論人工智能領域被遺忘權的保護：困局與破壁

翟 凱

(安徽建筑大學 公共管理學院，安徽合肥 230601)

引言

人工智能(AI)的快速進步使得立法者和監管機構也亟需跟上技術的步伐。但目前法律在某些方面的規定并不適合處理人工智能所帶來的復雜性和挑戰性，隱私監管領域即是一例。隨著個人信息使用功能的不斷提高，對被遺忘權的關注也隨之凸顯，更是被寫入諸如《歐洲數據保護條例》(又稱“一般數據保護條例”或“GDPR”)等法律中。人們經常將隱私視為一種“隱喻”——將私密信息“隱藏”起來。被遺忘權基本原則中這一點體現也尤為明顯，根據該“隱藏”原則個人可以要求刪除所公布的信息(從而使其成為私人信息)。當個人將以前的公共信息私密化時，會援引“隱喻”的內涵要求他人忘記這些信息。然而這種隱喻的理解是人類思維所獨有的，并不一定能轉化到人工智能/機器學習中。雖然在許多監管機構來看“數據刪除”似乎是一個簡單的話題。但這個看似簡單的問題在實際的機器學習環境中已經提出了許多新的問題，使得“數據刪除”的要求目前實際上已經游離在一種不可能的邊緣。所以要在人工智能的背景下理解被遺忘權，有必要首先深入研究人類與人工智能中記憶和遺忘的概念。現行的法律似乎將人類和機器兩者記憶的概念等同了，但這存在理論和實踐上的困擾，本文將探討人工智能的記憶和被遺忘權在其中如何適用的問題，以期促進法律更能如實反映人工智能技術的現實發展。

一、被遺忘權的法律分析

(一)被遺忘權的關注緣起

被遺忘權(Right to be Forgotten RtbF)在2010年因“岡薩雷斯訴谷歌案”開始為人們所關注。2014年歐洲法院(ECJ)對該案進行了裁決，法院指出如果滿足以下三個條件中的一個或多個，則歐洲數據保護指令適用于搜索引擎運營商：(1)如果他們在歐盟成員國中有一個分支/子公司利用搜索引擎向該成員國的居民出售廣告空間；(2)如果母公司在一個歐盟成員國指定一家子公司，并且它負責最少兩個關于該成員國內主體數據系統的維護；(3)如果分支機構/子公司向歐盟以外的非歐盟籍母公司轉發數據主體或負責監督數據權利保護的機構的任何請求和要求，即使轉發是自愿參與的。只要滿足這些條件中的至少一個法院就認為這足以使搜索引擎公司成為數據控制者。法院最終認為谷歌已經滿足的第一個條件并成為了數據控制者，而作為數據控制者，凡遵循歐盟指令95/46 EC目標的該歐盟國家都將以GDPR的要求規范其行為。谷歌西班牙案意味著法院確認數據主體有權要求搜索引擎公司刪除包含有關數據主體的個人信息的鏈接。該案總結了一些有關數據權利運用的判解：(1)數據主體在某些條件下有權要求刪除數據，例如當數據處理時信息不準確、不充分、不相關或過多時；(2)數據權利不是絕對的，需要與其他令人信服的權利(如言論自由)保持平衡。(1)參見Eduardf V,“Humans Forget, Machines Remember: Artificial Intelligence and the Right to be Forgotten”.Computer Security & Law Review Vol.21 , No.4 , 2017, pp.2-3.

(二)被遺忘權的法律界定

該案中ECJ除了提到將指令95/46 EC進行法律轉換的適用外，其裁決也構成了對歐洲數據保護規則地域范圍的新理解，同時提出存在一種被遺忘的權利。谷歌訴西班牙案的判決并沒有首創被遺忘權，實際上被遺忘權不是一個完全全新的概念，數據保護指令95/46 EC在其第12條中規定了“訪問權”，該條款以某種方式已經考慮了從數據控制器中刪除不完整、不準確或非法數據的可能性。目前，新的GDPR主要將原95/46 EC第17條的“刪除權”也囊括在內，該條款對涉及數據主體的多項權利可以要求從控制人那里獲得有關他或她的個人數據的刪除且不得無故拖延。該案的判決對數據中介、數據服務者(尤其是數據控制人)提出了嚴峻的信息檢索挑戰。雖然原告的初衷是從最初發布的在線檔案中刪除有爭議的信息，但ECJ的裁決卻針對技術中介而不是原始的信息發布者，對于數據服務者來說，為履行公共數據的擦除義務，數據控制者有義務結合技術狀態和實施成本，采取合理步驟和技術措施向數據處理者通知數據主體的請求并刪除包含此類個人數據的任何鏈接或復制。

