《歐盟數(shù)據(jù)保護(hù)新規(guī)對(duì)人工智能的影響》報(bào)告述評(píng)

吳沈括，唐巧盈

（1.北京師范大學(xué)刑事法律科學(xué)研究院暨法學(xué)院；2.上海社會(huì)科學(xué)院互聯(lián)網(wǎng)研究中心）

編者按：2018年3月26日，美國(guó)知名智庫(kù)信息技術(shù)與創(chuàng)新基金會(huì)（ITIF）發(fā)布了題為《歐盟新的數(shù)據(jù)保護(hù)規(guī)定對(duì)人工智能的影響》的報(bào)告。報(bào)告認(rèn)為，歐盟新的數(shù)據(jù)保護(hù)規(guī)定——《一般數(shù)據(jù)保護(hù)條例》（GDPR）一方面將對(duì)歐洲人工智能的開(kāi)發(fā)和使用產(chǎn)生負(fù)面影響，帶來(lái)高昂的創(chuàng)新和生產(chǎn)成本，并將使歐盟企業(yè)與北美和亞洲等競(jìng)爭(zhēng)對(duì)手相比處于劣勢(shì)地位；另一方面，GDPR在人工智能上的限制性規(guī)定對(duì)保護(hù)消費(fèi)者沒(méi)有多大作用，且在某些情況下甚至可能會(huì)傷害他們。因此，歐盟應(yīng)修正GDPR使其在未來(lái)幾年不束縛數(shù)字經(jīng)濟(jì)發(fā)展。當(dāng)前，隨著GDPR的貫徹實(shí)施，其全球性影響將不斷顯現(xiàn)，而充分認(rèn)知GDPR對(duì)傳統(tǒng)和新興領(lǐng)域的影響作用，對(duì)于促進(jìn)國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)治理都將具有重要現(xiàn)實(shí)意義。

《歐盟新的數(shù)據(jù)保護(hù)規(guī)定對(duì)人工智能的影響》（The Impact of the EU’s New Data Protection Regulation on AI）報(bào)告由ITIF數(shù)據(jù)創(chuàng)新中心高級(jí)政策分析師尼克·華萊士（Nick Wallace）和ITIF副總裁兼數(shù)據(jù)創(chuàng)新中心主任丹尼爾·卡斯特羅（Daniel Castro）撰寫(xiě)，圍繞以下三個(gè)層面展開(kāi)：

1.總體影響

在新興的數(shù)字經(jīng)濟(jì)中，許多行業(yè)的創(chuàng)新主要由數(shù)據(jù)驅(qū)動(dòng)。這一趨勢(shì)使人工智能成為企業(yè)最有價(jià)值的工具之一。人工智能可比人類(lèi)更快地分析大規(guī)模數(shù)據(jù)集，快速準(zhǔn)確地觀察數(shù)據(jù)趨勢(shì)，并從這些觀測(cè)結(jié)果中得出結(jié)論；人工智能也使企業(yè)利用數(shù)據(jù)提供新服務(wù)，優(yōu)化現(xiàn)有流程。根據(jù)咨詢(xún)公司普華永道估計(jì)，到2030年，人工智能將為歐洲GDP貢獻(xiàn)2.5萬(wàn)億美元。然而，限制數(shù)據(jù)使用的規(guī)定會(huì)對(duì)人工智能產(chǎn)生嚴(yán)重影響。2018年5月即將生效的GDPR對(duì)企業(yè)如何使用歐盟地區(qū)的個(gè)人數(shù)據(jù)做出了嚴(yán)格的規(guī)定，這無(wú)疑會(huì)阻礙在歐洲發(fā)展人工智能。

首先，GDPR將阻礙各行各業(yè)的歐洲公司發(fā)展人工智能，抑制在全球范圍內(nèi)開(kāi)發(fā)和銷(xiāo)售人工智能解決方案的歐洲公司的出現(xiàn)。盡管歐洲以外的許多公司也有義務(wù)遵守GDPR，但受其影響最大的仍是歐洲公司。因?yàn)樵诖蠖鄶?shù)情況下，相較于外國(guó)公司，歐洲的數(shù)據(jù)對(duì)于他們使用或發(fā)展人工智能更重要。但由于這些限制，歐盟的相關(guān)企業(yè)將處于競(jìng)爭(zhēng)劣勢(shì)。

其次，GDPR還將對(duì)外國(guó)公司產(chǎn)生影響，并損害歐盟的經(jīng)濟(jì)。許多外國(guó)公司將不愿在歐盟地區(qū)提供以人工智能為基礎(chǔ)的服務(wù)，從而使歐盟消費(fèi)者和企業(yè)無(wú)法獲得優(yōu)質(zhì)的服務(wù)，并使歐盟的人工智能市場(chǎng)競(jìng)爭(zhēng)力和創(chuàng)新力下降。

