還記得兩年前的“谷歌天價罰單”和“史上最嚴隱私保護法案”嗎？

　　2018 年 5 月，歐盟通過了新的《通用數據保護條例要求》，也就是大名鼎鼎的 GDPR。嚴苛的法規要求，加上一上來就拿谷歌“祭刀”，消息傳到國內自然驚起了不少風浪。

　　一時間，無數媒體都在發聲討論一件事：如此嚴格的隱私保護法案之下，中國科技企業，尤其是互聯網和 AI 這些跟個人數據息息相關的行業，很可能淪為 GDPR 重災區。

　　兩年時間就快過去，GDPR 之下中國科技公司的真實生存狀況如何？這座隱私保護的大山真的無從翻越嗎？

　　踟躕：GDPR 面前的科技企業

　　與國內媒體的“預言”不同，中國科技公司似乎并沒有遭受 GDPR 多少“實質性打擊”。唯獨抖音海外版 TikTok 去年 7 月被爆出因違反 GDPR，可能面對高達 2260 萬美元的罰單。

　　與之相對，Facebook、推特、微軟、蘋果、谷歌等美國科技巨頭卻無一幸免，全都或多或少違反了 GDPR，遭遇不同程度的“罰刀”。據不完全統計，在近兩年時間內因違反 GDPR 而被開出的罰單已經達到了 1.26 億美元，美國科技公司在其中做出了主要貢獻。

　　然而觸雷者較少并不值得欣慰，實際上中國科技公司僅有極少數通過了 GDPR 認證，偶見手機、無人機等國產硬件通過 GDPR，在持續打開歐洲市場。但互聯網、數據服務、AI 相關的軟件類業務，卻很難在 GDPR 認證列表里找到身影。

　　或許可以這么說，中國科技公司選擇了繞開 GDPR，GDPR 整體上看成為了中國科技公司去往歐洲市場的休止符。

　　在中國科技公司選擇避開歐洲市場的日子里，我們還要回到問題的起源：GDPR 為什么讓他們如此頭疼？

　　丈山：GDPR 怎么它就那么難

　　這個“史上最嚴”究竟有幾斤幾兩？

　　從規則而言，GDPR 把隱私數據的相關權力全部歸于最終用戶，把問責目標完全鎖定在收集、存儲和使用數據的軟件平臺上。

　　這個邏輯讓個人用戶聽來歡欣鼓舞，但極致化的規范在執行中卻要面對一系列問題。

　　比如說 GDPR 擴大了“隱私”定義的范疇。一些常規數據，比如地理位置、Cookie 數據、醫療保健和生物遺傳數據等等都被納入保護范疇，這讓很多與智能推薦相關的應用無從談起。

　　再有，GDPR 主張用戶擁有一系列的個人數據主權，比如能夠進行數據訪問、數據整改、數據可移植和可刪除等等，平臺需要確保用戶能夠隨時行使自己的數據主權。而改變帶來的企業成本增加，則不在 GDPR 的考慮范疇，尤其是 GDPR 要求保存、使用數據的歷史都要有書面記錄，并將信息提供給數據保護機構，由此帶來繁瑣的工作可想而知。

　　用戶權利和平臺責任的無限放大，導致 GDPR 成為了一種細則眾多，稍不留神就會觸犯的法規體系。并會導致眾多企業在隱私合規領域的成本過多，這既包括技術、法務、管理流程成本，也包括采購和供應商的監管成本。對于初創型的公司來說，可能根本無法聘用到足夠支撐 GDPR 合規的團隊。

　　結果就是，GDPR 面前，一大批創業公司倒閉，美國公司交罰款，中國公司望而卻步。

　　攀者：GDPR 的中國式突圍

　　縱然有千般不易，科技全球化的車輪始終沒有停下過轉動。

　　GDPR 雖把歐盟市場隔離為數據隱私保護的高山，但依舊有不少公司成功攀越。兩年過去，翻山越嶺的案例，也在漸漸給中國科技產業趟出路的痕跡。可以從幾個案例里，看到中國公司想要通過 GDPR 需要具備的條件。

　　1、去年 9 月華為 EMUI10 關鍵特性獲得了 ePrivacySeal 證書，通過了 GDPR 隱私合規認證。所謂 ePrivacySeal，是一家德國個人數據保護法律和技術專家檢測機構 ePrivacy 提供的認證，被廣泛用于 GDPR 所需的第三方機構認證。

　　EMUI10 的關鍵特性改變，在于構建了安全隔離系統 TEE OS，從而將用戶的指紋、人臉等生物信息置放到安全系統中進行加密、驗證、存儲等處理，決不上傳云端。終端系統隔離+云端數據脫敏，成為符合 GDPR 的主要邏輯方案之一。

　　2、就在今年 2 月初，國內著名 AI 獨角獸公司第四范式旗下的先知(4paradigm Sage)企業級 AI 平臺完成了 ePrivacySeal 認證工作程序，通過 GDPR 認證。從而成為了國內第一款通過 GDPR 認證的 AI 軟件類產品。

　　第四范式能夠在眾多 AI 公司中率先過關，與其本身服務金融等高敏行業的管理服務經驗，以及全球化的出海經驗有關。但 AI 技術的差異化也構成了其通過 GDPR 的主要原因。

　　在第四范式通過 GDPR 涉及到的眾多 AI 技術中，差分隱私算法扮演了關鍵角色。所謂差分隱私，是指在數據查詢、分析的過程中，對數據操作中的某些步驟注入噪聲、混淆，使得數據結果與數據源之間實現脫敏，獲得差分隱私保證。

