流動中的數(shù)據(jù)價值挖掘 V．S． 隱私保護

— 數(shù)據(jù)擁有者的控制力數(shù)據(jù)自由流動中的價值挖掘能讓AI更好地發(fā)揮價值，但同時，數(shù)據(jù)流動過程中不經(jīng)節(jié)制的應用，也會帶來數(shù)據(jù)隱私侵犯的隱患。最近多個金融大數(shù)據(jù)公司遭到立案調(diào)查，從數(shù)據(jù)源的角度來看，其中一個重要原因就是該類公司的爬蟲對觸達的數(shù)據(jù)未經(jīng)授權(quán)進行存儲或超出了約定的使用范圍。

舉例來說，如果有一個 App 聲稱幫助用戶進行多個金融賬戶進行管理并綜合呈現(xiàn)個人現(xiàn)金流等信息，為了幫助 App 呈現(xiàn)這些信息，用戶就需要提供這些金融賬戶的訪問權(quán)限。但如果在這個過程中 App 對個人銀行賬戶內(nèi)的所有信息都進行了抓取和存儲，并將這些信息提煉出來的標簽出售給第三方或利用標簽開展新的業(yè)務。由于這些過程未對用戶進行告知并獲得許可，都是一種對數(shù)據(jù)使用權(quán)的濫用。
從當下的工程實踐來看，解決挖掘和隱私的兩難，可能目前最好的解決方法是給數(shù)據(jù)擁有方一個控制力，包括對數(shù)據(jù)收集的授權(quán)和收集后保存和使用的控制。國際上普遍進行的實踐或者規(guī)范（如GDPR）都傾向于對個人擁有的數(shù)據(jù)及其數(shù)據(jù)的各種上下文環(huán)境進行準確的授權(quán)。

比如GDPR中就會要求第一方數(shù)據(jù)要明確“自己采集到了哪些數(shù)據(jù)”，當用戶有了這個明目之后，應當有權(quán)來選擇“保留哪些刪除哪些”；在此基礎之上，還比如會要求對數(shù)據(jù)處理方法作出明確問詢和授權(quán)，“比如通過采集到的用戶點贊的帖子的內(nèi)容和類型來學習用戶的興趣愛好”；這些興趣愛好作為標簽，雖然不是原始數(shù)據(jù)，仍然需要用戶進行逐一的明確授權(quán)。

當我們通過給予數(shù)據(jù)擁有方控制力的方式去平衡數(shù)據(jù)價值挖掘和隱私保護，在實踐中又會出現(xiàn)一個新的挑戰(zhàn)——如何在不侵犯個人隱私的前提下，獲得個人的授權(quán)。

舉個例子，比如在獲得興趣愛好標簽授權(quán)的時候不太可能有用戶可以預先對近乎無限多的興趣愛好進行一一授權(quán)，一般的過程也是首先由數(shù)據(jù)挖掘方獲得了某個標簽，再針對這個標簽進行問詢。

我們在過去的工作實踐中見過的最好的處理方法是首先對多達三到六百萬常用的興趣愛好做知識圖，將這些興趣愛好的包含關系或者關聯(lián)性整理出來；之后再對各類興趣愛好通過找到包含關系中處于包含當前愛好的比較泛化的那類愛好進行問詢這樣點到為止的方式來完成。

即便做到這樣，雖然消耗了巨大的資源并且有很高的門檻，也很難說做到了完美，因此也就不難理解多數(shù)公司在應對GDPR或者相關合規(guī)的問題上面臨著巨大的挑戰(zhàn)這個事實。

數(shù)據(jù)擁有者的控制力如何賦予？數(shù)據(jù)擁有者控制力的核心意義在于讓每個擁有者在挖掘和保護之間選擇自己的平衡點。為了給擁有者控制力，第一步要討論的是誰是數(shù)據(jù)的擁有者這個問題。

一般對于個人數(shù)據(jù)來說，無論是個人的身份識別信息或者生物統(tǒng)計信息這樣對個人進行描述的數(shù)據(jù)，還是用戶的行為信息（比如訪問了哪些app，在app里面做了哪些事情）或者由這些行為信息所得到的新的標簽這樣的用戶生成數(shù)據(jù)，都會認為擁有者是這個人本身。

尤其對于產(chǎn)生的標簽數(shù)據(jù)來說，有些情況下認為由于標簽是比如數(shù)據(jù)采集方進行學習而得來的因此擁有者是采集方這個想法也不應該是被廣泛認同的。

圍繞擁有方是產(chǎn)生數(shù)據(jù)的個體這條線去思考，在整個數(shù)據(jù)生命周期鏈條里面就存在對第一方數(shù)據(jù)的控制、第二三方的控制等不同的問題。

對于第一方來說，由于是數(shù)據(jù)的采集者，涉及的方面也是最多的。Facebook在2018年的F8上宣布一個針對給用戶控制力的功能叫Clear History，里面描述的愿景基本理解為可以允許用戶在采集，存儲和使用三個方面給予控制力。

