論人工智能領(lǐng)域個(gè)人信息安全法律保護(hù)

祝高峰

修回日期：2020-03-02

基金項(xiàng)目：中國法學(xué)會(huì)2018年度部級(jí)法學(xué)研究課題“重要數(shù)據(jù)安全法律保障機(jī)制研究”（CLS（2018）D127）;桂林電子科技大學(xué)英才計(jì)劃資助

作者簡(jiǎn)介：祝高峰（1978—），男，山東濰坊人，桂林電子科技大學(xué)法學(xué)院/知識(shí)產(chǎn)權(quán)學(xué)院副教授，知識(shí)產(chǎn)權(quán)法博士，碩士研究生導(dǎo)師，主要從事網(wǎng)絡(luò)信息法、知識(shí)產(chǎn)權(quán)法研究，Email：845021165@qq.com。

摘要：人工智能時(shí)代的個(gè)人數(shù)據(jù)和信息支撐著人工智能系統(tǒng)的運(yùn)行，個(gè)人信息在當(dāng)下的重要性和具有的價(jià)值已不言而喻。個(gè)人信息的識(shí)別要素包括“可識(shí)別性”和“可固定性”，人工智能領(lǐng)域的個(gè)人信息在此基礎(chǔ)上呈現(xiàn)出不同形式，包括被“智能物”收集的個(gè)人信息和被智能系統(tǒng)分析得出的個(gè)人信息。而人工智能在不同情形中侵犯?jìng)€(gè)人信息，其侵權(quán)主體在現(xiàn)行法律的規(guī)定下難以判定?！爸窃鞎r(shí)代”，人工智能嚴(yán)重威脅著個(gè)人信息的安全。因此，在人工智能時(shí)代到來的同時(shí)，更應(yīng)當(dāng)對(duì)人工智能領(lǐng)域中的個(gè)人信息安全問題提供有效的法律保障。

關(guān)鍵詞：人工智能;智能物;智能系統(tǒng);個(gè)人信息安全;法律保護(hù)

中圖分類號(hào)：D9128;TP18;TP309文獻(xiàn)標(biāo)志碼：A文章編號(hào)：10085831（2020）04015011

當(dāng)下，人工智能的討論炙手可熱。國家之間的人工智能“較量”也愈演愈烈，2019年2月，美國啟動(dòng)“人工智能倡議”，希望集中聯(lián)邦政府資源發(fā)展人工智能[1];俄羅斯也在2019年6月制定了人工智能領(lǐng)域的國家戰(zhàn)略[2];我國各地的人工智能政策或項(xiàng)目也逐漸落地，比如北京正式揭牌成立人工智能創(chuàng)新發(fā)展試驗(yàn)區(qū)，引領(lǐng)人工智能科技前沿和發(fā)展方向[3]。各國基本上都將人工智能納入了本國的發(fā)展戰(zhàn)略，人工智能將會(huì)給社會(huì)的發(fā)展和變革帶來深層次的影響。

人工智能的高速崛起對(duì)當(dāng)下的法學(xué)研究也提出了諸多新問題與挑戰(zhàn)。已有學(xué)者對(duì)人工智能領(lǐng)域的人格權(quán)保護(hù)問題、知識(shí)產(chǎn)權(quán)保護(hù)問題、刑法保護(hù)問題等進(jìn)行了研究，但對(duì)人工智能領(lǐng)域的個(gè)人信息安全問題研究目前鮮有涉及。盡管人工智能的定義比較廣泛且多變，但在人工智能的基礎(chǔ)層面基本上無異議。畢業(yè)于美國密歇根州立大學(xué)法學(xué)院的馬修·胡默里克（Matthew Humerick）博士認(rèn)為，“在人工智能最基礎(chǔ)層面上，人工智能是一個(gè)能夠?qū)W會(huì)學(xué)習(xí)的系統(tǒng)”[4]。在筆者看來，人工智能不僅僅是智能系統(tǒng)自主學(xué)習(xí)的體現(xiàn)，對(duì)于人工智能的分析應(yīng)當(dāng)從兩個(gè)層面進(jìn)行，目前人工智能領(lǐng)域的主要應(yīng)用在于智能系統(tǒng)和“智能物”兩大模塊，智能系統(tǒng)主要指軟件系統(tǒng)，該部分的軟件系統(tǒng)不同于硬件或者是軟件與硬件的結(jié)合類型，當(dāng)然軟件系統(tǒng)部分起核心作用的仍是程序。“智能物”則包括智能機(jī)器人和被智能化的物品，比如工業(yè)機(jī)器人、服務(wù)機(jī)器人、智能手機(jī)、智能掃地機(jī)器人等智能終端產(chǎn)品，“智能物”仍是依靠程序驅(qū)動(dòng)，但主要體現(xiàn)的是其有形存在的一面，而軟件系統(tǒng)則多是以無形的方式存在。人工智能發(fā)揮作用主要依賴于對(duì)數(shù)據(jù)和信息的收集、分析、利用，個(gè)人數(shù)據(jù)信息的處理尤為凸顯。因此，個(gè)人數(shù)據(jù)信息的安全和保護(hù)成為亟待解決的法律問題。

一、人工智能危及個(gè)人信息安全

（一）人工智能危及個(gè)人信息安全的收集和利用

1.個(gè)人信息收集方式的隱秘性

與傳統(tǒng)收集個(gè)人信息的方式不同，人工智能通過各種端口侵入個(gè)人生活，收集個(gè)人信息[5]。這些智能端口無處不在，遍布我們的生活空間，如頭頂?shù)臄z像頭、電腦的USB接口、手機(jī)的指紋識(shí)別觸控、行車導(dǎo)航的定位儀，以及我們完全意識(shí)不到的其他位置等領(lǐng)域。人工智能領(lǐng)域，不論是智能物還是智能系統(tǒng)都離不開智能端口，當(dāng)這些智能端口收集個(gè)人信息時(shí)，我們不僅很難察覺，而且也缺乏必要的防范意識(shí)，更不會(huì)考慮甚至是沒有能力追尋我們的個(gè)人數(shù)據(jù)信息通過這些智能端口到底將個(gè)人數(shù)據(jù)信息傳向哪里。比如iPhone Operating System（簡(jiǎn)稱iOS）系統(tǒng)記錄用戶的指紋和面容，大部分用戶只能意識(shí)到指紋和面容用來解鎖手機(jī)，根本不會(huì)察覺到系統(tǒng)收集到所有用戶的指紋和面容信息會(huì)進(jìn)行什么樣的分析和計(jì)算，更不會(huì)考慮從終端用戶獲取的這些指紋和面部信息是否會(huì)被用于其他地方。人工智能領(lǐng)域個(gè)人信息安全面臨嚴(yán)重威脅的同時(shí)，人工智能對(duì)個(gè)人信息的隱秘收集對(duì)國家和社會(huì)也會(huì)造成一定程度的威脅。

