人工智能时代个人信息的保护研究

奉海玲

（湖南师范大学 法学院，长沙 421000）

一、问题的提出

自人工智能首次被提出以来，①人工智能经历了起步、反思、低迷各个阶段后，现已迎来了高速发展时期。②2015年5月20日，国务院印发的《中国制造2025》中强调智能制造，③今年两会的政府报告中首次提到“智能+”并建议人工智能立法，促进产业创新发展。④我国的人工智能技术发展虽处于起步阶段，但可以预见到，人工智能时代将是未来的趋势和主流：无人驾驶汽车的开发为人类出行提供了便利，医疗器械的使用解决了医学上的巨大难题，翻译软件的应用减少了人们语言不通的阻力，在法学上提供法律咨询、进行文书处理的辅助工作提高了法官的审判效率和质量。人工智能技术的应用为我们解决了很多无法跨越的难题。这一以海量数据作为依托的人工智能技术在给我们带来福祉和帮助的同时，也为我们的个人信息保护带来了挑战。

2016年4月，杜某某非法获取2016年山东省高考考生个人信息64万余条并出售，造成山东省临沂市罗庄区某高考考生死亡事件，个人信息收集渠道低导致滥用。大疆公司制造的无人机被指具有企业数据安全风险，信息过度采集，智能机器缺乏自动安全识别功能。英国的“剑桥分析”公司泄露个人信息丑闻，信息保密安全未得到有效保障。国内外在个人信息保护问题上，都面临巨大的挑战。依赖个人信息为基础发展的智能时代，信息收集快捷、简便，信息的收集渠道和手段没有限制，收集后的使用、安全保障义务和信息保密义务缺乏规范。个人信息的泄露成本过低，诉讼成本偏高，人们的个人信息保护意识弱，导致个人信息的泄露事件越来越多。人工智能的应用增加了个人信息的泄露危险，主要在于其安全存储还未得到突破发展。5月28日《数据安全管理办法》（意见稿）也在征集中，在保障个人信息和数据安全的同时，也说明5G时代的到来使得个人信息保护越来越复杂。［1］如何规范个人信息的使用，最大程度的保护个人信息是人工智能时代面临的巨大挑战之一。

今年的两会上个人信息保护法被提上了日程，列入五年立法计划之内。2008年由周汉华教授带领草拟的《个人信息保护法》（草案）完成，提交多年，因缺乏立法条件而未通过。此前，我国虽未有专门的个人信息保护法，但国家也重视个人信息的保护，先后出台了《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》，加强对个人信息的利用和保护，《中华人民共和国刑法修正案（九）》增加侵犯个人信息罪，加大个人信息侵权的惩罚力度。《网络安全法》规定了个人信息的定义、信息预警和监管机构以及法律责任等内容。该法是目前为止对个人信息规定最详细的法律，但是该法局限于网络数据的安全；更多的是强调对个人信息的保护忽视了个人信息的利用；缺乏对个人信息的存储安全细致规定。这些都是人工智能时代将要面临的问题。制定个人信息保护法，既是加强个人信息的隐私保护还是着重强调个人信息自决权，也是适应全球化经济发展模式的要求，需要结合我国的立法国情予以考虑。

二、人工智能时代个人信息保护面临的困境

1.人工智能时代个人信息利用和个人信息保护的冲突

我国尚未规定个人信息权，也未将个人信息权认定为一项权利。在民法典即将出台之际，人工智能时代的到来号召我们要顺应时代发展的需要，从大数据时代到现今，吴汉东教授曾提到未来的时代是“移动互联网+大数据+机器智能”三者叠加的时代。［2］人类社会将进入一个透明的、没有隐私的时代，也就是“零隐私”的社会。人工智能时代智能技术对信息进行充分合理的利用时，引发两个问题。一是在人工智能时代如何确保对个人信息的合法利用。二是确保个人信息最大化合法利用的情况下，如何确保个人信息最小程度泄露。

