徐偉康

(清華大學(xué) 法學(xué)院，北京 100084)

2017年7月，國務(wù)院發(fā)布《新一代人工智能發(fā)展規(guī)劃》，將人工智能產(chǎn)業(yè)發(fā)展納入國家戰(zhàn)略。2019年8月國務(wù)院辦公廳印發(fā)《體育強(qiáng)國建設(shè)綱要》，明確指出要推動全民健身智慧化發(fā)展，鼓勵社會力量建設(shè)智慧健身中心、智慧健身館。在政策和需求的雙重推動下，應(yīng)用人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等新興技術(shù)的智能健身模式應(yīng)運(yùn)而生，我國健身行業(yè)迎來大發(fā)展，截至2018年8月，智能健身房在國內(nèi)出現(xiàn)了近110家，根據(jù)艾瑞咨詢機(jī)構(gòu)發(fā)布的相關(guān)報告分析，預(yù)計(jì)未來5年，智能健身房的年復(fù)合增長率將維持在12%左右[1]。智能健身為人們帶來便利的同時，也造成了大量高度敏感的個人數(shù)據(jù)，尤其是個人健康信息、個人行蹤軌跡數(shù)據(jù)主動或被動地暴露在智能健身程序中。過度收集、不當(dāng)存儲、未經(jīng)授權(quán)的披露和其他嚴(yán)重侵害個人數(shù)據(jù)的行為頻發(fā)。本文結(jié)合近些年來我國智能健身的發(fā)展情況，總結(jié)現(xiàn)行的個人數(shù)據(jù)保護(hù)模式和司法實(shí)踐遇到的諸多問題，旨在構(gòu)建智能健身個人數(shù)據(jù)保護(hù)路徑，使人們在享受智能健身“善假于物”的便利的同時，也能維護(hù)個人數(shù)據(jù)的安全。

1 智能健身的興起及其對個人數(shù)據(jù)的侵犯

1.1 智能健身的概述

目前學(xué)界對智能健身缺乏統(tǒng)一的定義。瞿迪認(rèn)為人工智能化體育用品能夠在保留基本功能的前提下，主動對用戶身份進(jìn)行識別，對用戶使用習(xí)慣進(jìn)行分析和學(xué)習(xí)，結(jié)合體育科學(xué)的知識對用戶期望進(jìn)行優(yōu)化。人工智能運(yùn)動產(chǎn)品，可以產(chǎn)生個性化指導(dǎo)方案，進(jìn)行科學(xué)的反饋[2]。產(chǎn)業(yè)屆曾提出智能健身的核心標(biāo)準(zhǔn)是“三合一”，即App程序、SaaS系統(tǒng)、物聯(lián)網(wǎng)硬件，也就是前端、后臺、硬件或互聯(lián)網(wǎng)+物聯(lián)網(wǎng)。前端供用戶購買，預(yù)留服務(wù)和查看數(shù)據(jù)，通過物聯(lián)網(wǎng)硬件實(shí)現(xiàn)基本功能，收集數(shù)據(jù)、傳輸數(shù)據(jù)，SaaS系統(tǒng)執(zhí)行更復(fù)雜的數(shù)據(jù)管理，將消費(fèi)者和運(yùn)營商連接起來[3]。智能健身中的“智能”主要體現(xiàn)在兩方面。一是場地的無人管理，通過人臉識別和手環(huán)刷卡等技術(shù)區(qū)分用戶。用戶通過App預(yù)約場地、課程，可以自主進(jìn)入場館，啟動設(shè)備，如智能儲物柜、智能燈等。二是設(shè)備的智能化，通過智能檢測設(shè)備、運(yùn)動可穿戴設(shè)備等掌握用戶在特定運(yùn)動場景下生成的數(shù)據(jù)，并通過算法與機(jī)器學(xué)習(xí)幫助用戶量身制定課程，提供針對性訓(xùn)練。本文結(jié)合學(xué)界和產(chǎn)業(yè)界的概述以及智能健身的特點(diǎn)，認(rèn)為智能健身是指科技健身，依靠人工智能和物聯(lián)網(wǎng)進(jìn)行場館管理，利用大數(shù)據(jù)分析進(jìn)行實(shí)時監(jiān)測和反饋，具體包括場館的智能化設(shè)計(jì)、健身前的智能化檢測、健身過程中的智能化監(jiān)測、健身后的智能化反饋四方面。

