人工智能時代個人信息保護的法律規制

［摘要］互聯網的飛速發展以及人工智能技術的普及，已經嚴重削弱了信息主體對個人信息的掌控能力，因此亟須重新審視和完善個人信息保護。傳統的構建于控制理論和個人信息自決權理論之上的個人信息保護模式逐漸顯現出缺陷，使得個人自我管理信息這一看似簡單卻又不可或缺的概念變得極為模糊不清，為了消解人工智能發展對個人信息權利保護的侵蝕，緩和當下個人信息保護法律機制捉襟見肘之困境，應對人工智能應用場景下個人信息保護的需要，應借鑒歐美基于情境和風險防控理念的個人信息保護新機制，從提高個人信息處理透明度、構建敏感個人信息的分層和分階段同意規則、尊重情境、擴充監管手段、明確違法個人信息處理行為的法律責任等方面進一步完善個人信息保護法律制度。

［關鍵詞］人工智能；個人信息保護；法律規制；創新研究

［中圖分類號］D913［文獻標志碼］A［文章編號］2096-1308（2024）03-0053-13

隨著中國的互聯網用戶數量不斷增多，應用軟件數量暴漲，個人信息的搜索和利用也日益成為一種日常現象。盡管政府采取了一系列措施，以確保個人信息的安全，但是一些企業、機構以及個人仍然存在著濫用個人信息、濫用權力、濫用資源、濫用權威的行為，嚴重威脅公共安全，給社會帶來了極大的危害。隨著信息技術的發展，保護個人信息已經成為當今社會普遍受到重視、迫切需要解決的重要社會問題。隨著人工智能技術的不斷發展，尤其是大數據的廣泛應用，我們必須認真思考如何有效地保護個人信息，以確保其安全性和可靠性。

一、傳統基于控制理論的個人信息保護模式

當今世界，個人信息保護立法最為發達的首推美國和歐盟。美國對個人信息的保護主要體現于隱私法中。早期美國隱私法并沒有個人信息這個概念。隨著計算機和互聯網的發展，個人信息可以被搜索、疊加、分析并海量處理，個人信息保護問題才真正受到關注，而傳統隱私權制度無法對個人信息進行有效保護。在此背景下，美國通過擴張隱私范圍的方式將個人信息納入保護范圍，而個人可識別信息（Personally Identi-fiable Information，PII）是美國隱私法中最核心的概念之一，個人可識別信息界定了隱私法保護的范圍，個人可識別信息的收集、使用和披露都主要置于隱私法的框架下予以保護，沒有個人可識別信息，就沒有隱私損害。

See Paul M.Schwartz & Daniel J.Solove：The Pll Problem：Privacy and a New Concept of Personally Identifiable Information，86 New York University Law Review 1816（2011）.

（一）美國個人信息保護模式

美國的個人信息保護立法以控制理論為基礎，重視個體的選擇權和自治權，以確保其安全性。See C.Fried：Privacy，77 Yale Law Journa l475，482（1968）;W.A.Parent：Recent Work on the Concept of Privacy，20 American Philosophical Quarterly 341（1983）.根據控制理論，個人應該擁有選擇自己行動的權利，從而掌握自身信息。這種行動不僅要求個人遵守相應的規則，還要求他們能夠根據自身偏好來進行選擇，從而確保自身的利益得到充分的保障。See Christophe Lazaro & Daniel Le Metayer：Contro lover Personal Data：True Remed yor Fairy Tale？12 SCRIP Ted 3（2015）.除了自我決定和自我管理理論，學者還從財產角度概念化控制并分析數據主體的權利。See J.Litman：Information Privacy/Information Property，52 Stanford Law Review 1283（2000）.根據這一理論，個人信息可以被視為財產權利。人們應當對有關他們的信息享有所有權，有權控制其對個人信息的處理。控制了某人的權利在法律上就意味著在“信息市場”上有權交易該數據。核心理念在于信息主體的“同意”，這是控制理論和財產理論的關鍵。這使得個人信息的收集、使用、公開和交易變得合法。在控制理論的支配下，美國形成了以聯邦貿易委員會（Federal Trade Commission，FTC）和行業自律為主要模式的個人信息保護體制。FTC主要充當消費者個人信息保護“守夜人”的角色。FTC保護個人信息的手段為要求公司充分披露其涉及消費者或用戶的個人信息處理行為，即“透明度規則”。對于在個人信息領域的違法行為，FTC有權進行處罰或提起訴訟。FTC支持網絡產業的自我管理，規定與消費者數據收集產業有關的透明度并促進“禁止追蹤”機制和“選出”機制的使用。“禁止追蹤”機制允許消費者選擇停止由之前已獲得其同意的公司或數據中間商對他們信息的追蹤。“選出”機制賦予消費者選擇不讓某個公司獲取并使用他們個人信息的選擇權。通常而言，FTC會采取強制措施確保公司履行保護消費者個人信息的承諾，并有權對違反隱私承諾、欺騙消費者的公司進行處罰并提起訴訟。Trade Comm，n，Protecting Consumer Privacy in an Era of Rapid Change，Federal Trade Commission（Jul.14，2012），http：//www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-pro-tecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf.

