华为杨晓宁:网安与个保是系统性工程,有赖各界共同努力

图片

2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行,为我国个人信息保护提供了更具系统性、针对性和可操作性的法律遵循。三年来,各类数据处理者采取了哪些措施强化个人信息保护,面对人工智能等技术带来的新挑战,有哪些应对举措?

南都大数据研究院推出“《个人信息保护法》落地三周年”系列报道,从案例调查、应用实测、企业对话等方面,探讨近年个人信息保护领域的新变化与新实践,展望未来技术发展方向与挑战。

对话篇第5期,南都采访华为网络安全与用户隐私官杨晓宁,听科技巨头在个人信息保护领域的经验分享。

物联网、人工智能等技术高速发展,为人们生活带来便捷与智能,但同时也带来极大的个人信息保护风险与挑战。同时,随着企业数字化、智能化转型的加速,越来越多业务与云计算、大数据等技术深度融合,也使得企业网络安全和数据安全建设工作变得更加复杂。

作为全球领先的ICT基础设施和智能终端供应商,华为如何致力于通过行业领先的创新科技,守护用户的隐私安全?华为技术有限公司网络安全与用户隐私官杨晓宁近期接受了南都大数据研究院专访。

网络安全与个人信息保护

是数智发展基石

云计算、人工智能、大数据等新兴技术深刻改变了生产生活方式,一方面满足了人们对于美好生活的需求,另一方面也给数据安全带来前所未有的挑战。企业应如何筑牢数据防线?

“华为非常重视个人信息保护工作。我们坚信,在数字化、智能化时代,网络安全与个人信息保护是数智世界发展的基石。”杨晓宁这样谈道:“我们遵从所有适用的隐私保护、个人信息保护法律法规,包括《个人信息保护法》和欧洲的GDPR等。基于这些在全球具有代表性的法律法规与标准要求,华为总结出隐私合规治理方法,搭建了“隐私合规落地17/27框架”,包含17个工作域、27个工作项,用于指导我们的业务个人信息保护合规落地。”

在杨晓宁看来,网络安全与个人信息保护是一项系统性工程,需要包括政府、企业、行业组织,用户等社会各界在内的所有利益相关方一起参与和努力,以透明、务实、开放的方式进行交流与合作,共同应对挑战,守护数字世界的繁荣与发展。

以企业内部管理为例,杨晓宁强调,对不同类型员工,需要提供定制化的个人信息保护意识培训课程,确保各行业线的个人信息保护意识和能力得到不断增强。“首先,新入职的华为员工必须参加个人信息保护基本意识的培训与通用知识的考试。对全体员工而言,除了每年的例行学习,我们会结合业务变化,组织全员的个人信息保护意识教育与学习考试,也会举办各类主题活动。针对个人信息保护专业人员,我们牵引专业员工对齐外部标准,不断提升专业能力,鼓励他们积极参加外部资质认证。面向各级管理者,他们除参加相关教育与培训外,还需参加针对性的个人信息保护培训赋能。借此促进管理者增强个人信息保护意识,提升个人信息保护责任,引导下属的个人信息保护行为。”

创新安全访问机制

保障手机数据安全

据中国互联网络信息中心(CNNIC)发布的第54次《中国互联网络发展状况统计报告》,截至2024年6月,我国手机网民规模达10.96亿人,网民使用手机上网的比例为99.7%。与此同时,手机等智能终端的隐私安全问题也备受关注。作为全球第三大移动操作系统——原生鸿蒙系统 HarmonyOS NEXT的开发者,华为如何回应用户对个人信息使用的知情权和控制权需求?

杨晓宁介绍,HarmonyOS NEXT基于全新的星盾安全架构,致力为用户实现“隐私安全,由你掌控”。以数据获取为例,鸿蒙创新安全访问机制,从允许应用访问“所有数据”改为仅访问“选定的数据”。以往用户想在某个APP中换头像,允许该APP访问图库后,它可以访问图库中的所有图片;在鸿蒙的安全访问机制中,系统仅向APP提供图库中那张头像的照片,而非整个图库。类似地,相机,文件,音频,位置,剪贴板,联系人等权限也应用了这个安全访问机制,缩小APP的数据获取范围。

又例如,鸿蒙加强了数据可控分享的安全性。“过去分享重要文件时,我们只能叮嘱对方不要转发,但别人是否转发是没办法控制的。”杨晓宁表示,鸿蒙推出了系统级的文件加密分享,手机和平板上对文件进行加密,加密之后分享出去只有授权用户才能打开;这是系统级的分享机制,不限应用,也不限分享渠道,支持多个文件格式,只有授权用户才能看,保障数据跨端流转的安全。

隐私合规管理中心

辅助业务判断

进入万物互联时代,人们享受科技带来的便利的同时,也将隐私安全问题上升至新的高度。在识别、评估产品和业务中的个人信息保护风险点方面,杨晓宁分享了华为在自身数据安全和个人隐私治理实践的过程中曾经遇到的问题和解决方案。

“在数据治理的早期,我们遇到的第一个问题是如何让每一个华为员工都了解各个国家的数据安全以及个人隐私信息的内容,并在提供服务的区域严格遵从这些要求。”杨晓宁介绍,由于个人信息的法律法规专业性强,企业在执行过程中会有多个角色参与相关的工作,因此如果能有一个高效的IT平台,能完成个人隐私信息关键业务流程活动的记录,也能兼顾提供智能化的合规建议,将极大提升合规工作效果。因此,基于“17/27框架”,华为开发了隐私合规管理中心(PCMC:Privacy Compliance Management Center)平台,针对8类重要角色(如区域总裁、代表处代表、行业线主管等)建立7大类27小类分层指标体系和多层度量维度,让使用者聚焦关键核心个人信息保护指标,快速了解合规状况,做出正确的业务判断。

杨晓宁还表示,过去很多业务团队使用excel表格来记录、标识应用的数据资产,数据安全架构师工作繁重且易出现错误。“当时我们就在想,如果有一个数据安全的工具能帮助各个业务部门实现数据资产发现、分类分级、绘制数据资产地图等安全管理能力就好了,如果能有可视化的方式快速实施安全防护措施就更完美了。”在这个思路下,华为云“数据安全中心”服务应运而生。“通过这个服务,业务部门可以快速知道自己存储了什么数据、放在哪里;每个存储媒介里面放了哪些结构化数据或非结构化数据;这些数据中是否存有个人数据、高安全等级数据等,极大释放了管理活力。”


出品:南都大数据研究院 数据安全治理与发展课题组

采写:研究员 李伟锋 实习生 纪依