2019年1月22日,法国国家信息技术和自由委员会(CNIL)以谷歌违反欧盟《一般数据保护条例》中的个人数据保护义务为由,对其开出5000万欧元的“史上最严厉罚单”。谷歌被罚事件提醒我们,人工智能技术的不断发展亦给个人数据保护带来了挑战。我国学界亦对个人数据保护问题持续关注,2019年5月11日,全国人大监察和司法委副主任委员、中国法学会副会长张苏军在第八届中国公司法务年会上表示:“随着5G时代的来临,未来网络生态架构将会是人、机、物共融和万物互联的时代,大数据的安全保护和合法利用的需求将更加迫切。”
困境:技术发展对个人数据保护的冲击
数据是人工智能的基础,算法是人工智能的本质。人工智能发展离不开海量的个人数据的“喂养”,必须不断地收集数据并加以算法处理,方可维持智能化的运作。不断增强的数据采集能力,日益提高的信息传输速度,超强的计算能力、数据存储能力正引领人工智能的高速发展,使人类社会从信息化迈入智能化时代,亦将个人数据的保护推向前所未有的窘境。
第一,个人数据获取途径更加隐匿。随着技术的不断精进,设有传感器和处理器的人工智能产品被广泛应用于交通工具、家居、医疗保健、公共安全等诸多领域。智能的表象隐藏着数据收集的过程,大规模的人工智能应用正悄无声息地收集千百万用户的种族、手机号码、位置信息、家庭住址等数据。个人数据始终处于人工智能的“视野”下,原本隐秘的空间也因人工智能的存在受到冲击。人工智能的发展已打破人们原本生活的私密状态。未来,人工智能产品必然随着技术的进步遍及千家万户,人工智能赖以发展的基础——数据,将以更加隐匿的方式被悉数收集。可怕的不仅是个人数据被收集,更是数据收集的隐匿性,使人们几乎意识不到其数据裸露在人工智能面前。
第二,分析能力愈加强大。数据收集的隐匿性已然使人们的个人数据处于岌岌可危的地步,愈加强大的数据识别分析能力更将个人数据推向深渊。愈加强大的人工智能技术早已具备分析并预测自然人的工作表现、经济状况、健康、兴趣喜好、可信度等方面的能力,亦能冲破匿名化的规制将数据关联到自然人。更为恐怖的是,人工智能技术能够精准地分析出某个自然人的人脉关系和经济水平等状况。研究表明,算法已经能够轻易了解一个人,此种了解程度不仅可达到高于同事、朋友、家人的了解程度,甚至可能比自己更加了解自己。某种程度上说,人工智能技术的发展已经有能力使现有数据保护制度沦为“皇帝的新衣”。
第三,个人数据被滥用的结果更加严重。在万物相连的人工智能时代,人们真正独处的时间少之又少,个人数据被非法收集和泄露的风险越来越高,由此造成的结果必将更加严重。美国曾发生依托人工智能系统,利用选民性格弱点推送假信息,制造“信息茧房”,传播政治理念,针对性地向选民推送影响政治立场的信息来干预大选的事件。这是个人数据被大量滥用的重大事件,亦是对公民基本权利的干涉。另外,个人数据被非法收集处理后向用户精细化推送广告屡见不鲜,用户对各种骚扰电话和短信亦不胜其烦。更为可怕的是,一旦涉及种族、宗教信仰、性生活和性取向等方面的个人敏感数据被泄露,更会给数据主体带来不可预估的风险。
未来,随着物联网、云计算、大数据、移动互联网等技术的不断革新升级,智能化、精细化的人工智能的应用必然更加广泛。更加隐匿的个人数据获取途径、愈加强大的识别分析能力和更为严重的泄露后果使得个人数据的保护面临更加严峻的挑战。因此,加强人工智能时代个人数据保护力度成为当前面对的重大课题。
出路:法律规制与伦理指引
第一,重塑同意机制。首先,同意原则应当贯穿数据处理的各个环节,每个阶段都需要得到数据主体明示的同意。其次,应当简化同意的形式,通知应当使用简单清楚的语言。再次,已作出的同意可以随时撤回。最后,处理特殊类型的数据时,应当施以更加严格的同意条件。
第二,拓展数据主体权利。其一,被遗忘权。从法律上赋予数据主体要求彻底删除网页浏览记录、消费记录、运动轨迹等数据的权利,可防止此类数据被超出原本收集目的的二次处理利用,通过隔断数据传播,保护数据主体权利。其二,数据便携权。应赋予数据主体要求数据控制者提供完整的、结构化的个人有关数据,并可以将此类数据转移给其他数据控制者的权利。以此促进各个数据控制者良性竞争,提高行业标准和数据保护水平。其三,反自动化决策权。为了赋予数据主体对个人数据更大的掌控力和自决权,减小自动化决策可能带来的伤害,应当确立反自动化决策权。
第三,加强个人敏感数据的保护力度。人工智能时代应尤为注重个人敏感数据保护。应在法律层面将个人医疗及健康数据、基因等生物特征数据、性偏好、通信内容、财产信息等界定为个人敏感数据。另外设置严格条件,仅在涉及国家、社会及公共利益时,方可允许对此类数据进行处理。
第四,加重数据控制者责任。如今数据控制者多为互联网企业,在营利目的的驱使下,大多企业为抢占行业先机极易忽视个人数据保护的问题。未来立法不仅可以在个人数据纠纷诉讼中采用举证责任倒置方式倒逼数据控制者加强数据保护力度,亦可参考GDPR的处罚标准,通过对违法违规行为惩罚,警示数据控制者守法自律。
第五,制定伦理准则,提供正确指引。在伦理层面高度关注人工智能系统和产品在开发、使用过程中的个人数据保护,并提出尊重人权、非歧视、公平、透明、安全稳定等伦理层面的要求,为人工智能的发展指引正确的方向,以期更好地保护个人数据。
人工智能是当今时代最具变革性的力量之一,将注定改变社会结构,必须努力把握其促进繁荣和增长的巨大机会。然而也应当高度关注技术发展衍生出的问题,借鉴域外较为先进的保护措施,构建我国人工智能时代下数据保护的法律制度和伦理规范。加强对个人数据的保护并非为了限制人工智能的发展,而是希望通过确立个人数据处理中的自然人保护和个人数据自由流通的规范,使人工智能在尊重人权、保护隐私的轨道上高速平稳地驶向未来。
(本文系2019年重庆市研究生科研创新项目“个人敏感信息保护制度研究”(CYB19138)阶段性成果)
(作者单位:西南政法大学民商法学院)
