人工智能數據安全與法律治理:現狀分析與發展建議

文/ 瞿晶晶 、陳秋萍

隨著人工智能技術的快速發展，人工智能應用日趨廣泛，對經濟發展、社會治理、人民生活都產生了重大而深刻的影響。而數據作為驅動人工智能發展的核心要素，其安全問題成為社會各界廣泛關注的焦點。目前全球各人工智能大國均在探索人工智能數據法律治理的最佳路徑，相關法律規范正密集出臺或在積極規劃制定中。鑒于此，本文針對目前我國人工智能數據安全與法律治理現狀進行分析，探索提出未來人工智能數據安全與法律治理的建議，具有一定的積極意義。

人工智能數據的特點和安全風險

人工智能與數據相輔相成、互促發展。人工智能數據與傳統網絡數據不同，人工智能的深度學習、跨界融合、人機協同、群智開放和自主智能的技術特性，使得關于人工智能數據安全風險的挑戰更大。具體而言主要包括：一是人工智能依賴海量數據進行高維運算，其輸入輸出關系具有難解釋性。二是人工智能大規模數據自動化處理造成難控制性。三是人工智能涉及的數據類型范圍極其廣闊，其采集、存儲、流動中涉及的主體也極其多樣，造成了人工智能數據的高度復雜性；四是人工智能蝴蝶效應顯著，前期設計的小偏差可能造成后期應用的巨大社會影響；五是人工智能在應用中也在不斷產生數據，具有顯著的自生性；六是人工智能作為賦能技術，其研發和應用具有強場景性，融合了具體場景的特殊數據安全需求。

目前，人工智能數據所帶來的安全風險已經在現實中顯現，相關事件造成了廣泛的社會影響，比如Facebook數據泄露事件、美國Deepfake深度造假事件、美國特斯拉無人駕駛車禍致死案、浙江“腦機接口”頭環監測學生上課等，以及人工智能相關數據應用帶來的隱私泄露隱患、算法“殺熟”和“歧視”都成為社會熱點議題。

中國信通院《2019人工智能數據安全白皮書》研究顯示，人工智能數據安全風險體現在三個方面：一是人工智能自身面臨的數據安全風險與治理挑戰，例如訓練數據污染、運行數據異常、數據逆向還原、開源框架風險等；二是人工智能應用導致的數據安全風險與治理挑戰，例如數據過度采集、數據偏見歧視、數據資源濫用、數據智能竊取等；三是人工智能應用加劇的數據安全風險與治理挑戰，例如數據權屬問題、數據違規跨境等。

人工智能的賦能屬性已經使其嵌入社會的各行各業，人工智能數據在應用中遭遇的痛點難點問題，成為制約行業健康發展的障礙。當前需要重點關注的人工智能數據安全問題有：數據歸集困難、數據權屬不明、技術開發的大數據需求和隱私保護之間的沖突、類金融機構非法使用數據等。當前人工智能已經從效率優先進入健康高質量發展階段，保障數據安全，促進數據高效流動使用，成為行業發展的關鍵。

我國人工智能相關的數據安全立法現狀與分析

雖然我國尚未出臺專門針對人工智能數據的法律法規，但是近期我國自上而下密集地針對數據領域實施法律治理措施，為人工智能數據安全以及支撐我國人工智能健康發展建立了良好的開端。截至2021年8月，全國人大、國家網信辦、工信部、公安部等部門陸續出臺了一系列與網絡安全和數據保護配套的法規。其中，2021年6月通過的《中華人民共和國數據安全法》是國內首部數據安全領域的基礎性法律，規定了基礎性的數據安全制度；2021年7月30日通過的《關鍵信息基礎設施安全保護條例》針對關鍵信息基礎設施安全保障及維護網絡安全進行了規定；2020年8月20日全國人大表決通過《中國人民共和國個人信息保護法》，針對過度收集個人信息、大數據“殺熟”、個人信息跨境流通、敏感個人信息處理等問題進行了相關規定。

同時，近年來各地方也出臺了相關公共數據管理辦法。例如《上海市公共數據開放暫行辦法》（滬府令21號）、《上海市公共數據和一網通辦管理辦法》（滬府令9號）、《貴州省大數據安全保障條例》、《浙江省公共數據開放與安全管理暫行辦法》等規章。2021年7月6日深圳市人大通過的《深圳經濟特區數據條例》成為國內地方上數據領域首部基礎性、綜合性法律條例。同時，2021年7月14日發布的《深圳經濟特區人工智能產業促進條例（草案）》中，對人工智能治理原則與關鍵措施進行了相關規定。

綜合分析我國數據安全治理現狀及其趨勢，其呈現出兩個特點。第一個特點是治理方式的協同。妥善解決數據安全問題需要多種治理方式協同，需要多主體協同，積極探索“能實施、有實效”的治理舉措。目前，全球人工智能重要國家對國家基礎性法律、行政法規、部門規章、司法解釋、規范性文件、政策文件、國家標準以及一些地方性法規和規章等各類法律法規進行了制定、更新、修訂以及補充。國內法在數據法律領域正在形成由對數據的一般性法律、地方法律和對原有相關法律的新解釋等多種模式協同構成的規范體系。第二個特點是場景化趨勢顯著。數據應用場景中的典型問題在國內外相關立法領域均被重視，這是由于數據在不同場景中的顯示屬性及其面臨的治理問題有差異。從實踐來看，在近期國內外立法中，“場景化”是不同于以往法律體系的突出特色，也代表了下位法立法的未來趨勢。