1.2 智能健身對個人數(shù)據(jù)的侵犯

個人數(shù)據(jù)是指可以直接或間接識別到自然人有關(guān)情況的任何數(shù)據(jù)，包括個人的身份信息、身體信息、心理信息、地點(diǎn)信息、行為信息、社交信息等等。個人數(shù)據(jù)的保護(hù)理論主要源于人格權(quán)學(xué)說，認(rèn)為個人數(shù)據(jù)保護(hù)涉及隱私權(quán)等基本人權(quán)和自由，關(guān)乎人性的尊嚴(yán)與人格的自由發(fā)展。倘若自然人不能基于自主意思決定個人數(shù)據(jù)能否被他人收集、儲存并利用，無權(quán)禁止他人在違背自己意愿的情形下獲得并利用個人數(shù)據(jù)，則個人之人格自由發(fā)展與人格尊嚴(yán)就無從談起，因此需要保障數(shù)據(jù)主體對個人數(shù)據(jù)在被他人收集、存儲、轉(zhuǎn)讓和使用過程中的自主決定的利益[4]。

無人化、一站式服務(wù)大大提高了健身房效率，但是也面臨個人數(shù)據(jù)泄漏的風(fēng)險。以24h智能健身房為例，配備自助接入系統(tǒng)(包括人臉識別)，讓用戶完成從“刷臉入場—自助存儲—自主訓(xùn)練—數(shù)據(jù)記錄—離開場館”一系列的自助服務(wù)。用戶從一進(jìn)入場館的人臉識別開始，個人數(shù)據(jù)就暴露在智能健身的系統(tǒng)下。每個人的身體狀況不同，健身需求不同，健身方案亦不同。智能健身的第一步就是根據(jù)每個人的身體測評結(jié)果給出精確、科學(xué)的反饋。目前，幾乎所有的健身房都采用了智能檢測系統(tǒng)。軟件系統(tǒng)如Kweenew系統(tǒng)，用戶可在手機(jī)端登錄系統(tǒng)，體驗(yàn)全面的身體測評，進(jìn)行云端數(shù)據(jù)匹配，自動生成最佳訓(xùn)練方案。硬件系統(tǒng)如早期的Vento健身房，用戶通過智能終端機(jī)進(jìn)行身體掃描，讀取用戶身體的各項(xiàng)指標(biāo)和肢節(jié)長度以及肌群柔韌度、靈敏度和彈跳力等數(shù)據(jù)，從而建立基礎(chǔ)數(shù)據(jù)檔案，教練據(jù)此并結(jié)合用戶的訓(xùn)練需求提供指導(dǎo)服務(wù)。

智能健身過程離不開對運(yùn)動狀態(tài)的監(jiān)測和反饋。很多智能健身房引入心率監(jiān)測設(shè)備，甚至采用實(shí)時心率投射大屏幕來顯示，同時計(jì)算卡路里等。根據(jù)Green Orange Technology提供的數(shù)據(jù)，從2017年5月到2018年5月底，使用心率系統(tǒng)的健身房的平均月增長率為20%，平均每個健身房每周使用40次，每次使用45分鐘[5]。健身房還會通過監(jiān)測乳酸閾值和肌肉中氧氣供應(yīng)和氧氣消耗的動態(tài)平衡了解運(yùn)動強(qiáng)度和有效運(yùn)動時間[6]。健身結(jié)束后，所有運(yùn)動數(shù)據(jù)自動上傳到智能終端機(jī)，手環(huán)或者其他可穿戴設(shè)備與之配對，對用戶的出勤、統(tǒng)計(jì)、練習(xí)、進(jìn)程等數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析并給出反饋。

