李曉明

內(nèi)容摘要：技術(shù)規(guī)范是有關(guān)人類在利用各類技術(shù)時應(yīng)當(dāng)遵守的行為準(zhǔn)則，由于技術(shù)的高度專業(yè)性，傳統(tǒng)刑法規(guī)范難以完全適用其中，因此必要時技術(shù)規(guī)范也可以進入刑法規(guī)制。普通法律規(guī)范規(guī)制“信息技術(shù)”可能產(chǎn)生的漏洞與風(fēng)險，人工智能刑法規(guī)制中涉及的高度技術(shù)性及其專業(yè)性，人工智能時代面臨著未來刑法規(guī)范的必要轉(zhuǎn)型。未來人工智能刑法規(guī)制中“技術(shù)規(guī)范”的拓展至全方位動態(tài)技術(shù)監(jiān)管體系，需要進一步固定與設(shè)計技術(shù)法律規(guī)范的概念標(biāo)準(zhǔn)，需要進一步完善和加強技術(shù)法律規(guī)范的具體制度，在搭建起數(shù)據(jù)安全動態(tài)監(jiān)管框架的基礎(chǔ)之上，需要考慮進行框架內(nèi)具體的技術(shù)規(guī)范制度設(shè)計與填充。為避免數(shù)據(jù)安全技術(shù)法律規(guī)范原則性的概括指導(dǎo)，應(yīng)對人工智能技術(shù)特征、行為模式、侵害后果進行全面而具體的把握，設(shè)計一整套全方位、綜合性的技術(shù)規(guī)范，以期實現(xiàn)數(shù)據(jù)安全風(fēng)險的最小化。

關(guān)鍵詞：技術(shù)規(guī)范 人工智能 侵害風(fēng)險 有效規(guī)制 數(shù)據(jù)收集 社會規(guī)范

中圖分類號：DF6 文獻標(biāo)識碼：A 文章編號：1674-4039-（2021）02-0054-68

刑法規(guī)范早就把技術(shù)規(guī)范擺在了重要的議事日程，技術(shù)規(guī)范“是指人在處理人與自然、人與社會、人與自己所創(chuàng)造的各種語言符號關(guān)系的程序、步驟、方法和技巧的一些原則、傳統(tǒng)，是一種知識型的、智能型的行為規(guī)范”。〔1 〕顯然，這里的技術(shù)規(guī)范不同于傳統(tǒng)意義上的技術(shù)規(guī)范，是一種具有現(xiàn)代知識和智能性的遵守自然與技術(shù)規(guī)律的規(guī)范，它或許涉及社會規(guī)范或個人利益的保護，但不直接涉及人與人之間的利害沖突與關(guān)系，而是價值中性、無道德評價和遵守技術(shù)規(guī)則或突破自然規(guī)律的規(guī)則。進一步講，它不僅適用于人與自然的關(guān)系，如尊重自然界的規(guī)律、科學(xué)規(guī)則與工藝技術(shù)流程，而且適用于人與社會，乃至人的思維、語言等領(lǐng)域，如心理學(xué)規(guī)律、社會組織運行機制、邏輯思維規(guī)則、語言等的約定和法則?！? 〕尤其在計算機與網(wǎng)絡(luò)高度發(fā)達的人工智能時代，技術(shù)規(guī)范更應(yīng)引起刑事立法的高度關(guān)注與重視。

一、技術(shù)規(guī)范及其立法規(guī)制功能在刑法規(guī)制中的應(yīng)用

（一）技術(shù)規(guī)范概念之辨明

傳統(tǒng)觀點認(rèn)為，所謂技術(shù)規(guī)范是指人們支配和使用自然力、勞動工具、勞動對象的行為規(guī)則。〔3 〕隨著各類高新技術(shù)的迅猛發(fā)展，現(xiàn)代意義上的技術(shù)規(guī)范并不僅僅局限于人與自然之間的關(guān)系法則，更多是指人在處理人與自然、人與社會、人與自己所創(chuàng)造的各種語言符號關(guān)系的程序、步驟、方法和技巧的一些原則、傳統(tǒng)，是一種知識型的、智能型的行為規(guī)范。〔4 〕也就是說，其不僅適用于傳統(tǒng)的人與自然的關(guān)系，在現(xiàn)代社會背景下，更多地還體現(xiàn)在人與管理技術(shù)和操作規(guī)程的法則，如交通安全法則、安全生產(chǎn)規(guī)章、技術(shù)操作規(guī)則等的規(guī)范。在人工智能時代，一般是指人類在利用數(shù)據(jù)智能技術(shù)時所應(yīng)遵守的操作準(zhǔn)則。

也有學(xué)者認(rèn)為，“所謂技術(shù)規(guī)范是指由技術(shù)本身所構(gòu)成的調(diào)整人與人之間權(quán)利與義務(wù)關(guān)系的規(guī)范”?！? 〕然而，如此也就無法將技術(shù)規(guī)范與調(diào)整人與人之間關(guān)系之社會規(guī)范進行有效區(qū)分，因為其過分強調(diào)了規(guī)范調(diào)整的后果歸屬，將一切規(guī)范調(diào)整之目的都解釋為人與人之間利益變動的需要，是對規(guī)范解讀的過分延伸，并不十分合理，更不適合當(dāng)今大數(shù)據(jù)和人工智能時代所需要的技術(shù)規(guī)范要求。筆者認(rèn)為，從區(qū)分技術(shù)規(guī)范與社會規(guī)范的前提出發(fā)，應(yīng)當(dāng)僅僅將技術(shù)規(guī)范限定在調(diào)整人類利用各類科學(xué)技術(shù)時應(yīng)當(dāng)遵守的技術(shù)行為準(zhǔn)則上。

當(dāng)然，筆者認(rèn)為本文的技術(shù)規(guī)范，有別于傳統(tǒng)意義的技術(shù)規(guī)范。一方面，在人工智能和科技時代的背景下，更加強調(diào)規(guī)范本身的知識性與智能性;另一方面，在規(guī)制的價值屬性上，技術(shù)規(guī)范應(yīng)當(dāng)是完全中立的，不帶任何主觀評價色彩，所直接調(diào)整的僅僅是人與自然、社會，乃至人的語言、思維等領(lǐng)域的技術(shù)行為準(zhǔn)則，而不涉及人與人之間的利益關(guān)系。

（二）技術(shù)規(guī)范與法律規(guī)范關(guān)系之辨明

如上所述，所謂“規(guī)范”一般可分為技術(shù)規(guī)范與社會規(guī)范兩類，前者調(diào)整的是人與自然或人與技術(shù)規(guī)律之間關(guān)系的規(guī)范，后者只調(diào)整人與人之間關(guān)系的規(guī)范?！? 〕通說認(rèn)為，法律規(guī)范應(yīng)當(dāng)歸屬于社會規(guī)范。也就是說，法律規(guī)范應(yīng)當(dāng)約束限制的僅僅是人與人之間的利益關(guān)系，傳統(tǒng)法律部門多具此類特征，甚至新興的“環(huán)境法”中，多數(shù)學(xué)者認(rèn)為，本質(zhì)上來說其仍然調(diào)整的是人與人之間的核心利益。例如，汪勁教授認(rèn)為：“法學(xué)的主要取向仍然趨向于維護建立在傳統(tǒng)倫理道德基礎(chǔ)上的‘正義，即對人與人之間的社會關(guān)系的調(diào)整……因此，現(xiàn)行環(huán)境法仍舊只是以人的利益為中心，間接反射至環(huán)境利益的?！?〔7 〕但從條文本身來看，其規(guī)范構(gòu)成本身具有極強的科技性，大多根據(jù)自然科學(xué)或技術(shù)規(guī)律來約束人類在利用、保護自然或遵守技術(shù)規(guī)則方面的行為方式，一味地引申或解讀社會規(guī)范，實則是人類中心主義的錯誤擴張。必須承認(rèn)的是，包括國際公約等世界各國的法律法規(guī)中，的確存在大量有關(guān)人與自然及科學(xué)技術(shù)規(guī)則的法律規(guī)范，包括在森林保護、環(huán)境保護、自然資源保護方面人類應(yīng)當(dāng)遵守的行為規(guī)則等，尤其在大數(shù)據(jù)和人工智能時代更是如此。因此，對于“法律規(guī)范屬于社會規(guī)范”的傳統(tǒng)觀點，在科技時代的大變遷和迅猛發(fā)展過程中，尤其是在未來大數(shù)據(jù)和人工智能規(guī)則與規(guī)制中必須作出相應(yīng)的調(diào)整，以充分考慮當(dāng)今時代社會規(guī)則與技術(shù)規(guī)則的融合性。

一般認(rèn)為，人工智能可具體劃分為弱人工智能、強人工智能以及超人工智能。而在弱人工智能時代，人工智能區(qū)別于一般網(wǎng)絡(luò)技術(shù)的重要特征之一就是“深度學(xué)習(xí)”功能，也即“對于某類任務(wù)T和性能度量P，在T上以P衡量的性能隨著經(jīng)驗E而自我完善”?！? 〕由于依托大數(shù)據(jù)及互聯(lián)網(wǎng)的功能構(gòu)架，在完成基礎(chǔ)的算法編程與數(shù)據(jù)輸入后，其仍會根據(jù)其后續(xù)環(huán)境變化帶來的數(shù)據(jù)擴增進行更為深入地學(xué)習(xí)理解，也即所謂“數(shù)據(jù)喂養(yǎng)人工智能”。因此，多數(shù)人工智能產(chǎn)品最終的處理變化一般會脫離技術(shù)人員的最初設(shè)定，若固守只有人類才可以成為法律規(guī)制對象的傳統(tǒng)觀點，一旦人工智能產(chǎn)生對人類的人身或財產(chǎn)的侵害，便極有可能造成對程序員等技術(shù)人員的不當(dāng)處罰，或者對人工智能機器的規(guī)制真空，顯失公允。然而，這些技術(shù)風(fēng)險又不是完全不可控的，尤其作為編制程序及機器人的制造者，提高自己的技術(shù)防范意識才是所討論的刑法規(guī)制中技術(shù)規(guī)范的核心。

