欧盟政策制定者已经认识到人工智能的经济意义,并承诺向人工智能研究投入数亿欧元。但是《通用数据保护条例(GDPR)》仍然是人工智能在欧洲广泛开发和使用的重大障碍,使欧盟企业与北美及亚洲的竞争对手相比处于劣势。GDPR的人工智能限制条款对于保护消费者几乎没有作用,甚至在某些情况下可能会伤害他们。欧盟应该改革GDPR,以便这些规则在未来几年内不会束缚数字经济的发展。
全球几乎每个行业的企业都开始使用人工智能来提高他们的生产力,欧洲经济只有在自己的企业也这样做的情况下才能保持竞争力。例如,欧洲科技公司拥有巨大的市场机会,可以为众多不同的用例开发人工智能。欧盟政策制定者已经认识到人工智能的经济意义,并承诺向人工智能研究投入数亿欧元。咨询公司普华永道估计,到2030年,人工智能可以使欧洲国内生产总值增加2.5万亿美元。但是,2018年5月生效的欧盟数据隐私新规则《通用数据保护条例》(GDPR)仍然是欧洲广泛研发和使用人工智能的重大障碍,使欧盟企业与北美及亚洲的竞争对手相比处于劣势。GDPR的人工智能限制条款对于保护消费者几乎没有作用,甚至在某些情况下可能会伤害他们。欧盟应该改革GDPR,以便这些规则在未来几年内不会束缚数字经济的发展。
一、背景介绍
欧盟新的数据隐私规则《通用数据保护条例》(GDPR)规定使用或处理与欧盟居民有关的个人数据由欧盟机构进行监管,无论数据处理过程位于何处发生。在全球各地公司竞相开发和使用人工智能的大潮下,这些新规定现已正式实施。
人工智能作为提高生产力的一种手段,是一套允许计算机像人类一样执行任务,进而拥有更高效流程和更高质量产出的技术。虽然大量的人工智能应用不涉及个人数据,但在一些应用领域仍受制于GDPR。在与消费者频繁互动的人工智能服务领域,诸如回应口头查询的个人助理、提供自动财务建议的机器人顾问、以及有关流媒体服务的电影推荐都将受到严重影响。由于欧盟个人数据使用方式的间接限制以及人工智能科技公司法律风险的提高,GDPR对开发和使用人工智能的欧洲公司产生负面影响。
尽管不同的司法管辖区在隐私方面有着不同的目标,但欧盟的政策制定者和公民应该意识到,在中国和美国争夺人工智能全球领导地位的关键时期,不修改GDPR相关内容以减少其对人工智能的影响,将使欧洲沦为新兴的人工智能经济中的二级市场。
二、GDPR对于欧洲人工智能发展的具体影响
GDPR将在至少九个具体方面对欧洲人工智能的开发和使用产生负面影响:
(一)要求公司手动审查重要的算法决策会增加人工智能的总体成本
专门针对人工智能使用的GDPR中最直接的限制是第22条,要求公司必须让人类审查某些算法决策。这种限制显著提高了劳动力成本,从而对使用人工智能产生了强烈的抑制作用。因为开发人工智能的主要原因是其自动化功能可以快速、低成本的完成人类可能难以完成的任务,而这种限制将会显著提高成本,降低工作效率。
(二)解释权可能会降低人工智能的准确性
GDPR第13-15条规定公司有义务提供对各个算法决策的详细解释或关于算法如何做出决策的一般信息,这仍然是争论的焦点。然而,前者会破坏算法的准确性,反过来也会导致不公平的决定,因为在算法决策的准确性和透明度之间存在固有的权衡。
(三)删除权可能会损坏人工智能系统
第17(1)条中的“删除权”也将损害欧洲的人工智能。 所有使用无监督学习操作的人工智能系统将被要求“记住”他们用来训练自己的所有数据,以维持从中学习到的规则。但是,删除支持人工智能系统行为中关键规则的数据既会降低其准确性,也会限制其对其他数据主体的利益,甚至会完全破坏它。
(四)禁止数据重新利用将限制人工智能的创新
与其前身“数据保护指令”一样,GDPR第6条规定一般禁止将数据用于除首次收集数据之外的任何其他目的,从而使公司难以使用数据进行创新。例如,2017年,伦敦皇家自由医院在使用历史患者数据测试诊断肾脏损伤的人工智能工具时,发现自己违反了现有数据保护法的类似规则。因为医院最初收集这些数据是为了治疗那些患者,而不是用来测试可能改善未来患者治疗结果的人工智能工具。英国的隐私监管机构迫使医院寻求数据主体涉及的160万人的同意。该裁决是在欧盟数据保护指令(GDPR的前身)所赋予的英国法律效力下执行的,尽管其比GDPR更灵活,但仍然对医疗数据的处理和利用产生了明显限制。相比之下,GDPR进一步提高了统一的门槛,使得合法重新利用数据变得更加困难,会产生更多问题。这种规定将限制公司在欧盟开发或利用人工智能改善和创新其服务功能的能力。因此,欧盟消费者和企业将很难获得人工智能最新创新的好处。
