2021年9月，中國發(fā)布《新一代人工智能倫理規(guī)范》，“強化責(zé)任擔(dān)當(dāng)”是6項基本倫理要求之一。與此同時，聯(lián)合國教科文組織、經(jīng)合組織以及歐盟、美國等也先后發(fā)布或即將發(fā)布相應(yīng)的指南或法規(guī)，規(guī)范AI治理。

如何才能實現(xiàn)負責(zé)任的AI？本文作者、國際隱私專業(yè)協(xié)會（IAPP）研究員Katharina Koerner認(rèn)為，必須處理好AI治理原則與隱私保護之間的關(guān)系。

人工智能（AI）與機器學(xué)習(xí)（ML）正以前所未有的速度向前發(fā)展。由此也帶來了一個問題：如何以負責(zé)任的、符合倫理要求的方式使用AI/ML系統(tǒng)，而且這種方式還要得到用戶和社會的信任？

監(jiān)管者、組織機構(gòu)、研究人員，以及各行各業(yè)的從業(yè)者都在尋找問題的答案。越來越多隱私領(lǐng)域的專家也參與到AI的治理中來。他們面臨的挑戰(zhàn)是：一方面要遵循隱私規(guī)則對AI有所限制，另一方面還要謀求進一步發(fā)展，如何深刻理解上述二者關(guān)系并“負責(zé)任”地使用AI。

隨著政府相關(guān)機構(gòu)加大在這個復(fù)雜領(lǐng)域的執(zhí)法力度，并且強化規(guī)則制定與立法，有一個情況變得至關(guān)重要：組織機構(gòu)必須清楚了解目前適用于AI領(lǐng)域的隱私要求，即將生效的隱私要求，以及可用資源，才能為AI和ML應(yīng)用建立一個合規(guī)的數(shù)據(jù)保護計劃。

01 AI治理的全球性共識

近年來，許多有關(guān)可信AI的治理指南先后發(fā)布，這些指南取得了良好的效果。大部分AI治理框架在基本原則的定義上包括如下要素：隱私與數(shù)據(jù)治理、問責(zé)與審核、穩(wěn)健與安全、透明度與可解釋性、公平與非歧視、人工監(jiān)管，以及人類價值的促進。

有些公共機構(gòu)發(fā)布的負責(zé)任的AI框架頗具代表性，例如，聯(lián)合國教科文組織（UNESCO）發(fā)布的《AI倫理問題建議書》（Recommendation on the Ethics of AI），中國的《新一代人工智能倫理規(guī)范》，歐洲理事會的報告《AI系統(tǒng)的監(jiān)管》，經(jīng)濟合作與發(fā)展組織（OECD）的《AI原則》，以及歐盟委員會AI高級別專家組制定的《可信AI倫理指南》。

除此之外，還有數(shù)不清的由公司發(fā)布的自律倡議。不僅如此，業(yè)界還與學(xué)界和非營利組織攜手，推動各界負責(zé)任地使用AI，例如，AI合作伙伴關(guān)系，或者全球AI合作伙伴關(guān)系。標(biāo)準(zhǔn)化組織，如國際標(biāo)準(zhǔn)化組織/國際電工委員會（ISO/IEC）、電氣與電子工程師協(xié)會（IEEE），以及美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）也推出了指南。

當(dāng)前的治理倡議主要采取宣言的形式，并不具有約束性。與此同時，各種現(xiàn)有的隱私保護法律已經(jīng)要求在一定程度上，必須負責(zé)任地使用AI系統(tǒng)。

隱私監(jiān)管機構(gòu)在AI的治理中擔(dān)負著重要作用，新加坡個人數(shù)據(jù)保護委員會（Personal Data Protection Commission）發(fā)布的《AI治理框架范例》（Model AI Governance Framework），英國信息專員辦公室（U.K. Information Commissioner’s Office）為制定AI審計框架而付出的巨大努力，中國香港特別行政區(qū)的隱私專員公署（Office of The Privacy Commissioner for Personal Data of Hong Kong）發(fā)布的《AI應(yīng)用與倫理發(fā)展指南》都是很好的例證。

02 隱私監(jiān)管與負責(zé)任的AI

“隱私”就是人們時常提到的一條負責(zé)任的AI原則。這讓人聯(lián)想到，把通用隱私原則（這也是全球隱私與數(shù)據(jù)保護的基石）應(yīng)用到處理個人數(shù)據(jù)的AI/ML體系中的義務(wù)。其中包括，確保收集行為的界限、數(shù)據(jù)質(zhì)量、用途說明、使用范圍、問責(zé)及個體參與。

