人工智能時代個人信息保護立法完善研究

陳楊　洪文霞

摘 要：人工智能時代個人信息價值巨大，同時個人信息被過度采集和非法共享的現(xiàn)象也層出不窮，公民會面臨著個人信息時刻遭受暴露的風險。在我國個人信息保護的立法實踐中，存在著諸如法律規(guī)范缺乏系統(tǒng)性、相關(guān)法律規(guī)定不明確、立法缺乏可操作性等弊端，這不利于增強公民的維權(quán)意識，同時會放縱個人信息侵權(quán)事件的發(fā)生。因此，針對上述弊端，應(yīng)當要采取賦予人工智能主體資格、推進人工智能個人信息保護專門立法等舉措來為被侵權(quán)者提供救濟，從而切實推進個人信息保護的立法進程。

關(guān)鍵詞：人工智能時代;個人信息;立法完善

一、人工智能時代個人信息的概況

（一）個人信息的屬性分析

對于“個人信息”的界定，我國多部法律規(guī)范性文件中均有提及，并且學界也無較大爭議，即個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別個人身份的各種信息。[1]從這個定義中，我們不難發(fā)現(xiàn)個人信息的基本屬性：

第一，個人信息的主體是自然人，而非法人。因為個人信息承載著一般人格利益和隱私利益，而法人是不具備人格利益的。因此，法人不能成為個人信息的主體。

第二，個人信息具有識別性。它可以直接或間接識別，也可以單獨或聯(lián)合識別。但需要注意的是，這里的識別并不是指識別范圍的大小，而是指識別信息主體的可能程度，即能在多大程度上將網(wǎng)絡(luò)上的個人信息與現(xiàn)實中的人相匹配。

第三，個人信息兼具有人格和財產(chǎn)雙重屬性。目前學界對于“個人信息”的概念界定都偏向于將其定性為人身屬性。但筆者認為，目前網(wǎng)絡(luò)詐騙案件頻發(fā)，不能否認有一部分的案件受害人是因為個人信息泄露從而導致被騙，此時受害人遭受的不僅僅是個人利益的損失，同時也是財產(chǎn)利益的損失。因此，人格權(quán)保護固然是重點，但財產(chǎn)權(quán)依附于人格權(quán)而產(chǎn)生，二者都應(yīng)當受到法律保護。目前，司法實踐中，對于侵犯公民個人信息的判決仍傾向于判斷是否侵犯其隱私權(quán)，受害方也并沒有要求財產(chǎn)屬性損害的賠償，個人信息的財產(chǎn)屬性并沒有在實踐中予以運用，這一方面使得公民個人信息得不到完整保護，另一方面會放縱加害方的違法犯罪行為，不利于維護社會穩(wěn)定。

（二）個人信息與個人隱私的關(guān)系。

實踐中，大家往往會將個人信息和個人隱私混同，但其實二者是包含關(guān)系，個人信息的外延更廣泛，它既包括個人隱私，也包括人格尊嚴等一般人格利益。個人信息權(quán)是一種綜合性的權(quán)利，既具有人格屬性也具有財產(chǎn)屬性;而個人隱私權(quán)則單純指一種精神性人格權(quán)，往往和人格尊嚴有關(guān)。目前對于個人信息的保護基本還停留在隱私權(quán)保護的語境下。個人信息包括搜集、存儲、分析等多個階段，當前談到的隱私權(quán)侵犯主要關(guān)注的是隱私是否被非法披露，這樣對侵犯個人信息的行為進行規(guī)制難免會有所疏漏。倘若想要保護民眾個人居住的安寧，想要避免個人信息不被非法利用，應(yīng)當要對所有的個人信息進行全方位的法律保護。

