大数据与人工智能时代的个人信息立法
——论新科技对信息隐私的挑战

丁晓东

(中国人民大学 法学院，北京 100872)

近年来，科技发展日新月异，对人们的生活产生了越来越大的影响。企业对于大数据的应用越来越多，人工智能技术在新闻、医疗、自动驾驶等领域广泛应用，物联网所畅想的万物互联的图景逐渐在普通百姓的生活中实现，而云技术也已经日趋成熟，为用户在云端存储数据与实现数据计算提供了许多便利。

对于个人信息保护立法而言，新科技的发展带来了新的变化与挑战。在大数据、人工智能、物联网、云计算等新技术背景下，企业与其他实体对于个人信息的收集与处理展现了不同于传统的若干特征。例如，企业对于个人信息的收集变得更为隐蔽，对个人信息的处理变得更不透明，而个人信息的流动也变得更为动态。面对这些新变化，传统的个人信息法律保护框架面临新的挑战与考验。

文章将以新科技革命为背景，分析大数据、人工智能、物联网、云技术等新科技对个人信息保护立法带来的挑战，以及探讨如何回应这些挑战。

一、个人信息立法的传统框架

全球的个人信息立法存在一定差异，如欧盟地区形成了以个人信息权利与统一规制为主导的保护模式，美国形成了以市场自我规制为主导的保护模式。但无论是欧盟、美国还是中国，个人信息法律保护法的基本框架都有类似之处，都采取了对信息主体进行赋权与对信息控制者与处理者施加责任的进路。

以欧盟2018年生效的《一般数据保护条例》为例，这一法律规定，在处理个人信息时，应当遵循以下六项原则：

1) 合法性、合理性和透明性：对涉及到数据主体的个人信息，应当以合法的、合理的和透明的方式进行处理。

2) 目的限制：个人信息的收集应当具有具体的、清晰的和正当的目的，对个人信息的处理不应当违反初始目的①。

3) 数据最小化：个人信息的处理应当是为了实现数据处理目的而适当的、相关的和必要的。

4) 准确性：个人信息应当是准确的，如有必要，必须及时更新；必须采取合理措施确保不准确的个人信息，即违反初始目的的个人信息，及时得到擦除或更正。

5) 限期储存：对于能够识别数据主体的个人信息，其储存时间不得超过实现其处理目的所必需的时间②。

6) 数据的完整性与保密性：处理过程中应确保个人信息的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失。

美国的个人信息立法采取了类似的框架。美国联邦贸易委员会(Federal Trade Commission,FTC)在其2000年报告中指出，当网站商业机构收集与处理个人信息时，应当遵守四项基本原则[1]：

1) 通知：网站需要向消费者提供关于其信息实践的清晰和明显的通知，包括收集什么信息、如何收集信息(直接或通过非显而易见的方式，如Cookie)、如何使用信息、如何向消费者提供选择、可访问性与安全，是否向其他实体披露收集的信息，以及其他实体是否正在通过网站收集信息。

2) 选择：网站除了在消费者提供信息以完成服务时(如完成一项交易)给出选择之外，还需要向消费者提供关于如何使用他们的个人识别信息的选择。这种选择将包括内部二次使用(如向消费者再次进行营销)和外部二次使用(如向其他实体公开数据)。

3) 可访问性：网站应向消费者提供对网站收集的关于他们的信息的合理访问，包括审查信息和纠正不准确或删除信息的合理机会。

4) 安全：网站需要采取合理步骤来保护所收集信息的安全性③。

根据《网络安全法》等法律、法规、标准及专家学者的意见，中国的个人信息法律保护也采取了类似欧盟与美国的框架[2]。如《网络安全法》第41条第1款确立了“告知—选择框架”④、第42条第2款确立了“目的限定原则”⑤、第43条确立了删除权与更正权⑥、第72条确立了数据控制者的安全保障义务⑦。中国的《个人信息保护法》正在紧锣密鼓地制定，其草案也采取了类似的框架。

