GDPR：中國互聯網技術彎道超車的最大機會

08-24

來自專欄 AI前線4 人贊了文章

本文由「AI前線」原創（ID：ai-front），原文鏈接：GDPR：中國互聯網技術彎道超車的最大機會

策劃編輯 | Natalie
撰文 | Debra，Natalie
編輯｜Vincent

AI 前線導讀：號稱史上最嚴格數據保護條例的 GDPR 已於 5 月 25 日生效，高昂的罰款費用和嚴苛的規定讓各國互聯網企業瑟瑟發抖。可以說，這是史上覆蓋範圍最廣的一次隱私數據保護法修整，生效之後，只要業務中涉及到歐盟國家和地區用戶數據，統統都歸它管，真要實行下來，光罰款就抵得上歐盟人民幾年交的稅了。

但眾所周知，國內的「特殊國情」向來對數據隱私這方面的規範比較寬鬆，大洋彼岸為應對 GDPR 焦頭爛額的科技巨頭和 AI 初創企業，與國內企業的安靜從容相比簡直是「冰火兩重天」。看起來十分詭異，但也在情理之中。

更多乾貨內容請關注微信公眾號「AI 前線」，（ID：ai-front）

GDPR 是什麼？

早在今年 3 月，AI 前線就嗅到了歐盟將出台的 GDPR 並不一般（史上最嚴苛隱私數據保護法 5 月生效！）。果不其然，當這部宣稱史上最嚴的隱私數據保護法於 5 月 25 日正式生效之後，陸續傳來不少巨頭公司為應對 GDPR 採取行動的消息，如美國幾家網站壯士斷腕，直接屏蔽了歐盟的用戶，Facebook 和亞馬遜等增加數據審核工程師，還陷入了用戶訴訟的泥潭...

相較而言，國內企業對這一政策的態度普遍比較冷淡（大家都明白，特殊國情），可能很多人還不知道 GDPR 到底是啥。

GDPR 全稱 General Data Protection Regulation（歐盟通用數據保護條例）。簡而言之，這可能是有史以來覆蓋面最廣的一次用戶隱私數據保護法修改。其要點有三：

1）範圍廣：只要是從事涉及歐盟公民個人數據處理業務的企業和機構，包括跨國公司（如 BAT 等所有互聯網企業）都在它的「魔爪」之下；

2）懲罰狠：違反 GDPR 的組織可能會面臨最高全球年營業額 4％或 2000 萬歐元（取較高值）的罰款；

3）用戶隱私權受到更多保護：獲取和使用數據需徵得用戶同意，數據主體擁有獲得違規通知權、訪問權、數據擦除（滿足一定條件）、數據遷移、隱私設計等權利。

中國 VS 國外：冰火兩重天國外「水深火熱」

GDPR 生效後，國外和國內企業的反應截然不同，國外已經積極採取措施應對，而國內似乎反應不大，目前還未耳聞有大型公司針對這一法律採取較重大的措施。

歐洲用戶訪問《洛杉磯時報》網站時顯示的公告：非常不幸，本網站目前在大部分歐洲國家已經無法訪問。

在美國，GDPR 法案實施兩天後，一大批未能在 5 月 25 日之前完成合規性工作的科技和新聞網站成了第一批犧牲者，包括《洛杉磯時報》、《芝加哥論壇報》、《巴爾的摩太陽報》等網站目前在歐盟地區已經無法打開。美國國家公共廣播電台（NPR）網站則要求歐洲訪客做出「抉擇」：要麼簽署新的用戶協議、要麼就只能收看到該媒體 1996 年及以前的純文字內容。還有不少公司索性直接批量刪除歐洲範圍的客戶資料，惹不起還躲不起嗎？他們寧願選擇「壯士斷腕」，也不願冒巨大的風險。

過去這幾天，很多國外網友（或註冊了國外網站的國內網友）的郵箱都接到了互聯網服務提供商發來的無數用戶協議更新郵件，希望得到確認。這些郵件實在太多了，不堪其擾的用戶甚至用漫畫來調侃：發這麼多 GDPR 郵件本身就是侵犯我個人空間好不？