（三）基于數(shù)據(jù)隱私的法律規(guī)制實踐

在科技迅猛發(fā)展的今天，計算機的功能也在不斷更新，它可以對人們的個人信息進行甄別，從而反復推薦個人經(jīng)常瀏覽的信息。比如說，我們常用的淘寶、微博、微信都在不經(jīng)意間披露著個人信息，并且網(wǎng)絡(luò)服務(wù)提供者的行為可能已經(jīng)直接或間接對我們的個人信息構(gòu)成侵權(quán)。[2]無論其披露的信息對公民有益或無益，都不能改變其對公民個人信息侵犯這一事實。針對這一現(xiàn)狀，學界已基本達成共識：即公民在服務(wù)方提供的搜索引擎上瀏覽信息，并不代表公民同意網(wǎng)絡(luò)服務(wù)提供者過度消耗公民個人信息。盡管如此，鑒于民眾趨利避害的本能，人工智能所表現(xiàn)出來的智能性和便捷性仍吸引大家去接納存在侵權(quán)風險的網(wǎng)絡(luò)服務(wù)。這樣，人工智能就不僅僅作為一種分析工具而出現(xiàn)，更重要的是作為人類行動的前置依據(jù)。個人隱私侵權(quán)問題頻發(fā)，算法監(jiān)管僅依靠科研人員的道德自律遠不能實現(xiàn)，還應(yīng)尋求法律層面的國家規(guī)制。因此，我國“需要把握大數(shù)據(jù)時代公共安全保障的新變化、新特征，在面對挑戰(zhàn)的同時尋求法律應(yīng)對?！盵3]

二、人工智能的出現(xiàn)對個人信息保護的挑戰(zhàn)

基于人工智能的應(yīng)用具有多方位、跨領(lǐng)域的特點，可以從三個層次來分析人工智能對個人信息的挑戰(zhàn)：

（一）個人信息被過度收集和非法共享

在人工智能語境下，行政領(lǐng)域處于社會公共管理的需要而收集公民個人信息，這一行為的目的是為了公共管理工作更好的展開，因此該行為不會被大家貼上違法行為的標簽。但有些企業(yè)以非法牟利為目的進行采集民眾個人信息，該行為就不具有違法阻斷性，給個人造成損失的，應(yīng)當要承擔相應(yīng)法律責任。個人通過搜索引擎在網(wǎng)絡(luò)上瀏覽時，網(wǎng)址就會開始記憶用戶經(jīng)常瀏覽的內(nèi)容，用戶的興趣愛好、消費習慣等等就會被暴露。網(wǎng)絡(luò)上對這些信息進行收集的處理成本很低，只要使用瀏覽器瀏覽網(wǎng)頁的，無論用戶是否授權(quán)，其個人信息都會或多或少的被網(wǎng)絡(luò)服務(wù)提供商收集，進而造成了公民個人信息面臨著被非法采集的風險。

服務(wù)商掌握了眾多的個人信息資料，就會和其他商業(yè)機構(gòu)合作來進行牟利，建立一種類似于買賣的關(guān)系，一方負責大量收集信息，另一方則利用這些非法采集的信息進行非法操作，這也正是我們會接收到騷擾短信或騷擾電話的原因。身處于大數(shù)據(jù)時代的人就好像“裸奔”一樣，我們的一切信息都面臨著被他人非法獲取的風險。在人工智能侵權(quán)的案例中，被害人往往很難進行舉證，面對個人信息被過度收集和非法共享的困境，這就需要對網(wǎng)絡(luò)服務(wù)提供者非法收集個人信息的行為進行立法規(guī)制，從而有效保護個人信息的安全。

（二）個人信息的匿名化保護失效

隨著人工智能技術(shù)的發(fā)展和應(yīng)用，大量的數(shù)據(jù)更容易被獲得和被關(guān)聯(lián)，處于匿名信息階段的時代一去不復返，取而代之的是，“抽象的人”被還原成“特定的人”。計算機通過特殊算法會對公民個人信息進行比對和分析，將個人信息和信息的主人一一配對，這樣會促進信息的二次利用。當然，此處提及的二次利用特指非法營利中的二次利用。人工智能技術(shù)的發(fā)展日趨成熟，比如，2017年美國開發(fā)出一套機器學習算法，將特定的人臉打上馬賽克，神經(jīng)網(wǎng)絡(luò)仍然可以通過圖像或者視頻而探知隱藏的個人信息，這一科技成果會加劇個人對自己信息被他人操控的恐慌。[4]需要注意的是，人工智能的發(fā)展也離不開區(qū)塊鏈的運用，倘若未來將區(qū)塊鏈技術(shù)也應(yīng)用在個人信息保護方面，即使不點擊識別選項，也無法去掉網(wǎng)頁中包含的個人信息，這會造成民眾極大的不安全感，會時刻擔心個人信息被竊取進而遭受信息暴露的風險。

