吳沈括，唐巧盈

（1.北京師范大學(xué)刑事法律科學(xué)研究院暨法學(xué)院；2.上海社會科學(xué)院互聯(lián)網(wǎng)研究中心）

編者按：2018年3月26日，美國知名智庫信息技術(shù)與創(chuàng)新基金會（ITIF）發(fā)布了題為《歐盟新的數(shù)據(jù)保護(hù)規(guī)定對人工智能的影響》的報告。報告認(rèn)為，歐盟新的數(shù)據(jù)保護(hù)規(guī)定——《一般數(shù)據(jù)保護(hù)條例》（GDPR）一方面將對歐洲人工智能的開發(fā)和使用產(chǎn)生負(fù)面影響，帶來高昂的創(chuàng)新和生產(chǎn)成本，并將使歐盟企業(yè)與北美和亞洲等競爭對手相比處于劣勢地位；另一方面，GDPR在人工智能上的限制性規(guī)定對保護(hù)消費者沒有多大作用，且在某些情況下甚至可能會傷害他們。因此，歐盟應(yīng)修正GDPR使其在未來幾年不束縛數(shù)字經(jīng)濟(jì)發(fā)展。當(dāng)前，隨著GDPR的貫徹實施，其全球性影響將不斷顯現(xiàn)，而充分認(rèn)知GDPR對傳統(tǒng)和新興領(lǐng)域的影響作用，對于促進(jìn)國家數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)治理都將具有重要現(xiàn)實意義。

《歐盟新的數(shù)據(jù)保護(hù)規(guī)定對人工智能的影響》（The Impact of the EU’s New Data Protection Regulation on AI）報告由ITIF數(shù)據(jù)創(chuàng)新中心高級政策分析師尼克·華萊士（Nick Wallace）和ITIF副總裁兼數(shù)據(jù)創(chuàng)新中心主任丹尼爾·卡斯特羅（Daniel Castro）撰寫，圍繞以下三個層面展開：

1.總體影響

在新興的數(shù)字經(jīng)濟(jì)中，許多行業(yè)的創(chuàng)新主要由數(shù)據(jù)驅(qū)動。這一趨勢使人工智能成為企業(yè)最有價值的工具之一。人工智能可比人類更快地分析大規(guī)模數(shù)據(jù)集，快速準(zhǔn)確地觀察數(shù)據(jù)趨勢，并從這些觀測結(jié)果中得出結(jié)論；人工智能也使企業(yè)利用數(shù)據(jù)提供新服務(wù)，優(yōu)化現(xiàn)有流程。根據(jù)咨詢公司普華永道估計，到2030年，人工智能將為歐洲GDP貢獻(xiàn)2.5萬億美元。然而，限制數(shù)據(jù)使用的規(guī)定會對人工智能產(chǎn)生嚴(yán)重影響。2018年5月即將生效的GDPR對企業(yè)如何使用歐盟地區(qū)的個人數(shù)據(jù)做出了嚴(yán)格的規(guī)定，這無疑會阻礙在歐洲發(fā)展人工智能。

首先，GDPR將阻礙各行各業(yè)的歐洲公司發(fā)展人工智能，抑制在全球范圍內(nèi)開發(fā)和銷售人工智能解決方案的歐洲公司的出現(xiàn)。盡管歐洲以外的許多公司也有義務(wù)遵守GDPR，但受其影響最大的仍是歐洲公司。因為在大多數(shù)情況下，相較于外國公司，歐洲的數(shù)據(jù)對于他們使用或發(fā)展人工智能更重要。但由于這些限制，歐盟的相關(guān)企業(yè)將處于競爭劣勢。

其次，GDPR還將對外國公司產(chǎn)生影響，并損害歐盟的經(jīng)濟(jì)。許多外國公司將不愿在歐盟地區(qū)提供以人工智能為基礎(chǔ)的服務(wù)，從而使歐盟消費者和企業(yè)無法獲得優(yōu)質(zhì)的服務(wù)，并使歐盟的人工智能市場競爭力和創(chuàng)新力下降。

