问题一、《通用数据保护条例》为何诞生?-欧盟最严 数据保护新规生...
王灏晨
摘 要:欧盟的《通用数据保护条例》已正式生效,成为保护欧盟用户个人数据的重要法律依据。《条例》对个人保护的力度大幅增加,规定更加详细严格。人工智能(AI)领域相关公司认为《条例》可能影响AI的有效性和实用性,进而影响AI领域的发展与创新,而其设定的高额罚款可能抑制AI企业在欧洲的发展。我国AI产业发展迅速,但在个人数据保护方面的管理及立法工作有待进一步加强。相关企业需主动加强数据保护工作,以降低违法风险。我国宜借鉴欧盟的《条例》,细化现有法律中保护个人数据的条款,加大处罚力度,同时注意减少对AI产业的发展造成直接的、重大的冲击,在强化监管的同时,促进AI产业健康、有序发展。
关键词:通用数据保护条例 GDPR 人工智能 个人隐私保护
当前,人工智能(AI)已经成为数字经济的前沿领域,欧盟也计划投资数亿欧元用于AI研究。根据普华永道的估计,截至2030年,AI可为欧盟国家的国内生产总值增加2.5万亿欧元。这就需要AI领域对数据的收集和使用。可以认为,谁能访问、使用大规模数据,谁就拥有开发出更好的AI算法和应用的基础,创造更大价值。经过近2年的讨论修改,欧盟新的数据隐私规则,《通用数据保护条例》(General Data Protection Regulation, GDPR,简称“《条例》”),于2018年5月25日正式生效,受到了各方密切关注,媒体也密集开展介绍性的报道。AI领域相关公司认为其中一些规定可能对AI在欧洲的发展带来负面影响。本文将就《条例》其中引发争议的规则进行分类,分析其可能的负面影响,并结合国内现状,说明其对我国AI产业发展的启示。
一、条例中引发争议的规则
《条例》中的一些规定被认为可能影响AI在欧洲的发展。具体来说,主要涉及欧盟管理机构及公司对数据的检查,公司对数据的使用,以及条例自身的要求这三方面问题。
(一)对数据的多层次检查规定
涉及对数据检查的规定中,主要包括三方面对数据的监管要求。
一是欧盟数字经济管理机构的监管。《条例》第13—15条规定公司有义务向欧盟管理机构提供个别算法决策详细解释,或关于算法如何做出决定的一般信息。这主要针对利用AI算法提供精准服务过程中的“歧视问题”。该问题中比较常见的是“价格歧视”,即根据算法,使用不同设备或具有不同特征的用户,在使用相同产品或服务时,会付出不同的价格。
二是欧盟要求公司开展的监管。《条例》第22条规定了公司需要让人工介入AI的使用过程,审查某些算法决策。该条例旨在强调在某些服务或行为可能对顾客产生法律影响,应该由人而不是AI算法来最终做出该顾客能否使用服务的决定。例如,在发放贷款过程中,在利用AI对贷款人进行各方面资格核验后,最终仍需由人来决定是否放贷。
三是可以由个人提出的监管要求。《条例》第17(1)条列举了“擦除权”,即用户可以要求公司擦除涉及个人隐私的数据,不得有误。该条例意味着在用户使用了某项服务或软件后,如果认为该服务或软件收集了个人数据并侵犯隐私,就可以要求公司立刻删除,保护个人隐私。
(二)数据使用方面的监管限制
该条例对于数据能否得到合理使用也做出了规定,存在三点引起较大的争议。
一是禁止改变原有数据的使用目的。《条例》第6条规定,在首次获取个人数据并利用该数据实现软件或人工智能的功能后,该数据将不得再用于其他目的。例如某个APP或软件获得了用户的位置信息,那么该信息只能被直接运用于当时的服务,而不能通过连续获得用户的位置信息,记录用户的行动轨迹并据此刻画出用户的生活习惯或常去的地点,以推送相应的信息。
二是数据本地化要求。《条例》第五章表明,欧盟对于在欧洲境外的个人数据流将实施更加严格的控制,即通过要求数字技术公司在欧盟内部使用数据中心,而减少这些数据上传到云平台的机会。这样,就可以将欧盟内部产生的数据,特别是个人数据,尽可能限制在欧盟可控的范围内,避免这些数据上传后造成个人隐私泄露。
三是数据需有可移植性。《条例》第20条规定,消费者有权力将自己的数据与其他公司进行分享。即消费者使用A软件时,产生的个人信息数据由A公司进行标准化后,如果消费者使用B公司的软件需要利用到这些信息,而且消费者认为B公司的软件更好,愿意提供自己的信息时,就可以将储存在A公司的已经产生的数据转给B公司,从而能获得B公司软件更好的服务。
