“因為GDPR（歐盟通用數(shù)據(jù)保護條例），我們在歐洲的新品發(fā)布已經(jīng)推遲了�！背鲩T問問創(chuàng)始人兼CEO李志飛告訴《財經(jīng)》記者。出門問問是中國一家人工智能（AI）創(chuàng)業(yè)公司，該公司基于AI技術生產(chǎn)諸如智能手表、智能音箱在內的智能語音設備，2016年起產(chǎn)品已經(jīng)銷往歐美市場。
　　不僅僅是出門問問，《財經(jīng)》記者獲悉，許多AI公司都正忙于聯(lián)合法律專家，基于GDPR條款，全面審查和調整自己的產(chǎn)品、服務乃至商業(yè)模式。
　　GDPR全稱General Data Protection Regulation，號稱有史以來最為嚴格的數(shù)據(jù)保護法規(guī)，歐盟于2018年5月25日正式實施。作為一項強制性法律，它保護的是自然人的“個人數(shù)據(jù)”，包括姓名、地址、生日、信用卡、銀行、醫(yī)療信息、位置信息、IP地址等等。
　　這意味著，任何在歐盟設立機構的企業(yè)或向歐盟境內提供產(chǎn)品和服務的企業(yè)，在處理歐盟境內個人的數(shù)據(jù)時都受到GDPR的約束，除非放棄歐盟5億發(fā)達人口市場。
　　如果違反GDPR，企業(yè)最高將面臨高達全球年營收4%或者2000萬歐元（約1.5億元人民幣）的巨額罰款（兩者取其高）。
　　AI是一個極度依賴數(shù)據(jù)的行業(yè)。縱觀AI落地全過程，從最初進行AI算法模型的訓練，到形成最終的AI產(chǎn)品或服務，數(shù)據(jù)都是不可或缺的生產(chǎn)資料，這意味著GDPR對AI的約束貫穿AI整個生命周期。而且，不僅僅是AI公司，但凡使用AI算法去改造自身業(yè)務的公司都需要評估是否違反GDPR。
　　《財經(jīng)》記者發(fā)現(xiàn)，目前，“GDPR導致深度學習即將違法”等一些有失嚴謹?shù)挠^點廣為流傳，AI從業(yè)者在合規(guī)建設中普遍存在困惑。如何正確理解GDPR法律條款、評估可能的風險，以及預測GDPR究竟會對歐盟內外AI產(chǎn)業(yè)帶來什么樣的影響，成了當務之急。

“兩步走”界定個人數(shù)據(jù)

　　GDPR由11章共99項條款組成，立法目的是在保護個人數(shù)據(jù)的前提下實現(xiàn)數(shù)據(jù)的價值。因此，企業(yè)首先要搞明白的問題就是：什么是個人數(shù)據(jù)？這并非看上去那么簡單明了，理解不當有可能令企業(yè)未來陷入法律風險。
　　按照GDPR的規(guī)定，姓名、地址、生日、信用卡、IP地址等信息均屬于個人敏感信息，此外，揭示人種族、政治傾向、宗教和哲學信仰、基因數(shù)據(jù)和生物數(shù)據(jù)、甚至個人健康或者性生活的數(shù)據(jù)也都被明確說明屬于個人數(shù)據(jù)，但現(xiàn)實中仍然存在一些令人困惑的數(shù)據(jù)類型，例如，語音數(shù)據(jù)、車牌號碼是否屬于個人數(shù)據(jù)？
　　騰訊研究院專門研究數(shù)據(jù)保護法律法規(guī)的專家王融表示具體情況具體分析。GDPR規(guī)定對個人數(shù)據(jù)的定義很寬廣，能間接識別到特定自然人的數(shù)據(jù)也屬于個人數(shù)據(jù)，在被保護的范疇內。
　　“如果一段語音結合其他信息能定位到特定的個人，那這段語音數(shù)據(jù)可視為個人數(shù)據(jù)。車牌號也是一樣，由于具有唯一性，在很多場景下都可以被識別，這也是為什么谷歌街景要把車牌號均抹去的原因，但公家車的車牌又不屬于個人信息，所以要結合具體場景進行分析�！蓖跞谙颉敦斀�(jīng)》記者解釋。
　　AI公司使用的數(shù)據(jù)類型五花八門，如何判斷某類數(shù)據(jù)是否屬于個人數(shù)據(jù)？王融介紹了個“兩步走”的方法：第一步，判斷這一數(shù)據(jù)是否是由特定的個人產(chǎn)生;第二步看可識別性，能直接識別到個人自然無爭議，但要小心甄別“間接識別到個人”的情況。

　　一旦界定手中擁有的數(shù)據(jù)為個人數(shù)據(jù)，企業(yè)和機構只能一一征求個人用戶的同意，并賦予個人用戶未來可以隨時撤回同意的權利，以及隨時要求相關機構刪除其個人數(shù)據(jù)的權利。
　　不過，為了與其他正當利益達到平衡，GDPR列出了一些無需經(jīng)由個人用戶同意的場景。例如，為了公共利益或因官方權威要求而履行某項任務，為了履行法律職責的需要，為了保護數(shù)據(jù)主體或另一個自然人的核心利益等。
　　這意味著，公共機構仍然可以在公共場合設置攝像頭，并利用人臉識別技術對潛在的恐怖分子進行排查;醫(yī)療機構發(fā)現(xiàn)大的疫情之后，也可以不經(jīng)當事人同意處理個人數(shù)據(jù)。
　　對于這一問題，我國行業(yè)標準《個人信息安全規(guī)范》（2018年5月1日生效）也做出了修正，詳細羅列了11項例外的情形，以保證數(shù)據(jù)的合理化使用。

深度學習不合法？誤讀

　　如果說對個人數(shù)據(jù)的理解不當可能給AI公司帶來法律風險，那對另一項條款的解讀正在讓一些AI從業(yè)者陷入過度的擔憂。
　　該條款名為“自動決策的可解釋權”（The Right to Explanation of Automated Decision），多個接受《財經(jīng)》記者采訪的行業(yè)人士認為，這是GDPR專門針對AI設立的條款。
　　針對該條款，《終極算法》作者華盛頓大學教授Pedro Domingos在今年初發(fā)表驚人言論：自5月25日起，歐盟將會要求所有算法解釋其輸出原理，這意味著深度學習即將非法。
　　人工智能早在上世紀50年代就作為獨立的學科存在，一直因為難以落地而長時間遇冷。最近幾年人工智能之所以再度時興，主要原因之一是出現(xiàn)了深度學習理論與技術。
　　但深度學習目前在一定程度上仍是“黑盒子”，難以解釋具體的內部邏輯。
　　中國信息通信研究院云計算與大數(shù)據(jù)研究所副所長何寶宏曾分析稱，人們雖然利用深度學習構建了神經(jīng)網(wǎng)絡，但對神經(jīng)網(wǎng)絡表現(xiàn)出的一些“智能”還不能做出合理解釋，也事先無法預知學習的效果。
　　“為了提高神經(jīng)網(wǎng)絡訓練的效果，除了不斷增加網(wǎng)絡深度和節(jié)點數(shù)量、喂更多數(shù)據(jù)和增加算力，然后反復調整參數(shù)，基本就沒別的招數(shù)了，而且，調參還像玄學，并沒有總結出一套系統(tǒng)經(jīng)驗做指導，完全依賴個人經(jīng)驗，甚至靠碰運氣�！焙螌毢暾f。

相關熱詞搜索：緊箍咒 人工智能 GDPR