华为把网络安全和隐私保护作为公司的最高纲领,认为隐私是用户的基本权利。华为终端将隐私保护作为产品设计基石,将隐私保护四项基本原则“透明可控、用户受益、安全保障、合法合规”融入产品设计和开发的各个环节,持续优化产品和服务,保障用户的隐私安全。同时,为了保证全球范围内隐私合规,华为终端在业界普遍认可的隐私框架(GAPP)的基础上,融入欧盟GDPR的隐私保护原则,结合各国本地法律进行适配,构建了全球隐私合规框架,全力守护消费者的隐私安全。
华为终端云服务(Huawei Mobile Services, HMS) 汇聚华为“芯-端-云”能力,包含易用、智慧、安全的HMS Apps和一整套面向开发者开放的 HMS Core、HMS Capability和HMS Connect, 以及相应的开发和测试的IDE工具。
HMS从产品构建之初,即致力于打造业界领先的隐私安全体验,将安全作为产品构建的关键能力,通过“芯-端-云”协同,构建业界领先的安全能力。实现核心关键数据保存在TEE安全微内核中,以免受到恶意的窃取和盗用;依托增强的OS安全能力,保护系统的完整性,通过随机内存地址等手段,避免攻击者越权访问;通过端到端加密等数据保护技术,避免信息的泄露。
在刚刚结束的华为开发者大会2020的安全和隐私分论坛上,华为终端云服务的资深隐私专家肖兆鸾女士介绍了华为HMS Core生态全球化隐私安全治理的情况,向业界展示了HMS如何通过全球化的隐私治理框架帮助开发者构建安全合规的应用,让人印象深刻。
华为通过HMS Core提供“芯-端-云”全面开放能力,构建HMS生态的同时,积极落实全球化隐私治理框架,聚焦开发准备、开发集成、分发运营三个阶段,全方位构建隐私保护能力。HMS不仅确保 HMS Apps 等华为终端自有应用服务的安全体验,还通过HMS Core 的开放,为开发者带来创新的安全技术和安全体验。HMS Core芯端云全面开放,使能开发者创新,全球已有90,000+ 应用集成HMS Core。
• 开发准备阶段:HMS Core制定了详细的开发者协议框架,划分华为和开发者的责任边界,约束华为和开发者双方的数据处理权责,保护消费者的个人数据安全。
• 开发集成阶段:HMS Core将创新的隐私保护方案和业界先进的隐私保护技术作为隐私保护的基石,最大限度地减少华为和开发者接触到消费者个人数据。例如华为的ID分层防跟踪体系,将数据的可关联性限制在适当的范围内,实现仅仅基于目的的最小化使用数据,这包括禁止收集和使用持久化硬件标识符、设备层面和帐号层面的数据隔离,以及广告场景下的广告标识符可重置能力。在隐私技术方面,HMS Core基于数据生命周期的不同阶段,采用了不同的隐私保护技术,例如在数据收集阶段,采用随机化、差分隐私、联邦学习等技术,保护个人隐私数据安全;在数据使用、留存和处置阶段,通过留存期检测、数据加密、数据沙箱等技术,有效防止数据被滥用和数据泄露;在数据披露阶段,采用K匿名、PSI(Private Set Intersection)技术实现数据最小化披露,同时基于数据水印、RMS等技术,实现对已披露数据的权限控制。
• 分发运营阶段:华为HMS通过开发者实名认证、独家四重检测、下载安装保障、运行防护机制实现从应用上架到下载、运行的全流程安全保障,同时应用“上架&运行”隐私保护自动化检测,安全高效地为开发者应用分发提供保驾护航。同时,华为全力支持开发者过程隐私合规,包括确保用户的数据安全存储和处理、记录数据处理的过程,保证数据处理活动可追溯;以及定义详细客服和运维处理机制,有效支撑开发者各项运营和运维活动合法合规开展等。
BSI大中华区董事总经理张明先生在华为开发者大会2020的安全和隐私分论坛上介绍的那样,华为在隐私保护方面的努力和成果是业界有目共睹的,其隐私保护的水平和成果已经处于业界标杆的地位。
2020年7月,HMS相关业务,包括Huawei Ads、Huawei AppGallery Connect、AppGallery、Petal Search正式通过ePrivacy隐私保护认证,在EU(欧盟)范围内被授予ePrivacyseal证书。此外,华为HMS已在全球范围内获得多项隐私安全认证,例如安全领域的ISO/IEC 27001和CSA STAR国际权威认证,移动支付领域的PCI DSS权威认证,身份认证领域的FIDO联盟规范认证,以及隐私领域的ISO/IEC 27701、ISO/IEC 27018等,HUAWEI ID获得Europrise的认证。获得这些认证充分表明,华为HMS已经满足国际公认标准的要求,并致力于确保用户数据得到妥善管理。
隐私无价,科技有道。华为HMS将继续秉承华为“网络安全与隐私保护是最高纲领”的精神,在用户数据隐私安全保护上加大投入,持续创新,构筑隐私安全核心竞争力,为用户隐私安全保驾护航。