近年來，被遺忘權在國內學界也引起了熱切的關注。就其研究來看，已經逐步從側重于研究歐美國家對該權利不同的保護理念、司法境遇之中集中厘清了被遺忘權的概念，并轉向對其法律屬性、適用邊界以及本土化構造的探討。(2)參見余煜剛：《司法視域下“被遺忘權”的邏輯推演與論證建構——以我國首例“被遺忘權”案的分析為切入點》，載《北方法學》2018年第2期。基本贊成被遺忘權是指“信息主體對已被發布在網絡上的，有關自身的不恰當的、過時的、繼續保留會導致其社會評價降低的信息，要求信息控制者予以刪除的權利”。(3)楊立新、韓煦：《被遺忘權的中國本土化及法律適用》，載《法律適用》2015年第2期。其權利內涵主要包含：“一是個人信息的事前控制，即適時刪除個人信息的權利；二是在特定領域對信息主體過往負面信息進行披露與使用的限制”。(4)李媛：《被遺忘權之反思與建構》，載《華東政法大學學報》2019年第2期。目前，學界對被遺忘權的性質主要有隱私權權能說、個人信息權能說、獨立人格權說等，隨著《民法總則》中關于個人信息權的明確，目前個人信息權能說占主流。當前學界基本對該權利持肯定態度并呼吁我國立法引入被遺忘權并對其加以本土化改造為我所用。(5)參見滿洪杰：《被遺忘權的解析與構建：作為網絡時代信息價值糾偏機制的研究》，載《法制與社會發展》2018年第2期。

(三)目前被遺忘權發展中的法律爭議

引入被遺忘權被視為是近年來歐盟立法領域的一項突破。不過目前被遺忘權自身發展也引發出一些值得注意的問題。

一方面是關于被遺忘權權利本身的爭議。第一，單純從邏輯層面看，被遺忘權之名一直存在爭論。諸如遺忘之類的心理過程其實是不能被強加的，因此在邏輯上原本沒有人可以因遺忘而被起訴，所以如何用一個恰當的法律術語來概括被遺忘權行為本就較難，而現有的被遺忘權似乎更適合被稱為“不被發現的權利”。第二，在權利屬性上存在模糊。GDPR條文中權利人以“遺忘”處分其個人信息以及對數據控制者因“未遺忘”而科以處罰甚至強制執行的規定，使人感覺其是否意圖在個人信息中建立一種新的財產制度，在這種制度下遺忘將產生財產屬性甚至還可能涉及轉讓等處分疑問。但“信息無論如何傳播，均無損于其自身完整，由此決定了信息不能歸某一主體所有，即便是關于某人的信息某人并沒有傳統意義上的支配權”。(6)梅夏英：《論被遺忘權的法理定位與保護范圍之限定》，載《法律適用》2017年第16期。這種與傳統意義上財產支配的不同使得個人信息失控變得正常，同理個人信息也不會輕易產生“排除權”屬性，即允許一個數據主體將其他數據請求排除在保持對自身信息的并行控制之外。因而被遺忘權的財產屬性有待勘明。第三，該權利尚不能追溯性地實現遺忘的結果。誠然，如果行使被遺忘權可以完全填平既成的損害則可以使遺忘的結果具有追溯力，權利的實現度將更完滿。但因其損失而獲得補償的結果只是“好像”被遺忘，實際上完全恢復損失是不可能的。即使可以彌補部分損失但至少仍會遭受一些聲譽損失，同時權利人對于能夠不面對這些信息的心理可能也無法得到充分滿足，因此該權利的追溯性目前存在缺憾。第四，訴訟權利保障上存在困境。從權利的價值上看被遺忘權對雙方都是平等的，那么被告對于原告勝訴判決所載信息是否也可以行使被遺忘權，從而要求刪除該信息。而如果這樣，則原告的被遺忘權又如何去落實。因此，如果只考慮被遺忘權本身而缺少各種訴訟限制，其價值目標當前也存在著邏輯上的困境。(7)參見丁宇翔：《被遺忘權的中國情境及司法展開——從國內首例“被遺忘權案”切入》，載《法治研究》2018年第4期。第五，權利主體對如何恰當地行使該權利目前存在困惑。GDPR中對該權利定義的模糊使其應用出現困難：GDPR中的“遺忘”似乎通過簡單刪除個人數據或刪除包含來自數據控制器系統的個人數據的文件集就可以實現，其將計算機上的數據想象成一個可以簡單銷毀的有體物，這本身就嚴重輕視了數據運作的復雜性，后文將詳細闡明。此外，“刪除”一詞其實并未明確出現在GDPR中，“移除”一詞在GDPR只出現兩次但都與被遺忘權無關。用于GDPR中與被遺忘權使用中的刪除有關的詞是“擦除”，但在整個文本中都沒有對該詞含義與使用的具體解釋。因此，這樣的矛盾與含混使得學者和技術人員都對該權利的具體適用感到困惑。作為一項法定權利本不應該用抽象的短語闡釋“遺忘”，更不用說遺忘本就是復雜的心理學術語，法定權利應當被法律所將授權的普通權利人輕易理解。“一般而言權利的主要目標之一是將權力交到個人手中……”，(8)李季璇：《從權利到權力：洛克自然法思想研究》，江蘇人民出版社2017年版，第6頁。實際上涉及個體的私權利許多需將保護的“負擔”置于權利人的肩上，現有被遺忘權的內涵也包含了數據主體是其自身數據保護者的思想。因此就必須以樸素、清晰且無需猜想的措辭標明，這樣權利人才能夠頻繁地在適當的情況下(即不是為了消滅歷史事實)援用(被正確標記的)該權利。但反觀GDPR的措辭，“擦除”可以實現多種目的，如防止進行系統性分析、針對性定位和目的性推送等。但適當的權利措辭不應在消除某一目的的同時強調另一個目的，而應是能夠容納權利人可能希望行使相關權利的所有可能原因，現有的被遺忘權表達中僅描述其權利運動的即時結果(擦除)，對要實現的最終目的(遺忘)則指向不明，所以可能還會帶來誤導。

