三联生活周刊：许多隐私保护的技术会影响搜索、推荐服务的效率，如何在技术应用和隐私保护间取得平衡？
方兴：首先得看是哪种隐私保护技术。比如按照国际的《通用数据保护条例》（GDPR）和国内的《个人信息保护法》，严格要求“匿名化数据”，也就是个人数据如果不经过用户授权使用和共享只能匿名化，意思是这些数据在经过足够的处理后，分析不出是哪个具体的人，这就要求对数据进行大量的模糊化，需要差分隐私、K匿名这样的技术。但这些模糊化的数据，用作通用建模还可以，如果想做精准、个性化的营销等业务就不行。因为个性化服务必须了解准确的个人信息，例如富裕程度、教育水平、家庭构成等。

还有一种广告追踪技术，会持续性地分析用户在网络上的行为，经常看什么网站、买什么东西等，方便定向推送广告。严格来说，这种追踪技术本质上都可以定位到人，不管它号称使用了什么技术来对数据模糊化。每个设备都有一个唯一识别ID，我们叫它UMID（唯一机器识别码），所以不论是MAC地址还是IMEI地址，或者基于这些信息做各种计算，最终技术上都可以把这些数据还原到真实的个人身上。现在大型科技公司都在提差分隐私，希望在采集时减少一些精准属性信息的提取，但从技术角度来看，隐私保护肯定与数据的使用和分析存在一定冲突。

三联生活周刊：所以利用这种广告追踪技术，不管我使用哪个设备打开什么App，它都能够追踪并获取我的数据。

方兴：以前在数据安全还不被重视的时候，这种技术甚至可以把你和周围的网络环境互联。不止手机、电脑，可能你在家里说话，都会被智能语音设备偷偷收集。因为你的语音也有自己的“指纹”，根据提取的“语音指纹”数据，结合IP地址、使用的Wi-Fi，也可以定位到个人身上，了解你的关系链条、行为习惯。很多人会说，为什么我今天只是和人线下聊天提了一嘴这个东西，并没在网上搜索过，但也给我推送了这个产品？这可能就是使用了语音收集等技术。广告业发展的很多技术都是与人的识别有关联的，不论用户在哪个场景，只要能联网，最后都能把这些用户行为数据作“归一化”。

三联生活周刊：这要如何去平衡限制？

方兴：有些就得限制，必须得让用户知情，你在采集我的数据，你采这些数据是为了干什么，不能随便采。工信部和网信办最近下架了很多App，都是因为违规采集数据。要区分违规采集和强制性采集这两个概念。违规采集是哪怕用户授予App使用语音的权限，也不能在后台偷偷录音，只可在用户真正发出语音请求的时候才能使用语音功能；强制性采集就相当于霸王条款，让用户知情授权，如果要提供服务就必须采集这些数据，不然不能工作。

三联生活周刊：我看到有人说，相比现在大家关心的语音、摄像头等问题，个人信息数据其实最容易暴露在输入法上？

方兴：因为现在都用的是云输入，而以前我们用的是本地输入。云输入的话，你打的每个词都从云上反馈给你，它就能够直接被云端记录获取。

三联生活周刊：在技术层面，我们现在已经能够解决哪些问题？

方兴：从技术层面来说，数据安全涉及到各种各样的场景，比如分析计算的场景、使用流通的场景，在终端上的介质场景、存储场景、访问场景……现在存储场景的数据安全方案可能比较成熟，通过加密、脱敏等手段加以保护。分析计算的场景就比较困难，因为大量不同来源、不同授权的数据汇集到一起进行计算，要求的控制密度可能会细到一个数据中的一条记录、一个字段。比如，这些数据可能来自美国、法国、中国，每个人授权的数据也不一样，每个国家的法律要求又不一样。要在这么大量的计算中精准控制这么多数据，满足这么多合规性、安全性的要求，是非常具有挑战性的。不过，真正难解决的还是数据流通后，在使用、共享和计算中数据的安全和隐私保护问题。

三联生活周刊：对比国外，你认为中国在数据保护上大体处于什么状况？

方兴：技术上中国一直走在前面，但是中国面临的数据使用场景以及数据泄露风险的挑战比国外多。国外很早就重视数据隐私，大数据被高频使用的融合性使用场景并不多见，基本上是大企业自己内部在使用，跨用户授权的场景很少。但在国内，我们是大量跨企业、融合性地在数据流动生态链上打通使用这些数据。像金融单位可能会拿到个人的健康数据、互联网消费数据，将这些来源不同的数据融合在一起分析客户画像。打通这些数据当然有好处，效率能得到很大提高，国外的物流不如中国这么发达，除了人工费用高之外，也与很多数据链没有打通有关。

中国物流的数据生态链是被打通的，电商平台会把自己的数据推给物流和仓储，同时电商需要物流的数据反馈来对用户追踪，了解包裹是不是送达。这其中还有别的业务风险，比如空包风险，某些商家为了刷信誉会雇用托儿来购买货物，但实际不产生物流交付，通过物流数据就可以知道这部分商品是不是真的卖了出去。数据跨平台、跨企业、跨生态流动，就会导致数据的风险和控制要求比国外高很多。

- END -

如有侵权，请联系删除