除此之外，GDPR在人工智能上的限制規(guī)定對于保護(hù)消費者實際沒有任何作用，并且在某些情況下甚至可能損害消費者。例如，由于需要權(quán)衡算法透明度和準(zhǔn)確性，解釋算法決策的要求迫使公司使用更透明、更不準(zhǔn)確的算法，這中間的妥協(xié)和偏差將導(dǎo)致對用戶的不公平?jīng)Q策。同樣，對單一自動化決策的普遍禁止，將致使人們做出不公平和不合理的決定，并最終傷害消費者本身。

2.具體影響

報告認(rèn)為，GDPR至少在九個方面將對歐洲人工智能的開發(fā)和使用產(chǎn)生負(fù)面影響：

①要求公司人工審查重要的算法決策會增加人工智能的總體成本。GDPR的第22條專門針對人工智能做出了直接規(guī)定，即公司必須讓人來審查某些算法決策。這種限制大大提高了勞動力成本，并對人工智能的使用形成了強(qiáng)大的阻礙——開發(fā)人工智能的主要目的是使功能自動化，如果這些功能由人類執(zhí)行則會速度更慢，成本更高，并且更難以完成。

②解釋權(quán)可能會降低人工智能的準(zhǔn)確性。GDPR的第13至15條規(guī)定，公司有義務(wù)提供個別算法決策的詳細(xì)解釋或關(guān)于算法如何做出決定的一般信息。然而，由于算法決策的準(zhǔn)確性和透明度之間存在內(nèi)在的平衡，這樣的規(guī)定會破壞算法的準(zhǔn)確性，并導(dǎo)致不公平的決定。

③刪除權(quán)（被遺忘權(quán)）可能會損壞人工智能系統(tǒng)。第17（1）條中的“刪除權(quán)”也將危害歐洲人工智能的發(fā)展。所有基于無監(jiān)督的機(jī)器學(xué)習(xí)的人工智能系統(tǒng)，是在沒有外界幫助的情況下通過數(shù)據(jù)處理與學(xué)習(xí)來提升自身數(shù)據(jù)處理能力。這將需要“記住”它們用來訓(xùn)練自己的所有數(shù)據(jù)，以維持從數(shù)據(jù)中獲得的規(guī)則。然而，刪除人工智能系統(tǒng)運行中關(guān)鍵規(guī)則的數(shù)據(jù)可能會降低準(zhǔn)確性，并限制其對其他數(shù)據(jù)主體的好處，甚至完全破壞人工智能系統(tǒng)。

④禁止重新利用數(shù)據(jù)將限制人工智能的創(chuàng)新。與其前身《數(shù)據(jù)保護(hù)指令》一樣，GDPR第6條總體上禁止數(shù)據(jù)用于除首次收集之外的任何其他目的。因此企業(yè)難以使用數(shù)據(jù)進(jìn)行創(chuàng)新。這將限制公司在歐盟開發(fā)或使用人工智能改善服務(wù)的能力。因此，歐盟消費者和企業(yè)將很難獲得人工智能最新創(chuàng)新的好處。

⑤模糊的規(guī)則可能阻礙公司使用已去標(biāo)識的數(shù)據(jù)。雖然已去標(biāo)識的數(shù)據(jù)在GDPR的法律豁免范圍內(nèi)，但因缺乏明確的廣范接受的數(shù)據(jù)去標(biāo)識的標(biāo)準(zhǔn)，公司不會冒然使用這些數(shù)據(jù)以避免監(jiān)管機(jī)構(gòu)的嚴(yán)厲執(zhí)法。這會削弱公司通過處理和分享去標(biāo)識的數(shù)據(jù)來改善人工智能系統(tǒng)的動力。

⑥GDPR的復(fù)雜性會提高使用人工智能的成本。GDPR是一項非常復(fù)雜的立法，可能在實際運作中難以遵循。開發(fā)或使用人工智能的公司需要專門的人員和技術(shù)來確保它們符合GDPR的規(guī)定，從而提高使用人工智能的成本和難度。

