人工智能時代個人信息的保護研究

奉海玲

（湖南師范大學 法學院，長沙 421000）

一、問題的提出

自人工智能首次被提出以來，①人工智能經歷了起步、反思、低迷各個階段后，現已迎來了高速發展時期。②2015年5月20日，國務院印發的《中國制造2025》中強調智能制造，③今年兩會的政府報告中首次提到“智能+”并建議人工智能立法，促進產業創新發展。④我國的人工智能技術發展雖處于起步階段，但可以預見到，人工智能時代將是未來的趨勢和主流：無人駕駛汽車的開發為人類出行提供了便利，醫療器械的使用解決了醫學上的巨大難題，翻譯軟件的應用減少了人們語言不通的阻力，在法學上提供法律咨詢、進行文書處理的輔助工作提高了法官的審判效率和質量。人工智能技術的應用為我們解決了很多無法跨越的難題。這一以海量數據作為依托的人工智能技術在給我們帶來福祉和幫助的同時，也為我們的個人信息保護帶來了挑戰。

2016年4月，杜某某非法獲取2016年山東省高考考生個人信息64萬余條并出售，造成山東省臨沂市羅莊區某高考考生死亡事件，個人信息收集渠道低導致濫用。大疆公司制造的無人機被指具有企業數據安全風險，信息過度采集，智能機器缺乏自動安全識別功能。英國的“劍橋分析”公司泄露個人信息丑聞，信息保密安全未得到有效保障。國內外在個人信息保護問題上，都面臨巨大的挑戰。依賴個人信息為基礎發展的智能時代，信息收集快捷、簡便，信息的收集渠道和手段沒有限制，收集后的使用、安全保障義務和信息保密義務缺乏規范。個人信息的泄露成本過低，訴訟成本偏高，人們的個人信息保護意識弱，導致個人信息的泄露事件越來越多。人工智能的應用增加了個人信息的泄露危險，主要在于其安全存儲還未得到突破發展。5月28日《數據安全管理辦法》（意見稿）也在征集中，在保障個人信息和數據安全的同時，也說明5G時代的到來使得個人信息保護越來越復雜。［1］如何規范個人信息的使用，最大程度的保護個人信息是人工智能時代面臨的巨大挑戰之一。

今年的兩會上個人信息保護法被提上了日程，列入五年立法計劃之內。2008年由周漢華教授帶領草擬的《個人信息保護法》（草案）完成，提交多年，因缺乏立法條件而未通過。此前，我國雖未有專門的個人信息保護法，但國家也重視個人信息的保護，先后出臺了《中華人民共和國網絡安全法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，加強對個人信息的利用和保護，《中華人民共和國刑法修正案（九）》增加侵犯個人信息罪，加大個人信息侵權的懲罰力度。《網絡安全法》規定了個人信息的定義、信息預警和監管機構以及法律責任等內容。該法是目前為止對個人信息規定最詳細的法律，但是該法局限于網絡數據的安全；更多的是強調對個人信息的保護忽視了個人信息的利用；缺乏對個人信息的存儲安全細致規定。這些都是人工智能時代將要面臨的問題。制定個人信息保護法，既是加強個人信息的隱私保護還是著重強調個人信息自決權，也是適應全球化經濟發展模式的要求，需要結合我國的立法國情予以考慮。

二、人工智能時代個人信息保護面臨的困境

1.人工智能時代個人信息利用和個人信息保護的沖突

我國尚未規定個人信息權，也未將個人信息權認定為一項權利。在民法典即將出臺之際，人工智能時代的到來號召我們要順應時代發展的需要，從大數據時代到現今，吳漢東教授曾提到未來的時代是“移動互聯網+大數據+機器智能”三者疊加的時代。［2］人類社會將進入一個透明的、沒有隱私的時代，也就是“零隱私”的社會。人工智能時代智能技術對信息進行充分合理的利用時，引發兩個問題。一是在人工智能時代如何確保對個人信息的合法利用。二是確保個人信息最大化合法利用的情況下，如何確保個人信息最小程度泄露。

