尹鋒林 趙旖鑫

2018年3月，英國數(shù)據(jù)公司劍橋分析（Cambridge Analyti-ca）借助Facebook平臺(tái)收集用戶信息，使用算法建模，通過分析用戶偏好影響美國大選。這一事件被媒體曝光后，立刻引起了美國民眾的強(qiáng)烈抗議，要求在現(xiàn)行網(wǎng)絡(luò)環(huán)境與技術(shù)發(fā)展背景下保護(hù)個(gè)人信息的呼聲越來越高。伴隨著大數(shù)據(jù)、人工智能、云計(jì)算等技術(shù)的縱深式發(fā)展，以數(shù)據(jù)為基礎(chǔ)、以算法為動(dòng)力的“機(jī)器學(xué)習(xí)”能力不斷增強(qiáng)?；诖?，海量數(shù)據(jù)得以產(chǎn)生，愈來愈多的數(shù)據(jù)也得到了深度分析與利用。然而，如何在數(shù)據(jù)高利用率的環(huán)境下為個(gè)人信息的保護(hù)開辟出一條道路，明確人工智能環(huán)境下個(gè)人信息保護(hù)的合理邊界，需要在梳理現(xiàn)行法律之后給出答案。

人工智能與個(gè)人信息

2019年5月第三屆世界智能大會(huì)期間，天津市面向全球啟動(dòng)了“大數(shù)據(jù)應(yīng)用場景建設(shè)計(jì)劃”，并對外發(fā)布了100個(gè)大數(shù)據(jù)應(yīng)用場景，鼓勵(lì)社會(huì)各界對數(shù)據(jù)資源進(jìn)行深度分析、挖掘和開發(fā)利用，推進(jìn)各項(xiàng)人工智能應(yīng)用場景落地。由此可見，數(shù)據(jù)，是人工智能發(fā)展的基石。沒有數(shù)據(jù)，人工智能就相當(dāng)于沒有了“糧食”，高度依賴于“機(jī)器學(xué)習(xí)”的人工智能就很難“智能”起來。按照李開復(fù)博士的論述，人工智能分為四波浪潮：互聯(lián)網(wǎng)智能化（Internet AI）、商業(yè)智能化（business AI）、實(shí)體世界智能化（perception AI）、自主智能化（autonomous AI）。由此可見，人工智能的“擬人性”將會(huì)越來越高，其自主性也會(huì)不斷提升?；诖?，人工智能機(jī)器運(yùn)算和決策過程中的“黑箱”效應(yīng)也會(huì)越來越明顯，其內(nèi)部的不透明性向明確個(gè)人信息保護(hù)的邊界提出了挑戰(zhàn)，如何將個(gè)人信息從算法的“囚室”中解救出來，成為了一個(gè)亟待解決的問題。

個(gè)人信息通常是指與識(shí)別或可識(shí)別的自然人相關(guān)的所有信息，包括但不限于自然人之姓名、出生年月、證件號(hào)碼、指紋、婚姻、家庭、教育、職業(yè)、醫(yī)療、基因、健康檢查、犯罪前科、聯(lián)絡(luò)方式、財(cái)務(wù)情況、社會(huì)活動(dòng)、上網(wǎng)記錄、地理位置等信息。個(gè)人信息的概念并非是一成不變的，伴隨著科技的進(jìn)步，個(gè)人信息這一概念的內(nèi)涵也不斷豐富、發(fā)展和變化。在1876年美國人A.G.貝爾發(fā)明電話機(jī)之前，電話號(hào)碼還不可能成為一個(gè)人的個(gè)人信息;而在電子郵件系統(tǒng)發(fā)明之前，電子郵箱信息顯然也沒有必要作為個(gè)人信息給予保護(hù)。當(dāng)前，隨著信息網(wǎng)絡(luò)技術(shù)、人工智能技術(shù)的發(fā)展，與自然人安寧、安全有關(guān)的個(gè)人信息越來越豐富，比如上網(wǎng)記錄、地理位置、發(fā)布或?yàn)g覽的信息等內(nèi)容均有可能成為一個(gè)自然人的標(biāo)識(shí)性信息。這些信息一方面涉及個(gè)人的安寧、安全和尊嚴(yán)，另一方面又有可能具有重要的商業(yè)價(jià)值。在人工智能時(shí)代，人工智能技術(shù)具備卓越的信息收集與處理能力，可以將任何碎片化的信息進(jìn)行整合，從而實(shí)現(xiàn)信息從“量”到“質(zhì)”的飛躍，因此，無論是對于個(gè)人，還是對信息收集者、使用者而言，個(gè)人信息均有可能具有顯著的實(shí)用價(jià)值，如何有效保護(hù)和利用個(gè)人信息數(shù)據(jù)，成為人工智能技術(shù)健康發(fā)展和商業(yè)利用所面臨的重要課題。

