翻越山丘：中国科技公司面对GDPR的这两年

还记得两年前的“谷歌天价罚单”和“史上最严隐私保护法案”吗？

2018年5月，欧盟通过了新的《通用数据保护条例要求》，也就是大名鼎鼎的GDPR。严苛的法规要求，加上一上来就拿谷歌“祭刀”，消息传到国内自然惊起了不少风浪。

一时间，无数媒体都在发声讨论一件事：如此严格的隐私保护法案之下，中国科技企业，尤其是互联网和AI这些跟个人数据息息相关的行业，很可能沦为GDPR重灾区。

两年时间就快过去，GDPR之下中国科技公司的真实生存状况如何？这座隐私保护的大山真的无从翻越吗？

踟蹰：GDPR面前的科技企业

与国内媒体的“预言”不同，中国科技公司似乎并没有遭受GDPR多少“实质性打击”。唯独抖音海外版TikTok去年7月被爆出因违反GDPR，可能面对高达2260万美元的罚单。

与之相对，Facebook、推特、微软、苹果、谷歌等美国科技巨头却无一幸免，全都或多或少违反了GDPR，遭遇不同程度的“罚刀”。据不完全统计，在近两年时间内因违反GDPR而被开出的罚单已经达到了1.26亿美元，美国科技公司在其中做出了主要贡献。

然而触雷者较少并不值得欣慰，实际上中国科技公司仅有极少数通过了GDPR认证，偶见手机、无人机等国产硬件通过GDPR，在持续打开欧洲市场。但互联网、数据服务、AI相关的软件类业务，却很难在GDPR认证列表里找到身影。

或许可以这么说，中国科技公司选择了绕开GDPR，GDPR整体上看成为了中国科技公司去往欧洲市场的休止符。

在中国科技公司选择避开欧洲市场的日子里，我们还要回到问题的起源：GDPR为什么让他们如此头疼？

丈山：GDPR怎么它就那么难

这个“史上最严”究竟有几斤几两？

从规则而言，GDPR把隐私数据的相关权力全部归于最终用户，把问责目标完全锁定在收集、存储和使用数据的软件平台上。

这个逻辑让个人用户听来欢欣鼓舞，但极致化的规范在执行中却要面对一系列问题。

比如说GDPR扩大了“隐私”定义的范畴。一些常规数据，比如地理位置、Cookie数据、医疗保健和生物遗传数据等等都被纳入保护范畴，这让很多与智能推荐相关的应用无从谈起。

再有，GDPR主张用户拥有一系列的个人数据主权，比如能够进行数据访问、数据整改、数据可移植和可删除等等，平台需要确保用户能够随时行使自己的数据主权。而改变带来的企业成本增加，则不在GDPR的考虑范畴，尤其是GDPR要求保存、使用数据的历史都要有书面记录，并将信息提供给数据保护机构，由此带来繁琐的工作可想而知。

用户权利和平台责任的无限放大，导致GDPR成为了一种细则众多，稍不留神就会触犯的法规体系。并会导致众多企业在隐私合规领域的成本过多，这既包括技术、法务、管理流程成本，也包括采购和供应商的监管成本。对于初创型的公司来说，可能根本无法聘用到足够支撑GDPR合规的团队。

结果就是，GDPR面前，一大批创业公司倒闭，美国公司交罚款，中国公司望而却步。

攀者：GDPR的中国式突围

纵然有千般不易，科技全球化的车轮始终没有停下过转动。

GDPR虽把欧盟市场隔离为数据隐私保护的高山，但依旧有不少公司成功攀越。两年过去，翻山越岭的案例，也在渐渐给中国科技产业趟出路的痕迹。可以从几个案例里，看到中国公司想要通过GDPR需要具备的条件。

1、去年9月华为EMUI10关键特性获得了ePrivacySeal证书，通过了GDPR隐私合规认证。所谓ePrivacySeal，是一家德国个人数据保护法律和技术专家检测机构ePrivacy提供的认证，被广泛用于GDPR所需的第三方机构认证。

EMUI10的关键特性改变，在于构建了安全隔离系统TEE OS，从而将用户的指纹、人脸等生物信息置放到安全系统中进行加密、验证、存储等处理，决不上传云端。终端系统隔离+云端数据脱敏，成为符合GDPR的主要逻辑方案之一。

2、就在今年2月初，国内著名AI独角兽公司第四范式旗下的先知(4paradigm Sage)企业级AI平台完成了ePrivacySeal认证工作程序，通过GDPR认证。从而成为了国内第一款通过GDPR认证的AI软件类产品。

第四范式能够在众多AI公司中率先过关，与其本身服务金融等高敏行业的管理服务经验，以及全球化的出海经验有关。但AI技术的差异化也构成了其通过GDPR的主要原因。

在第四范式通过GDPR涉及到的众多AI技术中，差分隐私算法扮演了关键角色。所谓差分隐私，是指在数据查询、分析的过程中，对数据操作中的某些步骤注入噪声、混淆，使得数据结果与数据源之间实现脱敏，获得差分隐私保证。