因此，在今后不能單純認(rèn)為法律規(guī)范完全屬于社會規(guī)范的范疇，根據(jù)調(diào)整對象的不同，法律規(guī)范可能僅僅具有社會規(guī)范的特征，也可能兼具社會規(guī)范與技術(shù)規(guī)范的特征。換言之，技術(shù)規(guī)范本身與法律規(guī)范是可以相互兼容的，它們共同作為行為調(diào)整的基本準(zhǔn)則。

（三）技術(shù)規(guī)范在刑法中的功能應(yīng)用

由于部分規(guī)制內(nèi)容的高度專業(yè)化及技術(shù)性的特征，傳統(tǒng)法律規(guī)范無法完全涵蓋和適用，故技術(shù)規(guī)范在我國未來的刑法規(guī)制中成為擴展性的趨勢。筆者認(rèn)為，根據(jù)技術(shù)規(guī)范特征及解決問題類型的不同，其在刑法條文中的應(yīng)用方式主要有兩種：

一是通過刑法空白罪狀的方式引證必要的技術(shù)規(guī)范。在刑法需要否定的技術(shù)行為類型詳細(xì)規(guī)定在技術(shù)規(guī)范中時，為避免法條篇幅過長，保證罪狀敘述的簡潔精煉，可以在罪狀描述中省略相關(guān)數(shù)據(jù)侵害行為類型，而指明參照某類技術(shù)規(guī)范。

二是通過敘明罪狀的方式直接寫入刑法條文之中。無需對相關(guān)行為操作規(guī)范進行詳細(xì)描述時，可以直接在刑法條文中使用相關(guān)的技術(shù)概念。一方面，避免法條中法律概念、術(shù)語的使用模糊不清，導(dǎo)致行為人理解偏差;另一方面，精煉的技術(shù)用語更為精準(zhǔn)直接，避免語言描述過于冗長。

尤其是在人工智能的背景下，技術(shù)規(guī)范不僅表現(xiàn)出不可替代性，而且愈加表現(xiàn)出不可缺少性。與傳統(tǒng)技術(shù)規(guī)范相比，現(xiàn)代意義上的技術(shù)規(guī)范不僅包括人與自然之間的法則，而且包括人與管理技術(shù)和操作規(guī)程方面的法則，如交通安全法則、生產(chǎn)安全規(guī)章、國家計量標(biāo)準(zhǔn)、人工智能技術(shù)的開發(fā)與操作規(guī)程、數(shù)學(xué)通訊符號的設(shè)置規(guī)則等。正如有學(xué)者指出的那樣，所謂技術(shù)規(guī)范是指由技術(shù)本身所構(gòu)成的調(diào)整人與人之間權(quán)利與義務(wù)關(guān)系的規(guī)范。〔9 〕技術(shù)規(guī)則本身就是一種規(guī)范，尤其在現(xiàn)代計算機及其網(wǎng)絡(luò)世界里，這種技術(shù)規(guī)則與規(guī)范主要以計算機軟件及其合成的人工智能為主要表現(xiàn)形式。顯然，這是對傳統(tǒng)技術(shù)規(guī)范突破性的挑戰(zhàn)，尤其通過調(diào)整人與自然或技術(shù)之間的關(guān)系來調(diào)整人與人之間或整個社會之間的關(guān)系，不僅與純粹的社會規(guī)范不同，甚至與傳統(tǒng)的技術(shù)規(guī)范也形成了鮮明的對比?？梢哉f，現(xiàn)代計算機及其網(wǎng)絡(luò)意義上的技術(shù)規(guī)范是以技術(shù)規(guī)則為基礎(chǔ)，直接調(diào)整人與自然或技術(shù)之間的權(quán)利義務(wù)關(guān)系，以及規(guī)范制定或操作人工智能技術(shù)等的行為之規(guī)范。相對來講，現(xiàn)代意義上的社會規(guī)范則直接調(diào)整的是人與人之間的關(guān)系，即社會沖突、社會利益紛爭中的純?nèi)伺c人之間的利害關(guān)系，顯然與現(xiàn)代技術(shù)規(guī)范的功能具有很大層面上的不同。

二、傳統(tǒng)規(guī)范可能出現(xiàn)的漏洞及人工智能刑法規(guī)制的必要轉(zhuǎn)型

“人類在進入到21世紀(jì)的三個關(guān)鍵時點，相繼進入了三個互相聯(lián)系又略有區(qū)別的新時代，即網(wǎng)絡(luò)社會時代、大數(shù)據(jù)時代、人工智能時代，三者共同構(gòu)成了新的社會時代”?！?0 〕伴隨著數(shù)據(jù)處理技術(shù)的飛速提升和互聯(lián)網(wǎng)運用的全面普及，人類也逐步邁入人工智能時代。不論未來的“強人工智能”，甚至可能超越人類“奇點”的“超人工智能”，僅僅“弱人工智能”的現(xiàn)階段，已經(jīng)對法律提出了諸多的挑戰(zhàn)與問題，因此面對人工智能，刑法規(guī)范必須轉(zhuǎn)型。

（一）普通法律規(guī)范規(guī)制“信息技術(shù)”可能產(chǎn)生的漏洞與風(fēng)險

在以“信息技術(shù)”為基礎(chǔ)的網(wǎng)絡(luò)世界里， 充分體現(xiàn)了多變性、多樣性、高速性、全球性等特征， 很難全面有效地調(diào)整網(wǎng)絡(luò)社會中的社會關(guān)系?！?1 〕而人工智能時代的侵害方式、危害規(guī)模、傳播速度與范圍較之網(wǎng)絡(luò)社會更甚，因而更需要關(guān)注普通法律規(guī)范可能產(chǎn)生的漏洞。

普通法律規(guī)范具有一定的封閉性，很難應(yīng)對發(fā)展迅速的人工智能犯罪問題。法律當(dāng)然需要穩(wěn)定性，立法的連續(xù)性與變化的速率不可太大，只有具有適度穩(wěn)定性的法律才是健康的法律?！?2 〕法律的“朝令夕改”，一方面往往會導(dǎo)致民眾的無所適從，損害法律的權(quán)威性;另一方面也會導(dǎo)致司法者的同案不同判，可能導(dǎo)致諸多同案不同判的司法不公。然而，在人工智能的背景下，加之借助大數(shù)據(jù)庫和互聯(lián)網(wǎng)的加持，其發(fā)展之快早已超出想象。正如我們還在驚嘆于橫掃棋壇的前三代“AlphaGo”，谷歌在2017年又已推出了升級版“AlphaGo Zero”，擺脫了以往預(yù)先輸入人類知識的學(xué)習(xí)模式，“從零開始”學(xué)習(xí)圍棋，僅用3天就擊敗其前輩版本?！?3 〕

而對于此類犯罪，侵害的方式與速率更是千變?nèi)f化，因此帶來高風(fēng)險。而封閉的傳統(tǒng)法律規(guī)范顯然難以跟上或適應(yīng)千變?nèi)f化的技術(shù)違規(guī)與犯罪，容易給侵害行為留下漏洞。若仍舊依賴傳統(tǒng)法律，在相應(yīng)犯罪大規(guī)模產(chǎn)生后就會出現(xiàn)法律滯后和自顧不暇。因此，應(yīng)盡快進行技術(shù)規(guī)范方面的立法，包括對刑法規(guī)范的補充、修改和完善。當(dāng)然，在現(xiàn)如今信息技術(shù)日新月異的當(dāng)下，除法律的頻繁變動有損權(quán)威外，顯然也會成倍地加大立法與司法者的工作壓力。

縱觀現(xiàn)有的立法規(guī)定，“中國的法律資源仍然停留于過去的時代，而未能及時跟進當(dāng)前的新時代” 〔14 〕。中國的“信息技術(shù)”立法保護從計算機時代開始，著重以計算機信息系統(tǒng)作為犯罪對象的不法規(guī)制，走過了網(wǎng)絡(luò)時代，對利用計算機網(wǎng)絡(luò)實施傳統(tǒng)犯罪的行為給予了高度重視。但在目前人工智能時代，數(shù)據(jù)呈現(xiàn)高度集中與迅速流動的特點，與之對應(yīng)的不法侵害也是變化萬千。在國家立法并未有進一步跟進的背景下，堅持普通法律規(guī)制所帶來的問題便開始逐現(xiàn)端倪：

1.技術(shù)規(guī)范的忽視容易導(dǎo)致法益保護范圍上的漏洞及片面性

普通法律規(guī)制模式下，在涉及某些專業(yè)技術(shù)概念、專業(yè)技術(shù)手段的犯罪行為時，往往只關(guān)注和強調(diào)專業(yè)問題中的某一特定具體事實方面，而忽視對整體事實行為技術(shù)特征的上升概括。例如，刑法第116條規(guī)定的“破壞交通工具罪”，其中對于交通工具的描述，僅限于各類交通工具種類的列舉，而不涉及“交通工具”這類技術(shù)概念體征的闡明理解。盡管關(guān)注和列舉具體客觀情況，可保障條文用語的平實簡單、通俗易懂，但一旦外部環(huán)境發(fā)生變化，都有可能導(dǎo)致對法益保護的不全面和疏漏。實踐中，一旦遇到條文具體描述之外的類型種類，往往訴諸于司法解釋或者法官的自由裁量。但在人工智能時代，技術(shù)手段具有極高的專業(yè)性要求，法官僅憑公正信念難以作出準(zhǔn)確裁量;同時，即使是制定程序相對簡易快捷的司法解釋，也并不能時時關(guān)注犯罪動向、頻繁改動。

