“5G+AI”应用场景：个人数据保护面临的新挑战及其应对*

王勇旗

（西南政法大学 重庆 401120）

1 背景介绍及问题的提出

2019年6月6日，是一个注定可以载入中国乃至世界网络通讯工程史的日子。当日，国家工业和信息化部将“第五代数字蜂窝移动通信业务”经营许可证依次颁发给中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司和中国广播电视网络有限公司，标志着我国正式步入“5G商用元年”[1]。

近几年，大数据、人工智能、物联网、移动互联网等高新科技凭借其颠覆性技术优势，成为推动社会生产力发展的重要引擎，并逐步应用于社会生产和生活各个领域。各种智能化产品不断涌现，如无人驾驶汽车、智能家居、性能各异的机器人等不一而足，开始逐步确立一个充满智能化的社会生态体系。人工智能科技应用以大数据为“营养原料”，通过源源不断输入大体量数据资源，使其“算法”优势得以有效发挥。换句话说，数据是人工智能的“原料”，“算法”是智能科技的核心，数据资源已成为人工智能科技时代最为重要的基础性战略资源（生产资料）。依此而论，大体量数据资源的收集需要传播速度稳定且快捷的网络通讯科技及大容量数据储存设备的支撑。我国第五代移动通讯技术（以下简称“5G”）已然到来，“5G+AI”技术融合应用必将深刻改变既定数据资源传输和利用现状。置身于“5G+AI”场景下，通过5G高端移动通讯技术可实现数据资源的快速搜集和传输，进而使人工智能技术优势得以最大化发挥。但一如我们所知，数据在传播和共享过程中极有可能侵害个人数据合法权益。换言之，数据传播和共享同个人数据保护间存在矛盾和二元张力，在“5G+AI”技术不断融合场景中，将会更加突出。个人数据保护将面临新挑战，包括但不限于以下方面：第一，从价值层面讲，智能设备在高速移动网络通讯技术支持下，个人数据将更加透明，相关企业或用户在利益驱动下存在行为失范的可能，若对其缺乏有效引导与管控，不仅个人生物体征等数据信息存在泄漏风险，个人内心世界亦可通过外在表现进而以数据化处理方式被获取，社会伦理道德面临进一步下滑的可能；第二，从制度层面讲，既有法律规范面临重新被型构的可能，规制范围不限于人与人之间，而且人与物之间、组织体之间及国家之间的关系也将被重新审视。依此而论，我们将面临一个全新课题：“5G+AI”技术不断融合场景下，个人数据保护将面临诸多未知新挑战。文章围绕此问题展开论述，并提出可能性解决方案，以求教于方家。

2 个人数据保护的价值

随着“5G+AI”技术不断融合，人与人、人与物及物与物之间的数字化和数据化必将改变人们的生产生活、工作和互动方式。一如上文所指，在“智能+”时代，个人数据保护与“智能+”必然密切相关。在此背景下，鉴于个人数据处理和流动呈现多样化、剧烈化和全球化样态，并从保护人类尊严、保护个人基本权利和基本自由，以及保护个人自决自由出发，认识到有必要在“5G+AI”技术不断融合中，提出尊重和保护个人数据的基本价值，从而促进信息在人与人之间实现个人数据安全自由流动。

因为涉及个人数据保护价值问题，所以在数据搜集过程中可能会存在个人数据被侵害同个人数据保护价值之间的冲突。如何能在安全的前提下规范个人数据利用和保护，使我们能够从数据驱动创新中获益的同时，降低无处不在的、大规模使用个人数据中存在的相关风险，是我们必须面对并亟需解决的问题。换言之，若倚重个人数据保护，将对互联网企业收集、传送、访问和共享个人数据造成阻碍，对企业的发展形成很大阻力；反之，为保证互联网企业核心竞争力，在数据收集、传送、访问和共享过程中忽视个人数据保护，个人合法权益也会受到侵害。因此，对个人数据的保护需对二者做好价值排序和价值平衡，从而做出合理的路径选择。文章认为，可从价值层面比较国外（地区）立法例，吸收和借鉴其同我国相符之处，有助于我们从更深层次了解不同国家（地区）在个人数据保护方面存在的价值理念、法律文化的不同[2]，并结合国情，为我国个人数据保护提供参照。