智能健身最大的亮點(diǎn)是增強(qiáng)健身的技術(shù)性和數(shù)據(jù)性，將以前可有可無的數(shù)據(jù)實(shí)用化。用戶的健身數(shù)據(jù)諸如心率、步數(shù)、動作、時長、燃脂效果都將被記錄在智能設(shè)備中，形成個人健身數(shù)據(jù)庫，使數(shù)據(jù)呈現(xiàn)更直觀，幫助用戶更好地實(shí)施健身計(jì)劃。智能健身過程收集的用戶數(shù)據(jù)往往高度敏感，包括個人身份數(shù)據(jù)、個人生物識別數(shù)據(jù)、個人健康生理數(shù)據(jù)、個人位置數(shù)據(jù)。智能健身依托AI技術(shù)形成精準(zhǔn)的用戶畫像，利用這些數(shù)據(jù)支持促銷決策，開展私教服務(wù)、營養(yǎng)品推薦等，甚至可能向黑灰產(chǎn)業(yè)鏈盜賣個人數(shù)據(jù)來謀利。

2 智能健身模式下個人數(shù)據(jù)保護(hù)的困境

2.1 “可識別性”個人數(shù)據(jù)界定方式的不足

從可識別性的角度看，個人數(shù)據(jù)是指已識別或可識別到個人(或稱為數(shù)據(jù)主體)的任何數(shù)據(jù)。傳統(tǒng)的通過可識別性界定、保護(hù)個人數(shù)據(jù)的方式在智能健身領(lǐng)域面臨新挑戰(zhàn)。一方面，可識別個人數(shù)據(jù)的范圍不斷擴(kuò)大，從進(jìn)入健身房或使用健身App開始，個人健身活動軌跡數(shù)據(jù)幾乎都會被采集記錄下來，零散的個人數(shù)據(jù)記錄看似不重要，但通過整體的數(shù)據(jù)挖掘能夠識別到個人，比如單純的健身房跑步機(jī)的跑步記錄不能識別到個人，但是與健身房的智能門禁、運(yùn)動軌跡、心率、能量消耗數(shù)據(jù)聯(lián)系起來就可以識別到個人。此外，個人數(shù)據(jù)不當(dāng)收集或使用造成的損害是可累積的。數(shù)據(jù)控制者打包處理的一類個人數(shù)據(jù)雖然不以識別特定人為目的，但是類別化處理后也會對個人數(shù)據(jù)主體權(quán)利造成侵害，如很多健身房根據(jù)用戶訓(xùn)練數(shù)據(jù)和日常運(yùn)動數(shù)據(jù)實(shí)時上傳云端存儲，經(jīng)過分析加工后用來幫助其開展精準(zhǔn)的營銷推廣。

2.2 “知情—同意”原則適用的無力

無論是《民法典》還是《網(wǎng)絡(luò)安全法》等法律均強(qiáng)調(diào)，個人數(shù)據(jù)的處理必須經(jīng)過數(shù)據(jù)主體的同意，“告知和同意”一直是各國個人數(shù)據(jù)保護(hù)法最重要的機(jī)制和原則。其以“理性人”理念為理論預(yù)設(shè)，該理論認(rèn)為數(shù)據(jù)主體作為獨(dú)立的理性個體，在知情的前提下，能夠就是否同意他人收集、使用和轉(zhuǎn)移個人數(shù)據(jù)做出最大化自己利益的決策[7]。由此認(rèn)為只要數(shù)據(jù)主體是在知情的前提下收集和使用授權(quán)的數(shù)據(jù)，就假定數(shù)據(jù)控制者遵守了“知情—同意”原則。目前，數(shù)據(jù)控制者通常采用公共隱私政策和許可選項(xiàng)的標(biāo)準(zhǔn)化模型，以符合“知情—同意”原則[8]。根據(jù)南都個人數(shù)據(jù)保護(hù)中心發(fā)布的《1000家常用網(wǎng)站及App隱私政策透明度測評》，智能健身類App普遍存在隱私政策不明顯問題，一般來說隱私政策通常在用戶注冊頁面可見，但是App采用各種方式規(guī)避，導(dǎo)致隱私條款經(jīng)常被人忽視，此外默認(rèn)勾選成為大多數(shù)智能健身類App的普遍現(xiàn)象。大多數(shù)數(shù)據(jù)主體對于專業(yè)冗長的隱私條款，并不具備深入閱讀與理解的能力，面對頻繁的數(shù)據(jù)授權(quán)請求，一般會不假思索地點(diǎn)擊“同意”選項(xiàng)，實(shí)質(zhì)上“知情—同意”權(quán)利被架空了。同時健身領(lǐng)域采集數(shù)據(jù)具有特殊性，由于每個人的健身方案不同，用戶為了享受根據(jù)自己的身體“私人定制”的健身服務(wù)，不得不“出賣”個人的數(shù)據(jù)。