美国、德国、日本、英国等国的个人信息保护制度规定较早，内容较完善，但在面对人工智能时代的个人信息的安全存储时也遇到了瓶颈。个人信息的保护分为两种模式：分散立法模式和统一立法模式。分散立法模式以美国为典型代表，对个人信息的保护分别规定在《儿童网络隐私法》《公民网络隐私权保护条例》以及加州的《加州数据安全违反通知法》等法律中，注重行业对个人信息自律保护。以欧洲为代表的个人信息统一立法保护模式是众所周知的，且《通用数据保护条例》（GDPR）中信息泄露告知原则和数据利用最大化损害最小化原则都是值得他国借鉴的原则。日本个人信息的保护结合欧洲和美国双重优点，在确立《个人信息保护法》的同时注重行业自律，达到个人信息保护的双重效果。

欧洲为了鼓励自由经济发展，在欧盟成员国中共享数据信息，在促进增强数据利用的同时也保护数据信息，对数据进行加密处理。［3］信息共享的前提是保证信息环境安全，一旦共享信息出现不安因素或者经常发生利用共享信息进行非法活动的行为，信息共享就会变成“奢侈品”。信息共享是开放式的，但也会有适当限制。新闻媒体对共享信息的影响是爆炸式的，其时效性和广泛性明显。GDPR中第22条限制了新闻媒体的个性化发展。［4］在涉及到利用个人信息时，新闻媒体的个人性化是有限的。根据不同情况平衡个人信息利用与保护之间的关系。

我国尚未制定《个人信息保护法》，个人信息的保护进行分散立法，⑤存在几点风险。一是无法明确个人信息的定义，人工智能时代的个人信息内容延伸，不再局限于隐私信息中，对个人公开的信息的利用也要予以规范。二是个人信息分散规定于各个法条中，内容有交叉也有漏洞，易产生法律漏洞。三是人工智能时代的个人信息兼具人格权和财产权属性，将其作为侵犯隐私权（人格权性质）保护，忽视了财产权属性性质的保护。现有分散法律都重在规定个人信息保护内容，忽视了合法规范个人信息的利用实际上也是保护个人信息这一层面。对个人信息的过度保护会影响个人信息利用，不利于社会共享信息，阻碍社会的发展。

在个人信息保护和利用上面临十字路口的选择，如何平衡两者之间的关系成了一个需要考虑的问题，既要保护个人信息者权益，又要在保护个人信息权不被滥用的前提下，合理地进入社会领域。［5］既要保护个人信息权利，又要共享信息，不能因为个人信息保护而影响社会的发展进步，在保护和利用之间权衡出最好的解决方法需要进一步思考。

2.人工智能时代对个人信息数据的过度需求

挪威数据保护局曾解释说：“大多数人工智能应用需要大量的数据来进行深度学习并做出正确的决策。”［6］信息数据是人工智能工作的基础，人工智能的深度学习需要依赖于大数据提供海量的个人信息。智能产品工作是收集并分析所有能够取得的数据，而不是样本数据。人工智能工具对信息数据的需求量是无穷尽的，越多的信息数据支撑，人工智能产品的精确度和准确率越高。［7］如：“鹰眼”识别系统，通过一个模糊的轮廓或者是一张嘴、一双眼睛就能识别出具体的人，这融合了所有的个人信息在识别系统中，搜集到的个人信息越全面，其识别的精准度就会越高。在法律方面的运用也是一样，需要将所有的当事人信息以数据的形式置入智能产品中，最后才能通过的所有数据进行分析处理，根据获得的数据进行分析，在智能咨询和判决中也是依托这些数据产生的结果。