2.1 国外（地区）立法模式

2.1.1 美国模式

美国在大数据技术、互联网、人工智能科技等领域一直处于世界领先地位，可谓互联网经济第一强国。美国为促进互联网企业发展，保障本国互联网经济红利，对互联网企业在立法上持宽松态度。这样做，一则对既有和新兴互联网经济发展有所助益，二则可维持本国世界领先的行业优势。换言之，美国对本国市场经济体制具有高度自信，因此在个人数据保护方面，主要依赖企业自律模式，对个人数据保护则秉持较为宽松的立场。基于上述原因，美国对关涉互联网企业立法采取较为保守态度，引致美国联邦尚未颁布专门针对个人数据保护的法律法规[3]，而主要依靠企业自身力量及行业自律维护个人数据安全。然而，在许多国家（地区）已经更新或正在更新其数据保护法律和框架背景下，2018年美国《加利福尼亚州消费者隐私法案（CCPA）》颁布，其他州类似立法提案以及包括政治范围联邦立法者在内的各种团体就全面规定联邦隐私法提出的相关提案获得通过，如美国已规定对个人数据的控制通过隐私权方式保护[4]。美国已开始走上普遍适用的数据保护法规之路，而此举并非是违背美国市场经济自由理念的价值选择。

2.1.2 欧盟模式

欧盟根据本地区历史文化传统，主要基于二战的惨痛教训，赋予每一个人都应该享有个人数据的基本人权，并认为个人数据的泄露不止于财产损失，而是事关人格尊严，甚至生命[5]。立基于此，欧洲较为重视个人数据保护，对其持较为严格的立法态度。

为保护个人数据安全，1995年欧盟颁布了《个人数据处理和自由流动中个体权利保护指令》（以下简称“95指令”）。为进一步保护个人数据，2016年4月27日欧洲议会通过了《一般数据保护条例》（General Data Protection Regulation，英文简称“GDPR”），并于2018年5月25生效，“95指令”同时废止[6]。2018年5月18日欧洲委员会部长委员会在埃尔西诺召开的第128届会议上通过了《关于个人数据处理的个人保护公约》的修订协议（新修订108号公约），并进一步强调了在尊重法治、人权、基本自由的基础上保护个人数据安全。从立法角度考量，并结合上文所指，可窥见欧盟对个人数据保护态度的端倪：将个人数据保护抬高至“一项严格的基本人权”地位，并以统一立法形式对个人数据安全予以保护，兼以严格法律监控保证数据流通中的安全。如GDPR规定，“如果个人数据需传输至欧盟区或欧盟区外的第三方，需第三方所在国提供充分保护”，并且由“数据控制者和处理者采取适当保护措施”的许诺条件等[7]。从其立法初衷可知，GDPR所代表的是欧洲对个人数据保护的价值选择和人权保护理念。

2.1.3 俄罗斯模式

俄罗斯对于个人数据保护具有浓厚的地域性地点，规定俄罗斯公民数据信息的共享和传播以俄罗斯境内为限。如“棱镜门事件”后，俄罗斯为了维护国家安全并有效应对网络数据安全威胁，将《关于信息、信息技术和信息保护法》进一步完善，要求数据信息持有者和数据信息运营者有义务将收集、整理、保存、更新、变动、使用俄罗斯联邦公民个人数据所形成的数据库保存于俄罗斯境内；并完善了《俄罗斯联邦个人数据法》，规定数据信息运营商必须保证使用位于俄罗斯境内的数据库方才许可收集个人数据（包括通过互联网方式）[3]。毋庸置疑的是，俄罗斯通过封闭式立法以保护本国公民个人数据安全，是本国战略需要和历史文化传统价值的体现。

由上可知，不同国家（地区）关涉个人数据保护采取的不同立法模式，主要基于他们所遵循的不同价值，进而以立法型构来表征本国（地区）所信奉的价值选择。具体地说，无论是美国以互联网企业商业利益优先而采取对个人数据较为宽松的立法模式还是欧盟为保护个人数据“基本人权”而采取较为严苛的立法模式，抑或俄罗斯封闭式保护公民个人数据的模式，都是在遵循本国家（地区）历史传统文化、互联网技术水平和本国（地区）经济发展水平等综合因素基础之上所做的价值选择。就此而论，美国模式虽对人工智能场景下互联网经济发展有所助益，但仅依靠行业自律保护个人数据，社会效果未可知，但从Facebook“泄密门”事件可窥斑见豹。近年来为适应全球化个人数据保护浪潮，美国开始积极探求相关立法。欧盟采取“武装到牙齿”的个人数据保护立法，诚然可贵，但亦对互联网企业的发展造成一定阻碍，有违互联网发展规律，从长远及国际视野考量，其价值选择具有一定保守性。而俄罗斯封闭式的保护策略，同当今互联互通的网络国际格局并不匹配。对上述国家（地区）对个人数据保护立法模式的分析，有利于拓展我国相关立法的国际视野，丰富可供选择的范式，为我国“个人信息保护法”的尽快出台提供参照。

