扫码打开虎嗅APP
来源:涵的硅谷成长笔记(ID:HanGrowth)
作者:Han
风云巨变
这个春天,全球互联网异常动荡。我和小伙伴们,全部瑟瑟发抖。
3月,我所在的Facebook深陷“剑桥分析”大事件,股价狂跌;
4月,好基友小B的东家,国内风头正劲的某新闻分发App,被勒令全线整改;
5月,也就是上周,在英国创业的校友Jack,给我发来了微信:“Han,我公司完了,求内推。”
我问:“你这AI创业好好的,怎么就完了呢?”
他说:“我们的商业模式,在GDPR条款下根本无法生存。”原来,欧盟的最新隐私法GDPR条款触碰到了AI企业的利益。5月25日起,人类史上最严隐私法,欧盟《通用数据保护法案(General Data Protection Regulation)》,简称GDPR,将开始全面执行。
GDPR的严格程度,到了近乎“变态”的地步。
最明显的是,相较20年前的上一版法令,GDPR扩大了用户隐私的定义范围:几乎一切上网痕迹。基本上可以说是“该管的管了,不该管的也管了”。
这其实也还好。让企业真正肝儿疼的,还在于以下两点:
1. 用户必须同意条款
GDPR条款规定,在使用数据前,企业必须让用户知情。这本身没啥,因为上一版就是这么要求的。
可关键是很麻烦。让企业“心累”的点在于:你必须明确告诉我,你收集了我的什么数据,还有用它干啥了。光这一点,现有的隐私协议99%的都不合法。不合法,那咱就改呗。
可这光是通知用户“新协议已经生效”的Email,就得发无数份......因此,GDPR造就了人类史上最大规模的垃圾邮件周。
这是我的过去一周收到的Email:
从这些标题也不难看出,全都是通知我隐私协议已经更改的Email。
GDPR条款还明确规定,在协议里要说人话。以谷歌为例,新的隐私协议界面,简洁大方,还配上了动画。比如,谷歌明确告诉用户,“应用、浏览器和设备信息”都会被收集。
谷歌也告知用户,数据会被用来做什么,比如“用于提供Google的服务”。
除了修改协议以外,另一条规定真的让千万码农倒吸一口凉气。
2. “请忘记我”
去年底,迪士尼动画长片《寻梦环游记》感动了无数人,这部电影的主题曲里有一句歌词叫“请记住我,我们的爱不会消失”。但是在互联网世界里,“记住你”比“忘记你”简单太多了。
GDPR赋予了欧盟人民“被遗忘权”。意思就是,用户可以要求网站,删除于自己相关的数据。你以为这就是点击右键,然后选“删除”这么简单么?当然不是。码农们会说:“这真的没法操作。”
最大的难点在于,你的数据早就被复制太多份了,很难删干净,而且现有的存储架构,可能根本不支持这样的操作。
咱们以BAT分别举例来看看。
先看腾讯。为了用户增长,大部分App会支持微信登录。于是,你的微信昵称、头像全都被复制到了《王者荣耀》或者其他App里。当你想要删除微信账户的时候,根据条款规定,这些第三方App数据也必须要删除。也因此,腾讯在5月27日发布通知,要求所有公众号运营者,在欧盟微信用户取关公众号或者注销微信时,需在三周内同步删除在自己服务器中的用户数据。
再看阿里。从“你可能还喜欢”的商品推荐, 到蚂蚁金服的信贷模型,都在利用你的购买记录数据。码农们为了更快地提取用户特征,早就把数据复制到“合适的地方(如缓存)”无数次了。几乎没人能知道,你的数据究竟在哪里还有备份。
百度的问题可能最严重,主要是搜索引擎。按照GDPR,所有能在百度上搜到的网页,即使是第三方网页,如果和某一用户相关,那用户同样可以要求百度删除相关。而这其实就是著名的“冈萨雷斯”事件。
2014年,西班牙人冈萨雷斯起诉谷歌,希望谷歌删除自己的数据。因为谷歌可以搜到关于他债务问题的报道。经过一系列的诉讼后,谷歌败诉,“被遗忘权”进入公众视野。如今,这起事件中延伸出来的“被遗忘权”已经被明确写入了GDPR。
欧美不合
GDPR条款也带来了“蝴蝶效应”。这是好事么?
当然,我立场坚定地支持保护个人隐私。毕竟,我大概不想让人知道,我买了很多小猪佩奇周边,我也绝对不想再接到莫名其妙的推销电话了。
但GDPR还真的有负面影响,那就是限制发展。大企业将丧失技术活力,而小企业则可能直接死掉。
AI圈子里的人都知道,算法不重要,因为能落地的算法早就开源了。AI圈子里,真正核心的其实是数据。谁的数据多、谁的数据独特而精准,那谁的AI就更高级,那外层包裹的产品也就更厉害。
头条凭什么可以精确推荐内容?没有你的阅读行为数据,他能做么?蚂蚁金服凭什么可以做信用体系?没有几乎全部中国的人消费数据,他能做么?谷歌的无人车技术为什么最强?没有多年积攒的道路和用户驾驶数据,他能做么?
