［摘要］互联网的飞速发展以及人工智能技术的普及，已经严重削弱了信息主体对个人信息的掌控能力，因此亟须重新审视和完善个人信息保护。传统的构建于控制理论和个人信息自决权理论之上的个人信息保护模式逐渐显现出缺陷，使得个人自我管理信息这一看似简单却又不可或缺的概念变得极为模糊不清，为了消解人工智能发展对个人信息权利保护的侵蚀，缓和当下个人信息保护法律机制捉襟见肘之困境，应对人工智能应用场景下个人信息保护的需要，应借鉴欧美基于情境和风险防控理念的个人信息保护新机制，从提高个人信息处理透明度、构建敏感个人信息的分层和分阶段同意规则、尊重情境、扩充监管手段、明确违法个人信息处理行为的法律责任等方面进一步完善个人信息保护法律制度。

［关键词］人工智能；个人信息保护；法律规制；创新研究

［中图分类号］D913［文献标志码］A［文章编号］2096-1308（2024）03-0053-13

随着中国的互联网用户数量不断增多，应用软件数量暴涨，个人信息的搜索和利用也日益成为一种日常现象。尽管政府采取了一系列措施，以确保个人信息的安全，但是一些企业、机构以及个人仍然存在着滥用个人信息、滥用权力、滥用资源、滥用权威的行为，严重威胁公共安全，给社会带来了极大的危害。随着信息技术的发展，保护个人信息已经成为当今社会普遍受到重视、迫切需要解决的重要社会问题。随着人工智能技术的不断发展，尤其是大数据的广泛应用，我们必须认真思考如何有效地保护个人信息，以确保其安全性和可靠性。

一、传统基于控制理论的个人信息保护模式

当今世界，个人信息保护立法最为发达的首推美国和欧盟。美国对个人信息的保护主要体现于隐私法中。早期美国隐私法并没有个人信息这个概念。随着计算机和互联网的发展，个人信息可以被搜索、叠加、分析并海量处理，个人信息保护问题才真正受到关注，而传统隐私权制度无法对个人信息进行有效保护。在此背景下，美国通过扩张隐私范围的方式将个人信息纳入保护范围，而个人可识别信息（Personally Identi-fiable Information，PII）是美国隐私法中最核心的概念之一，个人可识别信息界定了隐私法保护的范围，个人可识别信息的收集、使用和披露都主要置于隐私法的框架下予以保护，没有个人可识别信息，就没有隐私损害。

See Paul M.Schwartz & Daniel J.Solove：The Pll Problem：Privacy and a New Concept of Personally Identifiable Information，86 New York University Law Review 1816（2011）.

（一）美国个人信息保护模式

美国的个人信息保护立法以控制理论为基础，重视个体的选择权和自治权，以确保其安全性。See C.Fried：Privacy，77 Yale Law Journa l475，482（1968）;W.A.Parent：Recent Work on the Concept of Privacy，20 American Philosophical Quarterly 341（1983）.根据控制理论，个人应该拥有选择自己行动的权利，从而掌握自身信息。这种行动不仅要求个人遵守相应的规则，还要求他们能够根据自身偏好来进行选择，从而确保自身的利益得到充分的保障。See Christophe Lazaro & Daniel Le Metayer：Contro lover Personal Data：True Remed yor Fairy Tale？12 SCRIP Ted 3（2015）.除了自我决定和自我管理理论，学者还从财产角度概念化控制并分析数据主体的权利。See J.Litman：Information Privacy/Information Property，52 Stanford Law Review 1283（2000）.根据这一理论，个人信息可以被视为财产权利。人们应当对有关他们的信息享有所有权，有权控制其对个人信息的处理。控制了某人的权利在法律上就意味着在“信息市场”上有权交易该数据。核心理念在于信息主体的“同意”，这是控制理论和财产理论的关键。这使得个人信息的收集、使用、公开和交易变得合法。在控制理论的支配下，美国形成了以联邦贸易委员会（Federal Trade Commission，FTC）和行业自律为主要模式的个人信息保护体制。FTC主要充当消费者个人信息保护“守夜人”的角色。FTC保护个人信息的手段为要求公司充分披露其涉及消费者或用户的个人信息处理行为，即“透明度规则”。对于在个人信息领域的违法行为，FTC有权进行处罚或提起诉讼。FTC支持网络产业的自我管理，规定与消费者数据收集产业有关的透明度并促进“禁止追踪”机制和“选出”机制的使用。“禁止追踪”机制允许消费者选择停止由之前已获得其同意的公司或数据中间商对他们信息的追踪。“选出”机制赋予消费者选择不让某个公司获取并使用他们个人信息的选择权。通常而言，FTC会采取强制措施确保公司履行保护消费者个人信息的承诺，并有权对违反隐私承诺、欺骗消费者的公司进行处罚并提起诉讼。Trade Comm，n，Protecting Consumer Privacy in an Era of Rapid Change，Federal Trade Commission（Jul.14，2012），http：//www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-pro-tecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf.