美國的個人信息保護不僅依賴FTC的保護，而且在計算機和互聯網領域，其行業內的自我約束和監督也構成了一大獨特的特征。行業自律監管的核心為“告知和選擇”機制。“告知”要求個人信息處理者應當申明隱私政策，詳細描述收集、使用和傳播用戶個人信息的各種方式，以及如何對用戶的個人信息進行保護。“選擇”為用戶提供了一種自由的選擇權，允許他們在“選出權”的規定下，自由地采取、利用或傳播自己的個人信息，而無須遵守“選出權”的規定。只有當用戶明確表示反對，才能夠按照“選擇”的規定，采取有效的措施來保護自己的隱私。See Daniel J.Solove，Woodrow Hartzog：The FTC and the New Common Law of Privacy，114 Colum.L.Rev.583（2014）.

鑒于計算機技術帶來的個人信息泄露的風險，美國政府的顧問委員會首先發布了“公平信息行為準則”（或稱“公平信息實踐”，Fair Information Practice Principles，FIPP），這一規定隨著時間的推移，不斷受到重視，并且在各個領域中得到了普遍的實施，已經成為一種普遍的行業準則。FIPP是一種完美的個人信息保護方案，它結合了控制理論的核心思想，完美地實現了對個人信息的有效管理。“公平信息行為準則”是目前最受歡迎的規范，包含了一些重要的原則OECD也有類似規定，See OECD Guidelines on the Protection of Privacy and Transboder Flows of Personal Data，OECD（May 2，2017），http：//www.oecd.org/document/8/0，3343，en_2649_34255_181518611_11，00.html。：第一，為了確保安全，在采集個人信息之前，應當明確其采集目標，并且確保所采取的措施和結果都能夠滿足這一要求；第二，“信息最小化”規定，在進行個人信息收集和使用時，應當遵循一系列原則，確保其不超出最低限度；第三，在沒有經過當事人授權或擁有法律許可的情況下，任何形式的個人信息都必須嚴格遵守保密義務，禁止任何形式的泄露；第四，只采集精確、可靠、及時和有效的數據，以滿足預期目標，保證個人信息的準確性、完整性和及時性；第五，每一位公民都應該被賦予以下權利：了解和掌握自己的隱私，以及可以對自己的信息進行更新和修訂，包括但不限于收集、使用、分析和反饋；第六，構建有關個人能夠知曉及了解的信息處理機制（透明處理機制），即應當告知社會公眾隱私政策和措施，個人應當能夠有途徑了解個人信息的使用情況；第七，為了確保個人信息的安全，我們必須采取有效的安全措施，以防止任何未經授權的人員獲取、破壞、使用、篡改或披露這些信息；第八，按照責任原則，擁有收集、傳播和處理個人信息的權利的一方應當負起義務，以確保這些規定得到充分執行。Information Resellers：Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace，U.S.Goverment Accountability Office（May 6，2013），http：//www.gao.gov/assets/660/658151.pdf.

（二）歐洲個人信息保護模式

歐洲的個人信息保護立法建立在一種獨特的理念——個人信息自決論上，這一理念起源于德國的法律，其認為，任何不尊重他人意愿收集、處置和使用他人的信息，都會損害他人的合法權益，并且會對他人的身份造成不可挽回的損害。［1］個人信息自決論認為，任何形式的個人信息都應該由擁有者負責，而且這種負責是不可抗拒的，因此，任何形式的個人信息的收集、處理都應該遵守相關法律法規，以確保其安全性、完整性和準確性。例如，德國《聯邦數據保護法》（Federal Data ProtDlmsZGT0sHelabk3G02RQQ==ection Act）第4節第1款明確規定“只有在本法或者其他法律允許或規定或數據主體同意時，個人數據的收集、處理和使用才是被許可的”。1995年，歐盟發布了《個人數據保護指令》，這標志著歐盟正式開始采取有效措施來保護個人信息。該指令規定的個人數據處理原則與FIPP基本一致，即包括合法處理、目的限定、數據最小化、透明度、個人數據安全保護、數據處理責任等，唯一不同之處在于該指令更為細致地區分了敏感個人數據和非敏感個人數據，對個人數據進行差別化保護。