(三)《条例》自身引发争议的方面
除了对数据的使用及监管有种种规定和限制外,《条例》自身也存在一些令人产生争议的方面。
一是使用不可识别身份数据的规定较为模糊。不可识别身份数据,是指无法通过该数据锁定某个个人。在开发和改进AI的过程中,通过共享这种“匿名化”或“假名化”的数据,可以只反映用户的行为特征,但避免个人隐私的泄露。在《条例》中,并未禁止这种“匿名化”数据,但也规定了如果这种数据“有理由”被认为可以确定用户,《条例》仍可以限制对这种数据的使用。不过《条例》并没有明确“有理由”是依据哪些理由。
二是《条例》内容设置较为复杂,需专门增派人员作为个人數据保护负责人。在《条例》中,除前文提及的有争议的规定外,其他规定以及不同情况下的例外条款繁多。可能难以完全遵循或兼顾。开发或使用AI的公司,需要建立专门的部门、指派个人数据保护负责人及相关技术去分析《条例》的规定以及公司各方面相关情况,以确保公司符合《条例》的各项要求。
三是《条例》的复杂性使犯错误的几率上升,同时又课以较为严格的处罚。在《条例》试行的两年中,很大一部分公司,特别是中小企业,因为较难安排专职的个人数据负责人,对《条例》中的复杂的监管规则和处罚规定了解不充分,从而增加了犯错误、违反《条例》的几率。而一旦违反规定,又可能触发高额罚款,最高可达公司全球营业额的4%,或2千万欧元(以较高者为准)。
二、《条例》可能对AI发展产生的影响
对于《条例》中一些有争议的条款以及条例自身存在的问题,一些AI相关智库对《条例》如何影响AI在欧洲的发展提出了不同看法以及调整建议。
(一)数据检查可能影响AI的有效性和实用性
一是解释权可能会降低AI的准确性。关于提供对个别结果的算法说明,反对的看法表示AI的准确性是建立在对用户特征和大量数据的汇总基础上得到的,根据这些特征和数据,通过编制算法计算而成。如果个别用户因认为存在价格歧视,而要求公司向监管机构解释并修改算法,则可能因为这些特例而影响到涉及其他用户的算法,进而影响算法的准确性。
二是要求公司手动审查重要的算法决策会增加AI的总体成本。开发AI的主要原因是促进决策和业务的自动化功能,如果根据22条中的要求由人工最终审核,既大规模提高劳动成本,也会大幅降低效率,使人工审核成为AI公司的瓶颈。同时,该规定也并不能完全避免不合理决策,相反,由于人容易受更多因素的影响,其决策准确性与合理性是否优于AI也有待考察。
三是擦除权可能会损害AI系统。前述的“擦除权”也可能危害欧洲的AI发展。在没有外界帮助的情况下,通过学习AI自身所处理的数据来改进算法的AI系统被称为无监督机器学习的AI系统。其工作原理中非常重要的一步是“记住”用来训练自己的所有数据,以维持从中获得的规则并根据新进入的数据不断改进。然而,如果完全遵从用户要求删除数据,特别是删除支持AI系统行为中关键规则的数据可能会使其准确性下降,并影响其为其他用户服务的能力,甚至完全破坏这个AI系统。
(二)使用数据存在困难可能影响AI领域的创新与发展
一是禁止改变数据使用目的将限制AI的创新。这条规定将使AI方面的公司无法扩展数据的使用范围,所收集的信息如果不用于特定的软件或APP,就变成了沉默的数据。而公司也无法利用这些数据和其他渠道获得的数据进行关联,降低了改善其服务的能力,也限制了对AI应用新场景的开发。欧盟的消费者和企业也将很难从AI的进一步创新中获益。
二是数据的本地化要求提高了AI成本。AI领域的应用当然应该注意保护隐私,但这些信息是包含于数据之中,而与数据存储设备的物理位置并无太大关系。尽管云平台中存储和传输的数据可能因为网络安全受到威胁而产生隐私泄露的风险,但这并不能依靠在本地进行数据备份而解决,反倒提高了相关企业的运营成本。
三是数据可移植性虽然可以刺激AI公司的竞争,但也要付出代价。这一规定在一定程度上可对AI在欧盟的发展起到积极影响。用户可以凭借自己相关的数据集作为选择公司服务的筹码,从而助长公司改善服务的竞争。但是用户个人数据的收集、整理都要花费多年积累,其成本并非某个公司可以独立承担,而收集后该数据集可被用户拿走并转移给其他公司,从市场竞争角度也是令人无法接受的。
