当期荐读 2023年第2期 | 欧盟数据与算法安全治理:特征与启示
图源 | Internet
崔文波1 张 涛1 马海群2 蔡庆平1
1.黑龙江大学信息管理学院,哈尔滨,150080;
2.黑龙江大学信息资源管理研究中心,哈尔滨,150080;
摘要
研究全球典型区域数据与算法安全治理结构与特征,能为我国数据与算法安全治理提供参考借鉴。本文以数据与算法安全治理为对象调研欧盟实现数字主权与技术主权治理目标的 具体形式发现,在治理内容上,以《通用数据保护条例》(GDPR)为核心的欧盟数据与算法安全治理内容框架包括隐私和数据保护、数据流动安全、平台算法安全、人工智能伦理四部分;在治理主体上,以欧洲数据保护监管局等为核心,形成“立法-执行-服务”为一体的多方协同治理机构。欧盟数据与算法安全治理具有“重视个人隐私数据安全、建立数据跨境流动安全规则、形成算法嵌套数据的协同安全治理模式、以人为中心的人工智能伦理与治理”的典型特征。从欧盟数据与算法安全治理特征中得到启示,并针对我国数据与算法安全治理现状提出三点建议:完善数据与算法安全协同治理机制、建立主体间数据流动制度及中介机构评估机制、建立人工智能伦理监管与创新发展的平衡机制。
关键词
数据治理 算法治理 人工智能 算法安全 欧盟 数字技术 技术主权
01
引言
数据与算法是人工智能的关键要素,数据是行业领域发展的重要资产,算法是实现数据价值、赢得竞争优势的核心驱动力。随着大数据驱动下人工智能算法的快速发展与应用,引导数字经济发展和数字化转型的同时,由此带来的数据隐私泄露、大数据杀熟、数据垄断、算法黑箱、算法操控、算法偏见等风险也日益突出,其对社会稳定乃至国家安全带来了深远的影响。因此,针对以上安全风险开展数据与算法安全治理成为社会发展的重要关切。为了明确数据与算法安全治理的目标、主体、内容、特征等,首先需要了解数据与算法安全治理的概念及关系:一是数据与算法安全治理概念。本文在《数据安全法》中数据安全的定义及江小涓教授提出的数据安全治理定义基础上[1],认为数据与算法安全治理是将数据与算法安全作为治理对象,通过制度和技术手段确保数据与算法安全。二是数据与算法安全治理融合关联。数据与算法是程序的最底层逻辑,数据是信息的载体,算法是处理数据的系统[2],无论是互联网时代将数据看作石油,算法看作引擎,还是人工智能时代将数据看作原材料,算法看作工具手段及方法,数据与算法都是两个不可分割的数码世界底层逻辑融合体,犹如旋律和节奏之于音乐。因此,数据安全治理与算法安全治理也不是孤立的,算法安全治理是在数据安全治理基础上进行的。早在2019年10月,德国数据伦理委员会发布“针对数据和算法的建议”,提出了数据和算法协同治理等理念。此后有学者以平台经济视角提出数据与算法协同治理[3],还有学者提出数据与算法风险识别模型[4]。2022年9月在中国互联网法制大会数据与算法安全分论坛上,国务院发展研究中心张文魁研究员提出数字经济反垄断要害在于数据与算法规制[5],由此可见,不仅德国较早地从政策层面提出了数据与算法协同治理的思路,越来越多的学者也将数据与算法两个主题进行了融合关联研究。
欧盟作为数据与算法治理实践较早的国际组织,颁布了《通用数据保护条例》(以下简称GDPR)《数据治理法》《算法问责及透明度监管框架》《可信人工智能伦理指南》等制度进行数据与算法安全治理的探索。近年来,国内外学者围绕欧盟典型政策形成了一系列研究成果,①国内学者:王拓等[6]对欧盟数据治理体系的基本框架、欧盟不同数据主体的治理及欧盟促进数据流动的举措进行了系统的研究;方芳等[7]以个人数据保护的“欧盟方案”GDPR为框架,对欧盟的个人数据治理进展、困境进行研究;冉从敬等[8]以欧美为研究对象,探讨欧美的治理模式,提出符合我国国情的数据垄断治理模式构建对策;蔡莉妍[9]以GDPR为研究样本,探索区块链环境下个人数据权力保护的困境与突破;程莹[10]以GDPR为研究样本,在元规制模式下通过应用数据保护立法机制探究算法风险治理。②国外学者:Bottis等[11]主要研究了GDPR伦理和宪法层面内容及对信息法的新挑战,探讨新条例和新技术在适用过程中引发的争议问题;Kaminskl等[12]提出了GDPR中算法协作治理理念,研究数据保护影响评估(DPIA)如何将算法问责制的个人权利和系统治理两种方法联系起来;Zuiderveen Borgesius[13]评估了欧洲目前针对歧视性算法决策的法律保护,并针对现行制度局限性提出一种规范算法决策的方法;Lee[14]提出使用法律补救措施和技术解决方案的综合方案防范与化解欧盟算法歧视风险。
综上所述,当前研究均围绕GDPR展开局部制度研究,尚缺少从全局性和关联性视角对欧盟数据与算法安全治理过程进行研究的成果,同时由于数据安全治理与算法安全治理呈现出递进、协同的关系,孤立对数据或算法单一要素进行研究,不能很好地呈现其发展逻辑和治理特征。因此,本文在俞可平[15]和曾雄等[16]研究成果基础上,运用文本分析法,从欧盟数据与算法安全治理对象、目标、内容、主体四部分全局性分析其特征,并总结欧盟治理过程中可借鉴之处,最终为我国数据与算法安全治理理论与实践提供参考。