從“權利中心主義”的角度來看，傳統的個人信息保護模式的核心在于強調個人的權利，以及他們的主觀意愿，以便他們能夠更好地掌握自身的信息，從而更好地實現自身的合法權益。因此，應當采取更加靈活的措施，以便更好地保護個人信息。

二、人工智能時代傳統個人信息保護模式之不足

傳統個人信息保護法律建構于控制理論和個人信息自決權理論根據前述分析，兩種理論在本質上都是強調信息主體對其個人信息的有效控制，并以此為基礎構建個人信息保護規則，后文統一以“控制理論”指代這兩種理論。之上，重視個人數據所有者的“管理”，并將“知情同意”作為中心構建出一套完整的數據采集與處置程序。隨著科技的飛速發展，20世紀90年代及21世紀初，歐美國家開始采取更加先進的措施，以確保個人信息的安全。這些措施不僅可以防止個人信息被濫用，而且還可以更好地保護個人的隱私，從而提高公眾的生活質量。到目前為止，個人控制理論一直都是解決個人信息處理技術問題的核心方案。基于該原因，控制的概念經常作為個人信息保護政策的核心要素被提及。近20多年來，互聯網的飛速發展以及人工智能技術的普及，已經嚴重削弱了信息主體對個人信息的掌控能力，使得個人自我管理信息這一看似簡單卻又不可或缺的概念變得極為模糊不清。借助“知情同意”框架來保護個人隱私顯然是行不通的，而“失靈”則可能會帶來更大的風險，因此，應當采取更加嚴格的措施來加以防范。

（一）“霸王政策”造成的信息不對稱

由于“霸王政策”的出臺，信息不對稱問題日益突出，這嚴重削弱了以控制理論為基礎的個人信息保護模式的可靠性。因此，在這種情況下，必須建立一種新的理論框架，以確保信息主體具備足夠的自治權，以便在獲得相關權利后，可以自由地采取措施，以確保個人信息的安全。盡管大多數人都沒能完全了解個人信息的安全性，但是他們仍然可以通過學習相關的技能，以及遵守相應的法律規定來確保自身的隱私安全。

由于信息不對稱，信息主體有時并不知道其個人信息被收集，也不知道其個人信息會被怎樣處理。在缺乏足夠信息的情況下，由于信息不對稱及缺乏對于不確定性和潛在風險的了解，信息主體作出決策的過程受到干擾。

大多數情況下，由于沒有足夠的認識，信息主體往往無法預料到個人信息被泄露的可能性，從而導致他們無法作出正確的決定。此外，一些人工智能應用給出的隱私政策太多，又太復雜，以致大多數消費者都沒有足夠的耐心去理解，從而使得他們更加困惑。讓人費解的隱私政策還會給消費者造成錯覺。通常，個人信息處理者自愿公布隱私政策，會讓消費者產生個人信息保護方面的信賴，以為非經其同意，個人信息處理者不會分享其個人信息。

事實上，這些個人信息處理者是在作出虛幻的承諾，消費者的數據可能在他們毫不知情的情況下就被分享了。因此，很多消費者會不假思索地對商家收集其個人信息的行為全盤接受。尤其是一些人工智能服務，特別是在移動互聯網設備上運行的人工智能服務，都需要依賴于用戶對這些網站或APP的接納。如果沒有得到用戶的許可和審查，就可能遭遇“霸王政策”的限制，導致“同意”的內容和用戶的真正需求相悖，進一步導致“控制”的內容無法被獲取。

盡管“全過程控制”規定了個人信息的處理要求，但是，由于缺乏足夠的知識和技術，許多信息主體仍然無法完全把握自己的個人信息，從而無法作出正確的決定。因此，要想真正控制自己的個人信息，需要更多的技術支持和管理措施。隨著人工智能的發展，信息的獲取者變得越來越多樣，但是大部分的受眾仍然是未被授權的，他們沒有辦法獲取自己的個人信息，也沒有辦法獲得“控制”中規定的權利。隨著個人信息從原始收集者轉移至中介機構，這些機構不再需要原始收集者的授權，也就是說，原始收集者對其個人信息的掌控權已經完全喪失。

