翻越山丘：中國(guó)科技公司面對(duì)GDPR的這兩年

原標(biāo)題：翻越山丘：中國(guó)科技公司面對(duì)GDPR的這兩年

還記得兩年前的“谷歌天價(jià)罰單”和“史上最嚴(yán)隱私保護(hù)法案”嗎？

2018年5月，歐盟通過了新的《通用數(shù)據(jù)保護(hù)條例要求》，也就是大名鼎鼎的GDPR。嚴(yán)苛的法規(guī)要求，加上一上來就拿谷歌“祭刀”，消息傳到國(guó)內(nèi)自然驚起了不少風(fēng)浪。

一時(shí)間，無數(shù)媒體都在發(fā)聲討論一件事：如此嚴(yán)格的隱私保護(hù)法案之下，中國(guó)科技企業(yè)，尤其是互聯(lián)網(wǎng)和AI這些跟個(gè)人數(shù)據(jù)息息相關(guān)的行業(yè)，很可能淪為GDPR重災(zāi)區(qū)。

兩年時(shí)間就快過去，GDPR之下中國(guó)科技公司的真實(shí)生存狀況如何？這座隱私保護(hù)的大山真的無從翻越嗎？

踟躕：GDPR面前的科技企業(yè)

與國(guó)內(nèi)媒體的“預(yù)言”不同，中國(guó)科技公司似乎并沒有遭受GDPR多少“實(shí)質(zhì)性打擊”。唯獨(dú)抖音海外版TikTok去年7月被爆出因違反GDPR，可能面對(duì)高達(dá)2260萬美元的罰單。

與之相對(duì)，F(xiàn)acebook、推特、微軟、蘋果、谷歌等美國(guó)科技巨頭卻無一幸免，全都或多或少違反了GDPR，遭遇不同程度的“罰刀”。據(jù)不完全統(tǒng)計(jì)，在近兩年時(shí)間內(nèi)因違反GDPR而被開出的罰單已經(jīng)達(dá)到了1.26億美元，美國(guó)科技公司在其中做出了主要貢獻(xiàn)。

然而觸雷者較少并不值得欣慰，實(shí)際上中國(guó)科技公司僅有極少數(shù)通過了GDPR認(rèn)證，偶見手機(jī)、無人機(jī)等國(guó)產(chǎn)硬件通過GDPR，在持續(xù)打開歐洲市場(chǎng)。但互聯(lián)網(wǎng)、數(shù)據(jù)服務(wù)、AI相關(guān)的軟件類業(yè)務(wù)，卻很難在GDPR認(rèn)證列表里找到身影。

或許可以這么說，中國(guó)科技公司選擇了繞開GDPR，GDPR整體上看成為了中國(guó)科技公司去往歐洲市場(chǎng)的休止符。

在中國(guó)科技公司選擇避開歐洲市場(chǎng)的日子里，我們還要回到問題的起源：GDPR為什么讓他們?nèi)绱祟^疼？

丈山：GDPR怎么它就那么難

這個(gè)“史上最嚴(yán)”究竟有幾斤幾兩？

從規(guī)則而言，GDPR把隱私數(shù)據(jù)的相關(guān)權(quán)力全部歸于最終用戶，把問責(zé)目標(biāo)完全鎖定在收集、存儲(chǔ)和使用數(shù)據(jù)的軟件平臺(tái)上。

這個(gè)邏輯讓個(gè)人用戶聽來歡欣鼓舞，但極致化的規(guī)范在執(zhí)行中卻要面對(duì)一系列問題。

比如說GDPR擴(kuò)大了“隱私”定義的范疇。一些常規(guī)數(shù)據(jù)，比如地理位置、Cookie數(shù)據(jù)、醫(yī)療保健和生物遺傳數(shù)據(jù)等等都被納入保護(hù)范疇，這讓很多與智能推薦相關(guān)的應(yīng)用無從談起。