2.個(gè)人信息的收集極易侵犯?jìng)€(gè)人隱私

人工智能不僅隱秘地收集個(gè)人數(shù)據(jù)信息，而且鑒于人們對(duì)智能物和智能系統(tǒng)的被動(dòng)的無理由的信任，被人工智能收集到的個(gè)人信息更多地涉及個(gè)人隱私。傳統(tǒng)收集個(gè)人隱私信息的方式，大多是跟蹤偷拍、監(jiān)視監(jiān)聽、非法搜查，而人工智能卻很容易就能通過其自主學(xué)習(xí)和分析獲取包含個(gè)人隱私的隱秘?cái)?shù)據(jù)信息。作為人工智能產(chǎn)物的聊天機(jī)器人就是典型的事例體現(xiàn)。與過去只能簡(jiǎn)單對(duì)話的機(jī)器人不同，人工智能聊天機(jī)器人的終極目標(biāo)是通過“圖靈測(cè)試”圖靈測(cè)試（又譯圖靈試驗(yàn)）是圖靈于1950年提出的一個(gè)關(guān)于判斷機(jī)器是否能夠思考的著名試驗(yàn)，測(cè)試某機(jī)器是否能表現(xiàn)出與人等價(jià)或無法區(qū)分的智能。測(cè)試的談話僅限于使用唯一的文本管道，例如計(jì)算機(jī)鍵盤和屏幕，這樣的結(jié)果是不依賴于計(jì)算機(jī)把單詞轉(zhuǎn)換為音頻的能力。維基百科.圖靈測(cè)試[EB/OL].[2019-10-29].https：//wikipedia.hk.wjbk.site/baike-%E5%9B%BE%E7%81%B5%E6%B5%8B%E8%AF%95.（Turing test），即超過30%的測(cè)試者不能判斷被測(cè)試的到底是機(jī)器還是人類。可見聊天機(jī)器人可以做到像人類一樣分析對(duì)方的心理活動(dòng)，在用戶毫無防范意識(shí)的狀態(tài)下，通過聊天獲取終端用戶不會(huì)隨意透露的隱私數(shù)據(jù)，甚至還會(huì)通過其自帶的算法誘導(dǎo)終端用戶說出更多的私密信息。

此外，在大數(shù)據(jù)技術(shù)的支持下，人工智能隨著自主學(xué)習(xí)能力和人機(jī)交互能力的不斷提高，日后可以為人類提供越來越細(xì)致和周密的服務(wù)，包括做飯、打掃、陪伴、聊天、學(xué)習(xí)、戀愛等完全屬于個(gè)人私生活領(lǐng)域的服務(wù)，智能物和智能系統(tǒng)將在服務(wù)過程中不斷地將終端用戶的相關(guān)個(gè)人數(shù)據(jù)信息記錄其中。同時(shí)，隨著人工智能學(xué)習(xí)能力的逐漸提高，通過關(guān)聯(lián)性分析和數(shù)據(jù)技術(shù)分析，很可能使過去一般存在的個(gè)別信息變?yōu)榭梢宰R(shí)別個(gè)人主體的信息。比如根據(jù)一般的使用痕跡和軌跡，人工智能通過匯總分析可以得出相對(duì)具體的個(gè)人數(shù)據(jù)信息，而終端用戶在使用人工智能時(shí)，并不能輕易地將操作信息記錄從人工智能中完全移除。隨著人工智能所有權(quán)或使用權(quán)的流轉(zhuǎn)，其記錄的個(gè)人信息會(huì)繼續(xù)在網(wǎng)絡(luò)空間中流動(dòng)傳播，也會(huì)隨著人工智能所有權(quán)、使用權(quán)的變動(dòng)而發(fā)生改變。通過讀取人工智能代碼和操作記錄，個(gè)人信息在專業(yè)人士手中一覽無遺，沒有任何隱私信息秘密可言。

人工智能搜集個(gè)人數(shù)據(jù)信息超出原有目的使用范圍也已成為常態(tài)，新興技術(shù)的不斷涌現(xiàn)還將帶來更多新的個(gè)人信息保護(hù)等問題。以目前人工智能技術(shù)水平，僅從收集和利用個(gè)人信息的角度看，人工智能收集和利用個(gè)人信息已沒有過多的障礙，不論是對(duì)于智能物還是智能系統(tǒng)來說，人工智能都可以在當(dāng)事人不知情的情況下擅自收集、處理、利用個(gè)人信息，而此時(shí)個(gè)人信息受到侵犯的侵權(quán)主體就需要從法律層面進(jìn)行明確的界定。

（二）人工智能作為侵犯?jìng)€(gè)人信息主體的認(rèn)定復(fù)雜性

人工智能包括智能物和智能系統(tǒng)，人工智能侵犯?jìng)€(gè)人信息權(quán)利的主要方式有兩種：人工智能被人利用發(fā)生的侵權(quán)行為或者人工智能算法本身存在侵權(quán)可能性[6]。在筆者看來，人工智能侵犯?jìng)€(gè)人信息主體的認(rèn)定也應(yīng)當(dāng)在此兩種情況下分別討論。

1.人工智能的被動(dòng)侵權(quán)

人工智能的被動(dòng)侵權(quán)主要是指人工智能被第三方利用侵權(quán)的一種侵權(quán)方式，此種情形下的侵權(quán)需要明確界定侵權(quán)主體，因?yàn)榧词谷斯ぶ悄鼙焕?，人工智能也未必就一定被認(rèn)定為侵權(quán)主體。早在20世紀(jì)40年代，科幻作家艾薩克·阿西莫夫（Isaac Asimov）提出“機(jī)器人三定律”