（二）技術發展改變了個人信息收集與處理模式

隨著一些先進技術的出現，個人信息的收集與處理已經徹底改變了傳統的模式，讓個人的隱私安全變得不再可能。以谷歌街景和百度全景地圖為代表的三維空間仿真交互體驗式地圖，更加清晰地展示了個人隱私。這項技術的基礎在于，它使用先進的攝像頭，從虛擬環境中捕捉出360度的完整畫面，再經由精密的軟件處理，將這些畫面組合在一起，形成一個逼真、完整的三維空間環境。拍攝街景時，通過捕捉周圍的環境、汽車牌照和其他圖片，創建一張交互的視覺地圖，從而無形中收集、利用和展示個人信息。盡管開發者們已經采取了一些技術手段，如打印技術等來清晰展示地圖上的人臉、汽車牌照等，但是，如果結合周圍的風光、標志、符號以及人物體態等在這種情況下，受訪者很難實施傳統的個人信息管理，也就是說，他們不能按照自己的意愿來收集、使用或披露自己的個人信息。See Teresa Scassa：Geographical Information as Personal Information，10 Oxford University Commonwealth Law Journal 185（2010）.

（三）知情同意權的全面瓦解

隨著時代的進步，“知情同意”的全面瓦解，對于個人信息的決定性影響極大，而且現有的基于控制理念的個人信息防護條例已經無法應對當前的挑戰。FIPP作為一種新型的保護機制，不僅可以有效地限制個人信息的使用，而且還可以通過深入分析、挖掘、評估等手段，將其轉換為可持續、有效的資產，從而有效地提升個人信息的價值，達到更好的社會效益。隨著科技的發展，“目的限定”原則面臨著前所未有的挑戰，個人信息已經變得越來越重要，不僅具有極高的商業價值，而且還能夠極大地改善社會福祉。“信息最小化”原則也受到了越來越多的挑戰，因此，FIPP中的透明度原則變得越來越重要，即在收集、處理、分享和使用個人信息時，應當清楚地向相關方披露其真實意圖。隨著大數據技術的發展，信息主體可以更加清楚地了解自己所獲取、處理和使用的個人信息是否符合預先設定的目標。

基于以上原因，依賴信息主體對其個人信息進行有效控制幾無可能，必須要有新的機制實現對個人信息的有效保護。在人工智能技術環境下，控制個人信息究竟是何含義？這種控制的特點、目的和潛在限制是什么？我們如何保證個人有效控制其個人信息？或者，我們是否應當改變思路，以新的模式代替傳統基于控制理論的個人信息保護模式？

三、人工智能應用背景下我國個人信息處理的規制策略

（一）我國現行個人信息保護模式

當前，我國多部法律規范性文件都明確了對個人信息的保護，以下五個法律規范性文件具體闡述了人工智能應用背景下我國個人信息處理的規制措施。

1.《關于加強網絡信息保護的決定》。全國人大常委會《關于加強網絡信息保護的決定》第2條規定：“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息。網絡服務提供者和其他企業事業單位收集、使用公民個人電子信息，應當公開其收集、使用規則。”這項法律旨在確保個人信息得到有效保護，其中包括：第一，在收集、使用信息之前，雙方應當簽署協議，確認雙方都已獲得了相應的授權；第二，明確了信息收集、使用的具體內容，以及“知情同意”規則，以確保信息安全。該決定第3條規定任何接觸到的個人信息都應當受到嚴格的保護，禁止被泄露、篡改、破壞，也禁止將其出售給任何未經授權的第三方，這就是所謂的個人信息安全規則。該決定第4條規定信息收集者和處理者有責任采取技術手段和其他必要的措施來確保個人信息安全，一旦發現個人信息遭受侵犯，就會立即采取補救措施。此外，該決定第8條還明確規定任何侵犯個人隱私的行為都將被網絡服務提供者立即刪除，或者采取其他必要的措施來阻止。

