尹锋林 赵旖鑫

2018年3月，英国数据公司剑桥分析（Cambridge Analyti-ca）借助Facebook平台收集用户信息，使用算法建模，通过分析用户偏好影响美国大选。这一事件被媒体曝光后，立刻引起了美国民众的强烈抗议，要求在现行网络环境与技术发展背景下保护个人信息的呼声越来越高。伴随着大数据、人工智能、云计算等技术的纵深式发展，以数据为基础、以算法为动力的“机器学习”能力不断增强。基于此，海量数据得以产生，愈来愈多的数据也得到了深度分析与利用。然而，如何在数据高利用率的环境下为个人信息的保护开辟出一条道路，明确人工智能环境下个人信息保护的合理边界，需要在梳理现行法律之后给出答案。

人工智能与个人信息

2019年5月第三届世界智能大会期间，天津市面向全球启动了“大数据应用场景建设计划”，并对外发布了100个大数据应用场景，鼓励社会各界对数据资源进行深度分析、挖掘和开发利用，推进各项人工智能应用场景落地。由此可见，数据，是人工智能发展的基石。没有数据，人工智能就相当于没有了“粮食”，高度依赖于“机器学习”的人工智能就很难“智能”起来。按照李开复博士的论述，人工智能分为四波浪潮：互联网智能化（Internet AI）、商业智能化（business AI）、实体世界智能化（perception AI）、自主智能化（autonomous AI）。由此可见，人工智能的“拟人性”将会越来越高，其自主性也会不断提升。基于此，人工智能机器运算和决策过程中的“黑箱”效应也会越来越明显，其内部的不透明性向明确个人信息保护的边界提出了挑战，如何将个人信息从算法的“囚室”中解救出来，成为了一个亟待解决的问题。

个人信息通常是指与识别或可识别的自然人相关的所有信息，包括但不限于自然人之姓名、出生年月、证件号码、指纹、婚姻、家庭、教育、职业、医疗、基因、健康检查、犯罪前科、联络方式、财务情况、社会活动、上网记录、地理位置等信息。个人信息的概念并非是一成不变的，伴随着科技的进步，个人信息这一概念的内涵也不断丰富、发展和变化。在1876年美国人A.G.贝尔发明电话机之前，电话号码还不可能成为一个人的个人信息;而在电子邮件系统发明之前，电子邮箱信息显然也没有必要作为个人信息给予保护。当前，随着信息网络技术、人工智能技术的发展，与自然人安宁、安全有关的个人信息越来越丰富，比如上网记录、地理位置、发布或浏览的信息等内容均有可能成为一个自然人的标识性信息。这些信息一方面涉及个人的安宁、安全和尊严，另一方面又有可能具有重要的商业价值。在人工智能时代，人工智能技术具备卓越的信息收集与处理能力，可以将任何碎片化的信息进行整合，从而实现信息从“量”到“质”的飞跃，因此，无论是对于个人，还是对信息收集者、使用者而言，个人信息均有可能具有显著的实用价值，如何有效保护和利用个人信息数据，成为人工智能技术健康发展和商业利用所面临的重要课题。

个人信息的民事保护

2017年2月16日，欧盟议会投票通过一项决议，就制定《机器人民事法律规则》提出具体建议，并要求欧盟委员会提交关于机器人和人工智能民事责任的法律提案。在本项决议中，欧盟议会指出，所有关于人工智能的规则包括透明度、责任规则都是有用的、必要的，但是这些原则不应影响机器人技术的研究、创新和发展过程。此外，决议还认为，鉴于机器人和人工智能技术发展的阶段，从民事责任问题入手是合适的选择。因此，在人工智能时代明确个人信息保护的边界，首先应从民事保护的角度出发，探讨个人信息的民法属性。

2017年3月15日经全国人民代表大会表决通过并于2017年10月1日生效的《民法总则》，对个人信息保护问题做出了规定。该法第一百一十一条规定了个人信息的法律地位及侵害个人信息的法律责任：自然人的个人信息受法律保护;任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

与此同时，正在编纂的民法典各分编开创性地将人格权编独立成编，加强了个人信息的保护。2019年4月，人格权编二审稿提请全国人大常委会审议，其中专门规定了有关未成年人的个人信息保护问题，并明确了国家机关及其工作人员在保护公民个人信息方面的责任。

个人信息的行政保护

谈及个人信息的保护，行政保护始终是不能缺位的法律手段。2016年11月7日由全国人大常委会审议通过并于2017年6月1日起施行的《网络安全法》，明确了网络运营者对个人信息进行保护的基本原则，即网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。其次，该法对网络运营者收集、使用个人信息的规则进行了明确。该法第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范圍，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。再次，该法规定了网络运营者未经许可不得向第三人泄露、提供个人信息的义务。该法第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息;但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

另外，《网络安全法》还规定了个人信息被侵犯的救济权利。个人如果发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正;网络运营者应当采取措施予以删除或者更正。

个人信息的刑事保护

2015年8月29日，全国人大常委会通过了《中华人民共和国刑法修正案（九）》，加强了对侵犯个人信息行为的刑事打击力度。修改后的《刑法》第二百五十三条之一规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照上述规定处罚。单位犯上述之罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。另外，《刑法》第二百八十六条之一还进一步规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

同时，为了更准确地适用法律，最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）进一步明确，刑法所称“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，并对侵犯公民个人信息犯罪的构成要件进行了具体规定。

个人信息保护的行业规范

个人信息保护更需要相关产业和行业高度重视，不断加强标准化建设，建立适应新情况、新形势的个人信息保护行业规范。2012年，由工业和信息化部主管，中国软件评测中心牵头，联合多家单位制定了《信息安全技术公共及商用服务信息系统个人信息保护指南》（标准号GB/Z 28828-2012）。该标准明确要求，处理个人信息应有特定、明确和合理的目的，并在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。同时，该标准还将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。另外，标准还提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确原则。

2017年，国家标准化管理委员会又先后颁布了两部个人信息安全推荐性标准，分别是《信息安全技术——个人信息安全规范》（GB/T 35273-2017）和《信息安全技术——移动智能终端个人信息保护技术要求》（GB/T34978-2017）。以《信息安全技术——个人信息安全规范》为例，该标准分别从个人信息安全基本原則、个人信息收集、个人信息保存、个人信息使用，个人信息的委托处理、共享、转让、公开披露以及个人信息安全事件处置等多个方面，对个人信息保护与利用问题做出了明确的规范性指引，对于市场主体正确地保护和利用个人信息具有重要的参考作用。

小结

诚然，应对人工智能技术带来的机遇与挑战，仅仅依靠现有法律制度是远远不够的。2017年发布的《新一代人工智能发展规划》提出，要制定促进人工智能发展的法律法规和伦理规范。由此，立法层面应加快脚步，既要为数据特别是个人信息数据和国家安全数据提供适当和必要的保护，同时，还应重视数据的利用和共享，以便更好地发展经济和服务社会。