首先，對信息技術(shù)時代下新型法益的一般具體描述，可能導(dǎo)致概念適用時的不確定性。以“數(shù)據(jù)犯罪”為例，立法者早已注意到數(shù)據(jù)侵害問題的發(fā)展擴大趨勢并進行了相應(yīng)的規(guī)制控制。我國刑法第285條第2款及第286條第2款集中對“數(shù)據(jù)”的非法獲取和破壞這兩種侵害行為類型進行了具體明確的規(guī)制。但問題在于，這些條文僅關(guān)注了犯罪行為類型的全面涵蓋，但忽略了“數(shù)據(jù)”概念范圍的明確界分。條文中所謂的“計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)”，過分關(guān)注數(shù)據(jù)的具體流動方式，并未抽象出數(shù)據(jù)的一般特征，具體判斷時無法明確。

一方面從借鑒國外相關(guān)概念的角度進行理解。2001年歐盟制定公布的《網(wǎng)絡(luò)犯罪公約》第1章第1條對網(wǎng)絡(luò)犯罪相關(guān)概念進行了明釋。公約使用了“計算機數(shù)據(jù)”這一明確技術(shù)概念，并明確其是“以任何事實、信息或概念的任何呈現(xiàn)，以一種適合于在計算機系統(tǒng)中處理的形式存在，包括一個適于引起計算機執(zhí)行功能的程序”?！?5 〕因此，可以認(rèn)為，公約所保護的數(shù)據(jù)范圍限定在計算機系統(tǒng)內(nèi)部能夠?qū)崿F(xiàn)計算機系統(tǒng)某項功能的數(shù)據(jù)類型。有學(xué)者認(rèn)為，公約所指“計算機數(shù)據(jù)”概念即是我國刑法所承認(rèn)的數(shù)據(jù)概念。〔16 〕但問題在于，該數(shù)據(jù)界定范圍過于狹窄，只認(rèn)同“按照系統(tǒng)的組織目標(biāo)進行規(guī)整和排列” 〔17 〕的內(nèi)部數(shù)據(jù)，而我國刑法條文中“計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)”。從字面上看 ，并未有“實現(xiàn)計算機某項功能”之義。在“林某非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪” 〔18 〕一案中，被告人林某作為某科技公司職工，非法盜取其公司計算機系統(tǒng)中包括“無人機系統(tǒng)級通訊協(xié)議”等的核心技術(shù)資料，該核心技術(shù)數(shù)據(jù)并非具有支持計算機系統(tǒng)某項功能的作用，其價值僅僅體現(xiàn)在其承載內(nèi)容信息的機密重要性，但根據(jù)最終判決，法院依舊將其作為計算機系統(tǒng)內(nèi)數(shù)據(jù)予以法律保護。因此，我國刑法中數(shù)據(jù)保護范圍顯然不可與該公約簡單類比。

另一方面從相關(guān)司法解釋條文規(guī)定中進行考量。2011年，“兩高”聯(lián)合頒布的《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第1條對“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”的“情節(jié)嚴(yán)重行為”進行了具體明確，即包括“獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息十組以上的”等行為 〔19 〕，但解釋中也只對“身份認(rèn)證信息”這一類具體行為對象進行了明文規(guī)定。這是否意味著刑法規(guī)制的數(shù)據(jù)范圍僅限于與“身份認(rèn)證信息”。答案顯然是否定的，計算機信息系統(tǒng)中傳輸儲存的信息數(shù)據(jù)遠不止“身份認(rèn)證信息”這一種數(shù)據(jù)類型，包括位置信息、個人健康信息等諸多與我們?nèi)粘＞o密相連、利益相關(guān)的數(shù)據(jù)類型，很難僅僅依據(jù)司法解釋的列舉就簡單將其排除在保護范圍之外。

其次，對傳統(tǒng)犯罪行為內(nèi)容的過分限定，可能導(dǎo)致其難以適應(yīng)信息技術(shù)時代的犯罪形態(tài)變化，刑法對傳統(tǒng)法益的保護不免陷入被動。例如，有關(guān)“身份證件”的相關(guān)犯罪規(guī)定。2015年刑法修正案（九）對刑法第280條進行了補充修正，將“偽造、變造居民身份證罪”修訂為“偽造、變造、買賣身份證件罪”，并在其后增加第280條之一，也即“使用虛假身份證件、盜用身份證件罪”。該修訂將護照、社會保障卡、駕照等可以用于證明公民身份的證件也一并容納，克服了原先刑法條文僅僅將犯罪對象限定于“居民身份證”這一種身份證件類型的范圍問題，一定程度上關(guān)注到了“居民身份證”的“證明公民身份”的一般特征功能，適應(yīng)了時代發(fā)展下證件類型的不斷擴張與更新。但問題在于，如此修訂也僅僅囊括了“證件”類型下身份證明手段的犯罪侵害，而一旦跳脫開傳統(tǒng)法定證件形式，刑法條文也難免再一次保守落后，最典型就如“人臉識別”“虹膜識別”等生物識別技術(shù)。

網(wǎng)絡(luò)時代背景下，諸如“人臉識別”“虹膜識別”“指紋識別”等生物識別技術(shù)越來越多地受到重視與運用，其利用公民個人唯一的生物特征進行身份認(rèn)定，因而較之傳統(tǒng)證件手段似乎更具有唯一性和不可復(fù)制性而難以侵害，但也并非是完美無缺。各支付平臺頻頻發(fā)生的“人臉識別”盜刷案件不得不引起高度重視。行為人通過盜取用戶社交網(wǎng)站照片，錄制和翻拍用戶人像視頻，甚至3D打印技術(shù)等都可以成功模擬出動態(tài)人像，以此騙過不同系統(tǒng)的人臉識別關(guān)卡?！?0 〕由此可見，生物識別并非不可破解，甚至由于沒有諸如“掛失”等補救措施，危害可能較之以往更甚。盡管若造成一定財產(chǎn)損失，可按照相應(yīng)“財產(chǎn)犯罪”來進行處理，但在僅僅作為身份認(rèn)證的場合，顯然暴露出立法條文上的漏洞。礙于現(xiàn)行刑法條文中“身份證件”的表述方式，一方面“人臉”“虹膜”等個人生理特征無論如何也難以為“證件”的語義范圍所容納;另一方面“聲音識別”“步態(tài)識別”等關(guān)注個人行為特征的生物識別技術(shù)也一直是作為科學(xué)研究的重點關(guān)注對象。此類形態(tài)特征甚至完全摒除了客觀物質(zhì)載體的形式外觀。因而，筆者認(rèn)為，是否應(yīng)當(dāng)弱化身份證明手段的外在形式界定，重點關(guān)注其用于“公民身份識別”的一般性功能特征，將“身份證件”概括表述為“身份識別信息”這一普遍技術(shù)特征，以此適應(yīng)未來可能的更多識別技術(shù)發(fā)展。

同樣問題也體現(xiàn)在線上支付方式的發(fā)展運用中，在智能手機與各類金融App普及的當(dāng)下，中國早已經(jīng)過信用卡時代，而率先引領(lǐng)了手機支付的革新。諸如“支付寶”“微信錢包”等線上支付App日益成為民眾日常消費購物的首選支付方式，這類支付平臺內(nèi)往往儲存和掌握著大量金融賬戶相關(guān)的數(shù)據(jù)信息，一旦發(fā)生數(shù)據(jù)的竊取、泄露事件，損害的不僅僅是公民的隱私安全利益，更重要的是公民現(xiàn)實相關(guān)的財產(chǎn)利益。

而在傳統(tǒng)刑法條文中，僅僅第177條第1款對侵害支付類工具的犯罪進行了相應(yīng)規(guī)制，即“妨害信用卡 〔21 〕管理罪”和“竊取、收買、非法提供信用卡信息罪”，其將犯罪對象限定在具有客觀實物的“電子支付卡”類型中，范圍不免失之過窄。一方面，難以通過刑法解釋方式突破刑法第177條第1款。不可否認(rèn)的是，該解釋方式確實可以涵蓋一部分侵害行為，由于諸多的線上支付工具均具有與用戶銀行信用卡綁定，從而承擔(dān)用戶直接支取銀行卡內(nèi)現(xiàn)金的中介作用，此時將App內(nèi)相關(guān)資金信息解釋為“信用卡信息”也未為不可。但并非所有的線上支付工具都是通過與銀行信用卡相綁定而實現(xiàn)消費轉(zhuǎn)賬等功能。例如，“支付寶余額”“微信零錢”等功能程序，用戶的資金信息并不來源于實在的信用卡，而是僅僅在支付平臺內(nèi)存儲使用。此時，用戶所有的資金信息數(shù)據(jù)并不與具有實體形式的支付卡相聯(lián)系，強行將其中賬戶信息數(shù)據(jù)解釋為信用卡信息，只能是有類推適用之嫌。另一方面，也難以適用“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”的條文規(guī)定進行處置。其從保護公民數(shù)據(jù)隱私安全的角度，所規(guī)定的最高刑為3年以下有期徒刑，情節(jié)嚴(yán)重者可達7年以下有期徒刑，但“信用卡類”犯罪中，情節(jié)嚴(yán)重行為最高可達10年以下有期徒刑，同時也輔之以確定金額范圍的財產(chǎn)刑。很明顯，若僅僅適用數(shù)據(jù)犯罪保護思路，很難體現(xiàn)其侵害數(shù)據(jù)的特殊財產(chǎn)性質(zhì)，不免導(dǎo)致罪刑失衡。有學(xué)者主張“信用卡”限定類別太過狹隘，可參照日本刑法中“非法制作支付用卡電磁記錄等犯罪”“持有非法制作電磁記錄用卡罪”等條文規(guī)定，將諸如儲值卡、ETC卡等具有一般支付或提款功能的磁卡也包含在內(nèi)。〔22 〕誠然，“支付用卡”的用詞關(guān)注到了公交卡、購物卡等信用卡之外更多的支付類磁卡，一定程度上擴大了針對支付工具類的侵害犯罪的打擊范圍，但針對網(wǎng)絡(luò)時代下線上支付手段的犯罪侵害行為仍束手無策。因而，筆者認(rèn)為對于支付類信息數(shù)據(jù)可進一步抽象為“支付類電磁記錄”，弱化對支付手段客觀載體的強調(diào)限制，僅僅根據(jù)數(shù)據(jù)本身的財產(chǎn)價值性質(zhì)進行保護，以全面覆蓋線上支付時代的信息數(shù)據(jù)安全。