機(jī)器人三定律，第一法則：機(jī)器人不得傷害人類，或坐視人類受到傷害;第二法則：除非違背第一法則，否則機(jī)器人必須服從人類命令;第三法則：除非違背第一或第二法則，否則機(jī)器人必須保護(hù)自己。維基百科.機(jī)器人三定律[EB/OL].[2019-10-30].https：//wikipedia.tw.wjbk.site/wiki/%E6%9C%BA%E5%99%A8%E4%BA%BA%E4%B8%89%E5%AE%9A%E5%BE%8B.，根據(jù)該原則，機(jī)器人在必須服從人類命令的同時(shí)不得做出傷害人類的事。顯然人工智能被人利用侵權(quán)時(shí)，與“機(jī)器人三定律”的原則相悖。例如人工智能在快遞領(lǐng)域的普及應(yīng)用，快遞業(yè)務(wù)是最容易導(dǎo)致個(gè)人信息被侵犯的領(lǐng)域。寄件人在郵寄快遞時(shí)，必須進(jìn)行實(shí)名認(rèn)證，填寫真實(shí)的姓名、電話、郵寄內(nèi)容、寄件地址以及收件人的基本信息，當(dāng)快遞獲得的個(gè)人數(shù)據(jù)信息被泄露之后，侵權(quán)人利用人工智能系統(tǒng)，可以輕易分析出收件人的“畫像”，甚至能夠?qū)κ占说男睦硇畔⒑秃罄m(xù)行為信息進(jìn)行預(yù)判，進(jìn)而實(shí)施犯罪活動(dòng)[7]。侵權(quán)人利用人工智能實(shí)施違法行為，即使根據(jù)現(xiàn)階段的法律制度，對(duì)其進(jìn)行追責(zé)，其也應(yīng)當(dāng)要承擔(dān)法律責(zé)任。也就是說，此時(shí)人工智能并不是侵權(quán)主體，而利用人工智能進(jìn)行侵權(quán)的人才是真正的侵權(quán)主體。

2.人工智能的主動(dòng)侵權(quán)

人工智能由于算法本身導(dǎo)致侵權(quán)也存在兩種情況，其一是人工智能存在算法缺陷，軟件系統(tǒng)在運(yùn)行中無法實(shí)現(xiàn)保護(hù)個(gè)人信息的功能，根據(jù)《中華人民共和國侵權(quán)責(zé)任法》（以下簡(jiǎn)稱《侵權(quán)責(zé)任法》）第5章第41條《侵權(quán)責(zé)任法》第5章第41條：“因產(chǎn)品存在缺陷造成他人損害的，生產(chǎn)者應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。”的規(guī)定，該侵權(quán)責(zé)任由生產(chǎn)者承擔(dān)。目前的人工智能尚處于高級(jí)函數(shù)決定的階段，還不具備自主侵權(quán)的“意識(shí)”，所以不具有主體資格，自然沒有承擔(dān)責(zé)任的能力。在這種情況下，人工智能侵權(quán)只是表象，并不是真正意義上的侵權(quán)主體，而侵權(quán)主體實(shí)質(zhì)上還是具有注意義務(wù)的生產(chǎn)者。但根據(jù)《中華人民共和國產(chǎn)品質(zhì)量法》（以下簡(jiǎn)稱《產(chǎn)品質(zhì)量法》）第41條

《產(chǎn)品質(zhì)量法》第41條：“因產(chǎn)品存在缺陷造成人身、缺陷產(chǎn)品以外的其他財(cái)產(chǎn)損害的，生產(chǎn)者應(yīng)當(dāng)承擔(dān)賠償責(zé)任。生產(chǎn)者能夠證明有下列情形之一的，不承擔(dān)賠償責(zé)任：（一）未將產(chǎn)品投入流通的;（二）產(chǎn)品投入流通時(shí)，引起損害的缺陷尚不存在的;（三）將產(chǎn)品投入流通時(shí)的科學(xué)技術(shù)水平尚不能發(fā)現(xiàn)缺陷的存在的。”的規(guī)定，生產(chǎn)者應(yīng)當(dāng)對(duì)人工智能侵權(quán)負(fù)有責(zé)任，但是同時(shí)生產(chǎn)者的責(zé)任亦存在免責(zé)事由，且筆者認(rèn)為，在一定程度上看，必須嚴(yán)格適用生產(chǎn)者的免責(zé)事由。人工智能技術(shù)本質(zhì)上是算法和程序的更新進(jìn)步，程序開發(fā)者在開發(fā)人工智能的過程中，難免存在一些盡到注意義務(wù)后仍然不可避免的算法缺陷，因此應(yīng)當(dāng)嚴(yán)格適用免責(zé)事由，如此，有利于激勵(lì)創(chuàng)新，給予生產(chǎn)者應(yīng)有的寬容。其二是人工智能自主侵權(quán)。當(dāng)人工智能技術(shù)發(fā)展到與人類交互甚至超越人類的智慧之時(shí)，人工智能可能完全不受人類控制，做出侵權(quán)行為。比如一輛無人駕駛汽車在自主駕駛的過程中將乘客的出行信息自主上傳到網(wǎng)絡(luò)空間，此時(shí)所有人或使用人并未對(duì)其進(jìn)行操作，表面上看似乎完全是汽車的責(zé)任，但是在現(xiàn)行法律框架下，汽車并不具有主體資格。在人工智能沒有被認(rèn)定為法律主體的情況下，其做出的侵權(quán)行為應(yīng)當(dāng)由誰承擔(dān)責(zé)任是現(xiàn)行法律無法解決的問題。有部分學(xué)者認(rèn)為，人工智能無法成為責(zé)任主體，可以由制造者承擔(dān)“公平責(zé)任”。但是人工智能技術(shù)的研究和發(fā)展本來就是人類難以預(yù)測(cè)的，人類制造人工智能的核心目的不是探索科技可以達(dá)到什么樣的高度，而是希望人工智能提供越來越高端理想的社會(huì)服務(wù)。當(dāng)人工智能完全可以代替人類體力及腦力活動(dòng)的時(shí)候，人類本應(yīng)當(dāng)預(yù)料到人工智能有失去控制的可能性。因此筆者認(rèn)為，讓制造者承擔(dān)“公平責(zé)任”有違科技發(fā)展的目的，甚至?xí)璧K制造者的研發(fā)積極性。在人工智能不具有侵權(quán)主體資格的情況下，可以考慮從技術(shù)源頭防止人工智能的侵權(quán)行為發(fā)生。