美国的个人信息保护不仅依赖FTC的保护，而且在计算机和互联网领域，其行业内的自我约束和监督也构成了一大独特的特征。行业自律监管的核心为“告知和选择”机制。“告知”要求个人信息处理者应当申明隐私政策，详细描述收集、使用和传播用户个人信息的各种方式，以及如何对用户的个人信息进行保护。“选择”为用户提供了一种自由的选择权，允许他们在“选出权”的规定下，自由地采取、利用或传播自己的个人信息，而无须遵守“选出权”的规定。只有当用户明确表示反对，才能够按照“选择”的规定，采取有效的措施来保护自己的隐私。See Daniel J.Solove，Woodrow Hartzog：The FTC and the New Common Law of Privacy，114 Colum.L.Rev.583（2014）.

鉴于计算机技术带来的个人信息泄露的风险，美国政府的顾问委员会首先发布了“公平信息行为准则”（或称“公平信息实践”，Fair Information Practice Principles，FIPP），这一规定随着时间的推移，不断受到重视，并且在各个领域中得到了普遍的实施，已经成为一种普遍的行业准则。FIPP是一种完美的个人信息保护方案，它结合了控制理论的核心思想，完美地实现了对个人信息的有效管理。“公平信息行为准则”是目前最受欢迎的规范，包含了一些重要的原则OECD也有类似规定，See OECD Guidelines on the Protection of Privacy and Transboder Flows of Personal Data，OECD（May 2，2017），http：//www.oecd.org/document/8/0，3343，en_2649_34255_181518611_11，00.html。：第一，为了确保安全，在采集个人信息之前，应当明确其采集目标，并且确保所采取的措施和结果都能够满足这一要求；第二，“信息最小化”规定，在进行个人信息收集和使用时，应当遵循一系列原则，确保其不超出最低限度；第三，在没有经过当事人授权或拥有法律许可的情况下，任何形式的个人信息都必须严格遵守保密义务，禁止任何形式的泄露；第四，只采集精确、可靠、及时和有效的数据，以满足预期目标，保证个人信息的准确性、完整性和及时性；第五，每一位公民都应该被赋予以下权利：了解和掌握自己的隐私，以及可以对自己的信息进行更新和修订，包括但不限于收集、使用、分析和反馈；第六，构建有关个人能够知晓及了解的信息处理机制（透明处理机制），即应当告知社会公众隐私政策和措施，个人应当能够有途径了解个人信息的使用情况；第七，为了确保个人信息的安全，我们必须采取有效的安全措施，以防止任何未经授权的人员获取、破坏、使用、篡改或披露这些信息；第八，按照责任原则，拥有收集、传播和处理个人信息的权利的一方应当负起义务，以确保这些规定得到充分执行。Information Resellers：Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace，U.S.Goverment Accountability Office（May 6，2013），http：//www.gao.gov/assets/660/658151.pdf.