再有，GDPR主張用戶擁有一系列的個(gè)人數(shù)據(jù)主權(quán)，比如能夠進(jìn)行數(shù)據(jù)訪問、數(shù)據(jù)整改、數(shù)據(jù)可移植和可刪除等等，平臺(tái)需要確保用戶能夠隨時(shí)行使自己的數(shù)據(jù)主權(quán)。而改變帶來的企業(yè)成本增加，則不在GDPR的考慮范疇，尤其是GDPR要求保存、使用數(shù)據(jù)的歷史都要有書面記錄，并將信息提供給數(shù)據(jù)保護(hù)機(jī)構(gòu)，由此帶來繁瑣的工作可想而知。

用戶權(quán)利和平臺(tái)責(zé)任的無限放大，導(dǎo)致GDPR成為了一種細(xì)則眾多，稍不留神就會(huì)觸犯的法規(guī)體系。并會(huì)導(dǎo)致眾多企業(yè)在隱私合規(guī)領(lǐng)域的成本過多，這既包括技術(shù)、法務(wù)、管理流程成本，也包括采購和供應(yīng)商的監(jiān)管成本。對(duì)于初創(chuàng)型的公司來說，可能根本無法聘用到足夠支撐GDPR合規(guī)的團(tuán)隊(duì)。

結(jié)果就是，GDPR面前，一大批創(chuàng)業(yè)公司倒閉，美國(guó)公司交罰款，中國(guó)公司望而卻步。

攀者：GDPR的中國(guó)式突圍

縱然有千般不易，科技全球化的車輪始終沒有停下過轉(zhuǎn)動(dòng)。

GDPR雖把歐盟市場(chǎng)隔離為數(shù)據(jù)隱私保護(hù)的高山，但依舊有不少公司成功攀越。兩年過去，翻山越嶺的案例，也在漸漸給中國(guó)科技產(chǎn)業(yè)趟出路的痕跡?？梢詮膸讉€(gè)案例里，看到中國(guó)公司想要通過GDPR需要具備的條件。

1、去年9月華為EMUI10關(guān)鍵特性獲得了ePrivacySeal證書，通過了GDPR隱私合規(guī)認(rèn)證。所謂ePrivacySeal，是一家德國(guó)個(gè)人數(shù)據(jù)保護(hù)法律和技術(shù)專家檢測(cè)機(jī)構(gòu)ePrivacy提供的認(rèn)證，被廣泛用于GDPR所需的第三方機(jī)構(gòu)認(rèn)證。

EMUI10的關(guān)鍵特性改變，在于構(gòu)建了安全隔離系統(tǒng)TEE OS，從而將用戶的指紋、人臉等生物信息置放到安全系統(tǒng)中進(jìn)行加密、驗(yàn)證、存儲(chǔ)等處理，決不上傳云端。終端系統(tǒng)隔離+云端數(shù)據(jù)脫敏，成為符合GDPR的主要邏輯方案之一。

2、就在今年2月初，國(guó)內(nèi)著名AI獨(dú)角獸公司第四范式旗下的先知(4paradigm Sage)企業(yè)級(jí)AI平臺(tái)完成了ePrivacySeal認(rèn)證工作程序，通過GDPR認(rèn)證。從而成為了國(guó)內(nèi)第一款通過GDPR認(rèn)證的AI軟件類產(chǎn)品。

第四范式能夠在眾多AI公司中率先過關(guān)，與其本身服務(wù)金融等高敏行業(yè)的管理服務(wù)經(jīng)驗(yàn)，以及全球化的出海經(jīng)驗(yàn)有關(guān)。但AI技術(shù)的差異化也構(gòu)成了其通過GDPR的主要原因。

在第四范式通過GDPR涉及到的眾多AI技術(shù)中，差分隱私算法扮演了關(guān)鍵角色。所謂差分隱私，是指在數(shù)據(jù)查詢、分析的過程中，對(duì)數(shù)據(jù)操作中的某些步驟注入噪聲、混淆，使得數(shù)據(jù)結(jié)果與數(shù)據(jù)源之間實(shí)現(xiàn)脫敏，獲得差分隱私保證。