（三）人工智能的追責(zé)機(jī)制缺失

1.人工智能侵犯?jìng)€(gè)人信息的法律保護(hù)機(jī)制缺失

目前在人工智能領(lǐng)域涉及具體的個(gè)人信息保護(hù)的法律法規(guī)幾乎未有，僅在2017年實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）和部分行政規(guī)章

《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》第12條：“電子公告服務(wù)提供者應(yīng)當(dāng)對(duì)上網(wǎng)用戶的個(gè)人信息保密，未經(jīng)上網(wǎng)用戶同意不得向他人泄露，但法律另有規(guī)定的除外?！薄痘ヂ?lián)網(wǎng)電子郵件服務(wù)管理辦法》第9條：“互聯(lián)網(wǎng)電子郵件服務(wù)提供者對(duì)用戶的個(gè)人注冊(cè)信息和互聯(lián)網(wǎng)電子郵件地址，負(fù)有保密的義務(wù)?；ヂ?lián)網(wǎng)電子郵件服務(wù)提供者及其工作人員不得非法使用用戶的個(gè)人注冊(cè)信息資料和互聯(lián)網(wǎng)電子郵件地址;未經(jīng)用戶同意，不得泄露用戶的個(gè)人注冊(cè)信息和互聯(lián)網(wǎng)電子郵件地址，但法律、行政法規(guī)另有規(guī)定的除外?！敝杏斜容^分散的對(duì)個(gè)人信息的保護(hù)規(guī)定?！毒W(wǎng)絡(luò)安全法》對(duì)個(gè)人信息的含義、侵犯?jìng)€(gè)人信息應(yīng)當(dāng)承擔(dān)的法律責(zé)任，以及經(jīng)營者收集個(gè)人信息的方式都作了較為明確的法律規(guī)定，但是人工智能領(lǐng)域的個(gè)人信息保護(hù)問題遠(yuǎn)不止現(xiàn)行法律規(guī)定的情形，鑒于人工智能強(qiáng)大的運(yùn)算分析技術(shù)和對(duì)個(gè)人信息安全的影響力度，應(yīng)當(dāng)明確以下問題：首先，應(yīng)當(dāng)界定人工智能領(lǐng)域個(gè)人信息的含義及范圍;其次，人工智能對(duì)個(gè)人信息的使用方式應(yīng)當(dāng)有明確的界定;再次，人工智能領(lǐng)域侵權(quán)責(zé)任的承擔(dān)不應(yīng)當(dāng)直接適用《網(wǎng)絡(luò)安全法》的規(guī)定?？傊斯ぶ悄芮址?jìng)€(gè)人信息的保護(hù)機(jī)制要綜合考慮人工智能技術(shù)和發(fā)展問題，不能局限于當(dāng)前的法律框架和已經(jīng)存在的問題。

2.人工智能系統(tǒng)分析數(shù)據(jù)獲取的個(gè)人信息

人工智能系統(tǒng)的運(yùn)行通常是分析、利用個(gè)人信息的階段，智能系統(tǒng)通過深度挖掘，獲取與個(gè)人相關(guān)的所有信息，再分析出有更大利用價(jià)值的信息。比如淘寶智能系統(tǒng)，根據(jù)用戶的“足跡”、購買記錄、搜索記錄，分析用戶的喜好和消費(fèi)傾向，根據(jù)分析結(jié)果在淘寶首頁向用戶推送類似產(chǎn)品，此后用戶將在淘寶首頁的所有模塊看到相關(guān)推送，包括“猜你喜歡”“搶購”“特賣”等模塊。

墨爾本大學(xué)微軟社會(huì)自然用戶界面研究中心（SocialNUI）和墨爾本科學(xué)畫廊合作研發(fā)出一款“生物智能鏡”，這面“鏡子”將人的面部和一個(gè)面部數(shù)據(jù)庫進(jìn)行對(duì)比，進(jìn)而得出人的幸福程度、內(nèi)向程度、侵略性等智能分析結(jié)果。雖然這項(xiàng)研究的目的是反思人工智能看似合理的未來是否是我們希望看到的成形的未來，但如果僅著眼于技術(shù)，這項(xiàng)研究證明人工智能系統(tǒng)利用算法分析數(shù)據(jù)很容易獲取更多相關(guān)的個(gè)人信息[14]。除了從鏡頭和圖像中分析性別、年齡和種族之外，人們甚至擔(dān)心人工智能系統(tǒng)可以準(zhǔn)確地預(yù)測(cè)出個(gè)人的性取向甚至政治傾向，人工智能系統(tǒng)對(duì)個(gè)人信息的獲取影響到個(gè)人信息安全的程度可見一斑。

