技经观察 | 新兴技术和数据主导的新时代:增强对数字经济的信心篇
美国大西洋理事会设立“新兴技术与数据的地缘政治影响委员会”(GeoTech Commission),并发布《新兴技术与数据的地缘政治影响》报告,以应对数字技术发展所带来的挑战,确保数字经济、实体经济以及相关基础设施的可持续发展。本文为该报告的第三章,主要围绕如何增强公众对数字经济的信心展开讨论,共提出5项主要发现及8项策略建议。
近年来,个人隐私未能得到有效保护、重要信息屡遭泄露、应用程序内嵌恶意软件、错误和虚假信息大肆传播、问责机制以及治理模式缺失等,都削弱了公众对数字经济的信心,从而抑制了数字经济的增长,对社会、政府以及市场带来了不利影响。公众对数字经济的信心是一个开放社会正常运行的基础,也是保持韧性以应对地区/国家经济、社会或健康不稳定的基础。
图 2021年3月16日,波兰华沙内政部(MSWiA)中央临床医院,医生们正在使用达芬奇机器人进行手术
一、主要发现
增强人们对人工智能和其他数字技术的信心必须满足公众对隐私、安全、透明度和问责的需求。这或许将面临以下两点主要挑战:
个人隐私保护观取决于其文化背景,地域不同会造成差异;
随着自动决策算法的增加,新的应用程序不断涌现,凸显了隐性偏见、个人数据滥用和身份保护缺失等问题。
因此,提高公众信任需要普及数字经济中的信任基本价值,确保数字系统能够符合公众对可信任系统的认知,同时必须以国家和国际标准作为判断依据。以下几点经验可作为参考:
1. 欧盟的《通用数据保护条例》使用数据保护规则作为推动因素
欧盟委员会指出,《通用数据保护条例》(GDPR)加强了信任关系。GDPR制定了适用于各组织的数据安全与隐私法规,涵盖数据收集、处理、存储和管理的全数据流程。此外,GDPR设置了数据管理人员问责制原则,设有数据安全技术保障措施,并对数据保护进行了组织设计。GDPR的治理机制以数据保护机构为中心,要求欧盟各国的数据安全和数据隐私规则同GDPR保持一致,且数据保护机构有权对任何违反GDPR规则的行为进行罚款。
2. 目前机器学习和大数据分析的方法有可能削弱数据保护规则
目前机器学习在大规模和多源信息集中的应用突出了GDPR的潜在缺陷。此外,越来越多的个人医学及遗传信息被储存在数据库中。因此,为保证新数据科学技术的发展符合GDPR,迫切需要对各国新的隐私保护技术进行研究和评估。
3. 美国数据隐私保护法是结果导向的方法,而不是规范性方法
到2019年,美国已有150多个州提出了自己的数据隐私法。但至今都没有形成一个统一的联邦数据隐私法。
美国第116届国会中提出数项隐私保护法案,并揭露了网络巨头如何贩卖用户个人信息。2021年1月,美国第117届国会中进一步提出联邦数据隐私法应包括以下关键规则,这些规则被认为是结果导向的。
确保隐私和数据使用政策沟通透明化
除少数情况外,提议的法令会优先参考大多数州的法律
联邦或各州有强制处理受指控的侵权行为的权利
对每个提供数据服务的实体的隐私政策的有效性和适当性进行独立审查
第116届国会提出的法案为美国的数据隐私保护奠定了坚实的基础,同时促进了实施的灵活性和创新性;欧盟的GDPR在全球范围内具有更大的示范作用,创造了数据隐私的统一监管模式。在选择采用结果导向的方法或规范性方法时,需权衡两种方法的成本、收益、利弊,探讨两种方法中可协同的部分。
4. 新的信息技术推动了自动化合规性测试
新的信息技术和先进的数据处理能力给当前的合规性判断方法带来了挑战。收集、处理和分析数据的各种新方法不断涌现,而合规与否通常由监管和法律专家逐个确定。为提高处理速度和规范性,采用自动化测试手段来判断是否符合数据隐私法规很有必要。下表描述了实现自动化合规性测试的一些挑战和解决方案。
表 实现自动化合规性测试的挑战和解决方案
隐私保护技术的价值涉及到数据隐私和数据效用之间的平衡。而技术方法、技术定义以及隐私法的规范都是影响要素。更重要的是,目前难以界定隐私的定义和标准,难以衡量从可用数据中获得的社会利益。
5. 企业和政府必须负责任地使用技术才能建立起公众对数字能力的信心