個(gè)人信息的民事保護(hù)

2017年2月16日，歐盟議會(huì)投票通過一項(xiàng)決議，就制定《機(jī)器人民事法律規(guī)則》提出具體建議，并要求歐盟委員會(huì)提交關(guān)于機(jī)器人和人工智能民事責(zé)任的法律提案。在本項(xiàng)決議中，歐盟議會(huì)指出，所有關(guān)于人工智能的規(guī)則包括透明度、責(zé)任規(guī)則都是有用的、必要的，但是這些原則不應(yīng)影響機(jī)器人技術(shù)的研究、創(chuàng)新和發(fā)展過程。此外，決議還認(rèn)為，鑒于機(jī)器人和人工智能技術(shù)發(fā)展的階段，從民事責(zé)任問題入手是合適的選擇。因此，在人工智能時(shí)代明確個(gè)人信息保護(hù)的邊界，首先應(yīng)從民事保護(hù)的角度出發(fā)，探討個(gè)人信息的民法屬性。

2017年3月15日經(jīng)全國人民代表大會(huì)表決通過并于2017年10月1日生效的《民法總則》，對個(gè)人信息保護(hù)問題做出了規(guī)定。該法第一百一十一條規(guī)定了個(gè)人信息的法律地位及侵害個(gè)人信息的法律責(zé)任：自然人的個(gè)人信息受法律保護(hù);任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。

與此同時(shí)，正在編纂的民法典各分編開創(chuàng)性地將人格權(quán)編獨(dú)立成編，加強(qiáng)了個(gè)人信息的保護(hù)。2019年4月，人格權(quán)編二審稿提請全國人大常委會(huì)審議，其中專門規(guī)定了有關(guān)未成年人的個(gè)人信息保護(hù)問題，并明確了國家機(jī)關(guān)及其工作人員在保護(hù)公民個(gè)人信息方面的責(zé)任。

個(gè)人信息的行政保護(hù)

談及個(gè)人信息的保護(hù)，行政保護(hù)始終是不能缺位的法律手段。2016年11月7日由全國人大常委會(huì)審議通過并于2017年6月1日起施行的《網(wǎng)絡(luò)安全法》，明確了網(wǎng)絡(luò)運(yùn)營者對個(gè)人信息進(jìn)行保護(hù)的基本原則，即網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。其次，該法對網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息的規(guī)則進(jìn)行了明確。該法第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。再次，該法規(guī)定了網(wǎng)絡(luò)運(yùn)營者未經(jīng)許可不得向第三人泄露、提供個(gè)人信息的義務(wù)。該法第四十二條規(guī)定，網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意，不得向他人提供個(gè)人信息;但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

另外，《網(wǎng)絡(luò)安全法》還規(guī)定了個(gè)人信息被侵犯的救濟(jì)權(quán)利。個(gè)人如果發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正;網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。

個(gè)人信息的刑事保護(hù)

