首页 > 财经频道 > 正文

翻越山丘:中国科技公司面对GDPR的这两年

2020年03月24日 17:45
来源: 脑极体

东方财富APP

  • 方便,快捷
  • 手机查看财经快讯
  • 专业,丰富
  • 一手掌握市场脉搏

手机上阅读文章

  • 提示:
  • 微信扫一扫
  • 分享到您的
  • 朋友圈

原标题:翻越山丘:中国科技公司面对GDPR的这两年

  还记得两年前的“谷歌天价罚单”和“史上最严隐私保护法案”吗?

  2018 年 5 月,欧盟通过了新的《通用数据保护条例要求》,也就是大名鼎鼎的 GDPR。严苛的法规要求,加上一上来就拿谷歌“祭刀”,消息传到国内自然惊起了不少风浪。

  一时间,无数媒体都在发声讨论一件事:如此严格的隐私保护法案之下,中国科技企业,尤其是互联网和 AI 这些跟个人数据息息相关的行业,很可能沦为 GDPR 重灾区。

  两年时间就快过去,GDPR 之下中国科技公司的真实生存状况如何?这座隐私保护的大山真的无从翻越吗?

  踟蹰:GDPR 面前的科技企业

  与国内媒体的“预言”不同,中国科技公司似乎并没有遭受 GDPR 多少“实质性打击”。唯独抖音海外版 TikTok 去年 7 月被爆出因违反 GDPR,可能面对高达 2260 万美元的罚单。

  与之相对,Facebook、推特微软苹果、谷歌等美国科技巨头却无一幸免,全都或多或少违反了 GDPR,遭遇不同程度的“罚刀”。据不完全统计,在近两年时间内因违反 GDPR 而被开出的罚单已经达到了 1.26 亿美元,美国科技公司在其中做出了主要贡献。


  然而触雷者较少并不值得欣慰,实际上中国科技公司仅有极少数通过了 GDPR 认证,偶见手机、无人机等国产硬件通过 GDPR,在持续打开欧洲市场。但互联网、数据服务、AI 相关的软件类业务,却很难在 GDPR 认证列表里找到身影。

  或许可以这么说,中国科技公司选择了绕开 GDPR,GDPR 整体上看成为了中国科技公司去往欧洲市场的休止符。

  在中国科技公司选择避开欧洲市场的日子里,我们还要回到问题的起源:GDPR 为什么让他们如此头疼?

  丈山:GDPR 怎么它就那么难

  这个“史上最严”究竟有几斤几两?

  从规则而言,GDPR 把隐私数据的相关权力全部归于最终用户,把问责目标完全锁定在收集、存储和使用数据的软件平台上。

  这个逻辑让个人用户听来欢欣鼓舞,但极致化的规范在执行中却要面对一系列问题。

  比如说 GDPR 扩大了“隐私”定义的范畴。一些常规数据,比如地理位置、Cookie 数据、医疗保健和生物遗传数据等等都被纳入保护范畴,这让很多与智能推荐相关的应用无从谈起。

  再有,GDPR 主张用户拥有一系列的个人数据主权,比如能够进行数据访问、数据整改、数据可移植和可删除等等,平台需要确保用户能够随时行使自己的数据主权。而改变带来的企业成本增加,则不在 GDPR 的考虑范畴,尤其是 GDPR 要求保存、使用数据的历史都要有书面记录,并将信息提供给数据保护机构,由此带来繁琐的工作可想而知。

  用户权利和平台责任的无限放大,导致 GDPR 成为了一种细则众多,稍不留神就会触犯的法规体系。并会导致众多企业在隐私合规领域的成本过多,这既包括技术、法务、管理流程成本,也包括采购和供应商的监管成本。对于初创型的公司来说,可能根本无法聘用到足够支撑 GDPR 合规的团队

