AI觀察站

科技競爭下人工智慧產業法規風險-歐盟資料保護篇

GDPR and hand

歐盟所制定「個人資料基本規則」(General Data Protection Regulation,簡稱GDPR)在2018年5月25日正式施行,引發國際社會關注並擔心對數位資訊科技,以及人工智慧等新興科技造成的衝擊。此事是為歷史性里程碑,象徵歐盟在全球科技競爭環境中走出自己的一條路。


該路線並不僅是對個人資料之強化保護這個面向,還包括了反對資訊壟斷,以及反對數位產業中的稅負不公平,也就是同一年間陸續還推出了對Google公司處罰違反競爭法的鉅額罰金,以及西班牙與英國陸續推出對網路公司課徵營業稅的制度,歐盟也正考慮全面施行數位税。個資保護、資訊壟斷、數位税這三大面向都圍繞著資訊管制的基本思維,展現了與美國這個盟邦截然不同的制度模式,因此值得逐一加以說明,本文先針對個資保護部分進行介紹,另外兩部分將陸續於本系列中介紹。

在探討歐盟相關法制變革之前,首先說明歐盟在人工智慧與新興科技發展競爭上面臨的困境,藉此可理解這些法制出現的背景。總體而言,歐盟在發展人工智慧上所面臨的困境就是市場規模分散(因為歐盟數位市場尚未統一),數位資料之整合困難(因為1995年的歐盟個資保護指令以來就已建立嚴格的個資規範),缺乏本土的互聯網巨頭公司,因此被Google、臉書、亞馬遜等美國巨頭公司主宰。

這三大限制條件對一個經濟體要發展人工智慧來說是非常致命性的,從結果來看,2011年惠普公司收購了擅長語意處理的英國人工智慧公司Autonomy,2014年Google公司收購了神經網絡領域創業公司DeepMind(進而開發出AlphaGo)。統計上,2012年至2017年間,美國科技公司收購的AI新創公司中,19家來自歐洲,佔了總計31%。 某種意義上,歐洲成了其他國家的AI孵化器,相關新創公司做出成績後受限於市場規模與資料取得限制,就只能併入美國大型網路公司。

歐盟的人工智慧相關研究相當卓越,但走向產業化卻面臨瓶頸。除了前述面臨的環境限制外,歐洲在此領域的新創公司還有個困難,就是歐洲的投資者不像美國及中國的投資者傾向追逐高風險高報酬的機會,歐洲投資者比較保守謹慎,較關注資本投入的報酬效率。美國及中國的投資較忽視資本報酬效率,而是追求快速擴張的效果(當然就較容易出現無效與浪費的投資)。既然新創事業在歐盟境內募資困難,自然就容易被積極尋求擴張市場的美國公司所併購。

在前述不利條件下,歐盟的回應方式不是選擇打造像美國一樣的開放創新體系,當然也不是學中國組織一些「國家隊企業」式的壟斷技術與市場,而是反其道而行,要把人工智慧發展與應用的相關規範訂得更嚴格,這個戰略很值得分析與參考。

歐盟制定的GDPR是具有全球影響力的個資保護規範,其乃是為了因應當代資訊科技無所不在的特性,因此將個資保護之適用對象及於所有的個人資料處理,且對於個人資料之定義涵蓋到四大類型:姓名、識別身份之號碼、位置資料、線上身份識別資料(包括IP address以及cookie)。由此亦可知,GDPR是將1995年的個人資料保護指令之精神延伸到數位化互聯網時代的需求。

作為歐盟規範的GDPR為何具有全球影響力,乃是因為其規定了該規範的管轄範圍相當廣,主要包含三大類型。在說明此三大管轄範圍之前首先說明,GDPR主要界定出data controller(資料控制者)和data processor(資料處理者)兩種身份,前者是對於資料之處理目的與處理方法具有決定權之身份,後者則是受前者委託,依據其指示而處理資料之身份(可概略等同於資訊服務商)。

當然在規範上是前者的法律責任較重,後者只要沒有超越data controller的委託範圍,則所負義務較低。而GDPR規定之管轄範圍包括:(1)機構設在歐盟境內之資料控制者或處理者,其處理個資之活動接受管轄,且不限其處理行為是否發生在歐盟境內;(2)歐盟境內自然人之個資,受到境外的資料控制者或處理者處理之行為,其前提是關於提供商品或服務之要約給歐盟居民,或者是對於歐盟境內居民行為之監視;(3)資料控制者不在歐盟境內,但其所在地依國際公法適用歐盟會員國法令者。

特別值得注意者,第一款所謂機構設在歐盟境內,乃是用”an establishment of a controller or a processor in the Union”,其中所稱establishment之意義相當廣泛,舉凡分公司、子公司、銀行帳戶、郵政信箱、銷售代表等都可能構成該公司在歐盟境內設有機構。換言之,台灣許多公司也都可能構成第一款所界定之管轄對象,那麼無論處理個資之行為發生在歐盟境內或境外,都必須遵守GDPR。

