今天，欧洲“史上最严”的数据保护条例——通用数据保护条例（The EU General Data Protection Regulation，GDPR）生效。

GDPR有多严格？对于违规收集个人信息的互联网公司，最高可罚款2000万欧元或全球营业额的4%。

这个数字看上去没什么概念。举个例子，微软2017年收入 900亿美元，4％就是36亿美元；亚马逊2017年的收入为1779亿美元，若罚款4％就是70亿美元。

对大公司罚再多的款看上去也跟开发者无关，毕竟又罚不到开发者身上。

那就错了。

在今年初，华盛顿大学人工智能专家Pedro Domingos教授的发推特：GDPR要求算法有可解释性，这让深度学习成了违法行为！

当时这条推特就引起了恐慌，引发各种律师出来进行解读。

最新的消息是，在ICAN咨询公司的GDPR交付经理（Delivery Manager）说，GDPR不会停止机器学习和深度学习，也不会成为它们的危险。

看上去松了口气，但对AI产业界来讲，GDPR带来的影响才刚刚开始。

深度学习的“大敌”：你给我解释解释可解释

Domingos教授认为“深度学习违法”，是因为GDPR中的第13至15条规定，公司有义务提供对个人算法决策的详细解释，或关于算法如何作出决定的一般信息——这是争论的焦点。

很多人对Domingos教授的话感到担忧：GDPR是否真的需要机器学习算法的解释？

首先应该区分一下“解释”的范围：

全局解释（Global explanation）：机器学习的算法是如何工作的（这对于深度学习等复杂方法来说可能非常困难）。

局部解释（Local explanation）：影响特定人员的某个特定决策的因素有哪些（比较容易）。已经有一些算法，如LIME：Local Interpretable Model-Agnostic Explanations，它可以解释任何机器学习分类器的预测。
例如，如果一个人的抵押贷款被拒，TA是否应该知道是哪些因素促成了这一决定？一方面，如果你被算法拒绝，你想知道为什么，并有机会上诉。另一方面，足够的解释可能会使决策边界被反向设计，并允许潜在的邪恶行为者对系统进行博弈。在很多情况下这是非常不可取的（例如安全应用）。

欧盟律师、牛津大学人工智能和机器人技术法律与伦理研究员Sandra Wachter博士认为，GDPR要求数据控制器实施适当的措施来保障数据主体的权利自由和合法权益。而第15条意味着一种更普遍的监督形式，而不是对某一特定决定作出解释的权利。

说起来有点绕，直白点的意思是：

在GDPR中，解释的权利不具有法律约束力，但可以自愿提供。

Sandra Wachter博士还认为，GDPR很可能只向个人提供关于自动决策和系统功能存在的信息，但是没有关于决策基本原理的解释。事实上，在整个GDPR中，“解释权”只在第71章的规定中提到过一次，而这一规定缺乏建立独立权利的法律权力。

数据研究公司MediaGamma联合创始人、CEO Rael Cline认为，深度学习仅仅是一种使用大量数据（标记或未标记）的算法。由于其有效性与数据的数量和质量以及这些数据集的危害程度有关，在最坏的情况下，GDPR可能影响算法的准确性并限制其商业价值。

“使用未经消费者同意的数据在GDPR下是非法的，但深度学习的方法不违法。值得注意的是，在许多用例中，GDPR的影响非常小（例如，工厂的数据是由机器生成的，而不是终端用户的）。”

ICAN咨询公司GDPR交付经理Can Huzmeli也说，GDPR不会成为机器学习和深度学习的危险。

“GDPR关注的是作为系统输入的数据，以及作为处理结果共享数据的人。”Huzmeli说。“只要你的数据处理方式在隐私方面是安全的，你就可以使用任何算法。”

在这种情况下，只要你有输入的合法依据，也不非法共享算法的输出，那么就是安全的。

Huzmeli也说，这确实给机器学习系统带来了额外的负担，因为它们通常使用爬虫来收集数据。但是，他们已经使用过滤器来清理数据。因此，GDPR中添加的唯一额外一项规定是在数据集结束之前过滤敏感数据。

“GDPR正将必要的意识引入到生态系统中，并通过提醒公司在隐私领域承担多大的责任来引导它们。”

