李 沖

（山東大學(xué)，山東 青島 266237）

以ChatGPT（Chat Generative Pretrained Transformer）為代表的生成式人工智能的發(fā)展是科技領(lǐng)域具有里程碑意義的事件。生成式人工智能對(duì)訓(xùn)練樣本有較強(qiáng)的依賴性，數(shù)據(jù)的數(shù)量和質(zhì)量決定了生成式人工智能輸出的內(nèi)容。但目前生成式人工智能在挖掘和使用數(shù)據(jù)的過程中并不能辨析數(shù)據(jù)的權(quán)利狀態(tài)與隱私風(fēng)險(xiǎn)，被利用的數(shù)據(jù)中存在大量受《個(gè)人信息保護(hù)法》保護(hù)的客體。如何實(shí)現(xiàn)個(gè)人信息保護(hù)和流通的平衡是生成式人工智能進(jìn)一步發(fā)展需要解決的問題。2022 年12 月，中共中央、國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，提出將數(shù)據(jù)分類作為化解數(shù)據(jù)風(fēng)險(xiǎn)的基礎(chǔ)手段，為個(gè)人信息的刑事治理提供了重要指引。事實(shí)上，早在2017 年最高人民法院和最高人民檢察院就聯(lián)合印發(fā)了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（下文簡(jiǎn)稱《個(gè)人信息刑事案件司法解釋》），其中第五條便實(shí)質(zhì)上采取了數(shù)據(jù)分類的手段，將個(gè)人信息分為“敏感個(gè)人信息”和“一般個(gè)人信息”，并規(guī)定了不同的入罪情節(jié)，但具體的分類標(biāo)準(zhǔn)未予明確，需進(jìn)一步研究。隨著《民法典》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》相繼出臺(tái)，個(gè)人信息的權(quán)利種類得到了極大的豐富，但前置法中的權(quán)利種類能否直接作為刑法中個(gè)人信息分類的標(biāo)準(zhǔn)仍然有待思考。在目前理論與實(shí)務(wù)嚴(yán)重缺乏共識(shí)的情況下，亟需對(duì)個(gè)人信息的刑法分類問題進(jìn)行系統(tǒng)梳理，給出妥當(dāng)且易于把握的分類標(biāo)準(zhǔn)。

一、基于權(quán)利的分類方法的理論及不足

（一）基于權(quán)利的分類方法的理論展開

在個(gè)人信息的分類保護(hù)中，民事法律領(lǐng)域形成了相對(duì)完整的分類體系，有著較為明確的分類標(biāo)準(zhǔn)。基于法秩序統(tǒng)一原理，刑法領(lǐng)域?qū)€(gè)人信息的分類需注重“民刑”規(guī)范的銜接。目前，在與前置法銜接的理論研究中，大多數(shù)刑法學(xué)者的研究集中在法益層面，以法益是否受到侵犯從而對(duì)前置法中規(guī)定的個(gè)人信息違法類型進(jìn)行選擇性規(guī)制。所以，從現(xiàn)有理論研究的角度可以得出這樣的結(jié)論：為了更好保護(hù)公民的人格權(quán)益，刑法需要以個(gè)人信息的法益為標(biāo)準(zhǔn)將不同的個(gè)人信息予以選擇性保護(hù)。刑法學(xué)界對(duì)個(gè)人信息法益的具體解讀有所不同，有學(xué)者認(rèn)為個(gè)人信息制度保護(hù)的法益為個(gè)人信息權(quán)，將公民精神權(quán)利、財(cái)產(chǎn)利益、自由權(quán)利作為侵犯公民個(gè)人信息罪的保護(hù)法益①參見劉艷紅：《侵犯公民個(gè)人信息罪法益：個(gè)人法益及新型權(quán)利之確證——以〈個(gè)人信息保護(hù)法（草案）〉為視角之分析》，載《中國(guó)刑事法雜志》2019 年第5 期，第32 頁(yè)。。還有學(xué)者對(duì)個(gè)人信息權(quán)進(jìn)行限縮解釋，當(dāng)侵犯?jìng)€(gè)人信息的行為破壞了個(gè)人信息主體對(duì)個(gè)人信息控制和支配能力的時(shí)候，刑法應(yīng)予以保護(hù)②參見張憶然：《大數(shù)據(jù)時(shí)代“個(gè)人信息”的權(quán)利變遷與刑法保護(hù)的教義學(xué)限縮——以“數(shù)據(jù)財(cái)產(chǎn)權(quán)”與“信息自決權(quán)”的二分為視角》，載《政治與法律》2020 年第6 期，第58 頁(yè)。。盡管表述有所不同，但是上述學(xué)者的邏輯起點(diǎn)相同，即將個(gè)人信息視為私法上的人格權(quán)益，刑法尊重主體平等和意思自治的個(gè)人信息處理原則，當(dāng)這一原則被違反，則視為法益受到了侵犯。上述分類方法可以稱之為“基于權(quán)利的分類方法”。某種程度上，實(shí)踐中我國(guó)刑事司法機(jī)關(guān)也采取上述邏輯。2018 年，最高人民檢察院印發(fā)的《檢察機(jī)關(guān)辦理侵犯公民個(gè)人信息案件指引》（下文簡(jiǎn)稱《侵犯公民個(gè)人信息案件指引》），第四條將《個(gè)人信息刑事案件司法解釋》第五條的部分內(nèi)容予以細(xì)化，認(rèn)為行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息屬于第一等級(jí)的個(gè)人信息。上述分類方法可以稱之為“基于權(quán)利的分類方法”，其基于預(yù)先設(shè)定好的權(quán)利，對(duì)個(gè)人信息實(shí)現(xiàn)分類。故“基于權(quán)利的分類方法”實(shí)質(zhì)上是一種命令和控制的方法。

