隐私保护在物联网实施中的挑战和实践经验

2018年11月28日至11月29日，全球最大的隐私保护组织IAPP（International Association of Privacy Professionals）在比利时布鲁塞尔举办欧洲数据保护大会，本次会议以推进个人数据保护为目的。华为欧盟副数据保护官Joerg Thomas参加了此次会议，并且和德国斐石（Fieldfisher）律所的Felix Wittern博士一起以“隐私保护在物联网实施中的挑战和实践经验”为主题做了专题发言。

IoT（Internet of Things）等新技术的应用场景日愈成熟，为人们带来万物互联的数字生活方式，但安全和隐私保护问题却一直都是新场景中的难点和桎梏。由于万物互联把数据的收集和分析的触角延伸到人们生活的各种场景，所以安全和个人数据的保护不善威胁的不仅仅是物理终端设备，而是人们的真实生活和生命财产。在IoT场景下，我们面临的三大安全和隐私挑战分别是：终端认证，网络攻击预防和家庭个人数据保护。IoT终端设备发货到用户家中后升级较困难，因此添加或更新安全功能很困难，需要较早的预埋安全解决方案。Joerg分享了华为对隐私保护合规的理解与实践，包括全球统一的隐私合规框架，隐私增强技术（PET，Privacy Enhancing Technologies）等。会议吸引了大量隐私保护从业人士现场参加，并引起了大家的积极回应和一致认同。

2018年5月25日生效的欧盟GDPR（ General Data Protection Regulation，通用数据保护条例），成为全球隐私保护立法的示范，也为物联网的数据保护实施提出了更高的要求，安全和隐私保护的保障机制需要在每一个数字化场景中构建。如AI（人工智能，Artificial Intelligence）会产生大量的自动判决，这是隐私保护的高风险领域，区块链的分散式账本记录方式会导致GDPR所要求的个人数据无法删除，等等。华为作为一家全球公司，不仅关注全球隐私保护立法进程，确保在全球领域的隐私合规运营，我们也会在设计之初就关注和研究新技术的隐私保护和安全问题。我们制定了隐私保护框架，基于不同业务领域的特点，设置差异化的隐私保护目标，满足客户、消费者和雇员的隐私期望。为了保证隐私风险能够系统化的被识别、处置，华为开发了基于业务实践的PIA隐私评估工具，并基于GDPR法律要求制定了个人数据清单模板，以确保业务活动中对个人数据的收集、使用过程的透明化。未来，华为将继续秉承透明、开放的态度，并且积极参与隐私保护方面的知识分享。