可信的AI原則，如透明度與可解釋性、公平與非歧視性、人工監(jiān)管、數(shù)據(jù)處理的穩(wěn)健性與安全性，通常與個人的具體權(quán)利，以及相應(yīng)的隱私法律的條款相關(guān)。

就歐盟的《通用數(shù)據(jù)保護條例》（GDPR）而言，就是解釋的權(quán)利[第1（1）條、第12條、第13條、第14條、第15（1）（h）條、第22（3）條，以及引述71]、公平原則[第5（1）（a）條，以及引述75]、人工監(jiān)管（第22條）、處理的穩(wěn)健性[第5（1）d條]和安全性。其他的隱私法律，如中國的《個人信息保護法》或英國的《通用數(shù)據(jù)保護條例》，也包括類似的與這些負責(zé)任的AI原則有關(guān)的條款。

美國的聯(lián)邦貿(mào)易委員會（FTC）要求AI開發(fā)人員及使用算法的公司必須承擔(dān)《聯(lián)邦貿(mào)易委員會法》（FTC Act）第5節(jié)中規(guī)定的責(zé)任，以及美國《公平信用報告法》（US Fair Credit Reporting Act）和《平等信貸機會法》（Equal Credit Opportunity Act）中規(guī)定的責(zé)任。FTC在2016年的報告，以及2020年和2021年的指南中明確指出，AI的使用必須透明，其中包括向消費者解釋決策算法，并且確保決定是公平的，符合常理的。

如果不清楚AI系統(tǒng)基于隱私規(guī)則的合規(guī)要求，面臨風(fēng)險的將不僅僅是受影響的個人。公司會面臨巨額罰款，甚至不得不刪除數(shù)據(jù)，并且清除模型和算法。

03 最新案例

1.澳洲

2021年底，澳大利亞信息專員辦公室（Office of Australian Information Commissioner）發(fā)現(xiàn)，應(yīng)用程序Clearview AI違反《澳大利亞隱私法》（Australian Privacy Act），在沒有征得許可的情況下，收集人臉生物數(shù)據(jù)。不久之后，英國信息專員辦公室與澳大利亞信息專員辦公室開展聯(lián)合調(diào)查，英方根據(jù)調(diào)查結(jié)果宣布，準(zhǔn)備以同樣的理由對Clearview AI公司至少處以1700萬英鎊的罰款。不僅如此，加拿大隱私保護當(dāng)局以及法國的隱私監(jiān)管機構(gòu)數(shù)據(jù)保護局（CNIL）均要求Clearview AI停止數(shù)據(jù)處理，并且刪除所有收集到的數(shù)據(jù)。

2.歐洲

2021年，歐洲數(shù)據(jù)保護當(dāng)局追查了數(shù)起AI/ML系統(tǒng)侵犯隱私的案件。

2021年12月，荷蘭數(shù)據(jù)保護當(dāng)局宣布，荷蘭稅務(wù)及海關(guān)總署（Dutch Tax and Customs Administration）違反GDPR的規(guī)定，以ML算法歧視的方式處理國籍申請者的信息，為此對荷蘭稅務(wù)及海關(guān)總署處以275萬歐元罰款。這種算法自動把雙重國籍的申請人定義為高風(fēng)險人群，導(dǎo)致這些人很可能被貼上“欺詐”的標(biāo)簽。

2021年8月還發(fā)生了一起具有里程碑意義的案件，意大利數(shù)據(jù)保護機構(gòu)Garante以違反GDPR規(guī)定為由，對餐食快遞公司Foodinho和Deliveroo分別處以近300萬美元的罰款。Garante認(rèn)為，兩家公司用于管理外賣騎手的算法缺乏透明度和公平性，而且缺少準(zhǔn)確信息。該監(jiān)管機構(gòu)還發(fā)現(xiàn)，兩家公司缺乏數(shù)據(jù)最小化、安全性、隱私保護設(shè)計以及默認(rèn)的保護措施，而且也沒有進行數(shù)據(jù)保護影響評估。

在2021年初的類似案件中，阿姆斯特丹地方法院發(fā)現(xiàn)，拼車公司Uber和Ola出租車沒有滿足GDPR的透明度要求，侵犯了要求人工干預(yù)的權(quán)利。荷蘭DPA的調(diào)查正在進行中。