2.《消費者權益保護法》。《消費者權益保護法》第29條明確規定任何企業或組織都有責任采取有效的技術手段，確保消費者的個人信息得到有效保護，包括但不限于獲得消費者授權，公布信息來源、數量、格式以及使用規則，以及采取有效的防護措施，以防止個人信息被濫用或侵犯。《關于加強網絡信息保護決定》也明確提出，企業應當遵守《消費者權益保護法》第29條的規定，確保消費者的權益得到有效保障。

3.《網絡安全法》。《網絡安全法》和“網絡運營者”都是《關于加強網絡信息保護決定》的重要組成部分，它們都旨在維護和保障公民的個人信息，《憲法》進一步明確“網絡的所有者、管理者和網絡服務提供者”的權利義務，更清晰地指出了各相關責任主體的職責。《網絡安全法》第40條規定“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度”，這個法律條款旨在為個人信息提供有效的保護；第41—43條明確指出，任何未經授權的行為都將被視為違反《關于加強網絡信息保護決定》第2條的規定，并禁止收集任何與網絡服務無關的個人信息。此外，《網絡安全法》第42條第1款也明確指出，任何未被授權的行為都將被視為違反《關于加強網絡信息保護決定》第3條的規定，并將其列入安全保護的范疇；《關于加強網絡信息保護決定》第4條和第8條，第42條第2款以及第43條均明確規定，信息主體不僅可以自行刪除違規內容，還可以根據該決定的規定，及時糾正發布的錯誤信息。

4.《民法典》。我國《民法典》含有大量關于個人信息保護的規定，《民法典》和《個人信息保護法》中有關個人信息保護的規定基本承襲原有立法，但也有相當多的規定是原有立法不能囊括的。《民法典》第1035條規定了處理個人信息的條件，第1036條規定了行為人處理個人信息責任豁免的情形，第1037條規定了自然人享有的個人信息權利，第1038條對個人信息保護進行了明確規定，第1039條還特別規定了國家機關、承擔行政職能的法定機構及其工作人員在履行職責過程中對自然人個人信息的保密義務。

5.《個人信息保護法》。2021年8月通過的《個人信息保護法》是我國完整規定個人信息處理規則的法律，將個人信息保護權上升為公民的一項基本權利。《個人信息保護法》是中國首部針對個人信息保護的特別立法，它對于個人信息的安全性及其防范措施作出詳盡的規定，包括但不限于個人隱私的保護、敏感信息的管控、政府機構的監管、跨境數據交換的準入、個人在數據交換過程中的權益、數據交換者的責任以及負責數據交換的相關部門。此外，《個人信息保護法》還特別強調了人工智能領域的數據安全問題。

當前，中國的法律依然遵循歐美國家的傳統，即以控制理念為核心來保護個人數據。這種方式已經初步構建包括知情許可、目標設置、公開性、數據安全、數據對社會產生的影響評價在內的數據保護規則，并且給予了數據使用者一連串的數據權益。一些半官方性質的智庫發布的個人信息保護規則也沒有跳出這個框架。［2］在司法實踐中，同樣是圍繞控制理論展開對個人信息處理合法性的討論。例如，在北京淘友天下技術有限公司等與北京微夢創科網絡技術有限公司不正當競爭糾紛案中，北京知識產權法院認為：“商業化利用個人信息必須告知用戶并取得用戶的同意。因此，互聯網中，對用戶個人信息的采集和利用必須以取得用戶的同意為前提，這是互聯網企業在利用用戶信息時應當遵守的一般商業道德。第三方平臺在使用用戶信息時還應當明確告知用戶其使用的目的、方式和范圍，再次取得用戶的同意。新浪微博用戶選擇對公眾公開個人信息，并不意味著上訴人淘友天下技術有限公司等可以未經新浪微博用戶的同意，獲取用戶頭像信息、標簽信息、職業信息、教育信息并展示在脈脈軟件的人脈詳情中。”參見北京知識產權法院民事判決書（2016）京73民終588號。簡單來說，中國有關個人數據保護的規章制度，其核心思想是在設立特定處置目標后，堅持數據最少化，并且在獲得數據使用者的知情同意后，堅持數據處理的公正和完備，嚴格限定數據處理的手段和策略，給數據使用者提供了多項權益，同時也對非法數據處置的法律義務進行了適當的劃分。中國政府一直致力于保護公民的隱私，“個人信息控制論”和“個人信息自決論”都為此作出了重要貢獻。“知情同意”則強調了個人應該遵守相關法律，以確保個人隱私得到妥善管理。然而，要想讓這一政策真正起到作用，就必須讓公民具備足夠的知識和技能，以便正確地行使他們的權利。

