原标题：专访小米：系统隐私保护对标苹果 支持App自定义权限调用目的

1月5日，大湾区首届“数据互联互通与安全发展”高峰论坛在珠海举行，北京小米移动软件有限公司（下称“小米”）是协办单位之一。

几天前，小米集团董事长、CEO雷军披露，小米的发展战略正式升级——从2019年年初提出的五年“All in AIoT（智能物联网）”100亿元的战略，加码为五年投入“5G+AIoT”500亿元。据悉，小米IoT平台联网设备数量超过2.1亿台，已经成为全球最大消费物联网平台。

小米集团安全与隐私委员会秘书长宋文宽接受南都专访时表示，为了保护用户安全与隐私，小米已经上线的500多款IoT产品均经过了严格的安全技术测试与隐私评估。2020年，小米开放物联网安全与隐私保护的内部能力，促进行业安全保护水平的提升。

小米集团安全与隐私委员会秘书长宋文宽。受访者供图

·· 1 ··

隐私原则：能不上传绝不上传

南都：小米加大对物联网的投入的同时，在物联网安全上有什么布局？

宋文宽：小米所有IoT产品上线前都会经过安全技术测试与隐私评估。为了进一步提升小米产品安全的透明度，今年我们计划发布小米IoT产品安全与隐私白皮书，把小米物联网产品的安全与隐私保护实践公开，接受用户和行业的监督。

公开标准和认证标识是在跨领域、跨地域场景下建立消费者信任最有效的方式，小米也在积极参与国际物联网安全标准的制定，例如小米是物联网安全基金会（IOTSF）的企业会员。我们希望把实践中积累的物联网安全规范与测试用例与行业共享，促进物联网安全标准和测量准则的完善。

南都：近几个月，苹果、谷歌、亚马逊等多个企业旗下的语音助手被曝出用户对话被“监听”，其实是因为目前语音识别技术提升还离不开人工介入。在这点上，小米是如何应对用户的隐私期待的？

小米安全与隐私委员会副主席朱玲凤：人工智能行业目前还停留在有监督的机器学习阶段，需要人工智能训练师。从技术发展角度来说，人工参与对于提升机器学习的能力有至关重要的作用，企业应当提升用户的认知和感知，并认可人工参与的必要性。

小米安全与隐私委员会副主席朱玲凤。受访者供图

比如我们坚持在用户同意的前提下最小化收集数据，整个过程充分尊重用户的知情权和控制权，以兼顾人工智能行业的发展。所以如果你去看“小爱同学”语音助手的隐私政策会发现非常长，有很多细节。

我们会明确将收集哪些字段，这些字段会不会上传云端服务器。如果小爱同学需要语音控制拨打电话功能，我们不会上传手机号码，而是下发指令到本地执行。我们的隐私原则是：能不上传绝不上传。同时，给予用户更多的选择权和控制权。

·· 2 ··

手机系统支持App自定义权限调用弹窗

南都：小米既是App运营者，也是手机系统和应用市场，在隐私保护实践中分别面临哪些重点和难点？

朱玲凤：所有小米App，无论是系统应用，还是单发应用，在国内完全遵循相关法律法规和四部门要求，国际区域的法规要求有高有低，我们统一按照一个比较高的保护水平执行。

小米作为应用市场的运营主体，法律上还没有明确的责任界定，所以还在探索安全责任的边界和做法。按照工信部今年11月份公告，我们排查下架了90多个不符合要求的App。虽然开发者会对此产生质疑，我们还是希望小米应用商店上分发的App是安全的。

我们还依托操作系统本身的能力，为用户提供更多的安全和隐私保护功能，包括弹窗显示权限调用目的。在其他安卓系统的手机上，开发者想要明示权限调用目的需要弹两次窗：一次系统权限弹窗，一次App自行说明。但在MIUI 11上，第三方App可以调用系统弹窗来显示用户告知内容，和iOS系统一样。

