“希望不是未来的东西,而是看见此刻的方式;未来也从未如此清晰,因为它已有迹可循。” 华为消费者业务首席运营官何刚在华为开发者大会 2021(Together)上这样说。
何刚在主题演讲环节最后一个登场,发表了题为《共建安全可信的数字世界》的主题演讲,代表华为消费者业务,郑重提出了华为消费者业务在安全与隐私保护方面的“三大承诺”和“四大主张”。
纵观这次大会,安全与隐私保护是开发者们关注的热门话题,华为终端云服务也系统展现了自己在安全与隐私保护上的立体化图景,表达了开放安全与隐私保护能力赋能开发者,携手开发者和行业伙伴,共同构建“全场景可信生态”的决心。
华为终端云服务隐私安全的“道”与“术”
在华为开发者大会期间,笔者探访了华为网络安全与隐私保护透明中心,这是华为与政府、客户、合作伙伴、标准组织等外部利益相关方开展沟通合作、验证测试的平台。从中,可以系统地看到华为在网络安全与隐私保护上的战略和举措。
首先,是公司自上而下的战略重视。据了解,华为从2011年起,就把网络安全与隐私保护作为华为公司的重要发展战略之一,董事会在2018年明确提升为华为公司的最高纲领。正如何刚所说,“华为将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。
其次,是华为在安全与隐私保护上有一整套完善的体系来实现保障。据华为网络安全与隐私保护透明中心相关人士介绍,华为已经建立了端到端的网络安全保障体系,包括技术、软件、硬件,以及华为公司的每个组织和每个人。具体到消费者业务,华为在数据安全、隐私保护、生态安全上打造了完善的解决方案,携手开发者和行业伙伴共同构建安全可信的全场景生态。
“隐私是用户的基本权利,也是用户的宝贵资产,华为非常珍视并致力于通过创新科技保护好用户的隐私。”华为消费者云服务总裁、华为Cloud BU CEO张平安曾经这样说。
这里面透露的是华为终端云服务在安全与隐私保护上的“道”与“术”。
这个“道”,就是始终以用户为中心,明确用户的个人数据只属于用户自己,用户对自己的个人数据拥有充分的知情权和控制权。这从“数据最小化、数据端侧处理、透明可控、身份保护和数据安全保障”等华为终端云服务独特的隐私保护原则中可见一斑。
例如,今年华为多款自有APP上线了隐私标签功能,就充分体现出“透明可控”的原则。与冗长而且偏技术的传统隐私声明不同,隐私标签采用类似食品营养标签的方式,以标签化和瀑布流的形式展示了APP对用户个人数据的收集和使用情况,让用户对个人数据将如何被APP使用更加清楚,更加一目了然。
媒体上曾经爆出过某款APP涉嫌将大量的非必要用户个人数据上传到云端,导致数据泄露的新闻,华为终端云服务的“数据端侧处理”就很好地避免了这个问题。如华为钱包的智闪卡服务,可以根据用户的刷卡习惯和环境自动识别并快速唤起相应的卡片,用户不用手动选择卡片就能实现快速刷卡。这样的智能刷卡体验背后也同样安全,因为智闪卡服务只在端侧处理必要的数据,用户的数据不会离开用户的设备。
这个“术”,就是华为坚持用创新科技守护用户的安全与隐私,从而实现智慧生活与隐私无忧可以兼得。
华为音乐APP既能为用户带来更好的使用体验,又能保护用户隐私不受侵犯,这就要归功于“差分隐私”技术的创新应用。而华为视频APP也使用了一种叫“联邦学习”的创新技术,使用户行为数据不会离开设备侧,云侧也无法识别用户个体数据,避免了用户数据泄露的风险。
而对于隐私安全最为敏感的华为钱包APP,钱包内添加的银行卡并不是用户真实的银行卡号,而是经过发卡机构专门转换而成的一串“特定设备代码”,它经过严格加密后,单独保存在用户手机上的安全芯片中,运行空间完全独立,确保这个特定设备代码不会被非法获取,从而保障用户的资金安全。不仅如此,作为登录或者交易密钥的生物特征信息存储在可信执行环境,为用户提供全流程隔离保护。
可以说,在华为终端云服务,安全与隐私保护不仅是全场景智慧生活体验的坚实底座,更是化为一种核心竞争力,成为支撑用户满意度的关键要素。
集成HMS Core安全Kit,是什么体验?