综合美国、欧洲、中国的个人信息保护立法框架，可以发现它们采取了类似的框架，都建立在公平信息实践(Fair Information Practices,FIPs)的基础之上。这一基本框架对个人信息的收集、使用与储存作出了一些基本性的规定。一方面，个人对于其信息被收集和处理拥有知情权、选择权、访问权、更正权、删除权、携带权[3-4]；另一方面，信息的控制者与处理者负有一系列义务，如不得收集超出收集目的之外的信息、信息的处理不得超出信息主体的授权，以及必须保证信息安全与信息使用的可解释性。这些权利与义务，构成了当前全球通行的个人信息保护框架。

二、大数据与个人信息法律保护

所谓大数据，指的是“具有成本效益、具有创新性处理形式、用以增强洞察和决策的高容量(High-volume),快周转(High-velocity)、多种类(High-variety)信息集合”⑧。相比起传统实证研究与定量研究中的数据，大数据在数据体量上要大得多，其数据周转更新速度要快得多，在数据种类方面也要多得多。

对于大数据的特征，大数据的权威专家维克托·迈尔-舍恩伯格曾经将其归纳为三个特征：更多、更杂、更好。所谓更多，指的是大数据所依赖的数据不是随机样本数据，而是全体数据。所谓更杂，指的是大数据强调数据的混杂性，允许数据的不精确，因为大数据的简单算法常常比小数据的复杂算法更有效。而所谓更好，指的是大数据所要发现的是数据的相关关系，而非因果关系，通过大数据所发现的规律可能很难从因果关系上加以解释，但却可能是行之有效的[5]27-94。

(一)挑战

1.受保护的信息范围将急剧增加

就当前全球个人信息保护法而言，个人信息的范围常常被界定为“已识别”或“可识别”的个人信息。例如，中国《网络安全法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”⑨。初看上去，这一对个人信息范围的界定可能相对确定，与大数据并无关系。但实际情况是，大数据越发展，信息分析者就越可能通过某些信息而识别个人，某些之前无法单独识别个人身份的信息，在大数据时代都可能用于识别个人[6]。

典型的例子是搜索记录。2006年，美国在线(AOL)网站曾经公布了2 000万条经过匿名化处理的用户搜索查询记录，但研究人员通过把同一个人的所有搜索记录联系在一起分析后，很容易就找出了其中某个个体的姓名与身份。《纽约时报》甚至对此进行了实验，通过搜索记录的综合分析，《纽约时报》发现数据库中的4417749号就是佐治亚州利尔本地区一名62岁的寡妇塞尔玛·阿诺德(Thelma Arnold)，并且上门对其进行了专访[7]。这一例子表明，在大数据时代，个人信息法律保护的范围可能会急剧扩张，因为信息越多，就越可能通过相关信息而识别个人。

2.对个人信息的收集与利用提出了挑战

对于个人信息的收集，个人信息法律保护法普遍依赖于“通知—选择”(Notice-Choice)框架，即将隐私政策或个人信息法律保护政策告知个人，然后由个人决定是否允许个人信息被收集。同时，对个人信息的收集应当遵循“目的限制”原则，即要求企业或相关主体对个人信息的收集应当有“具体的、清晰的和正当的目的”，对个人信息的处理不应当违反初始目的①。此外，对个人信息的处理应当遵循“数据最小化”原则，即对个人信息的处理应当是为了实现信息处理目的而适当的、相关的和必要的。

但大数据的特征与这些要求存在一定的冲突。如前文所说，大数据强调数据的体量、混杂与相关性，对于大数据而言，其要求收集的数据体量较大，其对数据使用的价值恰巧来自于数据的二次使用，而且这种二次使用在收集之前常常难以预料。例如，谷歌对于个人搜索记录的收集，一开始谷歌并未预料到这些数据可以被用来预测流感，只是在大数据产业高速发展之后，谷歌才开始挖掘出这些数据的流感预测功能。在这种背景下，如果完全依赖“通知—选择”或“目的限制”原则与“数据最小化”原则，那么，企业的大数据收集与处理将面临很多不现实的障碍，企业对于数据的收集与利用将陷入极高的成本。