2015年8月29日，全國人大常委會(huì)通過了《中華人民共和國刑法修正案（九）》，加強(qiáng)了對侵犯個(gè)人信息行為的刑事打擊力度。修改后的《刑法》第二百五十三條之一規(guī)定：違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個(gè)人信息的，依照上述規(guī)定處罰。單位犯上述之罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。另外，《刑法》第二百八十六條之一還進(jìn)一步規(guī)定，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使用戶信息泄露，造成嚴(yán)重后果的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

同時(shí)，為了更準(zhǔn)確地適用法律，最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號(hào)）進(jìn)一步明確，刑法所稱“公民個(gè)人信息”是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等，并對侵犯公民個(gè)人信息犯罪的構(gòu)成要件進(jìn)行了具體規(guī)定。

個(gè)人信息保護(hù)的行業(yè)規(guī)范

個(gè)人信息保護(hù)更需要相關(guān)產(chǎn)業(yè)和行業(yè)高度重視，不斷加強(qiáng)標(biāo)準(zhǔn)化建設(shè)，建立適應(yīng)新情況、新形勢的個(gè)人信息保護(hù)行業(yè)規(guī)范。2012年，由工業(yè)和信息化部主管，中國軟件評測中心牽頭，聯(lián)合多家單位制定了《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（標(biāo)準(zhǔn)號(hào)GB/Z 28828-2012）。該標(biāo)準(zhǔn)明確要求，處理個(gè)人信息應(yīng)有特定、明確和合理的目的，并在個(gè)人信息主體知情的情況下獲得個(gè)人信息主體的同意，在達(dá)成個(gè)人信息使用目的之后刪除個(gè)人信息。同時(shí)，該標(biāo)準(zhǔn)還將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息，并提出默許同意和明示同意的概念。對于個(gè)人一般信息的處理可以建立在默許同意的基礎(chǔ)上，只要個(gè)人信息主體沒有明確表示反對，便可收集和利用。對于個(gè)人敏感信息，則需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須首先獲得個(gè)人信息主體明確的授權(quán)。另外，標(biāo)準(zhǔn)還提出了處理個(gè)人信息時(shí)應(yīng)當(dāng)遵循的八項(xiàng)基本原則，即目的明確、最少夠用、公開告知、個(gè)人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確原則。

2017年，國家標(biāo)準(zhǔn)化管理委員會(huì)又先后頒布了兩部個(gè)人信息安全推薦性標(biāo)準(zhǔn)，分別是《信息安全技術(shù)——個(gè)人信息安全規(guī)范》（GB/T 35273-2017）和《信息安全技術(shù)——移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求》（GB/T34978-2017）。以《信息安全技術(shù)——個(gè)人信息安全規(guī)范》為例，該標(biāo)準(zhǔn)分別從個(gè)人信息安全基本原則、個(gè)人信息收集、個(gè)人信息保存、個(gè)人信息使用，個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開披露以及個(gè)人信息安全事件處置等多個(gè)方面，對個(gè)人信息保護(hù)與利用問題做出了明確的規(guī)范性指引，對于市場主體正確地保護(hù)和利用個(gè)人信息具有重要的參考作用。

小結(jié)

誠然，應(yīng)對人工智能技術(shù)帶來的機(jī)遇與挑戰(zhàn)，僅僅依靠現(xiàn)有法律制度是遠(yuǎn)遠(yuǎn)不夠的。2017年發(fā)布的《新一代人工智能發(fā)展規(guī)劃》提出，要制定促進(jìn)人工智能發(fā)展的法律法規(guī)和倫理規(guī)范。由此，立法層面應(yīng)加快腳步，既要為數(shù)據(jù)特別是個(gè)人信息數(shù)據(jù)和國家安全數(shù)據(jù)提供適當(dāng)和必要的保護(hù)，同時(shí)，還應(yīng)重視數(shù)據(jù)的利用和共享，以便更好地發(fā)展經(jīng)濟(jì)和服務(wù)社會(huì)。