人工智能要想擴(kuò)展到人類的智能，就需要不斷地用于模擬、延伸其自主學(xué)習(xí)的智能系統(tǒng)能力，當(dāng)人工智能系統(tǒng)通過不斷的自主學(xué)習(xí)直到強(qiáng)人工智能時(shí)代，其智能系統(tǒng)將達(dá)到人類無法想象的程度。人工智能系統(tǒng)對(duì)個(gè)人信息的分析和利用，可能會(huì)因?yàn)橹圃煺叩膼阂馇址競(jìng)€(gè)人信息安全，也可能會(huì)因?yàn)槿祟悷o法解釋的算法黑箱算法黑箱也被稱作“黑匣子”，通常是指程序設(shè)計(jì)者無法探明原理的計(jì)算機(jī)運(yùn)行過程。造成更大的損害。計(jì)算機(jī)程序員負(fù)責(zé)編寫源程序，計(jì)算機(jī)負(fù)責(zé)轉(zhuǎn)化出由“0”和“1”組成的目標(biāo)代碼，而源程序如何在計(jì)算機(jī)內(nèi)部轉(zhuǎn)化成目標(biāo)代碼，這是程序員也無法解釋的問題。例如一臺(tái)專門為慈善制造的機(jī)器可能自己會(huì)“變惡”，進(jìn)化和學(xué)習(xí)算法可能會(huì)導(dǎo)致一個(gè)本質(zhì)上是黑匣子的系統(tǒng)，這個(gè)系統(tǒng)如此復(fù)雜以至于專家們可能無法完全理解它的內(nèi)部運(yùn)作。和人類一樣，這種機(jī)器可能有極其復(fù)雜的“心理”，所以智能機(jī)器具有惡意的可能性是非零的[15]。因此，有必要對(duì)人工智能領(lǐng)域個(gè)人信息的收集、處理、應(yīng)用等方面進(jìn)行有效的法律規(guī)制，以更好地保護(hù)個(gè)人信息。

三、人工智能領(lǐng)域個(gè)人信息安全法律保障制度的構(gòu)建

目前我國仍沒有對(duì)個(gè)人信息進(jìn)行專門立法保護(hù)，在立法保護(hù)不足的前提下，人工智能領(lǐng)域涉及的個(gè)人信息安全問題更加難以保證。來自美國計(jì)算機(jī)法專家喬治.S. 科爾（George S. Cole）在20世紀(jì)

90年代就指出：“在將來，任何一般的人工智能產(chǎn)品都不會(huì)在現(xiàn)實(shí)世界中漫游，無論是作為移動(dòng)機(jī)器人，還是作為一個(gè)自由流通的程序，都會(huì)在一定的限制環(huán)境中應(yīng)用，不可避免的是，特定的環(huán)境應(yīng)用程序?qū)⒃斐梢恍┫嚓P(guān)的經(jīng)濟(jì)損失、財(cái)產(chǎn)或人身傷害或死亡?！?[16]在立法保護(hù)和完善程度上，歐美國家對(duì)個(gè)人信息的保護(hù)相對(duì)比較成熟，歐美國家在保護(hù)個(gè)人信息方面主要體現(xiàn)在對(duì)個(gè)人信息所有者的權(quán)利、增加企業(yè)的義務(wù)，尤其注重個(gè)人隱私方面的保護(hù)。可以借鑒國外立法經(jīng)驗(yàn)，結(jié)合人工智能和網(wǎng)絡(luò)環(huán)境的特性，完善我國人工智能領(lǐng)域個(gè)人信息保護(hù)的法律制度。

（一）制定人工智能領(lǐng)域個(gè)人信息安全標(biāo)準(zhǔn)

1.制定人工智能領(lǐng)域個(gè)人信息使用標(biāo)準(zhǔn)化制度

我國《個(gè)人信息保護(hù)法》呼之欲出，但是人工智能領(lǐng)域的個(gè)人信息在網(wǎng)絡(luò)環(huán)境中其動(dòng)態(tài)變化可能超出《個(gè)人信息保護(hù)法》涵蓋的范圍?！毒W(wǎng)絡(luò)安全法》對(duì)個(gè)人信息的解釋可以適用于人工智能領(lǐng)域，但是在司法實(shí)踐中應(yīng)當(dāng)對(duì)其范圍作出更加詳細(xì)的解釋。首先，可以制定特殊法條，專門規(guī)定人工智能領(lǐng)域的個(gè)人信息概念范疇，為保護(hù)人工智能領(lǐng)域個(gè)人信息奠定基礎(chǔ)。其次，應(yīng)當(dāng)明確人工智能領(lǐng)域使用個(gè)人信息的標(biāo)準(zhǔn)。在人工智能領(lǐng)域?qū)€(gè)人信息的處理通常與大數(shù)據(jù)技術(shù)交叉結(jié)合，具體包括收集、存儲(chǔ)、分析、使用等模式。筆者認(rèn)為，《中華人民共和國個(gè)人信息保護(hù)法（草案）》（2017年）中對(duì)于收集、處理和利用個(gè)人信息的規(guī)定，可以適用于人工智能領(lǐng)域?qū)€(gè)人信息的處理使用。根據(jù)該草案，“收集”是指以使用為目的獲取個(gè)人信息，“處理”包括輸入、存儲(chǔ)、編輯、刪除等操作，“利用”是指對(duì)個(gè)人信息進(jìn)行目的內(nèi)且“處理”之外的合法使用[17]。

2.確立人工智能領(lǐng)域終端用戶的信息選擇權(quán)

人工智能創(chuàng)造的經(jīng)濟(jì)價(jià)值與個(gè)人信息的保護(hù)本身存在一定的沖突和矛盾，這是一個(gè)需要平衡和制約的問題。若不顧終端用戶信息權(quán)利取得科技進(jìn)步，將違背人類制造人工智能的本意，人工智能應(yīng)當(dāng)處于為人類服務(wù)的地位，而不應(yīng)該給人類帶來安全隱患。為了加強(qiáng)對(duì)個(gè)人信息安全的保護(hù)而抑制對(duì)科技的探索，也會(huì)導(dǎo)致人類的科學(xué)發(fā)展止步不前。部分人認(rèn)為科技的發(fā)展必然會(huì)產(chǎn)生安全隱患，用戶基于保護(hù)信息安全，可以選擇不使用人工智能。筆者認(rèn)為這不利于從根本上解決問題，并且用戶的“選擇權(quán)”可以用于對(duì)人工智能技術(shù)的選擇。比如訊飛的翻譯機(jī)，為了防止終端用戶信息的泄露，公司在產(chǎn)品中設(shè)計(jì)了離線翻譯版本，用戶在離線狀態(tài)下使用翻譯機(jī)，并不會(huì)將信息上傳到網(wǎng)絡(luò)空間。因此，法律可以對(duì)人工智能制造者進(jìn)行規(guī)制，凡是能實(shí)現(xiàn)離線使用的產(chǎn)品，制造者應(yīng)當(dāng)設(shè)計(jì)這一選擇程序，增強(qiáng)終端用戶的信息選擇權(quán)。