(二)应对

首先，为了应对大数据的挑战，个人信息法律保护应当对个人信息的概念或范围进行重新理解。如前文所说，如果“可识别”的个人信息范围不断扩大，那么，个人信息法律保护就不宜同等对待“已识别”和“可识别”的信息。相反，应当区别对待可直接识别的个人的信息与结合其他信息可以识别个人的信息。对于前者，可以对信息的控制者与处理者施加更为严格的责任；而对于后者，则应当根据此类信息的风险而施加不同的责任。例如，对于各类搜索记录信息或用户的消费行为信息，如果此类信息做了假名化或去标示化的处理，那么此类信息应当受到较轻的法律规制。对于此类信息，法律应当适当放宽企业对收集环节的规制，确保对此类信息的使用不会给个人带来风险[8]。

其次，个人信息法律保护不应过度依赖“通知—选择”框架，或者机械化地适用“目的限制”原则与“数据最小化”原则。无论是“通知—选择”框架，还是“目的限制”原则与“数据最小化”原则，都是比较形式主义的信息保护方式，它要求企业预知需要收集的信息与信息被处理的方式，并要求个人在某个时间节点对其做出理性选择[9]。但是，既然大数据时代信息的特征已经发生了变化，那么，再以此种方式对个人信息进行保护，就会妨碍大数据发挥自身的价值，大数据就无法给消费者或公民提供更好的服务。

作为“通知—选择”框架、“目的限制”原则与“数据最小化”原则的替代，个人信息法律保护应当强化信息控制者与处理者的信息治理责任，即要求信息控制者与处理者对信息使用进行伦理化与全流程的监管，以此保证大数据得到合理利用的同时保护个人信息。一个可行的方案是采取维克托·迈尔-舍恩伯格所提出的“大数据算法师”的方案。在监管机构内，可以设立“外部算法师”，对大数据行业进行行业监管；在企业内，可以设立“内部算法师”，对企业内部的大数据进行全程监管[5]228-230。当然，无论是设立“算法师”的构想，还是延续当前“数据保护局”与“隐私保护官”的名称，未来的个人信息法律保护都应当更少依赖形式主义的用户同意，更多要求信息收集者与使用者承担信息与数据治理的责任。

三、人工智能与个人信息法律保护

对于人工智能，有的计算机科学家将其定义为：“任何感知环境并采取最大化成功实现目标机会的行动的设备。”[10]还有的学者将人工智能定义为：“一个能够正确地解释外部数据，从这些数据中学习，并利用此类学习，通过灵活的适应来实现特定目标和任务的系统。”[11]归纳起来，可以将人工智能定义为，能够以人类智能相似方式作出反应的智能机器。

从人工智能的定义中可以发现人工智能和大数据的密切联系。的确，近年来人工智能的高速发展与大数据密不可分，正是大数据为人工智能提供了机器学习的养料。没有大数据的高速发展，人工智能就不可能在近年来取得如此巨大的进步。但相比起大数据，人工智能仍然有很多独特的问题，对个人信息法律保护提出了新挑战。

(一)挑战

人工智能对于个人信息的挑战首先来自于自动化决策。传统的编程与软件系统也会对数据进行分析，并据此作出决策。但与传统编程与软件系统不同的是，人工智能程序并不对数据进行线性分析，相反，它学习数据、调整决策算法，以便智能地回应新数据，作出新的决策[12]。从个人信息法律保护的角度来看，这就可能带来一个风险，即个人信息在人工智能中的分析与利用可能会给个人带来难以预料的后果。例如，在劳动就业的场景中，很多雇主运用人工智能算法来决定是否雇佣应聘者[13]；在网约车中，网约车公司运用人工智能算法来决定是否给某人派送车辆[13]；在金融领域，银行与借贷公司运用人工智能算法来决定个人的信用情形[14]。

与人工智能自动化决策问题相关的是人工智能的黑箱问题。在个人信息法律保护中，信息处理的透明性是重要要求，但由于人工智能的决策特点，人工智能系统对于信息的处理过程往往成为一个算法黑箱，很难为一般人所理解，甚至也很难为专业人士所理解[15]。有人可能会发现，其个人信息可能被用于分析其是否应当被雇佣，是否可以获得就近的网约车派单，是否可以获得一定额度的贷款，而却可能很难理解为何人工智能系统对其作出了某些决策[16]。