首先用戶會看到Facebook從哪些合作方渠道獲得了用戶的什么樣的數(shù)據(jù)（采集可見），之后允許用戶決定是否可以在廣告投放中進行使用（使用控制），再次允許用戶對這些數(shù)據(jù)進行立即刪除的操作（存儲控制）。

這個功能聽上去簡單，但實際上對于一個正在運轉(zhuǎn)的機構(gòu)來說，要涉及到鑒別所有的數(shù)據(jù)來源、在復雜的數(shù)據(jù)流里面識別各類數(shù)據(jù)、以及對某個數(shù)據(jù)的所有存儲位置進行控制這幾方面能力。對于小機構(gòu)來說資源和投入產(chǎn)出比肯定是不夠的，對于大機構(gòu)來說由于內(nèi)部數(shù)據(jù)流太過復雜，為了實現(xiàn)它往往會需要做整個系統(tǒng)的重新設計和實現(xiàn)，代價也不言而喻。

舉例來說，為了實現(xiàn)Clear History：首先為了在幾萬PB的數(shù)據(jù)倉庫中甚至更大的冷存儲中找到所需要控制的數(shù)據(jù)，就需要做整個數(shù)據(jù)集的語義識別（很多時候由于表單的schema并不統(tǒng)一，所以直接使用metadata很難準確的判斷數(shù)據(jù)類型），這個過程類似給數(shù)據(jù)打標簽。為了可以覆蓋更多的存儲點，會需要根據(jù)已經(jīng)得到的數(shù)據(jù)標簽對數(shù)據(jù)流進行端到端的識別。當所有的存儲點識別完成后，為了實現(xiàn)功能中的實時刪除，還需要在重新定義數(shù)據(jù)結(jié)構(gòu)的基礎上配合一個高吞吐量的中心管理系統(tǒng)。

這個過程協(xié)調(diào)了許多內(nèi)部部門，消耗了大量的資源，耗時一年以上。不難看出，在企業(yè)間的數(shù)據(jù)流通中也存在潛在的類似挑戰(zhàn)。

除第一方數(shù)據(jù)以外，在授權(quán)第二方的過程中，可能大體會分為兩種情況：第一種授權(quán)的目的可能是協(xié)助數(shù)據(jù)挖掘，第二種授權(quán)的目的可能是協(xié)助數(shù)據(jù)變現(xiàn)。在第一種情況下一般會只授權(quán)使用，不授權(quán)再次轉(zhuǎn)讓，并且對存儲進行嚴格的控制（控制在使用所需的存儲范圍內(nèi)）。

比如說，對消費行為進行建模的第二方數(shù)據(jù)，往往會存在過去兩周和過去兩個月這樣兩種時點，超過兩個月的消費行為一般價值也微乎其微。那么在授權(quán)存儲的時候一般會限定存儲時間不能超過2個月（外加一個比如24小時的灰色周期）。

在數(shù)據(jù)使用的授權(quán)上，一般如果對數(shù)據(jù)挖掘的目標及使用場景進行嚴格的限定，一方面可以保護授權(quán)方在競爭法層面的權(quán)益，另一方面也可以間接保護數(shù)據(jù)擁有方的個人隱私。

從保護個人隱私的角度來講，假設授權(quán)的目的是計算某些用戶的還款風險從而幫助授權(quán)方?jīng)Q定是否放貸的場景，如果不限定挖掘的目的只能限于該合作方之間的征信目的，則可能會被第二方使用同樣的數(shù)據(jù)用于與其它合作方的營銷場景中作為對于個人現(xiàn)金流的判斷的一個因素。

對于第二種（數(shù)據(jù)變現(xiàn)）的情況，會有比如通過特定的場景或產(chǎn)品進行變現(xiàn)以及通過售賣標簽進行變現(xiàn)不同的類型。這里不對各種數(shù)據(jù)變現(xiàn)的方式進行展開，但想強調(diào)一點的是在變現(xiàn)的過程中需要關注的是原始數(shù)據(jù)在第二方或其它地方的沉淀情況。因為雖然一般授權(quán)方會通過限制原始數(shù)據(jù)的轉(zhuǎn)讓（從而保護個人隱私），但仍然會允許加工過的數(shù)據(jù)進行流通或通過某個場景達成目標。

無論是哪種方式輸出的結(jié)果，都難以完全地避免數(shù)據(jù)的信息被沉淀，大量的沉淀會間接的導致原始數(shù)據(jù)被轉(zhuǎn)讓。舉一個數(shù)據(jù)泛化中沉淀結(jié)果的極端例子來說，假設我們允許對某一個人的常見活動區(qū)域輸出某個較大的半徑圓范圍，多個這樣的半徑圓就可以逐步縮小對這個人活動區(qū)域的判定。

公開數(shù)據(jù)和前述的最大區(qū)別是，由于已經(jīng)公開，只要是獲得了數(shù)據(jù)擁有者對于公開的授權(quán)，那么之后不會再對公開數(shù)據(jù)的采集者進行一一授權(quán)。采集者獲取公開數(shù)據(jù)的途徑一般也都是通過爬蟲這樣的主動收集的形式，具有一定的收集和清理／整理成本。