摘要:人工智能时代个人信息数据极易被人工智能获取,产生个人隐私泄露的危机。人工智能时代可能出现三类与传统隐私侵权有别的情形,包括是否能将人工智能认定为侵权主体、如何降低人工智能将被匿名化的数据与其他信息相联从而产生去匿名化的隐私泄露风险、以及如何解决人工智能无处不在的收集能力使每一次数据收集未必经过数据主体同意从而侵犯数据主体知情同意权的问题。欧盟于2018年5月开始全面执行的《通用数据保护条例》重新调整了欧盟个人数据保护策略,其中部分法规可应对人工智能带来的隐私危机。文章将通过分析欧盟《通用数据保护条例》中涉及隐私保护的条款及后续拟修订出台的相关新规,探讨人工智能时代三类隐私侵权问题及探索解决方案。
关键词:人工智能;隐私;责任主体;去匿名化;知情同意
中图分类号:DF59 文献标识码:A
文章编号:1005-3492(2023)06-0097-12
人工智能概念最早由美国计算机科学家约翰·麦卡锡及其同事于1956年达特茅斯会议上提出,指让机器能够与人类做同样的行为。人工智能研究涵盖了计算机科学、统计学、脑神经学、社会科学等诸多领域,难以对其下一准确定义,通常认为人工智能是研究、开发用于模拟、延伸和扩展人的智能的一门系统技术科学。传统的计算机操作通过数据输入和算法设计,计算机软件设计者和使用者可以借助计算机软件生成数据处理后的结果;而人工智能借助机器学习产生了能从原始数据中提取模式的能力,这种能力即为人工智能自己获取知识的能力,人工智能对原始数据的分析和结果生成无需依赖人的参与就能完成。人工智能机器学习极大地增强了机器收集和处理数据的能力,包含个人隐私信息的数据极易被人工智能获取,产生个人隐私泄露的危机,如何应对人工智能时代个人隐私保护成为亟须解决的问题。
人工智能通过技术发展增强了人们获取和监控数据的能力,对隐私保护构成威胁。人工智能应用的重要场景是大规模监测和收集数据,人工智能具备的人机交互与联网能力将使处理数据更加容易和便捷。计算机科学家Joseph Weizenbaum设计的名为ELIZA的程序能通过与人的对话模拟心理分析,使参与者感知他所面对的不是机器而是人,从而不断回答程序提出的问题。人工智能的语音识别能力使数据处理更简便易行,ELIZA程序收集到的参与者回答无需经过人的分析和判断识别有用和无用信息,人工智能通过语音识别技术便能剔除乏味的对话,只保留有价值的信息,包括识别不为人发现和知悉的事实和现象,而且这些有价值的信息能被及时记录和突出重点。OpenAI公司于2022年11月30日发布其研发的人工智能聊天程序ChatGPT,旨在通过输入大量文本和数据训练机器理解人类语言,对给定提示生成拟人化的文本响应,并能就各类话题进行对话,生成创造性的文字内容。
人工智能人机交互和联网能力使人工智能逐渐成为像人一样的社会参与者,人工智能越具备人的相貌特征越能吸引人与其交流和互动。计算机科学界将这种现象称为“ELIZA效应”,即人们倾向于无意识地假定计算机行为类似于人的行为,使计算机行为拟人化。人工智能时代下的计算机技术将以往被动隐蔽的数据收集行为变得更加主动和与人互动,人工智能在无人参与数据收集和处理的情况下,能更稳定持久地收集数据,不像人会疲劳和受情绪影响;人工智能能获取、存储和操控更大规模的数据,能同时获取成千上万个人数据,进行大数据的智能处理;人工智能相较于人能进入更私密的空间领域,例如家、浴室甚至人的衣服里;而且人工智能基于其貌似可信、无偏私的特征更容易获取人们的信任,影响人的行为和情绪。