数据的缺失、不充足会导致人工智能工作的效率和质量难以达到预估水平，直接或间接的对人们的生产、生活产生不利影响。精确、精准的数据对人工智能的正确性决策的影响是起决定性作用的。但是庞大的信息收集工作如何才能合法、有效的完成，有着一定难度。依据《中华人民共和国民法总则》第111条对个人信息的规定，⑥收集信息的过程是否合乎法律的规定，难以作出具体的认定。该条款只是模糊的规定了自然人的个人信息受到法律的保护，并未明确个人信息受保护的范围。同时，法条中规定获取他人信息需要依法获取并保证个人信息安全，这些都是出于国家、社会层面考虑个人信息的获取，并未从个人层面加以考虑，获取非公开的个人信息应当取得信息所有者本人同意。对获取信息的途径只强调不能非法，这实际上都是在刑法对侵犯个人信息权的基础上进行的补充，未从民法层面进行合理考量。

人工智能产品的研发需要无穷无尽的数据支持，这些庞大的信息数据，需要有专门的条款予以规制。依照《民法总则》中的规定，只要是合法获取的个人信息数据，在保障信息安全的情况下便可以无限制的利用，未经信息所有者的同意，且未经其授权后便传输给他人，这实际上是对信息持有者一种不尊重的表现，甚至更是侵犯个人信息权的行为。目前，所有的人工智能产品中出现的有关个人信息数据是否获得信息所有者的同意不得而知。

笔者认为，不仅要对以非法方式获取的个人信息行为进行规定，对以合法方式获取的个人信息也要做出必要的限定。以合法方式获取的个人信息，取得途径可能是正当、合理的，其利用行为也要进行规范。个人信息涉及到的不仅仅是公开性的信息也包括个人隐私性的信息，公开信息的利用可以放宽，但是隐私性的个人信息会涉及到信息所有人的人格性或财产性利益，需要予以严格规范。

3.人工智能时代个人信息的存储安全缺失

Facebook案件个人信息的泄露给了我们在信息安全存储问题上一个很大的提醒，现在的淘宝、QQ等各大网络社交和生活工具无形中收集了所有使用者的详细信息，［8］在所有的信息数据汇总后，该海量信息的存储是否安全存在疑问。信息数据的存储存在两大威胁：一是各大网络APP运营商有着足够安全的防火墙，利用获取的海量数据进行非法交易，获取巨额利润；二是尚未存在较强的防火墙，数据库的信息存在被破解的危险。人工智能时代，个人信息保护相关法规对信息的利用会做出具体的规定，第一种威胁会被控制，主要的威胁来自于第二种情况，因为技术的发展存在很多不确定因素。数据的收集和利用是一项基础工作，而海量数据的安全存储面临威胁。当前的存储技术还未发展到可以完全保密的程度，其存储面临着潜在危险。

有关Facebook案件中存在的个人滥用信息问题，意大利当局认为应该罚款，因为该运营APP强迫用户接受它新条款而分享个人信息。该条款侵犯了用户的选择权，有着刻意收集个人信息的嫌疑。与此同时，德国、法国和爱尔兰等国相继对Facebook所涉泄露个人信息问题进行监管处罚。欧洲为了更好的保护个人信息，还规定了严格罚款制度，督促个人、企业主动保护个人信息，以此保障信息存储安全。［9］欧洲GDPR的实施，不仅规定了企业对数据的安全保障义务，也要求企业的高管和相关负责人承担数据安全保障义务。［10］该规定在一定程度上增强了数据的使用和存储安全性，降低了滥用和泄露的危险。

个人信息的存储安全性极低，有三方面的原因。第一，立法保护制度缺失。周汉华和齐爱民教授等专家、学者的建议草案稿早已出台，⑦因为立法条件和环境不足，个人信息法立法议案今年两会才得以通过。个人信息分散规定于各种法律、法规、司法解释和规章中，⑧但并未规定个人信息的存储安全和存储保护设备等级。第二，市场监管失灵。智能技术的发展，给我们提供便利的同时也带来了烦恼。个人信息在使用的过程中随时面临泄露的危险，典型的就是浏览产品后系统自动推荐产品。这是市场监管不力的原因，未制定行业信息保护法规以保护消费者的个人信息。⑨第三，自然人缺乏信息保密观念。

