人工智能在安防领域的广泛应用使中国成为世界上最安全的国家之一。但是,我们把“脸”交出去了,谁来保证我们“脸”的安全?
我们知道,人工智能基于大数据,美国的亚马逊、脸书和谷歌都通过收集和利用数据建立了价值上千亿美元的公司,国内的百度、阿里和腾讯也是如此!而海量数据的挖掘和运用,也带来了数据共享和隐私安全的难题。以脸书为例,美国时间2019年7月24日,美国联邦贸易委员会(FTC)在其网站上公布了与脸书达成和解令的新闻通告。FTC认定脸书在用户对其个人信息控制方面,欺骗了用户,脸书也因此支付了高达50亿美元的罚款,并接受了FTC提出的新的限制:脸书从公司董事会起,由上至下全面重构其隐私保护策略,并建立强大的新课责机制,以确保脸书高管对他们所作的隐私方面的决策承担起责任,并且这些决策能够受到有效的外部监督。对于这起事件,FTC主席乔·西蒙斯(Joe Simons)说:“脸书向全球数十亿用户多次承诺过用户可以控制其个人信息的共享,但脸书还是违背了消费者的选择”。他认为这次高达50亿美元的罚款不仅是对未来可能的违规行为进行“预防性”的惩戒,更重要的是要通过这次罚款改变脸书公司的整体隐私文化,以减少未来再次违规的可能性,并申明FTC高度重视消费者的隐私,将在法律允许范围内最大限度地执行此次和解令。
由此看来,正所谓硬币有两面,人工智能在提供人们安全防护的同时,也涉及个人隐私的泄露问题,而各国也正在试图从法律层面对此进行规范。
我们先来说一个很著名的案例:在美国,有一家超市给一个年仅15岁的女中学生寄孕妇用品宣传单,她的父亲知道后很生气,正准备起诉这家超市,就在这时,他发现他的女儿怀孕了。一家不相干的超市竟然比父亲更了解女儿,这岂不是很荒诞?显然,这个女孩的隐私被暴露了。这还是一件多年前发生的事情,那时人工智能还没有现在这么发达。通过之前章节的描述,我们知道现在人工智能在那么多行业中得到了运用,它已经渗透到了医疗、教育、零售、无人驾驶等领域。人们往往担心的是自己的饭碗被抢走,却很少考虑隐私暴露的问题。实际上,大数据虽然能够帮助商家比消费者更了解消费者的行为,但同时也要明确个人数据的边界范围,对个人一般信息和个人敏感信息加以区分。对前者可以强化利用,最大程度地发挥其商业和公共管理方面的价值。但是对后者,也要予以高度保护,限制收集、加工和流动。隐私暴露是一件很严重的事,没有人愿意自己的隐私被暴露在大庭广众之下。随着人工智能的发展,我们在人工智能面前越来越像个“透明人”,想想就觉得害怕。那么,人工智能时代,我们的隐私该如何保护呢?
隐私保护
1.隐私的由来
既然要“保护隐私”,我们就要知道哪些是“隐私”,哪些不是“隐私”,我们要保护的是哪一种“隐私”。
首先,到底什么是隐私呢?美国法学家沃伦和布兰代斯在1890年在其发表的《论隐私权》一文中,首次提出隐私概念,并将其界定为独处的免受外界干扰的权利。随着时间的推移,隐私权在美国和世界各地推广开来,隐私权的内容也不断地丰富。
其次,我们保护的是哪一种“隐私”呢?实际上,我们通常将隐私分为四类:第一类是身体隐私。免于触觉干扰与侵犯的自由,通过限制他人与其身体接触或进入个人私人领地。第二类是精神隐私。免于精神干扰与侵犯的自由,通过限制他人影响或操纵个人精神世界来达到。第三类是自决隐私。免于程序干扰与侵犯的自由,通过排除他人对其及其亲属所做决定的影响来达到,特别是但不限于和教育、医疗、事业、工作、婚姻、信仰有关的决定;第四类是信息隐私。免于信息干扰与侵犯的自由,通过限制个人的信息泄露来达到,这些信息是未知的或是不可知的。通常我们所说的隐私,是指第四类隐私。
如今,隐私泄露发生颇为频繁,发生2018年发生了几件轰动全球的隐私泄露事件。深圳一家人工智能公司超过256万用户敏感信息泄露,这些用户数据不仅包括用户名,还有非常详细且高度敏感的信息,如姓名、身份证号码、身份证签发日期、性别、国籍、家庭住址、出生日期、照片、工作单位等内容。此外,该数据还包含一系列“监控器”以及与之相关的GPS位置记录,每个摄像头都有一个单独的名称和一个与某个位置相关的IP地址。“根据该公司的网站,这些监控器似乎是公共摄像机的位置,通过该摄像机进行视频拍摄和分析。”如“酒店”“警局”“网吧”“餐馆”等,都是对“监控器”等相关GPS位置的描述,24小时内就能够记录下670万GPS位置数据。
另外在2018年3月,纽约时报曝光一家名为“剑桥分析”的企业通过付费性格测试,不正当使用著名的脸书公司上超过8700万用户信息,并通过智能系统分析用户的政治意向,从而有针对性的推送候选人广告并用于2016年美国总统大选,以此来影响大选结果。这一行为不仅仅关乎个人隐私泄露,还对国家大事造成了不良影响,看来保护个人隐私是非常必要的。
2.隐私保护的方法
如果不能保证所有人都有内心的道德约束,那么保护隐私就只能“来硬的”。对于隐私保护最好的办法,就是实行严格法律法规保护。
2018年,欧盟的《一般数据保护条例》实施,美国的加利福尼亚州也通过了消费者隐私法案。其实早在1974年,美国国会就制定了一部专门的立法《隐私法》,后来美国法学会在《侵权法重述》一书中具体解释了侵犯隐私权行为的一般性规则,对隐私权的客体范围、侵权方式、赔偿责任、免责条件等作出直接性规定。
而大陆法系国家,早期如德国法院拒绝在立法上对隐私权予以认可,20世纪40年代后,德国新宪法赋予名誉权和隐私权“一般人格权”的法律地位。日本在第二次世界大战后对隐私权以判例法的形式作出间接规定,保护公民私生活的不受侵犯。
在我国,2009年《刑法修正案(七)》确认了非法销售、获取公民个人信息罪,并在之后的《刑法修正案(九)》中对上述两罪加以修订,定义为侵犯公民个人信息罪并适用刑罚。2017年,《民法总则》又再次强调明确将隐私权单独作为一项具体人格利益加以保护。公民个人隐私保护问题不仅纳入民法保护体系中,在刑法、宪法中也有所规定。
