钛媒体：中国科技公司怎么翻过GDPR这座大山？( 二 )

EMUI10的关键特性改变，在于构建了安全隔离系统TEE OS ，从而将用户的指纹、人脸等生物信息置放到安全系统中进行加密、验证、存储等处理，决不上传云端。终端系统隔离+云端数据脱敏，成为符合GDPR的主要逻辑方案之一。
2、就在今年2月初，国内著名AI独角兽公司第四范式旗下的先知(4paradigm Sage)企业级AI平台完成了ePrivacySeal认证工作程序，通过GDPR认证。从而成为了国内第一款通过GDPR认证的AI软件类产品。
3、阿里云分享的GDPR应对经验中，则注重强调“多模块搭建”的重要性。阿里云看来， GDPR合规的主要难点在于应对GDPR带来的繁琐细则和动态责任。这种情况下，必须让企业每一个流程和业务板块都变成“安全部门” ，这样拼接起来，才能够铸成整体应对GDPR的方案。
各式各样的“中国突围” ，逐渐总结出了技术和管理上的GDPR应对方法。同时，这些“壮举”又有另一重含义：如果某一天，中国有了自己的GDPR ，中国的科技公司准备好了吗？
回眺：从GDPR照见中国科技的隐私保护之路去年12月，全国人大常委会法工委发言人岳仲明表示，今年中国将制定个人信息保护法、数据安全法等。
这意味着2020年中国积压已久的个人数据隐私保护问题将再次成为社会重点。新的法规环境之下，科技产业将迎来全新变化。 AI技术能够提升企业品质和经营效率，这已经是不争的事实。但在这一过程中如何确保企业和行业数据安全合规应用，避免出现移动互联网发展初期骤然增加的数据隐私问题，是摆在中国社会面前的一道新题目。
从GDPR实行以来的这两年，结合上述几家中国科技企业在GDPR环境下的探索，可以总结出相对契合中国隐私保护之路的几条经验：
1、数据责权的木桶原则。
就在刚刚， 5.38亿条微博用户信息被爆出泄露之后，微博安全总监罗诗尧的回复是“2019年通过通讯录上传接口被暴力匹配的，其余公开信息都是网上抓来的，大家洗洗睡吧，别乱分析了” 。
我们可以对照一下GDPR的无差别问责原则：因为是“通讯录上传接口暴力匹配” ，被泄露信息的用户就只能洗洗睡吗？至少在GDPR环境下绝不仅仅如此。
在数据外泄的原因中，不乏暴力匹配、撞库、第三方数据库泄露与非技术流程泄露等，而GDPR对此的判定是平台全责，平台在被质询时必须拿出数据记录和解决方案。而不是表示泄露不是由于技术原因，你们洗洗睡吧。
数据可能在木桶最短的地方被泄露，如何挡住这种可能，大概是我们需要从GDPR强大且完备的体系中最迫切学习的内容。数据平台是安保公司，而不是一座金库，只有明确了这件事，才能避免出现“天天说安全，天天都泄露” 。
2、技术为径。
隐私数据保护与AI技术发展之间，并非不可调和的矛盾。
AI技术公司也并没有被GDPR彻底将死，反而帮助其服务的众多企业用户解决了GDPR过于繁琐的问题——GDPR的细则繁冗且全面，经常缺乏可实施性，然而在AI算法工程师来看，其中众多细则无非关于数据的存储和调用，而用新的AI算法说不定就彻底规避了这些问题，达成“四两拨千斤”的效果。
借助中国AI产业突飞猛进的优势，或许中国科技产业可以用更智能、更高技术探索性的方案来确保用户隐私，实现隐私保护领域的“中国突围” 。
3、平衡点。
从目前国内的数据安全法来看，短期内它像GDPR一样精细和严苛的概率微乎其微。因为GDPR在执行的两年过程中，确实成为了众多初创科技公司的杀手，甚至技术发展的阻碍。
在进一步推动数据隐私严格化的过程里，要警惕一刀切式管理带给企业的无限负担。而是尽量以政策引导为主，在隐私保护与企业创造性保护之间求得平衡。客观来说，中国的科技环境更加鼓励企业先行尝试，欧洲则一定要优先确立边界。中国的科技环境虽然暴露了很多问题，但也提供了高速发展的必要条件。