另一方面，一個更為宏觀的問題在于是否存在保護被遺忘權的政治、社會或道德需要。比如對于被遺忘權適用的例外情形尤其是基于公共利益原因而做出的例外，一些學者認為現在確定哪些信息在未來可能具有價值十分困難，在行使被遺忘權過程中信息的直接價值和遠期價值的確定也十分困難，尤其在相關信息涉及政治、經濟等敏感信息時這類分類和界定的困難將更加明顯。(9)參見Ambrose M L,“It's About Time: Privacy, Information Life Cycles, and the Right to Be Forgotten”, Stanford Technology Law Review Vol.13 , No.16 , 2013, pp.369.其次，隨著AI技術變得越來越真正地“復雜”“智慧”，傳統的數據被遺忘過程中的風險、責任和決策之間的聯系正在發生變化，AI中被遺忘權的行使已涉及一些新的人權風險與挑戰。比如，在AI不易控、不可測、不透明的一些遺忘活動中甚至會導致“算法歧視”“算法偏袒”等新問題，但AI運營方與AI自身的權力監控、責任分擔等在現有法律規制中都尚未廓清，此時需要進一步發展直接針對AI“有害遺忘”而提出的人權保護，其中不僅包括“保護”人類“數字人格”穩固的各種“數字人權”，還包括“增強”人們抵御AI在其智能遺忘等主動性活動中所帶來的“算法侵害”的相關數字人權。

二、人工智能領域數據遺忘的實施與困境

(一)人類和AI記憶與遺忘的不同

在人工智能的背景下理解被遺忘權，有必要首先深入研究人類和AI各自關于記憶和遺忘的概念。現行的法律似乎將人類和機器的記憶概念等同了，即“支持對記憶的虛構理解和忘記不符合現實的記憶”。(10)王鑫、沙永鋒：《從AI到AM：人工智能的知識觀》，載《新聞與傳播評論》2018年第6期。認知心理學家認為人類心靈中存在兩種主要的記憶系統：短期記憶和長期記憶，但目前尚未就兩者之間的主要差異達成共識。(11)參見[美]艾肯鮑姆：《記憶的認知神經科學——導論》，周仁來譯，北京師范大學出版社2008年版，第41-44頁。存儲在長期記憶中的內容可能取決于多種因素，包括記憶的“意義”等，但目前尚不清楚這些因素具體是什么。(12)參見[美]布洛克：《吾思魚所思：人類學理解認知、記憶和識讀的方式》，周雷譯，格致出版社2013年版，第27頁。事實上，人類的思考與意識可以存儲多少原始數據至今還沒有一致的可靠估計。因此，“我們目前對人類思想和記憶的理解還依然處在懵懂探索之中，甚至可能某些認識和理解根本就是不正確的”。(13)[英]彼得·布朗，亨利·勒迪格三世，馬克·麥克丹尼爾：《認知天性》，鄧峰譯，中信出版社2018年版，第12頁。

相比之下，當前在弱人工智能階段，由于人類是創造人工智能背后邏輯過程的人，可以較便捷地了解人工智能世界中的“思想”是如何運作的。正因為對AI如何處理數據輸入、存儲和刪除已有很強的科學認識，計算機科學家對人工智能決策基礎的了解比神經科學家理解人類決策的基礎要更好。簡言之，雖然學者們可能無法完全理解特定AI的決策過程，但通常至少在基本的數據輸入、存儲和刪除的背景下是可以理解AI的“思維”是如何工作的。了解人類與AI“記憶”之間的差異，可以更好地理解當前數據法律存在的不足，尤其有助于理解被遺忘權問題及其法律應對。

(二)當前人工智能中數據遺忘(“刪除”)的實施困境

如前述，被遺忘權要求刪除曾經的公開數據。從本質上講被遺忘權可比擬為一種人類記憶中對“忘記”信息的隱喻。當個人要求刪除他們的信息時這相當于請求其他人“忘記”該信息。然而這種比喻只是人類思維所獨有的，要轉化到AI/機器的學習中會存在困難。被遺忘權中的數據刪除要求不容易在AI中得到解讀，因為AI不像人類那樣“忘記”數據。機器學習中涉及刪除的第一個問題即是需要明確在各類現代數據驅動環境中刪除是否實際可行。數據刪除實際上在當前智能系統中非常復雜，我們將以現代基本的智能數據庫管理系統(DBMS)為例(以下簡稱“數據庫”)說明在AI中被遺忘權當前技術實現的基本問題。

數據庫是一種為“有效”提供數據而設計的智能化操作程序，是當前人工智能領域內最基礎的一種機器學習。“有效”的典型體現即在正確和快速搜索數據。雖然在少量數據時有效搜索的效果并不明顯，但它依然是計算機科學中基本的算法類別之一。數據庫通常通過數據索引來工作，數據記錄雖然存儲在文件磁盤上，但是文件的物理位置布局會以名為B(數據)—Tree(樹)的一種樹狀結構體現，通過使用SQL查詢語言這類程序來顯示并檢索數據記錄。(14)參見[美]David M，David J A：《數據庫處理——基礎、設計與實現》，孫未未、陳彤兵、張健譯，機械工業出版社2016年版，第23-25頁。添加到數據庫中的每個數據記錄可能不僅位于文件系統中的某個特定點，而且可能存儲在數據庫內部運轉機制內的不同位置，有的還被復制到其他數據庫的日志文件和備份中。按照RtbF的要求永久刪除數據時必須考慮這些情況，尤其當需要滿足嚴格意義上的刪除時必須識別所有的這些空間并需要及時用新的信息覆蓋刪除空缺。但這樣的操作可能會導致嚴重危害數據庫的一致性、穩定性，甚者將會破壞系統安全性以致損毀數據庫。