02
治理目标
根据联合国《2021年数字经济报告》,受新冠疫情影响,到2022 年全球互联网协议流量将超过截至2016年的互联网流量之和,在超大规模数据中心、5G普及率等方面欧盟所占份额均落后于中美两国[17]。因此,欧盟为治理数据增长带来的风险和减少对外的数字技术依赖,回应中美欧三边战略竞争压力,通过建立数据与算法安全治理全球监管框架来谋求规则主导权,以实现欧盟的数字主权和技术主权。
2018年4月,欧洲政治战略中心发布《人工智能时代:确立以人为本的欧洲战略》(以下简称《欧洲人工智能战略》),强调政策制定者有责任识别新威胁并采取行动应对,同时不应以控制技术的发展为目标,而是应引导技术发展方向,并指出应对欧洲当下面临内部和外部双重挑战的战略方向为:①创设发展环境;②识别欧洲在人工智能领域的优势;③加强欧洲的人工智能人才建设;④推进以人为本的方法[18]。2020年2月,欧盟委员会发布《欧洲数据战略》,从数据获取和跨行业治理框架、赋能因素、个人权利、公共利益四个方面构建欧洲公共数据空间,阐述了解决问题的具体规划和措施,如在监管方面,采用迭代及分化的灵活监管方式,以促进各行业和成员国之间的数据共享;在数据跨境流动方面,建立一套评估数据流动的分析框架[19]。同期发布《塑造欧洲的数字未来》,提出开发为欧洲人民服务的技术,打造公平竞争的数字经济,建立一个开放、民主和可持续发展的社会三个关键目标,旨在帮助欧洲实现数字化转型,并在科技发展方面制定全球标准[20]。2020年7月,欧洲议会发布《欧洲数字主权》,概述了目前正在讨论或提议增强欧洲在数字领域自主权的措施,从数字经济和创新、数据和隐私保护以及网络安全、数据治理和在线平台行为三个维度介绍了欧盟公民、企业和成员国对失去自身数据控制和创新能力控制的担忧现状。同时,该报告倡议建立数据框架、值得信赖的数字环境、调整竞争和监管规则[21]。总体来说,欧盟数据与算法安全治理的目标是旨在探索保持高度隐私、安保、安全的欧盟理念与标准,同时推动欧盟数字化转型并实现欧盟数字主权与技术主权。
03
治理内容
本文基于欧盟数据与算法安全治理的总体目标,详细阐释以GDPR为核心的欧盟数据与算法安全治理内容框架,包括隐私和数据保护、数据流动安全、平台算法安全、人工智能伦理四方面内容,如图1所示。
图1 欧盟数据与算法安全治理内容框架
3.1 隐私和数据保护:建立监管框架并加强个人数字权利
随着数字服务、社交网络及物联网应用普及,特别是智能算法驱动下,导致在大规模个人数据收集与利用过程中,个人信息泄露、电子监视等隐私安全问题频发。为解决这些安全风险,欧盟通过不断迭代和完善监管制度,以GDPR为核心建立严格的监管框架,加强个人数字权利使其能够控制自身个人隐私和数据。
2016年4月,欧洲议会通过GDPR(2018年5月生效),这标志着欧盟建立了统一数据保护机制,为数据信任创建了严格的隐私和数据保护框架。GDPR规定了处理个人信息时的保护规则:明确合法、公平、数据最小化等收集、处理数据的指导原则;规定数据控制者、数据处理者和数据保护官的权责和义务;鼓励行业制定行为准则并建立数据保护认证机制;设立独立的欧洲数据保护委员会以确保条例对欧盟各成员国的一致适用等[22]。为进一步完善欧盟的数据保护框架,2017年欧盟委员会提出《电子隐私条例》(2021年2月修订),侧重于《欧盟基本权利宪章》中的隐私权和通信自由权,通过对数据类型的分类保护和对法人、自然人共同保护的方式,加强电子通信服务中用户隐私保护,为欧盟电子通信创建了单一的数据保护标准[23]。2018年12月,欧盟委员会在其“人工智能协调计划”的附件中提及该计划中试验措施包括在特定领域且法律框架允许下尝试监管沙盒,以实现人工智能发展与数据隐私保护相协调[24],并在2022年6月,与西班牙政府设立了第一个人工智能监管沙盒试点。2020年6月,欧洲数据保护监管局发布《2020—2024年数据保护战略》,该战略指出,未来五年机构开展数据保护核心任务,如建立有效的数据保护机制,积极为欧盟机构开发工具以执行数据保护标准,促进欧盟执法机构活动的连贯等[25]。此外,为更好地共享数据保护方案,提高监管效率,推动监管机构和欧盟委员会促进GDPR第42条认证计划的实施,2022年1月,欧盟网络安全局发布《数据保护工程:从理论到实践》,该报告将技术结合实践,阐释了相关技术在数据保护领域的应用,并建议监管机构在欧盟范围内讨论并推广相关技术和最佳实践解决方案[26]。2022年2月,欧盟委员会公布了《数据法:关于公平访问和使用数据的统一规则的法规提案》,该提案规定了公共机构访问条件、国际数据传输、云交换和互操作性等一系列数据共享新规则,提案可能强制亚马逊、微软、特斯拉等科技巨头分享更多数据,且个人或组织将有权访问其生成的数据[27]。
3.2 数据流动安全:营造法制环境并打破数据流动壁垒
促进数据安全自由流动,使数据赋能,最大化地挖掘数据价值,是促进数字经济发展的重要方式。为保障数据流动安全,欧盟通过创造可信任的法律环境,增强法律的确定性和信任度,搭建政府与企业等主体间数据流动桥梁,打破数据流动壁垒。
