人工智能与数据保护法律问题

文/ 顾非易（华东政法大学）

　　人工智能有多重不同的定义，但通常被认为是：“包括机器学习，基于收集，处理和适应来自现实世界的数据的算法”。如果没有稳定的数据供应来扩展其知识库，人工智能就无法深度学习。为了开发人工智能，数据控制器收集大量的消费者个人数据使程序能够学习。没有大量的个人数据，算法无法准确地从其环境中学习。与此同时，人工智能公司收集，存储，处理和维护大量的消费者数据。因此，保护数据隐私已成为公司和政府的关注焦点。

　　GDPR《通用数据保护条例》强调消费者对的个人身份识别信息（Personally Identifiable Information，以下简称PII）的掌握，对试图控制和处理PII的主体进行了严格的法律限制和操作障碍。GDPR将PII中几个不能与人工智能共存的欧盟消费者权利抽离出来放入法律，包括：明确同意的要求，擦除权，解释自动决定权以及数据可携权。虽然上述权利仅适用于欧盟公民，但GDPR的地域范围适用于处理这些受保护数据的主体。因此，全球的商业领袖和立法机构必须解决这些合规问题，以确定他们是否可以合法地在GDPR的框架下进行人工智能开发。为了保持在人工智能领域的竞争力，欧盟必须找到一种方法来平衡数据隐私与开发人工智能两者间的利益。

　　人工智能开发与GDPR之间的困境与出路

　　欧盟GDPR的实施与这一条例对人工智能的适用，针对当前主流的人工智能模型，可能对欧盟人工智能的研发工作产生影响，使之陷入停滞。此外，如果欧洲法院（European Court of Justice，简称ECJ）自由解释GDPR并完全行使其领土管辖权，那么有关人工智能的国际问题可以被预期。另外，主权国家或私人公司可以在不使用欧盟PII的情况下开发人工智能，这可能会影响GDPR的运作能力。为解决这些问题，欧洲理事会和委员会有两种选择：第一，将人工智能从GDPR的范围中分离并形成欧盟人工智能理事会；第二，协助投资开发和使用符合当前GDPR标准的新型人工智能模型。

　　(一)将人工智能从GDPR中分离使之成为一个独立部门

　　虽然GDPR是欧盟探索规范人工智能的契机，但是GDPR生效后，欧盟个人数据的数据控制器和处理器将受GDPR条款的约束。即使GDPR的条款适用于所有属于其实质范围的主体，但由于欧盟广泛的领土管辖权，欧盟以外的主体如何应对GDPR的规定仍然是个问题。理论上，任何处理属于欧盟公民个人数据的数据控制器或处理器都属于GDPR管辖范围。然而，GDPR对人工智能使用和开发的潜在负面影响将导致数据控制者或处理者不愿意遵守其条款。根据GDPR第3条的领土管辖范围，数据控制者或处理者将面临重大法律挑战。

　　虽然GDPR目的是管理所有使用欧盟公民个人数据的主体，但是针对其管辖范围和域外范围的法律挑战，可能会降低其有效性或导致其效力减弱。相反，只有欧盟的数据控制者和处理者在开发人工智能时，才会尝试承担遵守GDPR的法律责任。虽然对于位于欧盟的数据控制器或使用欧盟数据控制器开展业务的主体而言，GDPR合规性是必要的，但在欧盟市场可能不值得遵守条例或承担不合规的潜在责任。相反，顶尖的人工智能公司和组织可以选择规避GDPR。实际上，规避GDPR将促进其他国家的人工智能开发没有阻碍地发展，在欧盟内部受GDPR限制的人工智能开发，将难以与其他国家的人工智能发展相抗衡。欧盟不应依赖GDPR行使全球管辖权，而应认识在其境内对人工智能开发的潜在不利影响。

　　许多国家已经认识到过度监管影响技术进步。这些国家选择不过度保护消费者个人数据，或者从更复杂的PII规则中删除人工智能对个人数据的使用。由于人工智能需要开发大量数据，个人数据的过度监管使得人工智能发展停滞不前并限制研究。虽然欧盟显然打算制定符合GDPR规定的人工智能法律，但是应该将人工智能从GDPR中分离使之成为一个独立部门。特别是人工智能法律需要解决关于数据擦除的问题，这有利于数据控制者和处理者。例如，数据控制器和处理器应该能够保留信息直到擦除，而不是要求完全擦除个人数据。通过这种方式，人工智能机器学习将保持在保留信息直到擦除的时间，而不是直接擦除而无法学习。但是，所有未来机器的学习都不包括已删除的个人数据。这将平衡删除PII的利益而不会导致人工智能退化。

　　最后，现有的人工智能模型模拟了人类的神经活动。像人类一样，人工智能从外部环境观察和学习。人类从现实世界中学习，而人工智能从大数据中学习。欧盟不应像对待普通的数据收集和处理系统那样对待人工智能，而应该认识到人工智能无限类似于人类对信息的处理。 欧盟应将人工智能的学习行为与其衍生的个人数据区分开来，而不是要求人工智能直接删除数据并停止学习。

　　(二)欧盟协助投资开发新型人工智能模型

　　如果欧盟坚持不将人工智能从GDPR中剔除，那么另一个解决方案是资助人工智能的发展。与中国类似，政府的人工智能资金将有助于加快和维持人工智能的发展。此外，即使人工智能公司仍然受GDPR的约束，但政府资金将吸引这些公司留在欧盟内部。由于政府将协助为人工智能开发提供资金，欧盟可能愿意放宽对其成员国执行GDPR。通过政府资助，数据控制者将有更大的动力和资源来研究更适合GDPR范围的新型人工智能模型。

　　虽然目前的人工智能模型允许使用反向工程追踪特定人群的PII，但研究表明，这种对消费者个人数据威胁可能有办法解决。例如，Google公司和OpenAI组织已经发现，通过使用“差分隐私（differential privacy）”（差分隐私是一种统计技术，旨在提供最大化统计数据库查询准确性的方法，同时测量对信息在数据库中的个人的隐私影响。“在差分隐私的定义下，对数据集的计算处理结果对于具体某个记录的变化是不敏感的，一个记录因其加入到数据集中所产生的隐私泄露风险被控制在极小的、可接受的范围内，攻击者无法通过观察计算结果而获取准确的个体信息。”），可以构建对特定个人不具有可追踪性的算法。Google公司的理论模型允许算法运行，就像算法从个人数据中学习而实际上没有“亲眼见到”个人。虽然不如传统的人工智能模型那么准确，但早期的结果表明“该模型的准确率与传统模型相差2%之内，而其他替代模型与传统模型相差5%”。这些早期结果为人工智能技术与GDPR协同提供了数据支持。

来源：人民法治网

责任主编：安远洪