（二）欧洲个人信息保护模式

欧洲的个人信息保护立法建立在一种独特的理念——个人信息自决论上，这一理念起源于德国的法律，其认为，任何不尊重他人意愿收集、处置和使用他人的信息，都会损害他人的合法权益，并且会对他人的身份造成不可挽回的损害。［1］个人信息自决论认为，任何形式的个人信息都应该由拥有者负责，而且这种负责是不可抗拒的，因此，任何形式的个人信息的收集、处理都应该遵守相关法律法规，以确保其安全性、完整性和准确性。例如，德国《联邦数据保护法》（Federal Data ProtDlmsZGT0sHelabk3G02RQQ==ection Act）第4节第1款明确规定“只有在本法或者其他法律允许或规定或数据主体同意时，个人数据的收集、处理和使用才是被许可的”。1995年，欧盟发布了《个人数据保护指令》，这标志着欧盟正式开始采取有效措施来保护个人信息。该指令规定的个人数据处理原则与FIPP基本一致，即包括合法处理、目的限定、数据最小化、透明度、个人数据安全保护、数据处理责任等，唯一不同之处在于该指令更为细致地区分了敏感个人数据和非敏感个人数据，对个人数据进行差别化保护。

从“权利中心主义”的角度来看，传统的个人信息保护模式的核心在于强调个人的权利，以及他们的主观意愿，以便他们能够更好地掌握自身的信息，从而更好地实现自身的合法权益。因此，应当采取更加灵活的措施，以便更好地保护个人信息。

二、人工智能时代传统个人信息保护模式之不足

传统个人信息保护法律建构于控制理论和个人信息自决权理论根据前述分析，两种理论在本质上都是强调信息主体对其个人信息的有效控制，并以此为基础构建个人信息保护规则，后文统一以“控制理论”指代这两种理论。之上，重视个人数据所有者的“管理”，并将“知情同意”作为中心构建出一套完整的数据采集与处置程序。随着科技的飞速发展，20世纪90年代及21世纪初，欧美国家开始采取更加先进的措施，以确保个人信息的安全。这些措施不仅可以防止个人信息被滥用，而且还可以更好地保护个人的隐私，从而提高公众的生活质量。到目前为止，个人控制理论一直都是解决个人信息处理技术问题的核心方案。基于该原因，控制的概念经常作为个人信息保护政策的核心要素被提及。近20多年来，互联网的飞速发展以及人工智能技术的普及，已经严重削弱了信息主体对个人信息的掌控能力，使得个人自我管理信息这一看似简单却又不可或缺的概念变得极为模糊不清。借助“知情同意”框架来保护个人隐私显然是行不通的，而“失灵”则可能会带来更大的风险，因此，应当采取更加严格的措施来加以防范。

（一）“霸王政策”造成的信息不对称

由于“霸王政策”的出台，信息不对称问题日益突出，这严重削弱了以控制理论为基础的个人信息保护模式的可靠性。因此，在这种情况下，必须建立一种新的理论框架，以确保信息主体具备足够的自治权，以便在获得相关权利后，可以自由地采取措施，以确保个人信息的安全。尽管大多数人都没能完全了解个人信息的安全性，但是他们仍然可以通过学习相关的技能，以及遵守相应的法律规定来确保自身的隐私安全。

由于信息不对称，信息主体有时并不知道其个人信息被收集，也不知道其个人信息会被怎样处理。在缺乏足够信息的情况下，由于信息不对称及缺乏对于不确定性和潜在风险的了解，信息主体作出决策的过程受到干扰。

大多数情况下，由于没有足够的认识，信息主体往往无法预料到个人信息被泄露的可能性，从而导致他们无法作出正确的决定。此外，一些人工智能应用给出的隐私政策太多，又太复杂，以致大多数消费者都没有足够的耐心去理解，从而使得他们更加困惑。让人费解的隐私政策还会给消费者造成错觉。通常，个人信息处理者自愿公布隐私政策，会让消费者产生个人信息保护方面的信赖，以为非经其同意，个人信息处理者不会分享其个人信息。

事实上，这些个人信息处理者是在作出虚幻的承诺，消费者的数据可能在他们毫不知情的情况下就被分享了。因此，很多消费者会不假思索地对商家收集其个人信息的行为全盘接受。尤其是一些人工智能服务，特别是在移动互联网设备上运行的人工智能服务，都需要依赖于用户对这些网站或APP的接纳。如果没有得到用户的许可和审查，就可能遭遇“霸王政策”的限制，导致“同意”的内容和用户的真正需求相悖，进一步导致“控制”的内容无法被获取。

尽管“全过程控制”规定了个人信息的处理要求，但是，由于缺乏足够的知识和技术，许多信息主体仍然无法完全把握自己的个人信息，从而无法作出正确的决定。因此，要想真正控制自己的个人信息，需要更多的技术支持和管理措施。随着人工智能的发展，信息的获取者变得越来越多样，但是大部分的受众仍然是未被授权的，他们没有办法获取自己的个人信息，也没有办法获得“控制”中规定的权利。随着个人信息从原始收集者转移至中介机构，这些机构不再需要原始收集者的授权，也就是说，原始收集者对其个人信息的掌控权已经完全丧失。

（二）技术发展改变了个人信息收集与处理模式

随着一些先进技术的出现，个人信息的收集与处理已经彻底改变了传统的模式，让个人的隐私安全变得不再可能。以谷歌街景和百度全景地图为代表的三维空间仿真交互体验式地图，更加清晰地展示了个人隐私。这项技术的基础在于，它使用先进的摄像头，从虚拟环境中捕捉出360度的完整画面，再经由精密的软件处理，将这些画面组合在一起，形成一个逼真、完整的三维空间环境。拍摄街景时，通过捕捉周围的环境、汽车牌照和其他图片，创建一张交互的视觉地图，从而无形中收集、利用和展示个人信息。尽管开发者们已经采取了一些技术手段，如打印技术等来清晰展示地图上的人脸、汽车牌照等，但是，如果结合周围的风光、标志、符号以及人物体态等在这种情况下，受访者很难实施传统的个人信息管理，也就是说，他们不能按照自己的意愿来收集、使用或披露自己的个人信息。See Teresa Scassa：Geographical Information as Personal Information，10 Oxford University Commonwealth Law Journal 185（2010）.

（三）知情同意权的全面瓦解

随着时代的进步，“知情同意”的全面瓦解，对于个人信息的决定性影响极大，而且现有的基于控制理念的个人信息防护条例已经无法应对当前的挑战。FIPP作为一种新型的保护机制，不仅可以有效地限制个人信息的使用，而且还可以通过深入分析、挖掘、评估等手段，将其转换为可持续、有效的资产，从而有效地提升个人信息的价值，达到更好的社会效益。随着科技的发展，“目的限定”原则面临着前所未有的挑战，个人信息已经变得越来越重要，不仅具有极高的商业价值，而且还能够极大地改善社会福祉。“信息最小化”原则也受到了越来越多的挑战，因此，FIPP中的透明度原则变得越来越重要，即在收集、处理、分享和使用个人信息时，应当清楚地向相关方披露其真实意图。随着大数据技术的发展，信息主体可以更加清楚地了解自己所获取、处理和使用的个人信息是否符合预先设定的目标。

基于以上原因，依赖信息主体对其个人信息进行有效控制几无可能，必须要有新的机制实现对个人信息的有效保护。在人工智能技术环境下，控制个人信息究竟是何含义？这种控制的特点、目的和潜在限制是什么？我们如何保证个人有效控制其个人信息？或者，我们是否应当改变思路，以新的模式代替传统基于控制理论的个人信息保护模式？

三、人工智能应用背景下我国个人信息处理的规制策略

（一）我国现行个人信息保护模式

当前，我国多部法律规范性文件都明确了对个人信息的保护，以下五个法律规范性文件具体阐述了人工智能应用背景下我国个人信息处理的规制措施。

1.《关于加强网络信息保护的决定》。全国人大常委会《关于加强网络信息保护的决定》第2条规定：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。”这项法律旨在确保个人信息得到有效保护，其中包括：第一，在收集、使用信息之前，双方应当签署协议，确认双方都已获得了相应的授权；第二，明确了信息收集、使用的具体内容，以及“知情同意”规则，以确保信息安全。该决定第3条规定任何接触到的个人信息都应当受到严格的保护，禁止被泄露、篡改、破坏，也禁止将其出售给任何未经授权的第三方，这就是所谓的个人信息安全规则。该决定第4条规定信息收集者和处理者有责任采取技术手段和其他必要的措施来确保个人信息安全，一旦发现个人信息遭受侵犯，就会立即采取补救措施。此外，该决定第8条还明确规定任何侵犯个人隐私的行为都将被网络服务提供者立即删除，或者采取其他必要的措施来阻止。