一是个人数据流动方面。GDPR规定不得出于保护自然人的理由限制或禁止个人数据在欧盟内的自由流动。若成员国出于保护个人数据以外的原因对个人数据施加本地化要求,如对遗传数据、生物特征数据或健康数据的处理施加条件或限制,则须根据《欧洲联盟运作条约》等政策中关于基本自由的规定和允许的减损等对其进行评估。二是非个人数据流动方面。2018年11月,欧洲议会和理事会通过《关于非个人数据在欧盟自由流动的框架条例》,旨在通过制定与数据本地化要求、向主管当局提供数据以及为专业用户移植数据有关的规则,确保非个人数据在欧盟内自由流动。如禁止成员国无故施加信息本地化要求,公共当局将保留对数据的访问权,鼓励提供商制定有关用户可以在云服务提供商之间移动数据并返回其自身IT环境条件的行为准则,以促进该领域自我监管[28]。GDPR、《网络安全法》《开放数据指令》等制度为所有数据在欧盟内自由流动创造了稳定的法律环境,同时为了让企业更清楚地了解如何处理跨境数据,欧盟委员会发布《企业如何处理混合数据集的实用指南》,通过实例明确特定情况下企业应遵循的规则,以确保企业行为符合欧盟法律[29]。此外,为进一步打破数据流动的壁垒,解决因缺乏信任而阻碍数据流动并导致高成本问题,2022年4月,欧洲议会和理事会通过《数据治理法》,该法案为数据中介机构的运作引入新规则,通过建立专业的数据中介机构作为数据流动组织者和不同主体间数据流动的桥梁,增强公民对数据流动的信任[30]。同时在后期发布的《数字服务法》严格明确的监管框架下,使个人能够控制生成数据所使用的工具,消除企业和个人数据流动时泄露商业秘密或个人信息的担忧,让企业和个人在法律确定和信任的条件下,自愿将其数据用于更广泛的公共利益。
3.3 平台算法安全:警惕自动化决策风险并引导市场公平竞争
随着数智化的不断发展,用户过度依赖互联网平台中数据与算法提供的自动化决策服务成为普遍现象,如推荐算法所提供的个性化服务均存在算法黑箱、大数据杀熟等安全风险。为维护用户权益,欧盟的关注重点逐渐从个人数据安全到数据流动安全,再到平台算法安全,旨在实现全方位的数据与算法安全治理,欧盟通过对互联网在线平台的算法自动化决策风险进行规制,引导更为公平、开放的数字市场。
GDPR将透明度和问责列入数据处理的七大核心原则,该原则与GDPR第22条所规定的数据主体有权不接受仅基于自动处理的决策相呼应,这为平台算法可解释性提供了法律支撑。2019年4月,欧洲议会研究服务机构发布《算法问责及透明度监管框架》,该框架基于算法及其在自动化决策系统中的应用对社会、技术和监管的挑战的分析,提出建立算法影响评估机制,强调负责任研究和创新,并从算法透明度和问责制提出建议:①提升公众的算法素养;②公共部门建立算法问责机制;③完善监管机制和法律责任制度;④加强算法治理的国际合作[31]。2022年7月,欧洲议会通过《数字服务法》和《数字市场法》。《数字服务法》旨在更好地保护用户及其在线基本权利,加强对在线平台的公共监督,建立在线平台的透明机制和明确的问责框架,杜绝算法偏见威胁平台用户权益,确保平台对其算法负责,防止系统滥用及研究人员随意访问平台的关键数据,而对于超大型平台,欧盟委员会加强监督和执法,以实现对用户的有效保护[32]。《数字市场法》旨在规制互联网巨头(通常是指满足拥有强大的经济地位、对内部市场影响显著、活跃于多个欧盟国家等条件的大型在线平台),防止其滥用市场支配地位,解决数据垄断问题,并建立一套狭义的客观标准,将大型在线平台充当数字市场的“守门人”,为守门人规定义务,规定其在日常运营中必须遵守的要求,承担起数据共享、算法公开等义务,如允许他们的业务用户访问在使用平台时生成的数据,禁止平台阻止用户有意愿地卸载任何预装的软件或应用程序等[33]。这两部法案以实现反垄断为目的,通过平台有效将数据与算法相关联,以实现平台中数据与算法安全的协同治理,以最大限度保障欧盟数字经济市场健康发展。
3.4 人工智能伦理:建立伦理规则以凸显欧盟核心价值与标准
数据与算法是人工智能的重要要素,人工智能发展过程中的伦理问题也是数据与算法安全治理的重点。欧盟在为人工智能发展创造有利环境的同时,利用其广泛认可的价值观和原则来建立全球监管规范和框架,确保人工智能朝着有益于个人和社会的方向发展。
GDPR以责任原则为基础,责任原则意味着企业要以符合伦理的方式去处理数据,将行为的正义性和伦理道德的合理性通过技术来嵌入,这也是欧盟人工智能伦理的基础准则。2016年5月,欧盟法律事物委员会向欧盟委员会提交了《欧盟机器人民事法律规则》,对基于人工智能控制的机器人,提出其使用的责任归属、伦理规则及对人类自身和财产的伤害赔偿等监管原则[34-35],标志着欧盟对人工智能伦理的初步探索。2018年4月,欧盟委员会在《欧洲人工智能战略》中提出首个欧洲人工智能倡议,旨在确保人工智能符合道德和法律框架[17]。2018年12月,欧盟委员会发布的《促进人工智能在欧洲发展和应用的协调行动计划》,提出通过设计使人工智能符合伦理和安全,强调通过以人为本的方式促进欧洲人工智能技术发展[24]。2019年4月,欧盟人工智能高级别专家组发布《可信人工智能伦理指南》,从宏观和中观两个层面阐释了人工智能伦理治理的过程和措施。