（三）個人信息的“告知同意”規(guī)則失效

如今，隨著網(wǎng)絡(luò)生活的全面發(fā)展，幾乎所有線下能完成的操作線上都能完成，這也是民眾更加依賴網(wǎng)絡(luò)的一大原因。網(wǎng)絡(luò)服務(wù)提供者會在用戶不知情的情況下對個人信息進行收集，這里往往是故意進行個人信息收集。盡管互聯(lián)網(wǎng)中會有“告知同意”規(guī)則，但是現(xiàn)代社會大多都是快餐式生活，為了追求快捷，大家往往都會忽視互聯(lián)網(wǎng)中的隱私保護條款。在注冊賬號時，面對以小號字體出現(xiàn)的隱私條款，我們都會習慣性的點擊“同意”選項，但其實并沒有仔細閱讀其中的隱私保護條款，直至出現(xiàn)問題才想起有隱私條款的存在，不得不說，這是廣大網(wǎng)民的通病。當個人信息被二次利用時，公民往往對此不知情，在這種潛在并且無休止的分享個人信息的情況下，民眾的個人信息其實已經(jīng)遭受了非法侵害。我們不可能要求所有的信息都以自己期待的方式被披露，想要確保個人信息以自己滿意的方式進行披露和使用，必須要有制度保證。

三、我國個人信息保護的立法缺陷

（一）法律規(guī)范缺乏系統(tǒng)性

目前，我國關(guān)于個人信息保護的法律規(guī)范比較零散，尚未形成一套完整的體系。對于個人信息保護或個人隱私保護往往都是在《網(wǎng)絡(luò)安全法》、《民法總則》中提及，并沒有一部專門獨立的法律來保障公民的個人信息安全，這一方面使得民眾時刻擔心個人信息被非法利用，另一方面也會導致法官在審判時“無法可依”，不管從何種層面來分析，這都不利于公民個人信息的保護。我國的立法規(guī)則是由部門主導立法，這就使得立法部分和信息化部門之間相互隔離，執(zhí)法部門不知道自己的職責，行業(yè)主體就更不知道自己應(yīng)該遵守何種行業(yè)法規(guī)及準則，使得法律治理滯后于信息技術(shù)的更新發(fā)展。試想，在這種適用現(xiàn)狀下，如何期待個人信息能得到完善的保護？當前的法律無法適應(yīng)急劇發(fā)展的社會現(xiàn)實，這必然導致法律適用現(xiàn)狀混亂，而法律規(guī)范缺乏系統(tǒng)性是造成這種混亂的濫觴。因此，只有構(gòu)建出一套完整的個人信息保護立法體系，才能讓民眾的個人信息權(quán)得到切實保障。

（二）相關(guān)法律規(guī)定不明確

在《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》中，關(guān)于偵查過程中個人信息如何獲得保護并沒有進行規(guī)定。比如，在偵查過程中搜集個人信息是否應(yīng)該告知相關(guān)權(quán)利人，獲取到相應(yīng)信息后是否應(yīng)當將數(shù)據(jù)銷毀，個人信息權(quán)遭受損害后公民個人如何獲得救濟等，對于這一系列問題都沒有規(guī)定，留有一片法律空白。對于大部分的民眾可能知悉個人信息權(quán)應(yīng)受法律保護，但其中也不乏有些民眾不重視個人信息的保護，這會縱容非法收集個人信息的行為頻繁發(fā)生，不利于公民維權(quán)意識的形成。再比如，在《政府信息公開條例》中，個人的信息于何時何地以何種目的被國家收集，公民對此毫不知情，我們是不能否認行政機關(guān)出于公共管理目的對個人信息利用的合法性，但這并不能弱化公民享有個人信息權(quán)這一事實。諸如此類相關(guān)立法的不完善，使得公民個人信息難以得到有效保護。