(三)《条例》自身的争议可能抑制AI企业的发展
如果说数据监管和使用方面有争议的规定可能会影响AI公司的创新及利润,那么《条例》自身的一些问题可能会抑制AI企业的发展甚至给这些企业带来法律风险。
条例中对于哪些数据是不可识别数据缺乏清晰的定义,这使很多公司无法避免监管机构的严格执法,同时也降低了公司利用不可识别数据处理、改进AI系统的积极性。因为一旦所用的不可识别数据被认定为可以确定某个具体用户,公司将面临罚款及法律起诉。
《条例》的复杂性决定了设立专门的个人数据保护负责人的必要性,而且该负责人需要直接对管理机构负责。这一规定将增加相关公司的成本。特别是对于人力资源并不充裕的中小公司来说,专门抽调人手从事这一非盈利工作,还可能从公司的经营活动中找出不符合《条例》规定的行为。这种既增加企业成本,又对企业实施监督的做法,在实际执行中的效果还有待观察。
同时,《条例》的复杂性也使很多公司较难详尽了解监管规定的具体含义,可能导致公司在运营过程中违规。对于小公司来说,将更倾向于减少AI的使用,降低引起法律纠纷和高额罚款的风险。这将造成不同规模、类型的公司,在人工智能应用方面差距增大,形成人为设置的“数字鸿沟”。长此以往,在欧盟发展的公司将会逐渐丧失利用AI进行辅助决策和改进绩效的积极性,也将抑制AI公司的创新创业行为。
三、对我国AI发展中数据监管的启示
通过分析《条例》中引起企业界争议的规定及对条例自身的讨论,可以看出《条例》旨在保护AI时代的用户隐私,并试图为用户创造一个尽可能公平的使用环境,而这又可能增加AI相关公司的成本与法律风险。在我国AI产业快速发展的过程中,有必要借鉴欧盟的做法,同时也要避免对行业造成过多的冲击。
(一)人工智能时代需更加重视用户隐私保护
此次《条例》的颁布之所以在数字经济领域和AI产业界引起轩然大波,主要是因为该法律大幅提升了AI时代的用户数据隐私保护门槛,提高了企业使用数据的成本,降低了自由度。这正说明《条例》的出台对用户数据保护产生了作用,提醒我们应该更加重视AI时代的用户隐私。
在数字经济、人工智能时代,用户隐私的保护越来越难。随着各类数据采集设备的使用,各类APP、企业组织可以收集用户的身份识别、生理、心理、行为等大量信息并加以利用,而这种收集经常不是当事人的“自主行为”。作為支撑智能设备和人工智能应用的云计算架构及云平台,存储了大量的用户隐私数据,亟待得到有效保护。同时,人工智能拥有较强的从数据到知识的抽取能力,用户在不同人工智能应用、网站上留下的数据、痕迹,通过抽取、组合,就可以勾勒出当事人的生活轨迹,进一步分析出当事人的生活习惯及潜在需求,将原本用于某一特定用途的基础数据,未经当事人同意就变为描绘用户特征的元素之一。而根据《条例》的规定,这几种情况下的数据使用、转移等行为,都将被监管乃至禁止。虽然《条例》可能在具体条目、规定上的要求较为严苛,其正式实施后是否会对AI产业造成冲击还有待观察,但至少形成了在AI时代保护用户隐私的法律参考,也提高了政府、业界和用户对用户隐私保护的重视,这是《条例》颁布的重要意义。
(二)當前我国保护个人隐私的努力
目前我国已经开始在指导意见及法律法规方面开展了保护用户信息安全的努力。在指导意见方面,2017年7月,国务院印发《新一代人工智能发展规划》,对我国未来人工智能工作提出了明确要求。《规划》指出“加强人工智能标准框架体系研究,逐步建立并完善人工智能基础共性、互联互通、行业应用、网络安全、隐私保护等技术标准”。
在法律法规方面,我国《刑法》先于民法等其他法律对个人信息保护进行了规定。《刑法修正案(七)》(2009)确认了非法销售公民个人信息罪和非法获取公民个人信息罪。2015年,《刑法修正案(九)》对刑法第253条做出修订完善,定义了“侵犯公民个人信息罪”,非法提供公民个人信息和非法获取公民个人信息都将入刑。
《全国人大常委会关于加强网络信息保护的决定》(2012)确立了我国个人信息保护最基本的规则,即个人同意规则。此规则贯彻到之后的《消费者权益保护法》(2013)与《网络安全法》(2016)。《消费者权益保护法》中明确规定了“消费者享有个人信息受保护的权利”。《网络安全法》以及最新刑事司法解释正式施行,令信息安全尤其是个人隐私保护的问题产生了质变。该法律具有“适用主体广、入刑门槛低、适用刑罚严”等特点,对于加强个人信息保护,完善我国个人信息保护的法律体系具有重要意义。立法出台之后,以往数字经济界关于个人隐私的一些约定俗成的规则将会发生改变。基于此的大数据、AI产业的发展也都将进入新阶段。
