如果你是小米用户并且已经更新了 MIUI12,应该对它新加入的小米隐私功能有很深的印象。
在 MIUI12 中,小米隐私功能被打造成了小米隐私品牌。在产品上,它拥有包括照明弹、拦截网和隐匿面具等一系列功能。(此前 PingWest 品玩也做过一些体验,内容在《我们把 MIUI12 给拆了》)
谈及隐私保护,在 7 月小米隐私安全宣传月的活动中,小米集团副总裁、集团技术委员会主席崔宝秋也帮我们回顾了一下历代 MIUI 版本的用户隐私保护功能:2012 年 MIUI 就已经加入了自启动管理,2013 年 MIUI 提出运行时权限,2014 年位置来源安装扫描来到 MIUI,2015 年 MIUI 又发布了私密相册,2016 年 MIUI 加入伪基站拦截,2017 年应用锁全面升级,2018 年 MIUI 补充设备标识,2019 年 MIUI 加入自定义权限说明。
了解 Android 版本更新的朋友们也应该知道,小米很多功能开发其实是建立在 Android 版本更新之上,一部分升级属于趋势。但因为国内手机市场相对独立的原因,有些功能也属于 MIUI 的“精装”自创,算是引领了友商的跟进。
一个观察是:如果把目光聚集到国内的几家友商,小米在隐私保护上走得确实更靠前,或者说更早得提出了相关功能和概念。
崔宝秋称,2015 年,他就曾给自己立了个 flag,也给隐私委员会立了个 flag,就是把信息安全和隐私保护打造成小米的一个品牌,让用户能够对自己的信息安全重视起来。
2015 年的 flag,在 2020 年初步兑现了。
无人区
时间可以拨到更早,崔宝秋 2012 年被小米集团 CEO 雷军延揽至小米公司。他曾在 IBM、雅虎和 LinkedIn 负责信息技术工作,加入小米公司之后,他负责组建小米人工智能与云平台团队,主导了小米的“云计算-大数据-人工智能技术”发展路线。
雷军告诉他“小米是一家互联网公司”,不过当时他就发现小米并没有安全团队。一家互联网公司如果没有安全团队,有点像是在“裸奔”。
2012 年,小米的信息安全团队成立,一定程度上解决了小米在网站运营,用户数据存储方面的问题。
2014 年,小米国际化业务开始布局,但问题也随之出现。
崔宝秋发现,在隐私保护上,以小米的知识和经验,乃至技术、人员和意识都远远不够。小米的产品要出海,结果在大大小小的市场上面临着各种压力。所以,小米内部“民间的第一个委员会”成立了,它就叫“隐私委员会”。
“信息安全还好,有一些样本公司可以学”,崔宝秋告诉我们。但即使在 2014 年,“隐私防护”还是一个比较新鲜的业务,“在世界上都很难找到任何一家公司,告诉我们如何做隐私。”
没有例子可学,它完全是一个“无人区”。
对于崔宝秋个人而言,他 1995 年赴美留学,纽约州立大学石溪分校计算机科学系博士毕业,在美国接触软件工程已有 20 余年,他无疑是“隐私委员会”最早接触过隐私,知道隐私的重要性的那个人。
“我认为隐私是一个人与生俱来的一个本能的需求,必要的需求,它是跨国界、跨种族、跨文化、跨地域、跨宗教的。”崔宝秋最后在美国联邦贸易委员会(FTC)制定的一些隐私原则中找到一些线索。而且他相信,西方国家已经在实行的一些原则在中国应该可以适用。
2014 年,小米的隐私原则出炉了,它被分成五个部分。第一,告知/知情;第二,可选/同意;第三,可控/参与;第四,完整/安全;第五,强制/补救。几个部分也印证了小米在历代 MIUI 版本上的功能升级。
而今天随着国际局势的变化,以及国内对信息安全和隐私保护的重视,小米隐私原则再次升级,它变成了企业责任、用户可控、公开透明、安全保障和法律合规。
攻和防
或许也正因如此,过去几年来,隐私防护就这样写入了小米的团队文化,成为了工程团队的一个重要组成部分。
而相比六年前人们对于隐私信息、个人信息的模糊定义,如今的大数据技术的利用已经让隐私防护变得更复杂。
举个简单的例子,个人数据的利用给用户带来了更精准的推送,同时有些应用也走入了隐私数据滥用的禁区。
2018 年,中国发展高层论坛上,百度董事长兼 CEO 李彦宏称,中国人喜欢牺牲隐私来换来一些方便。
“我是严重不认同这种说法的。”崔宝秋称。
他进一步补充说:很多中国用户是没办法,被迫的,或者被忽悠的,被糊弄的,不知不觉的被某些恶意的 app 把隐私给偷去了,或者别无选择的,被迫要奉献,舍弃自己的隐私。
这也正好印证了小米在 MIUI12 中所提倡的用户可控和公开透明等隐私原则。照明弹让用户知晓哪些 app 在偷偷自启动和调用,隐匿面具则让用户有将用户推送广告数据清零的权限,重新“换一张脸”。
实际上,安全和隐私是一对双胞胎,但隐私问题的安全防护本质上是攻和防。
崔宝秋举例称,五年之前,小米内部就顶着各种业务的压力,顶着工程师和管理者不理解的压力,坚持把 IMEI 号当做隐私数据来保护。而直到 2019 年 Google Android10 发布,Google 才正式宣布 IMEI 是隐私数据,取消了访问控制。
iOS 在 IEMI 这个案例上做得更早。作为设备的唯一识别码,IEMI 不可恢复,出厂与设备永久绑定,被很多应用用于用户的数据追踪。苹果在 iOS5 上做出禁止访问 IEMI 号的举措后,遭遇了大量的想要追踪用户数据的广告商的抵制,但 IEMI 并非唯一的设备标识码,广告商们又开始追踪蓝牙和 WiFi 地址,随后苹果在 iOS7 上禁止获取设备的 mac 地址。
还有另外一个案例:小米在 MIUI12 中加入了一个照片安全分享的功能。简单来说,一张普通拍摄的照片可能在专业影像编辑软件中会显示拍摄地点、时间等用户隐私信息,MIUI12 的安全分享逻辑是,从原地址跳转到后台安全分享处理掉这些信息,然后跳转回原地址继续分享。但在微信分享勾选“默认抹除照片位置”、“默认抹除照片拍摄信息”和“开启安全分享标识”三个权限时时,这样分享就会触发三方应用分享次数上限。最终 MIUI12 在微信上被迫下线了这个功能。
一条河,一片海
这意味着隐私防护应该是一个生态的概念。
广告软件开发商在一定程度上是利益共同体,肆意侵占数量庞大的普通用户的群体利益。庞大的独立 app 拥有自主可控权,每一家应用都可能会涉及到用户的隐私问题。平台方对用户隐私防护的权利仅仅是告知,还没能达到完全自主可控的权力。
小米的 MIUI12 也是如此,它能做得也只是让用户看见,少一些被迫选择。
崔宝秋这样比喻这个生态,“如果它像黄河一样,整个水都是浑浊的,一个公司,一个涓涓溪流流进去,能改变什么?”
“我一直问我自己,作为一个小米用户,我在小米得到严格的保护,难道我的隐私就不会泄露吗?另外一个网站,另一个 app,他们把我的数据拿走了,如果他们没有做好足够的保密措施,那么数据还是会被泄露。”
那么,小米能扮演什么角色?
“我们可以扮演一个前浪的角色,在某些点上,用最高的标准来要求自己,扮演好一个最佳案例的角色,最终能够影响所有的行业和用户。”他说。