“基于權(quán)利的分類方法”的主要理論依據(jù)是隱私保護(hù)的理論?！妒澜缛藱?quán)宣言》第十二條規(guī)定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的榮譽(yù)和名譽(yù)不得加以攻擊。人人有權(quán)享受法律保護(hù)，以免受這種干涉或攻擊?！边@一般被認(rèn)為是隱私權(quán)保護(hù)及個(gè)人信息保護(hù)的重要法律淵源，明確了個(gè)人信息的權(quán)屬③參見張新寶：《個(gè)人信息收集：告知同意原則適用的限制》，載《比較法研究》2019 年第6 期，第4 頁(yè)。。承此思路，我國(guó)也主要從私法的角度明確對(duì)個(gè)人信息的法律定位，強(qiáng)調(diào)公民對(duì)個(gè)人信息的控制，并通過賦予公民一系列具體的權(quán)利以實(shí)現(xiàn)公民對(duì)于個(gè)人信息的控制。按照我國(guó)《民法典》的規(guī)定，個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，此規(guī)定突出了個(gè)人信息鮮明的個(gè)人權(quán)利要素。后續(xù)《個(gè)人信息保護(hù)法》第四章規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的系列權(quán)利，如知情同意權(quán)、刪除權(quán)等，立法者希望通過賦予公民上述權(quán)利以實(shí)現(xiàn)公民對(duì)個(gè)人信息的控制。

（二）基于權(quán)利的分類方法的不足

其一，“基于權(quán)利的分類方法”難以在生成式人工智能的背景下精確地劃定公民的權(quán)利邊界。“基于權(quán)利的分類方法”假定所有情況都是已知的，從一開始就制定權(quán)利的邊界，并將權(quán)利的邊界適用于后續(xù)的所有場(chǎng)景，對(duì)越過此邊界且情節(jié)嚴(yán)重的行為予以打擊，繼而構(gòu)建出“理想”的個(gè)人信息保護(hù)秩序。但社會(huì)情況并不總是已知的，特別是對(duì)于高度依賴于具體場(chǎng)景的個(gè)人信息尤為如此。判斷個(gè)人信息權(quán)利是否受到了侵犯，前提是判斷個(gè)人信息能否關(guān)聯(lián)到公民相應(yīng)的人格利益，若目標(biāo)信息實(shí)現(xiàn)了“匿名化”，不具備“關(guān)聯(lián)性”，那么其將不被視為個(gè)人信息。但相較于傳統(tǒng)的數(shù)據(jù)分析工具，生成式人工智能除了對(duì)具備直接關(guān)聯(lián)性的數(shù)據(jù)進(jìn)行調(diào)取和反饋，還可以發(fā)現(xiàn)具備潛在關(guān)聯(lián)性的數(shù)據(jù)并進(jìn)行利用④參見王遷：《ChatGPT 生成的內(nèi)容能受著作權(quán)法保護(hù)嗎？》，載《探索與爭(zhēng)鳴》2023 年第3 期，第17 頁(yè)。。換言之，生成式人工智能可以運(yùn)用獨(dú)特的算法模式勾勒零散無(wú)序的非標(biāo)識(shí)屬性值與敏感屬性值之間的特殊關(guān)聯(lián)。在生成式人工智能的邏輯下，任何信息都能夠通過與海量數(shù)據(jù)的比對(duì)實(shí)現(xiàn)與特定人和特定權(quán)益的關(guān)聯(lián)。故“基于權(quán)利的分類方法”所依賴的“關(guān)聯(lián)性”標(biāo)準(zhǔn)難以對(duì)權(quán)利的邊界范圍進(jìn)行實(shí)質(zhì)性劃定。刑法本身的性質(zhì)要求刑法學(xué)應(yīng)當(dāng)是極為精確的法律科學(xué)，以含糊的權(quán)利邊界作為定罪量刑的依據(jù)無(wú)異于否定罪刑法定原則以及否定刑法存在的價(jià)值。

其二，“基于權(quán)利的分類方法”無(wú)法應(yīng)對(duì)強(qiáng)大的生成式人工智能處理個(gè)人信息時(shí)的非對(duì)稱權(quán)力結(jié)構(gòu)。與分析式人工智能不同，生成式人工智能可以根據(jù)人類的反饋不斷強(qiáng)化自身訓(xùn)練，從而實(shí)現(xiàn)對(duì)人類指令的理解和回應(yīng)，并且生成式人工智能對(duì)于輸入內(nèi)容的理解和解釋能力遠(yuǎn)遠(yuǎn)超過人類。在生成式人工智能的背景下，平臺(tái)產(chǎn)生了一種更為中心化的權(quán)力。部分學(xué)者提出擔(dān)憂，以ChatGPT 為代表的基礎(chǔ)性平臺(tái)的大量應(yīng)用，可能打破互聯(lián)網(wǎng)時(shí)代以來(lái)的去中心化趨勢(shì)，最終淪為互聯(lián)網(wǎng)寡頭的集權(quán)工具⑤參見陳全真：《生成式人工智能與平臺(tái)權(quán)力的再中心化》，載《東方法學(xué)》2023 年第3 期，第64 頁(yè)。。一方面，“基于權(quán)利的分類方法”認(rèn)為平臺(tái)和個(gè)人均為平等的權(quán)利主體，故理想狀態(tài)下能夠通過賦權(quán)使權(quán)利人實(shí)現(xiàn)對(duì)個(gè)人信息的掌控，所以實(shí)現(xiàn)公民的個(gè)人信息權(quán)是個(gè)人信息刑事治理的核心。但由于公民的有限理性，在面對(duì)平臺(tái)強(qiáng)大的非對(duì)稱權(quán)力時(shí)，公民個(gè)人信息權(quán)容易出現(xiàn)被架空的困境。以公民的知情同意權(quán)為例，公民的有限理性在面對(duì)復(fù)雜的算法技術(shù)時(shí)可能導(dǎo)致其對(duì)個(gè)人信息進(jìn)行錯(cuò)誤的授權(quán)，最終公民的系列個(gè)人信息權(quán)利可能會(huì)淪為“紙面上的權(quán)利”。另一方面，“基于權(quán)利的分類方法”實(shí)質(zhì)是將個(gè)人信息能否被使用和處理的判斷權(quán)賦予個(gè)人，但這同時(shí)也是一種義務(wù)，即由個(gè)人來(lái)承擔(dān)其個(gè)人信息被利用的風(fēng)險(xiǎn)判斷的責(zé)任。數(shù)據(jù)平臺(tái)是個(gè)人信息利用過程中的最大受益主體，但是個(gè)人信息利用的風(fēng)險(xiǎn)判斷責(zé)任卻被分配給了相對(duì)人，有違權(quán)責(zé)一致原則。相較于數(shù)據(jù)平臺(tái)，個(gè)體難以準(zhǔn)確預(yù)知個(gè)人信息被處理可能導(dǎo)致的風(fēng)險(xiǎn)。

