2021年9月，中國發布《新一代人工智能倫理規范》，“強化責任擔當”是6項基本倫理要求之一。與此同時，聯合國教科文組織、經合組織以及歐盟、美國等也先后發布或即將發布相應的指南或法規，規范AI治理。

如何才能實現負責任的AI？本文作者、國際隱私專業協會（IAPP）研究員Katharina Koerner認為，必須處理好AI治理原則與隱私保護之間的關系。

人工智能（AI）與機器學習（ML）正以前所未有的速度向前發展。由此也帶來了一個問題：如何以負責任的、符合倫理要求的方式使用AI/ML系統，而且這種方式還要得到用戶和社會的信任？

監管者、組織機構、研究人員，以及各行各業的從業者都在尋找問題的答案。越來越多隱私領域的專家也參與到AI的治理中來。他們面臨的挑戰是：一方面要遵循隱私規則對AI有所限制，另一方面還要謀求進一步發展，如何深刻理解上述二者關系并“負責任”地使用AI。

隨著政府相關機構加大在這個復雜領域的執法力度，并且強化規則制定與立法，有一個情況變得至關重要：組織機構必須清楚了解目前適用于AI領域的隱私要求，即將生效的隱私要求，以及可用資源，才能為AI和ML應用建立一個合規的數據保護計劃。

01 AI治理的全球性共識

近年來，許多有關可信AI的治理指南先后發布，這些指南取得了良好的效果。大部分AI治理框架在基本原則的定義上包括如下要素：隱私與數據治理、問責與審核、穩健與安全、透明度與可解釋性、公平與非歧視、人工監管，以及人類價值的促進。

有些公共機構發布的負責任的AI框架頗具代表性，例如，聯合國教科文組織（UNESCO）發布的《AI倫理問題建議書》（Recommendation on the Ethics of AI），中國的《新一代人工智能倫理規范》，歐洲理事會的報告《AI系統的監管》，經濟合作與發展組織（OECD）的《AI原則》，以及歐盟委員會AI高級別專家組制定的《可信AI倫理指南》。

除此之外，還有數不清的由公司發布的自律倡議。不僅如此，業界還與學界和非營利組織攜手，推動各界負責任地使用AI，例如，AI合作伙伴關系，或者全球AI合作伙伴關系。標準化組織，如國際標準化組織/國際電工委員會（ISO/IEC）、電氣與電子工程師協會（IEEE），以及美國國家標準與技術研究院（NIST）也推出了指南。

當前的治理倡議主要采取宣言的形式，并不具有約束性。與此同時，各種現有的隱私保護法律已經要求在一定程度上，必須負責任地使用AI系統。

隱私監管機構在AI的治理中擔負著重要作用，新加坡個人數據保護委員會（Personal Data Protection Commission）發布的《AI治理框架范例》（Model AI Governance Framework），英國信息專員辦公室（U.K. Information Commissioner’s Office）為制定AI審計框架而付出的巨大努力，中國香港特別行政區的隱私專員公署（Office of The Privacy Commissioner for Personal Data of Hong Kong）發布的《AI應用與倫理發展指南》都是很好的例證。

02 隱私監管與負責任的AI

“隱私”就是人們時常提到的一條負責任的AI原則。這讓人聯想到，把通用隱私原則（這也是全球隱私與數據保護的基石）應用到處理個人數據的AI/ML體系中的義務。其中包括，確保收集行為的界限、數據質量、用途說明、使用范圍、問責及個體參與。

可信的AI原則，如透明度與可解釋性、公平與非歧視性、人工監管、數據處理的穩健性與安全性，通常與個人的具體權利，以及相應的隱私法律的條款相關。

就歐盟的《通用數據保護條例》（GDPR）而言，就是解釋的權利[第1（1）條、第12條、第13條、第14條、第15（1）（h）條、第22（3）條，以及引述71]、公平原則[第5（1）（a）條，以及引述75]、人工監管（第22條）、處理的穩健性[第5（1）d條]和安全性。其他的隱私法律，如中國的《個人信息保護法》或英國的《通用數據保護條例》，也包括類似的與這些負責任的AI原則有關的條款。

美國的聯邦貿易委員會（FTC）要求AI開發人員及使用算法的公司必須承擔《聯邦貿易委員會法》（FTC Act）第5節中規定的責任，以及美國《公平信用報告法》（US Fair Credit Reporting Act）和《平等信貸機會法》（Equal Credit Opportunity Act）中規定的責任。FTC在2016年的報告，以及2020年和2021年的指南中明確指出，AI的使用必須透明，其中包括向消費者解釋決策算法，并且確保決定是公平的，符合常理的。