詳言之，我們用常見的MySQL數據庫首先演示為何在數據庫中不徹底刪除數據所考慮的經濟性問題。圖1展示了刪除數據記錄時MySQL數據庫內部的運行情況。為了降低復雜性，該圖只顯示其中的某個運算“頁面”。運算數據時即開始在搜索“樹”中查找所需信息。該頁面為顯示系統活動的記錄，在頁面內將從節點I開始查找并遵循箭頭的路徑直到找到所需的數據，如果搜索在節點S處結束而沒有任何結果則為找不到數據。圖1(a)中有C1到C5五個數據記錄，當執行刪除C3處記錄命令時；第一，C3會被自動鏈接到數據庫中預置的一項名為“垃圾偏移”的空間中(該空間是兼有存儲已刪除數據且包含現在可用空間的一種集合)。第二，C3經“垃圾偏移”命令的抽取，已被“標記為刪除”，但圖中命令指示箭頭只是將C3拉走，它并未消失，只是換了個被標記的位置。第三，運算活動在跳過C3之后繼續前進。

圖1 頁面中已錄的實際指向過程

圖1(b)中的任務是繼續刪除存儲在C5中的數據。因系統已出現運算中斷因素(C3已被刪除)，首先數據庫在“樹”中導航并搜索C5直到找到C5，通過將原C3中的箭頭彎曲到C5將C5添加到垃圾偏移中，此時C5經“垃圾偏移”也被“標記為刪除”，該運算活動在跳過C3、C5之后繼續前進。但經“垃圾偏移”抽取所得到的“標記為刪除”只是把C5從頁面的活動記錄列表中移動到垃圾偏移指示的已刪除記錄列表，即與前圖刪除C3一樣。經刪除后數據仍然存儲在數據庫中，但當數據庫需要新空間來存儲新記錄時，出于經濟考量會首先搜索“垃圾偏移”中已存在的既有數據空間，對該數據空間進行覆蓋，而不是在磁盤上直接分配新空間，所以未被覆蓋的數據依然還留存在原空間上，即數據常常不會被真正刪除而僅是從某一種運算活動中刪除，在另一運算活動中可能又會被啟用。只有當已刪除的空間(如C3、C5)因系統運算的新需要而被覆蓋上新數據時，此時才會有效地破壞其中的舊數據。(15)參見Fruhwirt A, Peter K, Edgar W,“Using Internal MySQL/InnoDB B-Tree Index Navigation For Data Hiding”, IFIP International Conference on Digital Forensics, New York: Springer International Publishing, 2015, p.183.

GDPR等法律對RtbF的“刪除”規定了需滿足隨時檢驗刪除方是否遵守刪除要求，確保刪除信息的安全并防止恢復。要符合該要求不僅需從搜索查找中刪除，還需要覆蓋文件系統，甚至是從所有內部機制中刪除，即實現純粹的物理刪除。但由上圖所示，實踐中在經濟性原則下數據庫運行的現實環境使得這種刪除可能并不會完全實現。

其次，就安全性和穩定性來說，RtbF所要求的全面而徹底的刪除也不可行。目前主流大型數據庫中，通常需在輔助索引的幫助下檢索數據以幫助運算。對索引的依賴性將使得刪除數據僅表現為對索引搜索不可見，但無法實際從記錄中刪除數據。圖2再次以MySQL數據庫為例，顯示了這種操縱輔助索引來刪除數據的過程。MySQL數據庫目前主要使用兩種索引類型：(1)主索引，即圖中從I、C1...C6到S；(2)用于提高搜索性能的輔助索引，如圖中的V1到V6，虛線箭頭代表每一個輔助索引在該系統運算中與主索引中某項以及其他輔助索引項所建立的相互鏈接關系。在該類系統的運算中，主索引一般保持不變，各種修改操作僅通過輔助索引進行，因為主索引通常用于宏觀上維系系統運轉，輕易不用于具體的實際數據檢索。當想要刪除某一記錄時，如刪除C4，主索引中C4及與其相關聯的輔助索引V5之上的各項鏈接(即諸項間的虛線箭頭)將被移除。此時，圖2中可見V5已與整體系統運算結構脫離，為了為維持主索引原全過程的安全、穩定，保持系統運轉流暢、不發生宕機，系統分配的新設置為鏈接其鄰居V4和V6，即V5原先與V4和V6的鏈接被替換為兩個鄰居之間的直接鏈接。最終系統依然正常運轉，因V5的脫離C4也將不再存在于輔助索引中，其“不被可見”“不被檢索”“不被鏈接”已經形式上達到了被遺忘的效果，但它其實尚未從主索引中刪除，僅僅是一種數據隱藏。(16)參見Fruhwirt A, Peter K, Edgar W,“Using Internal MySQL/InnoDB B-Tree Index Navigation For Data Hiding”, IFIP International Conference on Digital Forensics, New York: Springer International Publishing, 2015, p.185.

