sis banner sls2
欢迎光临上海市法学会!   您是第位访客 今天是
标题 内容 作者
  • 财税法学研究会
  • 法理法史研究会
  • 法学教育研究会
  • 港澳台法律研究会
  • 国际法研究会
  • 海商法研究会
  • 金融法研究会
  • 禁毒法研究会
  • 经济法学研究会
  • 劳动法研究会
  • 民法研究会
  • 农业农村法治研究会
  • 商法学研究会
  • 社会治理研究会
  • 生命法研究会
  • 诉讼法研究会
  • 外国法与比较法研究会
  • 未成年人法研究会
  • 宪法研究会
  • 消费者权益保护法研究会
  • 信息法律研究会
  • 刑法学研究会
  • 行政法学研究会
  • 银行法律实务研究中心
  • 知识产权法研究会
  • 仲裁法研究会
  • 反恐研究中心
  • 教育法学研究会
  • 航空法研究会
  • 卫生法学研究会
  • 立法学研究会
  • 法学期刊研究会
  • 法社会学研究会
  • 自贸区法治研究会
  • 竞争法研究会
  • 非公经济法治研究会
  • 人民调解法治研究会
  • 欧盟法研究会
  • 海洋法治研究会
  • 破产法研究会
  • 财富管理法治研究中心
  • 法学翻译研究会
  • 慈善法治研究会
  • 司法研究会
  • 海关法研究会
  • 环境和资源保护法研究会
  • "一带一路"法律研究会
  • 案例法学研究会
  • 互联网司法研究小组
  • 文化产业法治研究小组
  •       
当前位置: 网站首页 > 学会活动

人工智能环境下个人隐私保护问题

2019-04-04 09:44:35 字体:

image.png

“2049:我与人工智能”为主题,上海市法学会、中国知网、《东方法学》编辑部面向全球征文,上海市法学会将邀请部分获奖作者到沪参加2019世界人工智能大会有关活动,欢迎投稿(6月30日截稿)。

 征稿将按不同年龄组别、不同体裁类型(学术作品、文学作品)分别进行评奖

微信公众号“上海市法学会”择优刊登大赛征文

中国知网《中国法律知识资源总库-会议论文库》择优刊登优秀学术类文献,并给作者颁发收录证书

本文作者简介

张也弛,1993年生人

安徽财经大学法学院

法律硕士专业研究生(非法学)

点击链接了解更多详情:“2049:我与人工智能”有奖征文大赛

微信号推送时注释已略。

image.png

内容摘要

人工智能的普及对人类生活和工作方式产生了巨大的改变。从小巧便携的智能手表、智能手环等穿戴设备到影响人类生活和工作的智能管家、无人驾驶、智慧交通等,利用智能系统获取和分析大数据使用价值的同时,也存在泄露敏感信息和个人隐私的法律风险。2018年5月欧盟《通用数据保护条例》的生效让政府对互联网行业及人工智能的监管尺度重新进行了审视,公民和国家意识到数据隐私保护问题的重要性。如何平衡人工智能等新技术产业的发展和个人隐私安全问题具有重要的理论和现实意义。笔者首先从隐私权的相关理论问题入手,再结合社会热点探讨人工智能环境下隐私权的新特点及隐私危机,并借鉴《通用数据保护条例》提出可行性的建议。

关键词:人工智能;隐私保护;通用数据保护条例

image.png

人工智能(AI)作为一门研究与开发模仿人类的思维方式、学习、计划、推理能力而实现计算机智能的交叉性的学科和技术,其范围几乎涵盖所有的自然科学及社会科学,远超过计算机理论科学,属于实践科学的高层次学科。

人工智能主要通过研究人类的大脑,以丰富、海量的数据和精准、高速的算法为基础,制造和开发智能软件提升人工智能的可应用性。

例如,通过智能对话或即时问答的智能交互充当个人助理,自主性的帮助用户解决问题;通过智能软件分析城市交通状况,给驾驶人提供实时信息,缓解交通拥挤;通过用户浏览器的搜索历史、网购记录等,分析其偏好信息,智能性提供产品和服务等。

总的来说,人工智能技术的发展需要建立各种数据库全方位获取和存储信息,再通过智能机器进行分析得到可靠的结果。人工智能利用大数据和信息给人们的生活和工作带来便利的同时,也存在法律层面上泄露个人信息和隐私的风险。

2018年5月生效的欧盟《通用数据保护条例》(以下简称“GDFR法案”)以行业自律为主,政府干预为辅,针对隐私保护问题出台了一系列全球性适用的法规,对当前我国人工智能高速发展的环境下解决数据安全使用和隐私保护危机有着不可或缺的指引作用。