其三，“基于權(quán)利的分類方法”無(wú)法滿足生成式人工智能時(shí)代技術(shù)創(chuàng)新的需求。在“基于權(quán)利的分類方法”的邏輯下，如果個(gè)人信息的后續(xù)利用違背個(gè)人信息主體一開始授權(quán)的目的和用途，且沒有取得二次授權(quán)，此時(shí)便認(rèn)為權(quán)利受到侵犯，嚴(yán)重者將成立刑事犯罪。但與過往的個(gè)人信息利用方式不同，生成式人工智能對(duì)于個(gè)人信息的利用并非單次利用，而是幾十次、上百次甚至更多次的反復(fù)利用。特別是對(duì)于以O(shè)pen AI 為代表的生成式人工智能公司而言，個(gè)人信息的價(jià)值只有在被充分反復(fù)利用后才能實(shí)現(xiàn)，如果個(gè)人信息首次授權(quán)利用的場(chǎng)景尚可能是明晰可知的，但后續(xù)的利用場(chǎng)景大概率是難以預(yù)知的。ChatGPT 數(shù)據(jù)庫(kù)中數(shù)以億萬(wàn)計(jì)的個(gè)人信息全部實(shí)現(xiàn)二次授權(quán)并不現(xiàn)實(shí)，況且ChatGPT 針對(duì)某一特定個(gè)人信息究竟需要利用多少次、得到多少次授權(quán)，這可能連ChatGPT 本身也不清楚。正如ChatGPT 所承認(rèn)的那樣，ChatGPT 無(wú)法保證所有數(shù)據(jù)的利用場(chǎng)景都經(jīng)過了授權(quán)。而如果將個(gè)人信息后續(xù)未經(jīng)授權(quán)的利用行為一律進(jìn)行打擊，甚至予以刑事打擊，這顯然不符合人工智能的發(fā)展趨勢(shì)，無(wú)疑是對(duì)技術(shù)創(chuàng)新的人為扼殺。同時(shí)，過于嚴(yán)苛的保護(hù)模式也并不意味著能夠較好地實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)，因?yàn)椤盎跈?quán)利的分類方法”并未給信息處理者提供足夠的容錯(cuò)空間。當(dāng)信息處理者無(wú)法達(dá)到此嚴(yán)苛的權(quán)利保護(hù)標(biāo)準(zhǔn)時(shí)，其基于本能就會(huì)選擇采取措施來(lái)進(jìn)一步規(guī)避對(duì)個(gè)人信息的保護(hù)，且這種規(guī)避可能難以被缺乏足夠技術(shù)背景支持的監(jiān)管部門察覺，長(zhǎng)此以往必然會(huì)導(dǎo)致相對(duì)人的權(quán)益進(jìn)一步受損。

