在享受智能手机带来的各种便利的同时,我们也正在面临越来越严重的信息安全风险。特别是在相对开放的安卓生态下,对智能手机及应用程序的信息安全管理要求变得越来越迫切。在这种背景下,国家先后制订《App收集使用个人信息最小必要评估规范》和《移动互联网应用程序个人信息保护管理暂行规定》,开始强化行业管理。
另一方面,智能手机厂商作为终端的直接制造和管理方,也需要在监管要求下通过多种方式提升智能手机的信息安全。9月1日,荣耀正式发布了《荣耀隐私保护与安全技术白皮书》,白皮书包括“荣耀隐私保护白皮书”和“Magic UI 5.0安全技术白皮书”两部分,阐述了荣耀建立的隐私管理体系和终端安全技术体系。
其中,荣耀提出了智能手机信息安全的五大原则,以及荣耀在管理及终端层面采用的解决方案。荣耀认为,智能手机的信息安全需要遵从“最小化”、“透明可控”、“端侧处理”、“身份匿名”和“安全保护”五大设计原则。基于这五大原则,荣耀新推出的Magic3系列在支付场景、APP权限使用、位置跟踪、手机维修、手机投屏等场景提供了更安全的使用体验。
最小化:避免信息滥用
“最小化”原则是指:只收集最少且必要的个人数据;仅在达成目的所需期限内保存数据。安卓体系的高自由度,使得很多App在开发时存在过度申请权限的问题,国家制订《App收集使用个人信息最小必要评估规范》正是为了治理这种乱象。为了保护消费者重要信息不被滥用,基于Magic UI 5.0系统的荣耀Magic3系列加入了“APP权限最小化推荐”功能,在首次使用时向消费者推荐仅开启APP必要权限,越界权限自动关闭,帮助消费者解决权限被私自、过度获取的问题。
透明可控:设备权限提醒
“透明可控”原则是指:采集个人数据时提供清晰、明确的通知,确保用户知道数据被如何使用,同时有权随时退出。即便是提供了相关的设备权限,我们也需要知道在某个权限在什么时间被使用,比如摄像头、麦克风被过度调用就是目前普遍存在的问题。荣耀Magic3系列提供了“权限访问记录展示&提醒功能”,可以避免恶意应用通过欺骗的方式获取麦克风/相机权限,以及已获取权限的正规软件过度调用麦克风或者摄像头。
端侧处理:降低远端风险
“端侧处理”原则是指:尽可能地在本地设备上处理和分析数据。在互联网高度发达的今天,智能手机已经不仅仅是一台终端设备,而是云通过移动互联网伸出的触手。在过去很长一段时间里,厂商过度强调了云的便利性,而忽视了云端数据处理和存储的风险。“端侧处理”可以避免数据被过度上云,降低在传输和云端存储带来的风险。
身份匿名:保护用户隐私
“身份匿名”原则是指:采用隐私增强技术保护用户身份,防止身份被定位、追踪。如今大数据分析技术被广泛应用,通过对用户行为、位置等各类数据的分析,可以提高易用性和转化率。但是在这个过程中,关键是身份匿名,做好数据脱敏,保护用户隐私。举个例子,如今除了需要精准定位的地图导航、运动健康类软件,很多社交类、新闻类软件也在获取用户位置信息,而实际上它们并不需要精确定位。荣耀的做法是使用“模糊位置”功能,将定位区间扩大到1km范围。
安全保护:以数据安全为核心
“安全保护”原则是指:采用安全可靠的数据保护技术提升数据安全。该原则体现在各个层面上,包括建立全球隐私合规框架,以及全方位的安全保护技术体系。为打造符合全球严格的隐私管理体系,荣耀在GAPP(业界主流隐私保护框架)基础上,融入欧盟GDPR(欧盟统一数据保护法)个人信息保护法隐私保护原则,同时结合各国本地法律进行适配,构建了荣耀全球隐私合规框架。同时在硬件和系统层面,荣耀建立了双TEE系统,基于Trustzone和Hypervisor虚拟化机制,打造可信的系统安全能力和安全生态。
写在最后
《荣耀隐私保护与安全技术白皮书》的发布,体现了荣耀对隐私安全和信息保护的重视,进一步提升了用户体验。很多用户都有手机信息被滥用或者手机变成“广告终端”的经历,相信在行业监管日渐加强、企业越来越重视的背景下,智能手机能成为用户放心的核心数据终端。