如果不清楚AI系統基于隱私規則的合規要求，面臨風險的將不僅僅是受影響的個人。公司會面臨巨額罰款，甚至不得不刪除數據，并且清除模型和算法。

03 最新案例

1.澳洲

2021年底，澳大利亞信息專員辦公室（Office of Australian Information Commissioner）發現，應用程序Clearview AI違反《澳大利亞隱私法》（Australian Privacy Act），在沒有征得許可的情況下，收集人臉生物數據。不久之后，英國信息專員辦公室與澳大利亞信息專員辦公室開展聯合調查，英方根據調查結果宣布，準備以同樣的理由對Clearview AI公司至少處以1700萬英鎊的罰款。不僅如此，加拿大隱私保護當局以及法國的隱私監管機構數據保護局（CNIL）均要求Clearview AI停止數據處理，并且刪除所有收集到的數據。

2.歐洲

2021年，歐洲數據保護當局追查了數起AI/ML系統侵犯隱私的案件。

2021年12月，荷蘭數據保護當局宣布，荷蘭稅務及海關總署（Dutch Tax and Customs Administration）違反GDPR的規定，以ML算法歧視的方式處理國籍申請者的信息，為此對荷蘭稅務及海關總署處以275萬歐元罰款。這種算法自動把雙重國籍的申請人定義為高風險人群，導致這些人很可能被貼上“欺詐”的標簽。

2021年8月還發生了一起具有里程碑意義的案件，意大利數據保護機構Garante以違反GDPR規定為由，對餐食快遞公司Foodinho和Deliveroo分別處以近300萬美元的罰款。Garante認為，兩家公司用于管理外賣騎手的算法缺乏透明度和公平性，而且缺少準確信息。該監管機構還發現，兩家公司缺乏數據最小化、安全性、隱私保護設計以及默認的保護措施，而且也沒有進行數據保護影響評估。

在2021年初的類似案件中，阿姆斯特丹地方法院發現，拼車公司Uber和Ola出租車沒有滿足GDPR的透明度要求，侵犯了要求人工干預的權利。荷蘭DPA的調查正在進行中。

3.美國

在美國，FTC最近明確表明，在模型或算法的開發過程中，如果不堅持隱私要求，風險會很高。

在Everalbum事件中，FTC不僅強調向使用者公開收集生物特征信息的義務，而且還要求刪除或銷毀非法獲取的數據，以及利用這些數據開發的模型和算法。

04 定義與實踐的挑戰：可解釋性與公平性

毫無疑問，不按照法規要求執行負責任的AI原則將承擔相應的法律責任，但是目前還有許多懸而未決的問題。圍繞“同意及以適當方式通知用戶”，各國都頒布了許多法律指南，但是部分相關規定，如AI的公平性及可解釋性等法律解釋和執行的工作還處在起步階段。其中面臨的一個共同問題是，無法使用統一的方法評估各種使用場景中的可信AI原則。

AI的可解釋性或透明度原則旨在打開所謂的ML模型“黑箱”。大家圍繞可解釋的AI展開了各種AI研究。解釋ML的模型意味著什么，大家眾說紛紜。為了向監管者或用戶解釋AI如何“預測”，大家通常采用基于結果的事后模型。替代模型（或初始模型）可以在包含樣本和黑箱模型輸出結果的數據集上做測試，以便得到近似的預測。任何解釋都應該讓接收方可以理解，并且包含與這個系統相關的設計選擇，以及部署該系統的基本原理。

AI的公平性原則是另一個不斷發展的領域，它涵蓋的問題比較復雜。偏見、歧視和公平問題與背景息息相關。關于公平有許多定義，它們之間存在巨大差異。一些隱私監管機構發布了明確的指南。在英國信息專員辦公室（ICO）看來，公平意味著個人數據必須以人們認為合理的方式來處理，如果處理的方式會產生不合理的負面效果，就是不公平的。同樣，美國FTC的解釋是，根據《聯邦貿易委員會法》，如果行為導致的損害大于收益，這種行為就是不公平的。另一方面，在GDPR框架下，對公平原則的定義仍然比較少。與此同時，許多組織機構還不確定如何在實踐中避免偏見。通常，偏見可能在處理前（在訓練算法之前）、處理中（模型訓練中）和處理后（在預測中糾正偏見）得以解決。

