今天无意中翻到Uber的2021和2022的ESG报告,在其中【Trust】章节都披露了Uber在数据隐私和安全方面开展了哪些工作,还挺有意思的。
首先,Uber的各类App(Uber、Uber司机和Uber Eats)都有一个隐私中心(Privacy Center),在这里用户能够清楚地知道Uber是如何使用他们的数据,数据在业务逻辑里如何流转,并且用户能够自己控制自己的个人信息。另外,在隐私中心里,用户还能申请自己数据的拷贝、司机查看乘客信息、管理广告配置、行使个人数据权利。
其次,在数据安全方面,Uber重点列举了组织和用户控制与请求的数据,不过2022年比2021年少披露了一组内部项目的数据。左边是2021的数据,右边是2020的数据,可以看到2021年的数据更详实。截止2021年底,Uber专职从事隐私与安全的员工有194人,比上一年度增长了5人,看起来安全团队是非常稳定了。
另外,Uber还说自己除了获得27001认证之外,为了成为美国政府的服务商,还去做了以NIST 800-171为基础的SOC2审计。同时Uber还讲了治理层面公司做了哪些事,包括由CISO和首席隐私官主持的隐私与网络安全委员会能够跨职能监督公司的隐私与网络安全运行、CISO每季度向执行领导团队汇报网络安全风险、审计委员会每季度审阅公司整体网络安全风险、公司董事会全体成员每年都会收到网络安全更新。
最后,Uber还介绍了执法部门和政府如何访问数据。
政府机构可以在一个专门的门户上提交数据申请,Uber组建了7*24小时响应团队来处理。
基本上关于数据隐私与安全的内容就以上这些,整个ESG报告还披露了很多其他内容,比如司乘安全改善、抗疫、员工关怀、节能减排啥的,内容与数据都非常丰富。
最后,这2份报告都很精美,是学习PPT排版的好参考。
报告下载链接:
2021:
https://s23.q4cdn.com/407969754/files/doc\_downloads/2021/07/Uber-2021-ESG-Report.pdf
2022:
https://uber.app.box.com/s/7otjaxo7978mio4x59kqovh47doppg4w
**作者:**韭不黄,十余年来一直混迹于信息安全行业,扛过设备,卖过服务,做过审计,查过黑客,反过欺诈,岁月神偷带走了我的苹果肌,留下了一肚子的瘫软,貌似我将要成为一个油腻的中年男人,不过依然对世界充满好奇,依然是一颗嫩绿的韭菜~