概言之，由于普通法律條文僅僅注意到了“信用卡信息”“身份證件”這一單一事實種類予以簡單描述，而未注意到其背后“支付類信息”和“身份識別信息”的一般技術(shù)特征，難以應(yīng)對復(fù)雜變化的現(xiàn)實情況。因而，“不能完全按照具體案件情況描述構(gòu)成要件，而應(yīng)進行必要的歸納、整理，把握事實的本質(zhì)與重要特征” 〔23 〕。在網(wǎng)絡(luò)時代高科技犯罪的背景下，更應(yīng)注重概括行為的一般技術(shù)特征，使用精準(zhǔn)詳細(xì)的技術(shù)規(guī)范，避免停留于對案件事實的表象關(guān)注。

2.技術(shù)規(guī)范的忽視容易導(dǎo)致刑事責(zé)任主體確定的混亂及不公正性

以“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”為例，司法工作者并非沒有注意到技術(shù)變更帶來的犯罪差異，例如，移動設(shè)備的不斷普及導(dǎo)致數(shù)據(jù)范圍逐漸脫離計算機終端的范圍限制，因而為應(yīng)對爆發(fā)式的移動終端數(shù)據(jù)侵害案件。2011年“兩高”公布的《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，將“計算機信息系統(tǒng)”定義為“具備自動處理數(shù)據(jù)功能的系統(tǒng)，包括計算機、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、自動化控制設(shè)備等”?！?4 〕將計算機僅僅作為系統(tǒng)設(shè)備的一種，擴大了系統(tǒng)設(shè)備的涵蓋范圍，智能手機、智能手表等新型電子設(shè)備也一并囊括在內(nèi)。

但問題在于，司法者僅僅關(guān)注到了侵害數(shù)據(jù)范圍的時代更迭，但對侵害數(shù)據(jù)的類型手段卻鮮有問津。最初的計算機時代，數(shù)據(jù)的侵害僅僅是針對計算機系統(tǒng)本身而言，而進入網(wǎng)絡(luò)時代，信息網(wǎng)絡(luò)則兼具了侵害對象和侵害工具的功能， 〔25 〕盡管這兩種技術(shù)類型中，犯罪方式和類型發(fā)生了變化，但卻都沒有完全跳脫犯罪行為人的直接控制。也就是說，數(shù)據(jù)侵害的過程和結(jié)果始終處于行為人的直接掌控之下的。但現(xiàn)行條款的應(yīng)對能力也僅止于網(wǎng)絡(luò)時代犯罪，跨入人工智能時代，由于人工智能產(chǎn)品本身具有的“深度學(xué)習(xí)”的顯著特征，即使在最初合理正確的研發(fā)編程基礎(chǔ)之上，產(chǎn)品自身仍有可能在數(shù)據(jù)的不斷交換學(xué)習(xí)過程中，發(fā)生后續(xù)算法系統(tǒng)的進化改良。換言之，即使發(fā)生人工智能產(chǎn)品對數(shù)據(jù)進行侵害控制的結(jié)果，也并非是在行為人直接有效的操控下發(fā)生的，可能并非出于開發(fā)管理者的主觀故意、甚至有可能是完全的意外事件。因而，在人工智能時代尤其是強人工智能時代，經(jīng)歷最初的程序設(shè)定之后，投入使用的人工智能產(chǎn)品所發(fā)生的數(shù)據(jù)侵害行為或者說犯罪行為應(yīng)當(dāng)如何歸責(zé)？學(xué)術(shù)界對此類問題早有爭論，甚至就“人工智能是否獨立承擔(dān)刑事責(zé)任”形成了兩種截然對立的觀點?！?6 〕人工智能時代，其智能產(chǎn)品始終處于一種動態(tài)的變化過程，產(chǎn)品最初設(shè)計缺陷所造成侵害與后續(xù)自我發(fā)展漏洞所造成侵害，盡管在結(jié)果樣態(tài)上可能并無二致，但不可一概而論。侵害原因發(fā)生的階段不同也必須要嚴(yán)格對應(yīng)著不同階段研發(fā)管理人員不同的責(zé)任承擔(dān)要求，也即人工智能產(chǎn)品不同侵害原因類型對應(yīng)的責(zé)任義務(wù)主體不能等同視之，但如此責(zé)任義務(wù)的區(qū)分在現(xiàn)行條文中并未有任何體現(xiàn)。

總而言之，不同時代革新帶來的技術(shù)特征發(fā)展，帶來的不僅僅是法益侵害類型的變化，還包括侵害手段工具、過程階段的變化發(fā)展。“刑事立法層面難以滲透技術(shù)差異理念，以致出現(xiàn)混淆人工智能犯罪、計算機系統(tǒng)犯罪和信息網(wǎng)絡(luò)犯罪的尷尬處境，歸根結(jié)底這是一種結(jié)果型立法的常態(tài)現(xiàn)狀”。〔27 〕僅僅關(guān)注相關(guān)犯罪的數(shù)據(jù)侵害結(jié)果，而否認(rèn)不同數(shù)據(jù)侵害類型背后的技術(shù)手段差別，其結(jié)果只能是將各類技術(shù)犯罪表面的“網(wǎng)絡(luò)”特征無限擴大，片面地將所有的技術(shù)犯罪問題討論停留在網(wǎng)絡(luò)時代。信息技術(shù)雖然是作為各類智能產(chǎn)品發(fā)展的基礎(chǔ)，儼然已不能充分涵蓋新型技術(shù)產(chǎn)品的特征創(chuàng)新，一再忽視侵害行為所運用手段工具的技術(shù)特征、結(jié)果發(fā)生類型的技術(shù)原因，最終只會導(dǎo)致定罪歸責(zé)的混亂與不公。

（二）人工智能刑法規(guī)制中涉及的高度技術(shù)性及其專業(yè)性

人工智能技術(shù)是高技術(shù)的核心，可稱之為高技術(shù)核?！?8 〕智能技術(shù)本身的高度專業(yè)性決定了其用語規(guī)范的專業(yè)性，一般抽象的術(shù)語描述難以準(zhǔn)確概括人工智能數(shù)據(jù)犯罪的具體特征，既可能過于寬泛遺漏犯罪，也可能描述有誤錯誤打擊。因而，引入專業(yè)的數(shù)據(jù)安全技術(shù)規(guī)范是合理必要的。

1.人工智能時代也給犯罪賦予了技術(shù)性和時代性特征

人工智能侵害數(shù)據(jù)犯罪，往往需要極強的專業(yè)知識背景。以人工智能所依托的數(shù)據(jù)庫為例，當(dāng)前數(shù)據(jù)庫攻擊的最大來源是黑客攻擊，人工智能所匯聚的數(shù)據(jù)資源更加豐富，規(guī)模也更加龐大，極易對黑客產(chǎn)生誘惑成為攻擊對象。例如，2016年9月法國的OVH公司（提供網(wǎng)站托管服務(wù)）遭遇了前所未有的大型DDoS攻擊，攻擊者利用物聯(lián)網(wǎng)，黑入多個CCTV攝像頭，形成僵尸網(wǎng)絡(luò)進行攻擊，服務(wù)器被攻擊的峰值甚至達到了每秒1Tb。〔29 〕而這樣的高強度數(shù)據(jù)攻擊類型僅僅只是冰山一角，據(jù)專業(yè)人士介紹，針對數(shù)據(jù)庫的攻擊手段，主要包括六種：強力（或非強力）破解弱口令或默認(rèn)的用戶名及口令、特權(quán)提升、利用未用的和不需要的數(shù)據(jù)庫服務(wù)和功能中的漏洞、針對未打補丁的數(shù)據(jù)庫漏洞、SQL注入、竊取備份（未加密）的磁帶?！?0 〕可見，人工智能背景下數(shù)據(jù)犯罪更加專業(yè)化，普通法律概念根本難以涵蓋其特征要素。

2.人工智能時代也框定出一些特定的違法犯罪行為人

刑法作為規(guī)定犯罪和刑事責(zé)任及其辯護關(guān)系的法律規(guī)范的總和，具有引導(dǎo)規(guī)制人們?nèi)粘Ｐ袨榈膶?dǎo)向功能。〔31 〕刑法應(yīng)當(dāng)引導(dǎo)人們積極學(xué)法、懂法、守法，通過簡練易懂的語言文字使人們充分理解行為的應(yīng)當(dāng)與不應(yīng)當(dāng)，從而引導(dǎo)人們實施合法行為。但技術(shù)規(guī)范往往因其特定的知識領(lǐng)域背景，對于一般民眾而言晦澀難懂，難以理解遵守。如此看來，在人工智能時代，若大量引入技術(shù)規(guī)范，則不能有效發(fā)揮刑法的規(guī)制功能，使刑法閑置無用。但事實并非如此。