人工智能时代是信息和科技结合的时代，透明度高，运用率广。人工智能及其系统的正常运作，在利用人工智能时如何规范数据的收集、储存、利用行为，避免数据的泄露和滥用，并确保国家数据的安全，是亟需解决的重大现实问题。［11］看似是个人信息的存储行为，在一定程度上也会涉及国家数据的安全。智能系统是依靠算法、程序运行的，算法具有公开性、透明性，信息数据的安全存储存在很大的问题。

三、完善人工智能时代个人信息保护路径

1.构建严格的个人信息保护制度，明晰共享信息泄露告知原则

个人信息立法，需要对个人信息进行分类。个人信息的种类繁多，在个人信息定义和个人信息类别的确定上，不同行业、不同群体对个人信息的理解存在明显的区别。因此，构建个人信息法保护制度是很有必要的。［12］巴杜拉将基本法意义下的“财产权”解释为是任何一种具有财产价值，并且可以作为个人为生或者从事经济活动基础的法律地位。［13］个人信息保护与其属性有着密切联系，学界对个人信息权的属性问题有着很大争议。笔者认为，人工智能时代的个人信息权兼有人格权和财产权的双重属性。现今，个人信息权是属于人格权属性范围内的权利毫无疑问，但是在人工智能时代，个人信息在智能技术的应用上更多的是以财产的方式进行，人格权利益损害的发生更多的以财产权形式的产生为前提。

明确敏感个人信息与非敏感个人信息之间的界限。个人信息的分类，首先需要区分敏感信息与非敏感信息。［14］未经信息所有者本人同意敏感信息绝不可公开，除非未来国家利益的需要。明确敏感信息与非敏感信息之间的界限，既是保护信息权人的个人隐私，也是对信息利用者的限制。不少学者认为个人信息属于隐私权的范畴，在笔者看来，隐私权中的“隐私”就是具有保密性的信息，不能公开的，而个人信息既包括可以是公开的信息也可以是非公开的信息，个人信息的范围较隐私的范围广，两者存有重合的部分。强调对信息的保护不仅仅是对公开的信息的保护，还有未公开的信息的保护，侵犯未公开的信息可能既构成侵犯隐私权又构成侵犯个人信息权，对个人信息权的保护，强调的重点是在未经当事人允许的情况下，非法利用、搜集个人信息的行为。

规范共享个人信息的利用规则和保护原则。利用共享信息应该遵守严格的使用规则，使用中遵守严格的保密条款义务和安全保障义务，使用后的保密期义务。运用智能技术共享信息中的数据便可获取详细的个人信息，隐私性的个人信息也存在被公开的潜在威胁。降低共享信息中的隐私泄露风险是促进信息共享的前提，也是遵守共享信息规则的关键。［15］共享信息虽是公开的，也要规范利用。《网络安全法》规定，“收集适用个人信息要遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。这一规定体现了对个人信息持有者尊重的同时也维护了社会发展对个人数据的需要。个人信息保护立法也可以参考此原则对个人信息进行保护。笔者认为，共享信息的利用必须遵循共享规则，不得滥用共享信息，一旦滥用，也需要承担侵权责任。共享数据不可过度保护也不可泛滥利用，欧盟（GDPR）对个人信息数据保护最典型的原则信息泄露告知原则，［16］信息使用者一旦发现个人信息被泄露，应履行告知义务，防止进一步的损害发生。这既是借鉴国外的先进立法经验，也是将网络安全保障义务适用于保护个人信息。

