5月25日,全国人大常委会工作报告在“下一步主要工作安排”中明确指出,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法。
5月28日,中国首部民法典表决通过,其中人格权单独成编,规定每一位自然人隐私权、肖像权、生命权、名誉权等合法权利的保护规则,强化了对人格的全面保护。
个人数据保护、隐私安全是互联网时代就老生常谈的话题,但近年来,随着人工智能时代的大幕初启,数据作为人工智能的重要支撑,数据之争成为“兵家必争之地”,随之而来的就是,各种花式手段“收割”个人信息,用户隐私暴露程度越来越高,隐私保护早已成为“皇帝的新装”。
01
侵权
从数据流转的路径来看,针对用户隐私数据的侵权主要包括三方面:数据的不当收集、数据的扩散、数据的二次利用。但与互联网时代相比,人工智能时代下的信息获取、数据用途等方式都与以往大不相同,这也催生出一批新型的、更为隐蔽的隐私侵犯手段。
(1)隐私数据的不当收集:电商、社交软件等应用程序正成为数据泄漏的“重灾区”,下载注册APP,被要求开放后台访问相机、定位等权限,监听用户外拨电话,没有获取明确同意的情况下上传通讯录信息等等,以信息服务的名义,这些平台一步步“越界”,对用户个人信息“攻城略地”。
与此同时,随着生物特征识别技术的不断成熟,人脸、指纹、声纹等特征数据正逐步替代传统密码成为用户的专属密钥。用户享受便利性的同时,以“身份认证”之名强制采集、恶意采集的事件也开始出现,比如引发热议的“中国人脸识别第一案”。
(2)隐私数据的扩散:进入信息化时代以来,数据价值堪称新时代的“石油”,这也使得个人信息等数据资源成为黑产觊觎的猎物。
从黑产运作链条来看,一些上游的黑数据公司、黑灰产团队利用“爬虫”等采集技术非法盗取用户数据后,再通过社交平台以及其他不正当渠道进行“黑市”交易,甚至可能层层倒卖。
智能化时代下,语音助手、地图导航、智能支付等智能产品与用户的交互更为频繁,数据类型更为丰富,使用过程中的信息流失、外泄的风险也更高,甚至数据被上传至远程终端,也可能面临系统安全漏洞、黑客恶意攻击等潜在安全风险,最终都难逃被窃取、被买卖的厄运。
(3)隐私数据的二次利用:无孔不入的垃圾短信、骚扰电话,泛滥横行的电信诈骗、敲诈勒索,被泄漏的数据最终“流向”黑产分子非法进行商业化运营变现牟利的工具。
在人工智能的加持下,黑产也开始演化出新形态。比如近年来互联网上大量涌现的“AI换脸”视频,黑产分子通过提供的人脸图像“定制”色情片,包括当红女星、被色情报复的普通女性。也有诈骗分子将“AI换脸”用于电信诈骗,通过“换脸”向“被换脸者”的亲友索要钱财。
除了流入黑市,隐私数据也正成为互联网行业的重要“素材”,通过对用户海量信息进行追踪、归纳、分析勾勒出用户画像,包括个人癖好、行踪轨迹、购物习惯、交往范围、性取向等私密信息,来配合精准推送和精准营销。
随着大数据、人工智能等技术发展,个人信息的收集、应用更加广泛,公众的隐私空间也越来越窄。
一方面,在物理空间上,随着智能终端的普及,人们的空间位置、行为动向、容貌、指纹等隐私信息被无时无刻、悄无声息的侵犯。
另一方面,在虚拟世界里,人们所有的行踪痕迹被毫无预告地被实时获取,所有“蜘丝马迹”都被捕捉在大数据网络中,等待某一刻被使用。
02
立法
伴随层出不穷的隐私侵权、数据泄漏等事件,公众舆论对立法的呼声也持续走高。其实,我国对个人隐私的保护早已在相关法规、规章中有所体现。
2012年,全国人大常委会通过《关于加强网络信息保护的决定》,确立个人信息收集及使用的规则、网络服务提供者保护个人信息安全的义务;
2013年,修改《消费者权益保护法》,虽未直接对“隐私权”进行规定,但其中的安全保障权、知情权、自主选择权可以认为是保护公民个人隐私间接不受侵犯的权利依据;
2015年,通过刑法修正案(九),其中涉及“窃取或者以其他方法非法获取公民个人信息”、“向他人出售或者提供公民个人信息”等规定;
2016年,通过《网络安全法》,其中对“不得出售个人信息”、“严厉打击网络诈骗”等作出有关规定,聚焦个人信息泄露,严厉打击出售贩卖个人信息的行为;
2017年以来,《信息安全技术个人信息安全规范》等系列国家标准相继出台;
从相继出台的法律法规不难看出,国家监管部门对个人信息保护的关注度在持续加强,只是现有立法的缺点在于过于分散和碎片化,没有形成体系化。
涉及的部门规章太多,涉及具体问题,行业主体不知道具体应当遵守哪项规则,执法部门不明确具体的职责,总是显得力有不逮;对个人信息也没有严格的界定约束,适用中存在不确定性;量刑低、处罚轻,导致违法成本太低,个人隐私保护力度极其有限。
尤其人工智能等新兴技术更新迭代很快,侵权手段也日益出新,但现有法律法规缺乏有效的动态调整机制,难以做到及时修改,以适应不断变化的隐私权侵权方式。
比如针对逐渐流行的换脸、语音欺诈等AI黑产,此前网信办于2019年年底推出《网络音视频信息服务管理规定》,指出“不得利用基于深度学习应用制作、发布、传播虚假新闻信息”。但该规定仅停留在对虚假信息的治理上,对于AI黑产团伙来说,威慑力极小,难以遏制侵权意图。
更为细究来看,原有法律主要对相关个人信息的合理使用作出了规定,但对公民人格权、隐私权并没有重点着墨。
为此,从隐私本身定义出发,促使现有法律从分散凌乱走向完整统一,出台一部专门法具有正当性。由此来看,《民典法》中人格权编的发布可谓恰逢其时。
03
共治
作为人工智能时代下安全治理的重要部分,隐私保护工作还将从“法治”走向“多方共治”,科技企业、社会组织、广大民众等所有利益相关者需共同联手应对新问题。
作为国家安全和社会稳定的守卫者,政府部门制定法律规范的同时还需为科技产业制定统一的安全标准,牢牢把握行业的发展方向和治理基调。
科技企业作为人工智能等新兴技术的开发者与推崇者,在承担科技研发与应用推广重任的基础上,应承担起相应的社会责任,一方面要以符合法律法规和道德伦理的标准自我约束、自我监督,另一方面要加码安全端的研发投入,为系统构筑强有力的“防火墙”,防止用户数据被恶意被窃取。
社会组织和广大民众作为最直接的受众,一方面,公众需强化隐私保护观念,理性、客观的心态看待人工智能的新兴发展,“既不粗暴扼杀、但也不任其自由泛滥”。另一方面,有一定公信力的行业组织也应积极参与相关规则的制定,主动介入监督与监管,自下而上形成健康向上的协同治理体系。
人工智能时代的数据安全与隐私保护一直以来是需要高度关注的核心议题,希望民法典的出现可以更好的推动“多方联动、协同治理”,尽早帮助公众终结隐私“裸奔”的噩梦。
参考文章:
刘浩.人工智能时代的隐私保护问题.《法制与社会》2018年第12期
庞金友. AI治理:人工智能时代的秩序困境与治理原则.《人民论坛·学术前沿》2018年第10期
马靖.人工智能发展中面临的困境思考.《各界·下半月》2020年第01期