2.3 “控制性”理論的失效

傳統(tǒng)個人數(shù)據(jù)法律保護(hù)的核心是個人對數(shù)據(jù)的控制，形成了以人格權(quán)和隱私權(quán)為依托的保護(hù)路徑。在大數(shù)據(jù)時代，個人數(shù)據(jù)的經(jīng)濟(jì)價值越來越受到重視，個人數(shù)據(jù)的財產(chǎn)屬性愈發(fā)突出，形成了個人數(shù)據(jù)財產(chǎn)權(quán)保護(hù)的路徑[9]。為了獲得健身服務(wù)，人們自愿或非自愿地貢獻(xiàn)了個人數(shù)據(jù)，個人數(shù)據(jù)早已脫離了數(shù)據(jù)主體的實(shí)際控制。有觀點(diǎn)指出，數(shù)據(jù)主體能控制的是數(shù)據(jù)背后的經(jīng)濟(jì)價值，那數(shù)據(jù)背后的經(jīng)濟(jì)價值究竟歸誰所有其實(shí)存在爭論。在健身領(lǐng)域中，除了單純的年齡、性別、身高、體重、BMI等基本數(shù)據(jù)，很多的健身數(shù)據(jù)是耗費(fèi)健身用戶一定的體力和腦力取得的，依照洛克的勞動價值理論，有關(guān)數(shù)據(jù)的經(jīng)濟(jì)價值歸用戶所有。但是健身房依靠智能設(shè)備對個人健身數(shù)據(jù)記錄、采集，并進(jìn)行大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)，似乎也構(gòu)成了勞動。從這個角度，健身房應(yīng)該享有收集和利用健身用戶的個人數(shù)據(jù)所產(chǎn)生的經(jīng)濟(jì)價值，但這跟個人數(shù)據(jù)的保護(hù)是完全相悖的。

2.4 立法和司法的滯后

目前我國個人數(shù)據(jù)保護(hù)的法律體系存在立法碎片化的問題，《網(wǎng)絡(luò)安全法》《憲法》《刑法》《民法典》《消費(fèi)者權(quán)益保護(hù)法》和相關(guān)司法解釋都涉及個人數(shù)據(jù)保護(hù)。但每個部門法都有各自的立法目的和價值取向，現(xiàn)有的法律主要是應(yīng)對互聯(lián)網(wǎng)對個人數(shù)據(jù)的侵害問題，難以直接照搬到智能健身領(lǐng)域。實(shí)踐中，個人數(shù)據(jù)保護(hù)主要以刑法規(guī)制或民法中人格權(quán)規(guī)制為主。刑法具有謙抑性，一味的刑法先行不利于數(shù)據(jù)治理格局的形成，嚴(yán)格的刑法規(guī)定也難免造成法律執(zhí)行的空洞化和裁量空間的過大化，還會導(dǎo)致責(zé)任規(guī)范與行為規(guī)范的脫節(jié)問題。人格權(quán)的保護(hù)方式只針對公開公民隱私、侵害個人數(shù)據(jù)并造成損害后果的行為，對于數(shù)據(jù)主體在數(shù)據(jù)收集、存儲和利用過程中的決定權(quán)、知情權(quán)、保密權(quán)和更正權(quán)，以及在未造成損害后果時獲得救濟(jì)的權(quán)利，都未在人格權(quán)體系下充分體現(xiàn)。實(shí)際上智能健身企業(yè)并不需要公開用戶的個人數(shù)據(jù)來營利，而可以通過對用戶健身數(shù)據(jù)進(jìn)一步挖掘、深加工來獲利。在這種情況下，按照現(xiàn)有的司法實(shí)踐，其行為并不構(gòu)成對數(shù)據(jù)主體的隱私等人格權(quán)的侵犯，不承擔(dān)侵權(quán)責(zé)任，但這顯然是不合理的。