美國、德國、日本、英國等國的個人信息保護制度規定較早，內容較完善，但在面對人工智能時代的個人信息的安全存儲時也遇到了瓶頸。個人信息的保護分為兩種模式：分散立法模式和統一立法模式。分散立法模式以美國為典型代表，對個人信息的保護分別規定在《兒童網絡隱私法》《公民網絡隱私權保護條例》以及加州的《加州數據安全違反通知法》等法律中，注重行業對個人信息自律保護。以歐洲為代表的個人信息統一立法保護模式是眾所周知的，且《通用數據保護條例》（GDPR）中信息泄露告知原則和數據利用最大化損害最小化原則都是值得他國借鑒的原則。日本個人信息的保護結合歐洲和美國雙重優點，在確立《個人信息保護法》的同時注重行業自律，達到個人信息保護的雙重效果。

歐洲為了鼓勵自由經濟發展，在歐盟成員國中共享數據信息，在促進增強數據利用的同時也保護數據信息，對數據進行加密處理。［3］信息共享的前提是保證信息環境安全，一旦共享信息出現不安因素或者經常發生利用共享信息進行非法活動的行為，信息共享就會變成“奢侈品”。信息共享是開放式的，但也會有適當限制。新聞媒體對共享信息的影響是爆炸式的，其時效性和廣泛性明顯。GDPR中第22條限制了新聞媒體的個性化發展。［4］在涉及到利用個人信息時，新聞媒體的個人性化是有限的。根據不同情況平衡個人信息利用與保護之間的關系。

我國尚未制定《個人信息保護法》，個人信息的保護進行分散立法，⑤存在幾點風險。一是無法明確個人信息的定義，人工智能時代的個人信息內容延伸，不再局限于隱私信息中，對個人公開的信息的利用也要予以規范。二是個人信息分散規定于各個法條中，內容有交叉也有漏洞，易產生法律漏洞。三是人工智能時代的個人信息兼具人格權和財產權屬性，將其作為侵犯隱私權（人格權性質）保護，忽視了財產權屬性性質的保護。現有分散法律都重在規定個人信息保護內容，忽視了合法規范個人信息的利用實際上也是保護個人信息這一層面。對個人信息的過度保護會影響個人信息利用，不利于社會共享信息，阻礙社會的發展。

在個人信息保護和利用上面臨十字路口的選擇，如何平衡兩者之間的關系成了一個需要考慮的問題，既要保護個人信息者權益，又要在保護個人信息權不被濫用的前提下，合理地進入社會領域。［5］既要保護個人信息權利，又要共享信息，不能因為個人信息保護而影響社會的發展進步，在保護和利用之間權衡出最好的解決方法需要進一步思考。

2.人工智能時代對個人信息數據的過度需求

挪威數據保護局曾解釋說：“大多數人工智能應用需要大量的數據來進行深度學習并做出正確的決策。”［6］信息數據是人工智能工作的基礎，人工智能的深度學習需要依賴于大數據提供海量的個人信息。智能產品工作是收集并分析所有能夠取得的數據，而不是樣本數據。人工智能工具對信息數據的需求量是無窮盡的，越多的信息數據支撐，人工智能產品的精確度和準確率越高。［7］如：“鷹眼”識別系統，通過一個模糊的輪廓或者是一張嘴、一雙眼睛就能識別出具體的人，這融合了所有的個人信息在識別系統中，搜集到的個人信息越全面，其識別的精準度就會越高。在法律方面的運用也是一樣，需要將所有的當事人信息以數據的形式置入智能產品中，最后才能通過的所有數據進行分析處理，根據獲得的數據進行分析，在智能咨詢和判決中也是依托這些數據產生的結果。

