2019年5月13日，美国数据创新中心发布“欧盟需改革《通用数据保护条例(GDPR)》以在算法经济时代保持竞争力”报告。自 20 世纪 90年代中期以来，数字经济经历了三个阶段：由“互联网经济”转变为“数据驱动型经济”，而后者又转变为“算法经济”。在算法经济时代，人工智能(AI)预示着显著的社会经济效益，企业使用AI的能力对其成功至关重要。数据是AI的核心。因此，不良规则会削弱这些效益，特别是那些与数据处理相关的规则。报告指出，虽然GDPR建立了一个必要的欧盟范围内的隐私框架，但是GDPR会抑制欧洲AI的开发和使用，从而使欧盟企业在其北美和亚洲竞争对手中处于竞争劣势。为改革GDPR并改善欧洲AI监管环境，该报告还针对政策制定者提供了诸多建议。

1 GDPR损害欧盟AI

收集、共享和使用欧盟数据的一个主要障碍是GDPR(欧洲隐私法，于2018年5月25日生效)。GDPR为个人如何访问、纠正、转移和删除第三方持有的个人数据制定了具体规则。所有在欧盟开展业务的组织机构都必须遵守GDPR。鉴于AI严重依赖数据，GDPR数据规则对AI开发和使用产生非常大的影响，特别是涉及机器学习的应用。

(1)GDPR限制数据收集和使用

GDPR第5条要求个人数据应为特定的、明确的、合法的目的收集，并且应充分、相关以及以该个人数据处理目的之必要为限度进行处理。因此，“目的限制和数据最小化”限制了机构在其了解数据潜在价值之前收集新数据、并将现有数据重新用于新颖目的，从而极大地限制了机构利用数据进行创新。

(2)GDPR限制自动决策

GDPR第22条规定了数据主体有权利不受一个仅依靠包括分析过程在内的自动化处理的决定的限制，这会产生关于他/她或仅影响他/她的法律后果。GDPR第13-15条要求机构在自动决策过程中向个人提供有关所涉逻辑的有意义信息。这意味着企业必须能解释AI系统如何做出对个人有重大影响的决策。

(3)GDPR增加合规成本和风险

GDPR让使用AI的机构承担大量的合规成本和风险。首先，机构必须遵守GDPR中的一些条款，而这些条款规定了直接成本，例如获得数据主体处理其数据的肯定性同意，以及雇用数据保护官员等。其次，由于法律规定含糊不清、数据保护机构对这些条款的解释不确定性以及监管机构对违规行为的严厉罚款，机构面临严重的合规风险。

2 建议

(1)扩展公共利益中的数据处理

欧盟应修改GDPR以便为负责促进欧洲数据创新的独立咨询机构授权的公共利益进行数据处理。这将产生欧盟范围内的豁免，以鼓励在医疗保健、教育和环境等领域使用AI。

(2)允许重新利用造成最小风险的数据

欧盟应修改GDPR以允许机构重新利用已收集的数据，只要这样做仅只会对个人造成最小的伤害风险，并且不会将数据从一个控制者转移到另一个。

(3)不要惩罚自动决策

欧盟应取消GDPR对算法决策人工审查的广泛权利。欧盟还应该修改GDPR以便对透明度、监督或解释的任何要求保持技术中立，并让这些要求基于现有决策的性质和严肃性，而非特定决策是由人还是由算法做出。

(4)允许对决定做出基本解释

欧盟应修改GDPR以便使用算法的机构只需披露有关其系统如何工作以及所涉数据的基本信息，而不需要提供决策逻辑详细信息或专有信息。

(5)使罚款与伤害成比例

欧盟应修改GDPR以对违反GDPR规则的行为进行罚款，金额与对数据主体的伤害程度和公司违规行为的过失程度成正比。