随着科学技术同社会更多交织在一起,企业和政府更应将道德放在重中之重。企业和政府需切实履行责任,确保技术对社会产生积极影响:(1)建立道德框架和政策以指导产品开发和部署;(2)强调公平性;(3)围绕技术应用的方式对技术的使用进行严格审查。
二、策略建议
数字经济的发展离不开公众的信任与支持,必须将开发可信的技术纳入数字经济基础设施建设之中。同时,平衡数据隐私与效用是必不可少的基础。为确保企业能够始终遵守数据保护法规,自动化合规性测试十分必要。进一步,成立专业组织对合规测试和算法透明度进行独立评估,能够更好地增强参与者之间的信任。因此,建议美国为数字经济制定国际标准,规划最佳实践路径,简化独立评估过程并倡议各国共同遵守。
1. 制定美国的数据隐私标准
国会应制定一个可实现全球互操作性的国家数据隐私标准,对新兴的隐私标准和问题进行分析,具体应包含以下原则:
1)适当性原则:明确数据的使用原则,包括数据收集的预期目的、可收集信息的范围、安全性等;
2)非歧视原则:所有群体的数据信息和隐私都应受到保护;
3)知情参与原则:数据隐私政策必须公开透明,并在获得当事人明确同意后,才可以收集数据;
4)公开报告原则:数据收集实体必须公开报告收集的数据、保留的数据、销毁的数据,以及数据来源群体等信息;
5)独立审查原则:专业审查团队需每年对数据收集实体进行审查;
6)执法原则:联邦和各州执法机构有权追究违反数据隐私保护法律的行为;
7)国家标准优先原则: 如果州数据隐私法规同国家标准冲突,则以国家标准为准;
8)消费者保护法优先原则:除数据隐私领域外,数据隐私标准不会干预消费者保护法适用的范围。
2. 为数字经济开发隐私保护技术,通过全面测试使其符合《通用数据保护条例》
政府应指导美国国家标准与技术研究院(NIST)开发并测试隐私保护技术,以建立公众对数字技术的信心。测试内容包括评估其是否符合相关GDPR规则,是否符合美国现行的数据隐私法律,以及是否符合信息技术和数据能力的创新性和进步的稳健性。
此外,政府应同NIST、卫生与公共服务部(HHS)、美国国立卫生研究院(NIH)以及美国国家科学基金会(NSF)共同制定一项展示隐私保护技术的计划,以更好地收集和共享数据。
3. 创建评估数字经济可信度的衡量方法和标准
政府应指示NIST建立一个用于评估用户对数字经济信任度的方法,评估指标包括:(1)用户对数字环境的信任;(2)用户体验;(3)用户态度;(4)用户行为。此外,为了增强公众对数字经济的信任,政府还应该成立一个领导制定国际标准的联盟,与伙伴国家一同以统一的国际标准来评估不同国家对数字经济的信任度。
4. 授权专业组织审查数字经济可信度
国会应建立或授权专业组织对数字经济的信任度进行审查,以确保提高数字经济信任度的措施的有效性。该审查组织应向国会提供立法建议,来强化现有措施、开发新方法,并制定信任度评估标准。此外,该组织还应该建立一种可供公众和行业组织提出建议反馈的机制。
5. 评估与数字基础设施可信度相关的标准
信息系统的可信度被定义为“该信息系统在面对大规模威胁时能够保护其所处理、储存及传输的数据的机密性、完整性、以及实用性的程度。”国会应指导美国国家科学、工程和医学研究院评估数字基础设施可信度的相关国家和国际标准,衡量现有标准是否充分全面,是否能有效提高可信度,并明确是否需要建立新的标准,改进数据收集和测试方法等。
6. 增强对公众的数字信息教育
国会应拨款开发一套在数字时代的信息可信度课程。该课程应由大学或大学联盟牵头并管理,旨在向公众普及如何评估信息的可信度和真实性,并开发工具,使学生和公众可以定期使用,从中受益。
7. 开展人工智能示范项目,推动地方、州和联邦各级公共和私营部门的服务升级
建议在地方和各州拨款、联邦政府跨部门协作以及公私合作伙伴的支持下,由国家实验室或新成立的联邦资助的研发中心(FFRDC)管理开展人工智能示范项目,提高公众对人工智能的信任和理解,改善人工智能服务的可及性、可负担性和可用性,从而改善医疗保健、食品生产和分配、劳动力培训等公共服务。
8. 制定人工智能道德、社会、信任和治理问题评估框架
在相关行政部门和机构的参与下,在与私营企业、学术界、公众以及外国合作伙伴协商的基础上,政府应要求美国国家科学院制定一个评估框架,用于评估与人工智能相关的道德、社会、信任和治理问题。