李海英，徐小露

(1.螞蟻金融服務集團，浙江 杭州 310007；2.對外經濟貿易大學 法學院，北京 100020)

一、個人信息保護法與所處的時代背景

(一)互聯網商用之前

個人信息保護法是在個人信息被“自動化處理”(Automatic Data Processing)的背景下發(fā)展起來的，1980年經濟合作與發(fā)展組織(Organization for Economic Co-operation and Development,OECD)《關于隱私保護與個人數據和跨境流動的建議與指南》(以下簡稱“OECD《隱私指南》”)開篇即指出：“自動化數據處理的發(fā)展，使得大量數據能夠在幾秒鐘之內跨越國家甚至大洲傳輸，因此有必要考慮與個人數據有關的隱私保護問題。” 1981年歐洲理事會(Council of Europe)發(fā)布《關于個人數據自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)，即著名的108公約，以“自動化處理”作為公約名稱。

但是，當時的“自動化處理”是在互聯網尚未商用，個人電腦剛剛開始走入家庭的背景之下，所謂的“自動化處理”主要是指紙質文檔的電子化。也是在該背景下，除OECD《隱私指南》外，各國紛紛開始就個人數據進行立法，瑞典1973年制定的《數據法》(The Data Act)、美國1974年通過的《1974年隱私法》(Privacy Act 1974)及德國1977年頒布的《聯邦個人數據保護法》(BDSG)都關注公共機構對個人數據的濫用[1]。國際社會也形成了以歐盟和美國為代表的兩種主要立法模式：歐盟注重個人信息的人權特性與社會價值，以人格保護為重點，采取全方位的國家立法模式；美國則展現出對個人信息積極利用的態(tài)度，更關注個人數據的經濟特性和個人價值，其個人信息保護立法體系主要由《1974年隱私法》以及特殊領域的專門法構成①，采取分散立法的形式對其權利進行保護[2]。

(二)從互聯網商用到移動互聯網、大數據的發(fā)展

互聯網在1994年實現商用。歐盟于1995年10月通過《歐洲議會和理事會關于個人數據處理和自由流通的指令》(Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data,以下簡稱《數據保護指令》)，作為互聯網商用后世界范圍內的第一部個人數據保護立法，該指令建立在OECD《隱私指南》確定的數據保護原則之上，并設置了個人數據保護的雙重目的：指令不僅要求成員國保護自然人的基本權利和自由，尤其是在處理個人數據方面的隱私問題，且不可限制或禁止與該種保護有關的個人數據在成員國間的自由流動。此后，歐盟的27個成員國以及挪威和列支敦士登(作為歐洲經濟區(qū)國家)都已分別將該指令轉化為本國的數據保護立法，奠定了歐盟數據保護法規(guī)的框架?！稊祿Ｗo指令》適用范圍廣泛，包括自動化或非自動化的數據處理；賦予數據主體查閱權、拒絕權、基于自動化處理決策的否定權及獲得救濟的權利；規(guī)定數據保護監(jiān)管機構的相關職權；并對跨國數據流通作出限制，提出第三國對個人數據充分保護作為數據轉移之前提，旨在為所有成員國提供同等的高水平保護，以期實現歐盟內部市場的平衡發(fā)展。

2007年，第一代iPhone問世，采用觸控界面和全屏設計，奠定了后來的智能機設計基礎，開啟了移動互聯網時代。移動互聯網的發(fā)展加之云計算的助力，使個人信息的收集使用更加便捷并“盡在掌握”，而云計算的發(fā)展則使數據跨境流動的問題更加凸顯，2012年開始，個人信息保護立法也進入第一個高潮。2012年1月，歐盟提出《有關“95年個人數據保護指令”的立法建議》，為《一般數據保護條例》(General Data Protection Regulation，GDPR)奠定基礎；美國2012年提出《消費者隱私權利法案(草案)》，雖然最后尚未正式通過，但是其保護消費者隱私的理念得到廣泛傳播；韓國修改《信息通信網絡的促進利用與信息保護法》《位置信息保護與使用法》；新加坡通過《個人信息保護法》等。