一、隐私权的来源与发展

通说认为,关于隐私权的相关概念和制度最早是在美国建立起来的。

1890年,美国两位法理学家沃伦和布兰代斯发表在《哈佛法学评论》(Harvard Law Review)的《论隐私权》(The Right to Privacy)一文中,首次出现“隐私权”一词。

其后,布兰代斯成为美国联邦最高法院的大法官,在经典判例“Olmstead v. United States”正式提出了“隐私权”,并把它界定为私人应当享有的、不受外界干扰的权利(Right to be alone),即隐私权旨在保护私人生活不受干扰,个人有权决定公开或隐瞒其情感、思想、生活等。

到了20世纪70年代,随着电脑等通讯技术的发展和民权运动的兴起,社会公众愈发重视隐私保护问题,美国各州也相继制定了关于隐私保护的法律,并把它作为一种宪法权利对公民加以保护。

1974年,美国国会制定了一部专门的立法《隐私法》,后美国法学会在《侵权法重述》一书中具体解释了侵犯隐私权行为的一般性规则,对隐私权的客体范围、侵权方式、赔偿责任、免责条件等作出直接性规定。

而大陆法系国家,早期如德国法院拒绝在立法上对隐私权予以认可,20世纪40年代后,德国新宪法赋予名誉权和隐私权“一般人格权”的法律地位。日本在二战后对隐私权以判例法的形式作出间接规定,保护公民私生活的不受侵犯。

相较于西方国家对隐私权保护的百余年研究历史,我国隐私权制度发展的时间并不长。学者们对隐私权概念的界定也有所不同,主要包括以下三种学说:

第一,以王利明教授为首主张的“信息说”,即隐私权是指在自己私人领域范围内,私人信息不受公开或干涉的权利;第二,以张新宝教授为代表的“信息与安宁说”,该学说以王利明教授主张的“信息说”为基础,增加了私人生活和住所不受干扰的权利;第三,综合王利明教授和张新宝教授的主张,增加了公众对私人信息和生活的自主性处分权,在隐私权被动保护的基础上,新增了积极保护的内容。

笔者更赞同第三种学说。

隐私权作为一种私人享有的权利,不同于公共空间,其个人秘密及信息有不被他人知晓或干涉的自由,其私人领域有不被干扰的权利。随着人工智能大数据的发展,现代隐私权又有着区别于传统隐私权的一些新特点:

一、个人信息不再单纯为个人所享有,不再简单的被当作一种秘密,隐私权保护的客体范围进一步拓展,兼具人身和财产的双重属性且财产性比重更大,成为一种可以被智能分析利用带来经济价值的资源;二、人工智能环境下新技术的发展使人们的生活变得更透明化,隐私权侵权手段更隐蔽化、技术化,无形中威胁人类的数据安全。

二、人工智能环境下的隐私危机

2018年3月,纽约时报曝光一家名为“剑桥分析”的企业通过付费性格测试,不正当使用Facebook上超过8000万用户信息,通过智能系统分析用户政治意向的,有针对性的推送候选人广告并用于2016年美国总统大选,以此来影响大选结果。

这一重磅事件产生的负面效应降低了Facebook的商业信誉,严重侵害了公众的合法权益,引起全民的隐私反思。

在人工智能等新技术快速发展的环境下,企业未经许可滥用用户数据并利用智能技术挖掘其背后的价值,达到商业目的的现象屡见不鲜,数据安全和隐私保护问题成为世界各国关注的焦点。在数字化的背景下,隐私权保护遭遇危机。 

(一)、人工智能环境下侵权主体复杂化

传统意义上的隐私权侵权主要指熟人之间泄露个人身份信息或其他信息的情况。

在互联网出现之前,人与人之间的交流方式较为单调,仅限于电话、电报、书信等。在互联网出现之后,个体之间的交流完全突破时间和地域的限制,信息的来源与传播范围更广,极大拓宽了隐私权侵权主体的范围。

自然人中最常见的是“黑客”,即利用公共互联网或电话,未经许可潜入对方系统破坏数据安全或利用网络漏洞获取数据信息的人。

法人中最常见的就是网络公司或通讯软件服务商。比如,Facebook数据泄露事件中的剑桥分析公司,就是一家专门为政治选举提供数据采集、分析和战略的私营公司,后因Facebook丑闻事件于2018年5月宣布破产。

还有一些其他的app如支付宝、微信等为了经济利益而将用户的信息进行倒卖,例如你刚使用过支付宝中的借呗功能或微信的微粒贷进行贷款,不久就会收到各种类似于高利贷的垃圾短信。