社会化的人工智能已更多参与到人的日常生活中。例如谷歌发布的首款安装谷歌人工智能助手Google Assistant的手机能通过持续不断获取用户的个人资料、偏好等信息为用户推荐合适的餐馆和上下班途中的交通建议;迪士尼未来屋展出中呈现的智能家具通过收集居住者的生理特征和偏好,能挑选合适的衣服用于配搭,烹饪台面能确定家里存储的食品,提出菜单建议;智能医疗的穿戴设备能随时了解人的心跳、脉搏、血压、睡眠质量等个人健康信息,通过汇总这些隐私信息以及锻炼情况、饮食习惯以及体征变化等来判断穿戴设备的人的身体是否健康。这些个人信息的利用可以便捷人们的生活,但如果使用不当或存在技术缺陷则会造成个人信息泄露,侵犯个人隐私。智能家庭音箱可在无人操作情况下将用户谈话录音文件发给其通讯录中的联系人;心脏起搏器、无线胰岛素泵等医疗设备的数据也可通过技术手段被非法访问。人工智能技术使得各类产品具备无差别监视能力,产生马克·波斯特在福柯“全景监狱”语境下发展出的“超级全景监狱”景象,即人工智能技术可实现对人全面的无时无刻的监视。
人工智能时代可能出现三类与传统互联网环境下隐私侵权有别的情形。第一,人工智能机器学习可使电子实体具备与人类相当的思维能力,图灵测试表示如果人通过书面问答与未知对象交流,提问者无法判断自己在与计算机还是人交流,这台计算机就可被认为是智能的。可见智能的机器使人难以分别其与人类思维的差别,如果人工智能侵犯个人隐私,该如何认定侵权主体便成为问题。第二,将信息数据匿名化从而使数据难以指向某个个人是保护隐私的一项重要措施,人工智能处理大数据的强能力可能使已被匿名化的数据与其他信息相联系从而达到识别信息主体和去匿名化的效果,加大侵犯隐私的风险。第三,数据主体的知情同意权是隐私保护下的一项重要权利,人工智能无处不在的监测和收集能力使得每一次数据收集未必经过数据主体的同意,破坏了隐私保护的基石。
个人隐私和数据保护一直是信息技术发展以来国际社会关注的焦点。瑞典于1973年制定第一部个人数据保护法《瑞典数据法》;美国于1974年制定《隐私权法》,为包含有个人信息的联邦政府记录提供保护;欧盟于1995年通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动指令》(简称《个人数据保护指令》),由各成员国将其转化为国内法;韩国、日本、新加坡等国先后制定了个人信息保护法,确立了个人信息收集使用的基本规则。欧盟于2012年着手对《个人数据保护指令》进行修订,欧洲议会于2016年4月14日通过了《通用数据保护条例》(General Data Protection Regulation),该条例于2018年5月25日生效,替代《个人数据保护指令》。《通用数据保护条例》从数据控制者和处理者的责任以及数据监管等方面重新调整了欧盟个人数据保护策略,其中部分法规具有前瞻性,包括进一步细化“知情同意”框架,明确规定访问权、修正权、限制处理权、数据可携权、被遗忘权、异议权,增设数据外泄通知、隐私影响评估、第三方认证、隐私内置等新机制。围绕《通用数据保护条例》通过和实施的时间节点,世界各主要国家陆续制定和发布隐私与数据保护法规,27个欧盟成员国一致适用《通用数据保护条例》;“脱欧”后的英国适用《通用数据保护条例》中的大部分条款;美国加利福尼亚州受欧盟条例影响制定《加州消费者隐私法案》;印度、韩国、巴西、阿根廷等国先后制定含有《通用数据保护条例》基本理念的个人数据保护法规。
(一)人工智能自主行为的侵权主体认定困境
人工智能虽然由人设计,但在具备与人相当的思维能力时,有可能产生逾越原有设计的自主行为,如果这些不受人控制的自主行为导致个人信息泄露,侵犯个人隐私,是否应由人工智能作为侵权主体承担侵权责任便成为问题,这实际是解决人工智能是否具有法律主体资格的问题。
