网络诈骗犯罪的活动和相关的立法举措也在持续地发力中。

可以看到,在“反诈”层面,数据显示,2021年,公安机关共破获电信网络诈骗案件44.1万余起,抓获违法犯罪嫌疑人69万余名,打掉涉“两卡”(手机卡、银行卡)违法犯罪团伙3.9万个,追缴返还民众被骗资金120亿元。

在法律层面,去年11月1日,《个人信息保护法》正式生效,与此前出台的《网络安全法》和《数据安全法》,共同构建了中国信息安全的法律框架,形成了数据安全治理领域的“三驾马车”,这也意味着中国的数据安全保护正式进入了“强监管”的时代。

在企业层面,在电信网络诈骗越演越烈的当下,技术也正在成为“反诈”的有力支援力量,特别是在此过程中,手机厂商也纷纷勇于承担社会责任,不断探索和“反诈”相关的用户安全科技,以保证用户安全,助力全社会解决这一难题。

其中,在具体的“反诈”实践中,vivo就在这方面积累和沉淀了很多的经验和创新的技术,特别是打造了以用户为核心的“千镜安全范式”。所谓“千镜安全范式”,它既是安全架构,也是安全产品,更是安全实验室和vivo的安全品牌。

具体来说,“千镜”安全架构,就包含了一个完整的隐私保护技术矩阵,它实现了从芯片到内核到框架到应用,端到端保护用户隐私;而在安全产品方面,vivo也基于“千镜”架构的能力,研发了数十个隐私安全功能和产品,解决用户隐私痛点;此外,在vivo内部还有一个神秘的“千镜”安全实验室,该实验室含技术、工程、合规、攻防与产品等部门,其核心就是希望通过科技创新持续保护隐私安全。

在此基础上,vivo还制定了多层演进开发与产品安全的“PROTECT”策略,该策略通过安全技术提供有效的安全防护能力,通过安全流程和工具链支持把关产品的安全过程,通过安全对抗不断降低安全缺陷风险,从而让保护隐私安全变为一项持续性的工作。

不仅如此,vivo还将自身打造的安全能力持续“赋能”到手机产品之中,如最新发布的vivo X系列旗舰新机X Fold/X Note,就通过高通SPU芯片级安全防护、千镜可信引擎、远程锁卡、Jovi输入法Pro、极简浏览器、隐匿模式等多项安全功能,时刻保护用户的安全“不受破防”。

毫无疑问,在移动互联网高速发展,各类电信诈骗新套路层出不穷的今天,“反诈”工作可谓“任重道远”,因此“反诈”不仅需要全社会的共同努力,同样也需要科技创新能力的“加持”,而vivo全力发展以用户为核心“千镜安全范式”,持续在数据安全保护领域展开探索与实践,不仅是具有前瞻性的,更是具有全局观的一种重要体现。

“久久为功”筑牢数据安全防线

事实上,vivo用最好的科技手段为用户的隐私“保驾护航”,不仅是这么说的,也是这么做的。

4月20-22日,2022年博鳌亚洲论坛在海南博鳌召开。会议期间,vivo正式成为博鳌亚洲论坛2022年年会战略合作伙伴,同时vivo X旗舰系列成为了“博鳌亚洲论坛官方指定用机”。

与此同时,vivo首席安全官鲁京辉也出席博鳌亚洲论坛“数字经济:向阳而生”分论坛,不仅首次分享vivo在数据安全与个人隐私保护领域的技术实践与成果,而同期发布的由信通院、vivo联合编撰的《vivo数据保护合规趋势白皮书》,也集中体现了vivo在数据保护领域的前沿思考。

从《vivo数据保护合规趋势白皮书》中可以看到,随着世界数字经济发展,数据逐渐成为经济增长的核心资产,数字社会治理对数据管理、隐私保护的需求激增,个人对于隐私、个人信息保护的意识也越来越完善。在此背景之下,全球和中国对此也给予了高度重视,纷纷出台了相关的法律法规。目前,全球已有百余个国家或地区制定了个人信息保护等相关数据安全保护法律,此外2021全年全球共发生约733例处罚案例,可见人信息作为数据保护中不可忽视的要素,其重要性越发凸显。