这些都是人工智能发展过程中,数据收集或控制者未经用户授权泄露个人信息的行为。同时,数据从产生到传播,因侵权主体构成的复杂化和潜在化,也让我们无法分辨数据泄露具体发生在哪一环节,无法明确各数据收集和控制者的责任。

(二)、人工智能环境下侵权客体的范围更广泛

传统意义上的隐私权侵权客体范围较窄,主要包括私人空间及信息,如姓名、年龄、籍贯、性别、财产状况、婚姻状况、健康状况等。随着互联网及人工智能的发展,个人信息因财产属性增强,越来越多的内容需要被列入隐私权保护的范围。

如微信、微博、电子邮箱的地址或密码,其背后的经济利益可能会被网络服务商不正当使用,更甚至被不法分子窃取支付秘密进行违法犯罪活动,侵害公民个人隐私权。

例如,手机定位功能在帮助我们找到正确路线和方向的同时,也不可避免的在我们移动经过的地方留下痕迹,这些记录可能会被发送给网络服务商,使人们的活动轨迹毫无保留的暴露,服务商可能会利用这些“痕迹“获取商业利益。人工智能环境的背景下,新智能应用的普及拓宽了人们的活动范围,使隐私权客体呈现出多样化的特点。

(三)、人工智能环境下侵权方式更技术化、隐蔽化

人工智能以数据和算法为支撑,在多个领域自我学习,利用分析工具,通过互联网、云技术等开放性新技术跨地域、时空进行传播。人工智能的进步不断挖掘大数据的经济价值,滥用大数据的行为越来越常见。

信息传播速度快、网络隐私侵权方式简单、侵权手段技术化、隐蔽化是AI技术下隐私权侵权的新特点。

大部分用户在使用智能软件时出于信任都会按照要求提供相应的信息,但用户并不知悉自己的个人信息可能被存储或者利用,隐私安全意识不强,无意识导致“泄露”自己的隐私来换取服务,被窃取了个人信息。

例如,厂商通过搜集用户上网记录或地理位置等隐蔽的手段实施伪造篡改、非法跟踪、窃听截取、人肉搜索等侵权行为,由于互联网环境的复杂性增加了更多的不确定因素,让人们难以判断是否构成了侵权,难以锁定侵权者,增加了用户维权和隐私权保护的难度。

(四)、隐私保护的法律体系不完备

对比英美法系和大陆法系,我国在隐私权保护的法制化进程中,最早是以程序法为主,司法解释和其他法规为补充的方式进行规定的。2009年《侵权责任法》的出台,首次将隐私权作为一项具体人格权纳入民法体系。

随着人工智能和互联网的发展,网络隐私权逐渐成为我国隐私保护的重点。

2016年全国人大常委会颁布了《网络安全法》,2017年《民法总则》再次强调明确将隐私权单独作为一项具体人格利益加以保护。公民个人隐私保护问题不仅纳入民法保护体系中,在刑法、宪法中也有所规定。

2009年我国《刑法修正案(七)》确认了非法销售、获取公民个人信息罪,并在之后的《刑法修正案(九)》中对上述两罪加以修订,定义为侵犯公民个人信息罪并适用刑罚。

尽管当前我国对隐私保护有法律条文的规定,但是与西方国家相比我国并无专门的个人信息保护方面的立法,对隐私权保护尚处于探索阶段,难以应对人工智能环境下的隐私危机。

三、我国人工智能环境下隐私保护的救济

(一)、完善个人信息保护立法体系

当前国内对个人信息的保护已经进入立法过程,但对于人工智能环境下的隐私权保护尚无具体明确的规定。人工智能快速发展给人们带来便利的同时,也存在泄露个人信息等法律层面的风险。

2018年5月欧盟颁布了GDPR法案,取代了《欧盟个人资料保护指令》,成为全球性最严隐私保护法规。我国受GDPR法案的影响,于同年5月正式实施了《信息安全技术个人信息安全规范》(以下简称“规范”)。

该《规范》细化了大数据行业的部分规定,界定了个人信息的范围,并明确提出信息安全管理和评估方面的要求。GDPR法案尽管在一些规定上存在争议,但总的来说对我国数据安全与保护方面有着一定的指引作用。

参考GDPR法案的做法,我国可以《网络安全法》为基础,补充出台一部数字化背景下适应AI产业发展动向的专门信息保护管理法规,对人工智能环境下的隐私权侵权构成要件、侵权认定标准、侵权赔偿责任等具体内容作出规定,提高人工智能产品侵权法律的可操作性,更好的管制行业发展中的不正规现象,设置禁区强化数据控制者的法律责任,切实落实保护公民的个人隐私。

