杜明强
( 贵州大学 法学院,贵州 贵阳550025)
当前,各国立法并未对无人驾驶的概念作出统一界定,且多将自动驾驶和无人驾驶一体混用。在我国,有关规定将自动驾驶汽车定义为:在现行机动车上装配自动驾驶系统,无需驾驶员执行物理性驾驶操作就能够对车辆行驶任务进行指导与决策,并代替驾驶员操控行为完成安全行驶的车辆(1)2017 年《北京市关于加快推进自动驾驶车辆道路测试有关工作的指导意见( 试行) 》对“自动驾驶”的定义。。据此,所谓无人驾驶汽车,是指由智能系统执行所有核心驾驶功能,并监控整个行程路况,驱动程序仅提供目的地或导航输入,行程开始后的任何情况下无需人为介入。系统自行操作本身等同于人类驾驶,可在各种环境下承担所有驾驶任务。但需指出的是,无人驾驶汽车并非指车辆完全脱离人的管控,只是从物理操作上无需由人类亲自实施驾驶行为,人们可以通过点击按钮、输入语音等行为开启驾驶模式。实际上,目前各国的自动驾驶技术尚未达到无人驾驶的水平,不过完全自动化阶段离我们并不遥远[1]。因为不少发达国家和我国都力图在人工智能领域赢得全球科技竞争主动权,竞相研发高度自动驾驶技术,努力向无人驾驶目标迈进。
对无人驾驶汽车而言,数据和算法是其不可或缺的两大支撑。其中,数据是无人驾驶汽车运行的基础,算法是其智能系统的本质。要实现无人驾驶的高度智能状态,汽车必须靠海量数据支撑。详言之,其所涉数据可依使用目的不同分为交通类数据和生活类数据,个人隐私数据被涵括其中。其中,交通数据的收集、保存和处理对于无人驾驶汽车安全运行至关重要,因为其智能系统的技术原理主要还是依靠计算机系统进行高速运算,凭借方向定位和导航技术的支持,将车载传感器感知的信息与运营商数据库内的信息相结合,通过无数次信息上传下载,以控制车辆的转向、速度、刹车等,从而保障车辆能在可靠道路上安全行驶。可以说,交通类数据是无人驾驶汽车的“血液”,没有数据汽车便寸步难行。但与此同时,无人驾驶汽车也正在被视为移动数据采集处[2]。由于随时随地均在反复采集人们的各种数据信息,这些信息经过提取可能具备其他可资利用的价值,网络经营者、汽车生产者自然也就可能将获取的其中有用的个人隐私转化为商业化利用的数据信息,由此不仅会导致人们在人工智能时代因为“人人都是透明的”而出现种种不安与忧虑,还必然会因人工智能技术本身存在的不完整性以及网络黑客、网络经营者等人为地利用技术手段故意侵犯隐私的高概率行为,使得隐私数据泄露的风险陡增,个人隐私安全保护问题也因此成为无人驾驶汽车产业发展中所面临的最具挑战性难题之一。
作为人工智能的典例,无人驾驶汽车的价值功能显著而广泛,包括但不限于如下方面:一是减少交通事故发生。据统计,在美国每年引发交通事故的诸多因素中,人为原因的占比为93%,主要表现为酒驾、超速、疲劳驾驶、经验不足等情形[3]。而无人驾驶技术恰能克服人类的上述局限,不会因负面情绪引发交通事故,可降低事故发生率,提高人类安全指数。二是缓解交通拥堵。堵车已成今日之城市病,其原因不仅包括车辆数量的庞大和持续剧增,还在于人的驾驶技术限制以及对道路的利用不足。而一旦无人驾驶汽车投入使用,即使现有道路容量不变,因其更加安全、精准和强预测性,亦能大幅缩短车间距,提高道路利用率[4]。三是增加特定人群的行动自由。传统汽车驾驶行为较为复杂,对个人体能、视力和技术都有较高要求,且必须通过专门的学习考核才可获驾驶资格,而驾驶的安全性保证则需付出更多的练习时间。可见,人类驾驶的成本其实较高,而对部分特定人群而言( 如老人、残疾人、盲人等) 则根本无法独自去体验传统汽车带来的移动便利[5]。无人驾驶汽车则显然可助力这些特定人群实现驾驶梦,扩增其行动自由。
此外,无人驾驶汽车在减少空气污染、改善城市规划等方面也有所助益。但无人驾驶技术犹如一枚具有正反两面的硬币,亦是一把双刃剑,在为人类服务的同时,也附带了一系列安全风险,其中引发的隐私权问题尤其显著,大数据+算法的应用使得个人隐私权较为轻易地遭受到各种侵害,而我国现行法对拥有数据的各种机构或企业严格使用数据规制又明显不足,缺乏有效的监管手段,于是更加剧了无人驾驶领域的隐私权保护难度。如何实现保障个人隐私安全与企业收集利用他人数据之间的平衡对人工智能产业的发展显得愈发重要。概而言之,人工智能时代的隐私权困境主要集中体现为如何处理好数据利用( 侵犯) 与保护之间的关系。
因受传统隐私权理论的影响,人们普遍喜好从字面去理解隐私,认为隐私就应该是一种完全保密的状态,这在很大程度上是顾名思义的缘故,但其实并不符合隐私的本质。隐私及隐私权的概念并非一成不变,应将其置于所处的时代背景下作深入理解分析,故需先认识到隐私( privacy) 和隐私权( the right to privacy) 的概念有所不同。前者是后者所保护的客体。在以往研究中,有少数学者已经意识到隐私和隐私权的区别,如我国台湾地区学者詹文凯认为:隐私是私人领域内的事务,而隐私权则是对隐私的控制权[6]。对此,有学者进一步研究后指出区分隐私和隐私权具有重要意义,并从以下方面阐释了二者的区别:其一,隐私是一种客观社会事实,隐私权是一种主观价值判断。隐私是客观存在的事实,而隐私权则是经过法律的价值过滤,是值得法律保护的一种权利,是一种带有法律意义的价值判断。其二,并非所有的隐私都相应地享有隐私权的保护,只有隐私必须具备了法律值得保护的法益,才可能享受隐私权的保护。其三,“公开”因素对隐私和隐私权的影响有所不同。隐私作为一种客观社会事实,无论公开与否都不会改变其性质。对隐私权而言,公开与否影响的是权利人放弃权利与否。其四,隐私是绝对的,隐私权是相对的[7]。基于此,我们认为,有关隐私与隐私权的区分,对于探讨无人驾驶汽车的侵权问题具有先决意义,因为通过数据处理侵害隐私的行为不一定都要承担民事责任,但侵害隐私权的行为则应承担民事责任,故在立法设计上,有必要明确隐私权受保护的范围,以便为司法实践提供正确的规范指引。