Sandra Wachter博士也认为，基于人工智能的系统往往是不透明的“黑盒子”，难以仔细检查。随着我们越来越多的经济、社会和公民交互——从信贷市场和健康保险应用到招聘和刑事司法系统——都是通过算法进行的，人们对技术背后缺乏透明度的担忧越来越多，对如何做出决定的理解很少。

“我们需要适当的保护措施来确保正在做出的关于我们的决定实际上是公正和准确的。”

应对“史上最严”条例，企业应关注9大要点

之所以被称为“史上最严”数据保护条例，因为GDPR规定，对违规收集个人信息、没有保障数据安全的互联网公司，最高可罚款2000万欧元或全球营业额的4％（以较高者为准）。

举例来说，亚马逊2017年的收入为1779亿美元，如果亚马逊非法收集用户数据，那么罚款2000万欧元就太少了，应该是年收入的4％，即70亿美元。百度2017年的利润是28.1亿美元，对亚马逊的罚款相当于是2.5个百度。

罚款只是极端情况，GDPR对AI公司的影响远比罚款复杂的多，总结下来有以下九大影响：

1. 要求公司手工审查重要的算法决策增加了AI的整体成本。

在GDPR中，最直接针对AI使用的是第22条，即要求公司必须让人类审查某些算法的决策。这一限制大大增加了人工成本，阻碍AI的使用——开发AI的一个主要动机就是自动化，如果由人类来完成的话将会更慢、更昂贵、更难以完成。

2. 知情权可能导致降低AI的准确性。

GDPR的第13至15条规定，公司有义务提供对个人算法决策的详细解释，或关于算法如何作出决定的一般信息。前者可能破坏算法的准确性，甚至适得其反，导致不公平的决策。因为在算法决策中准确性和透明度之间存在权衡。

GDPR规定，数据控制者必须以清楚、简单、明了的方式向个人说明其个人数据是如何被收集处理的。可以想见的是，当前企业普遍应用的隐私政策必须进行大幅改革，才能满足合规要求。如果涉及自动化的数据处理，包括数据画像活动，则需要提供基本的算法逻辑以及针对个人的运算结果。

3. 被遗忘权可能会破坏AI系统。

第17（1）条中的“被遗忘权”（right to erasure）也可能损害AI。所有使用无监督机器学习的AI系统都被要求“记住”它们用来自我训练的所有数据，以维持从那些数据中得到的规则。但是，清楚这些数据可能导致AI的准确率降低，甚至完全失效。

4. 禁止重新利用数据将限制AI的创新。

GDPR第6条规定，除了首次收集数据之外的任何其他目的都禁止使用数据，因此企业难以利用数据进行创新。

5. 模糊的规则可能阻止公司使用去识别数据（de-identified data）。

虽然GDPR允许使用去识别的数据，但缺乏明确的去识别标准，这可能削弱公司对数据进行去识别的动力。

6. GDPR的复杂性会提高使用AI的成本。

GDPR是一项非常复杂的法规，可能难以遵循。开发或使用AI的公司需要有专门的人员和技术来确保它们符合GDPR，这将提高使用AI的成本。

7. GDPR增加了使用AI的企业面临的监管风险。

8. 数据本地化的要求提高了AI成本。

GDPR第5条概述了与个人数据处理相关的原则，对欧盟以外的个人数据流动有严格的控制，例如要求企业必须使用欧盟国家的数据中心。这减少了云服务提供商之间的竞争，但增加了数据处理的成本。

9. “数据可携权”将加剧服务提供商的竞争。

“个人数据可携权”（第20条）是指用户可以无障碍地将其个人数据从一个信息服务提供者处转移至另一个信息服务提供者。例如，Facebook的用户可以将其账号中的照片以及其他资料转移至其他社交网络服务提供商。该权利不仅适用于社交网络服务，还包括云计算、网络服务、手机应用等自动数据处理系统。

AI公司是怎么应对的？

GDPR对AI产业界的影响重大，受该条例管辖的不仅仅是传统意义上的互联网公司或AI公司，哪怕其从事的业务并非狭隘上的互联网服务，只要涉及了用户数据，也在GDPR管辖范围之内。

以下是将适用于欧洲用户的一些关键的GDPR要求:

公司必须建立允许用户查看他们存储的个人信息的工具。

公司必须允许用户删除、纠正或移动他们的数据。

公司必须在72小时内将数据泄露通知有关部门。

公司必须获得肯定同意或证明他们有一个收集用户数据的“合法依据”。

在GDPR制定过程中，一些公司就已经开始准备应对措施。

微软

微软的副首席法律顾问Julie Brill在一篇官方博客中透露，微软已经为GDPR项目投入了1600多名工程师，他们将为全球客户提供正在为欧洲建设的符合GDPR的工具，微软的客户可以查看、删除和移动他们的个人数据。

亚马逊

3月底，亚马逊宣布AWS已经为GDPR做好准备。该公司解释说：“AWS服务使您能够以您需要的方式来实施您自己的安全措施，以遵守GDPR。”

Facebook

扎克伯格5月22日在欧洲议会听证会中表示，Facebook已经为GDPR做好准备，并且“很大一部分”用户已经被提示更新隐私设置。奇怪的是，Facebook在这个关头在欧洲启用了人脸识别认证。

Facebook还将美国、加拿大和欧盟国之外的约15亿用户的注册地从都柏林移至美国。据路透社报道，这一举动意味着非洲、亚洲、澳大利亚和拉丁美洲的用户不受GDPR的影响。Facebook表示，它正在向世界各地的所有人提供隐私工具，但具体的隐私政策在各个国家不一样。

Apple

早在2011年发布的iOS 5，苹果就在其设备之间发送的iMessage中添加了端到端加密。与Facebook和谷歌不同，苹果公司不依赖于广告赚钱。

对于GDPR，苹果已更新其隐私条款并推出了新的用户页面。欧洲的用户现在可以下载苹果公司对其收集的所有数据。这些数据由照片、Apple Pay，联系人等服务收集。用户下载的个人数据以压缩文件夹的形式出现，其中包含可重复使用的CSV和JSON文件。

苹果还加入了暂时停用帐户的功能。停用后，Apple服务将停止，苹果公司还将停止为其机器学习和AI系统使用客户数据。这些功能将在未来几个月内推广到全球的所有帐户。

Google

谷歌CEO Sundar Pichai不久前表示：“我们的大部分广告业务都来自搜索，我们依赖非常有限的信息——基本上就是关键词——来显示相关广告或产品。” 他补充说，他认为GDPR对于互联网用户来说基本上是件好事。

Twitter

Twitter在GDPR生效之前更新了服务条款和隐私政策。Twitter在官方博客中解释道：“在该日或该日之后使用我们的服务，您将同意这些修订。”

但Twitter没有清楚地说明更新的内容，只说更新“关注我们为您提供的有关您的个人数据的控制措施，以及Twitter如何公开分享您的数据”。由于GDPR，Twitter还关闭了Roku，Android TV和Xbox版的Twitter应用。

Rael Cline创办的MediaGamma公司使用人工智能做出实时决策，他们的产品之一是帮助广告商根据用户的兴趣为相关的用户投放相关广告。“我们必须做出一些改变，以确保能遵守GDPR，做法包括限制我们持有授权的数据的时间，以及确保我们可以在客户要求的情况下删除特定用户的所有记录。”Rael Cline说。

同时，Rael Cline也认为，GDPR给人们提供了一个利用人工智能填补空白的机会。例如，在在线广告行业中，随着同意（企业新隐私条款）的用户数量的减少，我们可以应用人工智能来对这些已同意的用户的行为进行建模，然后根据共享属性找到相似的用户，这被称为“lookalike”。

 

令互联网巨头心急火燎的GDPR有何过人之处？

 

文｜薛笔犁　孙惠

　　这两天，欧洲网友纷纷吐槽：邮箱一直被GDPR轰炸，各路软件和网站都在提示隐私条款更新。

　　就在今天，这项被称为史上最严数据保护条例——欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）正式生效。全球互联网科技公司，包括社交、网购等涉及客户数据的平台，都因此“焦头烂额”，忙着更新自己的隐私条款。

　　所以GDPR究竟是什么厉害的东西？思客君为你一一道来。

 

保护隐私，欧洲是认真的

 