具有法律主体资格的通常是人,法律意义上的人包括自然人与法人,他们都具有权利能力和行为能力;属于法律客体的通常为物,包括有形物与无形物,泛指人以外的没有思想、精神的物。人工智能应属于人以外的物。但法律中有法人这一拟制人,那么具有与人相当思维的人工智能是否也能经过法律拟制为人,拥有与法人类似的主体资格、权利能力和行为能力呢?“法人”这一概念表明经过法律规定将非自然人机构赋予与自然人一致的法律人格,自然人之所以享有法律人格是自然人作为人的自然结果;而法人之所以被赋予法律人格是出于法律的拟制,但归根到底成立和组织法人这一拟制法律人格的仍为自然人,没有自然人掌控的法人实际是一个无法履行权利义务的空壳机构。
如果将人工智能拟制为有法律主体资格就意味着人工智能需由自然人操控,权利和义务实际归于自然人,这符合传统法律规定,但却与人工智能的特征相悖,因为在强人工智能时代,人工智能能完全脱离于人的原有设计方案,通过机器学习产生自主行为。那么是否得突破传统法律制度框架,将人工智能这一原本应为法律客体的物拟制为具有法律主体资格的电子人?人工智能的智能化程度越高,意味着人工智能越有可能为其自主行为承担责任。
将人工智能拟制为具有法律人格不仅表明人工智能需要为其行为承担法律责任,还表明法律会赋予人工智能权利。人享有生命权、人格尊严权及就劳动获取报酬等诸多权利,如果人工智能有与人一样的法律权利,是否意味着人工智能在面临被损毁的危险时可以拒绝执行任务;在执行任务前能够主张报酬,不付酬便能不执行任务;经使用特定年限的人工智能能申请退休等等。此外,如果将人工智能拟制为具有法律主体资格,必须明确人工智能故意或过失的过错行为是否根据其自身意志完成,而且这一意志具有道德上的可谴责性,但并非所有人工智能都具备自身意志。这些与人工智能利用不符的情形正说明赋予人工智能法律上的权利会损害人工智能使用市场,不利于人工智能的利用和发展。
(二)人工智能侵犯隐私责任主体的认定及责任分配
人工智能基于其技术特征和作为物的特征,不宜被法律拟制为人独立行使权利承担义务。人工智能自主行为侵犯隐私的行为可分为以下情形,由不同的自然人承担侵权责任。第一类视人工智能逾越原设计方案的行为为产品缺陷,如果人工智能的设计者或生产者未能告知消费者人工智能存在缺陷,给消费者造成损害的应由设计者或生产者承担产品责任。第二类为人工智能自主行为的产生可归咎于使用者,如果使用者使用不当致使人工智能侵犯了第三方的隐私,则由使用者承担侵权责任。第三类为设计者和生产者没有过错,未造成产品缺陷,使用者也没有过错,这种情形下,欧盟议会法律事务委员会委托法国国立阿尔图瓦大学撰写的研究报告《欧洲机器人民法规则》建议侵权责任应与给予机器人指令的实际程度成正比,机器人的学习能力或自动性越高,则设计、生产、使用各方的责任越低;相反,给予机器人指令的时间越长,则相关方的责任越高,给予机器人指令不包括机器人自我学习的能力。这一建议虽体现了人工智能的高智能化技术特征,却并未完全免除设计、生产、使用各方的过错责任。
《通用数据保护条例》对人工智能等新技术的应用持审慎态度,这一态度同样反映在欧盟委员会和欧盟议会随后陆续发布的《人工智能白皮书:通往卓越与信任的欧洲之路》(2020年2月)、《关于人工智能、物联网、机器人对安全和责任影响的报告》(2020年2月)、《人工智能民事责任决议》(2020年10月)、以及《人工智能统一规则条例(提案)》(2021年4月)等涉及人工智能责任的相关文件及提案中。2022年9月28日,欧盟委员会发布了《产品责任指令(提案)》与《人工智能责任指令(提案)》,这两个指令提案与《人工智能统一规则条例(提案)》构成针对人工智能民事责任的三方运作模式,前两指令提案侧重对人工智能造成的损害进行补救,后一条例提案侧重对人工智能可能产生的损害进行预防。两指令提案将在通过后一至两年内生效,条例提案预计在2023或2024年底生效。