3 智能健身下個人數(shù)據(jù)保護(hù)的路徑選擇

3.1 總原則：強(qiáng)化數(shù)據(jù)主體的控制

目前，諸多研究認(rèn)為，構(gòu)建個人數(shù)據(jù)保護(hù)體系，有必要區(qū)分個人數(shù)據(jù)的多重利益。如張新寶教授的“兩頭強(qiáng)化，三方平衡”理論，通過分類個人數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)保護(hù)和一般數(shù)據(jù)使用之間的平衡[10]。范為博士借鑒“歐美改革法案中‘情景’和‘風(fēng)險’的路徑”，認(rèn)為數(shù)據(jù)控制者可以“在相應(yīng)場景中”合理地收集、使用和流轉(zhuǎn)個人數(shù)據(jù)[11]。此外，還有觀點(diǎn)認(rèn)為對于特定的個人數(shù)據(jù)，他人是否有權(quán)收集、儲存和使用，應(yīng)當(dāng)根據(jù)當(dāng)時的環(huán)境，從規(guī)范的角度進(jìn)行判斷[12]。這些理論的基礎(chǔ)都認(rèn)為在大數(shù)據(jù)時代，個人數(shù)據(jù)除具有人格利益外，亦具有極高的經(jīng)濟(jì)價值與公共價值。

個人健身數(shù)據(jù)敏感度強(qiáng)、識別度高，一旦脫離主體將不可避免損害人格權(quán)與人格尊嚴(yán)，必須站在嚴(yán)格保護(hù)數(shù)據(jù)主體的立場上，把權(quán)利理論作為數(shù)據(jù)保護(hù)的載體。個人數(shù)據(jù)是人的延伸，對其保護(hù)要回到個人控制中來。個人數(shù)據(jù)亦應(yīng)當(dāng)由數(shù)據(jù)主體掌控，體現(xiàn)個人的意志，建立在人的尊嚴(yán)基礎(chǔ)上[13]。保障數(shù)據(jù)主體對個人數(shù)據(jù)的收集利用過程中的自主、自治、自決，應(yīng)是智能健身時代個人數(shù)據(jù)保護(hù)的應(yīng)有之義。具體而言，當(dāng)智能健身房獲取個人數(shù)據(jù)時，需要以數(shù)據(jù)最小必要為原則?！缎畔踩夹g(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本規(guī)范》指出運(yùn)動健身類移動應(yīng)用最小必要信息僅包括：基本健康資料(性別、年齡、身高、體重)，用于給出運(yùn)動和健康建議；個人運(yùn)動信息，用于展示運(yùn)動過程狀態(tài)；精準(zhǔn)定位信息，用于實(shí)時確定用戶位置和展示用戶的軌跡；賬號信息，用于標(biāo)識用戶。智能健身收集個人數(shù)據(jù)原則上僅限于以上必要的信息，在收集過程中要列明具體的功能場景，如訓(xùn)練反饋，以及與功能場景一一對應(yīng)的個人數(shù)據(jù)收集目的、方式、范圍，不僅需要用戶明確、具體的同意，同時要賦予用戶被遺忘權(quán)，用戶有權(quán)隨時刪除智能健身應(yīng)用上留存的數(shù)據(jù)。

3.2 監(jiān)管路徑：明確治理主體，完善事后救濟(jì)

現(xiàn)代規(guī)制理論認(rèn)為，一個產(chǎn)業(yè)要發(fā)展，既需要發(fā)揮行業(yè)自律，也需要加強(qiáng)政府“有形的手”。諸多個人數(shù)據(jù)泄漏事件的發(fā)生提示我們，個人數(shù)據(jù)“知情—同意”原則不能僅僅停留在企業(yè)自律層面，應(yīng)該強(qiáng)調(diào)行政監(jiān)管的作用。當(dāng)前我國雖然有諸多部門涉及網(wǎng)絡(luò)與數(shù)據(jù)監(jiān)管[14]，但是根據(jù)職權(quán)劃分，每個部門在履行職能時基本都只注重本部門、本領(lǐng)域的利益，導(dǎo)致數(shù)據(jù)安全漏洞不斷。楊春然教授提出在國際奧委會等組織內(nèi)部，應(yīng)當(dāng)單獨(dú)設(shè)立專門的隱私保護(hù)委員會[15]，以保護(hù)運(yùn)動員隱私。其實(shí)，不光競技體育領(lǐng)域，在大眾健身中也需要相應(yīng)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，來明確監(jiān)管職責(zé)。建議在省一級的群眾體育主管部門加設(shè)一個專門的健身數(shù)據(jù)保護(hù)機(jī)構(gòu)，明確個人健身數(shù)據(jù)的界定標(biāo)準(zhǔn)，規(guī)范健身領(lǐng)域?qū)?shù)據(jù)的收集和使用，做好事前預(yù)防。