(五)模糊的规则可能会阻止公司使用去识别的数据
尽管GDPR允许对去识别数据进行豁免是正确的做法,但GDPR并未明确地说明可以接受哪种去识别标准,这将对公司试图通过去识别数据以避免遭受监管机构的严厉执法带来阻碍。这使得公司为改进人工智能系统,而对去识别数据进行处理和共享的积极性受到打击,同时也促使一些公司在进行数据去识别已足够时仍按照个人数据进行处理,从而导致不必要的合规成本并限制其合法用途范围。例如,一些评论家声称,2013年关于去识别的时空数据研究已经确定了数据集中95%的个体,而事实上它并非如此。该研究证明,在95%的病例中,每个人的移动数据都是独特的,以至于三个随机选择的数据点足以将其与其他个体区分开来,但研究人员没有发现数据集中有任何个体的身份信息。
由于对去识别的初步研究存在广泛的误解和误传,许多人错误地认为去识别技术不起作用。例如,比利时研究人员2013年广泛引用的一项研究显示,有四张带有时间戳的位置数据来自手机信号塔足以区分95%的150万人样本中的独特个体,但是研究人员没有亲自识别任何人,他们没有试图证明或解释如何证明其中包含特定可识别信息(如地址或社交媒体数据)。另外,这些原始的位置数据仅仅是删除了明显的标识符,这些标识符甚至不符合GDPR规定的匿名标准,而是属于假名管理的规则。然而,许多评论员和政策制定者持续错误地将重新识别描述为简单易行的事物。在美国,《健康保险流通与责任法案》(HIPAA)隐私规则第164.514条规定了去除识别数据的标准,与GDPR.79不同。虽然HIPAA支持的去识别定义基本上与GDPR的定义相同,但遵循HIPAA指南的欧盟公司无法合理地确定它是否符合GDPR对假名的要求,更不用说匿名化了。
(六)GDPR的复杂性将提高使用人工智能的成本
GDPR是一个非常复杂的立法,可能使该法律条款难以遵循。使用人工智能的公司需要专业人员和技术措施来确保他们的技术符合GDPR,然而拥有这种专业知识的专业人士很难找到。随着GDPR实施的不断深化,对这些专业人士的需求将会快速增长,从而在不久的将来造成这些专业人员的严重短缺。根据全球最大的隐私专业人士协会IAPP估计,全球公司为了遵守GDPR而需要的75,000名数据保护专业人员,但该协会在100个国家拥有30,000名会员,而且并非所有会员都专注于欧洲法律,远远无法填补专业人员需求的缺口。因而,GDPR的复杂性不仅使得人工智能公司的研发投入成本会增加,甚至可能因为缺乏相应专业人员的支持而阻碍相关产品应用的发展。
(七)GDPR增加了使用人工智能的公司的监管风险
越来越多的证据表明,很大一部分公司,尤其是中小型企业,不了解监管或监管对他们意味着什么,并且很可能发现自己在不知不觉中成了法律行动的目标,从而进一步增加人工智能使用的成本和抑制因素。GDPR施加的罚款高达公司全球营业额的4%,或2000万欧元(以较高者为准),进一步加剧了问题的复杂性。如果最高罚款适用于本报告中确定的那些关系到人工智能发展的条款,对于小公司而言,将更不可能采用人工智能。据咨询研究公司Gartner估计,在GDPR生效后,被数据保护法起诉的公司数量将上升,50%的组织无法遵守GDPR。另一家咨询公司Vanson Bourne在2016年由安全公司赛门铁克委托进行的研究中发现,96%的组织没有完全理解GDPR,74%的组织不相信它们是合规的,23%的组织没有期望在它生效时变得合规。例如,总部位于曼彻斯特的网络安全公司NCC Group发现,如果GDPR在2016年生效,英国信息专员办公室对英国公司征收的罚款将由88万英镑上升为6900万英镑。这是因为根据现行的1998年“数据保护法”制定的规则,罚款仅为50万英镑,而GDPR将允许高达全球营业额4%的罚款,或2000万欧元中以较大者为准。“以较大者为准”条款意味着GDPR的罚款对小公司的罚款会超过营业额的4%,而达到2000万欧元。对于只有少数员工的初创企业而言,这可能会使他们破产。
更糟糕的是,GDPR中最大的罚款适用于人工智能问题最严重的条款。根据GDPR第83条,监管机构将对未经明确同意而对数据进行重新利用(参见“禁止重新利用数据将限制人工智能创新”一节)等违法行为,或者违反在欧盟以外的地方存储数据法律依据(参见“数据本地化提高人工智能成本”一节),可处以最高罚款。对于较少的违规行为,例如未能完成足够的隐私影响评估,GDPR也允许高达2%营业额的罚款,或1000万欧元,并以较大者为准。
