人工智能时代个人信息保护的法律规制

［摘 要］互联网的飞速发展以及人工智能技术的普及，已经严重削弱了信息主体对个人信息的掌控能力，因此亟须重新审视和完善个人信息保护。传统的构建于控制理论和个人信息自决权理论之上的个人信息保护模式逐渐显现出缺陷，使得个人自我管理信息这一看似简单却又不可或缺的概念变得极为模糊不清，为了消解人工智能发展对个人信息权利保护的侵蚀，缓和当下个人信息保护法律机制捉襟见肘之困境，应对人工智能应用场景下个人信息保护的需要，应借鉴欧美基于情境和风险防控理念的个人信息保护新机制，从提高个人信息处理透明度、构建敏感个人信息的分层和分阶段同意规则、尊重情境、扩充监管手段、明确违法个人信息处理行为的法律责任等方面进一步完善个人信息保护法律制度。

［关键词］人工智能；个人信息保护；法律规制；创新研究

［中图分类号］D913 ［文献标志码］A ［文章编号］2096-1308（2024）03-0053-13

随着中国的互联网用户数量不断增多，应用软件数量暴涨，个人信息的搜索和利用也日益成为一种日常现象。尽管政府采取了一系列措施，以确保个人信息的安全，但是一些企业、机构以及个人仍然存在着滥用个人信息、滥用权力、滥用资源、滥用权威的行为，严重威胁公共安全，给社会带来了极大的危害。随着信息技术的发展，保护个人信息已经成为当今社会普遍受到重视、迫切需要解决的重要社会问题。随着人工智能技术的不断发展，尤其是大数据的广泛应用，我们必须认真思考如何有效地保护个人信息，以确保其安全性和可靠性。

一、传统基于控制理论的个人信息保护模式

当今世界，个人信息保护立法最为发达的首推美国和欧盟。美国对个人信息的保护主要体现于隐私法中。早期美国隐私法并没有个人信息这个概念。随着计算机和互联网的发展，个人信息可以被搜索、叠加、分析并海量处理，个人信息保护问题才真正受到关注，而传统隐私权制度无法对个人信息进行有效保护。在此背景下，美国通过扩张隐私范围的方式将个人信息纳入保护范围，而个人可识别信息（Personally Identi-fiable Information，PII）是美国隐私法中最核心的概念之一，个人可识别信息界定了隐私法保护的范围，个人可识别信息的收集、使用和披露都主要置于隐私法的框架下予以保护，没有个人可识别信息，就没有隐私损害。

See Paul M.Schwartz & Daniel J.Solove：The Pll Problem：Privacy and a New Concept of Personally Identifiable Information，86 New York University Law Review 1816（2011）.

（一）美国个人信息保护模式

美国的个人信息保护立法以控制理论为基础，重视个体的选择权和自治权，以确保其安全性。See C.Fried：Privacy，77 Yale Law Journa l475，482（1968）;W.A.Parent：Recent Work on the Concept of Privacy，20 American Philosophical Quarterly 341（1983）.根据控制理论，个人应该拥有选择自己行动的权利，从而掌握自身信息。这种行动不仅要求个人遵守相应的规则，还要求他们能够根据自身偏好来进行选择，从而确保自身的利益得到充分的保障。See Christophe Lazaro & Daniel Le Metayer：Contro lover Personal Data：True Remed yor Fairy Tale？12 SCRIP Ted 3（2015）.除了自我决定和自我管理理论，学者还从财产角度概念化控制并分析数据主体的权利。See J.Litman：Information Privacy/Information Property，52 Stanford Law Review 1283（2000）.根据这一理论，个人信息可以被视为财产权利。人们应当对有关他们的信息享有所有权，有权控制其对个人信息的处理。控制了某人的权利在法律上就意味着在“信息市场”上有权交易该数据。核心理念在于信息主体的“同意”，这是控制理论和财产理论的关键。这使得个人信息的收集、使用、公开和交易变得合法。在控制理论的支配下，美国形成了以联邦贸易委员会（Federal Trade Commission，FTC）和行业自律为主要模式的个人信息保护体制。FTC主要充当消费者个人信息保护“守夜人”的角色。FTC保护个人信息的手段为要求公司充分披露其涉及消费者或用户的个人信息处理行为，即“透明度规则”。对于在个人信息领域的违法行为，FTC有权进行处罚或提起诉讼。FTC支持网络产业的自我管理，规定与消费者数据收集产业有关的透明度并促进“禁止追踪”机制和“选出”机制的使用。“禁止追踪”机制允许消费者选择停止由之前已获得其同意的公司或数据中间商对他们信息的追踪。“选出”机制赋予消费者选择不让某个公司获取并使用他们个人信息的选择权。通常而言，FTC会采取强制措施确保公司履行保护消费者个人信息的承诺，并有权对违反隐私承诺、欺骗消费者的公司进行处罚并提起诉讼。Trade Comm，n，Protecting Consumer Privacy in an Era of Rapid Change，Federal Trade Commission（Jul.14，2012），http：//www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-pro-tecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf.