（二）建立人工智能領(lǐng)域個(gè)人信息安全法律保護(hù)制度

1.明確個(gè)人信息的權(quán)利屬性

2018年5月25日歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）正式生效，意味著歐盟對(duì)個(gè)人信息的保護(hù)達(dá)到前所未有的高度?！禛DPR》對(duì)個(gè)人信息的處理主要體現(xiàn)在以下幾個(gè)方面：首先，其規(guī)定歐盟用戶不僅可以查閱被收集、處理的信息，并且有權(quán)了解人工智能自動(dòng)化決策的程序、目的以及處理后果。筆者認(rèn)為這一規(guī)定正面應(yīng)對(duì)了人工智能的特性，人工智能制造者為人工智能設(shè)計(jì)自動(dòng)化程序，制造結(jié)束投入使用后，制造者和使用者在正常使用中不再對(duì)程序進(jìn)行修改，人工智能自主完成目標(biāo)任務(wù)。因此，當(dāng)終端用戶預(yù)先知曉自動(dòng)化決策的目的和后果時(shí)，可以選擇是否進(jìn)行下一步操作或使用人工智能，可以對(duì)個(gè)人信息的處理作出選擇。我們所熟悉的淘寶平臺(tái)的隱私權(quán)政策中有類似聲明，其寫明將“約束信息系統(tǒng)自動(dòng)決策”，但明確提出在某些業(yè)務(wù)功能中會(huì)自動(dòng)作出決定。很明顯這樣模糊不清的聲明并不利于保護(hù)終端用戶的個(gè)人信息，當(dāng)發(fā)生侵權(quán)案件時(shí)，仍需要對(duì)其聲明條款和侵權(quán)行為詳細(xì)分析。其次，規(guī)定歐盟用戶有權(quán)反對(duì)以商業(yè)目的進(jìn)行個(gè)人信息分析的數(shù)據(jù)控制者，并有權(quán)要求刪除其個(gè)人信息。人工智能最大的商業(yè)或經(jīng)濟(jì)價(jià)值之一就是分析個(gè)人信息，根據(jù)分析結(jié)果給終端用戶推送相關(guān)產(chǎn)品和服務(wù)，刺激終端用戶的行為和消費(fèi)。如果終端用戶有權(quán)反對(duì)數(shù)據(jù)控制者的分析行為，并要求刪除個(gè)人信息，對(duì)終端用戶來說可以有效避免被人工智能推送影響而產(chǎn)生的沖動(dòng)性消費(fèi)。再次，歐盟用戶有權(quán)將其攜帶的個(gè)人信息，在不同的數(shù)據(jù)控制者之間進(jìn)行存儲(chǔ)和轉(zhuǎn)移[18]。筆者認(rèn)為，如果個(gè)人信息被法律明確界定為某種權(quán)利，歐盟的這一規(guī)定對(duì)于權(quán)利交易來說具有一定的保障功能。在維護(hù)數(shù)據(jù)所有者權(quán)利這方面，我國法律存在很大的完善空間，可以從界定個(gè)人信息的屬性出發(fā)，明確個(gè)人信息既是一項(xiàng)絕對(duì)權(quán)利，又是一項(xiàng)具體的人格權(quán)，為個(gè)人信息的保護(hù)夯實(shí)法律依據(jù)。

2.完善與人工智能領(lǐng)域相關(guān)的立法

《網(wǎng)絡(luò)安全法》第41條規(guī)定網(wǎng)絡(luò)經(jīng)營者應(yīng)當(dāng)合法收集個(gè)人信息，并經(jīng)過被收集者的同意?！毒W(wǎng)絡(luò)安全法》雖然規(guī)定了用戶同意機(jī)制，但這一規(guī)定仍然不能夠應(yīng)對(duì)由人工智能所引起的個(gè)人信息安全問題。智能物收集個(gè)人信息時(shí)，會(huì)直接越過用戶同意的步驟。智能系統(tǒng)分析個(gè)人信息時(shí)，通常也不會(huì)經(jīng)過用戶的同意。筆者認(rèn)為，法律制度可以從技術(shù)源頭遏制個(gè)人信息侵權(quán)問題。首先，人工智能制造者根據(jù)對(duì)個(gè)人信息數(shù)據(jù)的分析結(jié)果制造用戶需求的智能產(chǎn)品，因此在制造之前，規(guī)定制造者必須合法獲取個(gè)人信息。其次，在人工智能制造之初，規(guī)定人工智能的制造者設(shè)計(jì)用戶同意程序，此處的用戶同意程序，不應(yīng)當(dāng)是簡(jiǎn)單的格式條款，而是在收集存儲(chǔ)用戶信息之前必須經(jīng)過用戶的同意。最后，在人工智能運(yùn)行過程中，擴(kuò)大“知情—同意”機(jī)制的適用范圍，原則上任何處理用戶信息的步驟都要經(jīng)過用戶的同意，涉及用戶隱私的信息更要有清晰的提示，且不得設(shè)計(jì)強(qiáng)制用戶接受同意的程序。

（三）建立人工智能領(lǐng)域個(gè)人信息安全的責(zé)任機(jī)制

1.確立人工智能主體的追責(zé)機(jī)制

確立人工智能主體的追責(zé)機(jī)制是保護(hù)人工智能領(lǐng)域個(gè)人信息安全的必要前提，也是追責(zé)人工智能侵權(quán)個(gè)人信息時(shí)承擔(dān)責(zé)任的基礎(chǔ)。目前，人工智能還沒有被認(rèn)為其具有法律上的主體資格，盡管存在其具有主體資格的論述;但筆者一直主張人工智能不具有法律上的主體資格，在筆者看來，此處人工智能的主體并不是指人工智能作為自身的主體，而應(yīng)當(dāng)是指人工智能的實(shí)際控制者，不論是智能系統(tǒng)的軟件人工智能，還是僅僅指智能物，這是目前規(guī)制人工智能侵犯?jìng)€(gè)人信息的追責(zé)依據(jù)，否則很難從法律上認(rèn)定人工智能自身作為侵權(quán)主體而存在。在筆者看來，人工智能無論進(jìn)化到什么程度，都不能夠取代人類的主體資格，也不應(yīng)當(dāng)存在所謂的“擬制人”之說，否則將違背自然規(guī)律。若真的強(qiáng)人工智能到來，再討論人工智能主體的追責(zé)機(jī)制也無實(shí)際意義，到那時(shí)人類生存權(quán)將是首要面對(duì)及考慮的。

