记得两年前的“谷歌天价罚款”和“史上最严格的隐私保护法”吗?
2年5月和018年,欧盟通过了新的“一般数据保护法规要求”,也称为GDPR苛刻的法律法规,加上谷歌推出的“提供刀”,当消息传到中国时,自然引起了轩然大波。
当时,众多媒体都在谈论一件事:在如此严格的隐私保护法下,中国的科技企业,尤其是与个人数据密切相关的互联网和人工智能,很可能成为GDPR受灾最严重的地区。
两年即将过去。GDPR领导下的中国科技公司的真实生存状况是什么?这座隐私保护的大山真的无法逾越吗?
犹豫:GDPR面前的科技企业
不同于国内媒体的“预测”。中国科技公司似乎没有受到GDPR方面太多的“实质性打击”。去年7月,只有海外版的Trible TikTok被判违反GDPR,可能面临高达2260万美元的罚款。相比之下,脸书、推特、微软、苹果、谷歌和其他美国科技巨头也不能幸免,都或多或少违反了GDPR的规定,遭遇了不同程度的“惩罚”据不完全统计,在过去两年中,对违反GDPR的罚款已达1.26亿美元,其中美国科技公司贡献最大。
然而,很少有人接触到矿井,这并不令人欣慰。事实上,只有少数中国科技公司通过了GDPR认证。偶尔,移动电话和无人驾驶飞行器等国内硬件会经过GDPR,并不断开拓欧洲市场。然而,互联网、数据服务、人工智能相关软件服务在GDPR认证列表中很难找到
可以说是中国科技公司选择绕过GDPR,从整体上看,这被认为是中国科技公司进入欧洲市场的一个站。
随着中国科技公司选择避开欧洲市场,我们不得不回到问题的源头:为什么GDPR让他们如此头疼?
张山:为什么GDPR这么难
,历史上“最严格”的,多少磅,多少两?
根据规定,GDPR将所有与隐私数据相关的权利归属于最终用户,并将责任目标完全锁定在收集、存储和使用数据的软件平台上。
是一个让个人用户感到欢欣鼓舞的逻辑,但是最终规范的实现面临一系列问题。
例如,GDPR扩展了“隐私”的定义一些常规数据,如地理位置、Cookie数据、医疗保健和生物遗传数据,都被纳入保护类别,这使得许多与智能推荐相关的应用程序无从谈起。
。GDPR主张用户拥有一系列个人数据主权,如数据访问、数据校正、数据可移植和删除。该平台需要确保用户可以随时行使自己的数据主权。然而,这一变化带来的企业成本的增加超出了GDPR的考虑。特别是,GDPR要求以书面形式记录数据保存和使用的历史,并向数据保护机构提供信息,从而导致复杂的工作。
用户权利和平台责任的无限扩大,导致GDPR成为一个法律体系,有许多详细的规则,如果你不小心就会被违反。这还将导致许多企业在隐私合规领域承担过多成本,不仅包括技术、法律和管理流程成本,还包括采购和供应商监督成本。对于初创公司来说,可能根本没有足够的团队来支持GDPR合规。由于
,在GDPR面前,大量初创公司倒闭,美国公司支付罚款,中国公司止步不前。
攀登者:GDPR的中国突破
尽管困难重重,但技术全球化的车轮从未停止转动
GDPR将欧盟市场隔离为数据隐私保护的高山,但许多公司仍然成功地攀登了这座高山。在过去的两年里,翻越山越岭的案例逐渐给中国的科技产业留下了出路的痕迹。我们可以从几个案例中看出中国企业需要通过GDPR的条件。
1年和去年9月,华为的EMUI10的关键功能获得了电子隐私保护证书,并通过了GDPR隐私合规认证。所谓的ePrivacySeal是由德国个人数据保护法律和技术专家测试组织ePrivacy提供的认证,广泛用于GDPR要求的第三方认证。
EMUI10的关键特征变化在于构建了一个安全隔离系统TEE OS,将用户的指纹、面部等生物信息放入安全系统进行加密、验证、存储等处理,从不上传到云端。终端系统隔离+云数据脱敏已经成为符合GDPR的主要逻辑方案之一
2。就在今年2月初,中国知名的艾力高公司第四范式下的4帕拉迪格塞吉企业级人工智能平台完成了电子专利认证过程,并通过了GDPR认证因此,它已经成为中国第一个通过GDPR认证的人工智能软件产品
第四范式可以在许多人工智能公司中领先,这与其自身在服务金融等高敏感行业的管理和服务经验以及其全球海上经验有关。然而,人工智能技术的分化也是它超越GDPR的主要原因
差分隐私算法在通过GDPR的第四范式涉及的许多人工智能技术中起着关键作用所谓差异隐私是指在数据查询和分析过程中,在数据操作的某些步骤中注入噪声和混淆,从而使数据结果和数据源脱敏,获得差异隐私保证。