美国的个人信息保护不仅依赖FTC的保护，而且在计算机和互联网领域，其行业内的自我约束和监督也构成了一大独特的特征。行业自律监管的核心为“告知和选择”机制。“告知”要求个人信息处理者应当申明隐私政策，详细描述收集、使用和传播用户个人信息的各种方式，以及如何对用户的个人信息进行保护。“选择”为用户提供了一种自由的选择权，允许他们在“选出权”的规定下，自由地采取、利用或传播自己的个人信息，而无须遵守“选出权”的规定。只有当用户明确表示反对，才能够按照“选择”的规定，采取有效的措施来保护自己的隐私。See Daniel J.Solove，Woodrow Hartzog：The FTC and the New Common Law of Privacy，114 Colum.L.Rev.583（2014）.

鉴于计算机技术带来的个人信息泄露的风险，美国政府的顾问委员会首先发布了“公平信息行为准则”（或称“公平信息实践”，Fair Information Practice Principles，FIPP），这一规定随着时间的推移，不断受到重视，并且在各个领域中得到了普遍的实施，已经成为一种普遍的行业准则。FIPP是一种完美的个人信息保护方案，它结合了控制理论的核心思想，完美地实现了对个人信息的有效管理。“公平信息行为准则”是目前最受欢迎的规范，包含了一些重要的原则OECD也有类似规定，See OECD Guidelines on the Protection of Privacy and Transboder Flows of Personal Data，OECD（May 2，2017），http：//www.oecd.org/document/8/0，3343，en_2649_34255_181518611_11，00.html。：第一，为了确保安全，在采集个人信息之前，应当明确其采集目标，并且确保所采取的措施和结果都能够满足这一要求；第二，“信息最小化”规定，在进行个人信息收集和使用时，应当遵循一系列原则，确保其不超出最低限度；第三，在没有经过当事人授权或拥有法律许可的情况下，任何形式的个人信息都必须严格遵守保密义务，禁止任何形式的泄露；第四，只采集精确、可靠、及时和有效的数据，以满足预期目标，保证个人信息的准确性、完整性和及时性；第五，每一位公民都应该被赋予以下权利：了解和掌握自己的隐私，以及可以对自己的信息进行更新和修订，包括但不限于收集、使用、分析和反馈；第六，构建有关个人能够知晓及了解的信息处理机制（透明处理机制），即应当告知社会公众隐私政策和措施，个人应当能够有途径了解个人信息的使用情况；第七，为了确保个人信息的安全，我们必须采取有效的安全措施，以防止任何未经授权的人员获取、破坏、使用、篡改或披露这些信息；第八，按照责任原则，拥有收集、传播和处理个人信息的权利的一方应当负起义务，以确保这些规定得到充分执行。Information Resellers：Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace，U.S.Goverment Accountability Office（May 6，2013），http：//www.gao.gov/assets/660/658151.pdf.

（二）欧洲个人信息保护模式

欧洲的个人信息保护立法建立在一种独特的理念——个人信息自决论上，这一理念起源于德国的法律，其认为，任何不尊重他人意愿收集、处置和使用他人的信息，都会损害他人的合法权益，并且会对他人的身份造成不可挽回的损害。［1］个人信息自决论认为，任何形式的个人信息都应该由拥有者负责，而且这种负责是不可抗拒的，因此，任何形式的个人信息的收集、处理都应该遵守相关法律法规，以确保其安全性、完整性和准确性。例如，德国《联邦数据保护法》（Federal Data Protection Act）第4节第1款明确规定“只有在本法或者其他法律允许或规定或数据主体同意时，个人数据的收集、处理和使用才是被许可的”。1995年，欧盟发布了《个人数据保护指令》，这标志着欧盟正式开始采取有效措施来保护个人信息。该指令规定的个人数据处理原则与FIPP基本一致，即包括合法处理、目的限定、数据最小化、透明度、个人数据安全保护、数据处理责任等，唯一不同之处在于该指令更为细致地区分了敏感个人数据和非敏感个人数据，对个人数据进行差别化保护。

从“权利中心主义”的角度来看，传统的个人信息保护模式的核心在于强调个人的权利，以及他们的主观意愿，以便他们能够更好地掌握自身的信息，从而更好地实现自身的合法权益。因此，应当采取更加灵活的措施，以便更好地保护个人信息。

二、人工智能时代传统个人信息保护模式之不足

传统个人信息保护法律建构于控制理论和个人信息自决权理论根据前述分析，两种理论在本质上都是强调信息主体对其个人信息的有效控制，并以此为基础构建个人信息保护规则，后文统一以“控制理论”指代这两种理论。之上，重视个人数据所有者的“管理”，并将“知情同意”作为中心构建出一套完整的数据采集与处置程序。随着科技的飞速发展，20世纪90年代及21世纪初，欧美国家开始采取更加先进的措施，以确保个人信息的安全。这些措施不仅可以防止个人信息被滥用，而且还可以更好地保护个人的隐私，从而提高公众的生活质量。到目前为止，个人控制理论一直都是解决个人信息处理技术问题的核心方案。基于该原因，控制的概念经常作为个人信息保护政策的核心要素被提及。近20多年来，互联网的飞速发展以及人工智能技术的普及，已经严重削弱了信息主体对个人信息的掌控能力，使得个人自我管理信息这一看似简单却又不可或缺的概念变得极为模糊不清。借助“知情同意”框架来保护个人隐私显然是行不通的，而“失灵”则可能会带来更大的风险，因此，应当采取更加严格的措施来加以防范。