還記得兩年前的“谷歌天價罰單”和“史上最嚴隱私保護法案”嗎？

　　2018 年 5 月，歐盟通過了新的《通用數(shù)據(jù)保護條例要求》，也就是大名鼎鼎的 GDPR。嚴苛的法規(guī)要求，加上一上來就拿谷歌“祭刀”，消息傳到國內(nèi)自然驚起了不少風浪。

　　一時間，無數(shù)媒體都在發(fā)聲討論一件事：如此嚴格的隱私保護法案之下，中國科技企業(yè)，尤其是互聯(lián)網(wǎng)和 AI 這些跟個人數(shù)據(jù)息息相關的行業(yè)，很可能淪為 GDPR 重災區(qū)。

　　兩年時間就快過去，GDPR 之下中國科技公司的真實生存狀況如何？這座隱私保護的大山真的無從翻越嗎？

　　踟躕：GDPR 面前的科技企業(yè)

　　與國內(nèi)媒體的“預言”不同，中國科技公司似乎并沒有遭受 GDPR 多少“實質(zhì)性打擊”。唯獨抖音海外版 TikTok 去年 7 月被爆出因違反 GDPR，可能面對高達 2260 萬美元的罰單。

　　與之相對，F(xiàn)acebook、推特、微軟、蘋果、谷歌等美國科技巨頭卻無一幸免，全都或多或少違反了 GDPR，遭遇不同程度的“罰刀”。據(jù)不完全統(tǒng)計，在近兩年時間內(nèi)因違反 GDPR 而被開出的罰單已經(jīng)達到了 1.26 億美元，美國科技公司在其中做出了主要貢獻。

　　然而觸雷者較少并不值得欣慰，實際上中國科技公司僅有極少數(shù)通過了 GDPR 認證，偶見手機、無人機等國產(chǎn)硬件通過 GDPR，在持續(xù)打開歐洲市場。但互聯(lián)網(wǎng)、數(shù)據(jù)服務、AI 相關的軟件類業(yè)務，卻很難在 GDPR 認證列表里找到身影。

　　或許可以這么說，中國科技公司選擇了繞開 GDPR，GDPR 整體上看成為了中國科技公司去往歐洲市場的休止符。

　　在中國科技公司選擇避開歐洲市場的日子里，我們還要回到問題的起源：GDPR 為什么讓他們?nèi)绱祟^疼？

　　丈山：GDPR 怎么它就那么難

　　這個“史上最嚴”究竟有幾斤幾兩？

　　從規(guī)則而言，GDPR 把隱私數(shù)據(jù)的相關權力全部歸于最終用戶，把問責目標完全鎖定在收集、存儲和使用數(shù)據(jù)的軟件平臺上。

　　這個邏輯讓個人用戶聽來歡欣鼓舞，但極致化的規(guī)范在執(zhí)行中卻要面對一系列問題。

　　比如說 GDPR 擴大了“隱私”定義的范疇。一些常規(guī)數(shù)據(jù)，比如地理位置、Cookie 數(shù)據(jù)、醫(yī)療保健和生物遺傳數(shù)據(jù)等等都被納入保護范疇，這讓很多與智能推薦相關的應用無從談起。

　　再有，GDPR 主張用戶擁有一系列的個人數(shù)據(jù)主權，比如能夠進行數(shù)據(jù)訪問、數(shù)據(jù)整改、數(shù)據(jù)可移植和可刪除等等，平臺需要確保用戶能夠隨時行使自己的數(shù)據(jù)主權。而改變帶來的企業(yè)成本增加，則不在 GDPR 的考慮范疇，尤其是 GDPR 要求保存、使用數(shù)據(jù)的歷史都要有書面記錄，并將信息提供給數(shù)據(jù)保護機構，由此帶來繁瑣的工作可想而知。

　　用戶權利和平臺責任的無限放大，導致 GDPR 成為了一種細則眾多，稍不留神就會觸犯的法規(guī)體系。并會導致眾多企業(yè)在隱私合規(guī)領域的成本過多，這既包括技術、法務、管理流程成本，也包括采購和供應商的監(jiān)管成本。對于初創(chuàng)型的公司來說，可能根本無法聘用到足夠支撐 GDPR 合規(guī)的團隊。

