《欧盟数据保护新规对人工智能的影响》报告述评

2018 年 3 月 26 日，美国知名智库信息技术与创新基金会（ITIF）发布了题为《欧盟新的数据保护规定对人工智能的影响》的报告。报告认为，欧盟新的数据保护规定——《一般数据保护条例》（GDPR）一方面将对欧洲人工智能的开发和使用产生负面影响，带来高昂的创新和生产成本，并将使欧盟企业与北美和亚洲等竞争对手相比处于劣势地位；另一方面，GDPR 在人工智能上的限制性规定对保护消费者没有多大作用，且在某些情况下甚至可能会伤害他们。因此，欧盟应修正 GDPR 使其在未来几年不束缚数字经济发展。当前，随着 GDPR 的贯彻实施，其全球性影响将不断显现，而充分认知 GDPR 对传统和新兴领域的影响作用，对于促进国家数字经济发展和数据治理都将具有重要现实意义。《欧盟新的数据保护规定对人工智能的影响》（The Impact of the EU’s New Data Protection Regulation on AI）报告由 ITIF 数据创新中心高级政策分析师尼克•华莱士（Nick Wallace）和ITIF 副总裁兼数据创新中心主任丹尼尔•卡斯特罗（Daniel Castro）撰写，围绕以下几个层面展开。

总体影响

在新兴的数字经济中，许多行业的创新主要由数据驱动。这一趋势使人工智能成为企业最有价值的工具之一。人工智能可比人类更快地分析大规模数据集，快速准确地观察数据趋势，并从这些观测结果中得出结论；人工智能也使企业利用数据提供新服务，优化现有流程。根据咨询公司普华永道估计，到 2030 年，人工智能将为欧洲 GDP 贡献 2.5 万亿美元。然而，限制数据使用的规定会对人工智能产生严重影响。2018 年 5 月即将生效的 GDPR 对企业如何使用欧盟地区的个人数据做出了严格的规定，这无疑会阻碍在欧洲发展人工智能。

首先，GDPR 将阻碍各行各业的欧洲公司发展人工智能，抑制在全球范围内开发和销售人工智能解决方案的欧洲公司的出现。尽管欧洲以外的许多公司也有义务遵守 GDPR，但受其影响最大的仍是欧洲公司。因为在大多数情况下，相较于外国公司，欧洲的数据对于他们使用或发展人工智能更重要。但由于这些限制，欧盟的相关企业将处于竞争劣势。

其次，GDPR 还将对外国公司产生影响，并损害欧盟的经济。许多外国公司将不愿在欧盟地区提供以人工智能为基础的服务，从而使欧盟消费者和企业无法获得优质的服务，并使欧盟的人工智能市场竞争力和创新力下降。

除此之外，GDPR 在人工智能上的限制规定对于保护消费者实际没有任何作用，并且在某些情况下甚至可能损害消费者。例如，由于需要权衡算法透明度和准确性，解释算法决策的要求迫使公司使用更透明、更不准确的算法，这中间的妥协和偏差将导致对用户的不公平决策。同样，对单一自动化决策的普遍禁止，将致使人们做出不公平和不合理的决定，并最终伤害消费者本身。 

具体影响

报告认为，GDPR 至少在九个方面将对欧洲人工智能的开发和使用产生负面影响：

①要求公司人工审查重要的算法决策会增加人工智能的总体成本。GDPR 的第 22 条专门针对人工智能做出了直接规定，即公司必须让人来审查某些算法决策。这种限制大大提高了劳动力成本，并对人工智能的使用形成了强大的阻碍——开发人工智能的主要目的是使功能自动化，如果这些功能由人类执行则会速度更慢，成本更高，并且更难以完成。

②解释权可能会降低人工智能的准确性。GDPR 的第 13 至 15 条规定，公司有义务提供个别算法决策的详细解释或关于算法如何做出决定的一般信息。然而，由于算法决策的准确性和透明度之间存在内在的平衡，这样的规定会破坏算法的准确性，并导致不公平的决定。

③删除权（被遗忘权）可能会损坏人工智能系统。第 17（1）条中的“删除权”也将危害欧洲人工智能的发展。所有基于无监督的机器学习的人工智能系统，是在没有外界帮助的情况下通过数据处理与学习来提升自身数据处理能力。这将需要“记住”它们用来训练自己的所有数据，以维持从数据中获得的规则。然而，删除人工智能系统运行中关键规则的数据可能会降低准确性，并限制其对其他数据主体的好处，甚至完全破坏人工智能系统。

④禁止重新利用数据将限制人工智能的创新。与其前身《数据保护指令》一样，GDPR 第6 条总体上禁止数据用于除首次收集之外的任何其他目的。因此企业难以使用数据进行创新。这将限制公司在欧盟开发或使用人工智能改善服务的能力。因此，欧盟消费者和企业将很难获得人工智能最新创新的好处。

⑤模糊的规则可能阻碍公司使用已去标识的数据。虽然已去标识的数据在 GDPR 的法律豁免范围内，但因缺乏明确的广范接受的数据去标识的标准，公司不会冒然使用这些数据以避免监管机构的严厉执法。这会削弱公司通过处理和分享去标识的数据来改善人工智能系统的动力。

⑥ GDPR 的复杂性会提高使用人工智能的成本。GDPR 是一项非常复杂的立法，可能在实际运作中难以遵循。开发或使用人工智能的公司需要专门的人员和技术来确保它们符合GDPR 的规定，从而提高使用人工智能的成本和难度。 