AI的可解釋性和公平性原則只是負責任的AI領域中快速發展的各種原則中的兩項。在其他領域，如安保領域的AI/ML算法也要求增強安全意識，正如歐盟網絡安全局（ENISA）在最近的報告中所強調的那樣。

另一個挑戰是不同原則之間如何權衡。一些原本關系穩定的特點可能會產生矛盾，如透明度與隱私，或者隱私與公平等。

05 實踐評估與記錄歸檔

法律定義并非“負責任AI原則”的唯一組成部分，還需要進一步清晰化。公司在試圖把可信AI原則轉化為實際行動時，面臨著許多挑戰，我們通常把它描述為“負責任的AI缺口”。

與“負責任的AI”有關的其他問題可以用來擴充數據保護影響評估或隱私影響評估。按照這種方式，使用AI給個人的權利和自由帶來的風險是可以識別和控制的。偏見或算法和數據集的不準確給個人帶來的任何傷害都應予以評估，恰當使用AI/ML的算法應該予以記錄。可以用隱私影響評估（PIA）來描述權衡的過程，例如，在統計上的準確性與數據最小化之間，以及在記錄方法與決策的合理化之間。

此外，組織機構還可以考慮隱私保護ML解決方案，或者使用合成數據。一方面，它們沒有取代負責任的AI和隱私政策，沒有取代完整的模型風險管理，也沒有取代模型的可解釋性或探測偏見的方法和工具，另一方面，它們在設計AI架構時，強化了隱私優先的方法。

挪威數據保護局（DPA）發布了一份報告，闡釋在ML算法中如何使用個人數據，報告強調：“使用AI的組織結構尤其要關注兩個新要求——隱私保護設計和數據保護影響評估（DPIA）。”

在這個大背景下，負責任的AI原則面臨的關鍵問題也可以考慮在內。可以從歐盟AI高級專家組（AI-HLEG）推薦的名單，或者AI合作伙伴編制的名單入手。不同領域間的探討，以及為實現負責任的AI、AI公平性，AI可解釋性而開發的工具包，如LIME、SHAP或LORE的部署都可以進一步增進了解，提高用戶方的透明度。

此外，為避免偏見，非技術類的方法可以包括建立AI倫理委員會、內部培訓、團隊構成的多樣化，或者分析數據收集機制。目前，公共機構已經率先羅列出所有使用中的，以透明度為由的算法。其他組織機構開始發布AI的可解釋性的聲明。無論采用哪種方法，組織結構必須向消費者提供必要的信息，以避免因AI/ML系統，以及評分機制的使用及后果導致的有害行為。

06 即將出現的新進展

未來即將出臺的各類法律都會反映出保障可信AI和ML的原則。據OECD統計，從全球范圍看，有60個國家出臺了700項AI政策倡議。

《歐盟AI法案》（EU Artificial Intelligence Act）即將出臺，高風險的AI系統將直接受到監管。美國的拜登政府宣布了“AI權利法案”的進展。除了即將為FTC提供5億美元額外資助外，FTC還請求成為隱私和AI領域的規則制定機構。新成立的加利福尼亞隱私保護局（California Privacy Protection Agency）有可能在2023年之前發布AI管理相關規則，有望產生深遠影響。

隨著執法的愈益嚴格，以及新法規的不斷出臺，確保AI系統在隱私方面合規將成為負責任地使用AI的最基本要求。協調各方的努力，并且全面深入了解AI/ML生態系統有助于為即將到來的新變化做好充分準備。

原文鏈接：

https://iapp.org/news/a/privacy-and-responsible-ai/

文中提及的AI部分資料原文鏈接：

1.聯合國教科文組織（UNESCO）《AI倫理問題建議書》（Recommendation on the Ethics of AI）：

https://unesdoc.unesco.org/ark:/48223/pf0000377897

2.《歐盟AI法案》（EU Artificial Intelligence Act）提案：

https://artificialintelligenceact.eu/the-act/

3.歐洲理事會報告《AI系統的監管》：

https://rm.coe.int/prems-107320-gbr-2018-compli-cahai-couv-texte-a4-bat-web/1680a0c17a

4.經濟合作與發展組織（OECD）AI原則：

https://oecd.ai/en/ai-principles

5.歐盟委員會AI高級別專家組制定的《可信AI倫理指南》：

https://op.europa.eu/en/publication-detail/-/publication/d3988569-0434-11ea-8c1f-01aa75ed71a1

本文來自微信公眾號“Internet Law Review”（ID:Internet-law-review），作者：互聯網法律評論，36氪經授權發布。