2.《消费者权益保护法》。《消费者权益保护法》第29条明确规定任何企业或组织都有责任采取有效的技术手段，确保消费者的个人信息得到有效保护，包括但不限于获得消费者授权，公布信息来源、数量、格式以及使用规则，以及采取有效的防护措施，以防止个人信息被滥用或侵犯。《关于加强网络信息保护决定》也明确提出，企业应当遵守《消费者权益保护法》第29条的规定，确保消费者的权益得到有效保障。

3.《网络安全法》。《网络安全法》和“网络运营者”都是《关于加强网络信息保护决定》的重要组成部分，它们都旨在维护和保障公民的个人信息，《宪法》进一步明确“网络的所有者、管理者和网络服务提供者”的权利义务，更清晰地指出了各相关责任主体的职责。《网络安全法》第40条规定“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度”，这个法律条款旨在为个人信息提供有效的保护；第41—43条明确指出，任何未经授权的行为都将被视为违反《关于加强网络信息保护决定》第2条的规定，并禁止收集任何与网络服务无关的个人信息。此外，《网络安全法》第42条第1款也明确指出，任何未被授权的行为都将被视为违反《关于加强网络信息保护决定》第3条的规定，并将其列入安全保护的范畴；《关于加强网络信息保护决定》第4条和第8条，第42条第2款以及第43条均明确规定，信息主体不仅可以自行删除违规内容，还可以根据该决定的规定，及时纠正发布的错误信息。

4.《民法典》。我国《民法典》含有大量关于个人信息保护的规定，《民法典》和《个人信息保护法》中有关个人信息保护的规定基本承袭原有立法，但也有相当多的规定是原有立法不能囊括的。《民法典》第1035条规定了处理个人信息的条件，第1036条规定了行为人处理个人信息责任豁免的情形，第1037条规定了自然人享有的个人信息权利，第1038条对个人信息保护进行了明确规定，第1039条还特别规定了国家机关、承担行政职能的法定机构及其工作人员在履行职责过程中对自然人个人信息的保密义务。

5.《个人信息保护法》。2021年8月通过的《个人信息保护法》是我国完整规定个人信息处理规则的法律，将个人信息保护权上升为公民的一项基本权利。《个人信息保护法》是中国首部针对个人信息保护的特别立法，它对于个人信息的安全性及其防范措施作出详尽的规定，包括但不限于个人隐私的保护、敏感信息的管控、政府机构的监管、跨境数据交换的准入、个人在数据交换过程中的权益、数据交换者的责任以及负责数据交换的相关部门。此外，《个人信息保护法》还特别强调了人工智能领域的数据安全问题。

当前，中国的法律依然遵循欧美国家的传统，即以控制理念为核心来保护个人数据。这种方式已经初步构建包括知情许可、目标设置、公开性、数据安全、数据对社会产生的影响评价在内的数据保护规则，并且给予了数据使用者一连串的数据权益。一些半官方性质的智库发布的个人信息保护规则也没有跳出这个框架。［2］在司法实践中，同样是围绕控制理论展开对个人信息处理合法性的讨论。例如，在北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案中，北京知识产权法院认为：“商业化利用个人信息必须告知用户并取得用户的同意。因此，互联网中，对用户个人信息的采集和利用必须以取得用户的同意为前提，这是互联网企业在利用用户信息时应当遵守的一般商业道德。第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的同意。新浪微博用户选择对公众公开个人信息，并不意味着上诉人淘友天下技术有限公司等可以未经新浪微博用户的同意，获取用户头像信息、标签信息、职业信息、教育信息并展示在脉脉软件的人脉详情中。”参见北京知识产权法院民事判决书（2016）京73民终588号。简单来说，中国有关个人数据保护的规章制度，其核心思想是在设立特定处置目标后，坚持数据最少化，并且在获得数据使用者的知情同意后，坚持数据处理的公正和完备，严格限定数据处理的手段和策略，给数据使用者提供了多项权益，同时也对非法数据处置的法律义务进行了适当的划分。中国政府一直致力于保护公民的隐私，“个人信息控制论”和“个人信息自决论”都为此作出了重要贡献。“知情同意”则强调了个人应该遵守相关法律，以确保个人隐私得到妥善管理。然而，要想让这一政策真正起到作用，就必须让公民具备足够的知识和技能，以便正确地行使他们的权利。