3.美國

在美國，F(xiàn)TC最近明確表明，在模型或算法的開發(fā)過程中，如果不堅持隱私要求，風(fēng)險會很高。

在Everalbum事件中，F(xiàn)TC不僅強調(diào)向使用者公開收集生物特征信息的義務(wù)，而且還要求刪除或銷毀非法獲取的數(shù)據(jù)，以及利用這些數(shù)據(jù)開發(fā)的模型和算法。

04 定義與實踐的挑戰(zhàn)：可解釋性與公平性

毫無疑問，不按照法規(guī)要求執(zhí)行負責(zé)任的AI原則將承擔(dān)相應(yīng)的法律責(zé)任，但是目前還有許多懸而未決的問題。圍繞“同意及以適當(dāng)方式通知用戶”，各國都頒布了許多法律指南，但是部分相關(guān)規(guī)定，如AI的公平性及可解釋性等法律解釋和執(zhí)行的工作還處在起步階段。其中面臨的一個共同問題是，無法使用統(tǒng)一的方法評估各種使用場景中的可信AI原則。

AI的可解釋性或透明度原則旨在打開所謂的ML模型“黑箱”。大家圍繞可解釋的AI展開了各種AI研究。解釋ML的模型意味著什么，大家眾說紛紜。為了向監(jiān)管者或用戶解釋AI如何“預(yù)測”，大家通常采用基于結(jié)果的事后模型。替代模型（或初始模型）可以在包含樣本和黑箱模型輸出結(jié)果的數(shù)據(jù)集上做測試，以便得到近似的預(yù)測。任何解釋都應(yīng)該讓接收方可以理解，并且包含與這個系統(tǒng)相關(guān)的設(shè)計選擇，以及部署該系統(tǒng)的基本原理。

AI的公平性原則是另一個不斷發(fā)展的領(lǐng)域，它涵蓋的問題比較復(fù)雜。偏見、歧視和公平問題與背景息息相關(guān)。關(guān)于公平有許多定義，它們之間存在巨大差異。一些隱私監(jiān)管機構(gòu)發(fā)布了明確的指南。在英國信息專員辦公室（ICO）看來，公平意味著個人數(shù)據(jù)必須以人們認(rèn)為合理的方式來處理，如果處理的方式會產(chǎn)生不合理的負面效果，就是不公平的。同樣，美國FTC的解釋是，根據(jù)《聯(lián)邦貿(mào)易委員會法》，如果行為導(dǎo)致的損害大于收益，這種行為就是不公平的。另一方面，在GDPR框架下，對公平原則的定義仍然比較少。與此同時，許多組織機構(gòu)還不確定如何在實踐中避免偏見。通常，偏見可能在處理前（在訓(xùn)練算法之前）、處理中（模型訓(xùn)練中）和處理后（在預(yù)測中糾正偏見）得以解決。

AI的可解釋性和公平性原則只是負責(zé)任的AI領(lǐng)域中快速發(fā)展的各種原則中的兩項。在其他領(lǐng)域，如安保領(lǐng)域的AI/ML算法也要求增強安全意識，正如歐盟網(wǎng)絡(luò)安全局（ENISA）在最近的報告中所強調(diào)的那樣。

另一個挑戰(zhàn)是不同原則之間如何權(quán)衡。一些原本關(guān)系穩(wěn)定的特點可能會產(chǎn)生矛盾，如透明度與隱私，或者隱私與公平等。

05 實踐評估與記錄歸檔

法律定義并非“負責(zé)任AI原則”的唯一組成部分，還需要進一步清晰化。公司在試圖把可信AI原則轉(zhuǎn)化為實際行動時，面臨著許多挑戰(zhàn)，我們通常把它描述為“負責(zé)任的AI缺口”。

與“負責(zé)任的AI”有關(guān)的其他問題可以用來擴充數(shù)據(jù)保護影響評估或隱私影響評估。按照這種方式，使用AI給個人的權(quán)利和自由帶來的風(fēng)險是可以識別和控制的。偏見或算法和數(shù)據(jù)集的不準(zhǔn)確給個人帶來的任何傷害都應(yīng)予以評估，恰當(dāng)使用AI/ML的算法應(yīng)該予以記錄?？梢杂秒[私影響評估（PIA）來描述權(quán)衡的過程，例如，在統(tǒng)計上的準(zhǔn)確性與數(shù)據(jù)最小化之間，以及在記錄方法與決策的合理化之間。

