强人工智能时代个人信息的法律保护研究

袁 峰

桂林电子科技大学，广西 桂林 541004

一、问题提出

随着人工智能技术由弱人工智能向强人工智能转变，网络生活没有了绝对的隐私，日常生活产生的信息和痕迹都暴露在网络之中，智能机器人变得比我们自己还了解自己。个人信息被非法收集、泄露、滥用等侵权事件频发：智能手机应用默认开启手机录音权限侵害用户隐私，售楼处摄像头收集人脸信息进行精准营销、高价销售，电商平台过度收集偏好信息用来“大数据杀熟”，快递信息被不法分子收集用来精准诈骗。其中有科技外部性的原因，有监管不到位的原因，有企业自身保管不当的原因，也有法律法规不够健全的原因。尽管最近两年个人信息保护法律法规陆续出台，《网络安全法》《数据安全法》《个人信息保护法》《儿童个人信息网络保护规定》《APP违法违规收集使用个人信息行为认定方法》和最高人民法院发布的相关司法解释，对于个人信息的保护，这些法律法规和司法解释都有涉及，但在科技新兴领域始终都“慢半拍”，实践中法律法规的可操作性如何尚未可知。如何在强人工智能时代提高法律法规的协同治理效能，探索符合我国数字经济产业健康发展、利于高新技术企业转型升级、保护网络消费者个人信息安全的法律保护措施，实现我国网络领域治理体系治理能力的现代化具有重大意义。

二、强人工智能与个人信息概述

（一）强人工智能与个人信息的定义

人工智能作为计算机科学的一个分支，在互联网上被定义为一门新的技术科学，即围绕人的智能为核心进行研究和开发，并进行模拟、延伸、增强和扩展自然人智能的技术科学。刘宪权教授认为：“根据智能机器人是否可以脱离人类设计和编制的程序自主实施行为，又分为弱人工智能和强人工智能。”对强人工智能进行了比较科学的界定。智能机器人可以高效率、便捷化地处理以前需要人工重复做的事情，甚至做一些以前人工无法完成的事情。［1］最新的《个人信息保护法》对个人信息的概念进行了较为详细的界定，其中第四条规定：所谓个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息，有学者根据个人信息的敏感程度，又将其分为一般信息和敏感信息。

（二）个人信息侵权主要类型

1．非法且过度收集。《个人信息保护法》第五条规定，应当遵循合法、正当、必要和诚信原则作为对个人信息的收集的基本原则，不得通过误导、欺诈、胁迫等方式处理个人信息。另外，收集个人信息时也要遵循最小范围原则，并经被收集者的同意。然而实践中部分互联网公司以收集个人信息作为使用其服务的前提，且通常用户点击“同意”即被收集几乎所有信息，其中部分信息并非提供服务所必需的，要不然用户只能选择退出。而且，强人工智能还会在用户不知道的情况下收集处理个人信息，对用户进行人物画像等，甚至根本不需要征求用户的同意就可以完成，直接绕开了同意原则的规定。

2．过度利用。部分外卖软件服务顾客的同时利用人工智能来收集用户的信息，这些信息包括银行卡信息、浏览记录、位置信息，通过大数据分析个人消费习惯、行为习惯乃至经济状况，以此对用户定向推荐广告、发布信息并诱使消费。这一方面容易为实现公司利益最大化而损害消费者权益，例如只向消费者推荐价高的商品，另外也使消费者处于“信息茧房”之中，让消费者看到商家想让消费者看到的，极其容易误导消费者。

3．不当泄露。近些年重大信息泄露案件频发，例如F 公司3000 万用户信息泄露案、W 酒店3．27亿住户信息泄露案和近期的高校学生信息泄露案等，都是因为企业自身信息网络安全防护不到位所导致的。科学技术就像一把双刃剑，人脸识别的出现给公共管理带好诸多好处，也极容易造成个人信息泄露，同时也让大众产生不安的心理，感觉时时刻刻都在被监视。同时，由于政府监管存在滞后性和企业自身个人信息数据合规建设不健全，给了不法商家通过贩卖人脸照片等个人信息牟利的可乘之机。

三、人工智能应用中个人信息法律保护现状

（一）个人信息范围规定宽泛

随着个人信息侵权事件频发，严重影响民众正常的生产生活秩序，基于更好保护公民个人信息，国家加强了相关法律法规的制定出台。《个人信息保护法》规定了比《民法典》更为宽泛的个人信息范围，包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息，对于形式和内容上的规定都相对宽松。优点是把更多的个人信息纳入了保护范围，可以提高保护的水平；缺点是企业需要遵守较为严格的个人信息保护规范，给信息数据正常交易使用造成较大障碍，加重了信息数据的利用成本，这在如今数据作为重要生产原料的时期，一定程度上会不利于企业开发更满足消费者需求的智能软件。［2］

（二）公民个人诉讼举证难

在智能手机普及的当下社会，离不开手机厂商提供的软件，离不开三大运营商提供的网络，更离不开随时随地需要通过扫码进行的各类服务，极易导致在用户毫无防范的情况下个人信息被收集、获取、提供、出售、购买、使用等等。一旦个人私密信息被公开，或是被用来诈骗，用户隐私权、个人财产权非常容易遭受侵犯。这时候用户对互联网企业提起诉讼，往往面临诉讼请求和证据举证不能的难题。比如在张某某、上海P 银行股份有限公司D 分行等隐私权纠纷一案中，张某某主张P 公司违法收集自己新办理的电话号码并泄露，给自己的生活带来困扰，以此主张个人信息侵权。法院最终认为，张某某未能提交证据证明三被上诉人存在非法收集及超过约定用途使用其新办理的电话号码的行为，也未能提交证据证明其新办理的电话号码被非法收集或使用而造成相应的损害后果，其要承担举证不能的后果，未能支持张某某的诉求。

（三）侵权主体难以确定

强人工智能时代应用软件的智能水平非常高，比如无人驾驶汽车集合了网络运营商、软件开发商、汽车制造企业等多方主体，做出的一个侵权行为往往是多个硬件和软件协同的结果，而且其应用的智能算法具有超高复杂性和隐蔽性，当事人一方很难找到被告一方相关证据，当事人诉诸法庭面临无主可诉的境地。另外，在个人信息侵权链条中，到底是信息收集方过错导致损害结果，还是使用方导致的损害的结果，很难作出科学公正的裁判。在国家将“严厉打击电信网络犯罪，加强个人信息司法保护”作为最高检重点督办建议的背景下，一个案件涉嫌犯罪需要承担刑事责任外，对于是否可以同时追究上下游违法处理信息的责任，追究他们按份责任还是连带责任，都有待探讨。

（四）企业数据合规体系不健全

强人工智能时代信息数据就像工业社会的石油，大量掌握客户数据决定着企业是否在本领域拥有市场竞争力。信息数据从消费者留痕产生信息数据，到企业收集乃至到后续的使用、保存等全生命周期都会面临安全风险。我国数据违规现象层出不穷，例如，软件广告和手机浏览器手机消费定向推送相关内容、打车软件故意推送价格偏高的要约单、求职简历被非法买卖用来诈骗找工作的大学生、手机杀毒软件恶意收集消费者信息等。部分企业由于存在病毒与非法入侵、系统漏洞、访问控制和权限管理不善等方面的问题，造成大量客户信息被泄露。另外，由于部分企业尚未建立科学完善的数据合规体系，也未对员工进行相关方面知识培训，接触敏感信息的雇员由于信息管理素质缺乏和希望获取额外报酬等原因，都容易造成个人信息外泄，严重侵害用户的权益。

四、人工智能应用中个人信息法律保护建议

（一）明确个人信息法律保护的范围

针对软件厂商利用同意原则排除消费者入场权的问题，首先，国家工信部门应当加强事前审查，要求其出示后台密钥供审核工作人员体验，检查核对是否有侵权行为；其次，按照信息数据对个人合法权益的影响和重要程度，将个人信息划分为一般个人信息和敏感信息，一般信息和经过脱敏处理的信息数据能够用于促进交易，应分别对两种类型信息数据进行分级分类保护，要求互联网企业规范信息数据的保护制度；最后，软件上线后的监管也非常有必要，可以设立年报制度，要求软件厂家定时报备消费者信息数据使用情况，加强对消费者权益的保护，以此防范个人信息侵权和信息数据泄露的风险。

（二）完善个人信息保护公益诉讼适用规则

《人民检察院公益诉讼办案规则》第九十八条规定了公益诉讼请求的一般事由，又特别规定食品药品安全、生态环境保护等特殊领域的具体请求，但是并未就涉及公众个人信息保护诉讼方面提起公益诉讼进行明确的规定。近年来，人工智能、大数据相关企业取得不错成绩的同时，信息数据侵权被诉诸法庭的案件越来越多。大型互联网科技公司有着明显强于个人的技术实力和经济实力，个人由于取证难、经济实力差异等原因难以与之抗衡，胜诉的概率非常低，实践中即使胜诉也多数仅以赔礼道歉、删除信息对企业加以惩罚，跟《民法典》要求的全面保护原则难以相符。由于互联网公司涉及个人信息侵权对象数量众多，侵权行为具有分散性，集聚之后信息安全风险不可小觑。所以建议通过完善个人信息保护公益诉讼的机制，当一定数量的个人投诉反馈之后，让检察院介入个人信息侵权相关案件，并发布相应典型案例，借助司法机关的力量更好地推动保护个人信息安全。

（三）探索个人信息侵权的惩罚性赔偿

司法实践中，互联网企业涉个人信息侵权案件频发，很大一部分原因是企业惩罚性赔偿数额较小，这在一定程度上会放任企业非法使用公民个人信息。在提起的生态保护及食品药品安全的检察公益诉讼中，提出惩罚性赔偿的诉讼请求，可以有效调整侵权企业与受损害用户的利益失衡，但是个人信息侵权提起惩罚性赔偿缺乏先例。在最高检发布的李某某侵害消费者个人信息和权益民事公益诉讼案中，一大亮点是检察机关提出3 倍赔偿请求，实现从以前案件的填补损失向惩罚性赔偿的转变，意味着在法律未作出明文规定之时可以类案处理，有望实现对非法使用个人信息欺诈消费者行为的严厉打击。另外，在个人信息侵权案件中检察机关可以尝试提出多样性的诉讼请求，司法部门可以在企业违法行为、影响范围、对被害者造成损害程度等方面进行综合考虑，发布一批个人信息保护的典型案例。［3］

（四）立法为主、企业合规为辅协同治理

我国《网络安全法》和《数据安全法》出台之后，个人信息数据安全保护做到了有法可依。法律适用效果怎么样，能不能规范互联网企业信息数据处理行为，能不能保护用户的信息安全，需要协调立法、执法、司法部门加强监督落实。由于人工智能技术发展一直走在法律制定的前面，光靠司法部门一方力量效果不佳，应推动企业自觉健全和完善自身数据规章制度，加强企业用户个人信息和平台数据专项合规体系的建设，提升企业在个人信息侵权涉诉方面的事前防御水平，避免因为员工失职或是外部病毒入侵导致信息管理危机。在实现数据采集合规后，要切实履行数据控制者的责任，根据法律要求建立完善的数据存储与管理合规体系，全面降低数据泄露事件的发生概率，实现商业利益、用户权益和法律责任的有机统一，以负责任的良好形象进行运营，赢得更多用户的认同与支持，从而实现稳健长效发展。［4］

五、结语

人工智能时代，随着信息处理技术的升级，对数据信息的挖掘和运用水平不断提高，这不仅利于国家利用人工智能技术对传统产业转型升级，还利于企业更好地满足顾客多样化的需求，利于普通百姓日常生活智能化与便捷化。正确认识强人工智能时代下的个人信息安全问题，找到法律规制合理、企业合规使用信息数据、普通大众安心的平衡点非常重要。随着人工智能技术的不断发展，个人信息法律保护措施必将不断得到完善，本文指出了现今人工智能实践中存在的几个问题，提出通过明确个人信息法律保护的范围、完善个人信息保护公益诉讼适用规则、探索个人信息侵权的惩罚性赔偿、立法为主企业数据合规为辅协同治理几个方面的信息保护路径，从加强企业信息处理者自我约束意识与强化司法部门监督和裁判两方面形成合力，以期为信息技术的发展保驾护航。［5］