完备的法律体系不仅可以预防不法行为的产生,还可以追究不法者的法律责任,救济隐私权受到侵犯的公民。

此外,宪法作为我国的根本大法,作为其他法律的基础,我们还可以在宪法中规定人工智能隐私权的相关条款,借鉴美国将隐私权作为一项宪法性权利保护的制度,提高我国隐私权保护的法律位阶,使其存在宪法基础。

(二)、设立多重机构参与、问责机制,引入隐私设计理论

法律具有滞后性,单纯的依靠法律进行保护可能无法实时跟踪企业存在的隐私侵权漏洞。

参考GDPR法案和国际上隐私保护的通行做法,我国可以设立多方机构共同参与、共同管理、共同保护隐私的行业机制。构建行业内部监管体系,采取多环节相互监督的模式,加强数据安全审计,制定行业内部数据安全标准。

人工智能环境下的个人信息处于动态开放过程中,企业在加强内部管理的同时,也应当注意合作企业使用数据的合规性。

例如,剑桥分析公司盗用Facebook数据的行为,就是Facebook对合作企业合规性管控力不足的表现。

提高行业自律性,达成隐私保护共识,对人工智能环境下的隐私保护至关重要。根据GDPR法案第25条数据保护设计理论,我国亦可以针对隐私制度进行设计。

比如,在企业内部为核心岗位提供必要的隐私保护培训,在人工智能产品生产阶段把隐私保护设为默认运行规则,把隐私保护理念融入产品设计中,定期检查人工智能产品,排查隐私泄露风险;在企业外部,对第三方合作商进行动态管理,如果发现其在数据使用上违反了行业条例或者合作协议,滥用个人信息,鼓励企业向对方提起诉讼,积极联络监管部门,否则该企业可能会承担侵犯隐私权的连带责任。

另外,行业内部或政府还可以成立信息保护的专门机构,以统一的标准对数据安全进行专业的检测和评估。

一方面,合格企业可以通过评估结果在合理范围内最大限度使用数据,获取更大的经济效益;另一方面,专门机构可以适时淘汰不符合市场要求的人工智能企业,督促企业自律管理,净化数据发展环境。

(三)、丰富用户权利,增强信息处理透明度

当前我国《网络安全法》中明确规定,企业在收集用户信息时,应当具体披露信息的用途、使用范围、时效等,使用前需要用户明确表示同意。

但是,当前我国大多数企业在收集信息的过程中,如用户注册某一软件或网站时,厂商虽然会提供使用授权许可书,但隐私条款通常都夹杂在冗长而复杂的协议中,几乎没有用户会认真阅读。

人工智能服务离不开对用户个人数据的收集和分析,参考GDPR法案把传统的个人信息以外的基因、生物识别及个人健康、政治取向等纳入保护范围的规定,我国可以以立法的方式丰富个人信息的内涵,界定人工智能系统可采集信息的范围,对企业或个人可能侵犯他人隐私的行为加以规制。

参考GDPR法案对用户个人所设置的访问权、被遗忘权等,我国可以赋予用户数据权利明确隐私权保护的内容,以意思自治为原则保障用户知情权,对自动化设置进行限制,减少数据主体的被动性。

AI系统的设计环节充分考虑可能泄露的敏感信息,设置用户有权不受自动化决策的制约,禁止自动化处理,增强信息处理的透明度;拓展用户对个人信息的控制力,有权要求厂商删除其个人信息或擦除历史记录等。

(四)、提高人工智能用户自我防范意识

人工智能时代,除了完善隐私保护的法律、加强行业自律管理之外,作为数据信息的提供者,我们也应当培养法治意识,积极学习互联网安全知识,养成良好的上网习惯,加强个人隐私安全保护能力。

当我们在使用软件之前,需要认真阅读隐私条款再决定是否接受,而不是直接勾选“同意”陷入可能泄露自己隐私的风险中;在公共网络环境下,警惕可能入侵自己手机或者电脑的黑客,安装杀毒软件或防火墙,完善电子设备的防御系统;及时清除浏览器历史记录,重要资料离线缓存,充分保护好自己的隐私。

对于敏感大数据的泄露,我们应当学会用法律武器维护自己的权益,而不是采取放任态度。

结语

欧盟GDPR法案作为全球性最严隐私法规,为我国未来人工智能发展中可能出现的法律问题提供了一定的指引作用。在人工智能环境下,通过完善现有隐私保护的法律体系,加强行业自律,提升自身的隐私保护意识。通过国家、社会、个人多方的共同努力,强化我国对人工智能行业的监管,有效提升网络使用安全,促进我国隐私保护的发展,实现公共利益和个人利益的平衡。