人工智能背景下的數(shù)據(jù)侵害犯罪具有相當(dāng)?shù)目萍紝I(yè)性，因此，犯罪主體一般限于相關(guān)領(lǐng)域的專業(yè)技術(shù)人員，可以認(rèn)為，此類數(shù)據(jù)侵害犯罪是一種特定的高智商犯罪。盡管一般的民眾由于缺乏必要的知識背景，可能難以對技術(shù)規(guī)范的內(nèi)容理解，表面上看來因為對條文理解的不規(guī)范可能誘發(fā)民眾不經(jīng)意間觸發(fā)“紅線”。但實際上，正因為其知識技能的缺乏，一般民眾很難參與此類數(shù)據(jù)侵害犯罪。也就是說，一般民眾本就不可能成為此類專業(yè)犯罪的行為主體，此時刑法面對的或者說試圖規(guī)制的僅僅是具有侵害數(shù)據(jù)的專業(yè)知識技能的特定人群而已。因此，人工智能或許框定出某些特定違法犯罪人，不必?fù)?dān)心存在刑法規(guī)制功能的失效。

（三）人工智能時代面臨著未來刑法規(guī)范的必要轉(zhuǎn)型

技術(shù)的合理有效發(fā)展，離不開法律的必要規(guī)制。而在人工智能技術(shù)的變革發(fā)展下，為進一步降低數(shù)據(jù)集中的風(fēng)險挑戰(zhàn)，也為適應(yīng)人工智能參與司法的模式轉(zhuǎn)變，刑法必須進行價值觀念及規(guī)范內(nèi)容上的必要調(diào)整，甚至刑法規(guī)范的必要轉(zhuǎn)型。

1.法律價值觀念的重構(gòu)

法律價值指引著法律制度與規(guī)范的設(shè)計，在“公平正義”這一法律的普適價值之外，考慮到人工智能技術(shù)帶來的新的社會風(fēng)險性以及技術(shù)本身對法律從業(yè)的挑戰(zhàn)，有必要重新考量法律的必要價值理念。

首先，在人工智能時代，風(fēng)險控制應(yīng)當(dāng)是法律應(yīng)當(dāng)追求的首要目標(biāo)。不同于一般高科技技術(shù)的發(fā)展軌跡，人工智能技術(shù)在發(fā)展之初，已然引發(fā)民眾對于該技術(shù)風(fēng)險問題的強烈擔(dān)憂。小到人工智能輔助工具對隱私數(shù)據(jù)的無所不入，大到最終的“類人機器人”時代的倫理道德約束問題，人們在初嘗人工智能技術(shù)帶來的便利果實的時候，便已開始擔(dān)憂未來的“失控”可能。因而，未來法律規(guī)制首要考慮的應(yīng)當(dāng)是對可能風(fēng)險的防范與控制問題。一方面，在弱人工智能時代，著重保障數(shù)據(jù)安全，避免數(shù)據(jù)的可能濫用或泄露;另一方面，在強人工智能甚至超人工智能時代，則應(yīng)當(dāng)認(rèn)真考慮人類如何避免來自“智能體”的不必要侵害。

其次，人工智能時代應(yīng)當(dāng)注重法律的效率價值。效率是人工智能參與法律工作的最大優(yōu)勢，也是我們應(yīng)當(dāng)追求的價值理念。一方面，對數(shù)據(jù)犯罪而言，大量的數(shù)據(jù)泄露勢必造成極其惡劣的社會影響，互聯(lián)網(wǎng)時代的四通八達，晚一天實現(xiàn)對當(dāng)事者的處置，就有可能導(dǎo)致信息的再次傳播與擴散，此時以高效快捷的法律程序處理案件是將損失降至最低、保護受害人的最佳途徑;另一方面，人工智能參與法律工作，其本身就具備極強的信息處理能力，承認(rèn)并充分發(fā)揮該速度優(yōu)勢也是應(yīng)有之義。

最后，與時俱進應(yīng)是法律追求的重要目標(biāo)。不同于傳統(tǒng)法律較為封閉的法律體系。人工智能技術(shù)發(fā)展的速度之快，也意味著犯罪手段方式的更新之快。若不及時更新相關(guān)規(guī)范內(nèi)容，很容易被不法分子利用其中漏洞，在法網(wǎng)外肆意侵害。因此，傳統(tǒng)封閉的法律條文規(guī)范，難以應(yīng)對復(fù)雜的人工智能具體案件，應(yīng)當(dāng)隨著技術(shù)的不斷更新發(fā)展而調(diào)整規(guī)范內(nèi)容。

2.技術(shù)規(guī)范的必要運用

人工智能背景下，由于人工智能輔助司法帶來的識別學(xué)習(xí)困難等問題，法律條文需要更多專業(yè)客觀的文字表述。因此，強調(diào)使用更為嚴(yán)謹(jǐn)客觀的技術(shù)規(guī)范，在人工智能時代的題中應(yīng)有之義。

第一，技術(shù)規(guī)范用語明確不含歧義。正如前所述，由于法律規(guī)范中存在大量的規(guī)范構(gòu)成要件要素，在不同的案件情況，甚至不同的社會經(jīng)驗、知識背景下，不同的法官會作出不同解讀。這一點是難為人工智能所能理解的。而技術(shù)規(guī)范是一種知識型、智能型的行為規(guī)范，是直接指引相關(guān)技術(shù)人員進行實踐操作的行動手冊，為避免理解不同導(dǎo)致技術(shù)操作上的事故，其用詞遣句上更具科學(xué)嚴(yán)謹(jǐn)性。

第二，技術(shù)規(guī)范的內(nèi)容具有真實性?！澳壳爸袊深I(lǐng)域的信息存在著突出的‘表象性特征，即信息是公開的，但卻在某種程度上并不一定是真實的”?！?2 〕技術(shù)規(guī)范作為一種具體的操作規(guī)范，如果相關(guān)內(nèi)容數(shù)據(jù)存在錯誤，將會直接導(dǎo)致操作結(jié)果的千差萬別，甚至造成極其嚴(yán)重的生產(chǎn)事故。因而，技術(shù)規(guī)范的數(shù)據(jù)信息使用絕對真實，也避免了人工智能進行裁判時結(jié)論的荒謬錯誤。

第三，技術(shù)規(guī)范的內(nèi)容具有客觀性。從本質(zhì)上來說，法律在某種程度上是一種意識形態(tài)?！?3 〕法律規(guī)范是一種立法者價值判斷的選擇，是立法者認(rèn)為實現(xiàn)公平正義最佳途徑，我們不能否認(rèn)這樣的價值判斷符合社會絕大多數(shù)人的利益需求，但總會部分利益被排除在外，產(chǎn)生裁判偏差。而“技術(shù)和技術(shù)規(guī)范本質(zhì)上是一種以確定性、精確性的科學(xué)知識為后盾的工具理性，是為了達成某項目的而使用的手段”。〔34 〕因而，技術(shù)規(guī)范并不需要感性的價值判斷，如此也避免了人工智能技術(shù)識別法律規(guī)范時的困難或偏差。

三、未來人工智能刑法規(guī)制中“技術(shù)規(guī)范”的拓展路徑

人工智能技術(shù)飛速發(fā)展，帶來的不僅僅是傳統(tǒng)犯罪對象上的擴大與更新，更是對數(shù)據(jù)本身的保護與流動觀念的巨大沖擊和挑戰(zhàn)。而現(xiàn)階段，人工智能的監(jiān)管正處于一種事前監(jiān)管于法無據(jù)，事后監(jiān)管缺少標(biāo)準(zhǔn)的狀況， 〔35 〕普通法律規(guī)范難以適應(yīng)高速發(fā)展的人工智能技術(shù)，對于大規(guī)模的數(shù)據(jù)侵害犯罪更是束手無策，因而必然需要合理運用數(shù)據(jù)安全技術(shù)規(guī)范，以填補人工智能數(shù)據(jù)犯罪方面的監(jiān)管空白。

（一）全方位動態(tài)技術(shù)監(jiān)管體系需要進一步固定與設(shè)計

對人工智能安全進行專業(yè)性法律規(guī)制，必須首先搭建起全方位、全過程的行政監(jiān)管框架體系。一方面借助網(wǎng)絡(luò)時代的大背景，數(shù)據(jù)一旦侵犯泄露，其傳播波及范圍較之以往更甚，確有必要嚴(yán)格控制;另一方面由于自身具有的深度學(xué)習(xí)功能，人工智能在運行后可能會對自身程序進行修改而產(chǎn)生異化 〔36 〕。因而，對于人工智能技術(shù)規(guī)范的作用方式也應(yīng)當(dāng)是動態(tài)深入的。