⑦GDPR增加了使用人工智能的企業(yè)的監(jiān)管風(fēng)險。越來越多的證據(jù)表明，很大一部分公司，特別是中小企業(yè)不了解這些法規(guī)對他們的意義，并且很可能因此成為執(zhí)法的靶子。與此同時，GDPR帶來了巨額罰款：最高可達(dá)公司全球營業(yè)額的4%或2000萬歐元（以較高者為準(zhǔn)）。高額罰款規(guī)定對中小企業(yè)而言是致命的風(fēng)險，將阻礙他們采用人工智能。

⑧數(shù)據(jù)本地化的要求提高了人工智能的成本。GDPR第5章闡述了對歐盟境外個人數(shù)據(jù)流動的嚴(yán)格控制。例如要求公司在歐盟國家內(nèi)部使用數(shù)據(jù)存儲中心，這雖然減少了云服務(wù)提供商之間的競爭，但卻增加了數(shù)據(jù)處理成本。

⑨數(shù)據(jù)的可攜性將刺激人工智能競爭，但仍需要付出代價。GDPR第20條中的數(shù)據(jù)可攜權(quán)是該法規(guī)中為數(shù)不多的可能對歐盟使用人工智能產(chǎn)生積極影響的條款之一，因為數(shù)據(jù)可攜性將使消費者更容易與人工智能公司分享其數(shù)據(jù)，從而助長競爭。但是，第20條沒有充分說明提供極其龐大的，尤其是多年累積的，復(fù)雜的數(shù)據(jù)集的成本和可行性。

3.相關(guān)建議

報告提出，為創(chuàng)造良好的人工智能監(jiān)管環(huán)境，更好地保護(hù)消費者利益，歐盟決策者應(yīng)采取以下措施：

①應(yīng)該簡化GDPR，專注于防止對消費者造成傷害，而不是在犧牲數(shù)據(jù)創(chuàng)新的前提下，不必要地限制數(shù)據(jù)的使用。

②應(yīng)取消對算法決策進(jìn)行人工審查的權(quán)利。因為這樣的政策將迫使企業(yè)使用不太準(zhǔn)確的人工智能算法系統(tǒng)，并無法保護(hù)消費者免受不公平的決定。適當(dāng)?shù)某绦蚝蛯彶閼?yīng)始終契合決策的性質(zhì)和嚴(yán)肅性。

③應(yīng)該對透明度、證據(jù)、監(jiān)督或解釋技術(shù)中立提出要求，而不是將這些要求置于是否由人或算法做出特定決定的基礎(chǔ)上。

④應(yīng)修正GDPR，允許公司通過簡單地提供算法工作原理和使用數(shù)據(jù)的基本描述，來履行為算法決策提供“有意義的信息”的義務(wù)。

⑤應(yīng)修改刪除權(quán)（被遺忘權(quán)），以確保公司能夠在為其他消費者提供算法功能的情況下刪除或匿名數(shù)據(jù)；

⑥應(yīng)修改GDPR，允許在沒有額外同意的情況下重新調(diào)整個人數(shù)據(jù)，除非這樣做會對數(shù)據(jù)主體造成重大風(fēng)險，或?qū)?shù)據(jù)傳輸給其他控制人。

⑦應(yīng)修改數(shù)據(jù)可攜權(quán)以解決成本問題，因為轉(zhuǎn)移可能價值有限但異常龐大而復(fù)雜的數(shù)據(jù)集的請求會為公司帶來巨額成本。在這種情況下，法律應(yīng)允許提出請求的消費者為此承擔(dān)一定的成本。

⑧應(yīng)修正GDPR，對違反GDPR的行為進(jìn)行罰款，要與數(shù)據(jù)主體受到的損害程度和公司違約責(zé)任程度成正比。這會激勵公司專注于保護(hù)客戶的隱私，而不是僅僅保護(hù)自己。

⑨第29條數(shù)據(jù)保護(hù)工作組（WP29）應(yīng)為數(shù)據(jù)去標(biāo)識提供清晰實用的指導(dǎo)方針。

⑩當(dāng)一個國家認(rèn)為數(shù)據(jù)處理符合公共利益時，某些類型的數(shù)據(jù)處理規(guī)則無需遵守GDPR，各國政府應(yīng)廣泛使用這一權(quán)力，例如允許在公共服務(wù)中使用人工智能。