差分隐私、联邦学习和其他隐私保护技术已成为近年来人工智能行业的焦点这些技术的基本逻辑类似于人类经常记住一些东西,却忘记是谁做的。应用人工智能基于数据得出的一些结论,这是一种可接受的方式,因为这些结论不记录个人特定数据。然而,与其他差分隐私工作相比,第四范式的差分隐私算法在相同的隐私保护强度下可以获得更有效的分析结论。这已成为市场上关注隐私数据保护的人工智能平台的一种新的竞争差异化方法。
3和阿里云分享的GDPR应对经验强调了“多模块建设”的重要性阿里云表示,GDPR合规的主要困难在于应对GDPR带来的复杂规则和动态责任在这种情况下,企业的每一个流程和业务部门都必须变成一个“安全部门”,以便能够拼接在一起,形成一个针对GDPR的整体解决方案
各种“中国突破”都逐渐总结出GDPR在技术和管理上的应对方法。同时,这些“壮举”还有另一层含义:如果有一天中国有了自己的GDPR,中国的科技公司准备好了吗?去年12月,全国人大常委会法律委员会发言人岳表示,今年中国将颁布个人信息保护法和数据安全法。
这意味着中国长期存在的个人数据隐私保护问题将在2020年再次成为社会焦点在新的法律环境下,科技产业将迎来新的变化。人工智能技术可以提高企业质量和运营效率,这是一个不争的事实。然而,在这个过程中,如何保证企业和行业数据的安全和合规应用,避免移动互联网发展初期数据隐私的突然增加,是中国社会面临的新课题。GDPR实施两年来,结合上述中国科技企业在GDPR环境下的探索,我们可以总结出几条比较符合中国隐私保护路径的经验:
1,数据责任与权利桶原则。
就在5.38亿微博用户的信息被泄露后,微博安全总监罗回复说,“2019年,他们通过通讯录上传界面被暴力匹配,剩下的公共信息都是在网上获取的。请洗洗你的睡眠,停止分析。”
我们可以比较一下GDPR的非歧视问责制原则:由于“通讯录上传界面的暴力匹配”,泄露信息的用户只能洗漱和睡觉吗?至少在GDPR的环境中,这绝不是唯一的办法。
数据泄漏的原因包括暴力匹配、数据库冲突、第三方数据库泄漏和非技术流程泄漏等。GDPR负责判断这一点。当遇到挑战时,该平台必须提供数据记录和解决方案。这并不意味着泄漏不是由于技术原因。请洗漱和睡觉。
数据可能会在桶内最短的地方泄漏。如何阻止这种可能性可能是我们需要从GDPR强大而完整的体系中学习的最迫切的内容。数据平台是一家安全公司,而不是保险库。只有澄清了这个问题,我们才能避免“天天说安全,天天漏”的情况发生
2,技术直径
如果我们深入探究第四范式公司翻越GDPR山的原因,我们会发现另一个趋势正在冉冉出现:隐私数据保护和人工智能技术发展之间并不存在不可调和的矛盾第四种模式,通过差异隐私保护、自动多方机器学习、联邦学习和其他程序,可以实现“保护用户隐私”和“基于数据获得更好的分析结论”。人工智能技术公司还没有完全被GDPR将死。相反,它帮助了许多企业用户解决了GDPR过于复杂的问题——GDPR的细则复杂而全面,而且往往缺乏可执行性。然而,在人工智能算法工程师中,许多详细的规则只不过是数据的存储和传输。然而,新的人工智能算法可以完全避免这些问题,达到“四两拨一千斤”的效果
,利用中国人工智能产业的快速发展,或许中国的科技产业可以用更加智能化和高科技的探索性解决方案来保障用户隐私,实现隐私保护领域的“中国突破”。
3,平衡点
从目前的国内数据安全法来看,短期内像GDPR一样精细和严格的可能性非常小。因为GDPR确实已经成为许多初创科技公司的杀手,甚至在实施的两年中成为技术发展的障碍。
在进一步推进数据隐私严格性的过程中,我们应该警惕一刀切管理给企业带来的无限负担。但要努力把政策导向放在首位,并在隐私保护和企业创造力保护之间取得平衡。客观地说,中国的科技环境鼓励企业先尝试,而欧洲必须优先建立边界。尽管中国的科技环境暴露出许多问题,但它也为快速发展提供了必要的条件。
在过去的两年里,中国科技集团公司和GDPR之间的故事并不多。但这本身也是一个故事。例如,唯一成功的登山者也证明了中国企业适应GDPR的可行性,并展示了智能技术在解决隐私问题上的“中国突破”。
归根结底,虽然隐私数据保护必须根据社会模式的发展进行调整,但中国最终将达到GDPR一步,甚至更加严格和具体数据和智能最终会让每个人感到舒适和安全,而不是在两者之间做出选择。
我们应该为那一天做好准备,不要在有空的时候洗澡和睡觉。