2.建立人工智能產(chǎn)品的監(jiān)管機(jī)制

建立人工智能產(chǎn)品的監(jiān)管機(jī)制有助于加強(qiáng)人工智能領(lǐng)域個(gè)人信息安全的保護(hù)。首先，應(yīng)當(dāng)參照《產(chǎn)品質(zhì)量法》和《侵權(quán)責(zé)任法》的規(guī)定，明確生產(chǎn)者在開發(fā)過程中設(shè)置保護(hù)個(gè)人信息功能的通用標(biāo)準(zhǔn)，避免出現(xiàn)缺陷產(chǎn)品。其次，建立人工智能監(jiān)管和召回機(jī)制，生產(chǎn)者以及銷售者在人工智能產(chǎn)品售出后應(yīng)當(dāng)定期監(jiān)督人工智能產(chǎn)品對(duì)個(gè)人信息的收集和使用情況，監(jiān)督人工智能產(chǎn)品保護(hù)個(gè)人信息功能的實(shí)現(xiàn)，一旦發(fā)現(xiàn)人工智能產(chǎn)品缺陷或者有危及個(gè)人信息安全的情形，應(yīng)當(dāng)立即召回或停止服務(wù)。再次，可以制定人工智能領(lǐng)域個(gè)人信息安全的行業(yè)標(biāo)準(zhǔn)體系，推動(dòng)發(fā)揮人工智能領(lǐng)域行業(yè)的自律作用。最后，可以增設(shè)人工智能產(chǎn)品的責(zé)任保險(xiǎn)，該責(zé)任機(jī)制的設(shè)置可以借鑒《中華人民共和國保險(xiǎn)法》相關(guān)條文中類似于交通事故責(zé)任強(qiáng)制保險(xiǎn)的規(guī)定，在難以確定人工智能侵權(quán)責(zé)任主體的情況下，可以為被侵權(quán)人和生產(chǎn)者提供各自相應(yīng)的保障。

3.建立健全企業(yè)責(zé)任機(jī)制

首先，用戶對(duì)企業(yè)在公共平臺(tái)披露、存儲(chǔ)的個(gè)人信息應(yīng)當(dāng)有獲知其信息狀態(tài)與信息權(quán)利運(yùn)行的知情權(quán)?！毒W(wǎng)絡(luò)安全法》對(duì)此沒有相關(guān)規(guī)定，而我國部分網(wǎng)絡(luò)平臺(tái)會(huì)在法律聲明中說明用戶的信息權(quán)利。但是筆者認(rèn)為，當(dāng)網(wǎng)絡(luò)平臺(tái)違反與用戶達(dá)成的協(xié)議后，用戶只能圍繞違約行為提出法律訴求，而雙方的協(xié)議中通常不會(huì)約定違約責(zé)任如何承擔(dān)，因此并不能為用戶提供實(shí)質(zhì)性的保護(hù)。其次，當(dāng)發(fā)生個(gè)人信息重大泄露事故時(shí)，企業(yè)應(yīng)當(dāng)及時(shí)向監(jiān)管機(jī)構(gòu)報(bào)告。歐盟新規(guī)明確規(guī)定，如果發(fā)生用戶重大數(shù)據(jù)泄露，企業(yè)應(yīng)當(dāng)在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)或數(shù)據(jù)所有者報(bào)告。而《網(wǎng)絡(luò)安全法》第47條規(guī)定只在發(fā)現(xiàn)法律法規(guī)禁止發(fā)布或傳輸?shù)男畔r(shí)，網(wǎng)絡(luò)運(yùn)營者才有向有關(guān)部門報(bào)告的義務(wù)。該法也并未對(duì)法律法規(guī)禁止發(fā)布或傳輸?shù)男畔⑦M(jìn)行明確的解釋，可見此條規(guī)定并不是對(duì)個(gè)人信息權(quán)利的專門保護(hù)。再次，限定人工智能自動(dòng)化系統(tǒng)對(duì)個(gè)人敏感信息進(jìn)行自動(dòng)決策和自動(dòng)處理的行為。企業(yè)的這項(xiàng)義務(wù)有賴于法律對(duì)個(gè)人敏感信息的界定，應(yīng)用到人工智能領(lǐng)域，更應(yīng)當(dāng)首先明確人工智能領(lǐng)域個(gè)人信息的涵蓋范圍。

4.明確人工智能侵害個(gè)人信息的處罰機(jī)制

歐盟《GDPR》對(duì)違規(guī)行為的罰款數(shù)額相當(dāng)可觀，最高達(dá)到2 000萬歐元或全球年?duì)I業(yè)額的4%。我國《網(wǎng)絡(luò)安全法》對(duì)侵犯?jìng)€(gè)人信息的懲罰額度僅規(guī)定100萬元以下的罰款，對(duì)直接責(zé)任人員的罰款數(shù)額僅為1萬～ 10萬元，該懲罰額度不能夠起到嚴(yán)懲和警示的效果。人工智能創(chuàng)造的經(jīng)濟(jì)價(jià)值是不可預(yù)估的，其對(duì)個(gè)人信息侵權(quán)造成的不只是經(jīng)濟(jì)損失，甚至包括精神損害，因此對(duì)侵權(quán)人的處罰數(shù)額應(yīng)當(dāng)進(jìn)行詳細(xì)的劃分。我國可以借鑒歐盟對(duì)個(gè)人信息的保護(hù)，進(jìn)一步完善處罰機(jī)制。對(duì)于違法收集、利用個(gè)人信息的行為規(guī)定合理的處罰數(shù)額，并將數(shù)據(jù)控制者和數(shù)據(jù)處理者納入處罰范圍。