二、基于風(fēng)險(xiǎn)的分類方法的引入及邏輯展開

（一）基于風(fēng)險(xiǎn)的分類方法的內(nèi)涵分析

盡管“基于風(fēng)險(xiǎn)的分類方法”近兩年才引發(fā)人們的普遍關(guān)注，但是將風(fēng)險(xiǎn)作為標(biāo)準(zhǔn)在數(shù)據(jù)領(lǐng)域進(jìn)行分類保護(hù)并非新鮮事物。風(fēng)險(xiǎn)的概念和方法被越來(lái)越多的國(guó)家和地區(qū)采納。1995年，歐洲議會(huì)和理事會(huì)通過的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流通的第95/46/EC/號(hào)指令》（以下簡(jiǎn)稱《95/46/EC指令》）中就多次提及“風(fēng)險(xiǎn)方法”。例如《95/46/EC 指令》第十八條指出，“為了避免不正當(dāng)?shù)男姓掷m(xù)，風(fēng)險(xiǎn)可以作為成員國(guó)決定是否免除或者簡(jiǎn)化數(shù)據(jù)通知者義務(wù)的標(biāo)準(zhǔn)”。相較于零星提及風(fēng)險(xiǎn)方法的《95/46/EC 指令》，歐盟在2018 年通過的《通用數(shù)據(jù)保護(hù)條例》（GDPR）中將風(fēng)險(xiǎn)方法貫穿于整個(gè)文本，該文本諸多條款圍繞“基于風(fēng)險(xiǎn)的分類方法”展開，如第二十四條控制者責(zé)任、第二十五條通過設(shè)計(jì)及默認(rèn)方式保護(hù)數(shù)據(jù)、第三十三條數(shù)據(jù)泄露通知、第三十五條數(shù)據(jù)保護(hù)影響評(píng)估等。我國(guó)的立法實(shí)踐也較多地體現(xiàn)了“基于風(fēng)險(xiǎn)的分類方法”的操作路徑，例如《個(gè)人信息保護(hù)法》第七條指出信息的處理應(yīng)該公開透明，第八條規(guī)定了處理個(gè)人信息時(shí)應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，這些實(shí)質(zhì)上都是降低風(fēng)險(xiǎn)的措施。第十一條要求國(guó)家建立個(gè)人信息保護(hù)制度以預(yù)防可能的對(duì)個(gè)人信息產(chǎn)生危害的行為，這體現(xiàn)了預(yù)防風(fēng)險(xiǎn)的思路。此外，《個(gè)人信息保護(hù)法》第四十條規(guī)定了個(gè)人信息的跨境運(yùn)輸需要經(jīng)過國(guó)家網(wǎng)信部門的評(píng)估，第五十五條、五十六條規(guī)定個(gè)人信息處理者進(jìn)行個(gè)人信息保護(hù)影響風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)該遵守的基本內(nèi)容，第六十四條賦予相關(guān)機(jī)構(gòu)針對(duì)風(fēng)險(xiǎn)制造者進(jìn)行約談的權(quán)力。以上條款均體現(xiàn)了“基于風(fēng)險(xiǎn)的分類方法”。

黨的二十大報(bào)告提出防范系統(tǒng)性風(fēng)險(xiǎn)的戰(zhàn)略目標(biāo)，基于風(fēng)險(xiǎn)的方法應(yīng)當(dāng)成為我們社會(huì)科學(xué)研究的基本思維范式。風(fēng)險(xiǎn)這一概念最初與醫(yī)藥、食品和環(huán)境有關(guān)，但是現(xiàn)在風(fēng)險(xiǎn)的概念遠(yuǎn)遠(yuǎn)超越最初的定義，目前學(xué)界更多地是從社會(huì)治理層面來(lái)討論風(fēng)險(xiǎn)的工具意義。我們可以從四個(gè)角度來(lái)理解“基于風(fēng)險(xiǎn)的分類方法”。首先，對(duì)于目標(biāo)而言，“基于風(fēng)險(xiǎn)的分類方法”承認(rèn)個(gè)人和信息處理者之間地位的不對(duì)等性，放棄了對(duì)個(gè)人權(quán)利零侵害的思路，轉(zhuǎn)而追求個(gè)人信息處理過程中風(fēng)險(xiǎn)的概率及嚴(yán)重程度。“基于風(fēng)險(xiǎn)的分類方法”的基本目標(biāo)不應(yīng)在于消除所有的侵害因素，而是應(yīng)當(dāng)關(guān)注所有可能產(chǎn)生負(fù)面效應(yīng)的因素，并以此為根據(jù)令信息處理者進(jìn)行風(fēng)險(xiǎn)管理。其次，對(duì)于實(shí)現(xiàn)路徑而言，“基于風(fēng)險(xiǎn)的分類方法”是通過數(shù)據(jù)處理行為對(duì)數(shù)據(jù)保護(hù)可能造成的影響來(lái)評(píng)估風(fēng)險(xiǎn)。與“基于權(quán)利的分類方法”中對(duì)個(gè)人信息的利用行為進(jìn)行一次性評(píng)估不同，“基于風(fēng)險(xiǎn)的分類方法”是在個(gè)人信息利用場(chǎng)景中對(duì)個(gè)人信息的利用行為進(jìn)行過程性評(píng)估和多次評(píng)估，評(píng)估的過程更加注重該利用行為是否創(chuàng)造了法律不允許的風(fēng)險(xiǎn)。再次，對(duì)于基本模式而言，“基于風(fēng)險(xiǎn)的分類方法”放棄了以知情同意原則作為信息處理合法化的理由，即個(gè)人信息的風(fēng)險(xiǎn)評(píng)估并不依賴于信息主體是否授權(quán)，而將個(gè)人信息保護(hù)的實(shí)際義務(wù)分配給個(gè)人信息的處理者。該方法是迫使個(gè)人信息處理者對(duì)個(gè)人信息主體承擔(dān)更多責(zé)任的一種方式，引導(dǎo)個(gè)人信息處理者盡可能地采取風(fēng)險(xiǎn)最小的處理方式。最后，在效果上，“基于風(fēng)險(xiǎn)的分類方法”主張利用風(fēng)險(xiǎn)分析工作以代替?zhèn)鹘y(tǒng)的依托于個(gè)人信息保護(hù)原則的權(quán)利路徑，即“基于風(fēng)險(xiǎn)的分類方法”更加關(guān)注風(fēng)險(xiǎn)本身，并根據(jù)風(fēng)險(xiǎn)進(jìn)行權(quán)利義務(wù)的微調(diào)，而這就為刑法的介入提供了一個(gè)明確和可論證的框架。

總之，相較于“基于權(quán)利的分類方法”，“基于風(fēng)險(xiǎn)的分類方法”實(shí)現(xiàn)了風(fēng)險(xiǎn)評(píng)估義務(wù)由信息主體到信息處理者的轉(zhuǎn)移，并且“基于風(fēng)險(xiǎn)的分類方法”更側(cè)重違反規(guī)則所產(chǎn)生的風(fēng)險(xiǎn)而并非違反規(guī)則本身。刑法意義上非法性的來(lái)源在于信息處理者沒有盡到其本身的注意義務(wù)而導(dǎo)致的客觀的、真實(shí)的侵害法益的風(fēng)險(xiǎn)，正是這種風(fēng)險(xiǎn)提供了刑法規(guī)制的對(duì)象。