　　結果就是，GDPR 面前，一大批創(chuàng)業(yè)公司倒閉，美國公司交罰款，中國公司望而卻步。

　　攀者：GDPR 的中國式突圍

　　縱然有千般不易，科技全球化的車輪始終沒有停下過轉動。

　　GDPR 雖把歐盟市場隔離為數(shù)據(jù)隱私保護的高山，但依舊有不少公司成功攀越。兩年過去，翻山越嶺的案例，也在漸漸給中國科技產(chǎn)業(yè)趟出路的痕跡?？梢詮膸讉€案例里，看到中國公司想要通過 GDPR 需要具備的條件。

　　1、去年 9 月華為 EMUI10 關鍵特性獲得了 ePrivacySeal 證書，通過了 GDPR 隱私合規(guī)認證。所謂 ePrivacySeal，是一家德國個人數(shù)據(jù)保護法律和技術專家檢測機構 ePrivacy 提供的認證，被廣泛用于 GDPR 所需的第三方機構認證。

　　EMUI10 的關鍵特性改變，在于構建了安全隔離系統(tǒng) TEE OS，從而將用戶的指紋、人臉等生物信息置放到安全系統(tǒng)中進行加密、驗證、存儲等處理，決不上傳云端。終端系統(tǒng)隔離+云端數(shù)據(jù)脫敏，成為符合 GDPR 的主要邏輯方案之一。

　　2、就在今年 2 月初，國內(nèi)著名 AI 獨角獸公司第四范式旗下的先知(4paradigm Sage)企業(yè)級 AI 平臺完成了 ePrivacySeal 認證工作程序，通過 GDPR 認證。從而成為了國內(nèi)第一款通過 GDPR 認證的 AI 軟件類產(chǎn)品。

　　第四范式能夠在眾多 AI 公司中率先過關，與其本身服務金融等高敏行業(yè)的管理服務經(jīng)驗，以及全球化的出海經(jīng)驗有關。但 AI 技術的差異化也構成了其通過 GDPR 的主要原因。

　　在第四范式通過 GDPR 涉及到的眾多 AI 技術中，差分隱私算法扮演了關鍵角色。所謂差分隱私，是指在數(shù)據(jù)查詢、分析的過程中，對數(shù)據(jù)操作中的某些步驟注入噪聲、混淆，使得數(shù)據(jù)結果與數(shù)據(jù)源之間實現(xiàn)脫敏，獲得差分隱私保證。

　　差分隱私、聯(lián)邦學習等隱私保護技術，近年已經(jīng)成為了 AI 行業(yè)關注的重點。這些技術的基礎邏輯，類似于人類經(jīng)常會記住某件事，但忘記了到底是誰做的這件事。AI 基于數(shù)據(jù)得出的一些結論被應用，是可以被大家接受的方式，因為這些結論并沒有記錄個人具體的數(shù)據(jù)。而第四范式的差分隱私算法，與其它差分隱私工作相比，在獲得相同隱私保護強度的情況下，能得到更有效的分析結論。這在注重隱私數(shù)據(jù)保護的市場上，就成為了 AI 平臺新的競爭差異化手段。

　　3、阿里云分享的 GDPR 應對經(jīng)驗中，則注重強調(diào)“多模塊搭建”的重要性。阿里云看來，GDPR 合規(guī)的主要難點在于應對 GDPR 帶來的繁瑣細則和動態(tài)責任。這種情況下，必須讓企業(yè)每一個流程和業(yè)務板塊都變成“安全部門”，這樣拼接起來，才能夠鑄成整體應對 GDPR 的方案。

　　各式各樣的“中國突圍”，逐漸總結出了技術和管理上的 GDPR 應對方法。同時，這些“壯舉”又有另一重含義：如果某一天，中國有了自己的 GDPR，中國的科技公司準備好了嗎？

　　回眺：從 GDPR 照見中國科技的隱私保護之路

　　去年 12 月，全國人大常委會法工委發(fā)言人岳仲明表示，今年中國將制定個人信息保護法、數(shù)據(jù)安全法等。

　　這意味著 2020 年中國積壓已久的個人數(shù)據(jù)隱私保護問題將再次成為社會重點。新的法規(guī)環(huán)境之下，科技產(chǎn)業(yè)將迎來全新變化。AI 技術能夠提升企業(yè)品質(zhì)和經(jīng)營效率，這已經(jīng)是不爭的事實。但在這一過程中如何確保企業(yè)和行業(yè)數(shù)據(jù)安全合規(guī)應用，避免出現(xiàn)移動互聯(lián)網(wǎng)發(fā)展初期驟然增加的數(shù)據(jù)隱私問題，是擺在中國社會面前的一道新題目。