總體而言,GDPR在四大面向上的全面性使其產生巨大影響力,一是在保護客體上的全面性,任何數位時代可用以識別個人身份的資料都列入個人資料之定義範圍;二是管轄範圍之廣泛性,不僅對歐盟境內事業體之定義廣泛,即使非歐盟境內事業,只要涉及處理歐盟居民之個資皆受到規範;三是對違法行為處罰非常嚴厲,高達該企業全球營收的4%或是兩千萬歐元(兩者取其高者),因此法規遵循之成本再高都必須設法遵守;第四是對個資當事人之權利賦予更為廣泛,不僅有傳統上肯認的知悉權、查詢權、更正權等權利(此在我國個人資料保護法皆有保障),更有被遺忘權(right to be forgotten)之明文化,還有對於自動化機器決策的禁止。由於GDPR之內容龐大,本文無法詳述,僅針對其所揭示之幾項基本原則,可能與人工智慧之開發或應用產生衝突之處加以探討。

在資料取得合法性方面,個資之取得必須告知當事人利用目的與範圍,且不得為告知目的外之利用。此點在人工智慧以及相關連的大數據研究利用上就會產生衝突,因為大數據之研究不是先設定資料利用目的,而是先把資料大量匯集之後再去分析出研究價值。而大數據之分析乃是人工智慧開發的基礎,沒有大量資料為訓練基礎,根本無法讓機器學習得以發展。此外,資料控制者必須隨時能夠說明資料之利用情況,並且得應當事人要求而刪除其資料,此點也必然耗費龐大的資料管理成本。這些基本原則雖然都有例外條款存在,但例外條款該如何適用,往往不夠明確。在歐盟實務上都必須靠個資專責機關加以解釋適用,否則違反個資保護法規動輒高額的罰金,會形成科技產業發展與投資者的極大風險。

除了大數據之開發會受到個資保護規範之牽制外,機器學習式的人工智慧還面臨如何讓演算法的黑盒子更趨透明而有可問責性(accountability)的挑戰。因為GDPR規定,完全由機器做出決定的方式,若涉及當事人的權益,則當事人可表示反對,相關決策單位必須能對機器的演算邏輯作出解釋,否則不能以機器做成相關決定。實際上機器學習的演算法是會演變的,其演算法是因著其學習所參考的各種大量資料而形成,不是程式設計者已經預設的固定演算法,因此要如何解釋其作成決定之邏輯,是很大的挑戰。

放在資訊管制的脈絡下,GDPR對全球人工智慧與大數據產業發展的最大衝擊就是對於個資跨境傳輸的嚴格限制。根據GDPR第44至第50條,任何將歐盟個資傳輸到歐盟境外之行為,其合法性依據必須符合特定條件,其中主要是該第三國必須符合歐盟之適足性認定(adequacy decision),亦即其個資保護水準符合歐盟標準;其他則是可依據「歐盟標準契約條款」(EU Standard Contractual Clauses),由輸出方與接收方簽約(依據GDPR第46條)。

由於目前被認定符合適足性認定的國家非常少數,因此企業若與歐盟相關單位合作而有個資傳輸之需求,多半須以標準契約條款之簽訂為之。此種嚴格限制歐盟個資傳輸到境外的規範,固然在此全球網路連結時代有落實保護效果之意義,但造成之法規遵循成本亦相當高,甚至被稱為數據保護主義,也就是企圖將具有價值的數據資料盡量留在境內。

相較之下,美國的政策立場是反對數據保護主義的,因為美國的網路新創產業發達,其營運之基本利益就是資料自由取得及匯流,以利進行大數據分析跟人工智慧相關開發。美國為了抵禦數據保護主義之潮流,在推動太平洋夥伴協議(TPP)草案時就已試圖確立明文保障資訊自由跨境流通。在該協議草案第14章「電子商務」,其中規範:
「在合法公共政策目標(例如個人資料保護)下,TPP締約方承諾,為促進網際網路及數位經濟,確保全球資訊及資料自由流通。TPP締約方亦同意不要求企業建立資料儲存中心為在TPP市場營運之前提,亦不要求移轉或提供軟體原始碼。本章節禁止締約方對於電子傳輸課徵關稅,以及避免締約方因偏好本國製造商或特定產品提供者採取歧視性措施或完全封鎖。為保護消費者,締約方同意採行及維持消費者保護法規,防止網路詐欺及不實商業行為,並確保隱私權及其他消費者保護得以實施。TPP締約方亦同意採取措施防止垃圾郵件。另為促進電子商務,本章節亦鼓勵各式無紙化交易,例如電子通關表格、電子驗證及簽章。本章節允許締約方就部分義務得採取不符合措施。締約方亦同意合作協助中小企業利用電子商務及鼓勵推動個人資料保護、線上消費保護、網路安全等政策合作。 」(國貿局中譯摘要)

個人資料之跨國流通傳輸問題,不僅涉及個人資料歸屬的問題(歐盟認為是當事人的絕對權利,中國認為是攸關國家安全,美國認為這是企業創造的資產,可以自由利用),同時也是產業與科技競爭的關鍵資產。對於人工智慧相關產業人士而言,這個議題是處於三大經濟體各自形成規範模式的變動期,法規遵循風險相當高,台灣企業必須及早重視與因應。