圖2 操作二級索引進行數據刪除

該方式在保持系統安全、穩定的原則下雖然已無法通過正常搜索的方式來訪問主索引中的被刪除條目，但依然可以使用主索引后門或利用未被操作的輔助索引順藤摸瓜來訪問隱藏數據。所以要滿足RtbF所要求的刪除時，從輔助索引中刪除隱藏的數據鏈接的同時還必須深入系統底層進行對主索引的刪除操作，但這樣對系統的安全穩定威脅巨大。

除了上述關涉系統內部的經濟性、安全性和穩定性問題，就系統外部的信息傳播性來說，現有的RtbF的規則要求：如果系統控制者已確知第三方處理其已收集的一些數據時，需要負擔通知第三方有關擦除請求的額外義務。(17)參見“Fact Sheet on the Right to be Forgotten Ruling(C-131/12)”.Accessed November 15, 2019.http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf.即應采取合理的步驟和技術措施通知處理個人數據的控制人，并要求各類控制人員刪除這些個人數據的任何鏈接和復制。因此，系統控制者需要擁有一整套技術解決方案以便跟蹤個人信息，并在依據RtbF要求刪除時證明其能有效刪除。“全面通知”看似簡單，但由于許多節點外控制器保留了其已復制信息的鏈接，因此證明從所有可用來源成功實施擦除在技術上仍然很難。(18)參見薛佳楣：《現代數據庫索引設計與優化》，中國紡織出版社2018年版，第68頁。目前RtbF規則沒有明確在二次使用時(即個人數據已經傳播給第三方或者已被匿名化或偽匿名化使用時)，此類刪除如何實施的實際定義。(19)參見Mantelero A,“The EU Proposal for a General Data Protection Regulation and the Roots of the ‘Right to be Forgotten’”, Computer Law and Security Review Vol.20 , No.29 , 2013, pp.230.同時，當出現為證明不可能泄露或刪除需要付出不成比例的代價時，RtbF履行中是否可以要求免除向所有接受者通報任何糾正或刪除的義務？但即使提出此類豁免，反而會引起對被遺忘權有效性的減損。(20)參見Koops B J,“Forgetting Footprints, Shunning Shadows: a Critical Analysis of the ‘Right to be Forgotten’ in Big Data Practice”, SCRIPTed Vol.9 , No.12 , 2011, pp.8.

(三)AI背景下被遺忘權行權的反思

綜上，現有的RtbF的實施更多復制于人類遺忘的機制，但即使是人類的遺忘也是需要區分不同級別的遺忘而不是簡單的完全擦除，所以RtbF在AI應用中的實施需依賴于信息的編碼、檢索的水平而不是簡單的信息擦除。況且僅僅擦除鏈接并不能抹掉信息本身，因此現有的很多措施尚不能被視為實際遺忘。(21)參見Gorzeman L, Korenhof P,“Escaping the Panopticon Over Time”, Philosophy & Technology Vol.18 , No.30 , 2017, pp.73-74.

當前，在AI學習背景下，RtbF應用的具體反思之一在于其權利屬性問題。被遺忘權本質上是信息主體實現其信息自決權這一基本權利的主要權能之一，可以說只是依附個人信息自決權而存在的請求權之一。基于模式化編程的AI的記憶特征反證了AI運用背景下RtbF所保護的人格利益不具有相對的獨立性，不能成為一個具體的、具有類型化的人格利益，而只是某一種具有獨立性的人格利益的組成部分。該狀態下RtbF名為一種對可識別的某些信息予以刪除的請求權，雖服務于人格利益的保護，但卻沒有實體內容。因此，其將只是個人信息權實現的方式和手段——即名為請求權但常常僅具有“除名”權能，有時甚至其無法完滿實現隱私保護等“自決”權能。故RtbF在AI運用背景下的的這種權能實質也意味著其此時將不是具體的權利，這種狀態其實也會對AI環境中的RtbF侵權關系認定等問題帶來一些爭議，對此今后還需理論探索的進一步深入。

反思關注之二在于其與數字系統內其他數字權利的位階與競爭關系問題。“被遺忘權不是一種可以凌駕于其他數字權利的超然權利”。(22)萬方：《終將被遺忘的權利——我國引入被遺忘權的思考》，載《法學評論》2016年第6期。前述數據庫基礎運用中搜索與索引的操作體現出AI系統中最基本的兩項運轉功能——“數據可攜”與“多重鏈接”，即兩個或多個數據主體可以通過同一組數據的流動輕松鏈接另一個數據主體，目前云技術的推廣還將大大提升這一功能。這一功能也是數據可攜權(right to data portability RtDP，下文簡稱RtDP)的一種基本體現，即“數據主體通過向數據控制者請求以結構化、通用、機器可讀取的格式獲取相關數據，并在技術可行條件下有權要求數據控制者向另一個數據控制者實現數據的直接傳輸”。(23)謝琳、曾俊森：《數據可攜權之審視》，載《電子知識產權》2019年第1期。作為一種數據保護權，將RtDP引入AI環境可以有效促進AI系統自治、維持系統對外交流、保障系統內部競爭。不過基于“多重鏈接”的AI運作環境使得目前單方面行使RtBF可能會剝奪其他主體行使RtDP的機會。同樣當執行RtDP時后續的RtBF(由另一數據主體執行)因“多重鏈接”也將無法通過僅刪除數據的副本來使數據“被遺忘”。可見RtBF與RtDP之間在AI系統背景下存在現實意義上的沖突。