同样,vivo也始终将隐私保护与安全合规视为“铁律”。vivo创始人、CEO兼总裁沈炜就曾说过:“数据安全与隐私保护是消费者的基本权利,是企业获得消费者信任的基石,我们要把数据安全、隐私保护与守法合规作为企业研发经营活动中绝对不可以触碰的红线和基本底线,来指导各项工作的开展。”

从沈炜的表态中,也能看到vivo对数据安全、隐私保护与守法合规高度重视,是始终将其放到公司最高的战略高度去看待的,因此vivo在具体的公司管理和流程中,也强调“自上而下”,“同步协作”扁平化管理形式,并由此形成了以“决策层、设计驱动和三道防线(业务团队、合规专业团队、审计&品质管理)”的安全创新管理模式,可以从几个维度来做观察:

首先,在公司安全战略方面,vivo把安全视为企业责任的基本要求和重要着力点,并把安全与隐私建设的战略使命确定为:护航公司业务安全与合规发展,打造一流安全产品与品牌。

基于此,vivo制定了“PROTECT”安全技术战略,分别覆盖了隐私保护、数据安全风险、产品对象安全、关键安全技术、安全工程、合规管理和安全攻防”七大关注点,归纳为安全技术、安全工程和安全对抗三项基础能力。同时,通过组织成熟度推动“PROTECT”安全技术成熟度的建设,通过安全技术成熟度不断改进产品安全成熟度,提升产品安全质量,再通过产品安全成熟度不断优化安全组织成熟度,最终形成安全技术的一个闭环,最终使安全能力能够得到长期的沉淀和不断地传递。

其次,在内部治理架构方面,vivo在公司建立数据保护管理委员会,作为最高管理和决策机构,负责决策和批准公司总体安全与隐私保护战略和执行落实;设置数据保护官(DPO),对技术和管理执行的推动和落实提供支持,确定数据安全和隐私保护管理工作的方向和目标。此外,vivo还建立了跨组织的数据保护横向团队,形成管理合力;同时通过向下设置工程合规团队,对接不同的业务部门,负责公司安全工程化和数据保护合规管理等等。

而通过治理架构方面的不断创新和优化,vivo不但把安全合规理念深入到每一项的业务之中,强化了数据保护合规在业务中的覆盖程度;更把合规流程融入到项目之中,如在项目开展的关键节点设置了数据保护合规评审,充分把控合规风险,并在最后的上线节点进行合规测试等,由此做到对业务合规运营的赋能。

第三,在数据保护原则方面,为了践行安全战略,vivo经过对行业的深入分析和洞察,并结合内部实践,总结和明确了隐私保护三大基本原则,其中“透明可控”,指的是设备上各应用服务的隐私数据的使用情况,可查看、可管控;“隐私端侧处理”,是指隐私数据在不出设备的前提下,提供各类定制化的服务;此外,“数据最小化”,则是不管是数据的采集,还是数据的加工和分享,都必须满足合规前提下的最小必要原则。

更为关键的是,通过设置“数据保护”的三大原则,vivo真正把数据安全融入到公司的产品和服务设计、开发、运营的各个环节和数据流动的链路中,并通过事前,事中和事后的控制方式,全方位守护了用户的数据和隐私,真正做到了为用户隐私安全持续的“保驾护航”。

最后,在策略与合规实践方面,vivo也在内部建立了数据保护的管理体系,以数据保护基线与红线为基准,在个人信息采集、处理与利用,隐私保护风险评估,数据主体权利响应,供应商管理,数据跨境,应急响应,权限管理,隐私专题研究等各项管理领域都建立了相关的制度、规范或指引,指导和管理日常业务合规、风险识别和数据流动,统筹管理数据安全和隐私保护业务的管理流程。

以“数据主体权利响应”为例,为了更好地与用户进行沟通和保障用户的数据主体权利实施,vivo制定了数据主体权利响应的管理规范,并相应搭建了相关技术平台和开通了渠道进行支撑,而这也彰显了vivo时刻充分关注、理解和解答用户诉求的态度,通过这种“有温度”的举措和行动,让冷冰冰的科技变得更加可感知、可理解,变成真正“有温度的安全”。