也有很多公司經過衡量合規成本後，決定直接撤出歐盟市場。

對於這種直接屏蔽歐洲用戶的做法，有人批評認為這是一種典型的「懶政」，違背了 GDPR 的精神，對企業、用戶、甚至整個行業都有害，也有人認為企業的這種做法主要是為了滿足企業的業務需求和發展，更好的辦法需要更多的探討。更是有人說出大實話：能夠獲取到用戶數據而不去使用獲利的企業，樂觀估計應該也不到百一。面對海量價值的數據寶藏，有多少企業能夠「坐懷不亂」？人性使然。「用戶在未來互聯網世界裡會有絕對權力。一切演算法和技術的發展都是在增長用戶權力和增長企業利潤中尋找平衡。」，這是我們可以想像到的企業與用戶之間最切合實際的模式了。

國外科技巨頭應對 GDPR 的態度還算積極，在這項政策制定的過程中，它們先後採取了措施：

微軟

微軟副首席法律顧問 Julie Brill 在一篇官方博客中透露，微軟已經為 GDPR 項目投入了 1600 多名工程師，他們將為全球客戶提供正在為歐洲建設的符合 GDPR 的工具，微軟的客戶可以查看、刪除和移動他們的個人數據。

亞馬遜

3 月底，亞馬遜宣布 AWS 已經為 GDPR 做好準備：「AWS 服務將按照您的要求實施安全措施，以遵守 GDPR。」

Facebook

扎克伯格 5 月 22 日在歐洲議會聽證會中表示，Facebook 已經為 GDPR 做好準備，並且「很大一部分」用戶已經被提示更新隱私設置。Facebook 還將美國、加拿大和歐盟國之外的約 15 億用戶的註冊地從都柏林移至美國。據路透社報道，這一舉動意味著非洲、亞洲、澳大利亞和拉丁美洲的用戶不受 GDPR 的影響。但在這個關頭，Facebook 在歐洲啟用了人臉識別認證，而且據反映，修改後的用戶條款政策雖然強調了人臉識別技術的應用應獲得用戶的准許，但用戶上傳照片時，系統仍然會用用戶默認同意的條款進行人臉識別，除非用戶自己提出異議。由此看來，用戶同意這一 GDPR 賦予用戶的權利並未得到真正有效的實施。

蘋果

在保密性方面，蘋果公司向來比較重視。為應對 GDPR，蘋果已更新其隱私條款並推出了新的用戶頁面，歐洲的用戶現在可以下載蘋果公司由照片、Apple Pay、聯繫人等服務收集的所有數據。蘋果還加入了暫時停用帳戶的功能。停用後，Apple 服務將停止，蘋果公司還將停止其機器學習和 AI 系統使用客戶數據。這些功能將在未來幾個月內推廣到全球的所有帳戶。

Google

谷歌也採取了行動，如 G Suite 和雲服務平台的用戶協議更新，完善隱私保護團隊，用戶可以隨時遷移和刪除自己的數據。按照 GDPR 的規定，谷歌改進了用戶協議，不止「講人話」，還用動畫簡明地告訴用戶數據的用途。

據一位正在谷歌實習的受訪者透露，公司領導對 GDPR 相當重視，因為畢竟有 Facebook 的前車之鑒，谷歌不想因為這些事情而損害了自己的市值和公眾形象，因此會嚴格遵守歐盟的法律。

Twitter

Twitter 在 GDPR 生效之前更新了服務條款和隱私政策，但沒有清楚地說明更新的內容，只說「關注我們為您提供的有關您的個人數據的控制措施，以及 Twitter 如何公開分享您的數據」。此外，Twitter 還關閉了 Roku、Android TV 和 Xbox 版的 Twitter 應用。

另外，某知名跨國科技公司也在企業網上進行了相關的業務及項目培訓。

然而，正如上文中提到的 Facebook 的做法，該法案在實施上是有一定難度的，僅僅兩天之後就爆出了訴訟案。歐洲消費者權益保護組織 Noyb 將谷歌安卓系統、Facebook、Instagram、Whatsapp 四家美國公司的產品告上法庭，指控其「強迫」用戶同意新的使用協議，而沒有按照法律規定，讓用戶獲得真正自由的選擇權。如果指控成立，這些公司將面臨巨額罰款。

國內波瀾不驚

與大洋彼岸各大公司水深火熱的處境不同，中國企業 一派和諧安詳。至少筆者的郵箱中壓根沒有哪怕一封來自國內公司的隱私條例更新郵件，或彈框提醒，唯一看到的 GDPR 相關通知，來自微信公眾號後台提醒。