保護個人信息的RtBF其實可以被設計為對威脅個人信息安全的RtDP進行覆蓋，但是這樣的設計并不能達到權利競爭之間的平衡。反觀GDPR，其中關于RtBF的第17條規定并無平衡RtBF與其他主體權利的表達，在RtBF的例外中也沒有諸如RtDP之類的主體權利。但GDPR第20條關于RtDP表述的第(3)款涉及一個數據主體共同行使RtBF和RtDP，第(4)款適用于不同數據主體以沖突方式行使兩項權利的問題，但都僅是提及。條款設置的先后可能表明GDPR認為不同數據主體權利之間存在等級關系：即RtBF的位階似乎高于RtDP。但據此得出RtBF在權利沖突中應絕對優先于其他主體權利并不恰當。RtDP本質上是當前要求對相關數據進行通信的權利的規制，即對“現有訪問權、傳輸權”的支持，這一“現有訪問權、傳輸權”是AI系統乃至其他數據應用得以正常運轉的“先決條件，是進一步改善信息流動的基礎條件……”，(24)付新華：《數據可攜權的歐美法律實踐及本土化制度設計》，載《河北法學》2019年第8期。在AI背景下不應被減損抑或被其他權利覆蓋。RtBF與RtDP在AI背景下的競爭問題其本質上依然反映了存取權與隱私權之間的長期緊張關系，在AI應用中如何尋求一個能夠共享RtDP與RtBF平衡的規則將是權利保障與技術發展的共同訴求。

反思關注之三在于如何劃定權利規制的邊界：AI應用中的數字信息源作為巨大的外部交互存儲器還具有外部交互的特征，除了數據控制器和數據主體外還有一個規制因素不可忽略——即公眾等他人利益。RtbF是公共利益和個人法益的混合體，且個人法益是因該制度的建立而產生的。(25)參見吳姍姍：《論被遺忘權法律保護的必然性及其法理依據》，載《江蘇社會科學》2020年第1期。RtbF中平衡這些利益很困難，不過雖不同于人類記憶的運用，但我們可以從人類記憶過程中獲得指導和靈感。當前弱人工智能階段可暫撇開AI自身“價值判斷”的考慮，人類記憶過程中關于記憶的“意義”、“使用”和“時間”的測算將可用于劃定AI中RtbF運用的規制界限。(26)參見薛杉：《被遺忘權制度的借鑒與司法探索——以中歐被遺忘權首案為視角》，載《法律適用》2020年第8期。其中最客觀、運用最有效的劃定工具將是“時間”。“時間”增加時通常支持“遺忘”的測定，而“意義”和“使用”通常在有效信息和使用頻度增大時就都不容易測算遺忘度，因此“時間”成為與RtbF規制相關的最重要因素。“時間不僅能使公共利益下降，而且也使個人利益下降，不過在這兩者利益均下降的情況中，個人利益在大多數情況中均能在某一個時間點超越公共利益”。(27)謝遠揚：《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》，載《清華法學》2015年第3期。此時，“時間”可以在RtbF法律上扮演兩個角色。一方面可以在利益平衡中發揮作用，作為增加或消除“忘記”個人信息或其相悖利益要求的重要因素，從而維持不偏袒任何一方的平衡性。另一方面可以作為除權的明確標記，一旦保留的理由不再成立就應該遵循“忘記”機制。但數據處理的時間周期高度依賴于數據的使用、獲取數據的條件和收集數據的目的以及是否有必要。這導致時間作為利益平衡因素的作用復雜不定。因此，“在一些情況中時間并沒能改變利益的平衡，隨著時間的變化個人信息的公共利益雖然下降，但仍高于以同樣甚至更快速度持續下降的個人利益”，(28)張里安、韓旭至：《“被遺忘權”：大數據時代下的新問題》，載《河北法學》2017年第3期。因為平衡的度量在于需要同時測算信息生命周期的盛衰與其價值隨時間而變化的高低。不過，與信息生命周期相關的“時間”標準還需進一步研究細化，比如具體的時間跨度可能因數據主體(終身使用)、數據控制器(階段處理和使用)以及第三方(為公共利益記憶而使用)的不同而需要完全適用不同的測算標準。

三、融合AI技術發展與被遺忘權完善的可能性解決方案

被遺忘權的法律價值正在愈發凸顯，在機器學習環境中被遺忘權的應用目前雖然遇到困難，但結合前述的反思與探討，當前是否可以從技術、法律和政策等諸多解決方案中進行一些謀劃，以便在現有AI學習的技術實踐中保護RtbF？筆者認為通過以下這些解決方案，可為在當前AI機器學習條件下的被遺忘權實施提供一些思考。