就具体侵权形态而言,无人驾驶汽车在行驶过程中的数据记载行为首先表现为侵害使用人或乘客的个人隐私。就车辆行驶所记录的数据来看,所涉隐私数据的范畴有限,只有当这些数据信息对个人发展相关或者具有( 可能具有) 个人可识别性事务的特征,才可被认定为个人隐私。一般而言,可能会被侵害的个人隐私信息主要包括:一是乘客的姓名、肖像、声音、住址、通信信息。二是乘客在车内的个人活动,包括但不限于恋人之间的亲密行为、言谈举止、聊天记录,有时还会涉及工作事务,可能会被录音、录像。三是自然人不愿意公开的出行轨迹,如艾滋病患者出入医院的记录、未婚女性到产科医院就医的记录、男性出入一些敏感娱乐场所等。四是乘客的财产类信息,如交易记录、支付账号等。五是驾驶员或其他乘客的健康类数据。车内人员的健康类数据与交通数据一道被续记和保存,通过大数据分析,可以精准识别特定主体,甚至可知晓驾驶员健康状况的恶化趋势,这里的问题是汽车制造商对于收集的这些信息是否必须保存,能否形成保证人义务? 汽车智能系统将上述隐私数据自动传输到云端的正当性基础何在? 都是非常具有争议的法律问题。个人隐私作为一种客观社会事实,一旦这些隐私数据被智能系统记录且经过加工利用,生产者或互联网企业从中获取利益,就会构成对个人隐私的侵犯。因此,无人驾驶汽车生产商必须制定公正合理的“隐私方案”,说明其如何收集、存储、使用、分享以及消除汽车用户的个人信息,并对可能的隐私侵权风险提供何种安全保障措施。对于不愿意自己数据被共享的用户,生产商必须给出相应的处置方案。对于同意留存的用户信息,生产商应有力确保防止信息泄露。
隐私权的概念界定存在一定争议,我国有民法学教材将其定义为“自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的具体人格权”[8]。在美国,联邦最高法院以判例方式确认了隐私权,且将其作为一项宪法性权利进行保护。对此,有学者评论到:隐私权的保护范围过于广泛,不仅包括侵权法所保护的利益,也涉及《美国联邦宪法》所捍卫的利益,且还与公民自由紧密相关[9]。这就导致隐私权看似能囊括一切,实则一无所有。可见,隐私权这一概念本身实际上难以准确界定,且具有动态性与开放性。根据不同的标准,对隐私权可作出不同的分类,如以保护的客体为准,隐私权可分为信息性隐私权和自治性隐私权。前者保护的客体是信息隐私,后者保护的客体是自决的思想。在美国司法判例上,联邦最高法院在Whalen v.Roe 一案(2)See Whalen v.Roe,429 U.S.589( 1977) .中首次提出信息性隐私权( information privacy) 这一概念,并认为信息性隐私权在将来会被确认在隐私权利之内。学理上,有学者提出信息性隐私权通常是对自己信息的一种控制[10]。而自治性隐私权,则被认为是以个人自治为基础所作的某种基础性决定[11]。张民安教授指出,信息性隐私权是早期的隐私权归类,指个人所享有的私人生活空间免受他人进行物理性侵扰的权利。而自治性隐私权,指私人所享有的对其日常生活的选择免受政府规管的权利[12]。也有学者主要从司法实践的视角将隐私权类型化为私生活安宁、私生活秘密与个人一般信息[13]。本文认为,藉由信息性隐私权和自治性隐私权的学理区分,可对无人驾驶汽车侵害隐私权的行为作分类探讨。
1.侵害信息性隐私权。伴随“大数据、人工智能技术”的深入发展,自然人正在被不断透视,逐渐被变成“透明人”。诸如“大数据时代无隐私”的观点亦在不断冲击隐私权理论,似乎是给无人驾驶汽车生产者们收集和利用车辆用户隐私信息提供了“合理化”借口。他们凭借“知情—同意”原则,一旦用户开启自动驾驶按钮,车辆行驶过程中便可依靠智能技术完整记录和储存乘客的行车轨迹以及最终目的地等信息。再者,如果车内安装有视听监控装置,将会一并记下乘客的声音、相貌、交谈及通话内容等。车身外的视频也在不断记录所经行程周遭其他人的肖像等个人信息,且同时将这些信息一并传输到终端系统,这就导致如下问题:生产者单方面制定的隐私政策中所确立的“知情—同意”原则是否能成为其收集、储存、加工和利用个人隐私信息的正当性基础? 当人们一旦进入无人驾驶汽车这个特定空间内,是否意味着在此时空内一定程度上放弃了自己的信息性隐私权? 个人隐私权在价值位阶上是否低于企业财产权? 此外,车外置监控设备所收集的其他非乘车人的肖像等外部信息该如何处理? 又是否构成对他人公共场所隐私权之侵害? 因大数据由每辆无人驾驶汽车所记载的信息所构成,如遇黑客入侵,或者网络工作者恶意侵犯乘客个人隐私,或是网络系统崩溃导致隐私信息被泄露,都将侵害乘客个人的信息性隐私权,甚至还可能引发不可预知的下游犯罪、社会分选或歧视、监控不安等新型损害。
无人驾驶技术附带的个人隐私权安全风险确实不容小觑。据有关无人驾驶汽车安全问题的调查所示,55%的受访者( 风险分析师) 认为,网络数据安全风险是无人驾驶汽车所面临的首要挑战,远高于技术安全本身( 仅为6%)(3)《在保险人眼中,网络安全是无人驾驶汽车最大的风险》,电子产品世界,http: //www.eepw.com.cn/article/201607/294721.htm.2019-12-14.。这表明,由于无人驾驶汽车对互联网的高度信赖,网络安全则是无人驾驶汽车得以安全运行的前提条件,也构成对社会公共安全的巨大考验。此外,数据安全保护也会影响无人驾驶产业发展,如果不能确保车辆使用者或乘坐人的隐私安全,公众对整个无人驾驶产业的信任度将大幅降低,此类汽车的市场前景也会因此受阻。因为基于一个理性人立场,没有谁愿意以放弃隐私权为代价去获取出行便利,尤其在大数据时代,隐私信息安全同个人财产安全甚至人身安全均密切相关,这也因此要求无人驾驶汽车的生产者、网络经营者、销售者等相关主体必须通过合力保障用户的隐私信息安全,方能更为有效地促进无人驾驶汽车技术的迅速发展。