中國大量 Web 公司掌握了海量消費者數據，電信運營商、互聯網金融、公共商用 Wifi、電商、快遞等行業都收集了豐富、準確的個人信息。雖然很多人都覺得 GDPR 與我們每個人息息相關，但企業的反應卻沒有特彆強烈。

國內科技企業雲腦科技表示，GDPR 是一部具有里程碑意義的隱私保護法案，由於公司的研發方向中早就包含了 AI 的隱私保護，因此應對 GDPR 時比較從容。其 BrainSync 專利技術可以在嚴格保護數據隱私安全的前提下，對隱私數據進行深度學習。

怡和科技技術總監楊暘告訴 AI 前線，他所在的公司在為上述提到的大量企業客戶搭建數據倉庫時，每次都或多或少接觸到消費者數據，包括訂單、WiFi 認證、軌跡、會員積分、車輛等方面。

針對 GDPR，怡和科技採取了一些措施，如基於元數據，採用嚴格的開發流程來管理，開發之前，對真實數據去掉無關的個人信息，或對某些數據脫敏，在對所有欄位進行含義、來源、用途、敏感度等進行標記，對所有欄位產生數據字典，這樣能一開始就把存有敏感數據、個人數據的欄位和表，標記出來，以便伴隨整個數據生命周期和隨後的所有處理，隨時隨地可識別、可定位、向監管方或用戶提供敏感欄位管控報告。該公司透露，如果項目對保護個人信息、敏感信息的要求很高，一般採用傳統 RDBMS，比如 SQL Server、GreenPlum 等成熟的元數據管理方法，可以很容易地處理血緣、元數據注釋 / 治理等工作。這樣，標註將隨著元數據滲透到整個數倉流程，不會丟失，並可以一鍵式前向追蹤或後向追蹤到所有相關表、ETL JOB。

但大部分中國企業的態度更趨向另外一種：只要業務不涉歐，基本不需要採取任何應對措施。受訪者不小平所在的公司就是這樣，但她表示 GDPR 呈現出數據安全和數據保護的趨勢需要引起重視並及早做準備。

此外，也有人認為所謂隱私和 GDPR 本身就有問題，GDPR 導致數據標註和管理流程繁複，提高企業成本。

首先是關於隱私的定義，現在人們對於隱私的定義已經與之前大有不同了。

開發者不僅需要玩轉數據，而且需要考慮不同數據的特殊性，從源頭開始標註，並貫穿於整個生命周期進行相應許可權控制和內容管制。什麼是敏感數據？現在不敏感的數據，今後會不會被監管定為敏感？隱私這詞似乎有些過度解讀了。隱私最開始真的是隱私，比如郵件、日記、衣櫥、抽屜之類我們不願意別人看到的東西。現在，臉、名字、看過或轉發過什麼文章都成了隱私了。沒有 Web 之前，你的名字、臉真的是隱私嗎？退一萬步來說，乾脆像煙草公司那樣干吧，「吸煙有害健康」。科技巨頭們可以直接說「使用 APP 有可能妨礙您的隱私」。愛用不用。

其次是對於 GDPR 的「正義性」的懷疑，GDPR 似乎是一種高高在上的「政治正確」，甚至其巨額罰款究竟是保護弱者還是合法迫害都值得懷疑。

毫無疑問，每次類似監管措施總是讓開發者做許多無益於用戶的開發，造成開發成本大大上升，士氣受挫。甚至會打擊整個行業，比如網盤。蘋果 IOS 的 MAC 地址隨機化會每次產生不同的 MAC 地址，保護手機主人不被 WiFi 識別。不過這真的給用戶帶來便利了嗎？不過，這種挑戰也將催化諸如數據倉庫自動化等技術的推廣。比如，基於元數據的數據治理將更加受到重視。

這是一部分企業對於隱私問題態度的真實寫照，隱私界限的模糊性導致企業與用戶在隱私問題上的糾紛，成本的提高讓企業感到無奈甚至憤怒。

GDPR 真實影響力調研

為了解國內外互聯網企業和 AI 相關技術與研究受到 GDPR 影響的真實情況，AI 前線邀請了幾位在國內外企業從事大數據及AI相關工作的朋友進行調研，其中騰訊、華為的朋友由於各種原因未能接受採訪。我們希望能從不同的觀點中洞察 AI 業內對於 GDPR 的看法，及其影響到底有多大。文中提到的所有觀點均為受訪者個人觀點，與所在企業無關。