这是我们从系统和应用分发的层面，为保护用户隐私做的一些努力。我们在隐私保护上对标苹果，希望安卓手机用户也能受到与苹果手机用户一样的隐私保护。

南都：前不久，小米首次发布了《MIUI安全与隐私白皮书》，从手机系统底层的角度展开，详细阐述了整体隐私保护架构。为什么决定发布这样一个白皮书？

宋文宽：2012年小米组建安全团队，为保护用户数据和隐私做了大量工作；2014年小米拓展国际市场时发现，国际市场对中国品牌的安全性缺乏信任感，给业务带来了一些挑战，因此，2014年我们组建了安全与隐私委员会，并获得了一些国际上的安全证书。

随着小米在国际市场的份额不断增加，产品也从手机延展到了物联网产品，仅凭外部机构的安全证书已经无法满足用户对小米产品透明度的要求。因此小米对手机系统及核心应用程序的安全与隐私防护措施进行了详细陈述，也就是大家看到的白皮书。

我们希望通过这种方式，将小米内部的安全措施、隐私保护实践完全公开、透明地展示给用户，让用户能够充分了解、随时查阅、共同监督；也希望白皮书中提到的实践做法和技术能力也能够促进行业安全水平的整体提升。

南都：小米的白皮书和其他企业发布的隐私白皮书最大的不同是什么？

宋文宽：部分企业把安全和隐私保护分开，或者只写了安全或隐私其中一部分。小米认为，安全与隐私保护是分不开的，手机硬件和系统底层安全是上层App安全与隐私保护的根基，应用程序与用户数据是我们保护的目标。

手机的安全特性是与系统版本相关联的，所以在白皮书的名字上加了个“MIUI 11”，也是说随着MIUI版本的更新，小米也会更新安全与隐私保护措施，并且不断优化这份白皮书的逻辑和内容。

·· 3 ··

已识别62个国家/地区的隐私合规要求

南都：目前中国企业走出去已经成为趋势。小米在数据跨境传输上遇到过哪些困难和挑战？

朱玲凤：我们遇到最大的一个困境是没有办法使用同一套跨境的合法性条件。比如说用户同意，GDPR（欧盟《通用数据保护条例》）规定是充分告知用户存在风险后的同意才生效，那在隐私政策里告知是否可认定为满足条件尚存疑。

此外还有不稳定性——用户同意后可以撤回。不能说卡住单独一条数据不传输，这在技术上是无法实现的。所以在跨境传输和选择是否进行本地化存储的时候，在法律分析上就有难度。

第二个考虑是当地的机房、带宽速率、成本是否能够满足我们的需求。这是合规以外的问题，全球化企业在选择数据中心时需要考虑合规，同时兼顾成本与技术的成熟度，其实是一件很难的事情。

南都：有没有印象比较深刻的案例？

朱玲凤：有一个俄罗斯要求数据本地化存储的案例。当时，俄罗斯的数据本地化存储相关法案突然加速实施，我们通过LinkedIn因此被要求停止服务的裁定案例，从立法习惯上推测执法也会加速，因此决定立即实现俄罗斯的数据本地化。

本地化存储不仅有存储成本的问题，而且历史数据要做迁移，难度非常大。但安全与隐私合规是一条红线，谁也碰不了。企业与其打擦边球，不如把合规风险识别出来并加以处置。

事实证明这是一个非常明智的选择。去年俄罗斯的执法机构对Facebook、Twitter都提出了本地化部署的要求，而且是先罚款，三个月内整改不完就断网。

南都：小米的隐私法务团队已经能够识别出全球62个国家和地区的隐私合规要求。具体是如何实现的？

朱玲凤：这些法规基准线是小米国际化合规团队和法务团队用了三年时间积累出来的。首先小米内部制定了自己的合规基准线，去到任何一个新的国家，我们都会分析它的法律要求跟基准线之间的差异，然后相应地去调整。

比如说有的国家实现用户权利时效是10天，但是我们基准线是30天，那我们就要微调，因为它高于基准线了。但如果它低于基准线，我们也会按统一基准线执行，不会低于基准线。

企业做到各国合规要求识别非常困难，因为这要投入很大的人力物力去当地考察，了解当地的法律环境、当地民众的认识，以及当地行政机关如何执法等，小米团队综合各种信息做出判断后还会请当地律所确认。

采访：南都记者蒋琳 发自珠海

编辑：尤一炜