2.2 我国相关立法例及价值取向

我国互联网信息技术虽起步较晚，但已取得惊人成绩，时至今日已成为世界上最大的互联网国家[8]。关涉个人数据保护方面，我国立法积极回应，相关立法及司法解释见表1和表2。

表1 相关立法

表2 司法解释

通过表1、表2中对我国个人数据保护相关立法的系统梳理可知：第一，从多个部门法对个人数据保护进行规定可以看出，我国历来高度重视个人数据保护，体现了以人为本的价值追求；第二，虽然我国针对个人数据保护有诸多部门法（规定、司法解释）的规定，但缺乏专门针对个人数据保护和保证数据自由流通的立法，法效果及法价值的彰显存疑；第三，通过近期发生的“浏览器主页劫持”事件，立法部门拟从顶层设计角度出发加强个人数据保护，已将“个人信息保护法”“数据安全法”列入“十三五”立法规划。于此相应，继国务院已连续出台《网络安全审查办法（征求意见稿）》《数据安全管理办法（征求意见稿）》《儿童个人信息网络保护规定（征求意见稿）》等办法规定后，部门性规范性文件《信息安全技术个人信息安全规范（草案）》已完成征求意见，以应对“5G+AI”不断融合背景下互联网对个人数据安全造成的侵害，做到在保证国家安全的前提下，兼顾互联网企业正常有序发展和个人数据安全保护。

3 个人数据保护在“5G＋AI”技术融合场景中所面临的新挑战

移动网络通讯技术历经1G到4G，直至今日步入5G。1G以移动电话通讯服务为主，2G包括语音及短消息服务内容，而3G和4G，网络速度进一步提高，主要体现为网络界面的运用。随着互联网通讯技术步入5G时代，其技术优势将更加明显：更高传送速率、更强可靠性、更低时延等[9]，可满足未来社会生产生活中的虚拟现实应用需求（如游戏玩家可置身网络游戏中、3D模型式的“面对面”视频会议等），同时，使无人驾驶更加优化、智能制造等可满足不同用户和行业的更高需求。从技术层面讲，从1G到4G实现了人与人的网络通讯，而5G则可实现人与物，甚至物与物之间的网络通讯。换言之，依托5G技术平台，人与人、人与物、物与物之间的联络可在同一平台呈现，全方位、立体化交互模式将成为现实。届时，社会交往生态体系将完全被重新型构，与此同时，人的各种数据信息可能完全暴露于网络环境之中，个人数据保护形势将更加严峻。

相较移动网络通讯技术发展，人工智能（Artificial Intelligence，简称“AI”）起步较晚。1956年，在美国达特茅斯会议上约翰·麦卡锡（John McCarthy）首次提出此概念，此后，人工智能依托计算机技术，历经60余年，经过“三起两落”[11]，发展成为一门备受世人关注的前沿和独立的交叉学科[10]。AI凭借其颠覆性、创新性科技，渐次影响和改变着各行业传统生态结构，引发全球广泛关注。如美国政府为支持人工智能在相关领域的发展，相继发布了《为人工智能的未来做准备》《国家人工智能研究和发展战略计划》《人工智能、自动化与经济》的报告；欧盟为推动人工智能机器人在各行业的应用，提出《2014—2020 欧洲机器人技术战略》报告，为进一步拓展人工智能适用领域，于2018年4月又发布了《欧盟人工智能》；日本为提高人工智能在公共管理事业的应用和人工智能产业化，相继颁布《机器人新战略》《人工智能技术战略》；我国为推进人工智能技术发展，相继提出《中国制造 2025》《“十三五”国家科技创新规划》《新一代人工智能发展规划》［国发〔2017〕35 号］[12]，并于2019年3月19日，在中央全面深化改革委员会第七次会议上审议通过了《关于人工智能和实体经济深度融合的指导意见》等。