　　從 GDPR 實行以來的這兩年，結合上述幾家中國科技企業(yè)在 GDPR 環(huán)境下的探索，可以總結出相對契合中國隱私保護之路的幾條經(jīng)驗：

　　1、數(shù)據(jù)責權的木桶原則。

　　就在剛剛，5.38 億條微博用戶信息被爆出泄露之后，微博安全總監(jiān)羅詩堯的回復是“2019 年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網(wǎng)上抓來的，大家洗洗睡吧，別亂分析了”。

　　我們可以對照一下 GDPR 的無差別問責原則：因為是“通訊錄上傳接口暴力匹配”，被泄露信息的用戶就只能洗洗睡嗎？至少在 GDPR 環(huán)境下絕不僅僅如此。

　　在數(shù)據(jù)外泄的原因中，不乏暴力匹配、撞庫、第三方數(shù)據(jù)庫泄露與非技術流程泄露等，而 GDPR 對此的判定是平臺全責，平臺在被質(zhì)詢時必須拿出數(shù)據(jù)記錄和解決方案。而不是表示泄露不是由于技術原因，你們洗洗睡吧。

　　數(shù)據(jù)可能在木桶最短的地方被泄露，如何擋住這種可能，大概是我們需要從 GDPR 強大且完備的體系中最迫切學習的內(nèi)容。數(shù)據(jù)平臺是安保公司，而不是一座金庫，只有明確了這件事，才能避免出現(xiàn)“天天說安全，天天都泄露”。

　　2、技術為徑。

　　如果深究一下第四范式這家公司翻過 GDPR 大山的原因，還可以發(fā)現(xiàn)另一個趨勢正在冉冉興起：隱私數(shù)據(jù)保護與 AI 技術發(fā)展之間，并非不可調(diào)和的矛盾。第四范式通過差分隱私保護、自動多方機器學習、聯(lián)邦學習等方案，可以兼得“保護用戶隱私”及“基于數(shù)據(jù)得出更優(yōu)的分析結論”。AI 技術公司也并沒有被 GDPR 徹底將死，反而幫助其服務的眾多企業(yè)用戶解決了 GDPR 過于繁瑣的問題——GDPR 的細則繁冗且全面，經(jīng)常缺乏可實施性，然而在 AI 算法工程師來看，其中眾多細則無非關于數(shù)據(jù)的存儲和調(diào)用，而用新的 AI 算法說不定就徹底規(guī)避了這些問題，達成“四兩撥千斤”的效果。

　　借助中國 AI 產(chǎn)業(yè)突飛猛進的優(yōu)勢，或許中國科技產(chǎn)業(yè)可以用更智能、更高技術探索性的方案來確保用戶隱私，實現(xiàn)隱私保護領域的“中國突圍”。

　　3、平衡點。

　　從目前國內(nèi)的數(shù)據(jù)安全法來看，短期內(nèi)它像 GDPR 一樣精細和嚴苛的概率微乎其微。因為 GDPR 在執(zhí)行的兩年過程中，確實成為了眾多初創(chuàng)科技公司的殺手，甚至技術發(fā)展的阻礙。

　　在進一步推動數(shù)據(jù)隱私嚴格化的過程里，要警惕一刀切式管理帶給企業(yè)的無限負擔。而是盡量以政策引導為主，在隱私保護與企業(yè)創(chuàng)造性保護之間求得平衡。客觀來說，中國的科技環(huán)境更加鼓勵企業(yè)先行嘗試，歐洲則一定要優(yōu)先確立邊界。中國的科技環(huán)境雖然暴露了很多問題，但也提供了高速發(fā)展的必要條件。

　　過去的兩年中國科技公司和 GDPR 之間并沒有發(fā)生太多故事。但這本身也是一段故事。比如說僅有的成功翻山者，也證明了中國企業(yè)適配 GDPR 的可行性，展示出智能技術在解決隱私問題方面的“中國突圍”。

　　歸根結底，隱私數(shù)據(jù)保護雖然必須根據(jù)社會形態(tài)發(fā)展來調(diào)整，但中國終將會走到 GDPR 那一步，甚至更嚴格更具體。數(shù)據(jù)和智能，最終會讓每個人都覺得舒服和安全，而不是二選其一。

　　我們要為那一天做好準備，枕戈待旦，而不是沒事的時候就洗洗睡了。