4.綜合述評

自2012年1月GDPR文本浮出水面、2016年4月GDPR正式通過以來，歐盟委員會乃至歐盟內(nèi)部經(jīng)歷了前所未見的游說博弈過程，反映了GDPR本身并非純粹的個人數(shù)據(jù)規(guī)范，而是深層次融合了國際政治博弈、產(chǎn)業(yè)經(jīng)濟(jì)競爭以及社會文化擴(kuò)張等諸多元素的復(fù)雜綜合體。

這是歐盟數(shù)據(jù)治理的里程碑事件，在信息系統(tǒng)和數(shù)字經(jīng)濟(jì)改造人類生活的時代大潮下，其超越成員國個別立法、統(tǒng)一個人數(shù)據(jù)保護(hù)路徑、改變個人數(shù)據(jù)流轉(zhuǎn)走向，進(jìn)而深度修正歐盟數(shù)據(jù)治理的規(guī)范趨勢，也將對全球數(shù)據(jù)治理生態(tài)產(chǎn)生廣泛、深刻的影響。

對于我國各類主體（包括網(wǎng)絡(luò)企業(yè)）而言，首先需要正視的是，GDPR對于歐盟境外的數(shù)據(jù)治理格局所帶來的重大發(fā)展。尤其是其明確規(guī)定即使是歐盟境外的主體在特定條件下也必須遵循GDPR的相關(guān)規(guī)范，這在業(yè)務(wù)數(shù)字化乃至交易形式日趨多樣化的技術(shù)背景下，迫使我們必須考慮、評估GDPR的適用可能性及其實際影響力。

就GDPR對人工智能的影響而言，可以認(rèn)為其在技術(shù)要素、組織管理以及在線內(nèi)容等三個層面都可能引發(fā)廣泛的回響。

其一，在技術(shù)要素層面，安全問題是該層面應(yīng)當(dāng)重視的問題。GDPR中對個人數(shù)據(jù)流轉(zhuǎn)的安全性做出了非常嚴(yán)格的規(guī)定。作為企業(yè)，尤其是以數(shù)據(jù)作為基礎(chǔ)而多方面發(fā)展的人工智能產(chǎn)業(yè)而言，數(shù)據(jù)安全性的保障毫無疑問是重要的。數(shù)據(jù)的可用性、完整性以及機(jī)密性是確保數(shù)據(jù)在歐盟境內(nèi)自由流通的重要參考。

其二，在組織管理層面，GDPR提出數(shù)據(jù)保護(hù)機(jī)構(gòu)（DPAs）應(yīng)對數(shù)據(jù)問題予以重視，同時監(jiān)督數(shù)據(jù)保護(hù)相關(guān)立法的適用。GDPR第四條、第五十一至五十九條和第六十一條至第一百二十三條等相關(guān)條文對數(shù)據(jù)保護(hù)機(jī)構(gòu)的義務(wù)予以明確。在企業(yè)以及數(shù)據(jù)跨境問題中，DPAs將作為歐盟成員國與企業(yè)/組織數(shù)據(jù)處理問題的核心聯(lián)結(jié)點之一。

其三，在線內(nèi)容層面，個人數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)中，特定種類數(shù)據(jù)將會有不同的流轉(zhuǎn)限制。例如特定的個人數(shù)據(jù)以及未成年人的個人數(shù)據(jù)的流轉(zhuǎn)，數(shù)據(jù)主體的同意并不能作為絕對化同意事項，是否可以將其轉(zhuǎn)移還要參考其他重要因素。

綜合上述三個判斷，GDPR的相關(guān)規(guī)定將會限制部分以數(shù)據(jù)為業(yè)務(wù)核心基礎(chǔ)的企業(yè)的發(fā)展，使其處于經(jīng)濟(jì)競爭的相對劣勢地位，間接打擊人工智能企業(yè)的研發(fā)積極性，歐盟的人工智能市場的創(chuàng)新力和競爭力在一定時期內(nèi)可能會顯著下降。