（二）基于強化控制與風險管理理念的個人信息保護模式

鑒于中國的個人信息保護法規體系相當脆弱，目前，個人信息被無序地搜尋與濫用的現象極為常見，而公眾對自身信息的管理權利的認知仍然不夠深入。為應對人工智能應用場景下個人信息保護的需要，我們應借鑒歐美基于情境和風險防控理念的個人信息保護新機制，從以下幾個方面進一步完善個人信息保護法律制度。

1.提高個人信息處理的透明度

透明度是信息主體行使權利的前提。隨著技術的發展，“隱私聲明”等傳統的個人信息處理透明度機制已經逐步被淘汰，取而代之的機制更加清晰易懂，更加注重重點信息，讓用戶能夠更加清楚地了解到自己所需要的信息。為了更好地保護個人隱私，我們建議個人信息處理者使用簡潔易懂的語言來表達“隱私政策”，并在重點部分使用大號字或斜體來表示。鑒于目前的透明度機制僅限于事前收集，未來在完善《個人信息保護法》的過程中，必須將這一機制融入整個處理流程中，讓受訪者可以清楚地知曉自身的信息、相關的法律條款、安全措施、權利和行使方式。為了確保公眾的合法權益，我們需構筑一套持久且高效的信息發布體系，這就要求信息管理員在搜集與處置個人數據的流程中，應該即刻通知大眾可能發生的改變以及潛在的危害，以此有力地保障大眾的了解權。為了確保信息披露的有效性，立法應當明確規定信息處理者應當向受眾提供哪些信息，以防止信息過載，并且確保披露的準確性。此外，還應當以清晰、簡潔的語言，醒目的方式提供對受眾決策有影響的重要信息，特別是提示受眾有訪問、更正、刪除等一系列權利及其行使方式。［3］為了更好地傳達信息，應該提供更詳細的解釋，包括提供補充鏈接、彈出特別提示、使用可視化演示或體驗式告知等方式。這樣可以避免產生歧義，提高傳達效果。

2.構建敏感個人信息的分層和分階段同意規則

一般來說，對于敏感的個人信息，處理者需要獲得對方明確、詳細的授權，而這種授權比普遍接受的默示授權更加嚴苛。因此，在處理這些敏感的個人信息時，雙方都需要遵守相應的規則。［4］隨著技術的進步，新型的同意模式已經不再局限于信息收集階段，而是將更多的時間和精力投入到更深層次的交互中，使得信息主體能夠更加自由地選擇是否參與后續的處理，從而獲得更多的權利和自由。鑒于個人信息處理的復雜性，其所面臨的風險也可能因環境的不斷變化而發生改變，為了確保雙方的認可，我們必須根據不同的情況，構建一套分級和分步的認可機制。根據對敏感個人信息需求的不同，我們將信息進行分層，第一層僅涵蓋是否接受處理該信息，以及接受處理的具體類型、目的和方法，這是當前普遍采用的接受模式；第二層則更多地關注接下來如何處理該信息，而且比起最初獲得的接受，它們的內容也會發生改變，甚至會超出接受者本身對處理情況的預期。此時，必須獲得相關方的授權才能繼續進行。在收集、存儲、使用、加工、傳輸、提供和公開敏感個人信息的過程中，雙方必須按照一定的步驟簽署協議，明確每一步的責任和義務，并就可能出現的風險作出相應的承諾，確保信息安全。在處理敏感個人信息時，必須獲得信息主體的單獨授權，禁止“一攬子”授權。采用分層、分階段的授權，可以使信息主體清晰地表達自己的授權，從而消除授權的模糊性，使他們更加清楚地認識到自己的授權，并且采用適合自身情況的授權模式，從而有效地控制自己的敏感個人信息。［5］

3.尊重情境

尊重情境是美國《消費者隱私權利法案（草案）》用以取代傳統目的限定原則的“工具”，是對個人信息處理的“動態控制”。由于目的限定原則僅關注個人信息處理行為是否符合信息收集之時確定的目的，忽視了個人信息處理過程中可能存在的變化，一方面無法適應人工智能時代大規模處理個人信息的現實需要，另一方面也無法真正實現信息主體在特定情境中對個人信息保護的期待。由于個人信息的范圍不斷擴大，在不同情境之下，對于個人信息的同樣利用會帶來不同的結果，并導致在某一情境之下個人信息的合理利用在另一情境之下就轉變為不合理。而衡量個人信息利用是否合理的關鍵在于個人信息利用是否符合信息主體的合理預期。尊重情境要求收集和處理個人信息的方式必須與信息主體提供信息時的情境相一致。若在收集個人信息后，以與個人信息收集時不相符的方式處理這些信息，則必須通知信息主體選擇是否同意該處理方式。