宏观顶层价值层面,主要通过尊重人的自主性原则、防止损害原则、公平原则及可解释性原则,对可信人工智能的研发和应用发挥最基本的指导作用;中观伦理要求层面,该指南提出一套人工智能系统部署和可信人工智能应满足透明性、非歧视性等七项关键要求,并提供一份评估清单,用于实施关键要求,确保人工智能系统在全生命周期内的安全且合乎伦理[36]。2020年2月,欧盟委员会发布《人工智能白皮书》,旨在基于《欧洲人工智能战略》形成稳固的欧洲人工智能发展路径,并在充分尊重公民价值观和权利的情况下,实现人工智能可信赖及安全发展的政策选择,如建立信任生态系统等[37]。2021 年 4 月,欧盟委员会发布《人工智能法案》加强伦理道德审核,该法案能有效规范人工智能和机器学习技术在所有行业的使用,从风险监控的视角规定人工智能安全治理的五个方面,如在欧盟中投入服务和使用人工智能系统的统一规则、禁止某些人工智能实践等,并将人工智能风险分为不可接受风险、高风险、有限风险和极小风险,其中详细规定了高风险人工智能系统在投放市场或投入服务之前的要求,包括应接受符合性评估和建立风险管理体系等,以防范或化解隐藏的数据与技术风险[38]。2021年12月,欧洲议会研究服务机构发布《个人识别、人权和道德伦理原则——反思人工智能时代的生物识别技术》,该报告探讨了生物识别技术的发展对个人基本权利的影响,并针对这些影响在欧盟层面提出相关的政策选择,同时指出目前没有专门针对生物识别技术的欧洲立法,需要制定能够保证人工智能系统的公平性、透明度和问责制的监管框架等[39]。
04
治理主体
治理主体是欧盟数据与算法安全治理的重要保障,确保数据与算法安全制度的有效实施。通过梳理欧盟数据与算法安全治理内容发现,欧盟治理主体以欧洲数据保护监管局等为核心,形成“立法-执行-服务”为一体的多方协同治理机构,根据其权责关系将其划分为三层:①立法层:由欧洲议会、欧盟理事会、欧盟委员会及其服务机构组成;②执行层:由欧洲数据保护监管局、欧盟网络安全局、成员国数据保护机构等组成;③服务层:由欧洲数据保护委员会、人工智能高级别专家组、欧盟基本权利机构组成。具体机构权责及其关系如图2所示。
图2 欧盟数据与算法安全治理机构权责图
4.1 立法层:负责数据与算法安全相关法案的提出与批准
(1)欧盟委员会(EU)。EU是欧盟唯一有权起草法令的机构,负责起草数据与算法安全治理的法令、条例及监督各欧盟成员国对制度的履行,在必要之时欧盟委员会可以在欧洲法院对欧盟成员国提起控告。欧洲议会和欧盟理事会负责批准欧盟委员会提出的法令、条例。
(2)欧洲政治战略中心(EPSC)。EPSC作为欧盟委员会内设的智库,主要为欧盟委员会主席和委员们提供战略分析和政策前沿建议,如在制定欧洲《人工智能战略》时提出指导方针[40],参与前瞻性治理及欧盟机构间合作,寻求决策者、智囊团和整个民间社会的沟通和外联。
(3)欧洲议会研究服务机构(EPRS)。EPRS主要提供独立、客观和权威的对与欧盟有关的政策问题的分析,协助开展议会工作,如发布《算法问责及透明度监管框架》[41]。
4.2 执行层:负责数据与算法安全的监管、执行等工作
(1)欧洲数据保护监管局(EDPS)。EDPS是欧盟的独立数据保护机构,也是欧盟数据与算法安全治理的核心机构,在实践和法律中执行欧盟数据保护和隐私标准。其权责包括:①当机构处理个人信息时,监控并保护个人数据和隐私;②应要求或主动向欧盟机构和团体提供有关处理个人数据所有事项的建议;③监控可能影响个人信息保护的新技术;④在欧盟法院进行干预,提供有关解释数据保护法的专家建议;⑤与国家监管机构和其他监管机构合作,提高保护个人信息的一致性[42]。
(2)欧盟网络安全局(ENISA)。ENISA致力于在整个欧洲实现高水平的网络安全,《欧盟网络安全法》加强了该机构在支持欧洲电子签名及信任体系实施方面的作用,通过网络安全认证计划提高ICT产品服务和流程的可信度,与成员国和欧盟机构合作,并帮助欧洲为未来的网络挑战作好准备。该机构与其主要利益相关方合作,提高欧盟基础设施的韧性,并最终保持欧洲社会和公民的数字安全[43]。
(3)成员国数据保护监管机构。根据GDPR第51条规定,各成员国应建立一个或多个独立的政府监管机构,即数据保护监管机构,各监督机构之间及监督机构与欧盟委员会之间相互合作与协调,用以负责监控GDPR的应用,旨在保护和处理程序相关自然人的基本权力和自由,进而促进欧盟内个人数据的自由流动。监督机构执行任务或行使其权利时,依照GDPR或成员国法律行使职权,不寻求和接受任何人的指示,完全独立进行。
(4)行业自律。GDPR鼓励根据不同处理者的特点及微、小企业和中等规模企业的具体需要起草行业准则,并建立数据保护认证机制和数据保护印鉴和标记,对符合要求的企业和机构以适当的方式进行公布。在企业团体内可任命一名数据保护专员,并由数据控制者和处理者指派,主要负责监管数据处理的全过程及行为的合规合法[6]。
4.3 服务层:负责向相关机构提供数据与算法安全治理的建议