數據的缺失、不充足會導致人工智能工作的效率和質量難以達到預估水平，直接或間接的對人們的生產、生活產生不利影響。精確、精準的數據對人工智能的正確性決策的影響是起決定性作用的。但是龐大的信息收集工作如何才能合法、有效的完成，有著一定難度。依據《中華人民共和國民法總則》第111條對個人信息的規定，⑥收集信息的過程是否合乎法律的規定，難以作出具體的認定。該條款只是模糊的規定了自然人的個人信息受到法律的保護，并未明確個人信息受保護的范圍。同時，法條中規定獲取他人信息需要依法獲取并保證個人信息安全，這些都是出于國家、社會層面考慮個人信息的獲取，并未從個人層面加以考慮，獲取非公開的個人信息應當取得信息所有者本人同意。對獲取信息的途徑只強調不能非法，這實際上都是在刑法對侵犯個人信息權的基礎上進行的補充，未從民法層面進行合理考量。

人工智能產品的研發需要無窮無盡的數據支持，這些龐大的信息數據，需要有專門的條款予以規制。依照《民法總則》中的規定，只要是合法獲取的個人信息數據，在保障信息安全的情況下便可以無限制的利用，未經信息所有者的同意，且未經其授權后便傳輸給他人，這實際上是對信息持有者一種不尊重的表現，甚至更是侵犯個人信息權的行為。目前，所有的人工智能產品中出現的有關個人信息數據是否獲得信息所有者的同意不得而知。

筆者認為，不僅要對以非法方式獲取的個人信息行為進行規定，對以合法方式獲取的個人信息也要做出必要的限定。以合法方式獲取的個人信息，取得途徑可能是正當、合理的，其利用行為也要進行規范。個人信息涉及到的不僅僅是公開性的信息也包括個人隱私性的信息，公開信息的利用可以放寬，但是隱私性的個人信息會涉及到信息所有人的人格性或財產性利益，需要予以嚴格規范。

3.人工智能時代個人信息的存儲安全缺失

Facebook案件個人信息的泄露給了我們在信息安全存儲問題上一個很大的提醒，現在的淘寶、QQ等各大網絡社交和生活工具無形中收集了所有使用者的詳細信息，［8］在所有的信息數據匯總后，該海量信息的存儲是否安全存在疑問。信息數據的存儲存在兩大威脅：一是各大網絡APP運營商有著足夠安全的防火墻，利用獲取的海量數據進行非法交易，獲取巨額利潤；二是尚未存在較強的防火墻，數據庫的信息存在被破解的危險。人工智能時代，個人信息保護相關法規對信息的利用會做出具體的規定，第一種威脅會被控制，主要的威脅來自于第二種情況，因為技術的發展存在很多不確定因素。數據的收集和利用是一項基礎工作，而海量數據的安全存儲面臨威脅。當前的存儲技術還未發展到可以完全保密的程度，其存儲面臨著潛在危險。

有關Facebook案件中存在的個人濫用信息問題，意大利當局認為應該罰款，因為該運營APP強迫用戶接受它新條款而分享個人信息。該條款侵犯了用戶的選擇權，有著刻意收集個人信息的嫌疑。與此同時，德國、法國和愛爾蘭等國相繼對Facebook所涉泄露個人信息問題進行監管處罰。歐洲為了更好的保護個人信息，還規定了嚴格罰款制度，督促個人、企業主動保護個人信息，以此保障信息存儲安全。［9］歐洲GDPR的實施，不僅規定了企業對數據的安全保障義務，也要求企業的高管和相關負責人承擔數據安全保障義務。［10］該規定在一定程度上增強了數據的使用和存儲安全性，降低了濫用和泄露的危險。

個人信息的存儲安全性極低，有三方面的原因。第一，立法保護制度缺失。周漢華和齊愛民教授等專家、學者的建議草案稿早已出臺，⑦因為立法條件和環境不足，個人信息法立法議案今年兩會才得以通過。個人信息分散規定于各種法律、法規、司法解釋和規章中，⑧但并未規定個人信息的存儲安全和存儲保護設備等級。第二，市場監管失靈。智能技術的發展，給我們提供便利的同時也帶來了煩惱。個人信息在使用的過程中隨時面臨泄露的危險，典型的就是瀏覽產品后系統自動推薦產品。這是市場監管不力的原因，未制定行業信息保護法規以保護消費者的個人信息。⑨第三，自然人缺乏信息保密觀念。