（三）立法缺乏可操作性

盡管我國法律中規(guī)定，在收集、使用公民個人電子信息，應(yīng)當遵循合法、正當、必要的原則，并經(jīng)被收集者同意。[5]可是對于“合法、正當、必要”這一原則，現(xiàn)行法幾乎都沒有給出具有可操作性的界定，大多都是進行宏觀性的描述，但這種宣示性的規(guī)定導致實踐適用困難，民眾難以把握界限，從而催生出一系列違法行為。同時該條款中“并經(jīng)被收集者同意”這一內(nèi)容，對于用戶如何行使同意權(quán)、哪些情況下需要行使同意權(quán)都沒有明確的規(guī)定。法律的生命力在于執(zhí)行，倘若法律條款中的規(guī)定都不具有實操性，那么法律的設(shè)立就形同虛設(shè)，無法發(fā)揮其應(yīng)有的作用，這和立法者的初衷背道而馳。并且還有學者指出，如果按照當前的標準去測評這些企業(yè)，幾乎沒有企業(yè)能達到合格的標準。[6]因為這些規(guī)定過于原則性，如何進行解讀完全取決于個人意志，這種檢測標準不存在公平可言，很難讓行業(yè)主體信服。并不是說目前對于個人信息保護沒有相關(guān)立法，而是說這些立法形同虛設(shè)，因為公民不知道如何遵守，也不知道個人信息權(quán)遭受侵犯后如何救濟。因此，對現(xiàn)有法律進行梳理，制定出具有實操性的法律規(guī)定迫在眉睫。

四、人工智能時代個人信息保護的立法思路

（一）有序推進人工智能立法，賦予人工智能主體資格。

隨著人工智能數(shù)據(jù)處理能力的不斷增強，人工智能具有進一步自主化的趨勢。對于人工智能侵權(quán)的救濟規(guī)則必須以人工智能的法律人格為前提，因此亟需推進人工智能立法，賦予人工智能法律地位。在討論人工智能應(yīng)當被賦予法律地位之后，須進一步討論人工智能法律人格的限度，人工智能作為民事主體，具有的應(yīng)當是有限的法律人格，承擔的是有限責任。

將人工智能的“智商”作為是否應(yīng)當賦予法律資格的標準，通過頒發(fā)人工智能資格證書的方式對人工智能進行管理。人工智能和法人的人格特點類似，其也是依據(jù)其自身特點享有有限的權(quán)利，履行有限的義務(wù)，承擔有限的法律責任。需要注意的是，倘若人工智能具有完全的法律人格，則會使得其他責任主體逃避責任;如果人工智能不具有任何法律人格，那么與人工智能相關(guān)的侵權(quán)責任都將由其生產(chǎn)者承擔，這很可能導致生產(chǎn)者因不想擔責而怠于進行科研研發(fā)，會阻礙人工智能技術(shù)的進步。因此，賦予人工智能有限的法律人格，既是促進人工智能技術(shù)進步的有力制度，也是完善人工智能侵權(quán)責任承擔的有效措施。

（二）推進個人信息保護專門立法，細化個人信息保護條款。

1.明確個人信息范圍

公民有權(quán)對自己的個人信息進行自主決定，倘若個人信息的所有者允許商家使用其信息，則會阻斷違法性。當前司法實踐中對信息自決權(quán)尚未充分利用，因此可以通過學說論證和司法實務(wù)案例，對信息自決權(quán)的內(nèi)容進行補充。例如，個人信息的收集及使用情況均須告知權(quán)利主體并征得其同意，立法應(yīng)當進一步細化知情同意原則，不得采用隱蔽手段或以間接方式收集個人信息，否則構(gòu)成侵權(quán)。同時，還可以運用負面清單模式，個人信息的范圍比較廣泛，那么可以從反面規(guī)定哪些信息不屬于此處提及的個人信息，進一步對個人信息的保護范圍進行規(guī)范，明確信息主體的權(quán)利與義務(wù)，避免公民的個人信息權(quán)遭受侵害。

2.提高信息控制者的注意義務(wù)