阻礙大數據、機器學習、深度學習相關技術發展？

由於 GDPR 對用戶數據的使用和獲取進行了相當嚴苛的規定，這些規定會阻礙大數據相關特定技術的發展嗎？對於這個問題，我們看到兩種了截然不同的看法。

早在 GDPR 未正式生效之前，人工智慧研究領域大牛——華盛頓大學的 Pedro Domingos 教授就在推文中表示 GDPR 將使機器學習非法，引發一陣恐慌。

GDPR 將對機器學習領域產生重大影響的規定可能是「演算法解釋的權利」（right to explanation），即數據主體有權要求數據服務商解釋機器學習進行自主決策的演算法原理。但不久後一位歐盟律師，同時是牛津大學大數據、AI& 機器人學院的研究員 SandraWachter 則表示反對，她認為，GDPR 第 15 條意味著一種更加泛化的監督形式，而不是一項要求系統對某一決策原理進行解釋的權利。因此，GDPR 中關於解釋的權利不具有法律約束力，但公司可以自願提供。當然，也有人不同意她的觀點，認為法案中的確提到了解釋權，那它就可以為用戶所用，以獲得知情權。

我們找到的幾位受訪者觀點也並不完全相同：

A：我覺得短期內不會對推薦系統等技術產生影響。一方面，十幾年的互聯網發展已經積累了海量的數據，暫時數據是夠用的。另一方面，用戶也是推薦系統的受益者。等所有的用戶都成為成熟的互聯網公民後，他們會權衡利弊的。
B：個人認為並不會有太大影響，至少短期內不會。數據獲取的難度並不在於技術層面，而在於作為用戶的我們，是否意識到獲取便利、效率時所付出的數據安全代價，以及意識到之後是否切實地採取防範措施。
C：對共享存儲的約定，和用戶數據的獲取保存會有比較大的影響。在一定程度上會增加獲取數據的難度，需要滿足相應的條例。但是不會影響機器學習和深度學習的發展，目前深度學習，機器學習的發展目前主要是在學術界提供相應的理論和原型，工業級做相關實現的應用。
D：GDPR 的確會對工業界現有的大數據技術產生重大影響，會增大數據獲取的難度。

此外，GDPR 條款讓 AI 公司本就面臨的 AI 黑箱（black-box problem）問題更為突出。目前，大多數 AI 公司嚴重依賴大數據，通過人工智慧或深度學習的方法獲利，而當前業界普遍認為神經網路存在黑箱問題，科技公司需要花費巨大的成本解釋神經網路的工作原理。

而對於 AI 創業公司來說情況更加不容樂觀，大公司可以燒錢提高成本，但創業公司沒有其他的選擇，只能死掉。所以說，AI 公司會面臨一次嚴重的考驗並非誇張之辭。

總的來說，GDPR 必然會提高數據獲取的難度，對歐盟企業或業務涉歐比重大的企業影響較大，但對人工智慧、機器學習、大數據等技術發展整體影響有限，並且有可能反過來推動新技術方法的研發。

GDPR 效應會擴散到全球嗎？

目前 GDPR 主要在歐盟推行，非歐盟企業如果用戶包括歐盟公民也會受到 GDPR 的約束，但非歐盟企業、或者業務用戶不涉毆的企業仍不在少數。那麼這個令企業頭疼、但又令消費者安心的數據保護條例是否有可能從歐盟擴散到全球？

有人認為歐盟的 GDPR 生效之後會產生示範效應，國外政府可能會紛紛效仿，推出類似的數據保護條例，並使之成為未來的趨勢；與此同時，由個人信息泄露產生的欺詐、恐嚇、人身侵害等案例已經屢見不鮮，這也會使設置類似條例成為趨勢。但大部分人仍認為 GDPR 推廣到全球難度比較大。