除此之外，GDPR在人工智能上的限制規(guī)定對(duì)于保護(hù)消費(fèi)者實(shí)際沒(méi)有任何作用，并且在某些情況下甚至可能損害消費(fèi)者。例如，由于需要權(quán)衡算法透明度和準(zhǔn)確性，解釋算法決策的要求迫使公司使用更透明、更不準(zhǔn)確的算法，這中間的妥協(xié)和偏差將導(dǎo)致對(duì)用戶(hù)的不公平?jīng)Q策。同樣，對(duì)單一自動(dòng)化決策的普遍禁止，將致使人們做出不公平和不合理的決定，并最終傷害消費(fèi)者本身。

2.具體影響

報(bào)告認(rèn)為，GDPR至少在九個(gè)方面將對(duì)歐洲人工智能的開(kāi)發(fā)和使用產(chǎn)生負(fù)面影響：

①要求公司人工審查重要的算法決策會(huì)增加人工智能的總體成本。GDPR的第22條專(zhuān)門(mén)針對(duì)人工智能做出了直接規(guī)定，即公司必須讓人來(lái)審查某些算法決策。這種限制大大提高了勞動(dòng)力成本，并對(duì)人工智能的使用形成了強(qiáng)大的阻礙——開(kāi)發(fā)人工智能的主要目的是使功能自動(dòng)化，如果這些功能由人類(lèi)執(zhí)行則會(huì)速度更慢，成本更高，并且更難以完成。

②解釋權(quán)可能會(huì)降低人工智能的準(zhǔn)確性。GDPR的第13至15條規(guī)定，公司有義務(wù)提供個(gè)別算法決策的詳細(xì)解釋或關(guān)于算法如何做出決定的一般信息。然而，由于算法決策的準(zhǔn)確性和透明度之間存在內(nèi)在的平衡，這樣的規(guī)定會(huì)破壞算法的準(zhǔn)確性，并導(dǎo)致不公平的決定。

③刪除權(quán)（被遺忘權(quán)）可能會(huì)損壞人工智能系統(tǒng)。第17（1）條中的“刪除權(quán)”也將危害歐洲人工智能的發(fā)展。所有基于無(wú)監(jiān)督的機(jī)器學(xué)習(xí)的人工智能系統(tǒng)，是在沒(méi)有外界幫助的情況下通過(guò)數(shù)據(jù)處理與學(xué)習(xí)來(lái)提升自身數(shù)據(jù)處理能力。這將需要“記住”它們用來(lái)訓(xùn)練自己的所有數(shù)據(jù)，以維持從數(shù)據(jù)中獲得的規(guī)則。然而，刪除人工智能系統(tǒng)運(yùn)行中關(guān)鍵規(guī)則的數(shù)據(jù)可能會(huì)降低準(zhǔn)確性，并限制其對(duì)其他數(shù)據(jù)主體的好處，甚至完全破壞人工智能系統(tǒng)。

④禁止重新利用數(shù)據(jù)將限制人工智能的創(chuàng)新。與其前身《數(shù)據(jù)保護(hù)指令》一樣，GDPR第6條總體上禁止數(shù)據(jù)用于除首次收集之外的任何其他目的。因此企業(yè)難以使用數(shù)據(jù)進(jìn)行創(chuàng)新。這將限制公司在歐盟開(kāi)發(fā)或使用人工智能改善服務(wù)的能力。因此，歐盟消費(fèi)者和企業(yè)將很難獲得人工智能最新創(chuàng)新的好處。

⑤模糊的規(guī)則可能阻礙公司使用已去標(biāo)識(shí)的數(shù)據(jù)。雖然已去標(biāo)識(shí)的數(shù)據(jù)在GDPR的法律豁免范圍內(nèi)，但因缺乏明確的廣范接受的數(shù)據(jù)去標(biāo)識(shí)的標(biāo)準(zhǔn)，公司不會(huì)冒然使用這些數(shù)據(jù)以避免監(jiān)管機(jī)構(gòu)的嚴(yán)厲執(zhí)法。這會(huì)削弱公司通過(guò)處理和分享去標(biāo)識(shí)的數(shù)據(jù)來(lái)改善人工智能系統(tǒng)的動(dòng)力。

⑥GDPR的復(fù)雜性會(huì)提高使用人工智能的成本。GDPR是一項(xiàng)非常復(fù)雜的立法，可能在實(shí)際運(yùn)作中難以遵循。開(kāi)發(fā)或使用人工智能的公司需要專(zhuān)門(mén)的人員和技術(shù)來(lái)確保它們符合GDPR的規(guī)定，從而提高使用人工智能的成本和難度。