在現(xiàn)代科技社會中，往往是各種電子商務(wù)公司掌握著大量的電子信息數(shù)據(jù)。因此為了預防個人信息數(shù)據(jù)被侵犯，應(yīng)當要求信息控制者提高管理技術(shù)，并加強防護措施。針對這一問題，筆者建議加強數(shù)據(jù)匿名化。在對個人信息進行收集和使用的過程中，應(yīng)去除個人信息身份標識，使其無法識別特定個人。生成匿名信息后，應(yīng)向用戶公示匿名信息包含的信息類別。由于電子商務(wù)公司等信息控制者對于其掌握的個人信息數(shù)據(jù)具有監(jiān)管保護義務(wù)，并且其在侵害個人信息案件中通常會獲得利益。因此，應(yīng)當提高信息控制者對該類案件的民事賠償責任，構(gòu)成犯罪的依法追究刑事責任，同時可以追究具有法律人格的人工智能之法律責任。

（三）建立專門的人工智能行政監(jiān)管機制，確保個人信息保護法的實施。

在對個人信息保護專門立法時，應(yīng)當建立專門的人工智能行政監(jiān)管機制，確保人工智能系統(tǒng)在使用個人信息時能夠得到足夠的管控，具體來說，該監(jiān)管機制的運行應(yīng)當包含以下四點：

第一，設(shè)立人工智能監(jiān)管機構(gòu)。由于人工智能產(chǎn)品具有較高的技術(shù)要求，監(jiān)管機構(gòu)必須配備具有足夠?qū)I(yè)知識的人才。監(jiān)管機構(gòu)需要監(jiān)督各類企業(yè)處理個人信息的全過程，并通過其集中高效管理。同時，監(jiān)管機構(gòu)需要監(jiān)督對個人信息保護法的執(zhí)行，確保各種法律條款落地實施。第二，構(gòu)建人工智能產(chǎn)品的強制登記制度。為了明確人工智能產(chǎn)品的責任承擔，應(yīng)當通過特殊的身份辨識系統(tǒng)來辨明不同的產(chǎn)品編號。因此，需要在人工智能監(jiān)管體系中建立起強制登記制度，并且實行分級分類監(jiān)管模式，從而確立該類人工智能產(chǎn)品的管理制度。第三，確立行業(yè)協(xié)會的輔助監(jiān)管模式。由行業(yè)協(xié)會對個人信息保護行業(yè)進行指導和監(jiān)督，同時由行政監(jiān)管機構(gòu)監(jiān)督行業(yè)協(xié)會。行業(yè)協(xié)會輔助監(jiān)管模式是對專門性監(jiān)管機構(gòu)的對接，兩個模式相互協(xié)調(diào)，能夠有效地做到人工智能技術(shù)風險的預先控制。第四，接受個人的申訴，為個人提供救濟。在經(jīng)濟全球化的背景之下，設(shè)立一個專門管理機構(gòu)，不僅有利于個人信息的保護，更有利于在跨國流通過程中維護國家信息主權(quán)。[7]

（四）構(gòu)建完善的侵權(quán)保障體系，確定個人信息受損的責任承擔。

1.構(gòu)建人工智能侵犯個人信息的行為規(guī)則

（1）責任主體的認定

在人工智能未被賦予法律人格時，人工智能產(chǎn)品類似于普通電子產(chǎn)品，其侵權(quán)責任類似于產(chǎn)品責任，具體構(gòu)成要件和責任承擔參照《侵權(quán)責任法》中關(guān)于產(chǎn)品侵權(quán)的相關(guān)規(guī)定。另外，由于人工智能的特殊性，人工智能產(chǎn)品實施侵犯個人信息行為后，應(yīng)當區(qū)分是產(chǎn)品缺陷還是算法數(shù)據(jù)存在問題，根據(jù)不同原因追究相應(yīng)的責任主體。

盡管人工智能產(chǎn)品的自主性越來越強，但其運行依舊是依賴于最原始的算法。當具有有限人格的人工智能產(chǎn)品侵犯他人權(quán)利時，參與人工智能發(fā)明、授權(quán)和使用過程中的所有主體都需要承擔相應(yīng)的法律責任。此種做法有助于督促人工智能系統(tǒng)的所有參與者自覺履行安全性義務(wù)，并為人工智能的安全提供正面導向。