首先，強調(diào)事前的預(yù)防規(guī)制。鑒于人工智能在侵害數(shù)據(jù)安全方面的重大風(fēng)險性，技術(shù)規(guī)范的介入應(yīng)當(dāng)始于人工智能技術(shù)生產(chǎn)應(yīng)用之前，嚴(yán)格控制研發(fā)后投入使用的人工智能產(chǎn)品類型，也即著重事前監(jiān)管。一方面，應(yīng)當(dāng)明確人工智能技術(shù)開發(fā)階段的審批。設(shè)置研究與開發(fā)人工智能的具體邊界與限度范圍，包括故意或者過失導(dǎo)致失控開發(fā)者的刑事責(zé)任等。甚至包括在人工智能應(yīng)用產(chǎn)品著手研發(fā)前進行必要的監(jiān)管評估，明確其產(chǎn)品主要功能、應(yīng)用領(lǐng)域。技術(shù)的進步應(yīng)當(dāng)是為社會的發(fā)展服務(wù)，需要防范制造者或相關(guān)程序的設(shè)計者以數(shù)據(jù)竊取犯罪為目的進行人工智能產(chǎn)品的開發(fā)設(shè)計。另一方面，即使已通過開發(fā)審批，也應(yīng)當(dāng)對人工智能最終產(chǎn)品進行嚴(yán)格檢驗與檢測。一是考察其產(chǎn)品的算法設(shè)計是否存在黑客入侵的巨大漏洞，是否配備了必要的安全防范措施;二是考察其是否與審批通過的研發(fā)方案相符，以防止研發(fā)人員“打擦邊球”，通過監(jiān)管漏洞為犯罪制造機會。同時，更要設(shè)置利用人工智能實施犯罪的嚴(yán)格刑法規(guī)范，包括設(shè)置“誤用”人工智能導(dǎo)致犯罪結(jié)果發(fā)生的刑法規(guī)范，等等。

其次，完善過程的跟蹤監(jiān)管。人工智能技術(shù)的應(yīng)用過程，是一個動態(tài)的、不斷發(fā)展變化的過程。因此，即使通過應(yīng)用前的嚴(yán)格審批排查，也并不能完全保證產(chǎn)品進入市場后不會產(chǎn)生數(shù)據(jù)侵害的風(fēng)險問題。因而，一方面應(yīng)當(dāng)關(guān)注人工智能本身在大量數(shù)據(jù)收集學(xué)習(xí)后，如何避免產(chǎn)生算法、功能上的改變;另一方面應(yīng)當(dāng)關(guān)注網(wǎng)絡(luò)黑客等安全漏洞問題，以防發(fā)生黑客入侵篡改程序、數(shù)據(jù)竊取等違法行為。除此之外，要實行人工智能產(chǎn)品的預(yù)警報警系統(tǒng)，保證人工智能機器的安全運行，從根本上杜絕和防止其風(fēng)險的發(fā)生。

最后，加強事后的危害處置。有了物聯(lián)網(wǎng)、大數(shù)據(jù)和云計算作為支撐（或組成部分）的人工智能系統(tǒng)，可以通過它的感官（遍布各處的傳感器）獲得千里之外的數(shù)據(jù)?！?7 〕同理，數(shù)據(jù)泄露后傳播擴散速度之快也必然導(dǎo)致?lián)p失的幾何倍擴大。因此，數(shù)據(jù)侵害犯罪發(fā)生后的發(fā)現(xiàn)與處置速度就顯得尤為重要：其一，發(fā)現(xiàn)危險信息時的預(yù)警通知程序，在達到預(yù)先設(shè)定的數(shù)據(jù)危險標(biāo)準(zhǔn)界限時，第一時間通過相應(yīng)程序設(shè)置，警醒告知負(fù)責(zé)管理人員，以作好風(fēng)險控制或侵害處理準(zhǔn)備工作;其二，侵害發(fā)生后的協(xié)調(diào)處理程序。根據(jù)事先確定的技術(shù)分工，在發(fā)生危害后可以迅速確定危害源頭，從而由不同的負(fù)責(zé)機構(gòu)根據(jù)自己的職責(zé)要求進行相應(yīng)處置善后。甚至有學(xué)者提出：“可以在人工智能可能或正在危害全人類生命安全或?qū)?、社會?gòu)成重大危害時，要設(shè)置必要的技術(shù)手段或‘一鍵設(shè)置功能，經(jīng)合法程序批準(zhǔn)對人工智能進行‘終極處置，以保護人類社會的安全?！?〔38 〕

（二）技術(shù)法律規(guī)范的概念標(biāo)準(zhǔn)需要進一步完善和加強

對于人工智能產(chǎn)品的評價監(jiān)管涉及多種環(huán)節(jié)，包括數(shù)據(jù)的收集與使用、算法的編制、安全防范系統(tǒng)等。但目前為止，我國仍并未有統(tǒng)一明確的標(biāo)準(zhǔn)或規(guī)范可予依照。因此，為保證數(shù)據(jù)安全監(jiān)管體制的順利運行，急需相關(guān)權(quán)威機構(gòu)對相關(guān)技術(shù)規(guī)范概念予以明確。

第一，人工智能的定義標(biāo)準(zhǔn)。進行人工智能的監(jiān)管，首先必須明確何謂“人工智能”，更具體來說，定義的難點在于何謂“智能”。當(dāng)下研究領(lǐng)域定義人工智能所使用的最廣泛的方法，關(guān)注于機器是否可以實現(xiàn)目標(biāo)， 〔39 〕因而有學(xué)者認(rèn)為，可以將“人工智能”定義為機器能夠完成人類需要智能才能夠完成的任務(wù)。〔40 〕

第二，數(shù)據(jù)的定義標(biāo)準(zhǔn)。根據(jù)刑法第285條規(guī)定的“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”，我國刑法所保護的數(shù)據(jù)往往與計算機信息系統(tǒng)所粘連，保護范圍限定在計算機信息系統(tǒng)內(nèi)部。但在大數(shù)據(jù)時代，人工智能系統(tǒng)收集數(shù)據(jù)之多，包括各種如網(wǎng)頁瀏覽紀(jì)錄、購物紀(jì)錄等相對零碎且對信息系統(tǒng)技術(shù)性無重要意義的數(shù)據(jù)?！?1 〕因此，亟待厘清“數(shù)據(jù)”的法律概念。

第三，數(shù)據(jù)的采集標(biāo)準(zhǔn)。人工智能發(fā)展離不開必要信息數(shù)據(jù)的采集，但任意地采集或?qū)?shù)據(jù)的過分挖掘，都容易造成數(shù)據(jù)的侵害泄露。因而，必須設(shè)定必要的技術(shù)規(guī)范，以明確數(shù)據(jù)的采集渠道、數(shù)據(jù)的采集種類、數(shù)據(jù)的采集程度等標(biāo)準(zhǔn)，以從源頭上保證數(shù)據(jù)安全使用。

第四，數(shù)據(jù)的存儲標(biāo)準(zhǔn)。人工智能技術(shù)的發(fā)展有賴于龐大數(shù)據(jù)庫的支撐，因此，其所存儲利用的數(shù)據(jù)一旦遭受侵害，損失必然巨大。由此必須明確人工智能產(chǎn)品中數(shù)據(jù)的存儲要求，如設(shè)定必要的防火墻、病毒攔截措施、數(shù)據(jù)加密措施等。

第五，算法的編制標(biāo)準(zhǔn)。人工智能產(chǎn)品運用方式、應(yīng)用領(lǐng)域的不同是由其不同的算法程序所決定的。因此，一方面防止人工智能自身出現(xiàn)故障，進行不必要的數(shù)據(jù)侵害;另一方面防止黑客利用算法本身的漏洞入侵，侵害相關(guān)數(shù)據(jù)庫，有必要制定嚴(yán)格的算法標(biāo)準(zhǔn)，防止設(shè)計者所編制的算法存在危害數(shù)據(jù)安全的漏洞或錯誤等，這些都需要技術(shù)性法律規(guī)范予以規(guī)制。

（三）技術(shù)法律規(guī)范的具體制度需要進一步搭建與完善

在搭建起數(shù)據(jù)安全動態(tài)監(jiān)管框架的基礎(chǔ)之上，便開始需要考慮進行框架內(nèi)具體的技術(shù)規(guī)范制度設(shè)計與填充。在普通法律規(guī)制模式下，僅僅是相關(guān)技術(shù)概念標(biāo)準(zhǔn)的不斷引入，往往導(dǎo)致法律規(guī)制的抽象而籠統(tǒng)，脫離對人工智能數(shù)據(jù)犯罪的具體技術(shù)特征把握，宣言式的指導(dǎo)與命令，并不能完全覆蓋日益擴大的數(shù)據(jù)犯罪圈，難以對隱秘而專業(yè)的人工智能犯罪進行有效的具體規(guī)制。因而，為避免數(shù)據(jù)安全技術(shù)法律規(guī)范原則性的概括指導(dǎo)，應(yīng)當(dāng)對人工智能技術(shù)特征、行為模式、侵害后果進行全面而具體的把握，設(shè)計一整套全方位、綜合性的技術(shù)規(guī)范具體制度，以期實現(xiàn)數(shù)據(jù)安全風(fēng)險的最小化。由于歐美國家數(shù)據(jù)安全規(guī)范起步較早，保護范圍相對完善具體，因而筆者將在借鑒參照其相關(guān)立法基礎(chǔ)上進行具體技術(shù)制度構(gòu)建。

1.建立安全等級的劃分制度

大數(shù)據(jù)時代，“數(shù)據(jù)”早已成為企業(yè)生產(chǎn)經(jīng)營的重中之重，“不僅是信息通信領(lǐng)域這些天然以數(shù)據(jù)為基礎(chǔ)開展業(yè)務(wù)運營的企業(yè)，就連傳統(tǒng)企業(yè)在信息化、智能化的推動下也開始逐步收集積累數(shù)據(jù)”。〔42 〕而在人工智能時代，數(shù)據(jù)的收集與存儲進一步集中，相應(yīng)技術(shù)產(chǎn)品對數(shù)據(jù)的依賴程度較之以往更甚。科技的進一步發(fā)展需要數(shù)據(jù)的不斷整合與利用。因而，禁止數(shù)據(jù)的使用與支持，將一切數(shù)據(jù)的處理使用均看作是數(shù)據(jù)侵害犯罪，完全是因噎廢食，既不合理，也更不現(xiàn)實。但這也并不意味著，信息數(shù)據(jù)保護可以此為借口徹底放棄，轉(zhuǎn)而向市場利益的妥協(xié)。