此外，組織機構(gòu)還可以考慮隱私保護ML解決方案，或者使用合成數(shù)據(jù)。一方面，它們沒有取代負責(zé)任的AI和隱私政策，沒有取代完整的模型風(fēng)險管理，也沒有取代模型的可解釋性或探測偏見的方法和工具，另一方面，它們在設(shè)計AI架構(gòu)時，強化了隱私優(yōu)先的方法。

挪威數(shù)據(jù)保護局（DPA）發(fā)布了一份報告，闡釋在ML算法中如何使用個人數(shù)據(jù)，報告強調(diào)：“使用AI的組織結(jié)構(gòu)尤其要關(guān)注兩個新要求——隱私保護設(shè)計和數(shù)據(jù)保護影響評估（DPIA）?！?/p>

在這個大背景下，負責(zé)任的AI原則面臨的關(guān)鍵問題也可以考慮在內(nèi)?？梢詮臍W盟AI高級專家組（AI-HLEG）推薦的名單，或者AI合作伙伴編制的名單入手。不同領(lǐng)域間的探討，以及為實現(xiàn)負責(zé)任的AI、AI公平性，AI可解釋性而開發(fā)的工具包，如LIME、SHAP或LORE的部署都可以進一步增進了解，提高用戶方的透明度。

此外，為避免偏見，非技術(shù)類的方法可以包括建立AI倫理委員會、內(nèi)部培訓(xùn)、團隊構(gòu)成的多樣化，或者分析數(shù)據(jù)收集機制。目前，公共機構(gòu)已經(jīng)率先羅列出所有使用中的，以透明度為由的算法。其他組織機構(gòu)開始發(fā)布AI的可解釋性的聲明。無論采用哪種方法，組織結(jié)構(gòu)必須向消費者提供必要的信息，以避免因AI/ML系統(tǒng)，以及評分機制的使用及后果導(dǎo)致的有害行為。

06 即將出現(xiàn)的新進展

未來即將出臺的各類法律都會反映出保障可信AI和ML的原則。據(jù)OECD統(tǒng)計，從全球范圍看，有60個國家出臺了700項AI政策倡議。

《歐盟AI法案》（EU Artificial Intelligence Act）即將出臺，高風(fēng)險的AI系統(tǒng)將直接受到監(jiān)管。美國的拜登政府宣布了“AI權(quán)利法案”的進展。除了即將為FTC提供5億美元額外資助外，F(xiàn)TC還請求成為隱私和AI領(lǐng)域的規(guī)則制定機構(gòu)。新成立的加利福尼亞隱私保護局（California Privacy Protection Agency）有可能在2023年之前發(fā)布AI管理相關(guān)規(guī)則，有望產(chǎn)生深遠影響。

隨著執(zhí)法的愈益嚴(yán)格，以及新法規(guī)的不斷出臺，確保AI系統(tǒng)在隱私方面合規(guī)將成為負責(zé)任地使用AI的最基本要求。協(xié)調(diào)各方的努力，并且全面深入了解AI/ML生態(tài)系統(tǒng)有助于為即將到來的新變化做好充分準(zhǔn)備。

原文鏈接：

https://iapp.org/news/a/privacy-and-responsible-ai/

文中提及的AI部分資料原文鏈接：

1.聯(lián)合國教科文組織（UNESCO）《AI倫理問題建議書》（Recommendation on the Ethics of AI）：

https://unesdoc.unesco.org/ark:/48223/pf0000377897

2.《歐盟AI法案》（EU Artificial Intelligence Act）提案：

https://artificialintelligenceact.eu/the-act/

3.歐洲理事會報告《AI系統(tǒng)的監(jiān)管》：

https://rm.coe.int/prems-107320-gbr-2018-compli-cahai-couv-texte-a4-bat-web/1680a0c17a

4.經(jīng)濟合作與發(fā)展組織（OECD）AI原則：

https://oecd.ai/en/ai-principles

5.歐盟委員會AI高級別專家組制定的《可信AI倫理指南》：

https://op.europa.eu/en/publication-detail/-/publication/d3988569-0434-11ea-8c1f-01aa75ed71a1

本文來自微信公眾號“Internet Law Review”（ID:Internet-law-review），作者：互聯(lián)網(wǎng)法律評論，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 人工智能 負起 隱私