隨著云計算、大數據、人工智能的發(fā)展，如今“自動化處理”的內涵已經發(fā)生了翻天覆地的變化，不再僅僅是文檔的電子化，而是基于海量應用、海量數據和復雜算法進行。美國白宮2014年的一份報告將大數據描述為一種“獲取、聚合和處理更大規(guī)模、更快速度和更多種類數據”的技術能力[3]。在這一背景下，數據逐漸被視作最重要的生產要素和戰(zhàn)略性資源，滲透到各個行業(yè)和業(yè)務領域，對社會生活、經濟運行方式、公共治理等產生了根本性的影響，對個人信息保護規(guī)則也帶來新的挑戰(zhàn)。隨著大數據分析能力、人工智能和機器學習的進步，“自動化決策”得到越來越多的應用?！白詣踊瘺Q策”是指在無人干預的前提下通過技術手段做出決策的能力?？梢园选白詣踊幚怼笨醋魇恰白詣踊瘺Q策”的過程，“自動化決策”作為“自動化處理”的結果。但是需要注意的是，無論是自動化處理還是自動化決策，都不是全部需要依賴于“個人信息”，也存在完全不需要個人信息的自動化處理和決策。

(三)人工智能時代對個人信息保護的挑戰(zhàn)

自21世紀初至今的二十年里，機器學習和大型數據集的融合導致公共機構和私營部門中產品和服務的數量不斷增加、應用不斷拓寬，人工智能產品的運用使得人工智能正在成為現實，經濟和社會需求成為人工智能產業(yè)發(fā)展的驅動力。人工智能充分釋放了大數據的價值，而機器學習則成為支撐和促進人工智能的技術機制之一，這三個概念的組合可以稱為“大數據分析”[4]。人工智能時代，個人信息的來源、目的和存儲要求均較之前發(fā)生巨大變化，傳統(tǒng)的信息保護規(guī)范已不足以應對當下的需求：①人工智能對數據的需求量劇增，且來源從信息主體主動提供逐漸向由網絡和設備自動記錄產生發(fā)展。人工智能技術的應用質量會因缺乏足夠的數據而惡化，從而導致交易效率低下并減少消費者福利。此外，足夠的數據基礎有利于防止人工智能在作出決策時出現偏差或歧視，收集“盡可能多的數據”才能夠進一步學習和分析，而該種分析需求使個人信息的收集、處理與個人信息保護的“最小化原則”產生沖突②。②個人信息的重新利用或多重用途對“目的限制原則”產生沖擊。算法環(huán)境下信息處理“結果的不可預測性”使得收集、使用個人信息的最初目的難以遵守，以機器學習為動力的大數據分析與個人信息保護的“目的限制原則”仿佛已然背道而馳。③個人信息的存儲期限限制使得個人信息的效用無法充分發(fā)揮，數據紅利難以釋放。在達到數據收集、使用的原始目的或應個人信息主體要求刪除或限制數據使用后，企業(yè)及公共管理部門將失去使用個人信息進行人工智能開發(fā)、部署和監(jiān)督的潛在利益[5]。

二、人工智能時代個人信息保護的立法與反思

(一)從2010年起國際組織的討論

2010年，世界經濟論壇(World Economic Forum，WEF)發(fā)起了一個“反思個人信息”的項目，認為“原來的數據保護這些原則在當今社會已經沒用，尤其是告知與同意，根本沒有賦予個人真實有效的選擇權”。該項目倡導個人信息保護重心從收集轉向使用，增加個人的管理能力，使個人能夠管理與誰分享數據，什么目的分享，但是不采用事先同意的方式。OECD《隱私指南》修訂過程中，2012年牛津大學互聯網研究院牽頭的工作組建議，OECD確立的基本原則應將數據保護責任從數據主體一方轉移到數據控制者一方，且更加注重數據使用環(huán)節(jié)而非收集環(huán)節(jié)。因為事前機制已經逐漸失去了實質意義，不應當再對其投入過高的關注，事前的同意只能是作為保障的一種手段而不是數據行為合法性的所有依據。

這表明，以WEF、OECD為代表的國際組織早在2012年左右就已經注意到個人信息保護傳統(tǒng)原則難以適應時代發(fā)展這一問題，并提出了新的解決方案。但由于政治、社會發(fā)展等歷史原因，這些新的方案沒有得到推行。時至今日，人工智能和算法技術的發(fā)展又使個人信息收集處理的背景與2012年左右又有了很大的變化。中國在這樣一個新的歷史時期制定《個人信息保護法》，理應反思這些四十年未變的原則，順應“百年未有之大變局”，創(chuàng)新地思考面向未來技術、經濟、社會發(fā)展的個人信息保護規(guī)則。