人工智能時代是信息和科技結合的時代，透明度高，運用率廣。人工智能及其系統的正常運作，在利用人工智能時如何規范數據的收集、儲存、利用行為，避免數據的泄露和濫用，并確保國家數據的安全，是亟需解決的重大現實問題。［11］看似是個人信息的存儲行為，在一定程度上也會涉及國家數據的安全。智能系統是依靠算法、程序運行的，算法具有公開性、透明性，信息數據的安全存儲存在很大的問題。

三、完善人工智能時代個人信息保護路徑

1.構建嚴格的個人信息保護制度，明晰共享信息泄露告知原則

個人信息立法，需要對個人信息進行分類。個人信息的種類繁多，在個人信息定義和個人信息類別的確定上，不同行業、不同群體對個人信息的理解存在明顯的區別。因此，構建個人信息法保護制度是很有必要的。［12］巴杜拉將基本法意義下的“財產權”解釋為是任何一種具有財產價值，并且可以作為個人為生或者從事經濟活動基礎的法律地位。［13］個人信息保護與其屬性有著密切聯系，學界對個人信息權的屬性問題有著很大爭議。筆者認為，人工智能時代的個人信息權兼有人格權和財產權的雙重屬性。現今，個人信息權是屬于人格權屬性范圍內的權利毫無疑問，但是在人工智能時代，個人信息在智能技術的應用上更多的是以財產的方式進行，人格權利益損害的發生更多的以財產權形式的產生為前提。

明確敏感個人信息與非敏感個人信息之間的界限。個人信息的分類，首先需要區分敏感信息與非敏感信息。［14］未經信息所有者本人同意敏感信息絕不可公開，除非未來國家利益的需要。明確敏感信息與非敏感信息之間的界限，既是保護信息權人的個人隱私，也是對信息利用者的限制。不少學者認為個人信息屬于隱私權的范疇，在筆者看來，隱私權中的“隱私”就是具有保密性的信息，不能公開的，而個人信息既包括可以是公開的信息也可以是非公開的信息，個人信息的范圍較隱私的范圍廣，兩者存有重合的部分。強調對信息的保護不僅僅是對公開的信息的保護，還有未公開的信息的保護，侵犯未公開的信息可能既構成侵犯隱私權又構成侵犯個人信息權，對個人信息權的保護，強調的重點是在未經當事人允許的情況下，非法利用、搜集個人信息的行為。

規范共享個人信息的利用規則和保護原則。利用共享信息應該遵守嚴格的使用規則，使用中遵守嚴格的保密條款義務和安全保障義務，使用后的保密期義務。運用智能技術共享信息中的數據便可獲取詳細的個人信息，隱私性的個人信息也存在被公開的潛在威脅。降低共享信息中的隱私泄露風險是促進信息共享的前提，也是遵守共享信息規則的關鍵。［15］共享信息雖是公開的，也要規范利用。《網絡安全法》規定，“收集適用個人信息要遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”。這一規定體現了對個人信息持有者尊重的同時也維護了社會發展對個人數據的需要。個人信息保護立法也可以參考此原則對個人信息進行保護。筆者認為，共享信息的利用必須遵循共享規則，不得濫用共享信息，一旦濫用，也需要承擔侵權責任。共享數據不可過度保護也不可泛濫利用，歐盟（GDPR）對個人信息數據保護最典型的原則信息泄露告知原則，［16］信息使用者一旦發現個人信息被泄露，應履行告知義務，防止進一步的損害發生。這既是借鑒國外的先進立法經驗，也是將網絡安全保障義務適用于保護個人信息。