时至今日，人工智能技术已进入2.0（Artificial Intelligence2.0）时代，主要适用领域包括但不限于：自主智能（如无人驾驶）、大数据智能、人机混合增强智能等[13]。人工智能2.0建立在移动互联网、云计算等信息技术基础之上，同以往智能相比在数据处理、环境适应、算法技能等方面有质的提升。

人工智能2.0技术同5G移动网络通讯技术的融合是不可避免的趋势，在此背景下个人数据将更加透明化，企业或用户搜集、传输、访问和共享利用个人数据将更加便捷，个人数据被侵害的可能性风险也会进一步加剧。如网络游戏开发商依托“5G+AI”技术融合应用，游戏玩家置身网络游戏场景将成为可能，此时个人数据更加透明化，包括个人生物体征（身高、性别、肤色等）、个人游戏爱好、武器装备选择等，游戏开发商通过所搜集到的个人数据并依“算法”分析可定向推销相关游戏装备或商品。同时，在此过程中亦可能会存在个人数据被传输至第三方，进一步增加了个人数据被侵害的可能性，数据主体抑或其家庭成员甚至与之相关人群的生活都有可能受到不同程度的打扰：如电话推销、广告骚扰等。

德国著名社会学家乌尔里希·贝克认为，任何一项新兴科技的产生与运用在给人们带来机遇与便捷化的同时，亦可能产生新的挑战[14]。自人类步入信息社会，人们行为规范失范和伦理道德下滑已是不争事实[15]。“5G+AI”技术的融合，不仅会给社会生产生活带来技术革新，还给个人数据保护带来了新挑战。一言以蔽之，数据信息搜集者、传输者、访问者和共享利用者的行为规范和伦理道德同个人数据需要得到保护的要求之间将面临新挑战，既定法律规范对个人数据保护不充分的弊病将更加凸显。具体地看，新挑战的体现可从社会价值层面和法律制度层面展开：

3.1 社会价值层面

个人数据的搜集者、传输者、访问者和共享利用者的行为规范和伦理道德标准的衡量在日益发达的信息科技社会中是不可回避的问题。面向“5G+AI”技术不断融合的场景，更应引起足够重视。

3.1.1 第三方搜集、传输、访问和共享利用中行为规范存在进一步失范的可能

随着5G时代的到来，人们利用网络将更加便捷，涉足范围将更加广泛。如网上购物将更具吸引力，搜索和聊天软件将更加普及，网络游戏的场景应用将更具吸引力等。与此同时，人们将在网络空间留下更多足迹，为相关企业搜集个人数据打开便利之门。一如上文所指，在“智能+”时代，信息科技企业利用移动网络通讯技术以获取大体量个人数据，并在智能化算法分析处理基础上，可深挖其中蕴含的经济价值，以促进企业进一步发展。正如Smith等人指出，企业在处理个人信息过程中主要从信息的收集、不当利用、二次使用及未经授权的使用四个维度造成个人信息的泄露[16]。尤其在“5G+AI”技术不断融合背景下，企业在追求最大化利润的驱动下，可能会采取一切必要手段搜集社会有限的个人数据，以供分析并攫取其中的经济价值，个人数据被侵害的风险将随之进一步提升。就此而论，信息网络科技企业行为规范存在进一步失范的可能。

3.1.2 社会普遍遵循的伦理道德底线有被进一步突破的可能

诚如上文所言，信息网络科技企业在搜集、传输、访问和共享利用个人数据存在行为失范的可能，而规制人行为规范的主要工具是外在的法律规范制度和内在的社会伦理道德。法律规范具有先天的滞后性，在法律规范阙如时，如何规制信息网络科技企业在网络空间的行为？伦理道德的遵守应是不二之选。信息网络科技企业在巨大经济利益的诱导下，在既定法律规范失位时，为了追逐数据经济所产生的高额经济回报，社会伦理道德底线被其进一步突破亦有可能。如2018年3月26日，百度公司CEO李彦宏在中国某一高峰论坛提到，“我想中国人可以更加开放，对隐私问题没有那么敏感，如果他们愿意用隐私交换便捷性，很多情况下他们是愿意的”[17]，此言论引发社会广泛争议，亦为前述明证。对此，文章认为，从企业角度分析，信息网络科技企业为追逐高额经济利益回报，而选择突破社会基本伦理道德底线，以攫取个人数据用来满足企业私欲，是企业伦理道德理念下滑的典型表现之一。