这次华为开发者大会,笔者印象最深刻的是华为HMS Core生态的开放:HMS Core 6堪称是史上最强大的华为核心技术能力合集,开放七大领域、69个Kit、21738个API。
华为终端云服务将自己这么多年积累的安全与隐私保护能力以服务的方式对外开放,赋能开发者高效构建安全可信的高质量APP。Security(安全)是HMS Core 6的七大领域之一,目前面向开发者开放的包括线上快速身份验证服务、安全检测服务、数据安全能力、设备安全能力、本地认证能力、钥匙环等服务,让开发者的APP可以快速拥有与华为自有APP同等的安全与隐私保护体验。
以华为安全检测服务(Safety Detect)为例,就提供系统完整性检测、虚假用户检测、应用安全检测、恶意URL检测、恶意Wi-Fi检测等多种安全能力,帮助开发者快速构建安全能力。
今年4月,招商银行的统一风控平台“天秤”接入了华为安全检测服务,几个月以来,招商银行APP在打开程序、支付、转账环境都调用了安全检测服务,日调用量高达1700万次,运行稳定。招商银行网络安全团队负责人吴雷这样评价:“华为安全检测服务不仅补齐了之前没有的风险检测维度,还很好地满足了招行风险可控、合规有度和体验领先的要求。”
华为线上快速身份验证服务(FIDO)也是开发者比较青睐的服务,其面向2B和2C场景,提供了安全易用的免密认证服务。奥地利Raiffeisen银行的APP在集成FIDO之前,经常会有用户抱怨手动输入登录密码复杂,而且手输密码的方式也存在密码泄露和撞库的安全风险。在集成FIDO之后,用户可以使用指纹验证登录,简化了登录方式,而且还减少了密码泄露和撞库的风险。值得一提的是,通过FIDO实现身份认证的过程中,生物特征等用户个人隐私只在本地验证,也很好地保障用户个人隐私不泄露。
华为钥匙环服务(Keyring)是今年华为开发者大会新推出的安全服务,其提供用户认证凭据本地存储和跨应用、跨形态共享能力,帮助开发者构建安卓应用、快应用、Web应用之间的无缝登录体验。
高铁管家就是Keyring的受益者,其有APP、快应用、负一屏行程卡片、H5等丰富产品矩阵,但在使用过程中,用户需要在不同形态业务中频繁登录,这种不友好的体验导致用户流失率上升。集成Keyring之后,用户在高铁管家APP登录,通过钥匙环服务的凭据存储功能,用户认证凭据在可信环境中被加密,安全地存储在设备本地。这样,用户不必重复输入账号密码,就能直接登录不同业务形态,大大提升了用户满意度。
华为终端云服务通过开放安全服务,助力开发者快速实现业务的安全与隐私保护,满足监管机构的合规要求的同时,进一步提升了业务使用体验。透过丰富的案例,我们不难发现,华为终端云服务的安全与隐私保护生态正在一路高歌猛进。
如何破局“隐私合规”
记得曾经有一位大佬这样说过,“中国人愿意用隐私交换便捷性。” 笔者认为这在过去也许是事实,但现在的情况正在发生根本改变。
一方面,是用户端的“隐私觉醒”。纵观业界,个人信息和数据泄露已经成为媒体和网友讨论的热门话题,2018年网络安全调查报告显示,85%的中国人比以往更加警惕安全与隐私保护,这一数字在全球16个国家位居前列。
另一方面,是监管端的不断加码。《网络安全法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《数据安全法》等法律法规相继实施,尤其是严厉程度堪比欧洲GDPR的《个人信息保护法》即将在11月1日正式实施更是如此。