(1)欧洲数据保护委员会(EDPB)。EDPB作为独立的机构,其成员由欧盟国家数据保护机构和欧洲数据保护监管局(EDPS)的代表组成,旨在确保欧盟统一适用GDPR和《执法指令》,其权责包括:①提供一般指导(指导方针、建议和最佳实践)以澄清法律和促进共识;②就与保护个人数据和欧盟新拟议立法有关的任何问题向欧盟委员会提供建议;③在特定情况下与GDPS联合发布意见;④确保国家监管机构跨境活动的一致性;⑤针对国家监管机构具有约束力的决定,解决在机构合作执行GDPR 时产生的争议;⑥促进和支持国家监管机构之间的合作,以加强对欧洲境内外个人数据的保护[44]。
(2)人工智能高级别专家组(AI HLEG)。AI HLEG由来自学术界、商业界和社会团体等52名专家组成,作为一个独立的小组,负责起草人工智能的道德准则以及与人工智能发展相关的政策和投资建议,如《可信人工智能伦理指南》[45]。
(3)欧盟基本权利机构(FRA)。FRA是欧盟基本权利专业知识中心,就数据保护、隐私和新技术等一系列问题向欧盟和成员国的机构提供专家建议,确保欧盟范围内公民的基本权利得到保护,保障《欧盟基本权利宪章》的权利、价值观和自由。其权责包括:①收集和分析法律和数据;②就权利提供独立的、基于证据的建议;③通过收集和分析可比数据确定发展趋势;④帮助更好地法律制定和实施;⑤支持符合权限的策略响应;⑥加强基本权利行为者之间的合作与联系[46]。
05
治理特征
通过梳理欧盟数据与算法治理对象、治理目标、治理内容、治理主体发现,其治理特征较为突出,具体如下。
(1)重视个人隐私数据安全。采取个人赋权与数据处理流程控制的方式,强化个人数字权利。长期以来欧盟认为个人数据是欧洲的重要资产,在数据处理流程中不断加强个人对数据的控制权和自治权。从治理内容上看,GDPR为个人数据保护创建了严格的隐私和数据保护框架,《电子隐私条例》与《数字服务法》等分别在通信内容和元数据的隐私、用户隐私保护及其在线基本权利方面提供了法律支撑;从治理主体上看,以欧洲数据保护监管局等为核心,形成“立法-执行-服务”为一体的个人数据多方协同治理机构特征。欧盟整体上虽已初步形成了较为健全的治理框架,但GDPR过度注重个人隐私安全同时也受到争议,因此,平衡个人隐私数据安全与利用是未来欧盟数据安全治理的新方向。
(2)建立数据跨境流动安全规则。跨境数据流动作为数字贸易的基石,在促进欧盟经济贸易的发展与合作方面发挥着至关重要的作用。数据在跨境流动过程中对数据主体的隐私及欧盟各成员国的安全带来了一定挑战,因此,确保跨境数据流动安全成为维护欧盟各成员国安全的重要课题。欧盟以GDPR核心将提供跨境服务的企业纳入规制范围,从治理内容上看,欧盟出台《关于非个人数据在欧盟自由流动的框架条例》《数字服务法》等制度,从个人数据和非个人数据层面建立完整的数据流动规则,消除个人、企业数据流动造成数据泄露的担忧。同时《数字市场法》将大型互联网平台作为“守门人”,并强化“守门人”义务,确保数字市场公平和开放,形成良好的治理环境。从治理主体上看,2022年6月欧盟出台的《数据治理法》提出了发展可信任的第三方机构,旨在搭建数据流动共享的桥梁。欧委会发现,个人、企业和政府等不同主体之间的数据流动十分困难,原因是彼此缺少信任,《数据治理法》中大力发展促进数据流动的数据中介服务,并设立专门的欧洲数据创新委员会以促进数据治理中最佳实践的普及。
(3)形成算法嵌套数据的协同安全治理模式。通过平台将算法安全治理嵌套于数据安全治理中,全方位警惕自动化决策风险,以形成协同治理模式[47]。随着智能算法技术不断发展与应用,欧盟当局逐渐意识到算法安全治理成为在线平台治理的新抓手[48]。从治理内容上看,欧盟的关注重点逐渐从个人数据安全到数据流动安全,再到平台算法安全,旨在向数据安全立法与算法安全立法并重的趋势演进;从治理主体上看,以欧洲数据保护监管局和成员国数据保护监管机构为核心机构,这些机构同时涵盖了数据与算法安全治理的职能,算法安全治理机构嵌套于数据安全治理机构中。
(4)以人为中心的人工智能伦理与治理。以人为本的AI发展路径是《欧盟人工智能》战略核心,凸显欧盟人工智能发展的核心价值与理念[49]。从治理内容上看,欧盟从2015年起就积极探索人工智能伦理与治理举措,虽然在AI技术的发展上没能先发制人,但在AI治理方面却走在了世界前沿。从发布《可信人工智能伦理指南》《人工智能白皮书》等,阐释了人工智能治理的过程和内涵,到颁布《人工智能法案》提案,明确人工智能投入、服务、应用等风险监管规定,促进发展统一、可信赖的欧盟人工智能市场,保护欧盟公民基本权利,欧洲所制定的准则均是以个人为中心和以权利为基础的,并传达出一种不同的监管愿景[50]。从治理主体上看,欧盟认为对于人工智能的伦理治理,需要不同主体在不同层次的保障措施,因此需要政府、行业、公众等主体在各自的层级建立保障措施。欧盟重在强调人工智能是与众不同的,要让欧盟与成员国共同成为以人为中心的人工智能全球领导者。
06
对我国数据与算法安全治理的启示
6.1 完善我国数据与算法安全协同治理机制