（二）基于風(fēng)險(xiǎn)的分類方法的比較優(yōu)勢(shì)

其一，“基于風(fēng)險(xiǎn)的分類方法”是動(dòng)態(tài)靈活的分類形式，適應(yīng)生成式人工智能背景下的個(gè)人信息的利用模式，能夠?qū)€(gè)人信息實(shí)現(xiàn)精準(zhǔn)的保護(hù)。如上文所述，生成式人工智能的背景下，“基于權(quán)利的分類標(biāo)準(zhǔn)”之所以具有模糊性，本質(zhì)在于個(gè)人信息的場(chǎng)景依附性。由于場(chǎng)景不同進(jìn)而導(dǎo)致識(shí)別目標(biāo)、識(shí)別概率和識(shí)別風(fēng)險(xiǎn)等諸多因素的不同，這些因素的共同作用下，呈現(xiàn)出需要不同梯度保護(hù)的個(gè)人信息。故刑事領(lǐng)域?qū)€(gè)人信息分類保護(hù)應(yīng)當(dāng)注重個(gè)人信息的場(chǎng)景依附性。與“基于權(quán)利的分類方法”不同，“基于風(fēng)險(xiǎn)的分類方法”主張?jiān)u估個(gè)人信息處理所可能產(chǎn)生的風(fēng)險(xiǎn)，并且基于該風(fēng)險(xiǎn)決定是否對(duì)其予以刑事保護(hù)以及予以何種程度的刑事保護(hù)，進(jìn)而實(shí)現(xiàn)對(duì)個(gè)人信息的分類保護(hù)。由此可以看出，“基于風(fēng)險(xiǎn)的分類方法”沒有固定的分類范圍，而是根據(jù)具體場(chǎng)景中產(chǎn)生的風(fēng)險(xiǎn)確定個(gè)人信息的保護(hù)范圍進(jìn)而確定分類范圍，具有相當(dāng)大的靈活性。這種根據(jù)實(shí)際動(dòng)態(tài)調(diào)整的分類模式與生成式人工智能背景下個(gè)人信息的不確定性特征相符。

其二，“基于風(fēng)險(xiǎn)的分類方法”實(shí)現(xiàn)了個(gè)人信息處理過程中公民與平臺(tái)權(quán)責(zé)的合理分配。部分學(xué)者指出，人工智能治理是現(xiàn)代國(guó)家治理的重要內(nèi)容，但是由于人工智能本身的技術(shù)復(fù)雜性，國(guó)家無(wú)法直接介入過于專業(yè)的領(lǐng)域，所以，人工智能的治理主要依托于大型科技公司⑥參見徐冬根：《二元共治視角下代碼之治的正當(dāng)性與合法性分析》，載《東方法學(xué)》2023 年第1 期，第44 頁(yè)。。當(dāng)今私人化的社會(huì)平臺(tái)擁有巨大的社會(huì)“公權(quán)力”，這種以算法和代碼為依托的“公權(quán)力”利用個(gè)人信息對(duì)公民實(shí)現(xiàn)了電子畫像，從而進(jìn)行分級(jí)管理，但卻缺乏應(yīng)有的規(guī)制路徑。在目前個(gè)人信息的利用過程中，處于弱勢(shì)地位的公民承擔(dān)了個(gè)人信息被利用所產(chǎn)生的風(fēng)險(xiǎn)，生成式人工智能卻享有巨大的利益，同時(shí)卻不完全承擔(dān)風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)管理的責(zé)任，導(dǎo)致了權(quán)力與責(zé)任的脫節(jié)。然而，在“基于風(fēng)險(xiǎn)的分類方法”的基本模式設(shè)定下，風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)管理的責(zé)任被直接分配到平臺(tái)這一主體，由平臺(tái)來(lái)判斷個(gè)人信息利用的風(fēng)險(xiǎn)大小并基于此選擇合適的個(gè)人信息保護(hù)和利用的方式。當(dāng)平臺(tái)選擇的方式無(wú)法管理風(fēng)險(xiǎn)時(shí)，就應(yīng)對(duì)此進(jìn)行刑法制裁。因此，“基于風(fēng)險(xiǎn)的分類方法”一方面實(shí)現(xiàn)了權(quán)力與責(zé)任的統(tǒng)一，另一方面將風(fēng)險(xiǎn)判斷的責(zé)任由處于弱勢(shì)地位的公民轉(zhuǎn)移至具有強(qiáng)大技術(shù)支撐的人工智能平臺(tái)，有利于更加精準(zhǔn)地預(yù)判風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)個(gè)人信息的有效保護(hù)。