《通用数据保护条例》和两指令提案都涉及数据损坏或丢失的民事责任,《通用数据保护条例》同时涉及物质损害和非物质损害,两指令提案仅对物质损害提供赔偿。《产品责任指令(提案)》确认人工智能系统及人工智能商品是产品,确立了人工智能侵权的产品责任制度,即当有缺陷的人工智能造成损害时,受侵害人无需证明生产者过错就能获得赔偿,除硬件生产者外,影响产品运作的软件提供者与诸如在自动驾驶汽车中提供导航服务的数字服务提供者也应承担责任。《人工智能责任指令(提案)》旨在确立人工智能的非合同过失民事责任,与根据《产品责任指令(提案)》提出的索赔不会重叠。
由此可见,欧盟《通用数据保护条例》后拟修订出台的与人工智能主体责任紧密相关的新规更契合现阶段弱人工智能的技术特征,倾向于将人工智能视为产品,通过产品责任制度对人工智能的隐私侵权进行救济。产品责任制度介入人工智能侵权亦被我国部分学者认同,因为产品责任的无过错归责原则可督促设计者与生产者最大程度保障人工智能产品的安全,产品责任制度的排除妨碍、消除危险、赔偿损失等责任承担方式同样适合人工智能侵权。在产品责任制度安排下,受侵害人可向人工智能产品的设计者、生产者、销售者任一主体求偿;责任主体承担赔偿责任后,可向造成产品缺陷的主体追偿;如果有第三人对人工智能系统进行破坏,则第三人应是最终责任人;如果不能确定设计者、生产者、销售者,则人工智能产品管理者或使用者负有指明设计者、生产者、销售者的义务。产品责任制度在现阶段能最大程度弥补人工智能侵权造成的损害,在无法将人工智能拟制为人的情形下,不失为一种解决人工智能侵权责任主体认定的方式。当人工智能发展为强人工智能或超人工智能后,不排除其在满足法律规定的实体和程序要件时,成为法律认可的民事主体,但仍不可能完全排除产品责任,且需要引入保险等其他制度保障受侵害人的权益。
(一)匿名化保护隐私的意义与人工智能去匿名化的风险
匿名化是保护个人隐私的一项重要手段,通过删除或隐藏个人可识别信息使数据主体不再能被识别。但匿名化保护隐私并不是一劳永逸的,如果将匿名化的数据与辅助信息相联系就可能重新识别数据主体,达到去匿名化的效果。人工智能时代大数据处理能力和无处不在的数据收集极大地增加了去匿名化的风险。人工智能可以轻易地将辅助信息与被模糊处理的图像或视频以及匿名的用户信息相连,实现去匿名化的目的。
将个人可识别信息进行处理一般通过以下几种技术手段实现。第一,将个人可识别信息从数据库中完全删除;第二,将个人可识别信息做一般化处理,例如只显示数据主体出生年份,不显示具体出生日期;第三,通过将共享某些个人信息元素的数据主体作分组处理,只提供汇总统计信息;第四,在原数据库中添加进不准确信息,使准确信息不易被识别;第五,将个人可识别信息替换为其他参数,例如将某一身高值替换为蓝色。
之所以对个人可识别信息做匿名化处理,正是因为数据的价值在于利用和流通。数据的自由流通会侵犯数据主体的个人隐私,但为保护个人隐私而完全限制数据收集、利用和披露同样会损害数据的价值,甚至破坏信息社会的发展。因此,需要在隐私保护和数据流通之间寻求利益平衡点。将个人可识别信息作匿名化处理能实现此种平衡,一方面,匿名化后的数据能被利用和流通;另一方面,匿名化后数据中的个人可识别信息已被删除或隐藏,即使数据自由流通也不会让数据使用者将数据与特定个人相联系,侵犯数据主体的隐私。
