小米IoT安全峰会—朱玲凤《小米 IoT 隐私数据合规实践》

2018 年 12 月 5 日 小米安全中心

我们分享的第二个重磅内容，来自小米隐私委员会的朱玲凤律师带来的——《小米IoT隐私数据合规实践》。

截止目前，小米 IoT 已经在全球布局超过200个国家和地区。在这个过程中，我们第一个遇到的问题就是隐私数据合规到底是不是必要的？来看一个小例子，LinkedIn 在俄罗斯被法院决定禁止提供服务，原因就是因为俄罗斯公民个人资料必须存储在本国服务器上，而 LinkedIn 却违反了这项法令。再看今年影响非常大对 Facebook 隐私门事件，它的数据以 API 的方式输出给第三方，拿数据的时候说是科研目的，但是最后却被用于政治大选作为定向广告使用，导致 Facebook 7月20号公布季报之后市值大幅度下跌。

GDPR非常严肃也非常可怕，但是我们很奇怪的发现，GDPR生效之后，谷歌相比其他的广告供应商来说市场份额反而提高了。这是为什么？因为GDPR对于广告主数据控制主的责任和义务是很重的，一不小心就会出现像 Facebook 这样把数据提供给第三方的情况。因为不靠谱的第三方把数据泄露了，导致了数据控制主承担高额的赔偿款，所以他们会选择大公司成为合作伙伴，很多小公司就难以维持生计。

这几个例子我们结合起来看，在很多情况下隐私数据决定了一个公司在这个国家的生存。再来看一下GDPR之后，隐私数据法律发展的动态。

首先看一下GDPR，GDPR是一般数据保护法律规定，在以前欧盟是一个指令并没有强制性，必须由各国落实到本地法，并由本国的执法机构进行执法才能生效。但是GDPR之后欧盟都是统一的执法了，它有两个很大的特点，一个是强大的域外适用效率，然后有一个高额赔偿款。

我们再看一下GDPR的执法是什么情况？在GDPR生效之前，各国的执法力度是不同的，有一些国家像德国、法国、英国是比较激进的执法，有些像爱尔兰这样的国家相对比较温和。但是，GDPR之后各国的态度都不一样了，都在积极地按照GDPR的规定进行执法。

我们看下法国这个例子，GDPR是5月25号生效，5月26号隐私保护组织就把谷歌告到了法国的数据保护主管当局，认为它的隐私政策里面包含了要求用户强制同意的内容。德国是认为域名注册机构收集了技术和管理人员的联系方式，超过了必需的数据。英国的案例跟剑桥分析的非常类似，AIQ是一个在线广告公司，从广告主拿到了数据，进行了分析，但是用户并不知道数据被提供给AIQ，也不知道被用于这个用途，违反了数据处理的合法基础。爱尔兰的例子就是Facebook的例子，有5000万的用户信息被泄露了，但是并未给当局通知。

GDPR相当于给全球做了一个隐私数据的保护启蒙，我简单罗列一下6—9月的动态。美国加州颁布了2018加州消费者隐私法案，巴西立马仿照GDPR出台了一个数据保护法，西班牙、英国都是参照GDPR来做这个事情，连印度也发布了自己的数据保护法草案。

我们挑几个典型说一下，这是印度，我们原来一直认为它的水平基本上跟发展中国家保持一致。它在2011年的时候颁布了一个SPDI，就是针对敏感数据的法律，是一个基本持平的保护水平。但是到了2017年，印度整体趋势做了一个180度大转弯，最高法院一致认定隐私权是宪法保护的权利和自由，抬得很高。2017年成立了专家委员会，颁布了数据保护白皮书，说的是我们印度要成立发布自己的个人数据保护法了。这里面提了200多个问题，向公众征集意见，问印度的隐私保护法水平到底应该定在哪里，规定内容应该是什么样的。结果不到一年的时间，2018年草案就颁布了。法律规定内容跟GDPR具有高度的相似，其实就是以印度的企业从60分直接要奔到200分的程度，甚至有些规定超过GDPR，要求每个企业每年做隐私数据的评审和审计，并把审计得出的分数写在隐私政策里。大家可以想像一下，如果你的隐私政策里写上一年的评审分数满分是100分的情况下，你是40分，用户看到之后还会用你的服务吗？显然不会，所以他这方面的规定是很严格的。

再看美国加州的法律规定是我们称之为的GDPR 2.0，为什么这么说呢？其中一些规则与GDPR类似，但是有些规则很有意思，比如多了一个选择退出权。当你数据控制主以商业目的分享数据给第三方，或者出售用户数据给第三方时，要向用户发通知，并且用户有权拒绝。我们其实想一个案例，现在常见的是广告是互联网平台最主要的赚钱方式，我们需要在这个平台上把效果告诉广告主，哪些用户点了广告，或者看了广告，但是如果按照这个法律执行，你在告诉广告主这个效果之前，你得先问问用户，我的数据给广告主，你有没有反对？这是不是加重了业务运转模式，导致其受到了很大的阻碍。

刚才我也提到各国的法律规定都不太一样，那么我们应该怎么做？是说我今天有200个国家，我就应该按照200个国家的法律规定确保我产品合规吗？其实不是，我们一般的产品全球就是同一个版本，所以我们要分析一下各国的法律是不是有趋同性。

在GDPR之后，我们发现大多数国家完全趋近于GDPR的规则。即使法律体系和原则是不一样的，但是规则非常类似。所以，我们一般推荐大家参照GDPR，或者是参照GDPR的水平稍微降低一点点的法律规定来作为你合规的基准。

确立法律合规基准之后，我们应该知道自己的用户数据怎么来的，怎么用的，这样才能知道我们跟法律的差距在哪。我们一般推荐的方式是首先通过一个问卷，让开发同学填写一下你收了什么数据，这个数据你为什么收，收的时候有没有经过用户同意，通过这样的问卷方式，我们可以进一步去确定我们的数据收集使用的情况，构建基于个人信息生命周期的个人信息映射表。当这个表出来的时候，我们已经能知道跟我们法律规定的差距到底有多少，可以针对这个差距来制定我们下一步应该怎么改。

改进分两个层面，一是在产品端进行调整，这是对外的。对内是一个公司制度上调整，保证这些调整能够落实到公司制度当中，管理好人。

首先看一下产品中的隐私机制的调整。举个例子，有用过我们小米IoT合规实践服务的同学就知道，我们小米有三套标准，通用、GDPR和韩国，为什么韩国单列？因为韩国是隐私保护水准非常高的国家，它的要求数据收集必须遵守必要最小原则。怎么体现呢？它要求开发者把必要收集的数据和可以收集提供增值服务的数据直接区分开，分别获得用户同意，用户可以区分去进行同意。而不是像中国的APP一样，我不同意给数据，这个APP就不让我用了，它要求区分开。

那么公司内部的企业合规制度应该怎么建立呢？我根据经验整理了一些比较实用的方法论。