欧盟高规格GDPR数据保护法上路,AI新创该如何应对?!

欧盟高规格GDPR数据保护法上路,AI新创该如何应对?

如果你是 Apple、Google 或 Yahoo 会员,最近登入帐号,一定会收到新版的隐私条款声明,要求你按下同意。多数人可能直觉会以为,这是在 Facebook 的「剑桥分析」风暴后,各家业者亡羊补牢的对策。其实并非如此,而是影响层面更深更广的欧盟个资保护新法 GDPR ,即将在 5 月 25 日上路,是它让大家严阵以待。

隐私权是个超过百岁的古典法律概念,但究竟为什幺, GDPR 会引发全球业界草木皆兵?在注重蒐集用户数据的 AI 时代,这会产生哪些影响?

首先,GDPR 在适用对象、规範内容和处罚等面向,都宣示前所未见的管制力道。其次,GDPR 明文确认「赋权」 与「当责」 的观念,彻底颠覆政府与民间「上有政策、下有对策」的表面和谐。再者,GDPR 可算是首部「单挑」应用 AI 与 Big Data 的隐私保护法令,试图直捣黑盒子核心。

可以想见, GDPR 上路后,数据利用与用户隐私之间的权衡与折冲,将成为企业无法迴避的挑战。坏消息是,GDPR 的「最广、最严、最昂贵」让企业稍有不慎,就可能严重受罚;好消息是,在与 AppWorks Accelerator 校友企业进行法务辅导的过程中,针对实务运作,整理出这篇「最小、最大、最透明」的教战守则,在此公开分享,希望提醒企业看待 GDPR 不只是无奈的法遵成本,更是协助产品与服务最佳化的关键。

GDPR 之最广、最严、最昂贵

GDPR 引发业界焦虑恐慌的红色警戒,主要原因有以下三点:

1、 适用对象史上最广

GDPR 适用于任何在欧盟设立据点的企业,无论个资处理是否发生在欧盟境内。相对的,如果企业的产品或服务,有部分用户是欧盟居民、蒐集或处理到欧盟居民的个资,无论是否为设立在欧盟的企业、不管是 B2C 或 B2B 领域,都在 GDPR 涵盖的射程内。当然,企业请不要忽略,隐私保护不只影响到用户黏着度、交易伙伴的合作意愿,随着 GDPR 带动全球法规风向,法遵稽核势必也将成为投资与併购案件 Due Diligence 的重要环节。所以,不论企业是否直接适用 GDPR,没有人是局外人。

2、 规範内容史上最严

GDPR 整份文件,光是前言就有 173 点,内文更长达 11 章共 99 条法规,鉅细靡遗规範了什幺才是合法、公平与透明的数据蒐集、处理、利用,包括:使用者权利、系统架构、资安管理、风险评估、通报机制、专责人员、标章制度、跨境传输、机关权限、争议处理、紧急措施等。其中许多定义釐清与执行难度,目前仍存在争议,有待将来累积个案经验与实务见解,且战且走。

3、 天价罚锾史上最贵

在台湾,现行「个人资料保护法」对违法企业,最高按次处以新台币 5 万元以上、50 万元以下罚锾。但一旦违反 GDPR 情节严重,最高可能处以 2,000 万欧元,或全球年营业额 4% 的罚锾。无论是资料控制者 、协助进行资料储存或传输的资料处理者 ,都可能受到裁罚。

教战守则之最小、最大、最透明

GDPR 引进「赋权」与「当责」的观念,将一直以来被误认为配角的用户与企业,重新拉回镁光灯下,企业不再只是配合主管机关规定,或是请律师拟定隐私权政策文件的被动角色,这主要包括三个面向:

1、 最小限度利用个资

随着科技演进,个资的定义愈来愈广,泛指一切可识别化的个人资料。GDPR 明文指出,以不可逆的方式得出完全无法辨识出用户个人的「去识别化资料」 ,虽不属于隐私保护範畴,但可透过交互比对、勾稽辨识出用户个人身分的「去连结化资料」 ,仍可能构成个资。相对的,GDPR 也确立个资的蒐集、处理、利用都必须遵循「最小限度原则」,也就是不得逾越预先设定的「特定目的」。

从数据分析的效率而言,蒐集资料本来就不是愈多愈好,过多的杂讯、不知所以的运算,结果也只是 “Garbage in, garbage out.” 而已。话虽如此,却是知易行难,举例来说,当用户使用 Google 的搜寻服务,Google 除了依赖输入的关键字外,可能也参照用户的 Gmail 使用行为、结合即时的位置资讯,从而得出最佳化的搜寻结果。类似这样的数据再利用 ,便可能与「最小限度原则」相扞格。GDPR 为此提供了「特定目的相容性」的判断基準,包括新旧目的关联性、资料蒐集的背景脉络、用户与企业的关係、用户的合理期待、允许使用的结果、资料的本质等等,可供企业斟酌参考。

