脑极体@翻越山丘：中国科技公司面对GDPR的这两年( 二 )

EMUI10的关键特性改变，在于构建了安全隔离系统TEE OS ，从而将用户的指纹、人脸等生物信息置放到安全系统中进行加密、验证、存储等处理，决不上传云端。终端系统隔离+云端数据脱敏，成为符合GDPR的主要逻辑方案之一。

本文插图
2、就在今年2月初，国内著名AI独角兽公司第四范式旗下的先知(4paradigm Sage)企业级AI平台完成了ePrivacySeal认证工作程序，通过GDPR认证。从而成为了国内第一款通过GDPR认证的AI软件类产品。
第四范式能够在众多AI公司中率先过关，与其本身服务金融等高敏行业的管理服务经验，以及全球化的出海经验有关。但AI技术的差异化也构成了其通过GDPR的主要原因。
在第四范式通过GDPR涉及到的众多AI技术中，差分隐私算法扮演了关键角色。所谓差分隐私，是指在数据查询、分析的过程中，对数据操作中的某些步骤注入噪声、混淆，使得数据结果与数据源之间实现脱敏，获得差分隐私保证。
差分隐私、联邦学习等隐私保护技术，近年已经成为了AI行业关注的重点。这些技术的基础逻辑，类似于人类经常会记住某件事，但忘记了到底是谁做的这件事。 AI基于数据得出的一些结论被应用，是可以被大家接受的方式，因为这些结论并没有记录个人具体的数据。而第四范式的差分隐私算法，与其它差分隐私工作相比，在获得相同隐私保护强度的情况下，能得到更有效的分析结论。这在注重隐私数据保护的市场上，就成为了AI平台新的竞争差异化手段。

本文插图
3、阿里云分享的GDPR应对经验中，则注重强调“多模块搭建”的重要性。阿里云看来， GDPR合规的主要难点在于应对GDPR带来的繁琐细则和动态责任。这种情况下，必须让企业每一个流程和业务板块都变成“安全部门” ，这样拼接起来，才能够铸成整体应对GDPR的方案。
各式各样的“中国突围” ，逐渐总结出了技术和管理上的GDPR应对方法。同时，这些“壮举”又有另一重含义：如果某一天，中国有了自己的GDPR ，中国的科技公司准备好了吗？
回眺：从GDPR照见中国科技的隐私保护之路
去年12月，全国人大常委会法工委发言人岳仲明表示，今年中国将制定个人信息保护法、数据安全法等。
这意味着2020年中国积压已久的个人数据隐私保护问题将再次成为社会重点。新的法规环境之下，科技产业将迎来全新变化。 AI技术能够提升企业品质和经营效率，这已经是不争的事实。但在这一过程中如何确保企业和行业数据安全合规应用，避免出现移动互联网发展初期骤然增加的数据隐私问题，是摆在中国社会面前的一道新题目。
从GDPR实行以来的这两年，结合上述几家中国科技企业在GDPR环境下的探索，可以总结出相对契合中国隐私保护之路的几条经验：
1、数据责权的木桶原则。
就在刚刚， 5.38亿条微博用户信息被爆出泄露之后，微博安全总监罗诗尧的回复是“2019年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的，大家洗洗睡吧，别乱分析了” 。

本文插图
我们可以对照一下GDPR的无差别问责原则：因为是“通讯录上传接口暴力匹配” ，被泄露信息的用户就只能洗洗睡吗？至少在GDPR环境下绝不仅仅如此。
在数据外泄的原因中，不乏暴力匹配、撞库、第三方数据库泄露与非技术流程泄露等，而GDPR对此的判定是平台全责，平台在被质询时必须拿出数据记录和解决方案。而不是表示泄露不是由于技术原因，你们洗洗睡吧。