但是,科技的发展尤其是人工智能技术的发展却打破了此种平衡。大数据的收集和处理能力使人工智能只要利用到准确的原数据库外的辅助信息便有可能将匿名化后的数据用于重新识别某特定数据主体。只要关于数据主体的信息越多,人工智能越有可能将信息充分利用和联结用于识别特定数据主体。人工智能与物联网的结合使得万物相连,诸如自动汽车、可穿戴设备、智能医疗设施、智能家具等智能化电子产品出现在人们生活的各个角落,前所未有地收集和分析大量的个人数据,联网智能电子设备的便捷性使人们宁可牺牲隐私也要享受智能化生活的方便与舒适,人们对智能化电子设备的依赖也使得人们难以为保护个人隐私而选择退出制造商收集数据的计划。此外,人工智能与物联网扩张了数据收集的途径和种类,例如财务信息、健康信息、生活习惯、居住地址等诸多敏感个人信息会随时随地被收集和存储。据美国联邦贸易委员会统计,使用联网智能家具设备的一万户家庭能每天产生一亿五千万条数据。因此,如何降低人工智能将数据去匿名化带来的风险成为保护隐私的又一难题。
(二)欧盟《通用数据保护条例》的假名化措施
针对匿名化的个人数据被重新识别的问题,欧盟《通用数据保护条例》纳入了将个人数据假名化的措施。个人数据假名化是指基于被重新识别的可能性,部分未被识别的数据并未真正实现匿名化,这部分数据将被纳入隐私保护规则的范畴。欧盟《通用数据保护条例》中的假名化措施将个人数据进行处理,使在不使用额外信息的情形下个人数据不会指向某特定的数据主体,该额外信息被秘密存储并且受制于技术和组织措施,以保证个人数据不被用于识别某位可被识别身份的自然人。运用个人数据假名化措施将降低数据主体被识别的风险,帮助数据控制者和处理者履行数据保护的义务。
不同于以往其他国家及地区的个人数据和隐私保护法律,匿名化的数据不被视为可识别特定数据主体身份的信息,不被纳入隐私保护规则的范畴,欧盟《通用数据保护条例》将可识别身份的自然人概念扩大至包括身份可被直接或间接识别的个人,特别是利用诸如姓名、身份证号码、居住地址、网络识别信息或其他有关生理、遗传、心理、经济、文化或社会信息可以识别的个人。其中可间接识别包括了被匿名化但借助额外信息仍可被重新识别的情形,确定一位自然人能否被识别,应考虑所有具有合理可能性的方法,确定一种方法是否具有识别自然人的合理可能性应考虑所有客观因素,包括识别所需的成本和时间以及数据处理技术发展带来的可获取的技术。条例提及的可获取的技术当然包括可大规模分析数据、获取可识别身份信息的人工智能技术。
将个人数据假名化实际上是将被匿名化数据纳入隐私保护规则中,将可用于识别自然人身份的辅助信息与匿名化数据分开保存,降低辅助信息被获取从而与匿名化数据联系的可行度,防止匿名化数据被重新用于识别个人身份。条例同时要求数据管理者采用包括加密措施在内的合理措施,防止假名化措施被破解。条例明确鼓励各公司积极采用假名化措施,将假名化措施视为个人数据保护默认措施,立即采用;鼓励数据控制者将个人数据假名化作为个人数据保护的行为守则。
为激励数据控制者采用假名化措施,条例规定采用假名化措施的数据控制者能够允许在原数据收集目的之外更灵活地处理数据;假名化措施属于条例所规定的设置隐私内置机制的措施,隐私内置机制要求产品或服务的整个生命周期都贯穿隐私和数据保护;假名化属于保障数据处理安全的措施,数据控制者与处理者应设置合适的技术和组织措施确保一定程度的数据安全,这些措施包括将个人数据假名化;如果数据控制者通过采用假名化措施保证额外信息不被获取以重新识别数据主体,则数据控制者被豁免保护数据主体享有的访问权、修正权、擦除权、限制处理权、可携权,访问权、限制处理权、修正权是指数据主体有获取数据处理与否、数据处理目的、数据分类、数据存储方式和时间等信息的权利,有限制数据处理行为和修正不正确的个人数据的权利;擦除权、可携权是指数据主体有要求数据控制者在数据收集和处理目的以非必要或数据以非法方式被处理时删除数据的权利,以及有就其被收集处理的数据享有对应的副本,并将数据转送给另一数据控制者的权利。在数据控制者与处理者积极采用假名化措施的情形下,匿名化数据被用于重新识别数据主体的风险将大幅降低。
