用戶登入
懇請您立即點擊填寫「2017年科技發展觀測平台與電子報滿意度調查」。我們期待提高問卷回收率,請繼續給我們支持與鼓勵,感謝您!
焦點新聞
歐盟新資料保護法對AI的影響
.2018/05/18
摘要 歐盟新的個人資料保護規定通用資料保護規則(General Data Protection Regulation, GDPR)於2018年5月25日正式生效。GDPR規範使用或處理居住在歐盟地區或歐盟公民的個人資料。此新規範將影響全球正處於激烈競爭的人工智慧(AI)開發與使用,AI能讓電腦的表現更接近於人類,並透過更有效率的流程與更高的品質來提高生產力。
雖然許多AI系統並無使用個人資料,但其他許多資料卻屬於GDPR規範的主體,如顧客例行性的與具有AI功能的個人助理互動、機器人顧問提供自動化的財務建議、在串流(streaming)服務上的電影推薦等,只要涉及處理個人資料的歐洲企業將會明顯受到影響。這類服務間接受到使用歐洲個人資料的限制,以及企業積極參與AI所提高的合法性風險所影響,GDPR將使應用AI的歐洲企業發展受到負面影響。以下將摘要報告論述GDPR如何阻礙AI使用與發展並提出相關修正建議。

一、 GDPR如何阻礙AI使用與發展:
(一) 要求企業手動檢視重要的演算法決策(algorithmic decision)將提高AI的整體成本:在GDPR要求必須有人類檢視特定演算法決策,此將大幅提高勞動成本,且開發AI的主要因素是透過自動化功能取代若由人類執行會較為緩慢、高成本與困難的工作。
(二) 解釋權將降低AI的準確性:GDPR規定企業有義務提供個別演算法決策的解釋或演算法如何擬定決策的通則(目前仍相當有爭議),然而前者可能損害演算法的準確性,並反過來導致不公平的決策,因準確性與透明度在演算法決策中是具有抵換關係。
(三) 個人有權要求刪除個資的規定將損害AI系統:所有以非監督式(unsupervised)機器學習的AI系統,不需外在協助就能透過處理過的資料自行改善,其需要記憶所有用來自我訓練的資料,以維持該資料的規則。然而,刪除構成AI系統關鍵規則的行為,將降低系統的準確性。
(四) 禁止使用變更目的(repurposing)的資料將限制AI的創新:GDPR如同其前身個人資料保護指令(Data Protection Directive)的規範,禁止將資料用於非首次收集目的用途的使用,此將使企業難以用創新的方式使用資料,這類的規定將限制企業在開發或使用AI能力以嘗試改善服務的新功能。
(五) 模糊的規定將阻礙企業使用去識別化的資料:雖然GDPR允許使用企業使用去識別化的資料,但是缺乏明確的去識別化認定,將阻礙企業使用去識別化資料,以免遭到嚴厲的罰款。此將損害企業處理與分享可用於改善AI系統的去識別化資料的意願。
(六) 複雜的GDPR將提高使用AI的成本:GDPR是相當複雜的法令,使企業在開發與使用AI時,需要特殊人員與技術以確保符合GDPR的規定,此舉將提高AI的成本並影響企業使用AI的意願。
(七) GDPR提高企業使用AI的法律風險:目前許多證據顯示,許多企業特別是中小型企業並不了解GDPR規定或是GDPR對企業的意義,因此將提高成本或是降低使用AI的意願,主要問題在於GDPR的巨額罰款高達全球總營業額4%或是2000萬歐元,取金額高者。因為小公司的營收通常低於大企業,極大化GDPR罰款比例上對於小公司將造成更大的負擔,最終可能導致小公司更少採用AI。
(八) 資料本地化(Data-localization)的要求將提高AI成本:GDPR條文顯示應嚴格管控個人資料流出歐盟地區,此等同於要求企業應在歐盟境內的資料中心使用資料,此將減少雲端服務提供商的競爭力,並提高資料處理成本。雖然GDPR禁止各國政府以隱私為由強迫公司在特定國家存儲個人資料,但GDPR並無認知到資料儲存位置與隱私或安全是不相關的。
(九) 資料可攜性(data portability, 指資料當事人可要求資料控管者就其個人資料,以共通、機器可讀形式等的檔案提供給資料當事人)雖然需付出代價,但可刺激AI競爭:GDPR中對於資料可攜性的規範能為AI發展帶來正面影響,因資料可攜性讓使用者能更方便的利用AI與企業分享資料,並提高企業競爭力。

二、 對GDPR的建議
(一) 應簡化GDPR,並著重於對消費者的傷害預防,而非限制資料使用與資料創新。
(二) 應刪除要求人類檢視演算法決策的規定,因這類政策將迫使公司使用準確度更低的AI系統,而這些系統無法保護消費者免於不公平的決策。適當的程序與審查應取決於合適的本質與審慎的決策,而非基於這些決策是來自人類或演算法。
(三) 應要求企業具有透明度、證明與監管機制或是對於技術中立(technology-neutral)的解釋,來取代決策是基於人類或是演算法的規範。
(四) 應修正GDPR讓企業提供對於演算法決策有意義的資訊來符合規範,可透過提供描述演算法運作方式與使用何種資料。
(五) 應重新檢視刪除個人資料的權利,以確保企業能夠刪除資料但不影響演算法對其他顧客的功能性。
(六) 應修改GDPR,允許在不需額外獲得同意下,可變更個人資料的使用目的,除非會對資料當事人帶來重大風險或者將資料轉移給其他企業(包含合併與收購)。
(七) 應修正資料可攜性的權利以解決成本問題,因為有時攜帶龐大且複雜的資料可能僅有些微價值,法律應該允許企業對提出這類要求的客戶支付適當的成本。
(八) 應調整GDPR對於違反規範的罰款,應以造成損害的程度與企業規模為考量基礎,此將提高企業著重於保護消費者隱私的誘因。
(九) 歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)在去識別化資料方面,應明確告知與提供務實的指南,例如美國在健康資料的隱私規範,如此企業才能明確知道應採取何種措施。
(十) 當國家認為資料處理符合公共利益時,GDPR將不適用於特定類型的資料處理規則,各國政府應使用此授權,讓公共服務能使用AI。
資料來源 ITIF’s Center for Data Innovation