⑦ GDPR 增加了使用人工智能的企业的监管风险。越来越多的证据表明，很大一部分公司，特别是中小企业不了解这些法规对他们的意义，并且很可能因此成为执法的靶子。与此同时，GDPR 带来了巨额罚款：最高可达公司全球营业额的 4％或 2000 万欧元（以较高者为准）。高额罚款规定对中小企业而言是致命的风险，将阻碍他们采用人工智能。

⑧数据本地化的要求提高了人工智能的成本。GDPR 第 5 章阐述了对欧盟境外个人数据流动的严格控制。例如要求公司在欧盟国家内部使用数据存储中心，这虽然减少了云服务提供商之间的竞争，但却增加了数据处理成本。

⑨数据的可携性将刺激人工智能竞争，但仍需要付出代价。GDPR 第 20 条中的数据可携权是该法规中为数不多的可能对欧盟使用人工智能产生积极影响的条款之一，因为数据可携性将使消费者更容易与人工智能公司分享其数据，从而助长竞争。但是，第 20 条没有充分说明提供极其庞大的，尤其是多年累积的，复杂的数据集的成本和可行性。

相关建议

报告提出，为创造良好的人工智能监管环境，更好地保护消费者利益，欧盟决策者应采取以下措施：

①应该简化 GDPR，专注于防止对消费者造成伤害，而不是在牺牲数据创新的前提下，不必要地限制数据的使用。

②应取消对算法决策进行人工审查的权利。因为这样的政策将迫使企业使用不太准确的人工智能算法系统，并无法保护消费者免受不公平的决定。适当的程序和审查应始终契合决策的性质和严肃性。

③应该对透明度、证据、监督或解释技术中立提出要求，而不是将这些要求置于是否由人或算法做出特定决定的基础上。

④应修正 GDPR，允许公司通过简单地提供算法工作原理和使用数据的基本描述，来履行为算法决策提供“有意义的信息”的义务。

⑤应修改删除权（被遗忘权），以确保公司能够在为其他消费者提供算法功能的情况下删除或匿名数据；

⑥应修改 GDPR，允许在没有额外同意的情况下重新调整个人数据，除非这样做会对数据主体造成重大风险，或将数据传输给其他控制人。

⑦应修改数据可携权以解决成本问题，因为转移可能价值有限但异常庞大而复杂的数据集的请求会为公司带来巨额成本。在这种情况下，法律应允许提出请求的消费者为此承担一定的成本。

⑧应修正 GDPR，对违反 GDPR 的行为进行罚款，要与数据主体受到的损害程度和公司违约责任程度成正比。这会激励公司专注于保护客户的隐私，而不是仅仅保护自己。

⑨第 29 条数据保护工作组（WP29）应为数据去标识提供清晰实用的指导方针。

⑩当一个国家认为数据处理符合公共利益时，某些类型的数据处理规则无需遵守 GDPR，各国政府应广泛使用这一权力，例如允许在公共服务中使用人工智能。

综合述评

自 2012 年 1 月 GDPR 文本浮出水面、2016年 4 月 GDPR 正式通过以来，欧盟委员会乃至欧盟内部经历了前所未见的游说博弈过程，反映了 GDPR 本身并非纯粹的个人数据规范，而是深层次融合了国际政治博弈、产业经济竞争以及社会文化扩张等诸多元素的复杂综合体。

这是欧盟数据治理的里程碑事件，在信息系统和数字经济改造人类生活的时代大潮下，其超越成员国个别立法、统一个人数据保护路径、改变个人数据流转走向，进而深度修正欧盟数据治理的规范趋势，也将对全球数据治理生态产生广泛、深刻的影响。

对于我国各类主体（包括网络企业）而言，首先需要正视的是，GDPR 对于欧盟境外的数据治理格局所带来的重大发展。尤其是其明确规定即使是欧盟境外的主体在特定条件下也必须遵循 GDPR 的相关规范，这在业务数字化乃至交易形式日趋多样化的技术背景下，迫使我们必须考虑、评估 GDPR 的适用可能性及其实际影响力。

就 GDPR 对人工智能的影响而言，可以认为其在技术要素、组织管理以及在线内容等三个层面都可能引发广泛的回响。

其一，在技术要素层面，安全问题是该层面应当重视的问题。GDPR 中对个人数据流转的安全性做出了非常严格的规定。作为企业，尤其是以数据作为基础而多方面发展的人工智能产业而言，数据安全性的保障毫无疑问是重要的。数据的可用性、完整性以及机密性是确保数据在欧盟境内自由流通的重要参考。

其二，在组织管理层面，GDPR 提出数据保护机构（DPAs） 应对数据问题予以重视，同时监督数据保护相关立法的适用。GDPR 第四条、第五十一至五十九条和第六十一条至第一百二十三条等相关条文对数据保护机构的义务予以明确。在企业以及数据跨境问题中，DPAs 将作为欧盟成员国与企业 / 组织数据处理问题的核心联结点之一。

其三，在线内容层面，个人数据流转环节中，特定种类数据将会有不同的流转限制。例如特定的个人数据以及未成年人的个人数据的流转，数据主体的同意并不能作为绝对化同意事项，是否可以将其转移还要参考其他重要因素。

综合上述三个判断，GDPR 的相关规定将会限制部分以数据为业务核心基础的企业的发展，使其处于经济竞争的相对劣势地位，间接打击人工智能企业的研发积极性，欧盟的人工智能市场的创新力和竞争力在一定时期内可能会显著下降。

作者 >>>

吴沈括， 北京师范大学刑事法律科学研究院副教授、硕士生导师，中国互联网协会研究中心秘书长。

唐巧盈 , 上海社会科学院互联网研究中心研究助理，研究方向为互联网治理。

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。