高伊然

目前，我国民法学界对于个人信息相关问题的讨论层出不穷。在个人信息的定义方面，学界基本达成了以“可识别性”为核心的定义方式；在信息收集环节，“知情同意”为基本性原则，是信息收集环节的核心制度；在信息使用环节，需要依照“目的限定”“信息最小化”等原则，限制数据处理者的权利。但结合人工智能技术在当今社会的重要地位以及以大数据为基础的运作方式，作者认为我们有必要立足我国社会经济技术发展现状，结合国际上的立法动态，对于现有个人信息保护思路进行反思，使得个人信息相关法律制度在人工智能技术的挑战下依旧可以行之有效。具体来说，笔者认为，现有的定义方式过于僵硬和静态，面临着“边界模糊、界定困难”[1]的困境，且“目的限定原则”过分限制了信息的“二次利用”，极大地削弱了人工智能技术的作用。

纵观国内外实践可以发现，我国主要借鉴以“知情同意”为基础以“目的限定”“信息最小化”“透明度”等为主要原则的传统欧盟模式，显得与社会现状有些格格不入。而美国新隐私法草案中以“关联性”为核心的定义方式、场景与风险导向的理念等新型理念与制度，具有较强的灵活性和实用价值，在平衡我国人工智能技术与个人信息保护方面有很大的参考价值。

一、人工智能技术对个人信息保护制度带来的冲击

人工智能技术是指研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学，以机器思维、机器学习和机器感知三项内容为基础。机器思维主要是模拟人类的思维功能，根据已有的数据库或资料元素进行数据挖掘，采取合适的方法语句得出结论；机器学习是对人类大脑学习的模拟，计算机的处理器和存储器反复操作数据集总结出规律，处理最后输出结果；机器感知是指在复杂的、混合的事件中准确地对所需事物进行鉴别，通过匹配处理进行分类。由此可见，海量的数据与精密的算法是人工智能技术的两大支柱。而现有个人信息保护体制与其二者有许多格格不入的地方。

(一)传统定义方式对数据双方都不利

现有立法实践多强调信息的“可识别性”，将其定义为“与特定个人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面信息”[2]。这种从“是什么”入手进而探讨“为什么”与“怎么做”的思维方式看似合理，但实际上却不适应“个人信息权”这种新型权利。

首先，“不可识别”的概念过于模糊，加大了AI技术的风险。如果需要人工智能对所收集到的信息进行识别性判断，就必须将判断的标准和规则通过算法植入其操作系统。但目前无法对“可识别性”的界定提出一个明确、细化、有实际可操作性的准则。如此一来，在没有具体规则可参考的情况下，“一旦所用的不可识别数据被认定为可以确定某个具体用户，公司将面临罚款及法律起诉”[3]。其次，AI同时收集一个人的多种数据进行同一种处理时，却因为其中有“个人信息”与“非个人信息”而需要遵循不同的原则，而这显然不符合其高效分析数据的价值。最后，在个人信息保护方面，没有被纳入“个人信息”范畴而作为“个人信息”而被AI统一收集和使用的数据就失去了法律保护。

(二)“被遗忘权”与人工智能技术原理相违背

GDPR中明确规定了信息主体的“被遗忘权”：“当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时，用户有权要求删除数据”[4]，且“数据控制者负责对其公开传播的数据，要通知其他方停止利用并删除”[5]。而在人工智能中，其通过自身所处理的数据来改进算法的过程，首先需要AI“记忆”用来训练自己的数据，以维持从中获得的规则并根据新进入的数据不断改进。当用户行使“被遗忘权”时，AI需要将该主体的全部数据删除，这直接影响AI系统自身的学习及算法改进。由此可见，法律要求的“遗忘”与AI自身需要“记忆”数据的技术原理有着本质冲突，一旦“被遗忘权”被广泛应用，AI系统将会不可避免地被损害。

