人工智能时代 数据保护莫沦为皇帝新衣
2019-01-02 中国信息产业网

网络视频公司Netflix曾放出“经过匿名处理的”上亿条电影评分数据,仅仅保留了每个用户对电影的评分和评分的时间戳,希望通过竞赛的形式,找到更好的影片推荐算法。但是德州大学的两位研究人员通过这些匿名数据与公开的IMDB数据做对比,成功将匿名数据与具体的用户对应了起来,最终Netflix不得不取消了原计划于每年举行的竞赛。 Netflix的案例表明,在智能时代,大数据分析技术让人们的隐私无处可藏,所谓隐私与个人数据保护(以下简称个人数据保护),其实也不过是穿上了皇帝的新衣。

数据保护是人工智能发展的重要议题

个人数据保护是各国立法长期以来关注的核心议题之一。在人工智能的发展过程中,个人数据保护和管理问题仍然成为各方的关切。随着大数据技术和智能技术的结合,政府和企业的决策越来越依赖大量的数据分析(政府经济、社会统计分析、企业商业营销),大规模的数据收集、分析和使用,使传统社会走向透明化,在万物互联、大数据和机器智能三者叠加后,人们或许将不再有隐私可言。

人工智能时代,数据的收集、使用等各个环节都面临着新的风险。在数据收集环节,大规模的机器自动化地收集着成千上万的用户数据,涉及个人姓名、性别、电话号码、电子邮箱、地理位置、家庭住址在内的方方面面的数据,这些数据海量收集形成对用户的全面追踪。在数据使用环节,大数据分析技术广泛使用,数据经挖掘能分析出深层信息,不仅可以识别出特定的个人,还能分析出个人的购物习惯、行踪轨迹等信息,进一步扩大了隐私暴露的风险。此外,在整个数据的生命周期中,由于黑客攻击、系统安全漏洞等原因,个人数据始终面临着被泄露的潜在安全风险。

英国《人工智能:未来决策的机遇和影响》报告指出,在以分析为目的使用公民的数据时,能否保护公民的数据及隐私、能否一视同仁地对待每个公民的数据,以及能否保证公民个人信息的完整,对于政府赢得公众的信任和保护好本国公民来说至关重要。所以,人工智能系统对于个人数据的使用必须遵循现有的法规,如1998年英国的《数据保护法》和2016年欧盟的《数据保护通用条例》,禁止一切未经同意的非法使用公民个人数据的行为。

全球隐私与数据保护立法不断升温

近年以来,随着大数据、云计算以及人工智能等新技术的快速发展和应用,给现有的个人信息保护法律制度带来了新的挑战,各国在这方面的修订、立法活动更加频繁。

欧盟1995年制定了《个人数据保护指令》,该指令是欧盟区域内个人信息保护的基础性立法,欧盟各成员国依据该指令,分别出台了本国的个人信息保护法。然而日新月异的信息技术使得指令的主要原则及制度适用变得非常不确定,并导致欧盟各成员国对个人数据保护指令的理解与执行上出现了较大的差异。2012年欧盟委员会对1995年数据保护指令着手进行全面修订。2016年4月14日,欧盟立法机构通过最终版本的条例。在新通过的条例中,欧盟加强了个人隐私和数据保护,其中关于用户画像等自动化决策的规定将会对基于大数据的互联网行业实践产生重大影响。即用户有权拒绝企业对其进行画像等自动化决策,而且用于用户画像的数据不能包括人种或者种族起源、政治意见、宗教或者哲学信仰、商会会员、基因、生物特征、健康状况、性生活等特殊类别的个人数据。

在通信和互联网领域,欧盟委员会于2017年1月10日宣布提议制定更严格的电子通信隐私监管法案《隐私与电子通信条例》,进一步加强对电子通信数据的保护。《隐私与电子通信条例》的适用主体增加,规定其隐私保护规则将同样适用于新兴的电子通信服务提供者,比如WhatsApp、Facebook Messenger、Skype等,确保当前新兴的通信服务提供者与传统通信服务提供者能够为用户的隐私提供同等水平的保护。

此外,日本、韩国等国家也对现有的个人信息保护立法展开修订工作。2016年3月22日,韩国通信委员会(KCC)对《信息通信网络的利用促进与信息保护等相关法》进行了大幅修订,进一步完善个人信息委托处理的规定,增加对个人信息保护相关负责人的要求,以及新增暴露的个人信息的删除和切断有关规定等。日本于2015年9月9日颁布《个人信息保护修正法》,也针对当前技术产业发展新增了增加匿名信息、建立个人信息保护委员会、数据跨境转移等若干内容,新法还对敏感信息作出了新的限制,包括禁止在未经数据主体同意的情形下获取和提供敏感信息。

未来数据管理立法的调整方向

在现有隐私和个人数据保护法律体系下,需要针对人工智能发展带来的影响对相关制度进行动态调整。在个人数据(信息)界定方面,人工智能发展和大数据技术的使用打破了个人信息的稳定性,传统识别语境下非个人信息常常可以变成个人信息,立法技术上如何对个人信息进行界定需要重点关注。在个人数据权利方面,被遗忘权、携带权等新型数据权利已经引起了各方高度重视,欧盟已经进行了立法的尝试,但由于其实践经验尚待验证,且对产业发展和创新存在巨大阻碍,需要在评估其立法价值的基础上权衡是否纳入到未来个人信息保护立法之中。与此同时,人工智能的发展是一项全球化的进程,对数据跨境流动有着极大的需求,如何在确保个人数据安全和数据跨境流动中取得平衡,也是未来立法需要解决的一个难题。此外,还有技术手段、数据泄露通知等其他相关制度需要在立法中予以考量。