3.2 法律制度层面

当今，法律规范是人们实施具体行为的指导准则，亦可从反面理解，法律亦是对人们实施具体行为的限制。诚如哈耶克所言，规则制度并非仅是人们追求结果的手段，而是对人们在不打破既定社会秩序下行为的限制[18]。在“5G+AI”技术不断融合背景下，人们对网络服务和产品个性化标准程度的需求在不断提升，与此同时，信息网络科技企业对个人数据精准度的需求也会相应提升。由于我国缺乏针对个人数据保护的专门立法，对第三方处理个人数据规范缺乏针对性法律限制，侵害个人数据的行为将愈加频发。由此而论，“5G+AI”技术场景下，我国既定个人数据保护法律规范将面临新的挑战。

3.2.1 既定法律规范关涉个人数据范围的界定面临新挑战

个人数据范围的界定，需以其内涵为起点。我国对个人数据内涵的规定在《网络安全法》《信息安全技术个人信息安全规范（草案）》［以下简称《规范》（草案）］第76条中有体现。上述规范不仅对个人数据内涵做了规定，而且《规范》（草案）还以不完全列举形式对个人数据范围予以规定。随着“5G+AI”技术不断融合，信息网络科技企业将为人类提供超出人类现有认知的智能网络服务体验，从而将会有更多的人为寻求特定化、智能化网络科技服务涉足其中，与之相应，不可预知的并超出既有规范约束的个人数据智能识别技术亦会出现，届时个人数据被非法收集、泄露及被滥用将成为可能。由此而论，现有既定法律规范（或标准）所设定的个人数据范围将面临新的挑战。

3.2.2 “师出多门”部分法（规定、司法解释）保护个人数据安全的建构模式面临新挑战

通过表1、表2所呈现的规范制度来看，不同法律规范以不同视角对个人数据保护作出规定。但从法效果和社会效果理解，以“师出多门”形式立法，存在如下问题：对用户而言，在寻求特定化、智能化网络服务中，对企业所设定的格式条款可能无法准确认定属于个人一般数据信息抑或个人隐私信息范畴；对企业而言，设定“同意”格式服务条款中，所参照规范存在选择性困扰窘境；对司法机关而言，会降低法律适用准确性，甚者有损司法权威。质言之，“师出多门”的立法建构模式将面临新挑战。

3.2.3 对正在进行的民法典编纂中所涉个人数据保护标准面临新挑战

《民法总则》在我国未来民法典体例中将作为第一编。关于个人数据保护，《民法总则》111条有所规定，但对个人数据权利性质并未明确[5]。从表1、表2的既有规范可知，我国主要通过法律、司法解释、行政法规、部门规章及其他规范性文件保护个人数据。在我国依法治国与推进国家治理能力现代化的关键节点，以及我国民法典编纂已步入关键期的背景下，加之“5G+AI”技术不断融合，对个人数据权利性质定位而引发的保护标准将面临新挑战。

综合言之，“5G+AI”技术不断融合时代背景下，个人数据保护所面临的挑战不止于上文所述，如Facebook公司发生的个人数据“泄露门”事件，其中不仅涉及个人数据泄露，甚至导致个人数据被非法利用，这种情况在我国也有发生[19]。通过上述分析，文章认为，我国应重新审视个人数据保护的价值和意义，其不仅关涉个人数据安全问题，亦可对国家政治安全产生影响。立基于此，在“5G+AI”技术不断融合的场景下，加之技术发展中存在的不稳定性和不确定性，个人数据保护更应引起足够重视，并立足国情找寻合适路径对个人数据予以周延保护。

4 个人数据保护在“5G＋AI”应用场景中的路径选择

我国已正式步入5G商用时代，“5G+AI”技术融合运用趋势将不可阻挡。正如上文所指，在“5G+AI”场景中，个人数据保护面临诸多新挑战，亟需采用新的机制来规制个人数据面临的新挑战[20]。在此背景下，应秉持科技为人服务的理念，科技应用以安全为首要原则，既要促进互联网及人工智能产业经济健康发展，亦应保护个人数据免受不法侵害，兼及二者之间的均衡尤为重要。文章认为，我国在建构个人数据保护模型中，应以立法先行，政府监管和社会监督相配合，行业自律和他律相结合，并加强个人数据在被利用中的自决权，“四维一体”地建构个人数据信息防护平台。通过以上措施，为个人数据提供更为周延的保护路径。