(二)歐盟GDPR對人工智能的影響

全球對于人工智能時代個人信息保護規(guī)則的制定還在探索階段，歐盟GDPR事實上并未很好回應人工智能帶來的數據保護問題，雖然其試圖在保護個人信息基本權利的同時實現非個人信息的自由流動，從而跟上技術和社會經濟發(fā)展的步伐，但卻反而對人工智能甚至整個數字經濟的發(fā)展形成了障礙。一方面，歐盟成員國正在測試或計劃將人臉識別(Face Recognition)等生物特征信息識別技術用于執(zhí)法目的③[6]。人臉識別技術可以對社會公眾提供更及時的保護(如通過幫助尋找失蹤兒童)及幫助發(fā)現欺詐和識別盜竊行為；但另一方面，因該技術對個人隱私的侵犯性以及存在人臉匹配錯誤導致歧視的風險，同樣引發(fā)了各國關于基本權利問題的討論[7]。此前，法國、瑞典等國的數據保護機構均認定在高中使用面部識別技術的行為違法，如法國數據保護監(jiān)管機構國家信息與自由委員會(CNIL)認定該面部識別計劃與數據最小化原則不符，將以輕易的手段實現對隱私和個人自由方面的入侵?？梢?，歐盟對于人臉識別技術的應用尚持相對謹慎的態(tài)度。而2019年5月美國數據創(chuàng)新中心發(fā)布的《歐盟需改革GDPR以在算法經濟時代保持競爭力》報告指出：“歐盟在加速人工智能技術應用方面做了許多努力，但GDPR從數據保護的層面對人工智能系統(tǒng)做出了限制。如不改革，歐盟在人工智能的全球競爭中將處于結構性劣勢。”

此外，GDPR對于自動化個人決策(Automated Individual Decision-making)也有所限制，賦予數據控制者更多的義務。根據GDPR第22條，“基于單獨地”自動化處理意味著在決策制定過程中沒有人為干預、在進行自動化個人決策時應獲得數據主體的明示同意(同意必須經過特別地、具體地確認，如通過明示聲明形式而非其他表示贊成的行為來確認)等[8]，并對自動化個人決策的一般禁令賦予了例外情況，且對于用戶畫像(Profiling)作出了特別規(guī)定④，用戶畫像作為對自然人特定條件的評估，與自動化個人決策的范圍有不同之處，但也可能會有部分重疊，自動化個人決策可以基于任何形式的數據，并非必須經過用戶畫像這一過程，而用戶畫像的發(fā)生可以無需作出決策。但是，由于算法本身的復雜與不透明以及單獨的自動化個人決策可能產生的“法律或類似重大影響”之含義不明，GDPR相關條款在適用上仍存在問題，實踐中也對自動化個人決策的可解釋性設置了比較高的門檻。歐盟委員會數據保護專員在處理金融信貸公司Svea Ekonomi投訴時遵循這樣的審查邏輯，即首先指出應將公司的在線信用決策服務視為GDPR第22條中規(guī)定的自動個人決策，而后在數據處理階段，公司必須向投訴者提供有關自動個人決策所采用的算法邏輯、其在評估決策中的作用以及對信用評估申請人可能產生的后果，并且以充分的通知確保信貸申請人可以理解作出決策的理由[9]?？梢?，算法可解釋性要求對大數據背景下的分析活動帶來了極大的影響，可能損害“人工智能最有價值的用途之一：自動化決策和預測”[10]。