2.平衡個人信息利用和保護，遵守利用最小損害原則

明確公開性個人信息利用和隱私性個人信息保護之間的界限。人工智能時代的個人信息多體現在算法上，是一個集中利用個人信息的過程，如何利用是一個關鍵問題，因此，在對隱私性個人信息權進行保護的同時，公開性與隱私性個人信息之間界限需要標準進行綜合衡量。個人信息關系的不僅僅是信息者本人的利益，也關涉著國家和社會的整體利益。信息者本人的數據信息有著人格性或財產性利益，人工智能時代，社會的進步需要對個人信息進行充分評估利用，發揮最大的用處。因此，如何平衡保護個人信息者權利和利用信息正當使用者的之間的關系，需要以法律進行規制。這也是高富平教授所提到的對個人信息保護需要從個人控制轉向到社會控制。［17］從保護個人信息權的法律屬性出發，建立平衡個人利益和社會整體利益并能適應大數據時代的個人信息保護制度。［18］個人信息權的立法，不僅是解決當前社會的發展需要，還應該適用于強人工智能時代和超強人工智能時代階段，這就需要對個人信息有一個整體認識，才能在立法時滿足順應時代變遷的需要。

規范公開性個人信息的利用。個人信息權人要求對個人信息進行保密，這是維護自身權益的需要。個人信息者的個人信息對其自身而言是歸個人所有，當其置身于社會這個大環境之下時，其個人信息不一定只屬于其自身，需要由社會進行調整，為社會利用的手段，社會進步的工具。社會的發展不可避免需要對個人信息進行公開，信息公開是對信息保護的一大挑戰，公開的程度有多大，信息公開后應如何對利用個人信息者的進行規范，這既是法律應該予以規制的方面，也是道德予以調整的層面。法律的歸法律，道德的歸道德。任何新事物的出現都不一定非要用法律予以規制，有時候該用道德進行調整的也應該讓道德對其進行調整。法律并非萬能的，法律是社會保障的最后一道屏障，并非唯一保障屏障。

以最小損害原則權衡個人信息保護中個人權益和社會法益之間沖突。個人自由權與社會法益之間的沖突，既要取決于應受保護法益被影響的程度，又要取決于當這種利益必須做出讓步時，其受害程度。［19］保護個人信息權的同時也要考慮社會法益的重要性，個人信息來源于信息者本身，他們享有公開或者保密的權利。人工智能的時代，是利用數據和個人信息進行發展的時代，利用個人信息是不可避免的。只是需要做到在可以不利用的時候盡量不利用，必須利用的時，將個人信息利用的損害降到最低。這與楊立新老師倡導的對隱私權最小損害相似。在對個人信息的利用過程中，個人自由權和社會法益之間產生沖突，以對個人信息權益損害最小的方式為先。但是當個人信息的不公開會影響社會的發展時，個人信息權本身是法律所賦予的權利，這時所強調的個人信息權本身即不成立。面對不同的情況，需要對個人信息權做好權衡。

3.建立個人信息多元監管模式，明確高管的安全保障義務

習近平總書記在十九大報告中提到“中國特色社會主義進入新時代，我國社會主要矛盾已經轉化為人民日益增長的美好生活需要和不平衡不充分的發展之間的矛盾。”當前人們越來越重視對生活質量的要求，對精神生活的要求逐漸增強。與人民幸福感相關的個人信息保護，除立法外還需進一步完善。

個人信息多元監管模式。傳統的監督管理模式是以人工監管為主，以傳媒監管為輔。加強個人信息監管體系是保護個人信息的核心。［20］《網絡安全法》中規定由國家網信部門負責網絡的安全預警工作，人工智能時代的個人信息保護除了網絡侵權更多的是智能技術層面，因此要明確具體職責。人工智能技術的成熟，其精準度和效率提高，在應對個人信息不合理利用的情況時，必須要打破傳統的以人工監管為主的理念，將人工監管和智能監管相結合的監管模式放在首位，人工監督的模式無法滿足人工智能技術對個人信息數據的需求。通過人工智能技術進行監管既能利用人工智能技術為我們服務，又能減輕人工的工作量，還能大大提升監管的質量和效率。多元的監管模式，利用新媒體和新技術的優勢，可以彌補人工監管在監管過程中存在的不足。同時，自我監督也是一種監管體系中的一種。外部監督做的再好，都不如自我監督的效果強。自我監督的模式既能監督自己不侵犯他人個人信息權，又能增強自我的個人信息保護意識。