2.平衡个人信息利用和保护，遵守利用最小损害原则

明确公开性个人信息利用和隐私性个人信息保护之间的界限。人工智能时代的个人信息多体现在算法上，是一个集中利用个人信息的过程，如何利用是一个关键问题，因此，在对隐私性个人信息权进行保护的同时，公开性与隐私性个人信息之间界限需要标准进行综合衡量。个人信息关系的不仅仅是信息者本人的利益，也关涉着国家和社会的整体利益。信息者本人的数据信息有着人格性或财产性利益，人工智能时代，社会的进步需要对个人信息进行充分评估利用，发挥最大的用处。因此，如何平衡保护个人信息者权利和利用信息正当使用者的之间的关系，需要以法律进行规制。这也是高富平教授所提到的对个人信息保护需要从个人控制转向到社会控制。［17］从保护个人信息权的法律属性出发，建立平衡个人利益和社会整体利益并能适应大数据时代的个人信息保护制度。［18］个人信息权的立法，不仅是解决当前社会的发展需要，还应该适用于强人工智能时代和超强人工智能时代阶段，这就需要对个人信息有一个整体认识，才能在立法时满足顺应时代变迁的需要。

规范公开性个人信息的利用。个人信息权人要求对个人信息进行保密，这是维护自身权益的需要。个人信息者的个人信息对其自身而言是归个人所有，当其置身于社会这个大环境之下时，其个人信息不一定只属于其自身，需要由社会进行调整，为社会利用的手段，社会进步的工具。社会的发展不可避免需要对个人信息进行公开，信息公开是对信息保护的一大挑战，公开的程度有多大，信息公开后应如何对利用个人信息者的进行规范，这既是法律应该予以规制的方面，也是道德予以调整的层面。法律的归法律，道德的归道德。任何新事物的出现都不一定非要用法律予以规制，有时候该用道德进行调整的也应该让道德对其进行调整。法律并非万能的，法律是社会保障的最后一道屏障，并非唯一保障屏障。

以最小损害原则权衡个人信息保护中个人权益和社会法益之间冲突。个人自由权与社会法益之间的冲突，既要取决于应受保护法益被影响的程度，又要取决于当这种利益必须做出让步时，其受害程度。［19］保护个人信息权的同时也要考虑社会法益的重要性，个人信息来源于信息者本身，他们享有公开或者保密的权利。人工智能的时代，是利用数据和个人信息进行发展的时代，利用个人信息是不可避免的。只是需要做到在可以不利用的时候尽量不利用，必须利用的时，将个人信息利用的损害降到最低。这与杨立新老师倡导的对隐私权最小损害相似。在对个人信息的利用过程中，个人自由权和社会法益之间产生冲突，以对个人信息权益损害最小的方式为先。但是当个人信息的不公开会影响社会的发展时，个人信息权本身是法律所赋予的权利，这时所强调的个人信息权本身即不成立。面对不同的情况，需要对个人信息权做好权衡。

3.建立个人信息多元监管模式，明确高管的安全保障义务

习近平总书记在十九大报告中提到“中国特色社会主义进入新时代，我国社会主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾。”当前人们越来越重视对生活质量的要求，对精神生活的要求逐渐增强。与人民幸福感相关的个人信息保护，除立法外还需进一步完善。

个人信息多元监管模式。传统的监督管理模式是以人工监管为主，以传媒监管为辅。加强个人信息监管体系是保护个人信息的核心。［20］《网络安全法》中规定由国家网信部门负责网络的安全预警工作，人工智能时代的个人信息保护除了网络侵权更多的是智能技术层面，因此要明确具体职责。人工智能技术的成熟，其精准度和效率提高，在应对个人信息不合理利用的情况时，必须要打破传统的以人工监管为主的理念，将人工监管和智能监管相结合的监管模式放在首位，人工监督的模式无法满足人工智能技术对个人信息数据的需求。通过人工智能技术进行监管既能利用人工智能技术为我们服务，又能减轻人工的工作量，还能大大提升监管的质量和效率。多元的监管模式，利用新媒体和新技术的优势，可以弥补人工监管在监管过程中存在的不足。同时，自我监督也是一种监管体系中的一种。外部监督做的再好，都不如自我监督的效果强。自我监督的模式既能监督自己不侵犯他人个人信息权，又能增强自我的个人信息保护意识。