(三)美國《2018年加州消費者隱私法案》對人工智能的回應

已經頒布并于2020年1月1日生效的《2018年加州消費者隱私法案》(California Consumer Privacy Act of 2018，CCPA)賦予消費者與企業(yè)收集消費者個人信息有關的多項權利，包括訪問權、刪除權、知情權、選擇退出權、享有平等服務與價格的權利，同樣關注消費者的隱私保護權利，消費者可合法地獲知個人信息如何被收集、存儲、使用、出售或共享，避免個人信息在不知情的情況下被收集并貨幣化。與歐盟GDPR相比，CCPA更側重考慮個人信息的價值利用，不再試圖追求信息主體對個人信息的絕對控制權，賦予新型商業(yè)模式對信息的利用空間。首先，CCPA確定了更加寬泛的個人信息定義：包括生物特征信息與互聯網或其他電子網絡活動信息、從已識別信息中得出的可創(chuàng)建用戶畫像之推論⑤，并從“個人信息”的定義中排除了公開可獲取的信息，且“公開可獲取”信息不包括去識別化的消費者信息以及聚合的消費者信息。其次，關注個人信息的流通價值與隱私權益的平衡：第一，區(qū)別于GDPR采用“選擇加入”(Opt-in)的機制，CCPA賦予消費者“選擇退出”的權利(Opt-out)，即在企業(yè)進行充分披露后，消費者可在任何時間指示出售消費者個人信息給第三方的企業(yè)不得出售該消費者的個人信息；第二，有條件地豁免數據控制企業(yè)合規(guī)負擔，如通過考察經營者相關行為來降低信息去識別化的相關要求，在特定情況下使用“去識別化”信息的經營者可主張免責⑥；第三，允許企業(yè)根據隱私授權多寡實行差異化定價而不構成歧視(如果該等區(qū)分對待與消費者數據提供給消費者的價值合理相關，則該企業(yè)可向消費者提供不同價格、費率、水平或質量的商品或服務)及企業(yè)可以為個人信息的收集、出售或者刪除提供財務激勵，包括向消費者支付賠償金；第四，CCPA采取消費者民事保護之進路，消費者有權通過個人訴訟(或集體訴訟)對企業(yè)提出法定賠償的要求，但仍需履行前置之提前三十天給予企業(yè)書面通知之義務，若企業(yè)三十天內改正并提供明確通知聲明，訴訟即可避免[11-12]。

新法規(guī)正在改變很多企業(yè)的隱私政策，同時不斷有討論指出，人工智能技術同樣可以作為CCPA合規(guī)性的可行解決方案。文章觀點認為，人工智能不僅帶來隱私挑戰(zhàn)，也可以作為一種技術助力來促進隱私保護。作為全面落實CCPA項下消費者權利的實現機制，人工智能反將成為保護消費者個人信息權利的工具：當消費者根據CCPA請求企業(yè)作為信息控制者披露其收集的可識別個人身份的信息時，借助人臉識別技術，數據請求才可能高效且精確地完成，進而提高消費者對企業(yè)的信任和信心[13]；通過在線身份驗證技術，企業(yè)在滿足個人數據刪除請求之前識別其真實身份，可以防止企業(yè)或信息主體因身份盜竊而遭受經濟損失；智能數據管理、人工智能客服等多種技術手段不僅可以更好地保護消費者信息，更可以作為企業(yè)合規(guī)運營的保護機制。

可見，作為美國史上最全面、最徹底的隱私法案，CCPA為個人信息的自由流動創(chuàng)造了更大的空間，有利于促進數字經濟的發(fā)展，且基于合規(guī)性要求，人工智能技術作為隱私保護工具也正扮演著不可或缺的角色。同時，正如CNIL指出，人工智能和大數據是不可分割的，事實上人工智能與大數據之間的關系是雙向的：通過機器學習，人工智能需要大數據領域的海量數據作為基礎；同時，大數據則使用人工智能技術從大型數據集中提煉價值[14]。

三、中國人工智能時代個人信息保護立法

(一)中國人工智能相關產業(yè)發(fā)展趨勢

近年來，中國陸續(xù)出臺多項政策，在國家戰(zhàn)略上多角度促進人工智能與經濟社會深度融合發(fā)展。工業(yè)和信息化部印發(fā)了《促進新一代人工智能產業(yè)發(fā)展三年行動計劃(2018—2020年)》(以下簡稱《人工智能三年行動計劃》)，中央全面深化改革委員會會議審議通過了《關于促進人工智能和實體經濟深度融合的指導意見》，科學技術部印發(fā)了《國家新一代人工智能創(chuàng)新發(fā)展試驗區(qū)建設工作指引》。截至2019年，全國已建立十五個國家級人工智能開放平臺，二十一個省市地區(qū)政府出臺了人工智能產業(yè)相關政策，在安防、金融、零售、醫(yī)療、政務、交通、制造、家居等多行業(yè)領域均有不同程度的應用⑦。