差分隱私、聯(lián)邦學(xué)習(xí)等隱私保護(hù)技術(shù)，近年已經(jīng)成為了AI行業(yè)關(guān)注的重點(diǎn)。這些技術(shù)的基礎(chǔ)邏輯，類似于人類經(jīng)常會(huì)記住某件事，但忘記了到底是誰做的這件事。AI基于數(shù)據(jù)得出的一些結(jié)論被應(yīng)用，是可以被大家接受的方式，因?yàn)檫@些結(jié)論并沒有記錄個(gè)人具體的數(shù)據(jù)。而第四范式的差分隱私算法，與其它差分隱私工作相比，在獲得相同隱私保護(hù)強(qiáng)度的情況下，能得到更有效的分析結(jié)論。這在注重隱私數(shù)據(jù)保護(hù)的市場(chǎng)上，就成為了AI平臺(tái)新的競(jìng)爭(zhēng)差異化手段。

3、阿里云分享的GDPR應(yīng)對(duì)經(jīng)驗(yàn)中，則注重強(qiáng)調(diào)“多模塊搭建”的重要性。阿里云看來，GDPR合規(guī)的主要難點(diǎn)在于應(yīng)對(duì)GDPR帶來的繁瑣細(xì)則和動(dòng)態(tài)責(zé)任。這種情況下，必須讓企業(yè)每一個(gè)流程和業(yè)務(wù)板塊都變成“安全部門”，這樣拼接起來，才能夠鑄成整體應(yīng)對(duì)GDPR的方案。

各式各樣的“中國(guó)突圍”，逐漸總結(jié)出了技術(shù)和管理上的GDPR應(yīng)對(duì)方法。同時(shí)，這些“壯舉”又有另一重含義：如果某一天，中國(guó)有了自己的GDPR，中國(guó)的科技公司準(zhǔn)備好了嗎？

回眺：從GDPR照見中國(guó)科技的隱私保護(hù)之路

去年12月，全國(guó)人大常委會(huì)法工委發(fā)言人岳仲明表示，今年中國(guó)將制定個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等。

這意味著2020年中國(guó)積壓已久的個(gè)人數(shù)據(jù)隱私保護(hù)問題將再次成為社會(huì)重點(diǎn)。新的法規(guī)環(huán)境之下，科技產(chǎn)業(yè)將迎來全新變化。AI技術(shù)能夠提升企業(yè)品質(zhì)和經(jīng)營(yíng)效率，這已經(jīng)是不爭(zhēng)的事實(shí)。但在這一過程中如何確保企業(yè)和行業(yè)數(shù)據(jù)安全合規(guī)應(yīng)用，避免出現(xiàn)移動(dòng)互聯(lián)網(wǎng)發(fā)展初期驟然增加的數(shù)據(jù)隱私問題，是擺在中國(guó)社會(huì)面前的一道新題目。

從GDPR實(shí)行以來的這兩年，結(jié)合上述幾家中國(guó)科技企業(yè)在GDPR環(huán)境下的探索，可以總結(jié)出相對(duì)契合中國(guó)隱私保護(hù)之路的幾條經(jīng)驗(yàn)：

1、數(shù)據(jù)責(zé)權(quán)的木桶原則。

就在剛剛，5.38億條微博用戶信息被爆出泄露之后，微博安全總監(jiān)羅詩堯的回復(fù)是“2019年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網(wǎng)上抓來的，大家洗洗睡吧，別亂分析了”。

我們可以對(duì)照一下GDPR的無差別問責(zé)原則：因?yàn)槭恰巴ㄓ嶄浬蟼鹘涌诒┝ζヅ洹?，被泄露信息的用戶就只能洗洗睡嗎？至少在GDPR環(huán)境下絕不僅僅如此。

在數(shù)據(jù)外泄的原因中，不乏暴力匹配、撞庫、第三方數(shù)據(jù)庫泄露與非技術(shù)流程泄露等，而GDPR對(duì)此的判定是平臺(tái)全責(zé)，平臺(tái)在被質(zhì)詢時(shí)必須拿出數(shù)據(jù)記錄和解決方案。而不是表示泄露不是由于技術(shù)原因，你們洗洗睡吧。