（2）免責事由的適用

人工智能在某些情況下亦存在免責事由：第一，受害人過錯。該情形主要包括通過自愿販賣個人信息進行牟利而致害的情形，這種情況下發(fā)生危險即存在受害人過錯;第二，其他原因。這通常是指受害人故意、第三人原因等。該類情況下，個人信息遭受的損害應(yīng)當由真正的責任人承擔。

（3）舉證責任

盡管我國采取“誰主張，誰舉證”的舉證原則，但由于對智能產(chǎn)品侵犯個人信息的舉證在技術(shù)方面要求過高，將舉證責任完全歸于受害者明顯不公。因此，可由受害者承擔其個人信息遭受損害的初步證據(jù)，再由生產(chǎn)者自證其不具有侵權(quán)的過錯，免責事由舉證則由生產(chǎn)者承擔。

2.提供便捷的救濟途徑

由于個人信息數(shù)據(jù)泄露的受害者數(shù)量巨大，其要獲得救濟的成本較高，對此可以參照《民事訴訟法》第55條關(guān)于環(huán)境公益訴訟的規(guī)定。當信息主體的合法權(quán)益受到侵害需提起訴訟時，可以委托具有專業(yè)知識經(jīng)驗的特定組織或機構(gòu)進行代理，這樣能夠更好的保護信息主體的合法權(quán)益。人工智能侵犯個人信息的事件時有發(fā)生，因此要重視對受害人的救濟，若被害人在損害中得不到合理的救濟勢必會導致公眾對人工智能產(chǎn)品缺乏信心，這種信任的缺乏會打擊生產(chǎn)者的積極性。因此，不管從何種角度說，都應(yīng)當建立起完善的個人信息侵權(quán)救濟體系。

3.確立新型責任保險機制

人工智能產(chǎn)品侵犯個人信息已經(jīng)成為常態(tài)，為了更好的保護信息主體的權(quán)益，立法可以參照機動車交通事故責任強制保險的規(guī)定，要求人工智能的購買者必須為其人工智能產(chǎn)品購買個人信息強制險。個人信息強制險制度的存在一方面能夠及時彌補受害者損失，使其得到較為全面的救濟，另一方面也在一定程度上減輕購買者的責任，不至于因承擔過寬責任而縮小人工智能產(chǎn)品的市場，這樣有助于人工智能科技創(chuàng)新的發(fā)展。

參考文獻：

[1]何長春.人工智能之于現(xiàn)行法律體系之風險與挑戰(zhàn)[J].現(xiàn)代鹽化工，2018（4）：121-123.

[2]盧護鋒，劉力菁.大數(shù)據(jù)時代個人信息保護中的法律問題——基于貴州大數(shù)據(jù)建設(shè)的思考[J].廣州大學學報，2018（5）：80-85.

[3]劉志堅，郭秉貴.大數(shù)據(jù)時代公共安全保障與個人信息保護的沖突與協(xié)調(diào)[J].廣州大學學報，2018（5）：74-79.

[4]李欲曉.物聯(lián)網(wǎng)安全相關(guān)法律問題研究[J].法學論壇，2014（6）：74-82.

[5]陳晉.人工智能技術(shù)發(fā)展的倫理困境研究[D].吉林大學，2016.

[6]張平.出臺個人信息保護法尚存爭議，應(yīng)細化現(xiàn)有法律[N].南方都市報，2017-08-15（03）.

[7]彭舒瓊.人工智能時代個人信息保護的立法選擇[J].黑龍江省政法管理干部學院學報，2018（5）：21-30.

作者簡介：

陳楊（1996-），女，湖北黃岡人，漢，東華理工大學2018級法律碩士研究生，研究方向：民商法學.

洪文霞（1996-），女，江西九江人，漢，東華理工大學2018級法律碩士研究生，研究方向：民商法學.

基金項目：本論文得到東華理工大學研究生創(chuàng)新基金資助（項目編號：DHYC-201939 ）.