随着大数据、人工智能等技术的快速发展,风险复杂多变,数据安全治理逐渐迈向算法安全治理,并逐步呈现出向数据与算法协同治理趋势发展。基于欧盟算法安全治理嵌套于数据安全治理中形成协同治理模式的探索,立足我国数据与算法治理现状提出如下建议:①治理内容协同。我国围绕《数据安全法》《个人信息保护法》《网络安全法》《互联网信息服务算法推荐管理规定》,形成以“三法一规”为中心的数据与算法安全治理制度顶层设计,并逐步完善“三法一规”的配套规章。但整体上我国算法安全治理制度相比数据安全治理仍处于探索阶段,应在《互联网信息服务算法推荐管理规定》规制平台算法推荐风险的基础上,出台《算法安全法》《算法问责法》等法规,从技术及应用的交互层面对数据与算法安全风险作出全面规范,构建事前评估、事中监管、事后问责的数据与算法协同监管体系[52]。②治理主体协同。国家网信办在发挥数据与算法安全治理的主导性作用时,需加强与工信部、市场监管局等机构协同,不能仅停留在多部门联合发布政策层面,还要强化分行业监管和跨行业的协同监管。
6.2 建立主体间数据流动制度及中介机构评估机制
立法对于解决数据主体之间缺乏信任及因个人数据、商业机密泄露引发的担忧,从而阻碍数据流动至关重要。在此基础上,我国可借鉴欧盟数据流动安全治理特征形成两方面启示:①建立主体间数据流动制度,在“三法一规”的基础上,完善个人与企业、企业与企业、政府与企业等主体间数据流动安全监管制度,增强法律的确定性。同时,需注意监管制度的敏捷性和适应性,政策支持企业参与到数据与算法安全治理中,与国家网信办等监管机构积极对接,提高企业风险意识,强化企业责任,引导企业自治,促进市场公平竞争,防止企业因制度监管过度等原因而阻碍其创新发展。②发展中介服务并建立第三方评估机制。欧盟认为数据共享只有在信任和公平得到保证的情况下才能蓬勃发展,而数据中介服务成为欧盟推动数据可信流通的主要举措之一,我国基于《数据出境安全评估办法》应进一步发展中介服务并建立专业的第三方评估机制,借助第三方机构的权威性,深入探讨中介服务相关规定和资质认定,增强主体间的信任度,培育交易所、交易主体、数据商和第三方专业服务机构共同构成的数据流通交易生态,围绕数据流动全生命周期提供全流程可信服务。
6.3 建立人工智能伦理监管与创新发展的平衡机制
2021年9月,国家新一代人工智能治理专业委员会发布《新一代人工智能伦理规范》,旨在将伦理道德融入人工智能全生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。对比我国国家新一代人工智能治理专业委员会和欧洲人工智能高级别专家组所倡导的伦理原则,不难发现,我国的准则强调促进良好的行为,采用了社区中心和目标导向的视角,个人应该和谐地参与到一个促进宽容、共同责任和开放合作的社区中。而欧盟的准则侧重于预防恶性后果,是以个人为中心和以权利为基础,它传达出一种不同的监管愿景。前者为人工智能的发展指明了方向,使其有助于改善社会;后者则为其使用设定了限制,使其发展不会以牺牲某些人的利益为代价。因此,本文提出适当融合欧盟监管思路以兼顾发展与安全:①探索人工智能伦理监管沙盒机制。我国当前应在“可信赖的人工智能”“负责任的人工智能”等核心概念上形成公众普遍接受的伦理规则[53-54],同时由于人工智能算法的不可解释性和黑箱问题,需要以监管规范为指导,积极探索人工智能伦理的监管沙盒。②建立创新发展与伦理监管的平衡机制。虽然欧盟针对人工智能伦理展开了较为严格的监管措施,但有一点毋庸置疑,过度监管会对其各成员国的数字经济和社会发展产生不利影响。因此我国应当侧重具有约束力的“硬法”兼顾“软法”[55],尤其要重点考虑关键领域人工智能创新与伦理之间的关系,要在伦理与创新之间探寻平衡点,进而实现人工智能的可持续发展。
07
结语
数字技术的发展加速了社会的转型变革,数据与算法作为人工智能发展核心驱动力极大地促进了社会发展,与此同时,数据与算法所带来的安全风险也严重影响着社会稳定与国家安全,为此,欧盟出台了一系列法规与政策以实现社会发展与安全并重。基于此,在全球科技战略背景下,本文以数据与算法安全为治理对象,以欧盟实现数字主权与技术主权为治理目标,在治理内容上,以GDPR为核心的欧盟数据与算法安全治理内容框架包括隐私和数据保护、数据流动安全、平台算法安全、人工智能伦理四部分,在治理主体上,以欧洲数据保护监管局等为核心,形成“立法-执行-服务”为一体的多方协同治理机构。欧盟数据与算法安全治理具有“重视个人隐私数据安全;建立数据跨境流动安全规则;形成算法嵌套数据的协同安全治理模式;以人为中心的人工智能伦理与治理”的典型特征。从欧盟数据与算法安全治理特征中得到启示,并针对我国数据与算法安全治理现状提出三点建议:①完善数据与算法安全协同治理机制;②建立主体间数据流动制度及中介机构评估机制;③建立人工智能伦理监管与创新发展的平衡机制。本文虽在三个方面提出我国数据与算法安全治理的建议,但在平衡开放利用与安全治理、伦理与治理的内在联系等方面,尚需进一步探讨以待后续研究。
参考文献
[1] 江小涓.数据治理“四问”——江小涓院长在数据治理研讨会上的引导发言[EB/OL].[2022-02-26]. https://baijiahao.baidu.com/s?id=1715043672590427100&wfr=spider&for=pc.
