保护用户隐私，为什么是小米

　　如果你是小米用户并且已经更新了 MIUI12，应该对它新加入的小米隐私功能有很深的印象。

　　在 MIUI12 中，小米隐私功能被打造成了小米隐私品牌。在产品上，它拥有包括照明弹、拦截网和隐匿面具等一系列功能。（此前 PingWest 品玩也做过一些体验，内容在《我们把 MIUI12 给拆了》）

　　谈及隐私保护，在 7 月小米隐私安全宣传月的活动中，小米集团副总裁、集团技术委员会主席崔宝秋也帮我们回顾了一下历代 MIUI 版本的用户隐私保护功能：2012 年 MIUI 就已经加入了自启动管理，2013 年 MIUI 提出运行时权限，2014 年位置来源安装扫描来到 MIUI，2015 年 MIUI 又发布了私密相册，2016 年 MIUI 加入伪基站拦截，2017 年应用锁全面升级，2018 年 MIUI 补充设备标识，2019 年 MIUI 加入自定义权限说明。

　　了解 Android 版本更新的朋友们也应该知道，小米很多功能开发其实是建立在 Android 版本更新之上，一部分升级属于趋势。但因为国内手机市场相对独立的原因，有些功能也属于 MIUI 的“精装”自创，算是引领了友商的跟进。

　　一个观察是：如果把目光聚集到国内的几家友商，小米在隐私保护上走得确实更靠前，或者说更早得提出了相关功能和概念。

　　崔宝秋称，2015 年，他就曾给自己立了个 flag，也给隐私委员会立了个 flag，就是把信息安全和隐私保护打造成小米的一个品牌，让用户能够对自己的信息安全重视起来。

　　2015 年的 flag，在 2020 年初步兑现了。

　　无人区

　　时间可以拨到更早，崔宝秋 2012 年被小米集团 CEO 雷军延揽至小米公司。他曾在 IBM、雅虎和 LinkedIn 负责信息技术工作，加入小米公司之后，他负责组建小米人工智能与云平台团队，主导了小米的“云计算-大数据-人工智能技术”发展路线。

　　雷军告诉他“小米是一家互联网公司”，不过当时他就发现小米并没有安全团队。一家互联网公司如果没有安全团队，有点像是在“裸奔”。

　　2012 年，小米的信息安全团队成立，一定程度上解决了小米在网站运营，用户数据存储方面的问题。

　　2014 年，小米国际化业务开始布局，但问题也随之出现。

　　崔宝秋发现，在隐私保护上，以小米的知识和经验，乃至技术、人员和意识都远远不够。小米的产品要出海，结果在大大小小的市场上面临着各种压力。所以，小米内部“民间的第一个委员会”成立了，它就叫“隐私委员会”。

　　“信息安全还好，有一些样本公司可以学”，崔宝秋告诉我们。但即使在 2014 年，“隐私防护”还是一个比较新鲜的业务，“在世界上都很难找到任何一家公司，告诉我们如何做隐私。”

　　没有例子可学，它完全是一个“无人区”。

　　对于崔宝秋个人而言，他 1995 年赴美留学，纽约州立大学石溪分校计算机科学系博士毕业，在美国接触软件工程已有 20 余年，他无疑是“隐私委员会”最早接触过隐私，知道隐私的重要性的那个人。

　　“我认为隐私是一个人与生俱来的一个本能的需求，必要的需求，它是跨国界、跨种族、跨文化、跨地域、跨宗教的。”崔宝秋最后在美国联邦贸易委员会（FTC）制定的一些隐私原则中找到一些线索。而且他相信，西方国家已经在实行的一些原则在中国应该可以适用。

　　2014 年，小米的隐私原则出炉了，它被分成五个部分。第一，告知/知情；第二，可选/同意；第三，可控/参与；第四，完整/安全；第五，强制/补救。几个部分也印证了小米在历代 MIUI 版本上的功能升级。

　　而今天随着国际局势的变化，以及国内对信息安全和隐私保护的重视，小米隐私原则再次升级，它变成了企业责任、用户可控、公开透明、安全保障和法律合规。

　　攻和防

　　或许也正因如此，过去几年来，隐私防护就这样写入了小米的团队文化，成为了工程团队的一个重要组成部分。

　　而相比六年前人们对于隐私信息、个人信息的模糊定义，如今的大数据技术的利用已经让隐私防护变得更复杂。

　　举个简单的例子，个人数据的利用给用户带来了更精准的推送，同时有些应用也走入了隐私数据滥用的禁区。

　　2018 年，中国发展高层论坛上，百度董事长兼 CEO 李彦宏称，中国人喜欢牺牲隐私来换来一些方便。

　　“我是严重不认同这种说法的。”崔宝秋称。

　　他进一步补充说：很多中国用户是没办法，被迫的，或者被忽悠的，被糊弄的，不知不觉的被某些恶意的 app 把隐私给偷去了，或者别无选择的，被迫要奉献，舍弃自己的隐私。

　　这也正好印证了小米在 MIUI12 中所提倡的用户可控和公开透明等隐私原则。照明弹让用户知晓哪些 app 在偷偷自启动和调用，隐匿面具则让用户有将用户推送广告数据清零的权限，重新“换一张脸”。

　　实际上，安全和隐私是一对双胞胎，但隐私问题的安全防护本质上是攻和防。

　　崔宝秋举例称，五年之前，小米内部就顶着各种业务的压力，顶着工程师和管理者不理解的压力，坚持把 IMEI 号当做隐私数据来保护。而直到 2019 年 Google Android10 发布，Google 才正式宣布 IMEI 是隐私数据，取消了访问控制。

　　iOS 在 IEMI 这个案例上做得更早。作为设备的唯一识别码，IEMI 不可恢复，出厂与设备永久绑定，被很多应用用于用户的数据追踪。苹果在 iOS5 上做出禁止访问 IEMI 号的举措后，遭遇了大量的想要追踪用户数据的广告商的抵制，但 IEMI 并非唯一的设备标识码，广告商们又开始追踪蓝牙和 WiFi 地址，随后苹果在 iOS7 上禁止获取设备的 mac 地址。

　　还有另外一个案例：小米在 MIUI12 中加入了一个照片安全分享的功能。简单来说，一张普通拍摄的照片可能在专业影像编辑软件中会显示拍摄地点、时间等用户隐私信息，MIUI12 的安全分享逻辑是，从原地址跳转到后台安全分享处理掉这些信息，然后跳转回原地址继续分享。但在微信分享勾选“默认抹除照片位置”、“默认抹除照片拍摄信息”和“开启安全分享标识”三个权限时时，这样分享就会触发三方应用分享次数上限。最终 MIUI12 在微信上被迫下线了这个功能。