其三，“基于風(fēng)險(xiǎn)的分類方法”具有明確和可論證的框架，有利于實(shí)現(xiàn)風(fēng)險(xiǎn)大小和制裁措施的平衡，為生成式人工智能的發(fā)展提供更多的容錯(cuò)空間。在生成式人工智能背景下，個(gè)人數(shù)據(jù)被大量、多層次地應(yīng)用。若個(gè)人信息保護(hù)堅(jiān)持一成不變的權(quán)利標(biāo)準(zhǔn)，容易遏制科技創(chuàng)新。而如上文所提及的那樣，“基于風(fēng)險(xiǎn)的分類方法”實(shí)現(xiàn)了風(fēng)險(xiǎn)責(zé)任由個(gè)人信息主體到個(gè)人信息處理者的轉(zhuǎn)移，但是這并非一個(gè)“是”或“否”的問題，而是“多”和“少”的問題。也就是說，盡管實(shí)現(xiàn)了風(fēng)險(xiǎn)責(zé)任的轉(zhuǎn)移，但“基于風(fēng)險(xiǎn)的分類方法”并不追求零風(fēng)險(xiǎn)，合理范圍內(nèi)的風(fēng)險(xiǎn)是可接受的。歐盟針對(duì)《通用數(shù)據(jù)保護(hù)條例》組建的執(zhí)法機(jī)構(gòu)“第二十九條工作組”表示，適用于處理者的基本原則（即合法性、數(shù)據(jù)最小化等）應(yīng)該保持不變，無(wú)論處理的范圍和數(shù)據(jù)主體的風(fēng)險(xiǎn)如何。然而，它們本身具有可擴(kuò)展性（scalable），所有處理者必須依法行事，盡管這可以使用可伸縮的方式進(jìn)行。上述“第二十九條工作組”的意見可以被視為風(fēng)險(xiǎn)管理的第二個(gè)目標(biāo)，這為數(shù)據(jù)處理者提供更大的靈活性和可伸縮性。所以，在此意義上，“基于風(fēng)險(xiǎn)的分類方法”有利于為技術(shù)的創(chuàng)新提供足夠的容錯(cuò)空間。

三、基于風(fēng)險(xiǎn)的分類方法的現(xiàn)實(shí)構(gòu)建

（一）敏感個(gè)人信息和一般個(gè)人信息的風(fēng)險(xiǎn)等級(jí)劃分

我國(guó)《個(gè)人信息保護(hù)法》將個(gè)人信息分為“敏感個(gè)人信息”和“一般個(gè)人信息”，《個(gè)人信息保護(hù)法》第二十八條將敏感個(gè)人信息表述為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”。歐盟的《一般數(shù)據(jù)保護(hù)條例》認(rèn)為敏感個(gè)人信息是類型特殊，需要特別關(guān)注的個(gè)人信息。如上文所述，按照《個(gè)人信息刑事案件司法解釋》和《侵犯公民個(gè)人信息案件指引》的有關(guān)規(guī)定，我國(guó)刑事司法領(lǐng)域無(wú)疑也采取了敏感個(gè)人信息和一般個(gè)人信息分類保護(hù)的思路，即不同類型、不同級(jí)別的個(gè)人信息所承載的權(quán)益差別較大。但是我國(guó)刑事法律中的分類僅考慮了風(fēng)險(xiǎn)的大小，沒有將風(fēng)險(xiǎn)發(fā)生的概率納入考量。事實(shí)上，“基于風(fēng)險(xiǎn)的分類方法”對(duì)于風(fēng)險(xiǎn)的認(rèn)定不僅考察風(fēng)險(xiǎn)的程度大小，同樣也考慮風(fēng)險(xiǎn)的發(fā)生概率。

風(fēng)險(xiǎn)的概率和風(fēng)險(xiǎn)的程度都是針對(duì)法益而言的，個(gè)人信息權(quán)長(zhǎng)期被視為民法意義上的私權(quán)，多數(shù)刑法學(xué)者在此思路下也將個(gè)人信息保護(hù)的法益視為私權(quán)意義上的個(gè)人信息權(quán)。但縱觀域內(nèi)外的立法動(dòng)態(tài)，個(gè)人信息權(quán)逐步完成從公民私權(quán)到國(guó)家義務(wù)的主要轉(zhuǎn)向⑦參見王錫鋅：《個(gè)人信息國(guó)家保護(hù)義務(wù)及展開》，載《中國(guó)法學(xué)》2021 年第1 期，第151 頁(yè)。。所以個(gè)人信息權(quán)并非靜態(tài)的、不變的個(gè)人權(quán)利實(shí)體，而是動(dòng)態(tài)的國(guó)家治理制度的體現(xiàn)。國(guó)家通過這一制度工具維護(hù)依附在個(gè)人信息上的法益?；趹椃ㄔ瓌t，個(gè)人信息是人權(quán)的延伸。作為憲法秩序下的刑事法律體系，優(yōu)先目標(biāo)不是挖掘公民個(gè)人信息的利用潛力，而是防止各信息處理主體在信息處理的過程中侵犯公民的相關(guān)人格利益。此外，個(gè)人信息的法益同樣包括社會(huì)法益，這是因?yàn)閭€(gè)人信息很大程度上是對(duì)社會(huì)的反映，所承載的不僅僅是個(gè)人利益。信息的充分流通是以ChatGPT 為代表的生成式人工智能發(fā)展的核心要素，考量社會(huì)因素也是為其發(fā)展劃定足夠的空間。故個(gè)人信息的社會(huì)法益可以作為對(duì)個(gè)人利益的限定，避免個(gè)人信息保護(hù)范圍的無(wú)限擴(kuò)張。

