《歐盟一般數據保護條例》（General Data Protection Regulation，GDPR）是有關數據隱私的重要新規，它取代了執行 20 餘年之久的《歐盟個人資料保護指令》，被認爲是對人工智能商業應用方式的一次徹底整改。2018 年 5 月 25 日，在人們的關注之下，GDPR 這一「史上最嚴隱私條例」終於在歐盟全面實行。

在一些人工智能學者看來，GDPR 的主要條款將摧毀大量數據的價值，而其有關「解釋權（right to explanation）」的內容則會讓迄今爲止出現的大量深度學習應用成爲非法。

GDPR 的內容條款：https://www.eugdpr.org/

你肯定聽說過 Facebook 和「劍橋分析」公司最近的信息泄露醜聞，以及馬克·扎克伯格關於 Facebook 響應《歐盟一般數據保護條例》而在全球範圍內做出改變的聲明。如果你還沒注意到歐洲的舉動，那美國參議員 Brian Schatz 的聲明可能會讓你大喫一驚，他說到：「所有技術平臺都應該採用歐盟（數據保護）的做法」，儘管 45 % 的美國公民認爲政府對工商業的監管已經「太多」。

GDPR 確實是一件大事。2018 年 5 月 25 日，該條例成爲歐盟法律的一部分，它將改善歐盟公民的數據保護情況，這些公民不僅與歐洲的公司有關，還與世界各地的公司有交集。換句話說，無論你的公司是否位於歐盟，只要你的客戶或用戶中有歐盟國家公民，並且處理他們的數據，GDPR 就會對你的業務產生非常重要的影響。

收到 Email 了？過去幾天，大大小小的科技公司正爭相推出新版數據隱私條款。

目前看來，許多公司還沒來得及處理這一問題，這或許意味着它們正面臨着高達 2000 萬歐元的罰款——亦或是全球年銷售額的 4%，以較大值爲準。來自凱捷諮詢的調查顯示：85％的企業表示他們還沒有準備好應對新的法律，其中更有四分之一的公司表示他們將不會在今年年底前做好準備。

另一方面，歐洲數據監管機構已經表示他們將認真對待合規。「從我們的數據中賺錢的公司需要承擔更多的責任。」歐洲高級司法官員 Vera Jourova 在本週四表示。據瞭解，一些隱私權擁護者已經準備對 Facebook、WhatsApp、Instagram 和谷歌等大公司提起訴訟，指控他們違反新規。

在新的規定下，各公司仍然可以正常爲客戶提供服務，向人們發送電子郵件，並收集和存儲他們的數據。公司只需確保他們有這樣做的「合法基礎」，並尊重希望刪除其數據的人的意願。如果公司未能證明他們一直在正確處理數據，沒有在發現安全漏洞 72 小時內及時提出報告，或保存數據的時間超過了必要的期限，都將面臨歐盟的處罰。

過去，歐洲監管機構對不遵守規則的大型科技公司一直採取強硬態度。歐盟已經給谷歌開出了總計 24 億歐元（約合 27 億美元）的反壟斷罰款，並因在 WhatsApp 收購案中誤導官員而對 Facebook 罰款 1.1 億歐元（約合 1.22 億美元）。

早些時候，GDPR 即將實施引起了很多人工智能學界人士的關注。1 月 28 日，《終極算法》作者、華盛頓大學教授 Pedro Domingos 在社交網絡中說道：「自 5 月 25 日起，歐盟將會要求所有算法解釋其輸出原理，這意味着深度學習成爲非法的方式。」

近日，Pedro Domingos 在 Medium 上撰文描述了他對 GDPR 實施的看法：

5 月 25 日，歐盟《一般數據保護條例》（GDPR）生效，該條例旨在通過對數據利用進行嚴格限制，來終止目前的數字世界亂象。GDPR 不僅影響科技公司，還將影響到所有處理客戶數據的公司，也就是說，所有公司。它將影響全世界的數據使用，而不僅僅是在歐洲，將二者脫離開來並不符合實際。GDPR 還被認爲是美國及其他國家和地區的榜樣。

GDPR 的一項主要條款規定，數據僅可以出於最初收集目的而被使用，且需要用戶的明確許可。這將摧毀大量（即使不是最多）數據價值，因爲最重要的突破，從 X 光到青黴素，通常來自於對數據意料之外的使用。GDPR 在科研方面有例外情況，不過它仍然有可能成爲創新的重要障礙，阻止了有利於客戶、且不損害其隱私的數據利用形式。例如，技術公司每天進行數千次實驗來提升網站。要求得到每位用戶的明確許可會阻礙這些實驗的進行，除非許可被給予一般領域。

GDPR 創造了一項新的權利「解釋權」（right to explanation），要求每個制定決策的算法必須能夠證明決策的正確性。這看起來很合理：誰不想要一個解釋呢？比如一份癌症診斷結果。但是這有可能造成嚴重後果，因爲通常要在準確率和可解釋性之間進行權衡。我寧願被一個具備 90% 準確率、但不提供解釋的算法來診斷疾病，也不願被一個只有 80% 的準確率、但是提供解釋的算法進行疾病診斷。不同的人會在不同情況下做出不同選擇。爲什麼政府要強制每個人做出同樣的選擇呢？

GDPR 的另一項權利是「被遺忘權」（right to be forgotten）。例如，用戶可以要求谷歌不根據搜索結果記錄相關信息。但是一個人的被遺忘權侵犯了所有人的被記住權。在歐洲的情況中，決定什麼應該被遺忘的是谷歌。這真的就是我們想要的嗎？如果決定權掌握在政府手中，他們還能夠抵擋住誘惑，不用它作爲審查的擋箭牌嗎？

GDPR 的一些條款爭議較少。比如可移植性（portability），即在平臺之間輕鬆移動數據，這對數字經濟的發展至關重要。但是現在尚不明確 GDPR 實施早期階段對此是如何規定的，GDPR 無法分辨用戶數據和企業數據。對我來說把相冊或音樂 iCloud 移動到谷歌雲端是一回事，但個人與企業互動記錄按要求移動或刪除是另一回事。這些記錄屬於公司最重要的實例屬性，通常也是其價值所在。使用戶擁有自己的互動記錄是更好的做法，用戶可以在自己願意的時候使用這些記錄。

造成所有這些問題的根本原因是，GDPR 解決的是一個基本上不存在的問題。如果以抽象的方式詢問人們關心隱私的程度，他們自然會說自己非常關心隱私。但是當他們在隱私和個性化之間做出具體的權衡時，隱私的隱含價值是非常低的。與數據竊取相比，我們中有多少人受過數據共享的傷害？Cambridge Analytica 使用 Facebook 數據很容易刺痛人們的神經，但沒有證據表明它成功地影響了選舉結果。GDPR 假設公司不能自我監管，但他們能做到，因爲公司害怕客戶抵制。例如，Facebook 在 Cambridge Analytica 醜聞之前很久就吸取了一些教訓。

而且反常的是，鑑於人們越來越擔心權力集中在少數大型科技公司手中，GDPR 將給小型科技公司帶來或多或少的負擔，使初創企業的生存和發展更加艱難，直到它們能夠挑戰谷歌和 Facebook 這些大公司。歐洲應該更多地利用初創企業。

歐洲人喜歡把美國人想象成先開槍後提問的牛仔。但在數字經濟方面，歐洲監管機構是非常敏感的，頒佈 GDPR 就是在搬起石頭砸自己的腳。美國應對此表示哀悼，並對類似 GDPR 的監管敬而遠之。