有人推測，日韓有可能採取類似的措施，但短期內中美不會，因為這與互聯網巨頭的生存息息相關；有人認為數據保護條例並不適用於所有行業，比如涉及到公共安全的行業需要數據保護條例的規範，學術界需要另當別論，可以採用其他條例；也有人雖然同意 GDPR 可能會成為未來的趨勢，但態度並不樂觀，並表示上有政策，下有對策，即使全球推行了類似的數據保護條例，真正能夠對保護用戶隱私與數據安全起到的作用還是微乎其微的。

數據控制權的爭奪，中國能藉機取得優勢嗎？

雖然數據、演算法、計算力到底孰輕孰重至今尚無定論（估計也永遠不會有），但很多人都認同數據會對 AI 產品優劣產生決定性影響。企業有能力獲得更多優質的數據，做出來的產品會更加精確、體驗更好，因此對於數據的爭奪一直是 AI 企業競爭的重頭戲。

AI 等新興技術的發展需要依託數據，看起來似乎與隱私保護天生背道而馳。如果 GDPR 的示範效應導致其他國家效仿，互聯網公司獲取數據將更加困難，數據和隱私的取捨會成為更加艱難的課題。

但在中國，隱私保護的話題似乎向來不會像國外一樣引發熱烈討論，李彥宏那句「中國用戶願意用隱私換便利」雖然觸發眾怒，但仔細想來也真實地反映了中國網路用戶的隱私保護現狀，時常響起的騷擾推銷電話鈴聲就是最直觀的證明。

由於中國的隱私數據保護水平較低，如果中外在隱私上分道揚鑣的話，是否會讓中國在這次浪潮中獲得數據方面的優勢，從而有利於 AI 等行業的發展呢？

對於這個問題，我們在採訪中得到了兩類比較有趣的回答。

其中一種觀點認為，如果中外在隱私問題上分道揚鑣，把數據保護起來，一定程度上有數據的企業會具有一定優勢，我國的互聯網、大數據、視頻等行業的迅猛發展就是個例子，但會對沒有數據的公司造成阻礙，所有開發者和運營者，都不應該為了追求商業利益而鑽這些空子，靠耍小聰明終究成不了大事。有人表示，中國隱私數據保護水平低是由於中國當今網民群體中中產階級還不是主力，在中國成為發達國家之前，大部分網民不會擁有太強的隱私意識。

另一種觀點則是，中國法律對於隱私保護越來越重視，如 2017 年 6 月 1 日生效的《中華人民共和國網路安全法》（下稱《網安法》）和與之配套的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對倒賣個人信息數據的懲罰已經入刑，非法獲取、出售或提供行蹤軌跡信息、通信內容、徵信信息、財產信息 50 條以上的即入罪。因此，中國並不會因此而在數據方面獲得優勢。

然而，據筆者對後一種觀點中提到的中國網路領域的基礎性法律《網路安全法》進行解讀，不難發現這部法律實際上重點保護的是國家的信息安全，而對於個人隱私的關注幾乎為零。整個法令中，僅僅提及了兩次「隱私」字樣，這與 GDPR 中詳盡的規定簡直是天上人間。

寬鬆甚至幾乎不存在的隱私數據法律條例，必然會在一大段時間裡給中國企業帶來大量的數據福利。

另一種思路：用技術手段解決隱私問題

GDPR 生效以後這段時間我們也看到了，雖然動靜不小，但是依靠政策監管推動有不小的局限性，如不同的國家和地區隱私政策不一而同，讓類似法案的推行步履維艱；又如某些公司直接採取如屏蔽歐盟用戶的做法，幾大新聞網站至今未向歐洲用戶開放。

只要公司動點歪腦筋，類似於修改用戶政策的措施一定程度上就形同虛設，無法保障用戶的隱私。從長遠來看，這對企業和用戶都不利，最終損害用戶的利益。

我們還需要探討真正解決用戶隱私問題的更好的辦法。那麼，我們有可能使用技術手段解決這個問題嗎？

雲腦科技的 BrainSync 技術或許是其中一種可行的方法。雲腦科技於 2015 年開始研發 BrainSync 技術技術，通過這項技術可以在嚴格保護數據隱私安全的前提下，對隱私數據進行深度學習。

雲腦科技表示：「GDPR 的確會對工業界現有的大數據技術產生重大影響，增大數據獲取的難度。但是退一步想想，一定需要把用戶的個人數據獲取到伺服器上才能使用 AI 技術提升用戶體驗嗎？答案是否定的。GDPR 其實對機器學習和深度學習是一個巨大的推進力。「

