從滴滴被查談隱私計算

本文來源於理深科技時評，作者為白碩。

滴滴在美國剛剛"低調"上市，國家網信辦的安全審查就接踵而至。審查的結論已於昨日公布，滴滴的App被明確要求下架。

不管是涉及到了客戶的隱私也好，涉及到了國家道路基礎設施數據的出境也好，滴滴作為平台公司，擁有並知曉這些數據，卻是不爭的事實。筆者從2017年起就在多次演講中介紹並呼籲業界重視隱私計算技術，提到隱私計算的演講不下十餘次。眼下的形式，恰好對筆者這幾年的呼籲作了很好的註解。本文嘗試從隱私計算技術的角度做一個分析，看看如果這兩部分數據對滴滴來說是"可用不可見"的，會不會影響滴滴的業務。

首先，就事論事，對於網約車業務來說，客戶是誰其實是不重要的。只要你有支付能力、有位置信息、有出行需求，把你需要的車給調度到位就是了，管你是誰。當然，有人會問，如果不綁定某個真實的用戶，怎麼知道你有沒有錢。

這個其實簡單，用戶只要把預付款"匿名"打到一個智能合約，等到運輸服務完成，再由智能合約按分成比例轉給司機和平台方就是了。中間如果服務不得不中止，也可以按照智能合約的約定，按中止的條件予以結清。這裡面，用戶是誰顯然並不重要。只要能夠精準地拉到活兒，收到錢，就不應該過問用戶是誰。

其次，對於網約車業務來說，道路數據確實是不可缺少的信息基礎設施，但是道路數據發揮作用，並不以平台"知曉"該數據為基本前提。

在隱私計算框架之下，道路數據可以"背靠背地"與客戶的地理位置和車的地理位置相關聯。也就是說，道路基礎設施可以像一個黑箱一樣，通過API接口來響應客戶的請求，匹配就近車輛、計算優化路徑，預估時間和價格等等。

這些都不以平台公司必須"看穿"道路數據為前提；但借助於隱私計算技術，可以在不看穿計算過程的情況下確認計算結果是可信的。所以，有了隱私計算技術，道路數據服務可以封裝為一個黑箱，數據不可見，但API可用，而且API的使用在隱私計算意義下是可以自證的。只要國家法律要求這部分數據不得洩露，黑箱保持為黑箱就可以了，甚至可以交由一支國家認可的特別的團隊來開發和運行它。

有人可能會說，根據支付的歷史，推斷一個客戶的支付能力，由此關聯到推薦擋位乃至定價（大數據殺熟），這意味著除了在線的接單、匹配、調度之外，還要進行後台的大數據分析，離開了數據的"可見"特性，這一切還能做到嗎？

當然，大數據分析本身的隱私計算框架還不完善，但實際上，技術上已經可以做到允許客戶用兩種不同的匿名方式來發起業務：一種是"一次性匿名"，即本次出行不與該用戶歷史上的任何一次出行相關聯；另一種是"連貫性匿名"，即本次出行可以與自己在歷史上選擇為"連貫性匿名"的各次出行相關聯，但與出行場景之外該客戶是誰仍然不相關聯。

把關聯的開關掌握在用戶手裡，就可以防止平台方對關聯數據的濫用。如果客戶選擇了匿名發起業務，恰恰說明客戶不想把自己的本次出行行為跟自己歷史上的出行行為相關聯。你硬要關聯，說是為客戶好也罷什麼也罷，是不是有點違背客戶的意志了呢？這背後之所圖，是不是有點超出業務範圍了呢？

個人出行的軌跡，對於"有關方面"來說也許是有用的。這裡有一個平台方不可見、無關方不可見但可以讓"有關方面"看見的技術安排問題。

這個技術安排，也不是做不到，關鍵是私鑰的管理問題。這件事做好了，也省得各家平台都舉著"有關方面"的大旗，跟用戶要隱私數據。有關方面為了調取隱私數據，開的口子越多越難以管控。還不如一個口子解決實名映射問題，剩下那些從平台處拿到的隱私數據都可以在實名映射之下還原為可見數據。這是杜絕隱私數據流失的最好辦法。

期待有一天，平台公司以可以自證沒碰用戶隱私數據，沒碰國家關鍵基礎設施數據為賣點，而現有平台的服務功能並不缺失。這一天或許不會太遠了。從事隱私計算技術研發的諸君，努力迎接這一天的到來吧。