其中，生物特征識別是人工智能的關鍵技術。目前，國內外均已在多個領域和行業(yè)廣泛應用。中國相關產業(yè)政策大力支持生物特征識別技術發(fā)展，《人工智能三年行動計劃》具體規(guī)劃“到2020年，復雜動態(tài)場景下人臉識別有效檢出率超過97%，正確識別率超過90%”，中央銀行、發(fā)展和改革委員會、交通運輸部、商務部等多個行業(yè)主管部門出臺政策推進生物特征識別技術在金融服務、不動產登記、在線支付等多個領域的發(fā)展⑧。但因人臉識別等生物識別信息的高度敏感性，該技術依舊存在爭議，如杭州一動物園因啟用人臉識別技術，在未經消費者同意的情況下，通過升級年卡系統(tǒng)強制收集個人生物識別信息而被訴至法院，該案被稱為“中國人臉識別第一案”，這也暴露了社會對人臉識別技術安全的擔憂與質疑。同樣，自動化決策因其效率及預測價值被廣泛應用于社會各領域。自2016年以來，尤其在與日常生活密切相關的商業(yè)領域，注重實時數據分析的商品推薦、圖書推薦、情境推薦等應用的研究引領自動化研究向個性化服務方向邁進[15]。在中國電子商務蓬勃發(fā)展的當下，自動化決策的應用，一方面，提高了交易效率，但“大數據殺熟”現象也相伴而生；另一方面，由于企業(yè)與用戶之信息不對等，用戶數據被多次整合和分析，隱私信息的保護也成為難題。

(二)現行立法分析

近年來，中國不斷豐富個人信息保護立法之實踐。自2012年全國人民代表大會常務委員會出臺《關于加強網絡信息保護的決定》以來，民法領域逐步關注個人信息的范圍、保護原則及具體制度安排，消費者保護、征信業(yè)務等具體領域也對個人信息保護提出了新的要求。2016年出臺的《網絡安全法》、2017年施行的《民法總則》第111條等在法律層面體現了個人信息保護的重要性。但同樣需要注意，針對人工智能帶來的挑戰(zhàn)，中國立法當前難以及時、全面地予以回應。如關于自動化決策之限制規(guī)定主要集中在電子商務領域，企業(yè)在現有商業(yè)模式下不可避免地收集和使用個人數據，商品和服務的提供以數據的定向分析為前提?！峨娮由虅辗ā返?8條規(guī)定，電子商務經營者“應當同時向該消費者提供不針對其個人特征的選項”，即明確提出平臺經營者需要向消費者提供明確的退出機制。也有學者稱之為電商平臺的平臺算法責任條款，恪以平臺以算法的自然結果提供義務，在承認電商平臺個性化推薦算法之合法性基礎上，加諸提供一般搜索結果的義務，以糾正平臺與消費者之間的信息不對稱[16]。此外，《網絡交易監(jiān)督管理辦法(征求意見稿)》等多項文件同樣要求，網絡交易經營者提供商品或者服務的搜索結果或者展示商業(yè)性信息時，同時以顯著方式向消費者提供不針對其個人特征的選項⑨?，F有規(guī)制方案主要依據個性化推薦之退出條款賦予消費者之自主選擇權，以保護個人信息。但同樣，在醫(yī)療、征信、保險等各行業(yè)逐步涌現的自動化決策應用，因各領域涉及用戶個人信息之范圍、敏感度的區(qū)別，難以根據電子商務領域之規(guī)定做普遍適用。

而在生物特征信息應用領域，中國將生物識別信息納入個人信息的范圍予以保護，并在《反恐怖主義法》《出境入境管理法》等特定情況下對于生物識別信息的收集、使用作出規(guī)定。此外，即將于2020年10月1日施行的《信息安全技術 個人信息安全規(guī)范》(GB/T 35273—2020，以下簡稱《規(guī)范》)對個人生物識別信息收集、使用的告知同意方式、存儲標準及具體措施等作出了具體要求。中國目前在法律層面尚未對生物識別信息保護作出明確進行強化規(guī)定，該《規(guī)范》的頒布將對個人信息保護工作的落地產生重大意義，降低生物識別信息濫用和泄露風險的同時促進產業(yè)健康有序發(fā)展。

