第一財經

訂閱

發行量:1844 

隱私泄露子彈飛太久 數據安全亟待完善

此外,歐洲非營利組織NOYB 就商業隱私問題指控8家在線流媒體公司違反GDPR 第15條「訪問權」,亞馬遜、蘋果、YouTube、Netflix等公司赫然在列。

2020-03-20 09:17 / 0人閱讀過此篇文章  

中國創業公司在漫長出海路上,屢次因觸犯GDPR而被罰或被下架;同時,國內外公司多次爆發用戶數據隱私泄事件,其背後原因包括對隱私信息的不重視、技術積澱的缺乏、對高成本投入隱私數據保護認知的欠缺等。

今年2月,第四範式先知(Sage)企業級AI平台完成Privacy SealEU認證工作程序,率先通過歐盟GDPR認證,成為國內第一款通過該認證的AI平台產品。面對GDPR這柄一直懸在諸多公司頭頂的利劍,第四範式創始人兼CEO戴文淵在接受第一財經記者採訪時表示,此前多公司觸犯GDPR要求一方面是因為技術層面的不成熟問題,另一方面是因為越過紅線竊取隱私數據的行為的確成本最低。

一邊是保證在不侵犯隱私的前提下使用外部數據、但價格較貴;另一邊則是越過紅線、直接購買並使用隱私數據,成本極低。此外,認知與寬鬆法律環境給在隱私安全方面打擦邊球的公司提供了生存的溫床。

嚴苛的GDPR

一個普遍的行業共識在於,GDPR是至今最嚴苛的隱私法規,是衡量企業在利用數據過程中是否合規的一把標尺,幫助企業查找產品、流程等方面在隱私保護上的漏洞,提高安全合規性。到目前為止,國內仍較少公司通過GDPR認證,部分原因在於GDPR認證條款的細和多。在GDPR頒布之後,有許多國內企業因擔心過高的法律風險,宣布停止向歐洲地區服務,或直接改變贏利模式。

於第四範式而言,戴文淵稱,公司戰略層面逐漸服務部分歐洲客戶,對方的緊迫性與壓力直接轉化為公司層面的壓力。

產品層面,GDPR的強制執行使得企業客戶對產品合規有更強烈需求,GDPR的認證幾乎是市場准入證,巨額罰款和高資源投入的雙重壓力下,企業客戶從成本和效果考慮,更傾向通過GDPR認證的產品。

技術層面,通過GDPR的難點包括技術控制,或是防禦技術手段,如此次第四範式通過GDPR,差分隱私、聯邦遷移學習技術、自動多方機器學習技術等均發揮了關鍵作用。

產品應用層面,第四範式隱私安全保護技術將AI平台賦能給企業,基於自研的保護隱私AI算法,提供安全合規的數據給客戶。

另外,為了提高AI模型效果,業界有些做法是通過網絡爬數據或從第三方獲得數據來使用。而第四範式先知產品建模技術不依賴於第三方數據,客戶完成建模工作後,相應數據也隨之銷毀,實現數據無痕。

具體落地方面,戴文淵表示,第四範式隱私保護技術均提供給所服務客戶,但也看客戶所處不同區域與法律政策、以及對方的具體需求。

以醫療為例,利用聯邦遷移學習技術應用在與瑞金醫院合作的「瑞寧知糖」產品中,將數據較為完善的大型醫院中遷移出有價值且受隱私保護的知識,幫助地方醫院、社區醫院、體檢中心等機構做出更加完善的醫療診斷。在金融領域,第四範式也正與部分客戶探索聯邦學習的落地,如融合不同機構的數據構建有效的模型,基於聯邦學習技術利用大機構的數據優勢賦能小機構等。

隱私泄露危機四伏

3月19日,微博被曝出用戶隱私數據被泄露,微博方面回應稱,數據泄露一事屬實,目前已及時強化安全策略,並表示這起數據泄露不涉及身份證、密碼,對微博服務沒有影響。

微博官方表示,「此次數據泄露應該追溯到2018年底,當時有用戶通過微博相關接口通過批量手機批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上通過其他渠道獲取的信息一起對外出售。其一直有提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但微博不提供用戶性別和身份證號等信息,也沒有『根據用戶暱稱查手機號』的服務。因此這起數據泄露不涉及身份證、密碼,對微博服務沒有影響。此次非法調用微博接口匹配出的信息即為微博帳號暱稱,不涉及其餘隱私數據。」

用戶隱私的泄露在海外也屢有發生,此前美國人臉識別創業公司Clearview AI被爆出重大數據泄露醜聞,其從網絡社交媒體上抓取超過30億張照片,形成龐大生物特徵信息資料庫,有超過六百家執法機構及私人安保公司都在使用它的人臉識別產品。只要上傳任何一張照片到Clearview AI的軟體,就能查到這個人在各社交媒體平台上的照片,甚至是姓名、地址以及其他身份信息。

實際縱觀國內外,GDPR生效後巨頭公司都成為被罰對象。GDPR生效首日,法國、比利時、德國、奧地利等國家監管機構收到四起訴訟,分別是針對Facebook及其旗下的Instagram、WhatsApp等強迫用戶共享個人數據的指控。

2019年初,Google因違反GDPR條例被法國數據保護監管機構處以5000萬歐元罰款,系迄今歐洲範圍內因違反隱私數據法遭受的最高額處罰金。此外,歐洲非營利組織 NOYB 就商業隱私問題指控8家在線流媒體公司違反GDPR 第15條「訪問權」,亞馬遜、蘋果、YouTube、Netflix等公司赫然在列。

「過去讓『子彈』飛了很久了,有些隱私亂象是一定要杜絕的,比如直接購買用戶地址等,」但戴文淵表示,國內是否需要一步到位到GDPR的標準層面,還需根據整個社會的形態以及國內人群的接受度而定。「但未來總有一天要走到這一步。」

另外針對中國公司出海,第四範式方面建議稱,出海企業需提升意識和戰略,將數據隱私保護作為企業發展的必備條件;在尊重各國數據安全和隱私保護法律的基礎上,設計技術路線和產品架構;同時技術和產品成本的增加對企業ROI提出更高要求;制定以客戶利益為中心的技術和產品戰略,為客戶提前做好合規風險把控等。

針對下一步的戰略規劃,戴文淵對第一財經記者表示,隱私本身更是人性與感受的問題,「隱私」實際並無準確定義,第四範式也在摸索到底什麼樣的隱私邊界與使用數據程度會讓用戶覺得舒服、能接受。





文章標籤: