近日,工業和資訊化部資訊通訊管理局公佈了2023移動網際網路應用服務能力提升優秀案例,旨在落實《工業和資訊化部關於進一步提升移動網際網路應用服務能力的通知》(工信部信管函〔2023〕26號,簡稱26號文)相關要求,聚焦最佳化服務體驗、強化管理能力、建設行業生態等三方面10項要求。在客觀真實、創新引領、具有實效的評選原則下,百度安全“全流程合規管理實踐探索:移動應用全生命週期隱私與安全管控”入選“完善制度規程,加強全流程合規管理” 領域優秀案例。
作為一家擁有強大網際網路基礎的領先AI公司,在技術創新與科技創新的道路上,百度以“不辜負每一份信任”為承諾,始終將使用者對產品安全、資料安全、隱私安全的要求與期待牢記在心。在此背景下,百度建立個人資訊保護工程化,也稱為隱私安全工程(privacy security engineering),是將個人資訊保護和個人資料安全關注點整合到系統和軟體生命週期過程的工程實踐。在此案例中,百度安全為系統化解決移動產品隱私安全問題,將隱私保護、資料安全、Privacy By Design等要求及理念納入到移動產品全生命週期SDL中,全面覆蓋需求、設計、開發、測試、釋出、運營、響應等階段,把技術工具和流程管理相結合,一方面實現了隱私風險管控前置,儘可能讓風險在早期階段被識別,避免後期花費大量的人力財力物力進行整改,另一方面將網路安全“縱深防禦”的思想引入,形成多層次、多措施的隱私管控策略,有助於減輕單一安全措施被繞過或漏檢的風險。進而提升產品應用服務合規能力,保護使用者權益。
百度隱私安全工程化建設將個人資訊保護貫穿軟體生命週期各環節,重視在需求階段一開始便透過PIA評估和第三方SDK評估指導產品設計;在開發階段,執行安全編碼規範和整合安全能力,來增強產品的安全性和抵禦風險;在測試階段,利用史賓格技術開展自動和人工聯合檢測等,確保產品在測試階段符合相關的合規性要求;在運營階段,建立資產和行為監控,釋出嚴格的合規管理規範;此外,既在培訓環節增強員工隱私意識和技能水平,還在應急處置上,建立APP合規臺賬和GRC合規風險治理平臺,全面響應各類隱私問題報告。以此,從源頭到產品上線使用的全過程中,致力於各個重要環節的隱私安全防護,採取多措並舉來提升產品安全合規效能力,有效地推動隱私工程落地。
史賓格安全及隱私合規平臺是基於AI能力的安全/隱私問題檢測及動態分析平臺。在百度隱私基準測試中,檢測內容覆蓋隱私政策檢測、個人資訊收集與使用檢測、使用者權利保障等多重維度,可精準識別APP違規風險點、深度挖掘風險產生的源頭,助力集團APP合規。
百度安全隱私安全工程化建設專案,落實了相關的法律法規和隱私保護標準,提升了企業及相關產業鏈的整體合規性,為行業樹立了良好榜樣,並推動企業以使用者為中心進行創新,透過安全合規、合理透明的資料流轉,既幫助企業基於資料驅動創新與決策,又重視使用者隱私和資料保護,贏得了使用者及公眾的認可。