做好個人信息風險防控工作。個人信息風險防控工作需要做到將國家的個人信息立法保護和市場行業規范個人信息管理相結合。在個人信息保護法出臺之前，應該做到加強對個人信息的監管，立法保護雖有不足，但應加強市場的行業規范作用。在立法頒布之后，增強法律對個人信息的保護作用。做到事前防范和事中、事后監督相結合，以此做到立法保護這一前提是完整的。考慮建立行業規范，道德規范指南是引導的關鍵，這就需要處理好關于法律、道德、社會和技術之間的關系。［21］加強行業規范指導，行業制定個人信息保護的規范，鼓勵企業和組織制定嚴于個人信息保護法的企業或組織規范，加強自我監管。

給與用戶自由選擇信息提供權利，明確高管的安全保障義務。個人信息保護法立法中應明確個人信息的監管主體和監管職責，而不能模糊規定。企業收集個信息快速、便捷，APP中用戶使用都強制輸入個人信息，這是不妥當的，應給與用戶自由選擇是否填寫個人信息的權利。在企業涉及信息泄露事件時，尚未盡到安全保障義務的高管和相關負責人應該與公司承擔連帶責任，以此最大程度保障個人信息的泄露，以免在出現信息泄露問題時，推諉責任。人工智能技術的發展，普通的監管部門無法起到妥善的事前防范和事后監管作用，明確負責監督管理部門的權利和義務是很有必要的。［22］個人信息的監管主體和監管部門的職責必須明確，以防出現權力交叉或者責任漏洞問題，增強立法規則的實際操作性。

四、結語

我國《民法總則》中尚未對個人信息權做出明確的規定，《網絡安全法》和《個人信息安全規范》中明確了個人信息的定義和使用規則，但仍存在不足。《個人信息保護法》已列入五年立法計劃之中，為更好保護公民的個人信息權利，以適應不斷發展的人工智能時代的需要，特強調建立人工智能時代的個人信息保護制度。在制定個人信息立法保護的同時，也要加強行業的個人信息保護規范，兩者結合才能更好的保護個人信息。希望借此為完善國家有關公民個人信息權保護的立法提供法律參考，加強公民個人信息權利的保護意識，對完善有關立法制度發揮積極意義。

注釋：

①1956年，“人工智能”這一概念在Dartmouth學會上被提出。

②十三屆全國人大常委會專題講座第七講人工智能的創新發展與社會影響。中國人大網：http：//www. npc. gov. cn/npc/xinwen/2018-10/29/content_2065419. htm.

③2015年5月20日，國務院印發《中國制造2025》，部署全面推進實施制造強國戰略。根據規劃，通過“三步走”實現制造強國的戰略目標，其中第一步，即到2025年邁入制造強國行列。“智能制造”被定位為中國制造的主攻方向。

④中國人大網：http：//www. npc. gov. cn/npc/xinwen/dbgz/2019-03/19/content_2084088. htm，最后訪問時間2019年6月27日.

⑤《中華人民共和國憲法》第四十條規定，公民的通信自由和通信秘密受法律保護。《中華人民共和國未成年人保護法》第三十九條規定對未成年人的個人隱私、信件、日記、電子郵件的保護。《中華人民共和國婦女權益保護法》第四十二條規定對婦女隱私和肖像等人格權的保護。《中華人民共和國身份證書法》第六條保護公民的個人信息的。《中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法》第十八條規定不得未經他人允許擅自他人信息等。《互聯網電子郵件管理辦法》第九條規定對注冊的電子郵件信息等內容的保護等。還有相關法律規定對個人信息的保護，尚未列舉完全，與個人信息相關的內容都分散于法律中予以保護。

⑥《民法總則》第一百一十一條 自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

⑦2017年3月，《中華人民共和國個人信息保護法（草案）》在第十二屆全國人民代表大會第五次會議上提交，但并未通過。

⑧個人信息分散規定在不同的法律條文中，《民法總則》第111條；《侵權責任法》“互聯網專條”；《消費者權益保護法》第14條、29條；2017年6月實施的《網絡安全法》第40、41、42條；《中華人民共和國電子商務法》第25、26條；《中華人民共和國刑法》第253條。

⑨《中華人民共和國消費者權益保護法》第二十九條第五款 經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。