另一相关的问题是算法歧视与算法偏见。由于人工智能的训练建立在数据的基础之上，而数据又常常隐含了社会的偏见和歧视，这样，人工智能对于个人信息的处理就可能导致歧视性与偏见性的结果。例如，某些职场上的数据充满了对女性的偏见，当人工智能系统使用此类数据进行训练，就会对女性也同样产生偏见。可以设想，当某位女性应聘者求职而遇到这一系统时，就可能遭受不公正待遇。

(二)应对

对于人工智能所带来的个人信息法律保护难题，有的地区立法已经作出了部分回应。例如，欧盟《一般数据保护条例》第15条规定，当“存在自动化的决策”，数据主体有权知晓“在此类情形下，对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息”。第21条规定，当数据控制者或处理者“因为直接营销目的而处理个人信息，数据主体有权随时反对为了此类营销而处理相关个人信息，包括反对和此类直接营销相关的用户画像”。第22条规定，“数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。这些法律规定赋予了人工智能在处理数据时个人的知情权与反对权。

但基于知情权与反对权的个人信息法律保护框架并不足以应对人工智能的挑战。赋予个体以纸面上的知情权与反对权，并不一定能够帮助个体做出合理选择，维护自身权益。如同前文所述，人工智能的特性决定了其数据处理很难为一般人所理解，而个人也常常很难有效地行使反对权[17]。此外，有学者指出，追求数据处理中的算法公开与算法可解释性，还可能会侵犯知识产权，以及造成某些群体利用算法的问题。

总之，面对人工智能场景下的个人信息法律保护，法律应当避免过度依赖形式主义的算法公开性与可解释性，而应当更为注重数据的伦理化治理与综合性治理[18]。和上一部分的论述相似，监管机构与企业应当设立人工智能的伦理委员会，通过将伦理嵌入人工智能系统而促进个人信息的合理使用。至于算法的公开性与可解释性，则应当结合具体场景与具体对象而定。例如，在有的情形下进行算法公开，在有的情形下进行小范围公开，在有的情形下则甚至应当不追求公开。不应当将算法的公开性与可解释性作为一般原理而机械化的适用。

四、物联网与个人信息法律保护

顾名思义，物联网就是物物互联的网络。相比起传统的互联网，物联网将网络互联的终端从计算机、手机等电子设备变成了普通的物品。通过智能感知、识别技术与普适计算等通信感知技术，很多物品也实现了智能化识别、定位、跟踪、监控和管理的功能。

(一)挑战

物联网对个人信息法律保护提出的首要挑战在于信息收集。相比传统互联网与电子设备对于个人信息的收集，物联网对于个人信息的收集与传输常常会在用户没有意识到的情形下进行。例如，接入物联网的家用电器可能会收集和传输其所在的位置信息，个人佩戴的电子手环可能会收集和传输个人的健康信息，而此类信息收集可能都是在个人没有意识到的情形下进行的[19]。此外，物联网中的个人信息收集可能非常宽泛，此类个人信息可能不仅仅包括传统的网络相关信息与地理信息，而且可能包括家庭内部的温度和湿度、家庭的用电量和用水量，以及家用电器的使用频次等包罗万象的信息。

也许有人会认为，物联网所收集的信息很多属于物理信息，与个人的关联不大，甚至可以被划入非个人信息的范畴。但此类信息结合其他信息，就可能可以识别个人，甚至可能带来巨大的风险与伤害。例如，家庭内部的温度与家用电器的使用情况，就可能被用来预测某个家庭的成员人数、生活习惯甚至是作息规律。此类信息一旦被犯罪分子获取，犯罪分子就可能实施有针对性的犯罪，对家庭的财产与人身造成直接性的损害。

物联网对个人信息法律保护还提出了另一挑战，个人信息法律保护如果保护不当，可能引起直接的物理伤害。例如，在自动驾驶的场景中，如果黑客获取个人信息，并且通过此类个人信息而操控自动驾驶系统，那么个人就可能遭受交通事故的风险[19]。另一个例子是亚马逊的智能语音系统Alexa，据很多用户反应，搭载Alexa的设备会自动发出莫名其妙的怪笑声[20]。虽然这一产品漏洞并未直接产生物理伤害，但也说明了物联网可能会给用户带来风险。