　　差分隱私、聯邦學習等隱私保護技術，近年已經成為了 AI 行業關注的重點。這些技術的基礎邏輯，類似于人類經常會記住某件事，但忘記了到底是誰做的這件事。AI 基于數據得出的一些結論被應用，是可以被大家接受的方式，因為這些結論并沒有記錄個人具體的數據。而第四范式的差分隱私算法，與其它差分隱私工作相比，在獲得相同隱私保護強度的情況下，能得到更有效的分析結論。這在注重隱私數據保護的市場上，就成為了 AI 平臺新的競爭差異化手段。

　　3、阿里云分享的 GDPR 應對經驗中，則注重強調“多模塊搭建”的重要性。阿里云看來，GDPR 合規的主要難點在于應對 GDPR 帶來的繁瑣細則和動態責任。這種情況下，必須讓企業每一個流程和業務板塊都變成“安全部門”，這樣拼接起來，才能夠鑄成整體應對 GDPR 的方案。

　　各式各樣的“中國突圍”，逐漸總結出了技術和管理上的 GDPR 應對方法。同時，這些“壯舉”又有另一重含義：如果某一天，中國有了自己的 GDPR，中國的科技公司準備好了嗎？

　　回眺：從 GDPR 照見中國科技的隱私保護之路

　　去年 12 月，全國人大常委會法工委發言人岳仲明表示，今年中國將制定個人信息保護法、數據安全法等。

　　這意味著 2020 年中國積壓已久的個人數據隱私保護問題將再次成為社會重點。新的法規環境之下，科技產業將迎來全新變化。AI 技術能夠提升企業品質和經營效率，這已經是不爭的事實。但在這一過程中如何確保企業和行業數據安全合規應用，避免出現移動互聯網發展初期驟然增加的數據隱私問題，是擺在中國社會面前的一道新題目。

　　從 GDPR 實行以來的這兩年，結合上述幾家中國科技企業在 GDPR 環境下的探索，可以總結出相對契合中國隱私保護之路的幾條經驗：

　　1、數據責權的木桶原則。

　　就在剛剛，5.38 億條微博用戶信息被爆出泄露之后，微博安全總監羅詩堯的回復是“2019 年通過通訊錄上傳接口被暴力匹配的，其余公開信息都是網上抓來的，大家洗洗睡吧，別亂分析了”。

　　我們可以對照一下 GDPR 的無差別問責原則：因為是“通訊錄上傳接口暴力匹配”，被泄露信息的用戶就只能洗洗睡嗎？至少在 GDPR 環境下絕不僅僅如此。

　　在數據外泄的原因中，不乏暴力匹配、撞庫、第三方數據庫泄露與非技術流程泄露等，而 GDPR 對此的判定是平臺全責，平臺在被質詢時必須拿出數據記錄和解決方案。而不是表示泄露不是由于技術原因，你們洗洗睡吧。

　　數據可能在木桶最短的地方被泄露，如何擋住這種可能，大概是我們需要從 GDPR 強大且完備的體系中最迫切學習的內容。數據平臺是安保公司，而不是一座金庫，只有明確了這件事，才能避免出現“天天說安全，天天都泄露”。

　　2、技術為徑。

　　如果深究一下第四范式這家公司翻過 GDPR 大山的原因，還可以發現另一個趨勢正在冉冉興起：隱私數據保護與 AI 技術發展之間，并非不可調和的矛盾。第四范式通過差分隱私保護、自動多方機器學習、聯邦學習等方案，可以兼得“保護用戶隱私”及“基于數據得出更優的分析結論”。AI 技術公司也并沒有被 GDPR 徹底將死，反而幫助其服務的眾多企業用戶解決了 GDPR 過于繁瑣的問題——GDPR 的細則繁冗且全面，經常缺乏可實施性，然而在 AI 算法工程師來看，其中眾多細則無非關于數據的存儲和調用，而用新的 AI 算法說不定就徹底規避了這些問題，達成“四兩撥千斤”的效果。

　　借助中國 AI 產業突飛猛進的優勢，或許中國科技產業可以用更智能、更高技術探索性的方案來確保用戶隱私，實現隱私保護領域的“中國突圍”。

　　3、平衡點。

　　從目前國內的數據安全法來看，短期內它像 GDPR 一樣精細和嚴苛的概率微乎其微。因為 GDPR 在執行的兩年過程中，確實成為了眾多初創科技公司的殺手，甚至技術發展的阻礙。

　　在進一步推動數據隱私嚴格化的過程里，要警惕一刀切式管理帶給企業的無限負擔。而是盡量以政策引導為主，在隱私保護與企業創造性保護之間求得平衡。客觀來說，中國的科技環境更加鼓勵企業先行嘗試，歐洲則一定要優先確立邊界。中國的科技環境雖然暴露了很多問題，但也提供了高速發展的必要條件。

　　過去的兩年中國科技公司和 GDPR 之間并沒有發生太多故事。但這本身也是一段故事。比如說僅有的成功翻山者，也證明了中國企業適配 GDPR 的可行性，展示出智能技術在解決隱私問題方面的“中國突圍”。

　　歸根結底，隱私數據保護雖然必須根據社會形態發展來調整，但中國終將會走到 GDPR 那一步，甚至更嚴格更具體。數據和智能，最終會讓每個人都覺得舒服和安全，而不是二選其一。

　　我們要為那一天做好準備，枕戈待旦，而不是沒事的時候就洗洗睡了。