4.1 立法先行

通过表1、表2可知，关涉个人数据保护我国有相当数量、不同角度的规范制度，但“师出多门”的规范制度的社会效果及法效果尚无法确定。在“个人信息保护法”“数据安全法”列入“十三五”立法规划背景下，从立法角度，在以维护个人数据安全为原则的前提下，结合上文所指出的问题和新挑战，在立法中应明确个人数据范围及其性质，做好智能经济发展同个人数据保护的平衡，并在此基础上确定相应法律规范。

4.1.1 第三方对个人数据的搜集、传输、访问和共享利用应以维护个人数据安全为首要原则

“棱镜门”事件后，许多国家和地区开始加强数据资源保护，建构符合互联网智能科技发展时代的个人数据保护体系，增强个人数据安全防护，如欧盟《一般数据保护条例》（GDPR）的出台是保护个人数据安全的典型立法案例。毋庸置疑，在“5G+AI”技术不断融合场景中，第三方搜集、传输、访问和共享利用个人数据将更加便捷，与此相应，个人数据被侵害的可能性将加大。因此，我们应以“科技服务于人”“以人为本”的立法理念确定在以个人数据安全为前提的条件下进行具体的规则设计。

4.1.2 个人数据范围可参照GDPR规定

关涉个人数据范围，在我国《网络安全法》和《规范》（草案）中以列举式规定，并以“等”字结尾。我国立法意图在于随着科技进步，个人数据范围有进一步扩展的可能，此类不完全列举式，值得肯定。但文章亦认为，随着智能科技的不断发展，移动网络与智能科技处于不断融合和进步中，智能“算法”技术在大数据不断增加的基础上将更加优化。因此，从数量上讲，个人数据是有限资源，在有限数据资源基础上深挖其内涵“子数据”的过程中，个人数据所涉范围必将进一步扩大，采列举式方案会存在不断滞后的困境。依笔者所见，关涉个人数据范围可参考欧盟《一般数据保护条例》（GDPR）第4条规定，对个人数据范围通过抽象化形式规定，以避免列举式不周延及滞后性缺陷。

4.1.3 个人数据权利性质可界定为具有人格性的财产权

GDPR作为史上保护个人数据最为严格的法律规范，其个人数据性质在全球范围内应具一定代表性。根据欧盟制定GDPR的文化背景而将个人数据权利性质界定为“基本权利”，并作为基本人格权加以保护。此规定可追溯至2007年欧盟议会联合欧盟委员会所颁布的《欧盟基本权利宪章》第8条，明确规定将个人数据作为一项基本自由权利加以保护，并在2016年的《欧盟数字基本权利宪章》中对其进行了细化。我国《民法总则》虽提出“个人信息应受法律保护”的规定，但对其性质并未规定。文章认为，可将个人数据界定为人格性财产权，并在立法中规定，而数据主体可依靠自身人格自觉来保护个人数据安全。依托现代智能科技，个人数据具有可识别性，通过生物识别等技术可准确定位出具体个人，正如我们所知，每一个人的指纹具有独特性，可根据每个人体指纹识别出特定个人，从这个意义上讲个人数据所具有的人格属性应无争议。至于个人数据财产性，正如上文所指，互联网企业通过搜集大体量个人数据信息资源，并经“算法”分析技术应用于商业领域，如网络购物中定向推销产品的行为，就是个人数据财产性的体现。综合言之，我国个人信息专门立法中可将个人数据性质框定为人格性财产权，既维护了个人基本权利，亦满足了互联网企业对个人数据财产性的利用需求。

4.1.4 做好智能互联网经济发展同个人数据保护的平衡

一如上文所指，互联网智能科技的发展需要大体量数据支撑，它同个人数据保护存在天然二元张力。我们既不能“饮鸩止渴”，为了促进互联网经济发展而枉顾个人数据安全，更不能“因噎废食”，为了保护个人数据安全而抑制互联网智能科技发展。因此，既要促进互联网经济的稳定健康发展，亦应兼顾个人数据安全，维持二者之间的平衡，在“5G+AI”技术不断融合场景中尤为重要。