AI是现代互联网的技术核心,而数据又是AI的核心。本来,大企业拥有海量数据,理应是AI成果最为重要的产出地。可强大的监管限制了数据的使用,那么技术发展遇到瓶颈,也只是时间问题。
小企业则更加难过。
GDPR条款非常复杂,光是律师费就让很多中小企业难以承担。根据德国保险公司联合会的调查,仅1/5的中小企业能妥善应对GDPR条款的实施。GDPR条款中还规定了天价的罚款:直接罚款2000万欧元,或者罚款额度达企业年营业额的4%。若是面对这样的罚款,小企业可能就要面临关门大吉了。
这样一来,隐私法完全成为了互联网发展的命门。也正因此,GDPR条款也只能在欧盟通过了。且看世界互联网企业市值排名:中美两国瓜分前十,各占一半,欧盟则完全没有。欧盟国家因为体量有限和语言差异,基本都是依赖美国的互联网产品。
欧美都是“民主政府”,所谓“民主”也就意味着:对于任何法令,大家都可以明目张胆地游说——“找找关系”。
“这不行啊,我们企业会死,要不您看这么改行吗?”GDPR条款的草案在2012年公布之后,就收到了来自美国互联网企业狂轰滥炸般的游说,其中正式提出的修改意见,数量竟然超过了4000份。
最终法案还是通过了,毕竟在广泛接收难民的欧洲,人权真的非常重要。“即使技术不发展,也不能有损个人隐私”,这就是欧盟的态度。不过,欧盟在技术上,倒也是没啥可损失的了。
这要是在美国,就不好说了。
美国的互联网企业们,每年都会在国会上“打点”。其中,亚马逊和谷歌是常年的游说大户,尤其是特朗普上台后。互联网企业们希望确保政策上别出幺蛾子,这是游说的主要目的。
“找找关系”的效果非常显著:科技股,目前在美股中受到的监管最少,仅有不到3万条监管条例。而隔壁的制造业,则有着超过20万条监管条例。
这就造成了一个结果,美国的隐私监管力度,远远不及欧盟国家。
美国和欧盟隐私保护矛盾,其实由来已久。
1995年,欧盟通过了GDPR条款的前身《个人数据保护指令》。其中就明确规定,隐私数据不能出境。除非目的国有“充分”的数据立法。而那时,美国坚持不立法,隐私保护只靠行业自律。
这显然不能让欧盟开心。直到2000年,美欧双方才各让出一步,签订了著名的《安全港协议(Safe Harbor)》。可以说,这个协议是在美欧政策中取得了一个中间值,是一种妥协。
但在GDPR条款发布后,美国企业颤抖了。5月29日,美国商会公开表示,GDPR条款“过于严格”,已经开始与欧盟接触。包括谷歌在内,数十家美国互联网企业联合成立Developers Alliance,并表示,这些企业每年在欧洲的损失可能超过5500亿欧元。
美国作为商业帝国,最害怕的不是隐私,而是失去“绝对领域”,也就是失去“技术壁垒”——全球竞争的护城河。这一点,从前段时间的“中兴事件”也可以看出来。严格的监管,必然会拖累美国的科技发展,这正是美国所害怕的。
中国隐私
欧美两国闹得热火朝天,但作为世界第二大经济体和互联网发展最快的国家,中国的情况就很微妙了。
中国有数据保护的相关法律么?
有,那就是一年前刚刚实施的《网络安全法》。可是,它的重点在于保障国家的信息安全,关注个人隐私的部分几乎没有。整个法令中,仅仅提及了两次“隐私”。与GDPR条款这样详尽的规定,还有着很大差距。
对个人隐私的注重,国内目前更多的还是靠企业自律。“先凑合用着,出了事再说”,这样的观念仍存在于中国互联网行业。
其实中国的情况非常尴尬,“发展”和“污染”总是不可调和的。在硅谷,所有的产品经理头上都有一把刀:Privacy Issue(隐私问题)。产品上线前,必须交由专业律师团队审核。一旦有潜在的隐私顾虑,即使明知KPI一定会大涨,新的产品也不会上线。
而在中国,激烈的竞争之下,产品经理头上的那把刀就不是隐私了,而是KPI。成功的标准永远是有多少人用了新产品、有多少增长率、有多少盈利。纵使存在隐私问题,还是有无数企业选择牺牲隐私,换来产品数据的野蛮增长。而最终中国得到的,是世界互联网产业的半边天。
这一幕似曾相识。还记得“先污染,后治理”么?牺牲环境换来工业发展,以此用30年的改革开放,走完了西方必须要花200年才能走完的路。
中国人不仅在“用隐私换便利”,更多的,是换来了中国互联网的快速崛起,还有在全球互联网产业中的强大话语权。
隐私是互联网的命门,它平衡了“发展”和“污染”。这个度,怎么拿捏,是各国政府的难题。
欧盟选择直接放弃互联网发展,杜绝“污染”。“欧洲将成为数字技术死水。”欧盟议员Daniel Dalton如是说,这个选择,是欧盟的最佳选项。不仅符合欧洲的白左当道的“政治正确”,还把“发展”的损失减到了最低。毕竟,欧洲根本没有大型互联网企业。
美国则选择“动态平衡”。这是在世界公众舆论和政府企业游说中,找寻到“发展”和“污染”的平衡点。
那中国呢?
按照过去的环境问题来看,难道真的要等到“雾霾”来的那一天,再提上治理日程吗?