綜上所述，刑法可以根據(jù)個(gè)人信息處理過程對(duì)法益的危害程度和概率來(lái)對(duì)個(gè)人信息進(jìn)行細(xì)化分類?？傮w而言，刑法可以利用高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)三種概念將敏感個(gè)人信息與一般個(gè)人信息的內(nèi)涵進(jìn)行具體化：高風(fēng)險(xiǎn)的個(gè)人信息和中風(fēng)險(xiǎn)的個(gè)人信息即為敏感個(gè)人信息，而低風(fēng)險(xiǎn)的個(gè)人信息即為一般的個(gè)人信息。具體來(lái)講，高風(fēng)險(xiǎn)的個(gè)人信息直接承載公民的人格和財(cái)產(chǎn)利益。例如公民的軌跡信息、財(cái)產(chǎn)收入賬單等，這類信息如果被泄露和處理，會(huì)直接產(chǎn)生巨大的危害。中風(fēng)險(xiǎn)的個(gè)人信息不能直接關(guān)聯(lián)公民的人格和財(cái)產(chǎn)利益，如果該類信息被泄露和處理，只有特定的情形下才能夠轉(zhuǎn)化為人身財(cái)產(chǎn)的風(fēng)險(xiǎn)，例如銀行交易流水，只有在大量的銀行交易流水存在或者該交易流水被具有財(cái)務(wù)專業(yè)知識(shí)的人員識(shí)別等情形下才能夠?qū)Ψㄒ嬖斐奢^大的危害。而低風(fēng)險(xiǎn)的個(gè)人信息屬于一般的個(gè)人信息，僅承擔(dān)工具的功能，對(duì)該類型個(gè)人信息本身的利用無(wú)法直接產(chǎn)生危害效果，例如身份證號(hào)碼，單獨(dú)的密碼等。但是如果該類型個(gè)人信息與特定事物實(shí)現(xiàn)關(guān)聯(lián)，則會(huì)產(chǎn)生風(fēng)險(xiǎn)。也就是說，低風(fēng)險(xiǎn)的個(gè)人信息只有在特定的人和特定技術(shù)的背景下，才會(huì)對(duì)信息主體產(chǎn)生風(fēng)險(xiǎn)。例如公安機(jī)關(guān)的相關(guān)工作人員可以利用身份證鎖定當(dāng)事人，但是一般人卻難以實(shí)現(xiàn)該特定的關(guān)聯(lián)。正如歐盟《一般數(shù)據(jù)保護(hù)條例》“重述”第二十六條的表述，對(duì)于特定信息的識(shí)別，應(yīng)該考慮“所有合理和可能使用”的手段。故當(dāng)“所有合理和可能使用”的手段無(wú)法對(duì)個(gè)人信息實(shí)現(xiàn)關(guān)聯(lián)時(shí)，此時(shí)應(yīng)當(dāng)被認(rèn)為是一般個(gè)人信息。

（二）個(gè)人信息處理行為的罪責(zé)輕重判斷

如上文所述，個(gè)人信息在不同場(chǎng)景下會(huì)表現(xiàn)出不同的風(fēng)險(xiǎn)性。故對(duì)于上述個(gè)人信息分類的判斷要置于具體的場(chǎng)景之中。在不同的場(chǎng)景之中，上述個(gè)人信息完全可能實(shí)現(xiàn)層級(jí)轉(zhuǎn)化，由一般個(gè)人信息轉(zhuǎn)化為敏感個(gè)人信息，由中風(fēng)險(xiǎn)敏感個(gè)人信息轉(zhuǎn)化為高風(fēng)險(xiǎn)敏感個(gè)人信息。例如，公開的個(gè)人信息一般被認(rèn)為是一般個(gè)人信息。但實(shí)際上，公開的個(gè)人信息也與公民的人格、財(cái)產(chǎn)利益存在一定程度的關(guān)聯(lián)，當(dāng)信息處理者對(duì)公開個(gè)人信息進(jìn)行處理時(shí)，同樣可能引起刑法所不允許的風(fēng)險(xiǎn)。對(duì)于此種行為，刑法必須對(duì)其進(jìn)行打擊。特別是在以ChatGPT 為代表的生成式人工智能平臺(tái)迅速發(fā)展的背景下，個(gè)人信息之間的層級(jí)轉(zhuǎn)化將更為突出。生成式人工智能高超的關(guān)聯(lián)技術(shù)完全可以將一般個(gè)人信息轉(zhuǎn)化為敏感個(gè)人信息，例如生成式人工智能具有更為強(qiáng)大的數(shù)據(jù)畫像技術(shù)，可以通過公開的個(gè)人信息對(duì)相應(yīng)主體的生活習(xí)慣進(jìn)行畫像，進(jìn)而對(duì)人的行為作出預(yù)測(cè)。而且以ChatGPT 為代表的生成式人工智能應(yīng)用的門檻校低，這為社會(huì)公民帶來(lái)科技福祉的同時(shí)，也降低了犯罪的門檻，從而為普通人利用一般個(gè)人信息實(shí)施犯罪提供了可能性。