(二)应对

针对物联网对个人信息保护的挑战，一些机构已经提出了对策。例如，美国联邦贸易委员会提出了创新性的“通知—选择”框架。美国联邦贸易委员会承认物联网向消费者进行告知的困难性，因为物联网中的设备常常没有人机交互界面，而且这些设备收集信息的场景非常多元。但美国联邦贸易委员会仍然指出，这些问题可以通过创新加以克服。例如，可以在物联网设备上开发视频教程，在设备上粘贴二维码，以及在设备销售点、设备的设置向导、设备的隐私仪表板中向消费者进行隐私政策的告知，并由消费者进行选择[21]。

至于物联网可能带来的信息风险，美国联邦贸易委员会指出，应当注重物联网设备中信息安全治理。首先，企业应当注重“通过设计的安全(Security by Design)”，即通过事先考虑而非事后救济的方式来预防风险。早在产品开发阶段，物联网产品的设计者就应当考虑信息收集与利用的各个场景，并通过产品设计来预防此类风险。其次，企业还应当随时进行信息安全风险评估，保证新的场景与风险可以被及时预防，以及在内部展开隐私培训与信息安全培训，保证企业员工对于物联网设备的信息安全有足够的意识和专业知识储备。最后，企业还应当采取多层级的安全保障机制，预防物联网设备可能造成的伤害。例如，可以鼓励企业采取额外的加密措施保证物联网设备不会为他人所盗用，以及保证某些敏感信息不会被滥用。

就美国联邦贸易委员会所提出的建议而言，可以发现其信息安全治理的建议要比消费者知情权与选择权更为合理。究其原因，物联网场景中缺乏的人机交互界面会放大“通知—选择”框架本身存在的问题[22]。在物联网场景中，个人更不可能有时间、精力和专业能力去阅读和理解隐私政策，因此，赋予消费者选择权的意义要更为有限。相比之下，从个体的隐私选择转向企业的信息安全治理，这可以为消费者提供更好的服务和安全保障，更能有效地回应物联网环境下的个人信息保护。

五、云技术与个人信息法律保护

云技术是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。在云存储技术中，个人不用依赖某台特定的计算机或服务器，可以将数据存储在提供云服务的数据中心中，并且可以随时随地下载和上传自己的信息和数据。同时，在云计算技术中，还可以提供数据处理与计算服务，为用户提供可用的、便捷的、按需的网络访问。在云技术的帮助下，用户只需投入很少的管理工作，或与服务供应商进行很少的交互，就可以进入可配置的计算资源共享池，如网络、服务器、存储、应用软件、服务等共享资源。

(一)挑战

云技术对于个人信息法律保护的首要挑战在于法律适用的范围。相比传统企业或实体，云技术场景下的信息收集可能是海量的，因为在云技术条件下，个人可能会将自己的文档、录音、视频都存储在云盘上。而就相关性而言，这些信息有的可能是可以直接识别个人的信息，如个人肖像或个人的身份证图片；有的信息则可能是和个人无直接相关性的信息，如风景照照片或一部电影。对于个人信息法律保护而言，挑战在于如何区分各类信息，以及应当对云盘上的信息采取何种保护措施[23]。或许有的意见会认为，对于个人肖像之类的信息应当按个人信息进行保护，对于风景照或电影之类的信息则应当视为非个人信息。但问题是，风景照或电影之类的信息都是存储在个人云盘上的，这些信息一旦泄露或结合其他信息，就可能识别出特定的个体。

云技术对个人信息法律保护的第二个挑战在于责任主体。在传统的个人信息法律保护体系中，企业等信息的收集者需要承担一系列责任。以欧盟《一般数据保护条例》为代表的个人信息法律保护法则又进一步区分了信息的控制者与处理者，对信息的控制者与处理者施加了不同的责任。但在云技术条件下，信息的收集与处理常常是同步进行的，一个文件的上传与处理常常既涉及到提供储存的企业，又涉及到提供信息支持的企业和信息被分包的企业[24]。