2018年5月25日正式生效的歐盟一般數(shù)據(jù)保護條例（以下簡稱條例）第9條，明確了對包含個人種族、政治信仰、個人健康或性生活等信息的敏感數(shù)據(jù)的保護處理，著重強調(diào)除非特殊情況，作為一般法則，禁止處理敏感數(shù)據(jù)?！?3 〕其為體現(xiàn)對敏感信息內(nèi)容重要價值的重視，給予了更為嚴(yán)格的保護措施。因而，以此種區(qū)分保護的做法為借鑒，我們可以建立相應(yīng)的信息數(shù)據(jù)的等級分類制度，對于不同安全等級的數(shù)據(jù)給予不同程度的保護，以達到科學(xué)技術(shù)的充分發(fā)展與對數(shù)據(jù)安全合理保護之間的有效平衡。

首先，事關(guān)國家、社會、公民個人重大利益的數(shù)據(jù)應(yīng)當(dāng)列為優(yōu)先等級予以最嚴(yán)格等級的保護，國家社會的重大信息數(shù)據(jù)一般涉及國家安全、國計民生，例如關(guān)鍵信息基礎(chǔ)設(shè)施中的基本信息數(shù)據(jù)，而公民個人的重大信息數(shù)據(jù)則一般是指個人敏感數(shù)據(jù)，條例中對于個人敏感數(shù)據(jù)進行了一定程度上的列舉，包括個人的種族、政治傾向、宗教信仰、健康狀況、性生活等。〔44 〕一般來講，公民違法犯罪的前科記錄等行為記錄也不失為敏感信息。由于關(guān)涉利益重大，一般而言應(yīng)當(dāng)絕對禁止此類信息數(shù)據(jù)的收集使用，除非基于公共安全等明文規(guī)定的重大事項條件，并經(jīng)數(shù)據(jù)主體的特別授權(quán)才可例外適用。其次，涉及公民一般隱私利益的信息數(shù)據(jù)應(yīng)當(dāng)列為一般等級予以保護，包括公民的位置信息、身份識別信息等，只有在獲得數(shù)據(jù)主體對收集方式及實際用途的充分同意后，才可進行數(shù)據(jù)主體授權(quán)內(nèi)容下的處理事項。最后，去身份識別化后的信息數(shù)據(jù)可以列為最低等級，適用較為寬松的收集使用規(guī)則。此類數(shù)據(jù)由于去除了一定的身份識別信息，不易精確定位到公民個人而對具體個人造成威脅與損害，因而通常并不作嚴(yán)格限制。最典型者如“假名數(shù)據(jù)” 〔45 〕與“匿名數(shù)據(jù)”?！凹倜麛?shù)據(jù)”在缺乏其他數(shù)據(jù)輔助分析使用的情況下，并不具備獨立分析確定公民信息的功能特征，因而在獨立儲存處理的情況下不應(yīng)過多限制。而“匿名數(shù)據(jù)”由于去除了一切身份識別信息，其無法指向其具體個人、領(lǐng)域，不再對個人隱私或相關(guān)領(lǐng)域的安全造成威脅，可以不受隱私保護等文件的約束限制，由相應(yīng)的數(shù)據(jù)控制者自由流通使用。

2.制定安全處理的審查規(guī)則

在人工智能背景下，機器的自我學(xué)習(xí)與自我意識往往意味著“數(shù)據(jù)挖掘”的大規(guī)模展開，相應(yīng)技術(shù)產(chǎn)品無時無刻不在對數(shù)據(jù)進行相應(yīng)地收集與利用，數(shù)據(jù)處理運用過程復(fù)雜多變。因而，若只是原則性地要求相應(yīng)數(shù)據(jù)控制主體履行安全保障義務(wù)、審慎排查義務(wù)等，也只是泛泛而談，對于具體技術(shù)工作者的設(shè)計操作以及相應(yīng)技術(shù)產(chǎn)品的實際效果，并未有詳細(xì)標(biāo)準(zhǔn)規(guī)則予以監(jiān)督參照。我國現(xiàn)行的網(wǎng)絡(luò)安全法也僅僅是對相關(guān)網(wǎng)絡(luò)運營者等負(fù)責(zé)人原則上規(guī)定了安全保障義務(wù)、風(fēng)險排查義務(wù)等。該法第41條第1款規(guī)定：“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！爆F(xiàn)行法規(guī)對于相應(yīng)數(shù)據(jù)控制者、數(shù)據(jù)收集者的義務(wù)規(guī)定大多原則性、概括性，并未從具體行為操作上予以明確規(guī)范。原則性義務(wù)的泛泛而談，難以作為實踐操作的具體審查標(biāo)準(zhǔn)。因而，既需要嚴(yán)格規(guī)范人工智能技術(shù)各階段數(shù)據(jù)控制者的責(zé)任義務(wù)，就必須設(shè)定各項明確清晰的技術(shù)安全標(biāo)準(zhǔn)，劃定審查的內(nèi)容程度，以免暗箱操作避重就輕，或是淪為一紙空談而無人問津。

首先，針對數(shù)據(jù)的收集使用技術(shù)標(biāo)準(zhǔn)。這里筆者主要探討兩類重要問題：一是數(shù)據(jù)收集使用的首要前提——數(shù)據(jù)主體的知情同意原則;二是數(shù)據(jù)分析使用過程中的“用戶畫像” 〔46 〕問題。

針對用戶的知情同意原則，需要明確的是，對于用戶的告知說明并非只是形式流程上的，一如我們?nèi)粘Ｊ褂酶黝怉pp前復(fù)雜冗長的隱私條款。對于用戶的同意征求也并非是不可選擇的，一如若不同意相關(guān)條款則不可使用該軟件的硬性操作。數(shù)據(jù)的收集者，一方面應(yīng)當(dāng)給予數(shù)據(jù)主體充分的說明，包括數(shù)據(jù)的收集方式、數(shù)據(jù)的收集類型、范圍等必要事項，因此，明示說明方式應(yīng)當(dāng)作為首選;另一方面應(yīng)當(dāng)保障數(shù)據(jù)主體必要的拒絕反對權(quán)利，沒有拒絕的合理選項就不能稱之為真正的自由選擇，例如對cookie收集的需要進行明確限制。歐盟2009年修改的電子隱私指令對cookie的收集同意程序作了嚴(yán)格而明確的限定，根據(jù)相關(guān)數(shù)據(jù)工作組對該指令的進一步闡釋：“默示或推斷的許可是不足以滿足cookie指令要求的。在獲得用戶同意前，服務(wù)提供商應(yīng)當(dāng)提供全面信息，以保障用戶的知情權(quán)。” 〔47 〕盡管在數(shù)據(jù)高速流通與使用的當(dāng)下，“數(shù)據(jù)收集大多通過機器完成，用戶處于被動狀態(tài)，也很難實現(xiàn)對用戶的一一告知”， 〔48 〕但告知難度的加大并不能代表告知必要性的減弱，從程序上保障數(shù)據(jù)主體的充分知情與有效同意，是數(shù)據(jù)安全使用的第一步驟。

針對“用戶畫像”問題。人工智能技術(shù)具有顯著的數(shù)據(jù)挖掘能力，即使是從海量的碎片化數(shù)據(jù)中，也可以高效地進行加工整合，提煉出需要的信息數(shù)據(jù)。因而，相關(guān)數(shù)據(jù)一旦錄入保存，智能產(chǎn)品的運算分析技術(shù)之強大，數(shù)據(jù)主體的全部基本信息就等于完全曝光在數(shù)據(jù)控制者面前，毫無遮掩。過度無序地分析評估，極有可能帶來個人隱私的無限探知、公共安全的不斷威脅。即便數(shù)據(jù)主體的已經(jīng)事先同意許可了數(shù)據(jù)的使用收集，也并不意味著數(shù)據(jù)分析的得到絕對豁免。第一，數(shù)據(jù)的分析活動必要的技術(shù)限制，包括明確分析評估可使用的數(shù)據(jù)類型，例如只可使用匿名數(shù)據(jù)進行分析等。第二，數(shù)據(jù)自動分析程序的算法禁止，例如人工智能的深度學(xué)習(xí)過程，應(yīng)當(dāng)避免繞開用戶同意知情情況下的自主分析使用。第三，數(shù)據(jù)分析結(jié)果的用途限制，例如司法審判專家系統(tǒng)中，數(shù)據(jù)分析所得結(jié)果只可用于司法審判活動，不可私自泄露挪用。第四，絕對禁止的分析評估活動，可能對個人人身、財產(chǎn)等權(quán)益造成重大損害的數(shù)據(jù)分析活動應(yīng)當(dāng)絕對禁止，例如，條例中規(guī)定對個人敏感數(shù)據(jù)的評估分析是持禁止態(tài)度的?！?9 〕盡管條例規(guī)定了可使用分析的例外情形，但筆者以為，例外情形的存在很容易成為擅自處理使用的法定借口。如若對例外情形不能做到嚴(yán)格把控，還是不應(yīng)輕易放開使用處理的口子。