有學者認為，未來是“移動互聯網+大數據+機器智能”三者疊加的時代，人類社會將進入一個透明的、沒有隱私的時代[18]。在“互聯網+電子商務”領域，個人信息流轉鏈條長，數據保護難度大；新零售業(yè)態(tài)深度收集、使用個人敏感信息等都使個人信息的全面保護面臨挑戰(zhàn)。為妥善應對個人信息保護這一人工智能時代的新課題，《民法典(草案)》之“人格權編”在第六章“隱私權和個人信息保護”中，對隱私權保護、個人信息的收集、使用、刪除、更正和保護等問題作出了較為詳細的規(guī)定，第十三屆全國人民代表大會常務委員會決定將該草案提請第十三屆全國人民代表大會第三次會議審議，加快推進個人信息保護相關立法進程已經成為了全社會的共識[19]。

四、中國《個人信息保護法》的制度選擇

人工智能的發(fā)展帶給人們無限的可能，面向未來，中國有機會站在巨人的肩膀上，與歐美共同面對新技術新業(yè)務帶來的沖擊。在制度建設方面，中國面臨前所未有的機遇，有機會引領未來的規(guī)則體系。

(一)體現人工智能時代的前瞻性

在算法經濟時代，人工智能預示著顯著的社會經濟效益。首先要明確人工智能技術在個人信息保護中的中立性，對人工智能技術的合理利用可以為更快速便捷地獲取公民個人信息提供技術支持，將作為實現公民信息權利最有效的執(zhí)行者。面對人工智能技術帶來的挑戰(zhàn)，過于保守謹慎的全面禁止同樣有可能對技術以及相關應用的發(fā)展帶來極大阻礙。

因此，新時期的《個人信息保護法》要清楚地認識到數據在未來數字經濟發(fā)展中的重要作用，既要為個人信息保護做出清晰指引，也要為人工智能時代的產業(yè)變革留下空間。《個人信息保護法》是一個 多元利益的平衡，從個人的角度看，既要看到權利保護，也要看到服務提升帶來的福利提升；從行業(yè)的角度看，既要看到個體的權利保護和權益實現，也要看到行業(yè)發(fā)展企業(yè)創(chuàng)新給群體帶來的收益；從國家的角度看，既要看到用戶個體價值和安全，也要看到國家經濟發(fā)展和安全保障。用戶福利不僅包括個人信息受到保護，也包括以更低的價格獲得更好的服務，以及享受由于互聯網產業(yè)的發(fā)展帶來的總體福利提升。人工智能等新技術發(fā)展給個人信息保護帶來挑戰(zhàn)，但未來還要依靠技術來提升個人信息保護的水平，技術發(fā)展帶來的新問題交由技術的發(fā)展來解決。人們既要應對數字經濟時代人工智能等新技術給數據保護帶來的新挑戰(zhàn)，如數據無時無刻的收集、個人信息邊界的進一步模糊、數據使用的目的無法事先明確等，也要看到以人工智能為基礎的新技術在隱私保護、風險控制等領域會發(fā)揮越來越大的作用，用技術來解決技術發(fā)展帶來的問題將是數字經濟時代數據治理的重要手段。

