欧盟通用数据保护条例对人工智能发展影响及启示.docVIP

欧盟通用数据保护条例对人工智能发展影响及启示 　　摘 要：欧盟的《通用数据保护条例》已正式生效，成为保护欧盟用户个人数据的重要法律依据。《条例》对个人保护的力度大幅增加，规定更加详细严格。人工智能（AI）领域相关公司认为《条例》可能影响AI的有效性和实用性，进而影响AI领域的发展与创新，而其设定的高额罚款可能抑制AI企业在欧洲的发展。我国AI产业发展迅速，但在个人数据保护方面的管理及立法工作有待进一步加强。相关企业需主动加强数据保护工作，以降低违法风险。我国宜借鉴欧盟的《条例》，细化现有法律中保护个人数据的条款，加大处罚力度，同时注意减少对AI产业的发展造成直接的、重大的冲击，在强化监管的同时，促进AI产业健康、有序发展。 　　关键词：通用数据保护条例 GDPR 人工智能 个人隐私保护 　　当前，人工智能（AI）已经成为数字经济的前沿领域，欧盟也计划投资数亿欧元用于AI研究。根据普华永道的估计，截至2030年，AI可为欧盟国家的国内生产总值增加2.5万亿欧元。这就需要AI领域对数据的收集和使用。可以认为，谁能访问、使用大规模数据，谁就拥有开发出更好的AI算法和应用的基础，创造更大价值。经过近2年的讨论修改，欧盟新的数据隐私规则，《通用数据保护条例》（General Data Protection Regulation， GDPR，简称“《条例》”），于2018年5月25日正式生效，受到了各方密切关注，媒体也密集开展介绍性的报道。AI领域相关公司认为其中一些规定可能对AI在欧洲的发展带来负面影响。本文将就《条例》其中引发争议的规则进行分类，分析其可能的负面影响，并结合国内现状，说明其对我国AI产业发展的启示。 　　一、条例中引发争议的规则 　　《条例》中的一些规定被认为可能影响AI在欧洲的发展。具体来说，主要涉及欧盟管理机构及公司对数据的检查，公司对数据的使用，以及条例自身的要求这三方面问题。 　　（一）对数据的多层次检查规定 　　涉及对数据检查的规定中，主要包括三方面对数据的监管要求。 　　一是欧盟数字经济管理机构的监管。《条例》第13―15条规定公司有义务向欧盟管理机构提供个别算法决策详细解释，或关于算法如何做出决定的一般信息。这主要针对利用AI算法提供精准服务过程中的“歧视问题”。该问题中比较常见的是“价格歧视”，即根据算法，使用不同设备或具有不同特征的用户，在使用相同产品或服务时，会付出不同的价格。 　　二是欧盟要求公司开展的监管。《条例》第22条规定了公司需要让人工介入AI的使用过程，审查某些算法决策。该条例旨在强调在某些服务或行为可能对顾客产生法律影响，应该由人而不是AI算法来最终做出该顾客能否使用服务的决定。例如，在发放贷款过程中，在利用AI对贷款人进行各方面资格核验后，最终仍需由人来决定是否放贷。 　　三是可以由个人提出的监管要求。《条例》第17（1）条列举了“擦除权”，即用户可以要求公司擦除涉及个人隐私的数据，不得有误。该条例意味着在用户使用了某项服务或软件后，如果认为该服务或软件收集了个人数据并侵犯隐私，就可以要求公司立刻删除，保护个人隐私。 　　（二）数据使用方面的监管限制 　　该条例对于数据能否得到合理使用也做出了规定，存在三点引起较大的争议。 　　一是禁止改变原有数据的使用目的。《条例》第6条规定，在首次获取个人数据并利用该数据实现软件或人工智能的功能后，该数据将不得再用于其他目的。例如某个APP或软件获得了用户的位置信息，那么该信息只能被直接运用于当时的服务，而不能通过连续获得用户的位置信息，记录用户的行动轨迹并据此刻画出用户的生活习惯或常去的地点，以推送相应的信息。 　　二是数据本地化要求。《条例》第五章表明，欧盟对于在欧洲境外的个人数据流将实施更加严格的控制，即通过要求数字技术公司在欧盟内部使用数据中心，而减少这些数据上传到云平台的机会。这样，就可以将欧盟内部产生的数据，特别是个人数据，尽可能限制在欧盟可控的范围内，避免这些数据上传后造成个人隐私泄露。 　　三是数据需有可移植性。《条例》第20条规定，消费者有权力将自己的数据与其他公司进行分享。即消费者使用A软件时，产生的个人信息数据由A公司进行标准化后，如果消费者使用B公司的软件需要利用到这些信息，而且消费者认为B公司的软件更好，愿意提供自己的信息时，就可以将储存在A公司的已经产生的数据转给B公司，从而能获得B公司软件更好的服务。 　　（三）《条例》自身引发争议的方面 　　除了对数据的使用及监管有种种规定和限制外，《条例》自身也存在一些令人产生争议的方面。 　　一是使用不可识别身份数据的规定较为模糊。不可识别身份数据，是指无法通过该数据锁定某个个人。在开发和改进AI的过程中，通过共享这种“匿名化”或“假名化”