(一)法律和政策完善方案——有意遺忘與權利平衡

鑒于當前對被遺忘權的主流法律理解與目前AI中數據刪除技術現狀間的齟齬，彌合法律與技術之間差距的另一途徑是盡可能完善現有RtbF的法律和判例中的疏漏。直接改變法律以反映AI等新技術的發展雖然最為簡單，不過改革或更新像歐盟GDPR這樣的大型綜合數據法繁冗且耗時。其實以GDPR為例，從立法者故意避免建議采用特定的技術框架或特定的信息保護方法來實施其所引入的這些法律要求就可以看出，在立法之初已經遵循著技術中立的立法原則，即在基本框架中從高度抽象的層面上來指定法律實施的功能需求，并設置各種空白條款、兜底條款來預留未來新的法律插入。只是因為目前監管更新的速度落后于技術變革的速度，所以類似GDPR這樣的法律在已有基礎上可以插入對RtbF的各類完善。

首先，關于“遺忘”概念需進行重新梳理。現有關于遺忘的法律概念的界定都是基于對傳統的有限知識獲取中“災難性遺忘”(29)參見楊慶峰、伍夢秋：《記憶哲學：解碼人工智能及其發展的鑰匙》，載《探索與爭鳴》2018年第11期。的理解。人工智能時代由于知識和知識獲取無處不在，故在AI系統中需要一種更為復雜的遺忘界定，在此有必要引入“有意遺忘”的概念。通過算法獲取新知識是機器學習的重點，“各種機器學習方法基本都是通過聚合信息或抽象輸入數據以獲得更好的概括”。(30)雷明：《機器學習與應用》，清華大學出版社2019年版，第19頁。在被遺忘權的語境下機器學習可以看作一種將不相關的屬性或特征淡化的隱式遺忘函數。此時遺忘的目的在于提高機器學習能力。所以，人工智能時代RtbF中的遺忘應當重新被定義為包括被動(淡出舊信息)和主動(決定不考慮障礙性信息)兩種，尤其是主動地“有意遺忘”。前者以前僅指從特定控制器中刪除數據，但后者意味著為“有益”等需要將可能“有意”地“從所有可能的源”中刪除信息。經此改造該項數據權利的范圍可能將比任何現有其他數據權利都要廣泛，而其司法適用可秉持一般侵權損害與信息特殊限制性因素相結合的裁判思路，參照一般理性人，區別AI行為對信息的主動利用與被動防御，并在此基礎上考察是否具有排除RtbF適用的免責事由。(31)參見楊立新、杜澤夏：《被遺忘權的權利歸屬與保護標準——任甲玉訴百度公司被遺忘權案裁判理由評述》，載《法律適用》2017年第16期。

其次，平衡AI背景下RtBF與RtDP兩項權利的使用規則。“被遺忘權只能建立在共同體信息合理流通的基礎之上”，(32)丁曉東：《被遺忘權的基本原理與場景化界定》，載《清華法學》2018年第6期。所以AI系統內存在的數據流動需要保障，而穩固AI系統數據運轉中的數據可攜性使權利人能夠基于數據被傳輸、被處理而真正獲益，激勵數據控制者對數據的高效、充分地利用，(33)參見溫昱：《個人數據權利體系論綱——兼論〈芝麻服務協議〉的權利空白》，載《甘肅政法學院學報》2019年第2期。故一般不應減損。但為了平衡RtBF的要求可以重新組合數據可攜權中信息存取和訪問個人數據的內容，就像RtBF以“大遺忘權”的組合擴充并完善了原刪除權、數據使用限制等方面的內容。(34)參見劉文杰：《被遺忘權：傳統元素、新語境與利益衡量》，載《法學研究》2018年第2期。RtDP中出于個人目的(在此可指代為系統自身需要)使用數據或將數據許可供第三方進一步使用，以交換其他服務或獲取現金價值的財產屬性，(35)參見卓力雄：《數據攜帶權：基本概念，問題與中國應對》，載《行政法學研究》2019年第5期。可應用于判斷RtBF和RtDP之間的沖突，即依數據的性質將人格身份數據與可移植的經濟數據區分開來。一般使用下，無論對數據主體自身還是其他相關的利益方，處于對隱私、名譽等利益保護的RtBF都應優先于定位在經濟利益考量的RtDP之前。但當不同數據使用者被授權共同確定數據處理的目的時，則應確保同時保障。不過當AI與AI之間出現系統效益和人權保障的沖突時，即一方系統內部的RtBF和RtDP平衡后，但與另一方的RtBF需要相悖時，此時該選擇哪一種平衡將是另一個復雜的問題。

再次，AI中遺忘權的設置要更多地考慮如何發揮遺忘的優勢和效益。目前在分布式人工智能中，知識通過分布在多個代理上以保持其在現實環境的自然適應并降低復雜性。(36)參見楊正洪、郭良越、劉瑋：《人工智能與大數據技術導論》，清華大學出版社2018年版，第135-136頁。這類系統在未來通過展現通信和協調的并重將使多代理系統中的社會審議成為可能，這類人工智能系統中的推理和規劃將被轉化為具有有限的個體知識的代理人間的任務協調。(37)參見劉鐵巖、陳薇、王太峰：《分布式機器學習：算法、理論與實踐》，機械工業出版社2018年版，第147-149頁。因此，通過合理的記憶與遺忘協調該系統中的知識分布并在運行時對其動態調整將成為體現AI中被遺忘權運用的優勢之處。同時，處理海量信息的AI系統也會面臨潛在的信息過載，其需要具有平衡學習和遺忘的自主能力以及足夠的意識度。由于人類也將遺忘作為一種意識的發展過程，因此正如社會心理學中所考慮的那樣，伴隨著AI的演化遺忘權法律規制的核心問題也需要從另一個側面考慮AI是否可以通過從激活遺忘機制中受益。正如有學者所指出：被遺忘權通過刪除將“使得留存下來的資訊更符合主體的現行狀態，減少了誤導性信息，提高了信息的準確度，還有利于公眾知情權的維護”。(38)鄭志峰：《網絡社會的被遺忘權研究》，載《法商研究》2015年第6期。