　　进入移动互联网时代，用户数据的隐私属性越来越强，尤其是社交网站中经常会分享照片、位置等，这些内容都需要被保护。

　　同时，随着数字经济的兴起，数据成为了竞争力，依靠数据开发利用，人们会获取更多便利，社会可以更好地发展。

　　如何保持数据隐私属性和价值属性间的平衡，如何在维护个人隐私权和数据利用之间找到一条合理路径，显得尤为迫切。

　　于是，GDPR就这样应运而生！

　　但互联网巨头们却对此头痛不已。Facebook发生大规模数据泄露事件后，扎克伯格在面对国会第二场拷问时，他面前的本子上清楚写着一条加粗的顾问建议，“不要说我们已经完成了GDPR的要求。”

　　4月13日，腾讯发出“国际版QQ将于5月20日在欧洲区停止运营”的通知，一天之后，腾讯又改称只是“版本更迭”，其中原委并不清楚，但难免怀疑受GDPR影响。

　　那么，这套令互联网巨头心急火燎发通知的GDPR究竟有何过人之处？

　　罚得狠。违反这项法律的企业最高可被处以2000万欧元，或上一财年全球营业额4%的行政处罚，以较高者为准。思客君默默算了一笔账：一些科技巨头每年的全球营业额高达数十亿美元，如果它们违反了GDPR法规，那将会是一笔上亿美元的巨额罚款。

　　管得宽。欧盟新条例不仅管辖注册地或总部在欧盟内的企业，只要企业向欧盟内用户提供产品、服务，或持有、处理欧盟内用户的数据，都要被管。像Facebook、Twitter这样的美国社交网络公司，由于它们在欧盟有大批用户，那么至少在保存、处理欧盟用户数据时，必须符合条例规定。

　　分得细。纳入新规保护范围的用户数据除了姓名、地址、证件号码、网络IP地址等通常意义上的个人信息，还有指纹、虹膜等生物识别数据，以及医疗记录等。

　　新规还确立了被遗忘权、删除权、可携带权等一系列用户权利。用户可以要求掌握其数据的企业删除其个人数据；亦有权向企业索取本人数据，自主决定用途，能够像管理金融资产一样对个人数据信息进行“搬家”。

　　总而言之，这项法律将保障人们对个人数据的掌控权，给“裸奔”的大众数据隐私穿上了保护的外衣。

　　从此以后，你可以要求社交媒体修改个人童年及学生时代的信息；删除在社交网络中的“黑历史”；商家再也不能随意地给你发送推广广告和邮件了……

 

GDPR，企业的一道“紧箍咒”

 

　　说到罚金，有人会问，如此高昂的罚款对于一些数字经济企业来说能吃得消吗？
巨头财力雄厚，尽管被高额罚款，可能还承受得起。但对有些公司来说，确保他们遵守新规定的代价似乎太高了。据普华永道调查，68％的美国企业预计将花费100万到1000万美元来满足GDPR的要求。另有9％的企业预计花费超过1000万美元。

　　中央财经大学法学院副教授、中国网络与信息法学研究会理事刘权告诉思客君，GDPR是一把双刃剑，欧盟GDPR选择了偏重保护个人数据权利，可能会对技术创新与市场的发展产生阻碍。

　　企业要发展，特别是新兴的数字经济企业，可能需要收集大量数据。如果数据保护过于严格，可能阻碍数据流通，不利于大数据合法交易，那么企业就没办法发展产业，比如需要通过海量数据分析的人工智能。

　　那么，中国企业会在多大程度上受其影响呢？

　　以BAT为代表的中国互联网企业大都是全球性企业，越来越多的中国企业也在进军欧洲，这意味着与欧洲企业有业务往来的中国企业也要给自己按上一个“紧箍咒”了。

　　针对今后我国互联网企业国际化问题，刘权举例道，今年1月，美国外资投资委员会阻止了蚂蚁金服收购速汇通的交易，其中一部分原因在于美国担心数据泄露，这也说明国际上对于中国企业还存在一定偏见。

　　他认为，当前中国保护个人信息的立法虽多，但相关规定分散、不成体系，难以为个人信息保护提供切实有效的法律保障，迫切需要加快个人信息保护法立法进程。

　　随着人们隐私意识的逐步提高，不论公司大小，如果不重视GDPR，一旦违规必将受到严惩。

 

 

Keef：为什么会这样？有些邮件让我啥也别做，有些邮件却让我再订阅或者接受！

KonstantinosKomaitis：

如果25日是GDRP生效日，那么24日就是让我想起所有蠢订阅的大日子！如果不是因为这些邮件，我没意识到这么多互联网污染！