歐盟式規範對⼤數據⼈⼯智慧產業發展的衝擊

⼤數據未來最重要的發展即在於⼈⼯智慧技術（AI）的應⽤，AI 有能⼒⾼

效率地處理⼤量的資訊，並且透過⾃我學習能夠找出新的應⽤，同時亦能排除或 降低⼈為蓄意為不法⽬的所造成的資安與資訊隱私⾵險。然⽽，GDPR 的實施將 對歐盟地區⼤數據 AI 產業發展帶來顯著的負⾯衝擊，使歐盟地區 AI 產業處於 全球競爭的不利益地位。就具體的 GDPR 規定內容觀察，⾄少有以下幾項顯著 的不利影響：

⼀、GDPR 第 22 條規定，個資當事⼈應有權不受⾃動化決策之拘束(not to be subject to decision)，該決策包括對其產⽣法律效果或類似之重⼤影響，⽽係 以⾃動化處理來評估其個⼈特徵之措施。即使為締結或履⾏個資當事⼈與 資訊控制者間之契約所必要或個資當事⼈已明確同意，資訊控制者仍應確 保個資當事⼈得要求⼈為參與(human intervention)、表達意⾒(to express his or her point of view)及獲得挑戰該決策(contest the decision)之機會，以保護個 資當事⼈之權利、⾃由及正當利益¹⁰⁸。然⽽，AI 技術的優勢即在於能夠快 速、低成本與準確地處理巨量資料，被冀望能夠取代傳統⼈⼒無法有效率完 成的⼤數據運算，但此時 AI 應⽤網路業者為配合 GDPR 的規範，需要保留

⼈為介⼊審查的機制，且根據個⼈資料處理保護⼩組¹⁰⁹（Working Party）指 導網領，該⼈為介⼊必需為實質意義的介⼊，即需考量所有 AI 技術所納⼊

運算之資料，當 AI 透過⾃我學習所應⽤於運算模型越來越複雜時，要求網

108 財團法⼈⾦融聯合徵信中⼼ (2017)，歐盟個⼈資料保護規則，⾴ 9。

路業者保留回歸⼈為理解與審查⼯作將是⼀相當耗費⼈⼒與成本的法遵作 業，最終中⼩型業者在成本控制的考量下，可能選擇減少納⼊數據資料運算 的種類與數量，或者直接避免使⽤ AI 技術。況且，要求⼈為介⼊事實上反

⽽可能造成個資隱私⾵險，⼈為有意識的介⼊⼤數據分析顯然較無⼈為介

⼊的 AI 運算更易使個資資料庫遭到⼈為有⽬的性地利⽤⽽損害了個資當事

⼈權益¹¹⁰。

⼆、GDPR 第 13~15 條賦予資料當事⼈⼀個獲悉⾜以理解 AI 運算邏輯的有意義 資訊（meaningful information about the logic involved）之權利 (Right to Explanation)，然⽽ GDPR 卻沒有對何謂「有意義資訊」做清礎的定義，此 將留給執法者或司法部⾨個案解釋如何的資訊才是能夠⾜以使個資當事⼈

⾜以理解系爭 AI 運算，當加⼊ AI 運算的參數越多元，⼈腦也就越難以理 解，更遑論是要讓沒有電腦科學知識訓練的⼀般個資當事⼈亦得以理解，將 是個艱鉅的任務，故普遍認為此規定亦將犧牲 AI 技術的精密運算程度，⽽

促使 AI 應⽤業者採以易於解釋（但通常只具有較低的精確度）的運算程序，

此再⼀次地與冀望 AI 能⾃主學習與運算⼈類無法完成的⼤數據應⽤之初始

⽬的⼤相違背¹¹¹。

三、GDPR 第 17 條的資訊刪除權亦不利 AI 技術的發展，在通知與選擇機制下，

在無其它法律強制例外規定的情形，GDPR 容許個資當事⼈得撤回同意利⽤

之表⽰，要求個資控制者刪除個資。然⽽，AI 需要透過⾃我學習，⽽ AI 學

110 Daniel Castro and Alan McQuinn, AI Offers Opportunity to Increase Privacy for Users,

International Association of Privacy Professionals (2018). Retrieved from https://iapp.org/news/a/ai-offers-opportunity-to-increase-privacy-for-users/ (最後瀏覽⽇：6/1/2020).

111 Andrew D. Selbst & Julia Powles, Meaningful Information and the Right to Explanation, 7(4) Int.

Data Priv. L. 233, 236-238 (2017).