我國現行管理體制對人工智能數據法律治理的適應性分析

管理體制機制是推進人工智能數據安全治理的重要抓手，也是法律法規應明確的重要內容。我國政府現行管理體制具有統一領導、協調各方的特點，對持續應對具有高度復雜性、不確定性的安全情況具有優勢，但在面對人工智能數據的治理方面仍存在完善空間。具體而言，一是多頭管理，落實不夠到位。我國現有關于數據管理的政府職責分工難以應對人工智能強場景性，行業主管部門的主體地位沒有充分體現，針對性不強。二是對于技術的支撐和安全保障作用不夠。人工智能數據的高度復雜性和不可確定性導致其安全管理成為全球重大的科學問題，現有的數據管理體制難以支撐人工智能數據管理方法對科學和技術的依賴性。三是數據法律場景適應性不足。雖然《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》三部基礎性法律對個人數據、基礎設施關鍵數據等進行了基礎性定義，但是針對各類人工智能應用場景缺乏細致規定，比如醫療人工智能數據和自動駕駛人工智能數據因其特殊性不能適用同一套數據治理方案。四是操作細則不明。目前國家和地方都已制定相關法律法規，但是具體行業規范、實施細則還未落實。五是激勵不足。現有的政府管理體制中，數據開放激勵機制不健全，不同部門的管理重點各異，人工智能數據開放和共享并不是部門主要職責，因此缺乏積極性。

未來推進“人工智能數據安全”法律治理的建議

在基本原則層面上，人工智能數據法律治理應遵循“保安全促發展”原則，數據安全是人工智能發展的前提，健康高質量發展是數據安全的目標。人工智能數據安全應是貫穿人工智能研發應用全過程的動態安全。數據的保密性、完整性和可用性應保障研發人工智能數據安全保護技術，積極推進人工智能數據資源開發利用，保障人工智能數據依法有序自由流動。同時，實施人工智能數據安全管理，應當遵循政府主導、保護創新、審慎監管、權責統一、預防和控制風險等要求。

首先，積極推動聚焦人工智能場景的法律治理工作。政府應發揮主導作用，針對不斷演進的人工智能新問題提出立法建議，完善執行機制，明確開展人工智能數據活動的組織及個人的數據安全保護義務，落實數據安全保護責任。同時評估法律運行效果，追蹤可能產生的人工智能數據安全方面的新情況新問題，及時發布人工智能數據安全風險警示。國際上，歐盟于2021年4月通過了全球第一個通用性的人工智能領域立法提案《人工智能法》，該法案首次明確了針對人工智能應用場景進行風險分級分類的相關規定。同時，目前已有多個國家針對自動駕駛、人臉識別等人工智能應用特殊場景單獨發布法律和標準，比如美國《自動駕駛法案》、舊金山《停止秘密監視條例》、英國《自動與電動汽車法案》、荷蘭《自動駕駛汽車測試法（草案）》等。中國在2018年也印發了《智能網聯汽車道路測試管理規范》，但是數據相關規范僅占較低比例。基于國際上已針對特定人工智能場景進行立法，且人工智能各應用場景具有較大差異性，建議借鑒國際經驗，選定一批亟需法律保障以及可以作為試點的人工智能應用場景進行單獨立法，在三部基本法的基礎上針對不同場景探索全社會性的人工智能數據安全規劃。

人工智能具有強場景性特性，因此建議在具體人工智能場景中可采用布局“橫縱網格化”的治理實施體系，提高行業主管部門在治理體系的主體地位，落實數據安全應用。橫向上，地區人民政府確定部門負責指導、推進和協調本行政區域內人工智能數據應用的安全工作。縱向上，行業主管部門（例如：公安、交通、衛健等）根據相關法律法規，負責組建行業人工智能數據專家委員會，并制定專家委員會工作規則，同時指導、監督行業內人工智能數據安全應用和發展。

其次，積極推動建立“技術+制度”的治理體系。由于目前各種應對人工智能安全風險的技術仍處于初步階段，防御技術不能抵御所有攻擊類型，缺乏成熟的技術治理工具，需要及時加大投入，促進開展人工智能數據安全檢測評估，采用人工智能技術提升數據安全保護和監管效率。因此，將科技力量納入建設架構中，以“安全技術與治理方法研究—實施認證—產業推動”思路，推進“制度+技術”的雙輪驅動。第一，在安全技術與治理方法研究上支持開發人工智能數據安全評估體系，支持科技倫理體系研究,組織多領域科學家和專家研究人工智能數據安全監測的綜合方案，以及數據安全評估科學工具和認證辦法，推動技術評估平臺建設和算法訓練數據集建設。第二，推動實施認證部門指導政府和企業進行安全審查工作，組織相關認證機構開展人工智能數據安全管理認證和應用程序安全認證工作。第三，產業推動部門負責指導協調、統籌推進人工智能企業落實人工智能數據安全相關法律法規及準則。激勵推動人工智能企業自愿通過數據安全管理認證和應用程序安全認證，推進人工智能安全產業的發展。人工智能數據治理是多主體多場景多工具的立體式協同治理,是在動態平衡中不斷演進完善的，敏捷、協同、高效地使用治理工具，形成人工智能多維結構動態治理體系，為人工智能數據安全問題提供解決方案，讓人工智能安全賦能更多場景，充分激發經濟活力，為未來立法工作發現盲點、總結經驗、夯實基礎。

最后，在堅持中國核心價值觀的基礎上，面向國內國外“雙循環”戰略，積極參與國際人工智能治理規則制定。對內要完善數字治理體系，盡可能保證治理規則公開化、透明化，特別是在知識產權、公民隱私、公正公平問題上不能授人以柄。對外要探索建立符合多方監管要求的跨境數據流動規則體系，就人工智能的科學應用、合理推廣為世界尤其是發展中國家提供良好范本，搭建人工智能治理國際合作平臺，確立在人工智能治理國際合作中的合理定位，爭取在全球人工智能治理體系建設過程中發揮關鍵核心作用。