BrainSync 向 AI 前線介紹了這項技術的具體工作原理：

a) 首先 隱私數據不離開個人設備，在設備上進行學習，避免了數據的直接泄露與濫用風險。

b) 其次，深度學習如果不在 演算法層面進行保護，得到的模型很可能會被 membership inference attack（成員推斷攻擊）破解參與訓練的原始數據，也就是隱私數據。

c) 學術界提出了差分隱私的定義，給出了隱私保護的量化工具。BrainSync 實現了 差分隱私保護，使得移除任一條訓練數據後得到的模型都比較接近，從而防範了 membership inference attack。

另一方面，雲腦通過 對演算法進行低比特化處理，優化收斂速度，針對終端硬體進行指令級別優化，對訓練過程進行智能調度，從而使用戶終端設備的算力和功耗不再是瓶頸。

在小規模的訓練調整中，以上做法或許可以保證訓練的效果，但是讓 AI 前線疑惑的是，在需要大量數據的基礎模型訓練上，也可以在用戶終端完成嗎？效果會不會大打折扣？

對此，雲腦科技也給出了解釋：

a) BrainSync 有 端雲協同版本，能夠融合上億個個性化模型形成一個反映群體智慧的基礎模型。融合的演算法過程也實現了差分隱私保護，使得基礎模型也不會泄露隱私數據。

b) 在實驗中，通過此技術得到的基礎模型 在冷啟動的場景下甚至超過了把所有數據集中起來學習得到的模型。

最後，雲腦科技還提供了另外一種解決隱私安全的技術思路，如同態加密，可以和 BrainSync 形成補充，進一步增強在終端上的數據安全。但是，對算力的要求和對深度學習精度的影響還需要更深入的研究。

說到底，發展技術一定要犧牲隱私嗎？

引用楊暘在採訪中告訴 AI 前線的這段話作為結尾：

人們感覺不舒服的，往往是能追蹤到自己的信息被陌生人利用，進行侵害。但個人認為，如果為了避免侵害，而採用過於嚴格的懲罰措施，效果不一定好。政府、公安、運營商、酒店、認證機構、和委託的第三方都擁有大量個人信息和個人行為信息。到底泄露來自於 AI、區塊鏈等公司，還是這些企事業，很難界定。
因此，還是和煙草一樣，既然無法避免，只能告知和處罰。對於需要使用隱私信息的企事業，應大大方方地告知用戶，不要藏著掖著。對於非法竊取信息的行為，就要追查企業的數據保護機制。如果沒有合理的許可權管理、數據對象管理和信息安全手段，則應追究適當的連帶責任。
技術本身不應該因為潛在的濫用惡果，而裹足不前。科學家不應該對核能的破壞潛力負責，生物學家不應該對基因改造項目是否合情合法負責，因此開發者也不應該對本身就沒有明確是非定論的數據倫理負責。

參考資料：

https://mp.weixin.qq.com/s/tkO5mUl5nrN_LTlpctqDNA

今日薦文

大牛秘笈！谷歌工程師是如何改進訓練數據集的？

活動推薦

人工智慧時代，如何快速且有效地入門？需要哪些數學基礎？怎樣掌握機器學習主要方法？

工學博士、副教授王天一在他的《人工智慧基礎課》里，會帶你鞏固人工智慧基礎，梳理人工智慧知識框架，了解人工智慧的最佳應用場景。新註冊用戶，立減 30 元。

現在訂閱，有以下福利：

限時優惠￥58，6 月 9 日會上漲到￥68
每邀請一位好友購買，你可獲得￥12 現金返現，好友也將獲得￥6 返現。多邀多得，上不封頂，立即提現。

http://t.cn/R30nlbz (二維碼自動識別)

面向17W+AI愛好者、開發者和科學家，每周一節免費AI公開課，囊括上萬人的AI學習社群，提供最新AI領域技術資訊、一線業界實踐案例、搜羅整理業界技術分享乾貨、最新AI論文解讀。回復「AI前線」、「TF」等關鍵詞可獲取乾貨資料文檔。

如果你希望看到更多類似優質報道，記得點個贊再走！┏(＾0＾)┛