[2] 吴及,陈健生,白铂.数据与算法[M].北京:清华大学出版社,2017.
[3] 郑婷一,庞亮,靳小龙.平台经济中的数据与算法安全[J].大数据,2022,8(4):56-66.
[4] 张涛,马海群.智能情报分析中数据与算法风险识别模型构建研究[J].情报学报,2022,41(8):832-844.
[5] 张文魁.数字经济的内生特性与产业组织[J].管理世界,2022,38(7):79-90.
[6] 王拓,李俊,张威.欧盟数据治理经验及其对我国的启示[J].国际贸易,2021(9):15-22.
[7] 方芳,张蕾.欧盟个人数据治理进展、困境及启示[J].德国研究,2021,36(4):49-66,157-158.
[8] 冉从敬,刘先瑞,何梦婷.欧美数据垄断的治理模式比较及对我国的借鉴研究[J].信息资源管理学报,2021,11(3):18-29.
[9] 蔡莉妍.区块链环境下个人数据权利保护的困境与突破——以欧盟《一般数据保护条例》为例[J].北京航空航天大学学报(社会科学版),2022,35(6):43-52.
[10]程莹.元规制模式下的数据保护与算法规制——以欧盟《通用数据保护条例》为研究样本[J].法律科学(西北政法大学学报),2019,37(4):48-55.
[11]Bottis M, Panagopoulou-Koutnatzi F, Michailaki A, et al. General data protection regulation: New ethical and constitutional aspects, along with new challenges to information law[J]. International Journal of Technology Policy and Law, 2019, 3(2): 172-187.
[12]Kaminski M E, Malgieri G. Multi-layered explanations from algorithmic impact assessments in the GDPR[C]//Proceedings of the 2020 Conference on Fairness, Accountability, and Transparency, Barcelona, Spain. New York: ACM, 2020: 68-79.
[13]Zuiderveen Borgesius F J. Strengthening legal protection against discrimination by algorithms and artificial intelligence[J]. The International Journal of Human Rights, 2020, 24(10): 1572-1593.
[14]Lee H J. Artificial intelligence and constitutional issues - Focusing on discussions of algorithmic discrimination in EU[J]. Journal of Constitutional Justice. 2021, (8)2: 101-130.
[15]俞可平.全球治理引论[J].马克思主义与现实,2002(1):20-32.
[16]曾雄,梁正,张辉.欧美算法治理实践的新发展与我国算法综合治理框架的构建[J].电子政务,2022(7):67-75.
[17]联合国.2021年数字经济报告[EB/OL].[2022-02-26]. https://unctad.org/system/files/official-document/der2021_overview_ch.pdf.
[18]EPSC. The age of artificial intelligence: Towards a European strategy for human-centric machines[EB/OL].[2022-02-26]. https://ec.europa.eu/jrc/communities/sites/jrccties/files/epsc_strategicnote_ai.pdf.
[19]European Commission. A European strategy for data[EB/OL].[2022-02-26]. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020DC0066&from=EN.
[20]European Commission. Shaping Europe’ s digital future[EB/OL].[2022-02-26]. https://ec.europa.eu/info/sites/default/files/communication-shaping-europes-digital-future-feb2020_en_4.pdf.
[21]European Parliament. Digital sovereignty for Europe[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/651992/EPRS_BRI(2020)651992_EN.pdf.
[22]European Commission. The general data protection regulation[EB/OL].[2022-02-26]. https://www.ppai.org/media/2941/gdpr.pdf.
[23]European Commission. Proposal for an e-privacy regulation[EB/OL].[2022-02-26]. https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation.
[24]European Commission. Coordinated plan on artificial intelligence (COM(2018)795 final)[EB/OL].[2022-02-26]. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52018DC0795&from=EN.
[25]European Data Protection Supervisor. EDPS strategy 2020 - 2024: Shaping a safer digital future[EB/OL].[2022-02-26]. https://edps.europa.eu/data-protection/our-work/publications/strategy/edps-strategy-2020-2024-shaping-safer-digital-future_en.
[26]The European Union Agency for Cybersecurity. Data protection engineering: From theory to practice[EB/OL].[2022-02-26]. https://www.enisa.europa.eu/publications/data-protection-engineering.
[27]European Commission. Data act: Proposal for a regulation on harmonised rules on fair access to and use of data[EB/OL].[2022-02-26]. https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data.
[28]European Commission. On a framework for the free flow of non-personal data in the European Union[EB/OL].[2022-02-26]. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R1807&from=EN.