(一)人工智能环境下数据主体知情同意的缺失
知情同意是传统隐私保护领域的重要准则,即数据收集和处理应当经数据主体同意才能进行,数据主体有权知道数据收集和处理的目的、数据分类、数据存储方式等与数据收集和处理相关的重要信息。人工智能的技术特征和人工智能企业的商业运作方式使获得数据主体知情同意面临挑战。
首先,由于人工智能能从人们工作生活的方方面面收集数据,并不是每一次数据的收集和处理都经过了数据主体的同意,数据主体也未必知晓每一次数据的收集。例如,照顾老年人的智能化机器人能在完成任务的同时收集到老人的生理指数、健康状况、生活习惯等个人隐私数据,让智能化机器人陪伴老年人通常不是老年人自己的选择,而是其子女或其他人的选择,在购买智能化机器人或其服务时,即使机器人制造商或提供商有就个人数据收集和处理请求同意,授权同意的并不是老年人这一数据主体本人,而是其子女或其他人。
其次,人工智能应用不仅存在于与用户交互的前端界面,也广泛存在于涉及机器学习等后端数据分析处理环节,因后端数据分析处理环节的具体运作方式不被用户知晓,用户便无法做出明确的“同意”的意思表示。
最后,人工智能企业会制定本企业的用户协议或隐私政策,但其用户协议或隐私政策通常繁琐冗长,大量使用晦涩难懂的法律术语,致使用户根本没有时间和精力详细阅读并理解用户协议或隐私政策的知情同意要求,更无法读懂隐藏在术语背后的条件。出于使用人工智能产品的需求,用户不得不同意格式合同化的协议或隐私政策,将自己的隐私上交。理论上将人工智能时代个人虽具备对隐私保护高度认知,但却被迫主动透露自己隐私的情形称为“隐私悖论”。因此,在人工智能环境下应注意确保人工智能对个人数据收集和处理的每一环节都经过了数据主体本人的明确同意。
(二)欧盟《通用数据保护条例》的严格化责任
欧盟《通用数据保护条例》强化了数据主体同意数据控制者收集和处理数据的条件。条例将“同意”界定为数据主体自愿给出的任何确定的、准确清楚的允许处理其个人数据的指示。条例规定数据控制者不能再使用冗长的术语和条件来说明知情同意,对数据主体同意的请求必须以清楚易懂的形式说明,同意同样必须以清楚、准确、无误的方式和语言表述,对同意的撤回应当与授权同意一样便捷操作。
条例更为严格地规定了数据控制者和处理者的责任。数据控制者将会为不履行条例规定的义务承担一系列责任。根据条例第82条第(2)款第一部分的规定,如果数据控制者参与了违反条例的数据处理,其可被追责;条例并未要求控制者在造成损害中起到核心或关键作用;从实践角度看,无论数据控制者是否造成了受侵害者主张的损害,其都可能被追责;向非法处理数据的第三方非法传输数据,以及在不知情情况下接收非法获得的数据,都可能导致控制者承担责任。在数据控制者对处理者代表其行事直接造成损失的责任承担方面,条例比传统的替代责任规定更为严格,即要求控制者不能通过证明处理者在代表其处理数据时的行为超出其控制和同意来规避责任。如果有多个数据控制者或处理者,则每位参与数据处理的控制者和处理者原则上都应为给数据主体造成的全部损害承担责任,只要损害源自于数据控制者和处理者未遵守条例规定、未履行相应义务。这里的义务理应包括明确告知数据主体有关数据收集和处理的目的和信息以及获取数据主体同意的义务。严格化后的责任承担规则被视为累积责任制度,即每位参与者都根据其在数据处理中的角色承担责任。
相较于1995年《个人数据保护指令》,《通用数据保护条例》为数据处理者规定了一系列直接的义务,处理者如不履行义务需直接向数据主体承担责任。引入数据处理者责任是《通用数据保护条例》的创新之一。数据主体如果有合理理由相信除数据控制者外,数据处理者应为损害负责,则可直接起诉数据处理者。与控制者不同,数据处理者只在两种情形下承担责任:一是在未遵守专门针对处理者义务的情况下处理个人数据;二是根据条例第82条第(2)款规定,其行为超出或违反了控制者的合法指示。处理者的义务主要由条例第28条规定。处理者对数据的处理通常总是受控于控制者的指示,如果处理者认为其收到的指示违反欧盟法律或成员国法律,其有义务告知控制者,处理者仅在未遵守合法指示时才承担责任。
