微软针对GDPR推出的解决方案

对于像微软这样的多元化科技公司来说，GDPR的影响几乎不可能更强烈了。我们拥有200多项产品和服务，我们的许多工程团队都有权创建和管理自己的后端数据基础架构。尽管这些信息架构有一些相似之处，但在公司不同部门使用的信息架构存在重大差异。

我们很快意识到这些差异面对GDPR会有问题。欧盟的消费者将会期望以单一流程将他们在我们所有服务中的所有信息都提取出来，以便他们能够以简单和统一的方式加以检视。要想有效实现这一点，我们的唯一方法是创建一个全新的单一信息架构，涵盖我们的所有服务。换句话说，它要涵盖从Office 365到Outlook，再到Xbox Live、Bing、Azure以及Dynamics等所有服务，以及这些服务之间的所有内容。

2016年初，我们挑选最优秀的一些软件架构师组成一个团队。在GDPR于2018年5月25日正式生效之前，他们有两年时间，但他们显然没时间可以浪费。

这些架构师首先需要得到律师的帮助，以确定GDPR的具体要求是什么。在律师的帮助下，他们制定了一个规范，列出我们的服务需要支持的所有技术功能。然后，架构师们制定了一个新的蓝图，用于处理和存储适用于我们所有服务的信息，并使所需的功能有效。

到了8月的最后一周，该计划已准备好提交给萨提亚和公司高层管理团队审查。每个人都知道这一蓝图需要大量的工程工作。我们需要让300多名工程师在该项目上全职工作至少18个月。在GDPR正式实施前的最后6个月，员工的数字将膨胀到数千人。它意味着数亿美元的财务投入。因此这是一个不容错过的会议，有些人为此缩短了他们的假期。

工程和法律团队全面讲述了蓝图、时间表和资源分配，并给每个人都留下了深刻印象。在某些方面，它让每个人感到惊讶。随着会议的进行，萨提亚突然大声笑着说：“这难道不是很棒的一件事吗？”他继续说道：“这么多年来，我们几乎从没有可能让公司所有工程师都同意某一个隐私架构。现在监管机构和律师告诉了我们应该怎么做，创建单一架构的工作也变得轻松了很多。”

这是一个有趣的观察。工程是一个创造性的过程，而工程师则充满了创意。当两个软件工程团队以不同的方式处理同一个问题时，说服他们调和差异并制定统一的方法可能非常困难。即使差异并不会严重影响具有根本重要性的技术特性，人们也倾向于坚持他们所创造的东西。

鉴于微软大型、多元化和授权型的工程结构，这种挑战有时比其他科技公司更大。它过去曾导致我们在多年内维持两个或更多的重叠服务，而这种方法几乎从未取得过太好的效果。相比之下，苹果公司有时依赖其较窄的产品重点和史蒂夫·乔布斯的一言堂式的决策来解决这个问题。略具讽刺意味的是，欧洲监管机构通过明确要求一种需要全面工程妥协的单一方法，反而帮我们解决了这个问题。

萨提亚批准了那个计划。然后，他转向大家，并提出了一项新要求。“考虑到我们花了这么多时间和金钱来做出这些改变，我希望不只是为我们自己来做这些，”他说道，“我希望我们作为第一方使用的每项新功能，都能提供给我们的客户作为第不方来使用。”(www.xing528.com)

换句话说，我们创建的技术应该可供每个客户使用，从而帮助他们遵守GDPR。在数据主导的世界中，这无疑是一个完全合理的做法，但它也会使工作量增加。屋内的所有工程师都倒吸了一口冷气。他们在离开会议室时知道，他们需要投入更多人力参与这个项目。

这种巨大的技术要求有助于解释迅速出现的第二个情况，它具有重要的地缘政治影响。一旦工程工作按照GDPR的要求向前推进，工程师们很难愿意为其他地方创建不同的技术架构，因为维护不同系统的成本和工程的复杂性实在是太高了。

这种情况引发了我们与加拿大总理贾斯汀·特鲁多在2018年初进行的一次有趣的对话。当时，萨提亚和我拜见了他和他的一些高级顾问，我们谈到了隐私问题，这一直是加拿大公众关注的一个重要话题。由于特鲁多提到加拿大隐私法可能会发生变化，萨提亚鼓励他干脆采用GDPR中的条款。他们听到这个建议时非常惊讶，但萨提亚解释说，除非具有根本性的差异，否则为了某一个国家维持不同流程或架构的成本可能会超过潜在收益。

我们拥抱GDPR的巨大热情让我们与科技行业内其他一些公司的立场迥然不同，它们有时倾向于更强调抱怨监管过于烦琐。尽管我们也发现GDPR的部分内容令人困惑或者更糟，但我们认为，科技行业长期成功的关键之一是维持公众对隐私保护问题的信任。这种理念同样源于我们在20世纪90年代所经历的反垄断诉讼，以及我们为此付出的极高的声誉代价。对潜在有争议的监管问题采取更加平衡的方法可能会使我们的一些科技业同行，甚至一些我们自己的工程师认为我们过于圆滑，但长期经历告诉我，这是一条更明智的道路。

然而，科技行业中的一些人经常以美国公众对隐私保护的矛盾心理为理由忽视美国的监管压力。他们会说：“隐私已死。人们只需要忘掉它。”

我相信隐私保护问题可能会一直保持平静，直到某天突然爆发。在几乎不存在政治基础来制定更周全方法的情况下，风暴可能随时发生。公众对隐私保护的矛盾心理让我想起了几十年前核工业的经历。

整个20世纪70年代，核电工业未能就其技术进步所带来的风险进行有效的公众讨论，这使得公众和政治家们对1979年在宾夕法尼亚州北部三里岛核电站发生的泄漏事故毫无准备。与其他国家不同，由于这场灾难，三里岛事故政治余波不止，使美国的核电站建设陷入停滞。直到34年后，美国才开始兴建另一座核电站13。

我认为，我们应该吸取这个历史教训，而不是重蹈覆辙。