通用数据保护法案

1、法案目的

该法案的目的是保护欧盟公民的数据，即使这些数据由欧盟以外的公司收集。当有公司触犯此项法案后，将会面临巨额罚款（2000万欧元，或者全球收入的4%）。

2、法案部分内容

该法案所涉及的新数据保护改革包括两方面：一是一般数据保护监管，使居民更好的控制个人数据，同时，通过增强消费者信任使商务充分利用单一数字市场；二是数据保护指令，确保受害者、证人和犯罪嫌疑人相关数据受到保护，使欧盟成员国执法机构通过信息共享协助警察或检察官跨境合作打击犯罪和*。同时，数据保护改革将刺激经济增长，有助于中小企业进入新市场。新的数据监管方案（GDPR）将取代1995年互联网发展初期阶段构想的规则，将大力加强对最终用户的保护，比如，居民在手机、社交媒体、银行网络和全球转账支付方面的隐私问题。

除了数据保护的内容之外，GDPR还对“自动化个人决策”做出了限制。对于大型科技公司来说，这可能成为一个潜在问题，因为“自动化个人决策”正是神经网络的强项。

法案禁止任何对欧盟公民有重大影响的自动化决策，包括评价个人“工作表现、经济状况、健康、个人爱好、兴趣、行为、位置或运动”的技术。同时，欧盟公民还有“解释权”，就是说，他们有权了解一项特定服务是如何做出特定决策的。

3、关键条款

1）违反数据保护条例处罚最高可达公司全球营业额的4%——对于谷歌这样的科技巨头而言，一旦处罚将会是几十亿美元。

2）数据泄露的责任扩大到数据控制方使用的任意数据处理方——因此也适用于涉及处理数据从而提供给某个服务的任意第三方，这一点在云业务模式中有着大量应用。

3）将所谓的“被遗忘权”写进法律，因此一旦某人不希望自己的数据由某公司进行处理，并且“只要没有保留该数据的合法理由”，该数据就必须删除。对数字营销有着重大影响。

4）掌握大量数据的企业不得不设立数据保护官员。

5）一旦发生严重数据泄露，要求公司及机构必须在72小时以内向监管机构报告数据违法行为。

6）在父母同意下才能允许儿童使用社交媒体，各个成员国可对13至16岁的特定年龄段自行规定。

7）设立数据保护投诉的一站式监管机构，旨在简化企业的遵守流程。

8）保证个人的数据便携性权利，消费者有权将个人数据从一家公司传输到另一家公司。

4、潜在影响

这些限制可能影响到大型科技公司的服务。例如，Facebook已经把机器学习用于精准的广告投放。更为关键的问题在于，机器学习很难适用“解释权”，因为神经网络的内部是极其复杂的。神经网络依赖于庞大的数据，而且，它的算法复杂，难以理解。

有专家认为法案中的这些内容明显针对大型的跨国公司，但是，它同样会影响到互联网的各方面。由于机器学习已经成为科技公司的发展方向，逐步渗透到互联网的各方面，因此，欧盟的新法案给出了一道难题。

对此，参与法案起草的一位专家ViktorMayer-Schonberger说，“自动化决策”并非一个明确的概念。欧盟可能最终界定，神经网络不属于“自动化决策”，而是“统计分析”。但即使如此，科技公司仍然需要与“解释权”对抗，这是因为，神经网络就像是“黑盒子”，使用该技术的公司很难给出合理的解释，满足欧盟法案的要求。