歐盟需改革GDPR以在算法經(jīng)濟時代保持競爭力

2019年5月13日，美國數(shù)據(jù)創(chuàng)新中心發(fā)布“歐盟需改革《通用數(shù)據(jù)保護條例(GDPR)》以在算法經(jīng)濟時代保持競爭力”報告。自 20 世紀(jì) 90年代中期以來，數(shù)字經(jīng)濟經(jīng)歷了三個階段：由“互聯(lián)網(wǎng)經(jīng)濟”轉(zhuǎn)變?yōu)椤皵?shù)據(jù)驅(qū)動型經(jīng)濟”，而后者又轉(zhuǎn)變?yōu)椤八惴ń?jīng)濟”。在算法經(jīng)濟時代，人工智能(AI)預(yù)示著顯著的社會經(jīng)濟效益，企業(yè)使用AI的能力對其成功至關(guān)重要。數(shù)據(jù)是AI的核心。因此，不良規(guī)則會削弱這些效益，特別是那些與數(shù)據(jù)處理相關(guān)的規(guī)則。報告指出，雖然GDPR建立了一個必要的歐盟范圍內(nèi)的隱私框架，但是GDPR會抑制歐洲AI的開發(fā)和使用，從而使歐盟企業(yè)在其北美和亞洲競爭對手中處于競爭劣勢。為改革GDPR并改善歐洲AI監(jiān)管環(huán)境，該報告還針對政策制定者提供了諸多建議。

1 GDPR損害歐盟AI

收集、共享和使用歐盟數(shù)據(jù)的一個主要障礙是GDPR(歐洲隱私法，于2018年5月25日生效)。GDPR為個人如何訪問、糾正、轉(zhuǎn)移和刪除第三方持有的個人數(shù)據(jù)制定了具體規(guī)則。所有在歐盟開展業(yè)務(wù)的組織機構(gòu)都必須遵守GDPR。鑒于AI嚴(yán)重依賴數(shù)據(jù)，GDPR數(shù)據(jù)規(guī)則對AI開發(fā)和使用產(chǎn)生非常大的影響，特別是涉及機器學(xué)習(xí)的應(yīng)用。

(1)GDPR限制數(shù)據(jù)收集和使用

GDPR第5條要求個人數(shù)據(jù)應(yīng)為特定的、明確的、合法的目的收集，并且應(yīng)充分、相關(guān)以及以該個人數(shù)據(jù)處理目的之必要為限度進行處理。因此，“目的限制和數(shù)據(jù)最小化”限制了機構(gòu)在其了解數(shù)據(jù)潛在價值之前收集新數(shù)據(jù)、并將現(xiàn)有數(shù)據(jù)重新用于新穎目的，從而極大地限制了機構(gòu)利用數(shù)據(jù)進行創(chuàng)新。

(2)GDPR限制自動決策

GDPR第22條規(guī)定了數(shù)據(jù)主體有權(quán)利不受一個僅依靠包括分析過程在內(nèi)的自動化處理的決定的限制，這會產(chǎn)生關(guān)于他/她或僅影響他/她的法律后果。GDPR第13-15條要求機構(gòu)在自動決策過程中向個人提供有關(guān)所涉邏輯的有意義信息。這意味著企業(yè)必須能解釋AI系統(tǒng)如何做出對個人有重大影響的決策。

(3)GDPR增加合規(guī)成本和風(fēng)險

GDPR讓使用AI的機構(gòu)承擔(dān)大量的合規(guī)成本和風(fēng)險。首先，機構(gòu)必須遵守GDPR中的一些條款，而這些條款規(guī)定了直接成本，例如獲得數(shù)據(jù)主體處理其數(shù)據(jù)的肯定性同意，以及雇用數(shù)據(jù)保護官員等。其次，由于法律規(guī)定含糊不清、數(shù)據(jù)保護機構(gòu)對這些條款的解釋不確定性以及監(jiān)管機構(gòu)對違規(guī)行為的嚴(yán)厲罰款，機構(gòu)面臨嚴(yán)重的合規(guī)風(fēng)險。

2 建議

(1)擴展公共利益中的數(shù)據(jù)處理

歐盟應(yīng)修改GDPR以便為負(fù)責(zé)促進歐洲數(shù)據(jù)創(chuàng)新的獨立咨詢機構(gòu)授權(quán)的公共利益進行數(shù)據(jù)處理。這將產(chǎn)生歐盟范圍內(nèi)的豁免，以鼓勵在醫(yī)療保健、教育和環(huán)境等領(lǐng)域使用AI。

(2)允許重新利用造成最小風(fēng)險的數(shù)據(jù)

歐盟應(yīng)修改GDPR以允許機構(gòu)重新利用已收集的數(shù)據(jù)，只要這樣做僅只會對個人造成最小的傷害風(fēng)險，并且不會將數(shù)據(jù)從一個控制者轉(zhuǎn)移到另一個。

(3)不要懲罰自動決策

歐盟應(yīng)取消GDPR對算法決策人工審查的廣泛權(quán)利。歐盟還應(yīng)該修改GDPR以便對透明度、監(jiān)督或解釋的任何要求保持技術(shù)中立，并讓這些要求基于現(xiàn)有決策的性質(zhì)和嚴(yán)肅性，而非特定決策是由人還是由算法做出。

(4)允許對決定做出基本解釋

歐盟應(yīng)修改GDPR以便使用算法的機構(gòu)只需披露有關(guān)其系統(tǒng)如何工作以及所涉數(shù)據(jù)的基本信息，而不需要提供決策邏輯詳細(xì)信息或?qū)Ｓ行畔ⅰ?/p>

(5)使罰款與傷害成比例

歐盟應(yīng)修改GDPR以對違反GDPR規(guī)則的行為進行罰款，金額與對數(shù)據(jù)主體的傷害程度和公司違規(guī)行為的過失程度成正比。