(二)綜合性“技術、法律/政策集成”式解決方案

在對法律、技術和隱私的未來關系的反思中，美國學者加瑟認為：“法律和技術可以通過相互補強的關系推進其共同的實踐發展”。(39)Urs G,“Recording Privacy Law: Reflections on the Future Relationship Among Law, Technology, and Privacy”, Harvard Law Review Vol.17 , No.9 , 2016, pp.189.“一種旨在整合法律和技術方法的隱私工具的開發可以幫助以一種更具戰略性和系統性的方式，通過模塊性協同來為信息隱私領域的法律和技術間的相互作用鋪平道路……這種綜合方法意味著法律可以與技術一起發揮更加豐富的作用，如果芯片、程序或者代碼能夠融合不同的技術工具和法律方法，無論是在法律概念層面還是技術實施層面都可以產生更加強大和有效的隱私保護”。(40)Styliarit, Natim,“Researching the Transparency of Personal Data Sharing: Designing a Concert Receipt”, University of Toronto Law Review Vol.26 , No.5 , 2016, pp.79.

這種以帶有“跨技術”“融方案”特性的，以新型芯片、程序或代碼為載體的集成性隱私工具可能也是未來處理AI領域信息保護問題的理想方案樣板。但這類集成型隱私工具的技術仍處于初始階段，尚不能完全匹配當前AI領域的技術發展。其實數據保護領域的立法發展中目前很少關注這類隱私增強技術(PET)，但越來越多來自技術領域的倡議正在呼吁為此制定法律以驗證隱私保護技術方面的進步。在此背景下，面對RtbF在智能數據庫和其他更為復雜的AI系統的應用，由于現有的某些技術設定對于系統的正常運轉必不可少，因此亟需一種能夠在保留現有技術標準的情況下支持各類物理刪除和非物理刪除的集成性被遺忘權解決方案。對此，目前由技術專家和法律學者通過直接合作已經創新出一些融合化方案，可資借鑒。

為匹配GDPR等法律規范對執行遺忘的較高要求，微軟研究人員提出了一種基于“元數據”可互操性的“法律—數據”交互感知技術架構，其允許將責任設定和行為策略綁定到具體數據上，從而實現以任何更符合用戶意愿的方式處理數據，尤其包括撤銷前期用途的操作。該架構中，使用“可信處理容器”機制挑選并保存可能會被關聯使用的“元數據”以及被選為指定策略綁定的處理數據，并維持其穩定。各種數據處理和解釋活動將首先在元數據上進行，而數據本身只有在數據請求實體被正確驗證為有權使用數據時才能使用。對于基于知識庫分布的數據系統或處理需語義技術加工的文本，由于邏輯知識在其中占主導地位，該架構提供了用于增減知識(如增減法律推理規則)的獨立運算符。同時該技術架構還能直接將遺忘運算符加入系統的主索引以及邏輯總目錄，這樣將來可在維持正常運算的同時，無需暫停系統，實現數據的柔性消除，維持系統穩定。(41)參見Maguire S, Friedberg J, Nguyen M,“A Metadata-Based Architecture for User-Centered Data Accountability”, Electronic Markets Vol.6 , No.25 , 2015, pp.157-158.總之，該架構足夠靈活并可以隨時通過改變各類已有的程序設計滿足監管機構增加透明度和加強問責等愿望。雖然這種基于元數據的體系結構可較好地隨技術發展滿足和支持增減各種被遺忘權需求，但僅規制系統內部的元數據不能保證AI操縱實體在實踐中一定遵守指定的策略。不過可以通過設置強制性訪問規程來促進其執行。

還有學者提議使用區塊鏈概念用于搭建一個平臺，使用戶能夠擁有和控制他們的數據，但不會影響安全性或限制為企業和政府提供個性化服務的能力。(42)參見Sas C, Whittaker S,“Design for Forgetting: Disposing of Digital Possessions After a Breakup”, Acm Depiwhite Soin Eclaircissant journal Vol.31 , No.2 , 2013, pp.1823.這是一種分散性個人數據管理協議，該協議將區塊鏈變成自動訪問的控制管理器，無需添加被授信的第三方。通過將區塊鏈(其用作訪問控制的主持人)與目前已投入運用的專注隱私保護的“off blockchain”在線存儲解決方案相結合，可實現控制遺忘的目標。其間，特定時間內用戶可以改變權限并撤銷對先前收集的數據的訪問。由于無需依靠其他被信任的第三方提供核實與支持，用戶始終可了解收集的數據及其使用方式。除非對手能控制大部分網絡資源，否則區塊鏈的分散性質與數字簽名交易相結合可確保對手無法解析用戶或破壞局域網絡。

當然，最終還需要通過大量的實踐案例來檢驗，才可以證明這些“法技術性”創新工具的功效。