2、 最大程度赋权用户

个资永远属于当事人,不是任何企业可以据为己有。GDPR 强调「赋权」用户,包括接取资料权 、迁移资料权 、更正权与删除权。事实上,由于用户本人对个资的正确性最为熟悉,企业如果能够藉由「赋权」机制,鼓励用户随时主动更新个资,像玩乐高积木一样,拼凑出自己认为的长相,不但能够落实 GDPR 的法遵要求,更有助于优化数据分析。典型的例子,就是过滤垃圾邮件和 Facebook 广告偏好的设定机制,由用户主动参与特徵标示,使企业得以进行更精準、更值钱的数据分析。

以实现「赋权用户」为前提,GDPR 特别要求企业「讲人话」来取代晦涩难懂的隐私政策。企业必须用最直接、最浅显易懂的方式,揭露隐私政策,并且遵循「确认后同意」 的流程,前者例如「Multilayered Privacy Notice」,后者例如「Opt-in」机制。Facebook 在「剑桥分析」事件爆发后,陆续提出「Privacy Shortcut」、「Clear History」这些隐私保护优化措施,便是着眼于此。

3、 最透明的决策机制

我们知道机器学习,尤其深度学习,有如在黑盒子内进行的过程,就像人类的神经网路,究竟如何决定数据的关联性与权重以形成决策,向来是个难解的谜团。但是,我们也知道,过去人们以为电脑一定比人脑準确、不受外在因素影响,在人工智慧的领域已经不再适用,「演算法公平性」的议题因此兴起。GDPR 强调「透明处理原则」,针对「个人化自动决策」 赋予用户请求解释、拒绝适用的权利 ,其实就是将近年来学术讨论逐渐热络的「可信任/解释的人工智慧」 直接纳入法律,试图引起全面性的重视。

「可信任/解释的人工智慧」主要探讨如何尽可能减少黑盒的节点、避免演算法偏见与歧视。当「个人化自动决策」,对用户形成法律效果或其他重大影响,包括个人资料的「剖析建档」,企业必须确保模型本身是由正确的数据训练出来,不得标示种族肤色、宗教信仰、政治立场、性倾向等可能导致歧视的特徵,并应事先向用户说明自动决策的存在、取得用户同意。

此外,企业至少要有能力在足以保护用户权益的範围内,简要说明怎样的数据会导致怎样的决策、数据的变动如何影响决策的变动,并赋予用户可以拒绝适用、表达意见、要求「工人」智慧介入判断的权利。

举例来说,如果线上汽车保险业务完全透过演算法,自动决定用户的保费金额,企业必须能够说明如何计算保费高低?是由哪些因素所决定?例如,是受到用户年龄、健康状况、驾驶习惯、肇事纪录等因素影响。而如果用户认为权益受损,则可以表示异议。

GDPR 的「透明处理原则」,除了挑战人工智慧的黑盒子以外,在技术层面也不断对工程师喊话,主张从设计端开始的隐私保护 。当企业判断某项个资处理环节,可能侵害用户权益时,就必须进行「资料保护影响评估」,提出解决方案,必要时并应向主管机关彙报。此外,GDPR 也鼓励企业常设资料保护专责人员协助建立常规,并建议主管机关与业界,协力建立行为準则与认证机制,共同促成法的实践。

结语:企业要当太阳,不当北风

对台湾企业来说,即便完全遵守「个人资料保护法」,是否仍有违反 GDPR 的疑虑,恐怕是现阶段最担心的事情。有鉴于此,国发会已陆续邀集各部会研拟因应策略,除了进一步了解有无参照修法的必要之外,并针对各式各样实务疑虑,循官方途径展开协商。在这个过渡时期,我们建议企业兼顾天平的两端,在策略方向上,必须掌握数据作为商业竞争的致胜关键,而在执行层面,仍应落实个人资料归个人控制的原则,不能偏废。

其实,当我们用资料科学的角度来解读,就会清楚发现企业和用户并非对立,而是站在同一阵线。看待 GDPR 未必要从法遵成本的角度来思考,当企业提供体贴用户的隐私保护,确保用户心甘情愿提供个资、乐于即时更新资料,便能降低数据分析错误的风险,并优化产品与服务的效能与价值。

有了以上的认识,在 GDPR 上路后的数据利用,反而更像是「北风与太阳」的故事。一旦隐私保护内化成为企业 DNA,企业与用户都将因此受益,到时候,如何处理数据不触法,便不再是一个恐怖的话题。

上一篇: 下一篇: