人工智能发展背景下的个人信息保护
互联网空间是一个真实的虚拟存在,在这里,人类实现了与肉体分离的“数字化生存”,拥有了“数字化人格”,即通过个人信息的收集和处理勾画一个在网络空间的个人形象,我们每个人在网络空间上的形象和活动数据构成了数据世界的一部分。21世纪是网络社会的时代,是大数据的时代,也是人工智能的时代,“数据是人类建造文明的基石,大数据对机器智能的产生和发展具有决定性作用”。人工智能的发展依托于互联网,离不开大数据的支撑,而这些数据大多来自公民个人。
2011年,Facebook因其人脸识别和标记功能未按伊利诺伊州《生物信息隐私法案》(BIPA)要求告知用户收集面部识别信息的期限和方式被诉,随后又因采集面部特征前未能明确提醒用户并征得用户同意而遭到爱尔兰和德国有关部门的调查。尽管Facebook辩称默认开启该功能是因为用户通常不会拒绝进行人脸识别,并且用户有权随时取消这一功能,但德国汉堡市数据保护与信息安全局坚持Facebook的面部识别技术违反了欧洲和德国的数据保护法,Facebook应删除相关数据。最终,Facebook被迫在欧洲地区关闭了人脸识别功能,并删除了针对欧洲用户建立的人脸数据库。个人照片中包含有个人面部的特征,互联网公司收集个人的面部信息用来人脸识别,这项技术的应用将方便企业员工考勤的管理,也将便利侦查部门寻找犯罪嫌疑人。但是,这其中存在一个重大的法律问题,人工智能技术公司能否收集人的面部识别信息,以何种方式收集,收集后以何种形式处理和使用?面对人工智能技术的应用和不断发展,如何保护个人数据,使个人信息免受不法侵害是当前亟待解决的问题。
一、个人信息内涵的界定
伴随着大数据时代的到来,网络上充斥着海量的信息,个人是信息的创造者和利用者,我们通过互联网浏览、搜索自己需要的信息,同时也在通过各种社交网站发布着信息,各种平台通过技术手段搜集和储存着各种各样的信息,人工智能就是在对海量数据分析利用的结果。面对着技术的空前发展,人们对于个人信息和隐私的保护意识也不断增强。为了既要促进人工智能技术的发展,又不至于使个人信息和隐私遭受侵害,加强个人信息的保护,需要从法律上界定个人信息。
我国虽然没有专门的个人信息保护法,但是近年来,国家在不断加强对网络信息保护的同时,也不断重视对于个人信息的保护。无论是2012年《全国人大常委会关于加强网络信息保护的决定》,还是2016年制订的《网络安全法》以及2017年出台的《民法总则》和“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,都对个人信息的含义作出了相似的界定,即个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。海量的信息中能够成为个人信息的核心要素是具有个人身份的识别性,即通过单独或者与其他信息结合的方式能够识别特定个人的身份。
另外,隐私也是在人工智能发展,收集和运用数据的过程中经常遇到的一个“词”。实际上,个人信息和隐私有着密切关联。一方面,许多个人信息(如个人银行账户、身份证号码)具有一定程度的私密性,都是个人不愿对外公布的私人信息。另一方面,从后果上看,侵害个人信息常常也会导致对个人隐私的侵害。此外,从侵害方式来看,侵害个人信息多数也采用披露个人信息方式,从而与侵害隐私权非常类似。但是,从性质、客体范围、内容、侵害方式和保护方式等方面,二者还是存在较大的不同。(具体比较请见下表)
个人信息与隐私的比较
隐私 | 个人信息 | |
性质 | 隐私具有被动性,通常只有在遭受侵害时,权利人才能提出主张。 | 个人信息兼具被动性和主动性,除了被动防御第三人的侵害之外,还可以对其进行积极利用。 |
客体范围 | 隐私的客体主要是私密信息,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私。 | 个人信息虽可能与隐私部分重合,但其都以信息的形式表现出来,且其许多内容不一定是私密的。如个人的社会职业,是一个公开的社会信息,一般不属于隐私的范畴,但仍应受到个人信息权的保护,在对信息进行处理时不能随意修改。 |
内容 | 主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。 | 主要是指对个人信息的支配和自主决定,其在性质上主要表现为对个人信息的控制,即任何人未经权利人的许可或法律允许,不得非法收集、处理、使用、转让个人信息。 |
侵害方式 | 主要包括对私人领域的非法侵入和对隐私内容的非法披露。 | 对个人信息的侵害除了侵害隐私权的方式之外,还可以包括对已经公开个人信息的非法删除、修改等。 |
保护方式 | 隐私权更多地是一种不受他人侵害的消极防御权利,即权利人在受到侵害时可要求停止侵害或者排除妨碍。 在侵害隐私权的情况下,主要采用精神损害赔偿的方式加以救济。 | 个人信息则包含要求更新、更正等救济方式。 对个人信息的保护,除采用精神损害赔偿的方式外,也可以采用财产救济的方法。 |
从整体上来看,个人信息这一概念远远超出了隐私的范围。
二、人工智能的发展不能以侵害个人信息为代价
人工智能技术的发展依赖海量的信息和数据,涉及到对个人信息的搜集、归类、提取、分析使用以及涉及到授权别人使用等。人工智能的发展不应当以侵害个人信息为代价,人工智能技术开发者负有保护用户隐私的意愿和责任。人工智能企业发展人工智能技术需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
1、明示取得同意:网络服务具有收集用户信息功能的,提供者应当向用户明示并取得同意;涉及用户个人信息的,应当遵守有关法律、行政法规关于个人信息保护的规定。不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
2、信息保护保密:对收集的用户信息严格保密,并建立健全用户信息保护制度。应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
3、合法正当必要:收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
4、“四不得”:不得收集与其提供的服务无关的个人信息;不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
5、删除和更正:当发现存在违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,应当删除其个人信息;当发现收集、存储的个人信息有错误的,应当予以更正。
(具体要求见下表)
个人信息(含涉及个人隐私的信息) | 其他非个人信息 | ||
收集 | 不得窃取或者以其他非法方式获取个人信息; 不得收集与其提供的服务无关的个人信息; 收集的个人信息有误的应当予以更正。 | 遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。违反上述规定收集和使用的信息要删除。 | 明示并取得同意。 |
使用 | 使用的个人信息有误的应当予以更正。 | ||
保存 | 依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息; 不得泄露、篡改、毁损其收集的个人信息; 采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失; 在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 | 严格保密,并建立健全信息保护制度。 | |
传播 | 未经被收集者同意,不得向他人提供个人信息; |