4.2 政府监管和社会监督

当前，政府对各类企业管理实施“强制式”“命令式”行政监管模式，并认为监管是促进企业发展的必要举措。我国现行政府监管仍持“管制型”为主的官本位思维[21]。而作为独立于政府监管部门“第三种力量”的社会监督主体，主要以新闻媒体、行业协会、社会团体、其他自治组织和公民为主[22]。由于信息网络科技企业开发或利用的高科技产品具有较高的技术性，引致监督主体同被监督方存在信息和技术等严重不对称问题，因此一般很难从技术漏洞和信息处理角度对其实施有效的社会监督，社会效果实难保证。文章认为，为顺应“5G+AI”应用场景，维护好个人数据安全，政府监管、社会监督同互联网科技企业应做到良性互动，可从以下几点寻求改变：

4.2.1 政府在监管中的角色定位：从管制型向服务和合作型转变[21]

在计划经济时期，我国政府属于全能型政府，随着市场经济深入发展，政府由全能型向管制型转变。在“智能+”时代，尤其即将步入“5G+AI”技术融合的时代，仅靠政府行政监管，并不能对个人数据做到有效保护。政府应寻求同互联网智能科技企业的沟通与互动，建立伙伴型合作关系，通过政府在互联网企业中的适度参与，对互联网企业行业规范的制定提出意见和建议，引导企业树立“以人为本”的理念，规范企业在搜集、传输、访问和共享利用个人数据中的行为，切实保障个人数据的安全。

4.2.2 社会监督方式的转变：积极发挥相关社会团体技术优势

一如上述，社会监督主体范围广泛，但由于互联网企业的高科技属性，社会监督效果存疑。可通过社会专业性自治组织，如中国计算机行业协会[23]，依靠此类组织自身技术优势对互联网企业加强监督。尤其是我国即将步入“5G+AI”技术融合运用阶段，其在个人数据搜集、传播、访问和利用中所体现出的技术优势同在此过程中可能存在的非法处理行为一道如同“一张黑幕”，是现阶段的社会大众所无法预知的。因此如中国计算机协会一类的组织应积极发挥其行业技术监督作用，以提高该行业社会责任感并规范其收集、传播和利用个人数据的行为方式。

4.3 行业自律及他律相结合

互联网智能科技企业是数据经济的直接受益者，亦是对个人数据安全最可能的侵害者，尤其在“5G+AI”技术不断融合背景下，表现会更加明显。基于上文所述的新挑战、对个人数据保护存在的问题及互联网智能企业自身的技术性特征，文章认为互联网智能企业对个人数据保护应始终坚守“以人为本”的价值理念，尊重人权、法治及社会民主价值观念，并在此基础上加强行业自律及他律相结合。为加强行业自律，2001年成立了中国互联网协会，并在各省级区域设立地方性互联网协会，但社会效果并不明显，而且其中心工作并非行业自律[21]。依笔者所见，可从以下三点加强行业自律与他律的结合：

4.3.1 行业自律需坚守“以人为本”的价值本位

在互联网智能科技发展日新月异的今天，互联网智能科技企业应始终坚守“以人为本”“科技服务于人”的价值理念及科技应当以尊重和促进人类福祉为最终目的的基本立场。智能科技企业以法律规范或社会伦理道德规范所允许的正当行为方式规范产品设计,确保智能科技企业所设计的智能产品符合基本的价值设计理念，以避免所设计的智能科技产品有违社会基本伦理道德。智能科技企业应在上述价值引领下制定行业自律规范并自觉遵守。

4.3.2 政府积极并适度参与行业自律规范的制定

一如前述，政府角色应从“管制型”向“合作型”转变，与此相应，政府应积极并适度参与行业自律规范的制定，可通过直接参与制定或提出意见、建议相结合形式，让企业在“以人为本”理念下感受到政府的参与并非出于“强制”“命令”，而是以合作者姿态参与其中。并应详尽列明惩罚与激励并存的“双轨”机制，以提高行业自律规范和行业行为规范的适用性。

4.3.3 提高行业协会对相关行业执行自律规范的监督

可通过定期自律测评、违规通报、奖励公示等手段，并建立及时性信息通讯报告机制，线上线下相互配合，当发现存在某些行业会员违规操作侵害个人数据安全等违法行为时，应及时披露并向相关部门反映，诉诸法律手段。

