人工智能数据安全与法律治理:现状分析与发展建议
2021-09-23瞿晶晶陈秋萍
文/ 瞿晶晶 、陈秋萍
随着人工智能技术的快速发展,人工智能应用日趋广泛,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。而数据作为驱动人工智能发展的核心要素,其安全问题成为社会各界广泛关注的焦点。目前全球各人工智能大国均在探索人工智能数据法律治理的最佳路径,相关法律规范正密集出台或在积极规划制定中。鉴于此,本文针对目前我国人工智能数据安全与法律治理现状进行分析,探索提出未来人工智能数据安全与法律治理的建议,具有一定的积极意义。
人工智能数据的特点和安全风险
人工智能与数据相辅相成、互促发展。人工智能数据与传统网络数据不同,人工智能的深度学习、跨界融合、人机协同、群智开放和自主智能的技术特性,使得关于人工智能数据安全风险的挑战更大。具体而言主要包括:一是人工智能依赖海量数据进行高维运算,其输入输出关系具有难解释性。二是人工智能大规模数据自动化处理造成难控制性。三是人工智能涉及的数据类型范围极其广阔,其采集、存储、流动中涉及的主体也极其多样,造成了人工智能数据的高度复杂性;四是人工智能蝴蝶效应显著,前期设计的小偏差可能造成后期应用的巨大社会影响;五是人工智能在应用中也在不断产生数据,具有显著的自生性;六是人工智能作为赋能技术,其研发和应用具有强场景性,融合了具体场景的特殊数据安全需求。
目前,人工智能数据所带来的安全风险已经在现实中显现,相关事件造成了广泛的社会影响,比如Facebook数据泄露事件、美国Deepfake深度造假事件、美国特斯拉无人驾驶车祸致死案、浙江“脑机接口”头环监测学生上课等,以及人工智能相关数据应用带来的隐私泄露隐患、算法“杀熟”和“歧视”都成为社会热点议题。
中国信通院《2019人工智能数据安全白皮书》研究显示,人工智能数据安全风险体现在三个方面:一是人工智能自身面临的数据安全风险与治理挑战,例如训练数据污染、运行数据异常、数据逆向还原、开源框架风险等;二是人工智能应用导致的数据安全风险与治理挑战,例如数据过度采集、数据偏见歧视、数据资源滥用、数据智能窃取等;三是人工智能应用加剧的数据安全风险与治理挑战,例如数据权属问题、数据违规跨境等。
人工智能的赋能属性已经使其嵌入社会的各行各业,人工智能数据在应用中遭遇的痛点难点问题,成为制约行业健康发展的障碍。当前需要重点关注的人工智能数据安全问题有:数据归集困难、数据权属不明、技术开发的大数据需求和隐私保护之间的冲突、类金融机构非法使用数据等。当前人工智能已经从效率优先进入健康高质量发展阶段,保障数据安全,促进数据高效流动使用,成为行业发展的关键。
我国人工智能相关的数据安全立法现状与分析
虽然我国尚未出台专门针对人工智能数据的法律法规,但是近期我国自上而下密集地针对数据领域实施法律治理措施,为人工智能数据安全以及支撑我国人工智能健康发展建立了良好的开端。截至2021年8月,全国人大、国家网信办、工信部、公安部等部门陆续出台了一系列与网络安全和数据保护配套的法规。其中,2021年6月通过的《中华人民共和国数据安全法》是国内首部数据安全领域的基础性法律,规定了基础性的数据安全制度;2021年7月30日通过的《关键信息基础设施安全保护条例》针对关键信息基础设施安全保障及维护网络安全进行了规定;2020年8月20日全国人大表决通过《中国人民共和国个人信息保护法》,针对过度收集个人信息、大数据“杀熟”、个人信息跨境流通、敏感个人信息处理等问题进行了相关规定。
同时,近年来各地方也出台了相关公共数据管理办法。例如《上海市公共数据开放暂行办法》(沪府令21号)、《上海市公共数据和一网通办管理办法》(沪府令9号)、《贵州省大数据安全保障条例》、《浙江省公共数据开放与安全管理暂行办法》等规章。2021年7月6日深圳市人大通过的《深圳经济特区数据条例》成为国内地方上数据领域首部基础性、综合性法律条例。同时,2021年7月14日发布的《深圳经济特区人工智能产业促进条例(草案)》中,对人工智能治理原则与关键措施进行了相关规定。
综合分析我国数据安全治理现状及其趋势,其呈现出两个特点。第一个特点是治理方式的协同。妥善解决数据安全问题需要多种治理方式协同,需要多主体协同,积极探索“能实施、有实效”的治理举措。目前,全球人工智能重要国家对国家基础性法律、行政法规、部门规章、司法解释、规范性文件、政策文件、国家标准以及一些地方性法规和规章等各类法律法规进行了制定、更新、修订以及补充。国内法在数据法律领域正在形成由对数据的一般性法律、地方法律和对原有相关法律的新解释等多种模式协同构成的规范体系。第二个特点是场景化趋势显著。数据应用场景中的典型问题在国内外相关立法领域均被重视,这是由于数据在不同场景中的显示属性及其面临的治理问题有差异。从实践来看,在近期国内外立法中,“场景化”是不同于以往法律体系的突出特色,也代表了下位法立法的未来趋势。
我国现行管理体制对人工智能数据法律治理的适应性分析