云技术对个人信息法律保护的第三个挑战在于管辖与跨境数据流通。如前所述，在云技术背景下，信息的收集者、控制者与处理者常常涉及到多个主体，而且这些主体又常常分布在全球不同的国家和地区，这就为个人信息法律保护的管辖与数据跨境流通带来了难题。以欧盟的《一般数据保护条例》为例，该条例规定，只要是“为欧盟内的数据主体提供商品或服务”，那么即使数据的控制者或处理者不在欧盟，欧盟也具有管辖权。欧盟的这一规定意味着，只要欧洲的用户可以使用某云技术，就会受到欧盟《一般数据保护条例》的管辖。这一管辖权规定无疑会造成各国各地区的管辖权竞合[25]。同时，云技术的这一特征也无疑会对存储在云端的数据的跨境流通提出挑战[26]。

(二)应对

首先，针对云技术中的个人信息范围问题，个人信息法律保护应当注重从个人信息法律保护转向信息综合治理。正如前文所说，云技术中的个人信息与非个人信息难以区分，而且即使是非个人信息，在很多情况下也对用户具有重要意义。在这个意义上，强行区分个人信息与非个人信息，并对二者采取不同层级的保护，并不现实。作为对传统个人信息法律保护框架的回应，云技术中的个人信息法律保护应当注重用户体验，并采取综合治理措施。因此，应当保证云存储与云技术中用户信息的基本安全，防止此类信息的泄露与丢失。特别是在云服务提供者在终止或关闭服务前，应当提前通知用户下载与保存信息，并且对文档类的信息进行备份和长期保存，以避免用户的某些重要信息丢失。

其次，对于主体责任，应当认识到，在云技术背景下，信息的责任主体已经不再是单一的，而且云计算中的信息外包服务非常普遍。如前文所述，云服务常常需要分布在多个地点的服务器来同时提供支持，而且信息的控制者与处理者常常没有区别。因此，个人信息保护法不应当根据信息的控制者或处理者的区分来分配责任[27]。相反，应当切实分析各个不同主体对于信息保护带来的可能风险，并且根据风险程度的不同而落实不同主体的责任。

最后，对于数据管辖与数据跨境流通问题，这一问题非常复杂，但总体而言，对于云技术背景下的数据管辖与跨境流通，应当进行更为符合其技术特征的监管。例如，当云端的数据在欧盟与欧盟以外的国家之间传输，而欧盟以外的国家又被欧盟认定为具有“充分性保护”的国家，此时此种传输是否需要特定的授权？在文章看来，此种云端数据的流通的授权要求显然是非理性的，不符合云技术发展的一般原理[28]。正如有学者指出：“在云时代，设想一个政府机构可以在每次国际信息传递之前发布一份正式的声明和一份实际的收据，这是不合时宜的。全球数据传输的频率、复杂性和数量都在急剧增加。”[27]

六、个人信息法律保护原理的再分析

科技之所以对个人信息法律保护提出如此多的挑战，根本原因在于传统的个人信息法律保护法采取了个体主义与静态的保护方式。这种保护方式已经越来越不适应新科技所带来的挑战，尤其是大数据、人工智能、物联网、云技术等新技术的挑战。

就个体主义而言，传统个人信息法律保护首先采取对个体进行赋权的进路，即赋予个人以信息访问权、选择权、更正权、删除权等权利，允许个体在信息收集阶段行使其选择权，并在后续阶段允许个体对信息进行访问、更正和删除。对于这样一种进路，应当说其在创设之初发挥了很大的作用。在合理信息实践刚刚提出的20世纪70年代，计算机技术刚刚起步，个人信息被收集、存储、使用与流转的方式往往较为固定或易于想象。因此，在当时赋予给公民一系列的信息权利，这促进了公民个体在面对信息收集者的谈判能力以及选择权。

但是，随着计算机与网络技术的发展，这种以个体主义为导向的保护框架逐渐暴露出问题。随着个人信息被收集、存储、使用与流转的方式变得更为多元和复杂，个体往往很难预见伴随信息的相关风险，即使被赋予充分的知情权和选择权，个体也常常难以做出合理的判断和选择[29]。一方面，个体的认知已经很难对隐私政策做出合理判断[30]；另一方面，即使个体高度理性，现代社会信息所带来的系统性风险也已经很难通过个体选择的方式加以应对[30]。