⑦GDPR增加了使用人工智能的企業(yè)的監(jiān)管風(fēng)險(xiǎn)。越來(lái)越多的證據(jù)表明，很大一部分公司，特別是中小企業(yè)不了解這些法規(guī)對(duì)他們的意義，并且很可能因此成為執(zhí)法的靶子。與此同時(shí)，GDPR帶來(lái)了巨額罰款：最高可達(dá)公司全球營(yíng)業(yè)額的4%或2000萬(wàn)歐元（以較高者為準(zhǔn)）。高額罰款規(guī)定對(duì)中小企業(yè)而言是致命的風(fēng)險(xiǎn)，將阻礙他們采用人工智能。

⑧數(shù)據(jù)本地化的要求提高了人工智能的成本。GDPR第5章闡述了對(duì)歐盟境外個(gè)人數(shù)據(jù)流動(dòng)的嚴(yán)格控制。例如要求公司在歐盟國(guó)家內(nèi)部使用數(shù)據(jù)存儲(chǔ)中心，這雖然減少了云服務(wù)提供商之間的競(jìng)爭(zhēng)，但卻增加了數(shù)據(jù)處理成本。

⑨數(shù)據(jù)的可攜性將刺激人工智能競(jìng)爭(zhēng)，但仍需要付出代價(jià)。GDPR第20條中的數(shù)據(jù)可攜權(quán)是該法規(guī)中為數(shù)不多的可能對(duì)歐盟使用人工智能產(chǎn)生積極影響的條款之一，因?yàn)閿?shù)據(jù)可攜性將使消費(fèi)者更容易與人工智能公司分享其數(shù)據(jù)，從而助長(zhǎng)競(jìng)爭(zhēng)。但是，第20條沒(méi)有充分說(shuō)明提供極其龐大的，尤其是多年累積的，復(fù)雜的數(shù)據(jù)集的成本和可行性。

3.相關(guān)建議

報(bào)告提出，為創(chuàng)造良好的人工智能監(jiān)管環(huán)境，更好地保護(hù)消費(fèi)者利益，歐盟決策者應(yīng)采取以下措施：

①應(yīng)該簡(jiǎn)化GDPR，專(zhuān)注于防止對(duì)消費(fèi)者造成傷害，而不是在犧牲數(shù)據(jù)創(chuàng)新的前提下，不必要地限制數(shù)據(jù)的使用。

②應(yīng)取消對(duì)算法決策進(jìn)行人工審查的權(quán)利。因?yàn)檫@樣的政策將迫使企業(yè)使用不太準(zhǔn)確的人工智能算法系統(tǒng)，并無(wú)法保護(hù)消費(fèi)者免受不公平的決定。適當(dāng)?shù)某绦蚝蛯彶閼?yīng)始終契合決策的性質(zhì)和嚴(yán)肅性。

③應(yīng)該對(duì)透明度、證據(jù)、監(jiān)督或解釋技術(shù)中立提出要求，而不是將這些要求置于是否由人或算法做出特定決定的基礎(chǔ)上。

④應(yīng)修正GDPR，允許公司通過(guò)簡(jiǎn)單地提供算法工作原理和使用數(shù)據(jù)的基本描述，來(lái)履行為算法決策提供“有意義的信息”的義務(wù)。

⑤應(yīng)修改刪除權(quán)（被遺忘權(quán)），以確保公司能夠在為其他消費(fèi)者提供算法功能的情況下刪除或匿名數(shù)據(jù)；

⑥應(yīng)修改GDPR，允許在沒(méi)有額外同意的情況下重新調(diào)整個(gè)人數(shù)據(jù)，除非這樣做會(huì)對(duì)數(shù)據(jù)主體造成重大風(fēng)險(xiǎn)，或?qū)?shù)據(jù)傳輸給其他控制人。

⑦應(yīng)修改數(shù)據(jù)可攜權(quán)以解決成本問(wèn)題，因?yàn)檗D(zhuǎn)移可能價(jià)值有限但異常龐大而復(fù)雜的數(shù)據(jù)集的請(qǐng)求會(huì)為公司帶來(lái)巨額成本。在這種情況下，法律應(yīng)允許提出請(qǐng)求的消費(fèi)者為此承擔(dān)一定的成本。

⑧應(yīng)修正GDPR，對(duì)違反GDPR的行為進(jìn)行罰款，要與數(shù)據(jù)主體受到的損害程度和公司違約責(zé)任程度成正比。這會(huì)激勵(lì)公司專(zhuān)注于保護(hù)客戶(hù)的隱私，而不是僅僅保護(hù)自己。

⑨第29條數(shù)據(jù)保護(hù)工作組（WP29）應(yīng)為數(shù)據(jù)去標(biāo)識(shí)提供清晰實(shí)用的指導(dǎo)方針。