[29]European Commission. Practical guidance for businesses on how to process mixed datasets[EB/OL].[2022-02-26].https://digital-strategy.ec.europa.eu/en/library/practical-guidance-businesses-how-process-mixed-datasets.
[30]European Commission. European data governance act[EB/OL].[2022-02-26]. https://digital-strategy.ec.europa.eu/en/node/58/printable/pdf.
[31]European Parliamentary Research Service. A governance framework for algorithmic accountability and transparency[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/RegData/etudes/STUD/2019/624262/EPRS_STU(2019)624262_EN.pdf.
[32]European Commission. Digital services act[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689357/EPRS_BRI(2021)689357_EN.pdf.
[33]European Commission. Digital markets act[EB/OL].[2022-02-26]. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022R1925&from=EN.
[34]Committee on Legal Affairs. European civil law rules in robotics[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/RegData/etudes/STUD/2016/571379/IPOL_STU(2016)571379_EN.pdf.
[35]司晓,曹建峰.论人工智能的民事责任:以自动驾驶汽车和智能机器人为切入点[J].法律科学(西北政法大学学报),2017,35(5):166-173.
[36]High-Level Expert Group. Ethics guidelines for trustworthy AI[EB/OL]. [2022-02-26]. https://www.ai.bsa.org/wp-content/uploads/2019/09/AIHLEG_EthicsGuidelinesforTrustworthyAI-ENpdf.pdf.
[37]European Commission. White paper on artificial intelligence[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/648773/IPOL_BRI(2020)648773_EN.pdf.
[38]European Commission. Laying down hamonised rules on artificial intelligence (Artificial intelligence act) and amending certain union legislative acts[EB/OL].[2022-02-06].https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11-eb-9585-01aa75ed71a1.0001.02/Doc_1&format=PDF.
[39]The European Political Strategy Centre. Person identification, human rights and ethical principles: Rethinking biometrics in the era of artificial intelligence[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/RegData/etudes/STUD/2021/697191/EPRS_STU(2021)697191_EN.pdf.
[40]The European Political Strategy Centre(EPSC)[EB/OL].[2022-02-26]. https://knowledge4policy.ec.europa.eu/organisation/epsc-european-political-strategy-centre_en.
[41]European Parliamentary Research Service (EPRS)[EB/OL].[2022-02-26]. https://www.europarl.europa.eu/at-your-service/en/stay-informed/research-and-analysis.
[42]Edinburgh Postnatal Depression Scale (EPDS)[EB/OL].[2022-02-26]. https://med.stanford.edu/content/dam/sm/ppc/documents/DBP/EDPS_text_added.pdf.
[43]The European Union Agency for Cybersecurity. About ENISA -The European union agency for cybersecurity[EB/OL].[2022-02-26]. https://www.enisa.europa.eu/about-enisa.
[44]The European Data Protection Board. About EDPB[EB/OL].[2022-02-26]. https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_en.
[45]European Commission. High-level expert group on artificial intelligence[EB/OL].[2022-02-26]. https://digital-strategy.ec.europa.eu/en/policies/expert-group-ai.
[46]The European Union Agency For Fundamental Rights. About FRA[EB/OL].[2022-02-26]. https://fra.europa.eu/en/about-fra.
[47]张凌寒.权力之治:人工智能时代的算法规制[M].上海:上海人民出版社,2021.
[48]许可.算法规制体系的中国建构与理论反思[J].法律科学(西北政法大学学报),2022,40(1):124-132.
[49]陈一.欧盟大数据伦理治理实践及对我国的启示[J].图书情报工作,2020,64(3):130-138.
[50]施雯,缪其浩.从两极到三强:欧盟人工智能的全球竞争战略分析[J].中国科技论坛,2022(6):179-188.
[51]Li S. The impact of global warming on Russia's ecological environment[J]. Social Sciences in China,2021,42(4):194-208.
[52]张涛,马海群.智能情报分析中算法风险及其规制研究[J].图书情报工作,2021,65(12):47-56.
[53]吴丹,孙国烨.迈向可解释的交互式人工智能:动因、途径及研究趋势[J].武汉大学学报(哲学社会科学版),2021,74(5):16-28.
[54]贾开,薛澜.人工智能伦理问题与安全风险治理的全球比较与中国实践[J].公共管理评论,2021,3(1):122-134.
[55]蔡星月.人工智能的“标准之治”[J].中国法律评论,2021(5):94-103.
作者简介
崔文波,硕士生,研究方向为数据分析与知识发现;
张涛,博士生,副教授,硕士生导师,研究方向为政策文本计算与数据分析,Email:zhangtao@hlju.edu.cn;
马海群,博士,教授,博士生导师,研究方向为信息政策与法律;
蔡庆平(通讯作者),博士,讲师,研究方向为数据挖掘与分析,Email:caiqingping@hlju.edu.cn。
* 原文载于《信息资源管理学报》2023年第2期,欢迎个人转发,公众号转载请联系后台。
* 引用格式
崔文波,张涛,马海群,等.欧盟数据与算法安全治理:特征与启示[J].信息资源管理学报,2023,13(2):30-41.
往期 · 推荐
往期荐读 2023年第1期 | 美国数据与算法安全治理:进路、特征与启示
往期荐读 2022年第6期 | 英国国家数据安全治理:制度、机构及启示
▲点击访问信息资源管理学报小程序
制版编辑 | 王伊杨
审核 | 于阿媛
长按识别二维码关注我们
信息资源管理学报
微信号
xxzyglxb
分享、在看与点赞
只要你点,我们就是朋友😊