依据上文分析,信息性隐私是自然人具有或可能具有个人识别性信息的一种控制能力。无人驾驶汽车所收集的隐私信息要纳入隐私权的保护范围,还需具备受保护的法益。依据人格权之基本法理,信息性隐私权所保护的法益就是人格尊严,具体而言是指特定空间中私人的受关注度。由此,所谓信息性隐私权,可定义成为避免受到不当关注,自然人所享有的对具有或可能具有个人识别性的信息的获取、披露或使用予以控制之权利[14]。在这里,对信息的范围作“可识别性”的界定,是为了克服传统立法对隐私权范围列举不全的弊端。而控制的含义,应当解释为包括收集、储存、利用和传播。在大数据时代,我们大多数人的个人信息往往不是处于被保密状态,而是被分散在不同的电脑文档中,并在通过各种途径扩散,因此在大数据、云计算等技术之下,隐私权主要关注的问题已经逐渐由如何保密向如何利用和传播转变[15]。所以,“秘密即是隐私,公开则无隐私”的观念已然不合时宜,会极大限制隐私权的保护和发展。据此,无人驾驶汽车通过智能系统对车内乘客数据信息进行一并收集、传输的行为,以及此类信息被反复下载、汇总分析、循环利用的行为,均有可能构成对隐私权的侵害。
由上可知,无人驾驶汽车运行中引发的信息性隐私权侵权风险涉及处理者与信息利用提供者( 个人) 隐私之间的利益平衡关系。从法理上讲,无论是涉及普通个人数据,还是隐私数据,车辆行驶中所收集的数据主权原则上属于车内人员。对此,有观点认为,从结果控制出发,应当赋予数据主体( 车内人员) 相应的数据权利,包括对隐私数据分析行为的同意权、分析情况的知情权以及分析结果的删除权[16]。我国《民法典》虽有关于个人隐私权的保护性规定,但仍无法精确涵盖个人的行车轨迹等数据信息,且对智能系统所记载数据的丢失、盗取等行为的规制亦有缺漏,遂给隐私权的保护造成不利。如何保护此类信息性隐私权,使其不被非法利用、泄露,并明确其相关主体的法律责任是该领域的重要议题[17]。这亦给隐私权的侵权法保护提出了新挑战。
2.侵害自治性隐私权。在美国,受宪法所保护的自治性隐私权具体包括婚姻自主权、生育自主权、子女监护权和教育权、保持家庭和睦的权利、购买及使用避孕用具的权利、私下自愿进行同性恋行为的权利、拒绝药物治疗的权利等[18]。故自治性隐私权才被界定为私人所享有的对其日常生活之选择免受政府规管的权利,其实质在于个人的生活方式属于私权自治的内容,如无正当理由,政府不能对个人自决权作出限制。简言之,自治性隐私权的价值基础是自由。毕竟要求自由乃是人类根深蒂固的一种欲望[19]。在私法层面,自治性隐私权所保护的法益就是个人事务的决策自由,是一种不受政府、他人非法干涉的私权自治。其范围与信息性隐私权存在部分重叠,受保护的前提是私主体享有隐私利益,或者说存在一种合理的“隐私区域”。但这种“隐私区域”的范围具体有多大,还需要靠法律来作界定。对此,有学者指出,“隐私”本身也是对私人领域的划分,隐私领域在本质上就是一种受法律保护的自由。只有当个人的隐私得到了普遍的保护,自由才能实现。隐私权亦是个人独立作出生活决定和其他行为的基础。故保护隐私亦是实现私人自治的前提[20]。可以说,自治性隐私权本身也是实现私权自治的重要体现。
笔者认为,私法中强调个人对己身事务的自我选择和自我决定,其原初目的之一在于对抗不断扩张的政府公权力。而在大数据、人工智能时代,强调自治性隐私权之目的还在于对抗不断扩张的平台私权力。在无人驾驶领域,汽车的使用者与网络经营者、制造商或政府监管部门之间在收集、使用个人隐私数据时信息极为不对称,后者掌握更多的信息与谈判力量,可在无人驾驶汽车运营过程中凭借其单方面制定的“隐私协议或声明”就能轻而易举地获取个人隐私信息,而且这些主体相对于个人( 汽车消费者或使用者) 而言,先天就处于优势地位,而权利人却可能所知有限[21]。当个人隐私在他们设计的系统中被储存、加工、利用时,多数人对此类行为全然不知,即使是知情者,因为在形式上遵守了这些强势主体所制定的“格式条款”,“要么同意—要么离开”的规则迫使个人不得不放弃部分隐私权的利益。实际上,所谓的“知情同意”原则最多是个摆设,因为用户基本都是被迫同意,不同意则无法享受服务[22]。相较于普通的隐私权侵权,政府部门、汽车生产商以及网络经营者拥有对汽车智能系统的强管控力和支配力,他们利用网络及智能系统对车辆使用者隐私权的侵犯具有较强的技术性、隐蔽性,受害者更难确定和追究其侵权责任。由此可见,在无人驾驶汽车领域,无论是现行“知情同意”原则的运用,还是其他隐私政策的方案或承诺,都存在对自治性隐私权侵犯之嫌疑。也就是说,在自治性隐私权视角下,隐私信息的支配权应当属于车辆使用人,使用人有权决定是否允许他人收集和利用自身隐私信息,知晓其具体用途,并要求使用者确保其足够的安全性。但无人驾驶汽车智能系统的数据采集和处理技术会极大削弱个人对其隐私信息的支配力和保护力,自治性隐私权的保护在人工智能和算法技术面前危机四伏,我们的一切行踪被无人驾驶机车记录,一切信息被网络所监管。诚如有学者所言: “社会个体不知自己有多少信息已被记录,这些信息将会传到何处,也不知为何人所用,为何而用,更无从知晓此类信息被泄露后将滋生何种后果?”[23]事实上,就目前实践来看,滴滴或各种导航软件都在不断记录着个人出行轨迹,甚至在一定程度上能预测或决定我们去哪儿。可以预测,现行私法对自治性隐私权的保护规则在未来无人驾驶汽车的智能系统中将难以奏效。
总体来看,无人驾驶汽车所带来的隐私权侵权风险是一种人为的技术风险,这种风险由于起初默认“社会的可接受性”,会在某种程度上增加人类行为的不确定性,该风险也将突破国界的地域性限制而向全球扩散。在此背景下,人工智能的强自主性愈发明显,人类对其产生的高度依赖性最终可能会演化为失控性[24]。如此一来,隐私权的概念界定及其法律保护均面临系列危机。2010 年Facebook 创始人Mark Zuckerberg 提出“隐私不再是一项社会标准”之观点(4)Emma Barnett,Facebook’s Mark Zuckerberg Says“Privacy Is No Longer a‘Social Norm’”,THE TELEGRAPH(Jan.11,2010),http: //www.telegraph.co.uk/technology/facebook/6966628/Facebooks-MarkZuckerberg-says-privacy-is-no-longer-a-social-norm.html,2020-03-11.。2013 年谷歌首席工程师Vint Cerf 曾指出,隐私也许是一个反常的概念,可能历史上的一些东西可以帮助我们适应一个即将到来的透明社会(5)Gregory Ferenstein,Google’s Cerf Says“Privacy May Be An Anomaly”.Historically,He’s Right,TECH CRUNCH( Nov.20,2013) ,http: //www.tuicool.com/articles/AVNvm2Y,2020-03-11.。迈阿密大学Froomkin 教授更是发出“隐私已死”的质疑[25]。这些观点让我们为隐私权的命运深感担忧,大数据、人工智能技术的普及和运用使得隐私权的传统私法保护机制正在逐步失效。从信息性隐私权和自治性隐私权的原理出发,目前各国法都倾向于认可个人对其隐私信息享有控制权和自决权,公众也想将隐私信息拥有权握在自己的手中。但因此类数据信息具有虚拟性、广泛性和可复制性等特点,个人几乎无法采取如控制土地、企业的方式来管控数据信息。相反,个人隐私权的命运实际上只能由互联网巨头企业、政府来决定。而政府和企业往往容易实现强强联合,以利用个人数据信息达至各取所需之目的,这就使得现行隐私权保护理论和制度在大数据、人工智能技术面前显得捉襟见肘,其局限性愈发显著,具体表现为:
一是现行法律中所采用的隐私控制理论功能衰微。今天,随着互联网+大数据技术的深度发展,一个以“万物互联,人人在线,事事算法”为特征的人工智能时代即将来临[26]。故在人工智能面前,无论是知情同意原则,还是匿名化或模糊化处理的隐私保护模式都将面临困境[27]。作为“隐私例外”法律基础的“匿名化”处理规则,将因为撞库和大数据等再识别技术的应用而难以奏效。以美国在线隐私再识别案为例,行为人通过撞库技术使用户代码与“如何杀死你的妻子”“死者照片”及“撞车照片”等联系起来[28]。可见,这种再识别技术实则突破了匿名化技术的限制。虽然现行法试图将控制理论作为隐私权保护的核心,以此凸显自然人的权利主体地位,但该理论的缺陷也显而易见,其适用价值仅限于隐私信息的采集和初用阶段,对于后续隐私信息的再挖掘和复次利用,自然人的控制力便难以实现。因此,隐私控制理论的实践价值在人工智能时代将被持续弱化。由此,人工智能时代的隐私保护规则强调的重点不应是信息收集之时的知情同意规则,而应重点规制处理者后续可能的侵权行为及责任承担问题。因为“同意”多会被视为个人授权和允许企业再度利用其隐私数据的合理性基础,但同意之后个人基本无力控制其隐私数据,更无法享有这些数据所带来的财产权益。
二是人工智能技术控制隐私的能力增强,使人类活动无处不在监控中。无人驾驶汽车智能系统利用传感器和处理器,极大地增加对使用者隐私的监控能力。其在不断收集个人数据的同时,借助图像识别技术,车身内外的数字摄像头就像安装了大脑的眼睛一样,可以精准地从人群中自动识别人脸,锁定监控对象,甚至预测和判断人的行为[29]。如此一来,汽车作为使用者私密空间的“人设”已被彻底打破,我们的个人隐私数据时刻在被不断侵蚀。尽管人工智能的强预判力确有可能让人类社会变得更安全和高效,但是“未来一切被预测”正在渐次蚕食人们自主决策和判断的能力。质言之,人工智能在服务于人类的同时,亦在不断要求我们放弃或让渡个人信息,放弃人类固有的基本权利,人类面临逐渐丧失自我的风险。
三是自动化决策尚未明确信息处理的边界,隐私信息与一般个人信息被一体化采集。在无人驾驶领域,算法的自动化决策使得隐私信息采集呈常态化。如谷歌公司曾经宣称其自主生产的无人驾驶汽车采集了高达10 亿的仿真数据和350 万英里的路测数据。这些数据中必然包括隐私信息和个人信息。换言之,这种通过算法的自动化决策所作出的信息采集行为,并不会自动识别和区分隐私和个人信息,进而会导致隐私与个人信息被一体化处理。这里引发的问题是:无人驾驶汽车的运行需要人们最大限度让渡个人信息,人们提供的信息越全面,汽车的智能化水平会越高,也更能为人类提供个性化服务,但与此同时也会加重个人被透明化的风险。隐私和个人信息的有效保护与合理利用之间的冲突难以协调。而依照我国《民法典》和《个人信息保护法》( 草案) 的相关规定,隐私权作为一项法定人格权,其受法律的保护程度要强于普通的个人信息。自然人对其隐私利益具有完全自主的支配性,以排除任何组织和个人的侵害、妨碍。故法律并未规定对“隐私权”的合理使用规则。而对于个人信息,其受保护的程度则不如隐私权那样严格,需要考虑信息利用与信息自由之间的平衡,考虑公共利益的限制等因素。但就无人驾驶汽车运行过程中的信息处理来看,实际上所采取的是“一揽子”同意的方式,打包收集和处理个人的一般信息和敏感信息,包括姓名、住址、电话号码、行踪信息、健康信息、生物识别信息等多种类型。其中,诸如车内人员生物识别信息、健康信息、亲密行为等应当属于敏感个人信息( 甚至是隐私信息) 的范畴,而且与无人驾驶汽车运行并非必然相关,但亦会被智能录音、录像系统自动作一体化处理。这种一并采集车内人员健康信息等隐私信息的行为,显然超出了“自动驾驶”所必须的信息处理界限,亦违背了法律关于隐私信息与一般个人信息区分保护的规则,自然亦会增加隐私及个人信息被侵害的风险。
四是隐私权受侵害后的司法救济乏力。一般而言,无人驾驶汽车智能系统对个人隐私数据的收集和利用是循环反复的过程,其对个人隐私权的侵权更多体现在“量”上而非“质”上,智能系统后台将成为大量隐私信息的载体。这种通过大数据技术的特殊侵权行为给司法实践造成的困境是: 第一,集体行动难题导致司法程序启动难度剧增。因为每个普通人基本都是善于功利计算的“理性人”,在面临集体损害的情况下,“观望”“搭便车”的心态使得权利救济变得艰难。这同时也会反向助长侵权人的侵权行为。第二,举证难度系数大。根据现行举证规则,“谁主张、谁举证”几乎无法实现。个人想在人工智能技术面前收集证据基本无能为力,因为网络侵权的隐秘性、高度技术性是个人无法掌控的,个人隐私数据悄无声息地被侵害后,我们还必须请求侵权人提供相关的侵权证据,也即要求侵权人提供对己方不利的证据,这在实践中其实行不通。第三,受害人难以确定其实际损失。在理论上,遭受隐私侵权会“损害人们精神上的安宁与舒适,且有可能造成比单纯肉体伤害更加尖锐的痛苦”[30]。但如何计算这种损失,可否对侵权人适用“惩罚性赔偿”规则尚存争议。此外,这种大数据侵权行为该如何计算每一个个体所受损害也存在难题。综上,隐私权受侵害后的司法救济困难重重。
以上困境和局限性提醒我们,人工智能技术给隐私权带来的风险能否被有效治理,能否通过立法来促进智能技术发展和保护个人隐私相平衡,已成我国法律所亟待解决的难题。隐私和隐私权塑造了我们称为“自我”的标识,是人格尊严和人身自由的基本元素,作为自我界定和个人发展的一项基本要件。因此,面对现实中隐私权保护的种种不足,国家不能再保持纯粹中立的立场,且有义务规范自己和监督企业对个人数据的处理行为,以有效保护如此重要的信息自决权。此外,企业与行业组织更不能袖手旁观,亟需合力共同保障个人隐私安全。可供参考的隐私权保护进路如下。
1.现行民法关于隐私权的规制及其瑕疵。我国属于典型的成文法国家,某一权利能够为法律所认可,以至被称为“××权”,最为直接的路径系以立法的形式设立[31]。隐私权的演进历程充分体现了这一点,我国最早通过类推保护隐私的方法,在《民法通则》尚未规定隐私及隐私权概念之背景下,最高人民法院制定的《民通意见》第一百四十条就规定:“以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”这表明,当个人隐私受到侵害时,可以提起名誉权侵权之诉予以救济。司法机关通过这种类推方法的适用来克服《民法通则》立法的局限性。此外,最高人民法院还通过创设转介条款来解决隐私保护问题,其在2001 年制定的《精神损害赔偿司法解释》第一条中确立了侵害他人隐私可参照其他人格利益受侵害时主张精神损害赔偿的规则。而关于隐私权的正式立法确认则是由《侵权责任法》来完成的,该法在第二条第二款明确了隐私权属于民事主体的一项独立的民事权益。直至2017 年,隐私权才在《民法总则》中被明文规定为一项完整的民事权利。可见,隐私权在我国的法定化之路用了近30 年时间,严格意义上讲,隐私权在《民法总则》中才真正取得了权利的名分。
需注意的是,《民法总则》第一百一十条关于隐私权的概括性规定,尚不足以应对大数据、人工智能技术对隐私权的挑战。对此,最新通过的《中华人民共和国民法典》( 简称《民法典》) 第一千零三十二条、一千零三十三条分别对自然人享有隐私权、隐私的含义以及侵害隐私的方式作出了具体规定。第一千零三十二条再度强调“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”。第一千零三十三条具体列举了不得侵害隐私权的行为清单,从具体规定来看,立法更加注重隐私的私密性特征,将私密性的私人空间、私人活动和私人信息等归属于隐私的范畴。同时,个人身体私密部位、生活安宁亦属于隐私权的保护范围。《民法典》关于隐私权的规定,相较于以往民事立法或司法解释而言有明显的进步意义,也反映出我国立法者一直为建构一套完整的隐私权保护规则而作出的努力。但遗憾的是,《民法典·人格权编》并未正面列举隐私权的保护范围,对于公共场所的隐私、共同隐私、医疗健康隐私等也未作出回应。侵权责任编也没有专门设置隐私权的侵权救济规则,加之隐私权的其他配套法律保护机制的不完备,在应对大数据、人工智能技术所带来的隐私风险时仍凸显乏力。
2.隐私权保护之立法优化进路。针对无人驾驶汽车引发的隐私权挑战,笔者认为,在民事立法层面,至少应该尽可能为隐私权保护确立好基础规则。面对现行立法存在的瑕疵,可以从如下方面予以改进。首先,完善《民法典》中关于隐私权制度的立法解释。既然我国立法者有意在民法典中设置人格权编,那就应该尽可能详尽地规定每一项具体人格权。就隐私权而言,面对民法典的规定可能出现的适用障碍,建议在条件成熟的时候通过立法解释的方式予以补充完善。具体可将第一千零三十二条修订为:“自然人享有隐私权。任何组织或者个人不得以刺探、收集、侵扰、泄露、公开或者使用他人的隐私。本法所称的隐私,是指个人具有私密性的私人空间、私人活动、私人生活和私人信息等”。因为在人工智能时代,侵害隐私的方式除了“刺探、侵扰、泄露、公开”外,更多是收集和利用,此两种行为最为典型,有必要予以明确规定。而立法在定义隐私时忽略了私人生活,更不能完全体现隐私的内涵,应当在后续修法或立法解释中予以补增。其次,需要新增“公共场所的隐私、共同隐私、医疗健康隐私”的保护条款,以充实现有的隐私权权利体系。在大数据和人工智能时代,隐私权的保护范围应当及时更新,网络侵害隐私权、无人驾驶汽车等人工智能产品的隐私权侵权不限于特定的私人场所,个人在公共场所也有合理的隐私期待,应当予以保护。同时,医疗健康隐私受侵害的可能性较高,具有受保护的必要性和可行性。最后,需要调整隐私权侵权责任归责原则。隐私及隐私权一旦被侵犯,无法恢复原状,加上智能网络侵权具有隐蔽性、强技术性,难以举证,此类侵权宜采取过错推定原则,以便更好保护个人隐私。同时,侵权法还需进一步强化隐私信息控制者、侵权人的法律责任。故在民法典体系下,通过在人格权编创设完备的隐私权制度体系,在侵权责任编设置侵权损害的救济规则,以从私法基本法的视角为隐私权搭建完整有效的权利实现机制,让个人真正能够享受立法实惠,通过隐私权保护实现自我价值。
在人工智能时代,具备深度学习和决策功能的智能算法正在脱离人的控制而发展成为一种新兴的技术权力,通过对海量数据的分析处理来影响和规范人的行为[32]。但算法偏见、算法歧视往往会导致算法偏离正义,对人类科技和隐私信息安全均造成严重威胁。从人工智能安全的内部视角出发,对人工智能进行规制的核心在于对其算法设计的规制[33]。无人驾驶汽车的算法还关系到公共交通与公民的人身安全,更需要进行严格的规范。对此,笔者认为具体可采取如下规制路径。
一是通过立法实现对规范算法技术的规范控制。要实现对算法权力的有效规制,则需要以法律形式明晰算法在设计、部署和应用的整个生命周期中所应遵守的技术规范,以算法行为的合规性实现算法可信[34]。例如,可将算法的技术性规范、伦理要求等均上升为法律规范,以法律的强制力来限制“算法权力”的任性,以确保算法的透明度、公正性。比较法上,欧盟立法率先对数据控制者自动处理个人数据信息的行为作出明确要求,其在《通用数据保护条例》序言中明确规定:“数据控制者对数据的自动处理应当符合适当的保障措施。这些措施包括:向数据主体提供特定信息,并且有权要求人为干预,表达自己的观点,获得对经评估所获决定的解释,并有权挑战自动决策程序做出的决定。”可见,欧盟立法实际上在致力于明确数据控制者的算法透明义务,以化解人们的“算法黑箱”隐忧。
二是明确算法自主决策的应用范围和限制条件。具体而言,首先需要限制算法决策的适用领域,即立法有必要明确算法应用的边界。例如,《欧盟通用数据保护条例》第22 条( 1) 规定,如果算法决策对数据主体有法律效力或者重大影响,那么这种决策不应纯粹由算法作出。我国《个人信息保护法》( 草案) 第二十五条也规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”此外,还需要明确限制算法自动化处理个人信息的范围。过度收集和处理个人信息,会徒增个人信息被滥用的风险,故需要明确信息自动化处理的边界。在无人驾驶领域,与车辆运营无关的隐私信息( 如车内人员的健康信息、私密谈话等) 不应当被一并采集。这就要求算法设计者在进行初始设计时就应当严格按照法律的规定进行技术设置,使其在进行信息处理时自动过滤掉与运行无关的个人信息。对此,《个人信息保护法》( 草案) 第六条也明确要求信息处理者“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。”
三是规范算法的问责机制。算法的问责包括如下两方面内涵:其一是指算法使用者或者控制者有义务报告并证明算法系统设计和决策应用的合理性,并有义务减轻算法可能带来的任何负面影响或者潜在危害,这是从外部监管的逻辑进行算法治理;其二是指算法相关主体就其不当行为以及算法执行中产生的损害承担相应的法律责任[35],此为以责任分配的逻辑进行算法治理。从比较法层面看,美国部分州已开启了算法问责的立法进程。例如,纽约早在2017 年12 月18 日就通过了美国立法史上首部针对公用事业领域的算法问责法案(6)The New York City Council,“Algorithmic Accountability Bill”,https: //legistar. council. nyc. gov/LegislationDetail. aspx? ID =3137815&GUID=437A6A6D-62E1-47E2-9C42-461253F9C6D0,2021-05-22.。该法基本建立了算法问责的核心治理框架,明确将自动化决策、算法辅助决策以及支持决策的情形纳入规制对象,并规定算法问责制的适用主体为使用自动化决策系统的行政机构以及慈善组织,实施主体自动化决策工作组。2019 年4 月,在美国国会议员所提出的“算法问责法案”中,拟对每年收入超过5000 万美元、持有100 万人或者设备信息的公司或者主要作为买卖消费者数据的数据经纪人公司实行审查。该法案希望通过联邦贸易委员会制定评估“高度敏感性”自动化决策的规则,以评估该系统是否存在偏见或者歧视,以及是否对消费者隐私或者安全存在风险(7)Adi Robertson,“A New Bill Would Force Companies to Check Their Algorithms for Bias”,https: //www.theverge.com/2019/4/10/18304960/congress-algorithmic-accountability-act-wyden-clarke-booker-bill-introduced-house-senate,2021-05-22.。可见,前述两个问责法案虽然规制对象有所不同,但均主张建立算法问责机制,寻求通过外部监管的形式来进行算法治理,以限制算法权力的扩张或异化。而从我国《个人信息保护法》( 草案) 的相关规定来看,其在第五章规定了“个人信息处理者义务”,仅涉及个人信息处理者的安全保障义务( 第五十一条) 、风险评估义务( 第五十五条) 、及时通知义务( 第五十六条) 以及对个人信息处理活动的监督义务( 第五十七条) 。在第七章的“法律责任”中,主要规定的是行政责任( 第六十五条) 以及民事赔偿责任( 第六十八条) 。但并未对“算法的问责”机制问题作出明确回应,第二十五条虽然对利用个人信息进行自动化决策的问题作了原则性规定,但并未对如何“保证决策的透明度和结果公平合理”的问题作进一步细化。从有效规制“算法权力”的视角来看,我国未来的立法也应建立算法的问责机制,以从源头上解决算法正义问题。
在技术面前,法律永远具有滞后性。以往的侵权法立法较多注重损害赔偿,较少关注如何预防损害。在我国,网络时代的隐私权保护正在经历着“先损害—后补救”之过程。面对大数据、人工智能技术给隐私权保护带来的风险挑战,包括立法者、司法机关、隐私专家、政府和互联网企业在内的社会各界普遍意识到仅仅依靠单一的法律手段来对隐私进行保护难以达到理想效果,技术难题还需要强有力的技术手段来攻克。因此,寻求隐私权的技术保护路径,注重法律与技术的融贯成为隐私权保护的又一重要策略。因我国隐私保护的技术措施还处于初级阶段,故可借鉴域外先进经验为我所用。具体而言,可从目前国际上认可的隐私设计理论入手解决人工智能时代的隐私权保护。在比较法上,隐私设计理论主要体现在如下方面。
一是强化从设计着手隐私理念( Privacy by Design,简称PbD) 。该理念认为:只有从一开始就依照隐私保护的需求设计和开发数据处理产品、程序和技术,才能使数据保护更加容易实施。在PbD 理念下,隐私权保护成为了数据开发和人工智能产品设计的关键问题,而非附属问题。有鉴于此,2010 年第32 届数据保护和隐私专员国际大会一致通过了《隐私设计解决方案》,明确将隐私设计理论作为未来隐私保护至关重要的部分。当前,隐私设计理论已被美国、欧盟立法以及谷歌等互联网巨头企业所接受[36]。国外有学者提出了隐私设计需遵循的七项基本原则: 一是积极预防,而非被动补救; 二是将隐私保护作为默认需求;三是将隐私嵌入智能系统的设计中;四是完整功能——正和而非零和;五是整个生命周期的安全保护机制;六是可见性和透明性;七是尊重用户隐私,确保以用户为中心[37]。此外,依照《人工智能伦理与数据保护宣言》之规定,任何人工智能系统的创建、开发和使用都必须尊重人权,保护个人数据和隐私权以及人格尊严不受侵犯的权利,并确立了公平、责任、透明度、伦理设计、公众参与以及非歧视性六项基本原则。据此,无人驾驶汽车的设计者在对智能系统的设计时就需谨遵上述基本原则,应当注重从源头上解决隐私权保护问题,尤其需要将伦理规则设置在智能系统中,以确保人类能有效控制和理解人工智能系统,在人机关系中永远保证人的主动权,如此方能充分实现个人隐私权的技术保障功能。
二是注重隐私增强技术的应用。网络侵权具有较强的技术性,运用隐私增强技术可在一定程度上解决这种技术性障碍,以弥补法律保护隐私之不足。所谓隐私增强技术,是指可用于增强用户隐私信息保护的技术,包括编码、加密、防火墙、匿名通讯技术等(8)G.W.van Blarkom,J.J.Borking,J.G.E.Olk.Handbook of Privacy and Privacy-Enhancing Technologies: The Case of Intelligent Software Agents.College bescherming persoonsgegevens,2003:33.。实践中,通过对个人隐私数据作匿名化处理,让数据收集者、使用者不能轻易通过数据分析来识别与之相匹配的个人,以达限制识别之目的。如《德国联邦数据保护法》就明确规定了匿名和化名处理规则,该法第3 条第6 款规定,匿名处理是指修改个人数据以使有关私人或事实情况的个人信息无法与已识别的或者可识别出的自然人相对应,或者该对应需要付出大量成本;化名处理是指用符号代替姓名和其他可识别出的特征,以排除识别数据主体的可能性或者使这种识别变得非常困难[38]。对于匿名化等隐私增强技术的运用,既可以保护个人的隐私数据,又有助于社会聚焦大数据。目前在法律不能完全有效保护隐私权的情形下,运用技术方案是较为现实的选择。但所有技术的运用都蕴含着风险,如匿名化技术面临反匿名化的问题,即黑客运用技术手段可以实现匿名数据与主体真实身份的比对,还有内部人可以使用非公知的信息重新识别被匿名化的身份信息[39]。对此,有学者提出可以联合采用“匿名化技术措施和行政管理措施”保护数据主体的隐私[40]。一方面,加强企业的内部控制,如运用隐私安全政策、保密协议、限制接触等内部措施防止泄露隐私;另一方面,重视外部控制和法律保护,通过行政手段和法律手段来保护个人隐私,以降低潜在的侵权人侵害隐私权的可能性。当然,这些技术要发挥实际效用,还得从设计理念入手,即将隐私嵌入设计理念与具体方案中才得以奏效。
由上可知,在以无人驾驶汽车为代表的人工智能领域,对于隐私权的保护需要采取风险预防、技术补强和法律规制的有效结合,以克服以往“告知—同意”机制的不足,让隐私信息的管理者、信息主体参与到生产企业运作和个人隐私保护的全过程,有助于提升汽车生产商、网络经营者对个人隐私保护的能力和主动性。法律在此过程中则更需注重平衡各种价值的实现,即其制度设计更应该关注个人隐私保护与适应新兴技术变迁之间的利益衡量。
在法律制度尚不完备之时,除了通过技术措施解决隐私保护难题外,通过规范行业自律规则发挥企业自我规制功能,亦是解决隐私数据保护困境的有效路径。在实践中,行业规则对市场行为的规范作用不容小视,其有利于企业对数据的收集与利用,以及整个人工智能产业的发展。因为如果数据开发和利用是建立在尊重和保护用户隐私基础之上的,这将极大提升用户对该行业及产品的认同感和信任值。就无人驾驶汽车而言,其本身的功能显著,加之其生产者能够发挥自我规制的功效,这会加速无人驾驶汽车的市场占有率,促进整个产业的健康发展。实际上,这一做法旨在发挥市场在隐私保护中的规制作用。无论是人工智能机器人,还是无人驾驶汽车最终都要投入市场应用,只有在具体应用中才会出现相应的隐私权侵权行为。故市场也应当成为隐私权保护的前沿阵地。对此张民安教授早有洞见:“非官方手段在个人隐私权保护方面往往更加高效、敏感。这在具体实践中已获证实——通过科技手段、市场、行业自律、企业竞争以及个人判断,人们可以获得相当周全的隐私权保护[41]。”为提升市场公信力,数据巨头企业们开发出“隐私增强技术”,以注重自身产品的安全性。同时,这些企业往往会在法律出台之前先行制定行业规则的做法已成惯例。此外,企业还通过不断修订和改进自身的“隐私政策”来有针对性地保护个人隐私。例如,2018 年5 月25 日,谷歌公司在全球范围内同时发布了多语种的最新版隐私政策,以应对当日正式生效实施的欧盟《通用数据保护条例》。该新版隐私政策对上述条例中确立的企业所需遵守的基本原则进行细化,将不利于个人信息保护的旧政策予以改进。如在目的限定原则方面,新政策较为详细地解释了企业为何收集信息,力求将收集个人信息的目的“具体、明确”地告知用户,并承诺将用户信息用于企业隐私政策未涵盖的用途时事先征求用户同意,以满足目的限制的要求[42]。可见,企业作为精于计算的理性人,往往更能了解用户的需求,熟悉产品的缺陷和可能的风险,通过发挥行业自律的作用,从而在一定程度上率先保护个人隐私,提升企业自身竞争力。
在大数据、人工智能时代,个人隐私数据的商品化价值愈发突出,个人信息正在被视为当代商业领域的“新石油”,企业可凭大数据分析知晓消费者的消费行为,同时也进行商品与服务的营销。数据产业中的经营者,可通过对收集的海量个人数据分析与独占获利,且还主张对其收集和储存的个人数据信息享有财产权[43]。正如尤瓦尔·赫拉利教授所言:“到21 世纪,数据的重要性会超过土地和机器而成为最重要的资产”[44]。对于无人驾驶汽车制造商及网络服务商而言,收集数据或许比现实获利更重要。可见,隐私数据具有财产价值自不待言。在数据经济高度发达的今天,隐私信息往往被作为大数据交易中的基本元素来对待,隐私权的财产属性愈发突出,这主要表现为:一是直接将隐私作为商品进行交易;二是透过大数据分析不断挖掘隐私信息中蕴含的经济元素。诚如波斯纳所言:“个人隐私已经成为商品市场中的无形资产,成为一种经济利益的中间产品,其目的在于促进社会财富的最大化”[45]。故而,个人对其隐私中的财产价值应享有受法律保护的权益,个人有权交易其隐私信息以弥补其所受损失从而促进个人信息市场公平运作的实现。
有鉴于此,笔者认为,在隐私财产权的具体实现路径方面,首先要明确隐私财产权的归属问题。即在确定个人隐私信息具有可交易性的前提下,关键还须明确谁是真正的财产所有权人。在目前的实践中,通常都是数据企业通过一纸“隐私协议”免费获取个人隐私信息后擅自进行各种交易,从中攫取财产利益,个人根本无法享受后续交易的利益。此种做法只关注所谓企业的数字经济,对真正数据提供者则置之不理,这对于个人而言是明显不公平的。因此,应当明确个人作为隐私财产权的初始主体,明确二次交易的产权分配规则,兼顾数据经济发展与个人隐私保护。其次,应当建立个人隐私信息的有偿使用机制。既然数据对于无人驾驶汽车等人工智能如此重要,用户有理由对自己提供的个人隐私信息收取费用[46]。虽然隐私权的本质是人格权,其更多体现人身属性,但在大数据、人工智能时代,隐私权的财产价值已非常显著,无论个人是否愿意,隐私信息被当作“商品”一样被交易已成为不争的事实,其获利主体还是他人而非自己。在此情形下,建立个人隐私信息的有偿使用机制既符合隐私权本身的价值,又能增强个人的隐私保护,也在一定程度上有助于保护个人的财产权。最后,需要明确个人隐私交易的具体规则。如果将所有的隐私信息都用于交易,那么隐私权就会变成典型的财产权,这与其权利本质相悖。因此,首先需要对交易对象进行区分,那些纯粹属于个人最为私密的敏感信息应当禁止交易,如此才能保证人格尊严得到绝对保护。只有一般性的个人信息,才可被鼓励用于交易。在交易模式上,不能由数据收集者以格式条款的方式规定个人信息的交易价格和形式,应当按照公平原则确定交易形式,允许隐私主体享有议价的权利。此外,建立损害赔偿制度也不失为一项可供参考的选择,当隐私权遭受侵害后,以损害赔偿金、违约金等方式对被侵权人给予赔偿。同时,还需要加强公共机构的监督,因为在个人与数据企业、无人驾驶汽车生产商单独进行利益博弈的过程中,个人显然不具有任何优势,这就需要由政府部门等公共机构来创建市场交易规则,监督各方遵守法律和协议,预防和救济隐私侵权损害的发生,促使个人隐私财产权得以有效保障。
作为人工智能产品的无人驾驶汽车,其研发初衷在于为人类服务,其基础需要以数据和算法作支撑,故对其隐私权的侵犯可能性自始存在。无人驾驶汽车对个人数据及周边交通数据的收集和掌握越翔实,就越能提升其服务能力,但这也意味着人们在享受无人驾驶汽车更多智能服务的同时,不得不让渡更多的个人隐私信息,由此引发隐私权保护的危机,也给隐私权的传统法律保护机制带来严峻挑战。于此,本文一方面致力于厘清无人驾驶汽车对隐私权的具体侵权形态,对个人隐私和隐私权进行差别化保护;另一方面,基于新兴人工智能的无人驾驶汽车侵权行为仅依靠法律规制难以奏效的客观现实,主张多管齐下加以应对:既要健全法律规则体系,又需强化相应的技术保障,还得注重行业自律,发挥企业的自我规制功能,更要加强公共机构的监管。通过集合个人、企业、社会组织和政府的力量,共同守护体现个体自我属性的隐私及隐私权,合力维护无人驾驶汽车产业的健康发展,最终实现多方共赢的目标,增进人类社会的福祉。