故為了更為精準(zhǔn)地判斷個(gè)人信息處理行為的罪責(zé)輕重，我們需要明確場(chǎng)景化的判斷路徑。本文從社會(huì)情景、處理主體、信息屬性和傳輸原則4 個(gè)方面入手，解構(gòu)生成式人工智能的具體應(yīng)用場(chǎng)景，根據(jù)風(fēng)險(xiǎn)的大小及概率對(duì)生成式人工智能背景下的個(gè)人信息進(jìn)行類型化保護(hù)。首先，社會(huì)場(chǎng)景要素。社會(huì)要素在過往的實(shí)踐中已經(jīng)被較多地關(guān)注，例如將個(gè)人信息的應(yīng)用場(chǎng)景分為公共領(lǐng)域和私人領(lǐng)域，并在不同領(lǐng)域中為信息處理者附加不同的刑事注意義務(wù)。實(shí)際上，公共領(lǐng)域和私人領(lǐng)域的涵蓋范圍之內(nèi)仍然存在多樣的場(chǎng)景，例如教育場(chǎng)景、醫(yī)療場(chǎng)景等，這就要求我們對(duì)其進(jìn)行更為具體的分析。其次，處理主體。信息的處理主體控制著信息的具體使用路徑和流向，對(duì)個(gè)人信息風(fēng)險(xiǎn)影響較大。我們通常所言的個(gè)人信息的可識(shí)別性，往往是針對(duì)個(gè)人信息的處理主體是否具備識(shí)別能力而言的。例如歐盟《一般數(shù)據(jù)保護(hù)條例》將個(gè)人信息的處理主體認(rèn)定是“控制者或者其他人”。盡管我國(guó)刑事法律體系規(guī)范和前置法規(guī)范都未明確規(guī)定個(gè)人信息處理主體，但是個(gè)人信息處理主體的主觀目的和客觀身份應(yīng)當(dāng)被考慮。再次，個(gè)人信息的屬性同樣也是值得考慮的因素，按照不同的內(nèi)部屬性對(duì)個(gè)人信息進(jìn)行類別劃分已經(jīng)成為世界個(gè)人信息保護(hù)的共通做法，例如勞動(dòng)者信息、兒童信息、婦女信息等，這些不同種類和性質(zhì)的個(gè)人信息的風(fēng)險(xiǎn)也不盡相同。最后，傳輸規(guī)范，即我們個(gè)人信息法律保護(hù)體系所確認(rèn)的相關(guān)原則。在個(gè)人信息的刑事治理中，盡管“基于風(fēng)險(xiǎn)的分類方法”相較于“基于權(quán)利的分類方法”具備極大的優(yōu)越性，但全面拋棄權(quán)利概念并不現(xiàn)實(shí)，特別是我國(guó)已經(jīng)制定了相對(duì)完備的個(gè)人信息權(quán)利體系，全面拋棄既有制度更不切實(shí)際。事實(shí)上，“基于風(fēng)險(xiǎn)的分類方法”和“基于權(quán)利的分類方法”并非絕對(duì)不兼容，權(quán)利的規(guī)則同樣可以成為判斷風(fēng)險(xiǎn)的依據(jù)，包括知情同意原則、保密原則、刪除權(quán)、攜帶權(quán)等。當(dāng)個(gè)人信息的處理行為符合前置法的規(guī)則時(shí)，就應(yīng)當(dāng)認(rèn)為處理個(gè)人信息所產(chǎn)生的刑事風(fēng)險(xiǎn)處于合理的限度，若違反前置法的規(guī)則就應(yīng)仔細(xì)考慮其可能產(chǎn)生的刑事風(fēng)險(xiǎn)。

另外，在個(gè)人信息的司法裁判中，法院往往針對(duì)具體的場(chǎng)景進(jìn)行法律分析，這與生成式人工智能背景下的個(gè)人信息風(fēng)險(xiǎn)的場(chǎng)景依附性相契合。事實(shí)上，在域外的法律實(shí)踐尤其是普通法系國(guó)家中，判例往往成為該國(guó)個(gè)人信息保護(hù)的重要法律淵源。例如美國(guó)聯(lián)邦委員會(huì)在對(duì)企業(yè)隱私政策進(jìn)行監(jiān)管時(shí)，會(huì)依賴以往對(duì)于個(gè)人信息不當(dāng)利用行為認(rèn)定的判例，這些判例成為美國(guó)重要的普通法規(guī)則?！盎陲L(fēng)險(xiǎn)的分類方法”在我國(guó)司法實(shí)踐中已經(jīng)有所體現(xiàn)，例如在著名的“微信讀書案”中，微信讀書的賬號(hào)盡管不關(guān)聯(lián)個(gè)人微信號(hào)，也不關(guān)聯(lián)手機(jī)號(hào)，但法院仍然認(rèn)為這些信息在特定場(chǎng)景下可以反映相關(guān)個(gè)人信息主體的特征⑧北京市互聯(lián)網(wǎng)法院（2019）京0491 民初16142 號(hào)民事判決書。。此時(shí)，此類個(gè)人信息處理便產(chǎn)生了風(fēng)險(xiǎn)，若風(fēng)險(xiǎn)較大則應(yīng)當(dāng)予以刑事規(guī)制。況且相較于域外，我國(guó)《個(gè)人信息保護(hù)法》賦予了個(gè)體在個(gè)人信息保護(hù)中直接起訴的權(quán)利，未來(lái)我國(guó)司法案例在個(gè)人信息風(fēng)險(xiǎn)的場(chǎng)景化判斷中必將發(fā)揮更大的作用。

結(jié)語(yǔ)

以ChatGPT 為代表的生成式人工智能展示出極大的應(yīng)用潛能，但是同時(shí)也給個(gè)人信息的保護(hù)帶來(lái)了極大的風(fēng)險(xiǎn)。對(duì)個(gè)人信息予以分類保護(hù)是中共中央、國(guó)務(wù)院確定的化解數(shù)據(jù)風(fēng)險(xiǎn)的重要方式。傳統(tǒng)的個(gè)人信息分類方式是基于權(quán)利的標(biāo)準(zhǔn)，與生成式人工智能時(shí)代背景下的要求并不相符。我們應(yīng)該進(jìn)一步引入“基于風(fēng)險(xiǎn)的分類方法”，利用個(gè)人信息處理對(duì)法益的危害程度、概率而對(duì)個(gè)人信息實(shí)現(xiàn)高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)的三種類型劃分。在實(shí)際操作中，我們要將個(gè)人信息進(jìn)一步還原到具體的場(chǎng)景中，借鑒各地司法案例來(lái)彈性地界定個(gè)人信息的分類范圍。通過“基于風(fēng)險(xiǎn)的分類方法”實(shí)現(xiàn)個(gè)人信息保護(hù)和流通的平衡，在保障公民個(gè)人信息權(quán)益的同時(shí)，釋放個(gè)人信息的應(yīng)用潛能。