小米越来越重视隐私保护和信息安全,无论是对于用户还是员工。
在用户端,今年四月,小米采取了两个重要动作。一是正式发布了“小米隐私”品牌,称今后小米隐私品牌标识将会运用到旗下的各个产品和服务中,体现对用户隐私保护的重视;二是在发布最新MIUI12时,推出了照明弹、拦截网和隐匿面具三大隐私保护工具,这在MIUI系统上是一个较为创新的举动。
面向2万名员工,小米在六月举行了首届安全与隐私宣传月活动,包括科技园主题活动周、信息安全线下讲座、隐私保护线上讲座、在线知识竞赛与答题、CTF黑客世界杯和专项训练营六大主题,希望能够借此提升全员的安全隐私保护意识。
作为一家成立超过十年的公司,小米为何选择这样一个节点早安全与隐私领域“高举高打”?
小米集团副总裁、安全与隐私委员会主席崔宝秋告诉界面新闻,MIUI12的发布是其中一个动因,而首要原因是隐私保护与信息安全目前已在小米集团内部处于第一优先级,小米迟早会在这个领域“高举高打”。
“很多事情都会给信息安全和隐私保护让路。”他说,“包括有时候会影响近十亿的营收。”
团队的发展节奏也是一个重要支撑。事实上,2012年小米便成立了专门的信息安全团队,2014年成立小米安全与隐私委员会,崔宝秋戏称当时的团队为“三个臭皮匠”,但目前该委员会已有超过200名委员和专员,其能力边界得到拓展。
在这个过程当中,小米在2016年成为TrustArc机构隐私认证的企业,于2018年开启欧盟GDPR准备工作,并通过了外部咨询公司的评估。2019年,小米获得了三项国际ISO安全与隐私认证,并发布了MIUI安全与隐私白皮书。今年上半年小米隐私品牌的正式发布,则被视为进入一个新的阶段。
从具体业务来看,在所有相关业务中,小米云是最受重视的数据壁垒。以小米手机为例,自2012年小米云立项后,小米手机用户的照片、短信、通话记录等个人信息都会上传小米云,这里包含了极其敏感的数据信息。
崔宝秋介绍,从小米手机到小米云的端到端过程中,小米会在端上、传输中、落盘前均采取加密,例如在小米云内存中采取的就是银行级别的56位有效密钥长度加密算法。“内部几年前就有一个说法,即使机房里边这些硬盘被坏人偷走了、抱走了,之后也相当于一堆烂铁。”崔宝秋说。
据了解,由于小米是一家需要快速迭代的互联网公司,过去不乏出现设备或服务上线后存在安全和隐私漏洞的情况。但超过90%的漏洞都被技术人员提早发现,因而很少对用户造成巨大影响。
不过,小米安全与隐私委员会仍然背负着高压。其中一个很重要的原因是,小米极为丰富的产品线为其设立了较高的管理和技术门槛。另外,小米200多家生态链企业也带来了来自第三方的管理配合压力。
尽管在小米看来,管理手段和技术手段需要兼备,但崔宝秋认为,过去在隐私保护和信息安全上,行业更讲究“七分管理、三分技术”,而随着时代的信息化、数据化和智能化,技术的重要性正在攀升。
总之,在隐私与安全定义边界逐步扩大的当下,以及作为一家全球化企业,在各国不断改进本土政策的背景下,小米在用户隐私与安全问题上只会面临更高更复杂的要求。