欧洲学者观察认为,《通用数据保护条例》引入的严格责任模式与《欧洲侵权法原则》一致,其规定的数据控制者一般责任和数据处理者比例责任构成了对一般侵权法原则的特殊编纂。综上可见,在条例加强数据主体知情同意条件和严格化数据处理责任的情形下,人工智能制造商和提供商会更积极履行条例义务,注意从数据主体处获取同意,并告知数据主体数据处理的目的及信息。
欧盟《通用数据保护条例》于2018年5月25日在欧盟开始全面执行,这一条例被称为“史上最严”的数据保护法案,能够应对数字时代不断出现的隐私侵权威胁,其中审慎对待人工智能应用的态度,将个人数据假名化的措施,加强获取数据主体同意处理数据的条件以及严格规定数据控制者和处理者的责任,能够在一定程度上解决人工智能时代出现的侵权责任主体认定、重新识别匿名化的数据主体身份、忽略数据主体同意等个人数据处理和隐私保护中的问题。
欧盟《通用数据保护条例》于2016年正式通过后,我国陆续制定出台一系列涉及隐私和个人信息保护的法律法规。2016年11月7日公布的《网络安全法》专列一章规定了网络信息安全,明确了网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则,并经被收集者同意。2017年12月29日公布的《信息安全技术 个人信息安全规范》作为国家标准,详细列明了个人信息收集、保存、使用以及委托处理、共享、转让、公开披露所应遵守的规范。2018年8月31日公布的《电子商务法》规定了电子商务经营者和电子商务平台经营者保护个人信息、隐私的义务,并赋予用户信息查询、更正、删除的权利。2020年5月28日公布的《民法典》第四编“人格权编”第六章专门规定了隐私权和个人信息保护,将隐私权单列为一项民事权利类型,也明确了自然人的个人信息受法律保护,规定了处理个人信息的基本原则、免责事由与侵权情形,并赋予自然人查阅、复制、提出异议及更正个人信息的权利。2021年6月10日公布的《数据安全法》聚焦数据本身,规范数据处理活动,保障数据安全,促进数据开发利用。2021年8月20日公布的《个人信息保护法》是我国首部独立的综合性个人信息保护法律,其详细规定了个人信息处理的一般规则、敏感个人信息处理的特殊规则、个人信息跨境转移的规则、个人在信息处理中的权利以及个人信息处理者的义务。同时,部分地区也通过地方立法规范隐私保护和数据处理,例如深圳市人大常委会于2021年7月6日公布《深圳经济特区数据条例》,对个人数据、公共数据、数据要素市场和数据安全等内容作出规定。
可见,同其他制定了个人信息保护法规的国家和地区一样,我国也越来越重视数字网络环境下对个人信息隐私的保护。但是,面对人工智能带来的新的隐私保护问题,最新出台的法律和规范尚有延伸空间,欧盟《通用数据保护条例》及后续发布的人工智能文件与拟修订出台的指令条例为大数据时代的数据治理提供了重要参考和可供借鉴的方案,其中人工智能产品责任制度,个人数据假名化措施,以及严格的“知情同意”条件和数据控制者与处理者责任等机制可供我国应对人工智能时代隐私保护的后续修法所借鉴吸收。
人工智能的发展及智能终端的普及使智能化电子设备成为个人日常工作和生活的重要组成部分,随之带来的个人数据隐私泄密问题也越来越严重,只有提高对个人数据隐私保护的重视,及时调整个人数据保护法律法规才能在人工智能环境下有效地保护数据主体的个人信息。