（二）基于强化控制与风险管理理念的个人信息保护模式

鉴于中国的个人信息保护法规体系相当脆弱，目前，个人信息被无序地搜寻与滥用的现象极为常见，而公众对自身信息的管理权利的认知仍然不够深入。为应对人工智能应用场景下个人信息保护的需要，我们应借鉴欧美基于情境和风险防控理念的个人信息保护新机制，从以下几个方面进一步完善个人信息保护法律制度。

1.提高个人信息处理的透明度

透明度是信息主体行使权利的前提。随着技术的发展，“隐私声明”等传统的个人信息处理透明度机制已经逐步被淘汰，取而代之的机制更加清晰易懂，更加注重重点信息，让用户能够更加清楚地了解到自己所需要的信息。为了更好地保护个人隐私，我们建议个人信息处理者使用简洁易懂的语言来表达“隐私政策”，并在重点部分使用大号字或斜体来表示。鉴于目前的透明度机制仅限于事前收集，未来在完善《个人信息保护法》的过程中，必须将这一机制融入整个处理流程中，让受访者可以清楚地知晓自身的信息、相关的法律条款、安全措施、权利和行使方式。为了确保公众的合法权益，我们需构筑一套持久且高效的信息发布体系，这就要求信息管理员在搜集与处置个人数据的流程中，应该即刻通知大众可能发生的改变以及潜在的危害，以此有力地保障大众的了解权。为了确保信息披露的有效性，立法应当明确规定信息处理者应当向受众提供哪些信息，以防止信息过载，并且确保披露的准确性。此外，还应当以清晰、简洁的语言，醒目的方式提供对受众决策有影响的重要信息，特别是提示受众有访问、更正、删除等一系列权利及其行使方式。［3］为了更好地传达信息，应该提供更详细的解释，包括提供补充链接、弹出特别提示、使用可视化演示或体验式告知等方式。这样可以避免产生歧义，提高传达效果。

2.构建敏感个人信息的分层和分阶段同意规则

一般来说，对于敏感的个人信息，处理者需要获得对方明确、详细的授权，而这种授权比普遍接受的默示授权更加严苛。因此，在处理这些敏感的个人信息时，双方都需要遵守相应的规则。［4］随着技术的进步，新型的同意模式已经不再局限于信息收集阶段，而是将更多的时间和精力投入到更深层次的交互中，使得信息主体能够更加自由地选择是否参与后续的处理，从而获得更多的权利和自由。鉴于个人信息处理的复杂性，其所面临的风险也可能因环境的不断变化而发生改变，为了确保双方的认可，我们必须根据不同的情况，构建一套分级和分步的认可机制。根据对敏感个人信息需求的不同，我们将信息进行分层，第一层仅涵盖是否接受处理该信息，以及接受处理的具体类型、目的和方法，这是当前普遍采用的接受模式；第二层则更多地关注接下来如何处理该信息，而且比起最初获得的接受，它们的内容也会发生改变，甚至会超出接受者本身对处理情况的预期。此时，必须获得相关方的授权才能继续进行。在收集、存储、使用、加工、传输、提供和公开敏感个人信息的过程中，双方必须按照一定的步骤签署协议，明确每一步的责任和义务，并就可能出现的风险作出相应的承诺，确保信息安全。在处理敏感个人信息时，必须获得信息主体的单独授权，禁止“一揽子”授权。采用分层、分阶段的授权，可以使信息主体清晰地表达自己的授权，从而消除授权的模糊性，使他们更加清楚地认识到自己的授权，并且采用适合自身情况的授权模式，从而有效地控制自己的敏感个人信息。［5］

3.尊重情境

尊重情境是美国《消费者隐私权利法案（草案）》用以取代传统目的限定原则的“工具”，是对个人信息处理的“动态控制”。由于目的限定原则仅关注个人信息处理行为是否符合信息收集之时确定的目的，忽视了个人信息处理过程中可能存在的变化，一方面无法适应人工智能时代大规模处理个人信息的现实需要，另一方面也无法真正实现信息主体在特定情境中对个人信息保护的期待。由于个人信息的范围不断扩大，在不同情境之下，对于个人信息的同样利用会带来不同的结果，并导致在某一情境之下个人信息的合理利用在另一情境之下就转变为不合理。而衡量个人信息利用是否合理的关键在于个人信息利用是否符合信息主体的合理预期。尊重情境要求收集和处理个人信息的方式必须与信息主体提供信息时的情境相一致。若在收集个人信息后，以与个人信息收集时不相符的方式处理这些信息，则必须通知信息主体选择是否同意该处理方式。