  结果就是,GDPR 面前,一大批创业公司倒闭,美国公司交罚款,中国公司望而却步。

  攀者:GDPR 的中国式突围

  纵然有千般不易,科技全球化的车轮始终没有停下过转动。

  GDPR 虽把欧盟市场隔离为数据隐私保护的高山,但依旧有不少公司成功攀越。两年过去,翻山越岭的案例,也在渐渐给中国科技产业趟出路的痕迹。可以从几个案例里,看到中国公司想要通过 GDPR 需要具备的条件。

  1、去年 9 月华为 EMUI10 关键特性获得了 ePrivacySeal 证书,通过了 GDPR 隐私合规认证。所谓 ePrivacySeal,是一家德国个人数据保护法律和技术专家检测机构 ePrivacy 提供的认证,被广泛用于 GDPR 所需的第三方机构认证。

  EMUI10 的关键特性改变,在于构建了安全隔离系统 TEE OS,从而将用户的指纹、人脸等生物信息置放到安全系统中进行加密、验证、存储等处理,决不上传云端。终端系统隔离+云端数据脱敏,成为符合 GDPR 的主要逻辑方案之一。

  2、就在今年 2 月初,国内著名 AI 独角兽公司第四范式旗下的先知(4paradigm Sage)企业级 AI 平台完成了 ePrivacySeal 认证工作程序,通过 GDPR 认证。从而成为了国内第一款通过 GDPR 认证的 AI 软件类产品

  第四范式能够在众多 AI 公司中率先过关,与其本身服务金融等高敏行业的管理服务经验,以及全球化的出海经验有关。但 AI 技术的差异化也构成了其通过 GDPR 的主要原因。

  在第四范式通过 GDPR 涉及到的众多 AI 技术中,差分隐私算法扮演了关键角色。所谓差分隐私,是指在数据查询、分析的过程中,对数据操作中的某些步骤注入噪声、混淆,使得数据结果与数据源之间实现脱敏,获得差分隐私保证

  差分隐私、联邦学习等隐私保护技术,近年已经成为了 AI 行业关注的重点。这些技术的基础逻辑,类似于人类经常会记住某件事,但忘记了到底是谁做的这件事。AI 基于数据得出的一些结论被应用,是可以被大家接受的方式,因为这些结论并没有记录个人具体的数据。而第四范式的差分隐私算法,与其它差分隐私工作相比,在获得相同隐私保护强度的情况下,能得到更有效的分析结论。这在注重隐私数据保护的市场上,就成为了 AI 平台新的竞争差异化手段。

  3、阿里云分享的 GDPR 应对经验中,则注重强调“多模块搭建”的重要性。阿里云看来,GDPR 合规的主要难点在于应对 GDPR 带来的繁琐细则和动态责任。这种情况下,必须让企业每一个流程和业务板块都变成“安全部门”,这样拼接起来,才能够铸成整体应对 GDPR 的方案。

  各式各样的“中国突围”,逐渐总结出了技术和管理上的 GDPR 应对方法。同时,这些“壮举”又有另一重含义:如果某一天,中国有了自己的 GDPR,中国的科技公司准备好了吗?

  回眺:从 GDPR 照见中国科技的隐私保护之路

  去年 12 月,全国人大常委会法工委发言人岳仲明表示,今年中国将制定个人信息保护法、数据安全法等。

  这意味着 2020 年中国积压已久的个人数据隐私保护问题将再次成为社会重点。新的法规环境之下,科技产业将迎来全新变化。AI 技术能够提升企业品质和经营效率,这已经是不争的事实。但在这一过程中如何确保企业和行业数据安全合规应用,避免出现移动互联网发展初期骤然增加的数据隐私问题,是摆在中国社会面前的一道新题目。

  从 GDPR 实行以来的这两年,结合上述几家中国科技企业在 GDPR 环境下的探索,可以总结出相对契合中国隐私保护之路的几条经验:

  1、数据责权的木桶原则。

  就在刚刚,5.38 亿条微博用户信息被爆出泄露之后,微博安全总监罗诗尧的回复是“2019 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的,大家洗洗睡吧,别乱分析了”。