管理体制机制是推进人工智能数据安全治理的重要抓手,也是法律法规应明确的重要内容。我国政府现行管理体制具有统一领导、协调各方的特点,对持续应对具有高度复杂性、不确定性的安全情况具有优势,但在面对人工智能数据的治理方面仍存在完善空间。具体而言,一是多头管理,落实不够到位。我国现有关于数据管理的政府职责分工难以应对人工智能强场景性,行业主管部门的主体地位没有充分体现,针对性不强。二是对于技术的支撑和安全保障作用不够。人工智能数据的高度复杂性和不可确定性导致其安全管理成为全球重大的科学问题,现有的数据管理体制难以支撑人工智能数据管理方法对科学和技术的依赖性。三是数据法律场景适应性不足。虽然《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》三部基础性法律对个人数据、基础设施关键数据等进行了基础性定义,但是针对各类人工智能应用场景缺乏细致规定,比如医疗人工智能数据和自动驾驶人工智能数据因其特殊性不能适用同一套数据治理方案。四是操作细则不明。目前国家和地方都已制定相关法律法规,但是具体行业规范、实施细则还未落实。五是激励不足。现有的政府管理体制中,数据开放激励机制不健全,不同部门的管理重点各异,人工智能数据开放和共享并不是部门主要职责,因此缺乏积极性。
未来推进“人工智能数据安全”法律治理的建议
在基本原则层面上,人工智能数据法律治理应遵循“保安全促发展”原则,数据安全是人工智能发展的前提,健康高质量发展是数据安全的目标。人工智能数据安全应是贯穿人工智能研发应用全过程的动态安全。数据的保密性、完整性和可用性应保障研发人工智能数据安全保护技术,积极推进人工智能数据资源开发利用,保障人工智能数据依法有序自由流动。同时,实施人工智能数据安全管理,应当遵循政府主导、保护创新、审慎监管、权责统一、预防和控制风险等要求。
首先,积极推动聚焦人工智能场景的法律治理工作。政府应发挥主导作用,针对不断演进的人工智能新问题提出立法建议,完善执行机制,明确开展人工智能数据活动的组织及个人的数据安全保护义务,落实数据安全保护责任。同时评估法律运行效果,追踪可能产生的人工智能数据安全方面的新情况新问题,及时发布人工智能数据安全风险警示。国际上,欧盟于2021年4月通过了全球第一个通用性的人工智能领域立法提案《人工智能法》,该法案首次明确了针对人工智能应用场景进行风险分级分类的相关规定。同时,目前已有多个国家针对自动驾驶、人脸识别等人工智能应用特殊场景单独发布法律和标准,比如美国《自动驾驶法案》、旧金山《停止秘密监视条例》、英国《自动与电动汽车法案》、荷兰《自动驾驶汽车测试法(草案)》等。中国在2018年也印发了《智能网联汽车道路测试管理规范》,但是数据相关规范仅占较低比例。基于国际上已针对特定人工智能场景进行立法,且人工智能各应用场景具有较大差异性,建议借鉴国际经验,选定一批亟需法律保障以及可以作为试点的人工智能应用场景进行单独立法,在三部基本法的基础上针对不同场景探索全社会性的人工智能数据安全规划。
人工智能具有强场景性特性,因此建议在具体人工智能场景中可采用布局“横纵网格化”的治理实施体系,提高行业主管部门在治理体系的主体地位,落实数据安全应用。横向上,地区人民政府确定部门负责指导、推进和协调本行政区域内人工智能数据应用的安全工作。纵向上,行业主管部门(例如:公安、交通、卫健等)根据相关法律法规,负责组建行业人工智能数据专家委员会,并制定专家委员会工作规则,同时指导、监督行业内人工智能数据安全应用和发展。
其次,积极推动建立“技术+制度”的治理体系。由于目前各种应对人工智能安全风险的技术仍处于初步阶段,防御技术不能抵御所有攻击类型,缺乏成熟的技术治理工具,需要及时加大投入,促进开展人工智能数据安全检测评估,采用人工智能技术提升数据安全保护和监管效率。因此,将科技力量纳入建设架构中,以“安全技术与治理方法研究—实施认证—产业推动”思路,推进“制度+技术”的双轮驱动。第一,在安全技术与治理方法研究上支持开发人工智能数据安全评估体系,支持科技伦理体系研究,组织多领域科学家和专家研究人工智能数据安全监测的综合方案,以及数据安全评估科学工具和认证办法,推动技术评估平台建设和算法训练数据集建设。第二,推动实施认证部门指导政府和企业进行安全审查工作,组织相关认证机构开展人工智能数据安全管理认证和应用程序安全认证工作。第三,产业推动部门负责指导协调、统筹推进人工智能企业落实人工智能数据安全相关法律法规及准则。激励推动人工智能企业自愿通过数据安全管理认证和应用程序安全认证,推进人工智能安全产业的发展。人工智能数据治理是多主体多场景多工具的立体式协同治理,是在动态平衡中不断演进完善的,敏捷、协同、高效地使用治理工具,形成人工智能多维结构动态治理体系,为人工智能数据安全问题提供解决方案,让人工智能安全赋能更多场景,充分激发经济活力,为未来立法工作发现盲点、总结经验、夯实基础。
最后,在坚持中国核心价值观的基础上,面向国内国外“双循环”战略,积极参与国际人工智能治理规则制定。对内要完善数字治理体系,尽可能保证治理规则公开化、透明化,特别是在知识产权、公民隐私、公正公平问题上不能授人以柄。对外要探索建立符合多方监管要求的跨境数据流动规则体系,就人工智能的科学应用、合理推广为世界尤其是发展中国家提供良好范本,搭建人工智能治理国际合作平台,确立在人工智能治理国际合作中的合理定位,争取在全球人工智能治理体系建设过程中发挥关键核心作用。