正如vivo首席安全官鲁京辉在博鳌论坛上所言:“在数据合规方面,我们认为技术所赋予我们的并不是一种凌驾于用户之上的霸权,而是一种真正有温度的力量——让用户获得幸福,让行业得到发展,让经济向阳而生,而未来而言希望vivo的实践能带动数据保护行业的发展,为全球数字经济发展带来有效助力。”

背后是vivo对长期主义的坚持

值得一提的是,作为一家以消费者需求为核心导向的公司,vivo长期以来“以用户为导向”,不仅构建了隐私保护管理体系,在产品中融入隐私技术和管理要求;同时vivo还积极参与外部标准制定和参与监管体系建设,同样也为未来用户提供更安全的数据保护的保障体系奠定了基础。

一是,在隐私认证方面,早在2021年之前,vivo就已通过信息安全管理体系ISO27001和ISO27701隐私信息管理体系认证。此外,2021年,vivo数据保护合规继续发力,持续优化隐私保护管理体系,并通过两大国际权威认证机构TrustArc和ePrivacy的认可,获得TRUSTe和ePrivacyseal两大权威认证,这也标志着vivo对于用户隐私保护能力,迈上了一个国际化的新台阶;而在操作系统层面,vivo也一直致力于提供安全能力的底层保障,更多地提升对敏感功能的控制和记录,大大降低个人信息的泄露风险和滥用的隐患。因此vivo OriginOS在去年也获得了中国泰尔实验室首张移动智能终端操作系统个人信息保护能力五星产品证书。

二是,在外部标准制定方面,vivo也积极参与标准的制定工作,先后参与了全国信息安全标准化委员会(TC260)、中国通信标准化协会(CCSA)相关的数据安全与个人信息保护标准制定。截至目前,vivo牵头和参与编制的个人信息保护与数据安全领域的标准累计已达60余项。在此过程中,vivo还着重关注个人信息的保护,并牵头制定行业标准《移动智能终端及应用软件个人信息分类分级指南》,从用户个人信息权益保护的视角出发,推动了行业共同提升移动智能终端上的个人信息保护。

最后,在参与政府监管体系建设方面,vivo公司作为一家手机终端厂商,同样兼具着移动智能终端生产企业、APP开发运营者、APP分发平台、APP第三方服务提供者四项身份,因此一直以来也深知在数据保护合规和隐私保护管理工作中责任重大。为此,vivo也积极利用自身的技术能力优势,参与政府监管体系建设工作,积极配合工信部和网信办等部委的数据安全合规和个人隐私保护工作,包括与工信部合作共建全国APP技术检测平台、参与工信部164/165号文APP/互联网整治行动等等。

正所谓“知易行难”,vivo把“数据安全、隐私保护与守法合规作为企业研发经营活动中绝对不可以触碰的红线和基本底线”,同时持续投入用户非常关注的安全隐私赛道,背后正是vivo坚持长期主义价值观的一种体现,这让vivo从基础安全管理和流程,到硬核的安全技术,再到“PROTECT”安全战略,打造了一个从安全战略认知到安全能力建设的完整的隐私保护体系,最后还是回到本源,坚持为用户的个人隐私“保驾护航”,由此表现出来的战略定力和持续的投入可以说是难能可贵的。

总的来说,未来在数据保护和用户安全隐私的道路上无疑需要久久为功的坚持,而vivo在隐私保护与安全合规领域“以行践言”的方式,不仅是其长期以来重视数据安全保护的一种态度,更是转换成为了公司具体的落地行动,在数据安全合规越来越重要的今天,vivo一系列的探索与实践,真正树立了数据安全合规领域建设的全新标杆,也为其他科技企业起到了借鉴和参考的全新价值,我们也有理由相信,有了vivo在此过程中筑牢的数据安全保护的科技防线,未来也会更好地守护用户隐私安全的“生命线”。

推荐阅读
关注数
2395
内容数
428
专注产业互联网、企业数字化、渠道生态以及汽车科技的 观察和思考。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息