(三)适当借鉴欧盟做法,注意数据保护与AI发展的协调
此次欧盟正式出台的《通用数据保护条例》,对我国的数据保护规则的制定有较强的借鉴作用。一是《条例》在很大程度上起到了保护用户个人数据及隐私的作用。欧盟的数字经济较为发达,有较多的跨国数字经济公司在欧盟开展业务,这与我国的情况类似。这些公司掌握着大量客户数据,如果没有相应的规定进行规制,则可能出现滥用数据甚至贩卖数据的情况。因此,该条例虽然在一些规定上引起争议,但从出发点及覆盖的公司范围看,还是可能达到保护个人隐私的目的。二是该条例规定细致,可操作性较强。该规定共有11章,99条。对个人、数据使用者及其所在组织,以及监管者在其中扮演的角色及行为都进行了较为详细的规定。这些规则可操作性较强,在一定程度上可以指导实际工作。
目前,我国的数字经济发展得如火如荼,AI的应用范围在不断扩大。但需注意的是,尽管已有相关法律、法规,但我国一些数字技术公司或AI公司并未很好地遵守。这些公司在收集用户个人信息时,随意扩大数据搜集范围,强制用户允许软件或APP使用终端的某项功能,或私自启动终端的某项功能,获得用户诸如定位情况等信息。同时,在软件使用过程中,也存在利用AI手段对用户进行精准差异化收费的问题。但由于这些活动的取证相对困难,专门的管理细则尚未完全覆盖,这些公司较少受到处罚,也助长了一部分公司投机取巧的做法。而《条例》的出台,有可能对在欧盟开展经营的中国公司的上述问题展开相关调查,如果这些公司不能尽快请专业律师及数据保护咨询机构帮助提高公司的数据保护水平,未来很可能会因违反《条例》而收到高额罚单。
对于我国来说,可以参考欧盟的做法,在《网络安全法》基础上,补充或出台一部更加适应我国数字经济与AI发展新动向的数据保护管理条例,以管制现存的一些不正规或“灰色”的行为,更好地保护用户隐私。同时,也需注意欧盟《条例》中对AI发展产生较大影响的规定,在划定明确边界的情况下,适当予以放宽,使保护个人数据与不妨碍AI发展并存,达到促进我国数字经济健康有序发展的目的。
参考文献:
[1]胡影,上官晓丽,张宇光等.人工智能安全标准现状与思考[J].保密科学技术,2017(11):23—26.
[2]邵国松,黄琪.人工智能中的隐私保护问题[J].现代传播(中国传媒大学学报),2017(12):1—5.
[3]司晓,张钦坤,李汶龙,田小军.未知的破晓,解构互联网法律前沿[R].腾讯研究院,2017.
[4]王国华,骆毅.论“互联网+”下的社会治理转型[J].人民论坛·学术前沿,2015(10):39—51.
[5]张爱英.互联网金融发展与风险防范——基于《关于促进互联网金融健康发展的指导意见》的思考[J].经济问题,2015(10):53—57.
[6] Blume P. Impact of the EU General Data Protection Regulation on the public sector[J]. Journal of Data Protection & Privacy, 2016, 1(1): 53—63.
[7] Mantelero A. The EU Proposal for a General Data Protection Regulation and the roots of the ‘right to be forgotten[J]. Computer Law & Security Review, 2013, 29(3): 229—235.
[8] Tikkinen-Piri C, Rohunen A, Markkula J. EU General Data Protection Regulation: Changes and implications for personal data collecting companies[J]. Computer Law & Security Review, 2017.
