2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行,为我国个人信息保护提供了更具系统性、针对性和可操作性的法律遵循。三年来,各类数据处理者采取了哪些措施强化个人信息保护,面对人工智能等技术带来的新挑战,有哪些应对举措?
南都大数据研究院推出“《个人信息保护法》落地三周年”系列报道,从案例调查、应用实测、企业对话等方面,探讨近年个人信息保护领域的新变化与新实践,展望未来技术发展方向与挑战。
对话篇第2期,南都采访荣耀终端有限公司全球网络安全与隐私保护官马兵,听智能终端生产企业在AI时代如何保障用户个人信息安全。
自2023年ChatGPT等AI大模型带来惊喜体验以来,国内多个手机品牌竞相推出AI大模型为底层支撑的AI手机。端侧AI的普及,一方面为用户带来更智能化的体验,另一方面也意味着手机将收集、处理更多用户数据,其中不乏声纹、人脸等敏感个人信息。
AI时代下,以手机为代表的智能终端如何保障用户个人信息安全?企业如何应对新技术带来的数据安全挑战?荣耀全球网络安全与隐私保护官马兵日前接受了南都大数据研究院专访。
个保双重挑战:AI和物联网技术
南都:随着科技发展与进步,智能终端、移动互联网给人们生活带来极大便利,同时也给个人隐私安全带来挑战。您预计未来哪些技术革新会对个人信息保护产生重大影响?
马兵:一是人工智能,随着AI技术的发展,AI在增强信息获取、挖掘和共享能力的同时,也增加了数据滥用和个人隐私泄露的风险。AI的深度学习能力使其能够在大量非结构化数据中识别模式和特征,这可能导致个人信息的深入分析和潜在的隐私侵犯,同时也衍生出新的安全风险,例如利用获取的人脸、语音信息进行人脸视频合成,进行违法诈骗。
二是物联网技术,物联网技术的发展使得更多的设备能够收集和传输个人信息,例如现在汽车、手机、家居等设备都能组网进行数据传输和共享,这增加了数据泄露的风险。
让用户自行选择与控制AI服务
南都:面对AI带来的安全挑战,企业如何才能让消费者享受AI便利的同时保护好个人隐私?
马兵:有很多人质疑,在AI时代,像大模型这种需要海量数据的新技术是不是会损害用户的隐私权益。我们不这么看,由于用户需求的多样性,导致数据处理的复杂,用户最担心的是不知道发生了什么,如果一个AI服务明确告诉用户,提供这些服务需要处理这些数据,并列举这些数据的使用目的与处理时限,让用户知道自己的哪些数据被处理,处理的这些数据合情合理,让用户自己来选择与控制AI服务,这就不会损害用户的隐私权益。
所以我们的做法是给用户提供更透明和可控的服务,让用户做AI的主人。尊重用户隐私(Privacy)、公平与公正(Fairness and Justice)、可归责(Accountability)、安全与可靠性(Security and Reliability)、透明度和可控性(Transparency and Controllability),这是荣耀提出的人工智能开发PFAST原则,用于自身AI数据治理、模型治理和服务治理的业务活动中。
南都:可否介绍一个具体例子?
马兵:隐私保护和数据安全是AI业务的基础,没有安全的基础,人工智能就无法存在。对于所有的AI业务,我们强调必须做到“数据使用最小化”、“敏感数据不出端”、“优先端侧处理”、“脱敏加密传输”以及“数据用完即删”。
比如荣耀自研的大模型经过量化压缩后,实现端侧的流畅运行,“敏感数据不出端”,保证用户对个人信息的绝对控制。同时,基于“两锁一芯”技术对模型进行硬件级加密保护,并运行在设备的独立空间中,能够有效防止模型被篡改和替换。
此外,为丰富和拓展更强大的AI服务,荣耀构建了云端大模型。当用户请求无法在端侧模型完成时,在用户同意的情况下,端云模型协同响应用户请求,加密上传云端模型处理。云端模型完成请求任务后,会及时删除用户数据。这就是我们说的“优先端侧处理”、“脱敏加密传输”以及“数据用完即删”。
用户需求推动产品隐私安全能力提升
南都:用户日益增长的个人信息保护意识和期望,会否给手机厂商带来压力?
马兵:对我们而言,这可能不是压力,而是动力。随着用户隐私安全意识的增强,用户会自发通过不同反馈渠道对企业提出非常多产品能力以及安全隐私相关的建议和期望,这推动了终端产品隐私安全能力的提升。例如荣耀推出的智能权限推荐、隐私通话、隐私助手等不少隐私安全特性,其实都是用户的痛点与需求,经过团队调研与评估后,我们将这些需求落地实施,真正解决用户在使用手机过程中的隐私安全痛点。
南都:荣耀在个人信息保护方面的指导原则是什么,如何确保这些原则得到落实?
马兵:作为一家终端厂商,个人信息保护一直是我们为用户提供产品和服务时非常关注的问题。荣耀品牌自创立之初就提出“科技有道,隐私至上”的理念。隐私安全是提供产品和服务的前提。在这几年里,荣耀构建了一套完备的全球隐私保护管理体系,制定了个人信息处理的七大原则,并持续通过创新技术为用户提供全方位的隐私安全保护。
对外,我们通过ISO/IEC27001、ISO27701、ePrivacyseal、ISO42001、UPDSS、PCIDSS、可信执行环境认证、FIDO等一系列权威隐私安全认证,表明荣耀对隐私保护的开放与透明度,也说明我们对用户隐私保护是认真且负责任的。
对内,荣耀将隐私保护相关要求嵌入到研发、供应链、采购等涉及个人信息处理的业务流程中。如在研发流程中嵌入开展PIA、网络安全设计、开源及第三方软件网络安全评估、业务上线隐私合规评审等活动;在供应流程中嵌入来料安全、制造安全、运输过程防篡改、回运物料个人信息清除等要求;在采购流程中嵌入供应商、合作伙伴隐私保护尽职调查等要求。
南都:请分享一句您认为最重要的、关于个人信息保护的建议或观点?
马兵:随着AI时代的到来,大模型对海量数据的天然需求给隐私保护带来了更多挑战,同时,由于用户需求的多样性,导致数据处理的复杂,因此我们更需要给用户透明度及控制权。唯有如此,我们才能赢得用户的信赖。
出品:南都大数据研究院 数据安全治理与发展课题组
采写:南都研究员 李伟锋 实习生 纪依
设计:林泳希 欧阳静 张博