隐私泄露子弹飞太久数据安全亟待完善

2020-03-20 18:11:39来源：第一财经

中国创业公司在漫长出海路上，屡次因触犯GDPR而被罚或被下架；同时，国内外公司多次爆发用户数据隐私泄事件，其背后原因包括对隐私信息的不重视、技术积淀的缺乏、对高成本投入隐私数据保护认知的欠缺等。

今年2月，第四范式先知（Sage）企业级AI平台完成Privacy SealEU认证工作程序，率先通过欧盟GDPR认证，成为国内第一款通过该认证的AI平台产品。面对GDPR这柄一直悬在诸多公司头顶的利剑，第四范式创始人兼CEO戴文渊在接受第一财经记者采访时表示，此前多公司触犯GDPR要求一方面是因为技术层面的不成熟问题，另一方面是因为越过红线窃取隐私数据的行为的确成本最低。

一边是保证在不侵犯隐私的前提下使用外部数据、但价格较贵；另一边则是越过红线、直接购买并使用隐私数据，成本极低。此外，认知与宽松法律环境给在隐私安全方面打擦边球的公司提供了生存的温床。

严苛的GDPR

一个普遍的行业共识在于，GDPR是至今最严苛的隐私法规，是衡量企业在利用数据过程中是否合规的一把标尺，帮助企业查找产品、流程等方面在隐私保护上的漏洞，提高安全合规性。到目前为止，国内仍较少公司通过GDPR认证，部分原因在于GDPR认证条款的细和多。在GDPR颁布之后，有许多国内企业因担心过高的法律风险，宣布停止向欧洲地区服务，或直接改变赢利模式。

于第四范式而言，戴文渊称，公司战略层面逐渐服务部分欧洲客户，对方的紧迫性与压力直接转化为公司层面的压力。

产品层面，GDPR的强制执行使得企业客户对产品合规有更强烈需求，GDPR的认证几乎是市场准入证，巨额罚款和高资源投入的双重压力下，企业客户从成本和效果考虑，更倾向通过GDPR认证的产品。

技术层面，通过GDPR的难点包括技术控制，或是防御技术手段，如此次第四范式通过GDPR，差分隐私、联邦迁移学习技术、自动多方机器学习技术等均发挥了关键作用。

产品应用层面，第四范式隐私安全保护技术将AI平台赋能给企业，基于自研的保护隐私AI算法，提供安全合规的数据给客户。

另外，为了提高AI模型效果，业界有些做法是通过网络爬数据或从第三方获得数据来使用。而第四范式先知产品建模技术不依赖于第三方数据，客户完成建模工作后，相应数据也随之销毁，实现数据无痕。

具体落地方面，戴文渊表示，第四范式隐私保护技术均提供给所服务客户，但也看客户所处不同区域与法律政策、以及对方的具体需求。

以医疗为例，利用联邦迁移学习技术应用在与瑞金医院合作的“瑞宁知糖”产品中，将数据较为完善的大型医院中迁移出有价值且受隐私保护的知识，帮助地方医院、社区医院、体检中心等机构做出更加完善的医疗诊断。在金融领域，第四范式也正与部分客户探索联邦学习的落地，如融合不同机构的数据构建有效的模型，基于联邦学习技术利用大机构的数据优势赋能小机构等。

隐私泄露危机四伏

3月19日，微博被曝出用户隐私数据被泄露，微博方面回应称，数据泄露一事属实，目前已及时强化安全策略，并表示这起数据泄露不涉及身份证、密码，对微博服务没有影响。

微博官方表示，“此次数据泄露应该追溯到2018年底，当时有用户通过微博相关接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。其一直有提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有根据用户昵称查手机号的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。此次非法调用微博接口匹配出的信息即为微博账号昵称，不涉及其余隐私数据。”

用户隐私的泄露在海外也屡有发生，此前美国人脸识别创业公司Clearview AI被爆出重大数据泄露丑闻，其从网络社交媒体上抓取超过30亿张照片，形成庞大生物特征信息数据库，有超过六百家执法机构及私人安保公司都在使用它的人脸识别产品。只要上传任何一张照片到Clearview AI的软件，就能查到这个人在各社交媒体平台上的照片，甚至是姓名、地址以及其他身份信息。

实际纵观国内外，GDPR生效后巨头公司都成为被罚对象。GDPR生效首日，法国、比利时、德国、奥地利等国家监管机构收到四起诉讼，分别是针对Facebook及其旗下的Instagram、WhatsApp等强迫用户共享个人数据的指控。

2019年初，Google因违反GDPR条例被法国数据保护监管机构处以5000万欧元罚款，系迄今欧洲范围内因违反隐私数据法遭受的最高额处罚金。此外，欧洲非营利组织 NOYB 就商业隐私问题指控8家在线流媒体公司违反GDPR 第15条“访问权”，亚马逊、苹果、YouTube、Netflix等公司赫然在列。

“过去让子弹飞了很久了，有些隐私乱象是一定要杜绝的，比如直接购买用户地址等，”但戴文渊表示，国内是否需要一步到位到GDPR的标准层面，还需根据整个社会的形态以及国内人群的接受度而定。“但未来总有一天要走到这一步。”

另外针对中国公司出海，第四范式方面建议称，出海企业需提升意识和战略，将数据隐私保护作为企业发展的必备条件；在尊重各国数据安全和隐私保护法律的基础上，设计技术路线和产品架构；同时技术和产品成本的增加对企业ROI提出更高要求；制定以客户利益为中心的技术和产品战略，为客户提前做好合规风险把控等。

针对下一步的战略规划，戴文渊对第一财经记者表示，隐私本身更是人性与感受的问题，“隐私”实际并无准确定义，第四范式也在摸索到底什么样的隐私边界与使用数据程度会让用户觉得舒服、能接受。