4.4 加强个人数据自决权的力度

“5G+AI”技术不断融合场景中，第三方依赖此技术搜集、传输、访问和共享利用个人数据的便捷性将得到极大提高。在此场景中，既不能因第三方对个人数据的利用而对数据主体造成侵害，亦不能为了保护个人数据而枉顾第三方的利用，尤其是在安全前提下的合法利用。正如上述逻辑，应寻求个人数据利用的第三方和个人数据拥有者之间的平衡。一般而言，数据信息的利用者在技术层面拥有较大或绝对技术优势，为平衡其中的利益，文章认为，应加强数据主体对个人数据在被利用中的自决权[24]。具体来说，在数据安全前提下，可通过赋予个人在第三方利用个人数据时的参与权，适度参与第三方利用个人数据的场景，赋权范围以数据主体选择性同意权、异议更正权及无条件删除权为必要，以此达致数据主体对个人数据的把控，也是保护个人数据最直接有效的方法。

4.4.1 选择性同意权

个人数据在网络环境中被搜集、传输、访问和共享利用中会出现方式多样化、速度剧烈化和影响全球化态势，尤其是在“5G+AI”场景中，表现会更加明显。所以，在此过程中应以力图保护人类尊严、基本人权和个人基本自由为初衷，并应兼顾个人选择同意的自决权。第三方尤其是互联网智能科技企业搜集、传输、访问和共享利用个人数据的技术性强、隐蔽性高、搜集速度快，一般数据主体很难有效跟踪个人数据被处理情况[25]。但是数据主体在自由访问个人数据基础上，对被处理的个人数据应是具体知情和确定的。数据主体在自由意愿表达的基础上进行选择同意，可通过书面、口头、视频或其他电子方式行使，在特殊情况下，亦可通过明确的默示行为表示同意。但是，如果数据主体仅仅以默认方式或被强制性（如不同意就享受不到某种特定网络或商品服务等）的同意，不应视为选择同意权的行使。换言之，对同意权的行使范围应为个人需选择的同一目的或多种目的，而在多种目的情形中，数据主体应分别同意每个不同的目的等。如果数据主体在个人数据被第三方处理过程中没有真正享有自由选择同意的权利，抑或其在权利受到侵害而无法行使拒绝或撤回同意的权利，则不应视为数据主体选择同意权的行使。

4.4.2 异议更正权

鉴于个人数据安全在被第三方处理中会存在被侵害情形，或数据主体因个人原因导致输入的个人数据存在偏差而享受不到相关服务或商品，或因网络技术等因素以致个人数据出现误差，应赋予数据主体异议更正权。而异议更正权的行使应以免费为原则，除非是数据主体故意或重大过失所致。为了维持数据处理和个人数据保护间的平衡，数据主体应将数据更正情况告知对方，除非证明存在不可能告知的情形。

4.4.3 无条件删除权

数据主体删除权的行使亦是其个人数据自决权体现。由于智能科技存在的不稳定性会增加数据主体权益被侵害的可能。当数据主体发现个人数据安全被侵害或存在侵害的可能时，可在不经处理者同意情况下删除个人数据，除非删除其个人数据不利于维护国家利益和公共安全利益。同时，数据主体删除权的行使应免费。

5 结语

“智能+”时代，在“5G+AI”技术不断融合场景中，社会生态体系将被重新型构，人类生产生活智能化将更为明显。第三方处理搜集、传输、访问和共享利用个人数据将更加便捷，与此相应，个人数据安全被侵犯的可能性加大。但是我们不应为了支持互联网经济发展而枉顾个人数据保护，亦不能为了保护个人数据而忽视互联网经济发展规律，需做到二者之间的平衡。国外（地区）个人数据保护的相关立法，多基于遵循本国（地区）文化历史传统。我国可参照GDPR对个人数据性质的规定，并结合我国国情，将个人数据定性为人格性财产权，突出其人格权属性，彰显网络智能科技“以人为本”的理念。总之，在“5G+AI”技术不断融合场景中，个人数据保护的社会价值、法律制度面临新挑战，但我们应深刻认识到，在“5G+”场景中个人数据保护面临的挑战将远不止于文章所述，对其保护的路径选择也远非上文所表。对个人数据的认识和保护，应以智能科技的发展要符合社会伦理道德和保证其安全性为首要，以维护个人基本权利和自由为原则，以追求人类福祉为宗旨，从而确保智能科技的发展和应用不会损害人的尊严和人的基本自由，特别是维护个人数据得到保护的权利。