就个人信息收集与处理的原则而言，传统个人信息法律保护主要采取了静态化与形式化的保护进路。例如，要求个人信息收集不得超过初始目的的“目的限定”原则，个人信息处理不得超过服务目的的“数据最小化”原则，以及要求数据储存不得超过提供服务所需时间的“限期储存”原则，这些原则都在一定程度上假设，个人信息的利用价值都是静态和单一化的，即某一条个人信息对应于某一次服务，个人信息的合理使用就是用确保某次对个人信息的收集与利用不超过某次服务所需要的限度。在计算机技术刚刚起步的20世纪70～80年代，这一进路具有相当的合理性，因为当时对于信息的收集与利用主要限于个人身份资料类的信息，在当时的背景下，并不存在信息的大规模利用与流动。

但随着互联网技术的广泛利用，特别是大数据、人工智能、物联网与云技术等新技术的广泛运用，个人信息的利用早已呈现了和过去完全不一样的特征。在信息大规模利用与大范围流转的今天，如果僵化地使用“目的限定” “数据最小化”“限期储存”等原则，那么大数据、人工智能、物联网与云技术的发展肯定将受到限制，利用这些技术为消费者提供更好服务的机会肯定会受到影响。而且，更为悖论的是，如果机械性地适用某些原则，甚至连公民个体的信息权利也将受到不利的影响。例如，“限期储存”原则，这一原则的初衷是为了实现信息的“生命周期”式管理，防止企业等实体对个人信息保存时间过长。但正如前文所述，在云技术的场景下，简单地适用“限期储存”原则，在某些情形下永久性地删除用户的个人信息，反而可能会造成用户资料的损失。对于云技术而言，为用户提供一定期限内的可复原的信息备份，可能才符合个人信息法律保护的要求。

七、结语

大数据、人工智能、物联网、云技术等新科技从不同方面对个人信息法律保护提出了挑战。这些挑战有的针对信息的收集，如物联网等技术中很难采取传统的“通知—选择”框架；有的针对信息的使用，如人工智能中的信息使用很难完全实现透明化或算法的可解释性；有的针对信息的流转，如云技术中的数据跨境流通；还有的则针对信息收集与处理的基本原则，如要真正发挥大数据的作用……这就需要反思信息收集与使用中的“目的限定”原则、“数据最小化”原则与“限期储存”原则。

对个人信息法律保护的基本原理进行总结和反思，可以发现新科技之所以对个人信息法律保护提出挑战，其核心在于传统的个人信息法律保护采取了个体主义与静态化的保护框架。这种框架可能在网络与信息科技时代到来之前具有合理性，但在当今网络与信息科技高速发展的今天，信息的收集与利用已经呈现出复杂、多元和动态的特征，这种进路已经越来越不符合科技发展的特征。

在新科技蓬勃发展的今天，传统个人信息法律保护的框架仍然可以发挥重要作用，个体的知情权、选择权等信息权利依然非常关键，而对信息收集者与使用者的某些限制也依然必要。但新科技的发展也提示人们，个人信息法律保护不应当完全依赖和固守传统的信息保护思路。在大数据与人工智能时代已经到来的今天，中国的个人信息法律保护应当从侧重个体主义许可转向侧重风险控制，从侧重静态化的保护转向侧重动态化的保护[31]。惟有如此，未来的个人信息法律保护才能实现科技发展与个人信息法律保护的双赢。

注释：

① 《一般数据保护条例》第5条第1段(b)规定:“因为公共利益、科学或历史研究或统计目的而进一步处理数据，不视为违反初始目的。”

② 《一般数据保护条例》第5条第1段(e)规定:“超过此期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了本条例第89(1)条所规定的合理技术与组织措施。”

③ 美国联邦贸易委员会曾经在1998年将公平信息实践归纳为五项原则，除了2000年的四项原则之外，还包括了“执行—救济”的原则。参见：Federal Trade Commission.Privacy online:A report to Congress.http://www.ftc.gov/sites/default/files/documents/public_events/exploring-privacy-roundtable-series/priv-23a_0.pdf。

④ 《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”

⑤ 《网络安全法》第42条第2款规定：“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”

⑥ 《网络安全法》第43条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

⑦ 《网络安全法》第72条第2款规定：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

⑧ Gartner IT glossary big data.http://www.gartner.com/it-glossary/big-data。

⑨ 参见：《网络安全法》第76条第5款。

⑩ 参见：《一般数据保护条例》第5条第1段(c)。