數(shù)據(jù)可能在木桶最短的地方被泄露，如何擋住這種可能，大概是我們需要從GDPR強(qiáng)大且完備的體系中最迫切學(xué)習(xí)的內(nèi)容。數(shù)據(jù)平臺(tái)是安保公司，而不是一座金庫，只有明確了這件事，才能避免出現(xiàn)“天天說安全，天天都泄露”。

2、技術(shù)為徑。

如果深究一下第四范式這家公司翻過GDPR大山的原因，還可以發(fā)現(xiàn)另一個(gè)趨勢(shì)正在冉冉興起：隱私數(shù)據(jù)保護(hù)與AI技術(shù)發(fā)展之間，并非不可調(diào)和的矛盾。第四范式通過差分隱私保護(hù)、自動(dòng)多方機(jī)器學(xué)習(xí)、聯(lián)邦學(xué)習(xí)等方案，可以兼得“保護(hù)用戶隱私”及“基于數(shù)據(jù)得出更優(yōu)的分析結(jié)論”。AI技術(shù)公司也并沒有被GDPR徹底將死，反而幫助其服務(wù)的眾多企業(yè)用戶解決了GDPR過于繁瑣的問題——GDPR的細(xì)則繁冗且全面，經(jīng)常缺乏可實(shí)施性，然而在AI算法工程師來看，其中眾多細(xì)則無非關(guān)于數(shù)據(jù)的存儲(chǔ)和調(diào)用，而用新的AI算法說不定就徹底規(guī)避了這些問題，達(dá)成“四兩撥千斤”的效果。

借助中國(guó)AI產(chǎn)業(yè)突飛猛進(jìn)的優(yōu)勢(shì)，或許中國(guó)科技產(chǎn)業(yè)可以用更智能、更高技術(shù)探索性的方案來確保用戶隱私，實(shí)現(xiàn)隱私保護(hù)領(lǐng)域的“中國(guó)突圍”。

3、平衡點(diǎn)。

從目前國(guó)內(nèi)的數(shù)據(jù)安全法來看，短期內(nèi)它像GDPR一樣精細(xì)和嚴(yán)苛的概率微乎其微。因?yàn)镚DPR在執(zhí)行的兩年過程中，確實(shí)成為了眾多初創(chuàng)科技公司的殺手，甚至技術(shù)發(fā)展的阻礙。

在進(jìn)一步推動(dòng)數(shù)據(jù)隱私嚴(yán)格化的過程里，要警惕一刀切式管理帶給企業(yè)的無限負(fù)擔(dān)。而是盡量以政策引導(dǎo)為主，在隱私保護(hù)與企業(yè)創(chuàng)造性保護(hù)之間求得平衡?？陀^來說，中國(guó)的科技環(huán)境更加鼓勵(lì)企業(yè)先行嘗試，歐洲則一定要優(yōu)先確立邊界。中國(guó)的科技環(huán)境雖然暴露了很多問題，但也提供了高速發(fā)展的必要條件。

過去的兩年中國(guó)科技公司和GDPR之間并沒有發(fā)生太多故事。但這本身也是一段故事。比如說僅有的成功翻山者，也證明了中國(guó)企業(yè)適配GDPR的可行性，展示出智能技術(shù)在解決隱私問題方面的“中國(guó)突圍”。

歸根結(jié)底，隱私數(shù)據(jù)保護(hù)雖然必須根據(jù)社會(huì)形態(tài)發(fā)展來調(diào)整，但中國(guó)終將會(huì)走到GDPR那一步，甚至更嚴(yán)格更具體。數(shù)據(jù)和智能，最終會(huì)讓每個(gè)人都覺得舒服和安全，而不是二選其一。

我們要為那一天做好準(zhǔn)備，枕戈待旦，而不是沒事的時(shí)候就洗洗睡了。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。