⑩當(dāng)一個(gè)國(guó)家認(rèn)為數(shù)據(jù)處理符合公共利益時(shí)，某些類(lèi)型的數(shù)據(jù)處理規(guī)則無(wú)需遵守GDPR，各國(guó)政府應(yīng)廣泛使用這一權(quán)力，例如允許在公共服務(wù)中使用人工智能。

4.綜合述評(píng)

自2012年1月GDPR文本浮出水面、2016年4月GDPR正式通過(guò)以來(lái)，歐盟委員會(huì)乃至歐盟內(nèi)部經(jīng)歷了前所未見(jiàn)的游說(shuō)博弈過(guò)程，反映了GDPR本身并非純粹的個(gè)人數(shù)據(jù)規(guī)范，而是深層次融合了國(guó)際政治博弈、產(chǎn)業(yè)經(jīng)濟(jì)競(jìng)爭(zhēng)以及社會(huì)文化擴(kuò)張等諸多元素的復(fù)雜綜合體。

這是歐盟數(shù)據(jù)治理的里程碑事件，在信息系統(tǒng)和數(shù)字經(jīng)濟(jì)改造人類(lèi)生活的時(shí)代大潮下，其超越成員國(guó)個(gè)別立法、統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)路徑、改變個(gè)人數(shù)據(jù)流轉(zhuǎn)走向，進(jìn)而深度修正歐盟數(shù)據(jù)治理的規(guī)范趨勢(shì)，也將對(duì)全球數(shù)據(jù)治理生態(tài)產(chǎn)生廣泛、深刻的影響。

對(duì)于我國(guó)各類(lèi)主體（包括網(wǎng)絡(luò)企業(yè)）而言，首先需要正視的是，GDPR對(duì)于歐盟境外的數(shù)據(jù)治理格局所帶來(lái)的重大發(fā)展。尤其是其明確規(guī)定即使是歐盟境外的主體在特定條件下也必須遵循GDPR的相關(guān)規(guī)范，這在業(yè)務(wù)數(shù)字化乃至交易形式日趨多樣化的技術(shù)背景下，迫使我們必須考慮、評(píng)估GDPR的適用可能性及其實(shí)際影響力。

就GDPR對(duì)人工智能的影響而言，可以認(rèn)為其在技術(shù)要素、組織管理以及在線(xiàn)內(nèi)容等三個(gè)層面都可能引發(fā)廣泛的回響。

其一，在技術(shù)要素層面，安全問(wèn)題是該層面應(yīng)當(dāng)重視的問(wèn)題。GDPR中對(duì)個(gè)人數(shù)據(jù)流轉(zhuǎn)的安全性做出了非常嚴(yán)格的規(guī)定。作為企業(yè)，尤其是以數(shù)據(jù)作為基礎(chǔ)而多方面發(fā)展的人工智能產(chǎn)業(yè)而言，數(shù)據(jù)安全性的保障毫無(wú)疑問(wèn)是重要的。數(shù)據(jù)的可用性、完整性以及機(jī)密性是確保數(shù)據(jù)在歐盟境內(nèi)自由流通的重要參考。

其二，在組織管理層面，GDPR提出數(shù)據(jù)保護(hù)機(jī)構(gòu)（DPAs）應(yīng)對(duì)數(shù)據(jù)問(wèn)題予以重視，同時(shí)監(jiān)督數(shù)據(jù)保護(hù)相關(guān)立法的適用。GDPR第四條、第五十一至五十九條和第六十一條至第一百二十三條等相關(guān)條文對(duì)數(shù)據(jù)保護(hù)機(jī)構(gòu)的義務(wù)予以明確。在企業(yè)以及數(shù)據(jù)跨境問(wèn)題中，DPAs將作為歐盟成員國(guó)與企業(yè)/組織數(shù)據(jù)處理問(wèn)題的核心聯(lián)結(jié)點(diǎn)之一。

其三，在線(xiàn)內(nèi)容層面，個(gè)人數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)中，特定種類(lèi)數(shù)據(jù)將會(huì)有不同的流轉(zhuǎn)限制。例如特定的個(gè)人數(shù)據(jù)以及未成年人的個(gè)人數(shù)據(jù)的流轉(zhuǎn)，數(shù)據(jù)主體的同意并不能作為絕對(duì)化同意事項(xiàng)，是否可以將其轉(zhuǎn)移還要參考其他重要因素。

綜合上述三個(gè)判斷，GDPR的相關(guān)規(guī)定將會(huì)限制部分以數(shù)據(jù)為業(yè)務(wù)核心基礎(chǔ)的企業(yè)的發(fā)展，使其處于經(jīng)濟(jì)競(jìng)爭(zhēng)的相對(duì)劣勢(shì)地位，間接打擊人工智能企業(yè)的研發(fā)積極性，歐盟的人工智能市場(chǎng)的創(chuàng)新力和競(jìng)爭(zhēng)力在一定時(shí)期內(nèi)可能會(huì)顯著下降。