尊重情境還表現在對個人信息的“動態”界定。個人信息的傳統定義方式存在的最大問題在于對信息的絕對二元化區分。然而隨著計算機和網絡技術的發展，過去非個人可識別信息通過整合轉變成了可識別信息，導致個人信息和非個人信息之間的界限變得模糊。特別是人工智能技術大數據技術能夠使計算能力和算法精度最大化，可以對數據進行篩選和對比分析，進而產生更加真實、客觀和精準的結果。被廣泛應用于信息分析，使信息的價值得到了充分挖掘。另外，區分個人信息和非個人信息有時候也取決于情境。“可識別性”對于個人信息的存儲至關重要，然而，當今，這種信息的可靠性取決于技術的發展，而不僅僅是人類的主觀感知。通過對信息進行收集和分類，許多價值較低的數據得以被“可識別性”所描述。［6］例如，去除諸如姓名、住址、電話號碼、社保賬號等識別信息的醫療數據，并非真正匿名，因為剩下的數據通過與其他數據庫數據連接或比對，或通過尋找獨特特征的方式仍能被用來重新識別個人。因此，絕對化地將信息二元化區分為個人信息和非個人信息是難以實現的，對信息是否具備“可識別性”的判斷必須建立在相應情境基礎上。隨著個人信息的不斷增加，對其的界定也發生了變化，有時會受到特定環境的影響而發生改變；脫離特定情境，特定信息就不具有可識別性，也就不是個人信息。因此，未來在完善《個人信息保護法》時，應該明確個人信息的界定必須基于特定情境。在特定情境下，能夠被認定為個人信息的，關于該信息處理的全過程都應當納入信息主體的控制之下。

4.擴充監管手段

目前我國尚未設立專門的個人信息保護監管機關，個人信息保護相關立法也未明確個人信息保護的監管機關。《網絡安全法》第64條第1款規定：“網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定，侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。”《電信和互聯網用戶個人信息保護規定》規定的監管措施包括提供相關資料、現場檢查、對違法行為記入其社會信用檔案并予以公布等。相較于歐盟的監管措施，我國現有的監管手段還很匱乏。尤其是當個人信息處理者存在非法活動，可能引發或造成嚴重的個人信息泄露或傷害時，監管機構應當對這些處理者實施短期或永久的限制，包括禁止信息處理活動、命令修改或刪除個人信息、要求整改等。對于違反《個人信息保護法》的一般行為，可以賦予監管部門進行譴責的權力。除此之外，歐盟《通用數據保護條例》中監管部門的建議類職權也值得借鑒，如就個人信息保護向相關主體發出倡議、要求，制定標準個人信息保護條款建議信息收集者或處理者采用等。

5.明確違法個人信息處理行為的法律責任

隨著社會的發展，我國的法律法規越來越加強對于個人信息的保護，其中最高人民法院和最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確指出，任何形式的侵害他人隱私的行為，均將受到嚴厲的刑事處罰。相比之下，違反《個人信息保護法》規定的行為應當受到怎樣的行政監管，相關主體應當如何承擔民事責任則缺乏足夠的規范指引，導致出現刑事制裁與其他法律手段脫節、責任規范與行為規范脫節的現象。［7］保護人工智能應用場景中的個人信息，刑事規制固然重要，行政和民事方面的法律規范亦亟須補強。

一是行政責任。在行政監管過程中發現個人信息處理者存在違法行為的，個人信息主管部門應根據違法行為情節的輕重予以相應行政處罰。個人信息處理者存在一般違法行為且未造成嚴重后果的，個人信息保護主管部門可以采取警告、責令限期改正等處罰措施；個人信息處理者的違法行為對信息主體的權益造成侵害的，個人信息保護主管部門應當責令相關責任主體消除影響（如刪除個人信息）、賠禮道歉并予以罰款；對于嚴重違法行為（如造成大范圍的個人信息泄露），可以并處吊銷責任主體的個人信息處理許可乃至營業執照等；對于無權處理個人信息的，應當責令銷毀個人信息文件并予以罰款甚至拘留；對于多次違法處理個人信息的，應當加大處罰力度。至于情節嚴重的認定，可結合違法所得、違法處理個人信息的數量、信息主體權益受損的程度、造成的經濟損失和社會影響等因素考慮。