此外，完善個人數(shù)據(jù)安全事件的事后救濟(jì)措施同樣重要?！毒W(wǎng)絡(luò)安全法》第43條規(guī)定，公民發(fā)現(xiàn)自己的數(shù)據(jù)出現(xiàn)風(fēng)險或有可能處于風(fēng)險中時，可以自行啟動自救程序，要求網(wǎng)絡(luò)運(yùn)營者刪除、更正相關(guān)的個人數(shù)據(jù)，網(wǎng)絡(luò)運(yùn)營商也應(yīng)采取措施刪除或糾正它們。針對實(shí)際中網(wǎng)絡(luò)運(yùn)營商響應(yīng)個人請求不及時，考慮建立“刪除和修改”的應(yīng)急響應(yīng)機(jī)制，智能健身類應(yīng)用企業(yè)應(yīng)任命具體的數(shù)據(jù)安全負(fù)責(zé)人，以在發(fā)生數(shù)據(jù)安全事件時及時進(jìn)行應(yīng)對或開展補(bǔ)救工作。應(yīng)急預(yù)案應(yīng)當(dāng)盡量覆蓋可能發(fā)生的各類數(shù)據(jù)安全問題，包括但不限于內(nèi)部上報、原因調(diào)查、數(shù)據(jù)恢復(fù)、影響評估、上報監(jiān)管機(jī)構(gòu)、通知受影響的數(shù)據(jù)主體等等。

3.3 市場路徑：構(gòu)建技術(shù)解決方案

智能健身的技術(shù)特征，決定了對個人數(shù)據(jù)的利用是一種可以用技術(shù)衡量的規(guī)范性操作[16]。目前，學(xué)界提出了多種技術(shù)解決方案：一是隱私增強(qiáng)技術(shù)(privacy enhanced technologies)，增強(qiáng)隱私的透明性，使用戶清楚自己在健身過程中什么數(shù)據(jù)被收集、將被用于何種目的、將儲存多長時間，保障用戶的“知情—同意”權(quán)。二是通過設(shè)計(jì)保護(hù)隱私(privacy by design)，在產(chǎn)品設(shè)計(jì)中，將個人數(shù)據(jù)保護(hù)嵌入技術(shù)、物理基礎(chǔ)設(shè)施、商業(yè)準(zhǔn)則的設(shè)計(jì)標(biāo)準(zhǔn)中加以保護(hù)[17]。歐盟《通用數(shù)據(jù)保護(hù)條例》認(rèn)為匿名化是經(jīng)過處理后，單獨(dú)數(shù)據(jù)無法識別到數(shù)據(jù)主體的處理方式[18]。應(yīng)強(qiáng)制智能健身企業(yè)應(yīng)用匿名化技術(shù)，尤其在傳輸前環(huán)節(jié)加強(qiáng)匿名化處理，注重隱藏用戶身份和敏感數(shù)據(jù)，如此既能滿足數(shù)據(jù)利用，又能防止數(shù)據(jù)與個人的關(guān)聯(lián)。同時智能健身設(shè)備獲取個人年齡、性別、身高、體重、BMI、心率、步數(shù)、燃脂效果、健身動作及時長等敏感數(shù)據(jù)應(yīng)當(dāng)本地化，禁止上傳至企業(yè)云端。總之，智能健身模式下的個人數(shù)據(jù)保護(hù)，法律與技術(shù)兩者缺一不可。要構(gòu)建“監(jiān)管—技術(shù)”的雙重個人數(shù)據(jù)保護(hù)路徑，不斷完善，達(dá)到技術(shù)的便利與數(shù)據(jù)安全的最佳耦合狀態(tài)。