習的基礎即是「記憶」並分析所應⽤的⼤數據資料，資料的中途刪除指令將 阻礙 AI 科技的學習，降低 AI 學習成果的正確性，若有眾多個資當事⼈作 此刪除請求，甚⾄可能破壞 AI 的學習模型¹¹²，再加上 GDPR 第 17 條要求 不得無故拖延（undue delay）之規定，由於資訊控制者尚須判斷資訊流與對 AI 運算的影響程度，故此規定對網路業者⽽⾔也是⼀個耗⼒、耗時與耗成 本的法遵作業程序。

四、GDPR 第 6 條要求個資控制者對個資的利⽤必需是在個資當事⼈所同意的

⽬的範圍內，任何超出⽬的的利⽤必需取得個資當事⼈的同意，故當 AI 學 習的結果產⽣新的應⽤功能時，網路業者必須先取得個資當事⼈的同意才 得以合法利⽤，此除需耗費⼤量成本予以配合法遵外，也破壞 AI 應⽤業者 在未來技術應⽤策略的商業秘密性，同時將阻礙 AI 技術得快速應⽤於相關 領域或功能的潛在能⼒。

五、GDPR 的複雜規定使得 AI 應⽤業者幾乎均需要僱⽤隱私規範專業⼈⼒取得 協助才能確保不⽣違法之情事，如此的成本對於 AI 新創事業來說將不⾒得 能夠負擔，故將阻礙歐盟地區 AI 新創事業的起⾶，也不利於⿎勵外國 AI 業 者進⼊歐盟地區發展。

六、GDPR 對於違約者的罰款為⾄多 4%的全球營業額或 2 仟萬歐元（以較多者 為準）的⾦額，因為⼩型公司通常賺取較少的收益，故以最⼤罰款⾦額來算 的話，相對⽽⾔將對⼩型公司較為不利，多數新創事業並無法負擔 2 仟萬歐 元的罰⾦，故此規定亦提升了新創 AI 事業的營運⾵險。

112 Bernd Malle, Peter Kieseberg, Edgar Weippl, Andreas Holzinger. The Right to Be Forgotten: To- wards Machine Learning on Perturbed Knowledge Bases, International Conference on Availability,

七、GDPR 第五章羅列其對個資資訊流的強勁控制，例如要求個資控制者必須將 個資儲存於歐盟境內，不得將個資傳輸⾄歐盟以外不獲 GDPR 規範認可的 國家地區或組織，此規定減少了歐盟以外雲端服務供應商的競爭，因此提⾼

了資料儲存與處理的成本，然⽽ GDPR 並未體認其實資料存放的地理位置 不⾒得就是對個資隱私或安全有所威脅，只要資訊儲存與處理者同意依照 歐盟個資規定並受歐盟法律及法院管轄，即能管控個資處理⾵險，似乎沒有 必要強⾏要求資料儲存設備必需座落於歐盟境內或者 GDPR 認可的國家地 區。

⼋、GDPR 第 20 條規定的資料可攜性權利雖然整體⽽⾔有益於 AI ⼤數據者間 的商業競爭，但對於龐⼤資料的移轉成本，GDPR 卻未妥善的予以分配，此 將造成歐盟 AI 應⽤業者的成本負擔，使網路業者於初始階段即對投⼊⼤數 據 AI 應⽤裹⾜不前。

本⽂認為歐盟式規範下相關個資處理的透明度、證據⼒、監督管理或可解釋 性等規定所欲防範的⾵險，應該視⼤數據 AI 運算結果之應⽤的性質與重要性⽽

分別決定，並⾮只因為系 AI ⼤數據的應⽤就必然與⼈為操作有所不同。另外，

歐盟國家在網路資訊經濟崛起年代已經缺席，歐盟幾乎未擁有任何世界網路巨 擎公司，AI ⼤數據產業對歐盟業者來說原本應該是⼀個機會，但 GDPR 如此嚴 苛強制的法規範使歐盟業者難以與他國業者競爭，阻礙了歐盟 AI 產業的發展¹¹³。

歐盟 GDPR 原冀望藉由資訊法規的⼀致性規定，增加個資資訊在歐盟各國 家間之交流，歐盟同時也以全球最⼤單⼀市場的優勢對他國施加壓⼒，說服他國

113 Nick Wallace and Daniel Castro, The Impact of the EU’s New Data Protection Regulation on AI, Center for Data Innovation, 21-22 (2018). Retrieved from http://www2.datainnovation.org/2018-impact-gdpr-ai.pdf (最後瀏覽⽇：6/1/2020)

採⾏歐盟式統⼀的資訊隱私規範，若全球真能如歐盟所願趨於統⼀的資訊隱私 規範，也許將不致於不利歐盟⼤數據 AI 產業的競爭，但事實卻⾮如此，其它國 家地區尚可藉由與歐盟達成協議的⽅式，持續處理來⾃歐盟地區的資訊，例如磋 商能⼒佳的美國，即是以雙邊的隱私盾協議成功抗拒採⾏與歐盟相同的隱私規 範，加上 GDPR 嚴格的規範所帶給企業的法遵成本，將使受歐盟規範的⼤數據 AI 產業發展受挫。其它欲仿效歐盟 GDPR 式規範資訊隱私的國家應引以為戒，

畢竟，⼤數據資訊產業⽣態是個極度依賴跨國界應⽤的產業，國家的規範除了對 個資當事⼈隱私資訊保護的考量外，更應著眼於協助相關事業進⾏全球化競爭 的使命，以創造更好的產業環境，尋求國家與國民之最⼤利益。