二是民事責任。任何參與個人信息處理的主體都需要對違法個人信息處理所造成的損害承擔責任。為充分保障信息主體的權益救濟，應采取舉證責任倒置，即只有當個人信息處理者能夠證明其對引起損害的事件不負任何責任時，才能豁免其責任。在存在多個侵權主體的前提下，可能存在的責任形態包括連帶責任、按份責任和補充責任。對于民事責任的承擔，除了采取停止侵害、消除危險、消除影響、恢復聲譽、賠禮道歉等非財產性的措施之外，為了降低對違反個人信息的處置費用，建議在普通的損害賠償的基礎上增加懲罰性賠償。《民法典》只是在第1185條規定了故意侵害他人知識產權且情節嚴重情形下的懲罰性賠償。故意侵害個人信息權益且導致嚴重后果的違法行為的危害性并不弱于故意侵害知識產權行為導致的嚴重后果，未來亦可參照《民法典》第1185條在個人信息保護立法中明確故意侵害個人信息權益且導致嚴重后果的懲罰性賠償責任。

為了保護個人信息，必須認真審查可能導致個人信息受到侵害的原因。我們必須確定賠償金額，并且要綜合考慮所有可能導致這些問題的因素。特別是在這個信息爆炸的時代，由于現代科技的發展和大量的自動化數據處理，敏感的個人信息可能面臨的風險要遠遠高于普通的個人信息。為了有效保護敏感個人信息，應當綜合考慮可能導致其受到侵犯的各種因素，包括但不限于受到侵犯者的身份、資格、數量、可見性，以及被侵犯者采取何種行動所造成的后果。盡管沒有明顯的損失，但如果某些處理敏感個人信息的行為可能引起公眾的恐慌，甚至可能造成嚴重的傷害，那么就必須承認這種情況的存在，并且可以給予相應的寬容。See Paul Ohm：Sensitive Information，88 S.Cal.L.Rev.1125（2014-2015）.此時，應當考慮的因素主要有：侵犯敏感個人信息所帶來的風險程度、可能性和嚴重性等。［8］在確定敏感個人信息損害賠償金額時，“過錯”的規定是必須的，這一規則明確了侵權行為的必要性。相比于傳統的侵權行為，大數據環境中的敏感個人信息侵權行為更加輕微。盡管“過錯”并未構成對敏感個人信息的侵犯，但“過錯程度”（包括故意、重大過失、一般過失和輕微過失）對于確定受害者的賠償金額起著極其重要的作用。［9］過錯程度越高，個人信息處理者所應承擔的損害賠償責任就越重。

四、結語

隨著人工智能技術發展與進步，算法和數據已經成為其發展的核心動力。它為我們的日常生活帶來巨大的變革，同時也極大地增加了社會風險。一些機構和個人開始隨意收集、違規獲取、過度使用個人信息，甚至非法買賣個人信息。這些行為侵擾個人的生活安寧、危害個人生命健康和財產安全，對社會穩定、國家安全也構成威脅。因此，保護個人信息變得越來越重要，只有加強對個人信息的保護，我們才能真正享受到科技帶來的便利。

［參考文獻］

［1］楊芳.個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體［J］.比較法研究，2015（6）：22-33.

［2］中國科學技術法學會，北京大學互聯網法律中心.互聯網企業個人信息保護測評標準［J］.網絡法律評論，2015，17（1）：3-9.

［3］田野.大數據時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例［J］.法制與社會發展，2018，24（6）：111-136.

［4］丁曉強.個人數據保護中同意規則的“揚”與“抑”——卡-梅框架視域下的規則配置研究［J］.法學評論，2020，38（4）：130-143.

［5］黃道麗，張敏.大數據背景下我國個人數據法律保護模式分析［J］.中國信息安全，2015（6）：111-116.

［6］周漢華.探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向［J］.法學研究，2018，40（2）：3-23.

［7］解正山.數據泄露損害問題研究［J］.清華法學，2020，14（4）：140-158.

［8］郭北南.個人信息的民事法保護與救濟［J］.國家檢察官學院學報，2021，29（2）：151-161.

〔責任編輯：曲丹丹〕