最后，針對數(shù)據(jù)的保存工作。數(shù)據(jù)控制者應(yīng)當(dāng)提供合理有效的算法設(shè)計和模型搭建，以保障數(shù)據(jù)儲存環(huán)境的安全可靠。一方面，保存的安全性方面，涉及數(shù)據(jù)的匿名化措施。數(shù)據(jù)去身份識別化的義務(wù)要求，不能僅僅是原則上的概括指令，還應(yīng)當(dāng)進一步強調(diào)匿名化的具體技術(shù)標(biāo)準(zhǔn)，例如原始數(shù)據(jù)去除身份信息的具體數(shù)量、類型;原始數(shù)據(jù)的保存方式;去除的身份數(shù)據(jù)銷毀、刪除程序;匿名后重新識別的風(fēng)險程度;匿名數(shù)據(jù)的使用方式，包括是否可以再次被識別、是否可與其他數(shù)據(jù)相關(guān)聯(lián)使用。另一方面，保存的期限問題，涉及數(shù)據(jù)的定期清除措施。數(shù)據(jù)的不必要累計，不僅有可能擴大數(shù)據(jù)泄露侵害的規(guī)模影響，也加劇了具體個人被識別定位的風(fēng)險威脅。上述歐盟條例也早已提出了“刪除權(quán)”或“被遺忘權(quán)”，賦予數(shù)據(jù)主體要求數(shù)據(jù)控制者及時刪除有關(guān)其個人數(shù)據(jù)的權(quán)利。〔50 〕因而，以此為借鑒，一則應(yīng)當(dāng)要求數(shù)據(jù)控制者定期清理相關(guān)數(shù)據(jù)信息，并明確清理的時間程序，清理數(shù)據(jù)的類型標(biāo)準(zhǔn)，清理數(shù)據(jù)的銷毀、不可再生標(biāo)準(zhǔn)等;二則數(shù)據(jù)主體提出請求時，應(yīng)當(dāng)明確請求的具體理由條件、請求刪除的具體程序、刪除流程的具體時限、刪除完成的反饋告知等。

3.建立侵害后果的報告制度

數(shù)據(jù)的安全管理規(guī)范究其本質(zhì)是為了保護數(shù)據(jù)主體的合法權(quán)益，因而本應(yīng)當(dāng)在數(shù)據(jù)侵害發(fā)生后，及時對數(shù)據(jù)主體進行告知說明。轟動全球的“雅虎數(shù)據(jù)泄露事件”中，雅虎公司在2013年遭受的黑客攻擊事件，卻選擇在3年后向公眾公開曝光，甚至在公開宣布的1年后，雅虎母公司美國電信巨頭威瑞森才首度承認(rèn)，實際泄露用戶數(shù)量3倍之于通報數(shù)量。〔51 〕而同樣地，F(xiàn)acebook信息泄露事件中，其用戶的數(shù)據(jù)侵害行為早在2016年已然發(fā)生，但直至2018年3月由媒體披露后，F(xiàn)acebook才首度承認(rèn)并展開調(diào)查告知程序?！?2 〕很顯然，盡管有諸多形式上的權(quán)利保障，數(shù)據(jù)主體與數(shù)據(jù)實際控制、使用者之間實際仍是不對等的，數(shù)據(jù)主體所掌握的事實情況往往局限于數(shù)據(jù)控制者的主觀篩選，也即一直是處于被動的信息接受地位。當(dāng)然，要求數(shù)據(jù)主體時時主動聯(lián)系、關(guān)心自身數(shù)據(jù)使用情況，在如今的數(shù)據(jù)運用廣泛而密集的大數(shù)據(jù)背景下，是不現(xiàn)實也不合理的，但由此我們才更應(yīng)該嚴(yán)格要求數(shù)據(jù)控制者的主動報告義務(wù)。

數(shù)據(jù)主體對于數(shù)據(jù)的掌控不只限于收集使用前的知情同意，更應(yīng)體現(xiàn)在侵害發(fā)生后的數(shù)據(jù)控制者所作的結(jié)果處理報告上。簡言之，數(shù)據(jù)侵害事件發(fā)生后，除監(jiān)管部門的應(yīng)急處置、數(shù)據(jù)控制者的積極配合，還應(yīng)當(dāng)實現(xiàn)對數(shù)據(jù)受害人必要的告知說明，這既是對數(shù)據(jù)主體知情權(quán)的必要保障，也是侵害后及時止損的措施之一，便于數(shù)據(jù)主體采取補救措施，將對自身侵害降至最低。

美國立法首先提出了“數(shù)據(jù)泄露通知”的概念制度，具體是指一旦發(fā)生用戶數(shù)據(jù)的侵害泄露事件，數(shù)據(jù)控制者應(yīng)當(dāng)及時告知監(jiān)管機構(gòu)及數(shù)據(jù)主體，如此以保障用戶可在合理時間內(nèi)得到數(shù)據(jù)泄露情況的官方報告。以此為借鑒，為充分實現(xiàn)數(shù)據(jù)主體的數(shù)據(jù)侵害知情權(quán)，應(yīng)當(dāng)明確：第一，明確侵害通知的義務(wù)主體。數(shù)據(jù)飛速流通交易的時代，用戶的相關(guān)數(shù)據(jù)并不僅僅只掌握在一家數(shù)據(jù)控制者手中，因而一旦發(fā)生數(shù)據(jù)侵害事件，所有相關(guān)的數(shù)據(jù)控制者，包括網(wǎng)絡(luò)服務(wù)提供商、數(shù)據(jù)中間商、各類App服務(wù)提供者等均應(yīng)啟動告知程序，避免相互推諉、扯皮。第二，侵害通知的程序。美國各州有立法規(guī)定了數(shù)據(jù)侵害評估程序，例如根據(jù)是否對用戶造成不良影響決定是否啟動告知程序。 〔53 〕筆者認(rèn)為，對于自身數(shù)據(jù)安全，事無大小，用戶都有權(quán)得知其具體利用情況，包括侵害情況。因而，應(yīng)當(dāng)考慮的是，明確告知的不同形式渠道，并保證優(yōu)先使用最快捷渠道確保用戶明確知曉;規(guī)定合理的告知的時間限制，以確保用戶能第一時間得知侵害泄露問題。第三，侵害通知的具體內(nèi)容。包括數(shù)據(jù)的泄露時間、數(shù)據(jù)泄露的內(nèi)容、相關(guān)負(fù)責(zé)機構(gòu)已經(jīng)采取的應(yīng)對措施、用戶可采取的補救措施等。

4.建立跨境轉(zhuǎn)移的許可制度

“隨著互聯(lián)網(wǎng)應(yīng)用的迅速普及特別是信息通信技術(shù)在云計算模式上的整合，和世界經(jīng)濟和全球貿(mào)易需要的人、物、貨幣和資本的全球流動一樣，數(shù)據(jù)也需要實現(xiàn)全球范圍內(nèi)的流動”?！?4 〕跨國企業(yè)間數(shù)據(jù)的交流合作、云數(shù)據(jù)庫的移動儲存等，甚至是普通個人日常的境外網(wǎng)絡(luò)訪問、境外網(wǎng)絡(luò)購物都有可能完成數(shù)據(jù)的跨境移轉(zhuǎn)。而由于數(shù)據(jù)自身所存在的個人隱私、公共安全等信息價值，數(shù)據(jù)的流動不只是技術(shù)上的傳輸問題，也不只是國家間合作互通的問題，更需要考慮的是法律規(guī)則上的限制批準(zhǔn)問題。

在各國數(shù)據(jù)跨境轉(zhuǎn)移的規(guī)則中，歐盟堅持較為嚴(yán)格的數(shù)據(jù)轉(zhuǎn)移規(guī)則，在其1995年《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》中明確指出，歐盟公民的個人數(shù)據(jù)不得移轉(zhuǎn)至數(shù)據(jù)保護水平低于歐盟的國家或地區(qū)，除非符合包括數(shù)據(jù)主體明確同意等的三種例外情況，或者數(shù)據(jù)輸出方與數(shù)據(jù)輸入方訂立了符合歐盟要求的合同條款?！?5 〕盡管在一定程度上限制了市場的自由交易，但在全球數(shù)據(jù)侵害日益嚴(yán)峻的當(dāng)下，尤其是面對人工智能技術(shù)強大的數(shù)據(jù)處理與挖掘能力，確實不得不要求市場交易進行必要妥協(xié)，而對數(shù)據(jù)的移轉(zhuǎn)增加必要的約束與限制，這既是對數(shù)據(jù)安全的著重強調(diào)，也更是對技術(shù)平穩(wěn)發(fā)展的合理規(guī)劃。

我國對數(shù)據(jù)的跨境流通大體是嚴(yán)格限制的態(tài)度，現(xiàn)行的網(wǎng)絡(luò)安全法對“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”作了相關(guān)運營要求，規(guī)定“在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)在境內(nèi)存儲，如需向境外提供，則需依照需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”。〔56 〕事實上，在高新技術(shù)發(fā)展日益突飛猛進的當(dāng)下，個人數(shù)據(jù)的流通與政府?dāng)?shù)據(jù)等關(guān)鍵數(shù)據(jù)相比更為頻繁，不得不引起高度重視。一方面，個人數(shù)據(jù)本身具有重大法益價值。其承載的公民個人隱私等切身利益事項本應(yīng)受到立法的嚴(yán)格保護，并且大規(guī)模的公民隱私侵犯事件也同樣會對國家社會造成重大利益損害，因而不應(yīng)當(dāng)受到忽視和遺漏;另一方面，個人數(shù)據(jù)也不排除涉及公共安全的信息存在。人工智能技術(shù)擅長的“數(shù)據(jù)挖掘”手段，即使是海量的碎片化信息，也能夠在足夠短的時間內(nèi)整合、加工，從而提煉出有效數(shù)據(jù)，因而看似不起眼的零碎數(shù)據(jù)也有潛在的公共安全威脅?？偠灾皶r制定相應(yīng)的數(shù)據(jù)流轉(zhuǎn)保護規(guī)則，為各數(shù)據(jù)控制者提供清晰明確的數(shù)據(jù)流通指導(dǎo)，嚴(yán)格要求數(shù)據(jù)控制者把控數(shù)據(jù)跨境交易、防止數(shù)據(jù)大規(guī)模泄露侵害，是十分必需而緊迫的。