尊重情境还表现在对个人信息的“动态”界定。个人信息的传统定义方式存在的最大问题在于对信息的绝对二元化区分。然而随着计算机和网络技术的发展，过去非个人可识别信息通过整合转变成了可识别信息，导致个人信息和非个人信息之间的界限变得模糊。特别是人工智能技术大数据技术能够使计算能力和算法精度最大化，可以对数据进行筛选和对比分析，进而产生更加真实、客观和精准的结果。被广泛应用于信息分析，使信息的价值得到了充分挖掘。另外，区分个人信息和非个人信息有时候也取决于情境。“可识别性”对于个人信息的存储至关重要，然而，当今，这种信息的可靠性取决于技术的发展，而不仅仅是人类的主观感知。通过对信息进行收集和分类，许多价值较低的数据得以被“可识别性”所描述。［6］例如，去除诸如姓名、住址、电话号码、社保账号等识别信息的医疗数据，并非真正匿名，因为剩下的数据通过与其他数据库数据连接或比对，或通过寻找独特特征的方式仍能被用来重新识别个人。因此，绝对化地将信息二元化区分为个人信息和非个人信息是难以实现的，对信息是否具备“可识别性”的判断必须建立在相应情境基础上。随着个人信息的不断增加，对其的界定也发生了变化，有时会受到特定环境的影响而发生改变；脱离特定情境，特定信息就不具有可识别性，也就不是个人信息。因此，未来在完善《个人信息保护法》时，应该明确个人信息的界定必须基于特定情境。在特定情境下，能够被认定为个人信息的，关于该信息处理的全过程都应当纳入信息主体的控制之下。

4.扩充监管手段

目前我国尚未设立专门的个人信息保护监管机关，个人信息保护相关立法也未明确个人信息保护的监管机关。《网络安全法》第64条第1款规定：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”《电信和互联网用户个人信息保护规定》规定的监管措施包括提供相关资料、现场检查、对违法行为记入其社会信用档案并予以公布等。相较于欧盟的监管措施，我国现有的监管手段还很匮乏。尤其是当个人信息处理者存在非法活动，可能引发或造成严重的个人信息泄露或伤害时，监管机构应当对这些处理者实施短期或永久的限制，包括禁止信息处理活动、命令修改或删除个人信息、要求整改等。对于违反《个人信息保护法》的一般行为，可以赋予监管部门进行谴责的权力。除此之外，欧盟《通用数据保护条例》中监管部门的建议类职权也值得借鉴，如就个人信息保护向相关主体发出倡议、要求，制定标准个人信息保护条款建议信息收集者或处理者采用等。

5.明确违法个人信息处理行为的法律责任

随着社会的发展，我国的法律法规越来越加强对于个人信息的保护，其中最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确指出，任何形式的侵害他人隐私的行为，均将受到严厉的刑事处罚。相比之下，违反《个人信息保护法》规定的行为应当受到怎样的行政监管，相关主体应当如何承担民事责任则缺乏足够的规范指引，导致出现刑事制裁与其他法律手段脱节、责任规范与行为规范脱节的现象。［7］保护人工智能应用场景中的个人信息，刑事规制固然重要，行政和民事方面的法律规范亦亟须补强。

一是行政责任。在行政监管过程中发现个人信息处理者存在违法行为的，个人信息主管部门应根据违法行为情节的轻重予以相应行政处罚。个人信息处理者存在一般违法行为且未造成严重后果的，个人信息保护主管部门可以采取警告、责令限期改正等处罚措施；个人信息处理者的违法行为对信息主体的权益造成侵害的，个人信息保护主管部门应当责令相关责任主体消除影响（如删除个人信息）、赔礼道歉并予以罚款；对于严重违法行为（如造成大范围的个人信息泄露），可以并处吊销责任主体的个人信息处理许可乃至营业执照等；对于无权处理个人信息的，应当责令销毁个人信息文件并予以罚款甚至拘留；对于多次违法处理个人信息的，应当加大处罚力度。至于情节严重的认定，可结合违法所得、违法处理个人信息的数量、信息主体权益受损的程度、造成的经济损失和社会影响等因素考虑。