做好个人信息风险防控工作。个人信息风险防控工作需要做到将国家的个人信息立法保护和市场行业规范个人信息管理相结合。在个人信息保护法出台之前，应该做到加强对个人信息的监管，立法保护虽有不足，但应加强市场的行业规范作用。在立法颁布之后，增强法律对个人信息的保护作用。做到事前防范和事中、事后监督相结合，以此做到立法保护这一前提是完整的。考虑建立行业规范，道德规范指南是引导的关键，这就需要处理好关于法律、道德、社会和技术之间的关系。［21］加强行业规范指导，行业制定个人信息保护的规范，鼓励企业和组织制定严于个人信息保护法的企业或组织规范，加强自我监管。

给与用户自由选择信息提供权利，明确高管的安全保障义务。个人信息保护法立法中应明确个人信息的监管主体和监管职责，而不能模糊规定。企业收集个信息快速、便捷，APP中用户使用都强制输入个人信息，这是不妥当的，应给与用户自由选择是否填写个人信息的权利。在企业涉及信息泄露事件时，尚未尽到安全保障义务的高管和相关负责人应该与公司承担连带责任，以此最大程度保障个人信息的泄露，以免在出现信息泄露问题时，推诿责任。人工智能技术的发展，普通的监管部门无法起到妥善的事前防范和事后监管作用，明确负责监督管理部门的权利和义务是很有必要的。［22］个人信息的监管主体和监管部门的职责必须明确，以防出现权力交叉或者责任漏洞问题，增强立法规则的实际操作性。

四、结语

我国《民法总则》中尚未对个人信息权做出明确的规定，《网络安全法》和《个人信息安全规范》中明确了个人信息的定义和使用规则，但仍存在不足。《个人信息保护法》已列入五年立法计划之中，为更好保护公民的个人信息权利，以适应不断发展的人工智能时代的需要，特强调建立人工智能时代的个人信息保护制度。在制定个人信息立法保护的同时，也要加强行业的个人信息保护规范，两者结合才能更好的保护个人信息。希望借此为完善国家有关公民个人信息权保护的立法提供法律参考，加强公民个人信息权利的保护意识，对完善有关立法制度发挥积极意义。

注释：

①1956年，“人工智能”这一概念在Dartmouth学会上被提出。

②十三届全国人大常委会专题讲座第七讲人工智能的创新发展与社会影响。中国人大网：http：//www. npc. gov. cn/npc/xinwen/2018-10/29/content_2065419. htm.

③2015年5月20日，国务院印发《中国制造2025》，部署全面推进实施制造强国战略。根据规划，通过“三步走”实现制造强国的战略目标，其中第一步，即到2025年迈入制造强国行列。“智能制造”被定位为中国制造的主攻方向。

④中国人大网：http：//www. npc. gov. cn/npc/xinwen/dbgz/2019-03/19/content_2084088. htm，最后访问时间2019年6月27日.

⑤《中华人民共和国宪法》第四十条规定，公民的通信自由和通信秘密受法律保护。《中华人民共和国未成年人保护法》第三十九条规定对未成年人的个人隐私、信件、日记、电子邮件的保护。《中华人民共和国妇女权益保护法》第四十二条规定对妇女隐私和肖像等人格权的保护。《中华人民共和国身份证书法》第六条保护公民的个人信息的。《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第十八条规定不得未经他人允许擅自他人信息等。《互联网电子邮件管理办法》第九条规定对注册的电子邮件信息等内容的保护等。还有相关法律规定对个人信息的保护，尚未列举完全，与个人信息相关的内容都分散于法律中予以保护。

⑥《民法总则》第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

⑦2017年3月，《中华人民共和国个人信息保护法（草案）》在第十二届全国人民代表大会第五次会议上提交，但并未通过。

⑧个人信息分散规定在不同的法律条文中，《民法总则》第111条；《侵权责任法》“互联网专条”；《消费者权益保护法》第14条、29条；2017年6月实施的《网络安全法》第40、41、42条；《中华人民共和国电子商务法》第25、26条；《中华人民共和国刑法》第253条。

⑨《中华人民共和国消费者权益保护法》第二十九条第五款 经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。