(三)“目的限定原则”降低人工智能的价值

首先，“目的限定原则”要求数据利用以及传播使不得违背数据收集时所告知用户的目的。其要面对以下几点问题：AI作为一个可以独立思考和学习的个体，拥有自主学习和改进的能力；当AI经过算法改进后，对于数据的处理可能有自己的“目的”；AI与AI的使用者在数据使用的目的甚至手段上都可能存在差异。那么，当AI系统因自主处理数据而违背了“收集时所告知用户的目的”时，由谁来承担责任？显然，根据“目的限定原则”，违背最初目的而使用数据者应当受到处罚。但目前来看，AI并不具备独立法律地位，无法承担责任；而AI的使用者没有违背原始“目的”，要求其担责显得有些勉强。

其次，该原则限制了个人信息的二次利用，削弱了人工智能技术的价值。个人信息价值的发挥更多体现在“二次利用”上。简单收集整理个人信息并没有很大的商业价值，而通过对个人信息的分析与整合，其就变成了“改变市场、创造价值和获得知识的新源泉和新动能”[6]。在这个过程中，AI因为迅速准确的数据处理功能而体现出巨大的价值。“目的限定原则”制约了AI在处理数据时的自主权，使得其在使用数据时“畏首畏尾”，从而很大程度上降低了AI技术的价值。

二、人工智能视野下个人信息保护的对策

通过以上分析可以看出，发展于“前信息时代”的传统架构正在面临巨大挑战，既无法对个人信息权利人提供充分合理的保护，又给人工智能等技术的发展带来严重阻碍。我们应当从欧美国家的立法动态出发，结合人工智能技术的特点，思考在AI时代个人信息保护立法的新路径。

首先，要坚持场景与风险导向的理念。该理念核心在于考察个人信息的处理行为给用户带来的隐私后果及影响，要求将个人信息保护是否合理这一问题放在其所处的环境中加以综合考量。在此理念的指导下，我们可以淡化个人信息的定义，弱化个人信息与非个人信息在收集时的区别，关注其在使用中是否符合用户的合理期待以及使用的合理性，“评估信息在具体使用场景中引发的隐私风险，当隐私风险较低或在相应场景中合理时，即便构成个人信息，机构也仅需承担少部分义务”[7]。

其次，将关注的重点从“目的”转移到“结果”。也即信息的每次使用并不需要都与“收集时告知用户的目的”相符合，而只需要在合理的风险范围和用户可以接受的结果范围内。AI在二次使用数据时，只要其不提升侵权的风险、不给信息来源者带来无法预期的隐私等损害，就可以允许其利用数据。这一理念在美国隐私草案中已经初见端倪，其规定机构要在具体场景中评估信息处理行为的合理性，当其行为在具体场景中合理时，无须满足其他要件而自动被授权，然而，其不足之处在于没有明确、合理判断的具体标准。我们仍要学习这种思路，并在合理性评估、风险评估等方面制定切实可行的操作准则。此外，当由于AI自身独立的操作而引发相关风险时，应当回归“AI侵权问题”的讨论，思考应当按照产品责任、使用者担责等方式承担后果。

最后，“被遗忘权”作为个人信息权的重要内容，在个人信息保护制度中发挥着重要作用。但其显然给人工智能等技术带来了更高风险。一旦信息来源者要求“擦除”数据，相关系统将不能正常运行，因此，我们应当合理限制“被遗忘权”，细化权力行使的条件和场景，防止因滥用该权利而给信息产业带来危机。

三、结语

在当今社会，个人信息在一定程度上已经具备了公共资源的特征，大数据、云计算、人工智能等新兴技术的发展都离不开信息资源，使得合理、高效利用信息资源成为经济和社会发展的重要基础。然而，个人信息又具有强烈的人格属性，一旦使用不当就会对公民个人的自由、尊严、生活安宁甚至安全等带来不可预估的负面影响。因而，在立法过程中，如何平衡保护与利用之间的关系就显得举足轻重。现有个人信息保护架构发端于“前信息时代”，与社会现状不能很好相容，在实现这两个价值目标上显得力不从心。我们必须用发展的眼光审视现有制度，结合人工智能等新兴技术的特征，探索个人信息保护立法的新路径。