二是民事责任。任何参与个人信息处理的主体都需要对违法个人信息处理所造成的损害承担责任。为充分保障信息主体的权益救济，应采取举证责任倒置，即只有当个人信息处理者能够证明其对引起损害的事件不负任何责任时，才能豁免其责任。在存在多个侵权主体的前提下，可能存在的责任形态包括连带责任、按份责任和补充责任。对于民事责任的承担，除了采取停止侵害、消除危险、消除影响、恢复声誉、赔礼道歉等非财产性的措施之外，为了降低对违反个人信息的处置费用，建议在普通的损害赔偿的基础上增加惩罚性赔偿。《民法典》只是在第1185条规定了故意侵害他人知识产权且情节严重情形下的惩罚性赔偿。故意侵害个人信息权益且导致严重后果的违法行为的危害性并不弱于故意侵害知识产权行为导致的严重后果，未来亦可参照《民法典》第1185条在个人信息保护立法中明确故意侵害个人信息权益且导致严重后果的惩罚性赔偿责任。

为了保护个人信息，必须认真审查可能导致个人信息受到侵害的原因。我们必须确定赔偿金额，并且要综合考虑所有可能导致这些问题的因素。特别是在这个信息爆炸的时代，由于现代科技的发展和大量的自动化数据处理，敏感的个人信息可能面临的风险要远远高于普通的个人信息。为了有效保护敏感个人信息，应当综合考虑可能导致其受到侵犯的各种因素，包括但不限于受到侵犯者的身份、资格、数量、可见性，以及被侵犯者采取何种行动所造成的后果。尽管没有明显的损失，但如果某些处理敏感个人信息的行为可能引起公众的恐慌，甚至可能造成严重的伤害，那么就必须承认这种情况的存在，并且可以给予相应的宽容。See Paul Ohm：Sensitive Information，88 S.Cal.L.Rev.1125（2014-2015）.此时，应当考虑的因素主要有：侵犯敏感个人信息所带来的风险程度、可能性和严重性等。［8］在确定敏感个人信息损害赔偿金额时，“过错”的规定是必须的，这一规则明确了侵权行为的必要性。相比于传统的侵权行为，大数据环境中的敏感个人信息侵权行为更加轻微。尽管“过错”并未构成对敏感个人信息的侵犯，但“过错程度”（包括故意、重大过失、一般过失和轻微过失）对于确定受害者的赔偿金额起着极其重要的作用。［9］过错程度越高，个人信息处理者所应承担的损害赔偿责任就越重。

四、结语

随着人工智能技术发展与进步，算法和数据已经成为其发展的核心动力。它为我们的日常生活带来巨大的变革，同时也极大地增加了社会风险。一些机构和个人开始随意收集、违规获取、过度使用个人信息，甚至非法买卖个人信息。这些行为侵扰个人的生活安宁、危害个人生命健康和财产安全，对社会稳定、国家安全也构成威胁。因此，保护个人信息变得越来越重要，只有加强对个人信息的保护，我们才能真正享受到科技带来的便利。

［参考文献］

［1］杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体［J］.比较法研究，2015（6）：22-33.

［2］中国科学技术法学会，北京大学互联网法律中心.互联网企业个人信息保护测评标准［J］.网络法律评论，2015，17（1）：3-9.

［3］田野.大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例［J］.法制与社会发展，2018，24（6）：111-136.

［4］丁晓强.个人数据保护中同意规则的“扬”与“抑”——卡-梅框架视域下的规则配置研究［J］.法学评论，2020，38（4）：130-143.

［5］黄道丽，张敏.大数据背景下我国个人数据法律保护模式分析［J］.中国信息安全，2015（6）：111-116.

［6］周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向［J］.法学研究，2018，40（2）：3-23.

［7］解正山.数据泄露损害问题研究［J］.清华法学，2020，14（4）：140-158.

［8］郭北南.个人信息的民事法保护与救济［J］.国家检察官学院学报，2021，29（2）：151-161.

〔责任编辑：曲丹丹〕