(二)借鑒國際經驗的同時汲取教訓

更多國家開始重視并利用個人信息資源，通過國家和地區(qū)戰(zhàn)略和激勵措施來推進人工智能的發(fā)展是大勢所趨。歐盟委員會此前曾表示考慮實施史上最嚴的人工智能監(jiān)管措施，公共或私人機構在公共場所使用人臉識別技術將被禁止3～5年的時間。但2020年2月歐盟發(fā)布的《人工智能白皮書》(White Paper:On Artificial Intelligence — A European Approach to Excellence and Trust)對此限制已經有所緩和，根據歐盟GDPR和基本權利憲章，將人工智能用于遠程生物識別只能基于正當和相稱的目的，并應具備足夠的保障。歐盟基本人權和消費者保護等特定行業(yè)的規(guī)定仍可適用于人工智能的場景，但需予以補充規(guī)定。并進一步提出通過新的監(jiān)管框架來增強人們對人工智能的信任，如人工智能產品投入使用后將進行安全風險評估等。2020年3月 2日，WEF發(fā)布《人臉識別用例的責任限制框架——流程管理》(A Framework for Responsible Limits on Facial Recognition Use Case：Flow Management)白皮書，提出第一版人臉識別應用的十一項行動原則以建立人臉識別的監(jiān)管框架，并希望通過分析人臉識別不同應用場景(包括準入系統(tǒng)、公共場所的安全保障、市場及客戶服務、醫(yī)療保健服務)的案例，更好地權衡技術風險與監(jiān)管，檢驗人臉識別監(jiān)管框架[20]。GDPR作為歐盟建立的數據保護領域的規(guī)則體系仍將發(fā)揮巨大的作用，但同樣要警惕“一刀切”的嚴格立法與執(zhí)法方式阻礙技術創(chuàng)新。如建立自動化決策之(事后)透明性原則和“算法責任制”，要求數據控制者必須以數據主體能夠理解結果并行使其權利的方式解釋自動化決策之結果[21]。將面部信息作為敏感個人信息加強保護，原則上禁止處理此類個人敏感數據，但仍確立了包括數據主體明確同意或處理對實質性的公共利益所必要等例外情況。

此外，美國伊利諾伊州2008年通過的《生物信息隱私法》(Biometric Information Privacy Act,BIPA)作為對生物識別信息保護規(guī)定最為嚴格的立法，其很多規(guī)定已經不適應發(fā)展的當下生物識別相關產業(yè)的實際發(fā)展，增加了企業(yè)的合規(guī)成本，甚至引發(fā)了消費者濫訴的風險。剛剛施行的CCPA“以數據自由流動和便捷交易為價值取向”，在消費者隱私保護領域更加主動。因此，基于人工智能產業(yè)快速發(fā)展的現狀，在中國《個人信息保護法》的制訂過程中，借鑒國外立法之得失，順應當下時代潮流，對于生物特征信息保護、自動化決策等制度的立法設計不宜過于嚴格，有條件地借鑒國外具體規(guī)則及場景化應用模式，為技術和產業(yè)發(fā)展留下充分的空間。

(三)具體制度考量

人工智能時代的《個人信息保護法》作為個人信息領域的統(tǒng)領性法律，蘊含著產業(yè)利益競爭、國家安全控制的內核，需要對當下已經產生實際爭議的新興技術做出回應，并對個人信息保護和自由高效發(fā)展技術產業(yè)作出權衡[2]。

《個人信息保護法》除賦予個人信息主體權利、制定個人信息收集使用的規(guī)則等傳統(tǒng)制度外，如何回應人工智能的發(fā)展，目前主要體現在對于自動化決策、生物特征識別信息等的規(guī)制方面。大數據和機器學習從新的定性和定量維度對個人信息進行剖析，數據挖掘能力成倍增加，并有助于從大型數據庫中發(fā)現有價值的信息(如設備維護記錄、貸款申請、財務交易甚至醫(yī)療記錄)并據此作出預測或建議。自動化決策在商業(yè)領域的合理運用可以提高經濟效率，降低雙向搜尋成本，有利于消費者的個性化定制與邊緣創(chuàng)新，因此，肯定自動化決策在商業(yè)環(huán)境中的價值，賦予信息主體知情權與選擇退出的權利，使其預測功能得到最大價值的發(fā)揮利用。在商業(yè)領域應用生物特征識別技術的情況下，除了認識到技術發(fā)展趨勢及其帶來的便捷和效率外，關鍵在于不能將生物特征識別作為唯一選項，而是應該給予用戶是否使用此方式的選擇權。更重要的是，加強對生物特征識別信息的數據安全保護，確保數據安全。

人工智能和數字經濟的發(fā)展正在向世人展開未來的巨幅圖景，數據價值將伴隨著信息技術的進步而不斷被挖掘和釋放，科技創(chuàng)新也在為個人信息保護和數據安全帶來新的動力支持。面向未來，中國需要制度創(chuàng)新的勇氣和智慧！