  我们可以对照一下 GDPR 的无差别问责原则:因为是“通讯录上传接口暴力匹配”,被泄露信息的用户就只能洗洗睡吗?至少在 GDPR 环境下绝不仅仅如此。

  在数据外泄的原因中,不乏暴力匹配、撞库、第三方数据库泄露与非技术流程泄露等,而 GDPR 对此的判定是平台全责,平台在被质询时必须拿出数据记录和解决方案。而不是表示泄露不是由于技术原因,你们洗洗睡吧。

  数据可能在木桶最短的地方被泄露,如何挡住这种可能,大概是我们需要从 GDPR 强大且完备的体系中最迫切学习的内容。数据平台是安保公司,而不是一座金库,只有明确了这件事,才能避免出现“天天说安全,天天都泄露”。

  2、技术为径。

  如果深究一下第四范式这家公司翻过 GDPR 大山的原因,还可以发现另一个趋势正在冉冉兴起:隐私数据保护与 AI 技术发展之间,并非不可调和的矛盾。第四范式通过差分隐私保护、自动多方机器学习、联邦学习等方案,可以兼得“保护用户隐私”及“基于数据得出更优的分析结论”。AI 技术公司也并没有被 GDPR 彻底将死,反而帮助其服务的众多企业用户解决了 GDPR 过于繁琐的问题——GDPR 的细则繁冗且全面,经常缺乏可实施性,然而在 AI 算法工程师来看,其中众多细则无非关于数据的存储和调用,而用新的 AI 算法说不定就彻底规避了这些问题,达成“四两拨千斤”的效果。

  助中国 AI 产业突飞猛进的优势,或许中国科技产业可以用更智能、更高技术探索性的方案来确保用户隐私,实现隐私保护领域的“中国突围”。

  3、平衡点。

  从目前国内的数据安全法来看,短期内它像 GDPR 一样精细和严苛的概率微乎其微。因为 GDPR 在执行的两年过程中,确实成为了众多初创科技公司的杀手,甚至技术发展的阻碍。

  在进一步推动数据隐私严格化的过程里,要警惕一刀切式管理带给企业的无限负担。而是尽量以政策引导为主,在隐私保护与企业创造性保护之间求得平衡。客观来说,中国的科技环境更加鼓励企业先行尝试,欧洲则一定要优先确立边界。中国的科技环境虽然暴露了很多问题,但也提供了高速发展的必要条件。

  过去的两年中国科技公司和 GDPR 之间并没有发生太多故事。但这本身也是一段故事。比如说仅有的成功翻山者,也证明了中国企业适配 GDPR 的可行性,展示出智能技术在解决隐私问题方面的“中国突围”。

  归根结底,隐私数据保护虽然必须根据社会形态发展来调整,但中国终将会走到 GDPR 那一步,甚至更严格更具体。数据和智能,最终会让每个人都觉得舒服和安全,而不是二选其一。

  我们要为那一天做好准备,枕戈待旦,而不是没事的时候就洗洗睡了。

(文章来源:脑极体)

(责任编辑:DF207)

郑重声明:东方财富网发布此信息的目的在于传播更多信息,与本站立场无关。
4417人参与讨论 我来说两句… 举报
您可能感兴趣
  • 焦点
  • 股票
  • 全球
  • 港股
  • 美股
  • 期货
  • 外汇
  • 生活
    点击查看更多
    没有更多推荐
    • 名称
    • 最新价
    • 涨跌幅
    • 换手率
    • 资金流入
    请下载东方财富产品,查看实时行情和更多数据
    郑重声明:东方财富网发布此信息的目的在于传播更多信息,与本站立场无关。东方财富网不保证该信息(包含但不限于文字、视频、音频、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担。

    扫一扫下载APP

    扫一扫下载APP
    信息网络传播视听节目许可证:0908328号 经营证券期货业务许可证编号:913101046312860336 违法和不良信息举报:021-34289898 举报邮箱:jubao@eastmoney.com
    沪ICP证:沪B2-20070217 网站备案号:沪ICP备05006054号-11 沪公网安备 31010402000120号 版权所有:东方财富网 意见与建议:021-54509966/952500