四、結(jié)語

大數(shù)據(jù)時(shí)代，人工智能離不開數(shù)據(jù)的深度挖掘和應(yīng)用，數(shù)據(jù)是人工智能的血液，人工智能的深度應(yīng)用也必將給人類的學(xué)習(xí)、生活、工作產(chǎn)生深層次的變革，隨著人工智能學(xué)習(xí)的不斷深入，人工智能對(duì)個(gè)人數(shù)據(jù)信息的應(yīng)用也不斷加強(qiáng)，人工智能對(duì)個(gè)人信息的收集、存儲(chǔ)、傳輸、應(yīng)用等形式是科技進(jìn)步和發(fā)展的必然結(jié)果。我們無法阻止科技浪潮的來襲，但我們可以提供與之相適應(yīng)的制度構(gòu)建。計(jì)算機(jī)只能發(fā)出強(qiáng)制性指令——它們沒有被編程來行使自由裁量權(quán)[19]，即使強(qiáng)人工智能時(shí)代真的到來，對(duì)人工智能賦予“自由裁量權(quán)”，該“自由裁量權(quán)”也應(yīng)當(dāng)是限定性的權(quán)力。“智造時(shí)代”，應(yīng)當(dāng)盡快建立人工智能領(lǐng)域個(gè)人信息安全法律保護(hù)制度。當(dāng)下《網(wǎng)絡(luò)安全法》難以應(yīng)對(duì)人工智能領(lǐng)域的個(gè)人信息安全保護(hù)，對(duì)個(gè)人信息的保護(hù)顯得單一和不足。在即將到來的《個(gè)人信息保護(hù)法》中，應(yīng)當(dāng)明確該法是否適用于人工智能領(lǐng)域的個(gè)人信息保護(hù)，同時(shí)在相關(guān)條文中或者司法解釋中明確人工智能領(lǐng)域個(gè)人信息安全的相關(guān)標(biāo)準(zhǔn)。從法律上明確人工智能侵犯?jìng)€(gè)人信息權(quán)利的歸責(zé)原則和責(zé)任承擔(dān)方式，同時(shí)積極制定行業(yè)標(biāo)準(zhǔn)，建立人工智能領(lǐng)域個(gè)人隱私保護(hù)制度、用戶選擇制度?？傊斯ぶ悄茴I(lǐng)域的個(gè)人信息安全問題要綜合考量，從技術(shù)、法律、政策等多維角度出發(fā)，結(jié)合人工智能的應(yīng)用環(huán)境給予保護(hù)。參考文獻(xiàn)：

[1]周舟.美國人工智能計(jì)劃的三大看點(diǎn)[EB/OL].（2019-02-26）[2019-10-29].http：//www.jjckb.cn/2019-02/26/c_137850529.htm.

[2]劉洋.俄羅斯將制定人工智能國家戰(zhàn)略[EB/OL].（2019-03-01）[2019-10-29].http：//www.jjckb.cn/2019-03/01/c_137859040.htm.

[3]袁于飛.三問人工智能創(chuàng)新發(fā)展試驗(yàn)區(qū)[EB/OL].（2019-02-26）[2019-10-29].http：//epaper.gmw.cn/gmrb/html/2019-02/26/nw.D110000gmrb_20190226_1-08.htm.

[4]HUMERICK M. Taking AI personally： How the E.U. must learn to balance the interests of personal data privacy & artificial intelligence[J].Santa Clara High Technology Law Journal，2018，34（4）：393-418.

[5]許天穎.人工智能時(shí)代的隱私困境與救濟(jì)路徑[J].西南民族大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2018，39（6）：166-170.

[6]邵國松，黃琪.人工智能中的隱私保護(hù)問題[J].現(xiàn)代傳播（中國傳媒大學(xué)學(xué)報(bào)），2017，39（12）：1-5.

[7]嚴(yán)貝妮，葉宗勇，段夢(mèng)麗.快遞用戶個(gè)人信息安全隱患成因解析：基于用戶角度的調(diào)查研究[J].現(xiàn)代情報(bào)，2018，38（2）：91-95.

[8]信息技術(shù)研究中心.人工智能標(biāo)準(zhǔn)化白皮書（2018版）[EB/OL].（2018-01-24）[2019-11-16].http：//www.cesi.ac.cn/images/editor/20180124/20180124135528742.pdf.

[9]TSCHIDER C A. Regulating the internet of things： Discrimination， privacy， and cybersecurity in the artificial intelligence age[J].Denver Law Review，2018，96（1）：87-144.

[10]MALGIERI G， CUSTERS B. Pricing privacy–the right to know the value of your personal data[J].Computer Law & Security Review，2018，34（2）：289-303.

[11]許東陽.SP 800-122《保護(hù)個(gè)人身份信息的保密指南》標(biāo)準(zhǔn)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2013（09）：44-47.

[12]齊愛民.論個(gè)人信息的法律屬性與構(gòu)成要素[J].情報(bào)理論與實(shí)踐，2009，32（10）：26-29.

[13]雍黎.人工輔助驗(yàn)證智慧安保系統(tǒng)上線[EB/OL].（2019-03-01）[2019-11-18].http：//www.stdaily.com/index/kejixinwen/2019-03/01/content_752970.shtml.

[14]Biometric mirror[EB/OL].[2019-11-18].https：//socialnui.unimelb.edu.au/research/biometric-mirror/.

[15]PAVLACKA B. Artificial general intelligence and the future of the human race[J].Berkeley Scientific Journal，2012，16（2）：1-3.

[16]COLE G S.Tort liability for artificial intelligence and expert systems[J].Computer Law Journal，1990，10（2）：127-232.

[17]齊愛民.《中華人民共和國個(gè)人信息保護(hù)法（草案）》（2017版）[EB/OL].（2017-11-12）[2019-11-29].http：//www.sohu.com/a/203902011_500652.

[18]KISHOR N.Will artificial intelligence be illegal in Europe next year？[EB/OL].（2017-08-10）[2019-11-29].https：//houseofbots.com/news-detail/941-1-will-artificial-intelligence-be-illegal-in-europe-next-year.

[19]GERSTNER M E.Liability issues with artificial intelligence software[J].Santa Clara Law Review，1993，33（1）：239-270.

On the legal protection of personal information

security in the field of artificial intelligence

ZHU Gaofeng