注釋：

① 如兒童信息保護領域的《兒童網絡隱私保護法》(Children’s Online Privacy Protection Act，COPPA)、電子通信領域的《電子通信隱私法》(Electronic Communications Privacy Act，ECPA)、金融領域的《公平信用報告法》(Fair Credit Reporting Act，FCRA)、《金融服務現代化法》(Financial Modernization Act/Gramm- Leach-Bliley Act，GLBA)及消費者保護領域的《聯邦貿易委員會法》(Federal Trade Commission Act)。

② 挪威數據保護局認為“大多數人工智能的應用都需要大量數據才能學習和做出明智的決策”，因此尤其重視對數據的更大需求。

③ 根據29條數據保護工作組意見，人臉識別是指對包含個人面孔的數字圖像進行自動處理，以進行識別、驗證或分類的目的。

④ GDPR第22條規(guī)定了數據主體有權反對完全依靠自動化處理(包括用戶畫像)對數據主體做出具有法律影響或類似嚴重影響的決策，且數據控制者應當采取適當措施保障數據主體的權利、自由、正當利益，以及數據主體對控制者進行人為干涉，以便表達其觀點和對決策進行異議的基本權利。GDPR第4條定義中“用戶畫像”指的是為了評估自然人的某些條件而對個人數據進行的任何自動化處理，特別是為了評估自然人的工作表現、經濟狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。

⑤ 根據CCPA相關定義，生物特征信息指指個人的生理、生物或行為特征，包括個人的脫氧核糖核酸(DNA)，這些可以單獨或組合使用或與其他識別數據一起使用，以建立個人身份。生物特征信息包括但不限于虹膜、視網膜、指紋、臉部、手掌、靜脈圖案和語音記錄的圖像，從其識別模板(例如面部印記、細節(jié)模板或聲紋)可以被提取，以及包含識別信息的點擊模式或節(jié)奏、步態(tài)模式或節(jié)奏以及睡眠、健康或運動數據；互聯網或其他電子網絡活動信息，包括但不限于瀏覽歷史、搜索歷史和關于消費者與互聯網網站、應用程序或廣告交互的信息；個人信息還包括從該條定義中已識別的任何信息中得出的推論，以創(chuàng)建反映消費者偏好、特征、心理傾向、偏好、傾向、行為、態(tài)度、智力、能力和資質的畫像。

⑥ 該特定情況指:a.經營者采取了防止再次識別的技術保護措施；b.經營者采取了專門防止再次識別的經營流程;c.經營者采取了防止去識別化信息因疏忽而被泄露的經營流程;d.經營者未試圖重新識別去識別化信息。

⑦ 在國家和地方政策扶持、數據資源豐富等多因素的驅動下，中國廣闊的人工智能應用市場成為發(fā)展優(yōu)勢。參見:《人工智能安全標準化白皮書(2019版)》，第4—6頁。

⑧ 中央銀行上?？偛堪l(fā)布《關于促進金融科技發(fā)展 支持上海建設金融科技中心的指導意見》，鼓勵金融機構創(chuàng)新思維與經營理念、順應智能發(fā)展態(tài)勢，借助云計算、區(qū)塊鏈、人工智能、生物識別等技術，依托金融大數據平臺，找準突破口和主攻方向，在智慧網點、智能客服、智能投顧、智能風控等金融產品和服務方面進行創(chuàng)新。發(fā)展和改革委員會、交通運輸部提出，“鐵路要推廣自助實名制核驗通道，實現‘刷臉’進站。”商務部《關于推動便利店品牌化連鎖化發(fā)展的工作通知》提出，“推廣自助結算、掃碼支付、刷臉支付等支付技術，鼓勵采用數字貨架、電子價簽、無線射頻等商品管理技術，提升服務智能化水平，優(yōu)化消費體驗?！?/p>

⑨ 公安部網絡安全保衛(wèi)局、北京網絡行業(yè)協會、公安部第三研究所聯合發(fā)布的《互聯網個人信息安全保護指南》，國家互聯網信息辦公室秘書局、工業(yè)和信息化部辦公廳、公安部辦公廳、市場監(jiān)管總局辦公廳聯合發(fā)布的《App違法違規(guī)收集使用個人信息行為認定方法》等文件也要求確保用戶有拒絕的權利，或需提供終止定向推送的選項等規(guī)定。