(八)数据本地化的要求将会增加AI的成本
GDPR的第5章概述了其对欧盟以外个人数据流动的严格控制,比如要求公司在欧盟国家内使用数据中心——这减少了云服务提供商之间的竞争,从而提高了数据处理的成本。虽然GDPR确实禁止各国政府将隐私作为强制公司在特定国家存储个人数据的理由,但它没有认识到数据的物理位置对隐私或安全没有内在的影响。
(九)数据可移植性将刺激人工智能竞争,尽管需要付出代价
GDPR第20条中的数据可移植性权利是该法规中为数不多的可能对人工智能在欧盟使用产生积极影响的条款之一,因为数据可移植性将使消费者更容易与公司利用人工智能共享数据,从而加剧竞争。但是,第20条没有充分说明提供多年积累的大量、复杂的数据集的成本和可行性。
三、总体影响
GDPR将限制在全球开发和销售人工智能解决方案的欧洲公司出现,并阻碍人工智能在欧洲各行各业的公司中的使用。虽然欧洲以外的许多公司也有义务遵守GDPR,但最大的影响将是欧洲公司,因为在大多数情况下,欧洲的数据在寻求使用或开发人工智能方面,比起已存在的强大国外公司,对这些欧洲公司更为重要。与北美和亚洲的竞争对手相比,由于这些限制,欧盟开发或使用人工智能的公司将处于竞争劣势。
GDPR还将影响欧盟经济的方式影响外国公司的行为。首先,许多外国公司将不鼓励在欧盟提供人工智能驱动的服务,从而使欧盟消费者和企业无法获得其他国家的同行和竞争对手可获得的有益服务,并使欧盟的人工智能市场的创新和竞争力下降。
欧洲没有必要在数据保护和创新之间进行这些权衡。GDPR的人工智能限制规定对实际保护消费者没有任何作用,在某些情况下,甚至可能对他们造成伤害。例如,由于在算法透明度和准确性之间存在权衡,解释算法决策的要求将迫使公司使用更透明,更不准确的算法,这将导致不公平的决策,同时对消费者产生重要的伴随效应。同样,一般性禁止具有合法或重大影响的单一自动化决策,将阻止公司使用可随时间调整的合理算法来解决意外偏差,也将导致人们做出不公平和不合理的决定,而无法获得使用算法的好处,最终会伤害消费者。
四、建议
欧盟决策者应采取以下措施解决这些问题,不减少消费者保护的同时为欧洲人工智能创造更好的监管环境:
一是欧盟应简化GDPR,专注于防止对消费者的伤害,而不是以牺牲数据创新为代价来不必要地限制数据的使用。二是欧盟应该取消人工审查算法决策的权利,因为这样的政策将迫使公司使用不太准确的人工智能系统,这些系统无法保护消费者免受不公平决策的影响。正当程序和审查应始终适合于决策的性质和严肃性,而不是基于决策是由人还是算法做出的。三是欧盟应该对透明度、监督或技术中立的解释提出任何要求,而不是基于这些要求是基于特定决策是由人类还是算法做出的。四是欧盟应该修改GDPR,以允许公司通过提供算法如何工作的简单、基本的描述以及算法使用的数据来履行提供有关算法决策的“有意义信息”的义务。五是欧盟应修改删除权,以确保公司能够以不影响其他客户算法功能的方式删除或匿名化数据。六是欧盟应修改GDPR以允许在未经不必要同意的情况下重新利用个人数据,除非这样做会对数据主体构成重大风险或将数据传输给另一个控制方,即使这个过程中包含合并和收购。七是欧盟应该修改数据可移植性权利以考虑成本,因为对于可能具有有限价值的特大型和复杂数据集的请求,成本可能相当大。在这种极端情况下,法律应允许提出请求的客户对此类成本做出有限贡献。八是违反GDPR规则的情况下,欧盟应按照对数据主体的损害程度和公司违规行为的责任水平进行罚款。这将激励公司专注于保护客户的隐私,而不仅仅是保护自己。九是工作组(WP29)应确定明确和实用的去识别数据标准,例如美国健康数据隐私规则中使用的数据,以便公司清楚他们必须采取哪些措施来避免监管机构对他们的去识别做法采取行动。十是当一个国家认为数据处理符合公共利益时,GDPR将某些类型的数据处理从其规则中豁免。各国政府应广泛使用这一权力,例如允许在公共服务中使用人工智能。
作者:Nick Wallace and Daniel Castro 数据创新中心
中国信息通信研究院安全所 孟成瑞翻译
声明:本文来自互联网新技术新业务安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