与西方国家相比,尽管我国当前对隐私保护有相关法律条文规定,但是并无专门的个人信息保护方面的立法。
在2016年,由全国人大常委会发布、2017年6月1日起实施的《中华人民共和国网络安全法》的某些条款可以参照,算是隐私保护方面可以依据的法律,但是相关条文并不多,现摘录如下:
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
根据《中华人民共和国网络安全法》的规定,违反上述三条法规的,根据情节严重程度,有可能被处以罚款、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚措施。
但这些法律条文流于宽泛,把个人信息安全问题完全归结于网络,也不尽合适。自由裁量权太大,对于恶意泄露个人(或法人)隐私行为,起不到震慑作用,更难以应对人工智能环境下的隐私危机。目前,我国公安和司法机关打击违法犯罪活动的主要依据,是刑法中的侵犯公民个人信息罪。刑法打击犯罪卓有成效,但受害者仍很难得到有效的法律救济。要厘清个人信息在民事、刑事、行政范围内的界限,建议《民法总则》和其他民事规范进一步明晰侵害个人信息的民事责任。对于不宜入刑的侵害个人信息的行为,应当明确行政责任,由行政机关对相关企业和负责人进行行政处罚。某种程度上来说,正是对于个人隐私保护尺度的宽松,促使了中国类似百度之类的互联网企业迅速发展,构成了互联网发展的隐性成本。
相比之下,经过欧盟议会四年讨论,2018年5月25日开始实施的欧盟的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)实施,就具体严格得多,它分十大部分九十九个具体条款。
我们在此把关键内容汇总如下:
适用范围:
(1)GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
(2)如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。如果非欧盟组织机构意图向欧盟境内个人提供商品或服务,则其将被视为在欧盟境内提供商品或服务。
(3)GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
GDPR强调了“同意”的重要性。“同意”是处理个人数据的六项法律依据之一,在没有法律依据的情况下处理个人数据是不被允许的。GDPR也规定,“同意”是数据处理的法律基础。GDPR的多个部分都提到了同意机制。
“同意”是什么呢?就是数据主体依照其意愿自由作出的特定的、知情的指示。首先,同意必须是自由作出的。这意味着数据主体在作出同意时,其选择是真实的,例如,不存在受到胁迫或者欺诈的风险。同意必须是特定的。无明确目的的概括式的同意是无效的。同意应当清晰准确地指明数据处理的范围和结果。特定的同意条款需要与一般条款相区分。其次,同意必须是在知情的情况下作出的。数据控制者必须向数据主体提供一定的关于数据处理的最低限度的信息。被提供的信息应足以保证数据主体能够作出充分知情的选择。至于信息的质量,信息提供必须使用数据主体能够理解的语言。
另外,同意机制还适用于对于儿童的保护,所有在线服务,无论是免费的或付费的,包括社交媒体都应当适用同意规则。只不过这种同意机制比较特殊,原因是儿童一般都缺乏对风险、保障措施和与处理个人数据相关权利的了解。任何信息和沟通都应当以清晰且简明的语言表达,使得儿童容易理解。值得一提的是,只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。
同时还制定了违约罚则:
(1)对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
(2)网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。
(3)企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。
(4)明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。
考虑到刑事、民事救济手段都存在滞后性和局限性,中国可参考美国的联邦贸易委员会、欧盟的数据保护委员会、日本的个人数据保护委员会等,也设立专门的数据保护执法机构,以发挥行政监管体制的作用,快速、有效地解决纠纷,维护市场的正常发展。
首先,跨国、跨境的信息流动,需要重点关注。要在《网络安全法》的基础上切实保护我国的数据安全,也要加强我国的信息跨境流动制度与国际框架,加强国家间行政机构的合作,促进区域间个人信息的合理流动。
其次,在个人信息保护立法中,必须考虑为未成年人提供特殊保护。我国青少年网民数量已超过3亿人,青少年的生活方式甚至思想意识都与互联网大数据息息相关,保护其信息权是迫在眉睫的大事。
当然,人工智能时代,除了完善隐私保护的法律、加强行业自律管理之外,作为数据信息的提供者,每个人也应当培养法治意识,积极学习互联网安全知识,养成良好的上网习惯,加强个人隐私安全保护能力。
在使用软件之前,需要认真阅读隐私条款再决定是否接受,而不是直接勾选“同意”陷入可能泄露自己隐私的风险中;在公共网络环境下,警惕可能入侵自己手机或者计算机的黑客,安装杀毒软件或防火墙,完善电子设备的防御系统;及时清除浏览器历史记录,重要资料离线缓存,充分保护好自己的隐私。
总之,大数据的开发和利用是互联网经济的必然趋势,各国视大数据为新的“黄金”资源,特别是人工智能的广泛应用,个人数据采集已成为常态,限制数据的利用会错失发展机会。但在运用大数据发展产业同时,也要注意保护个人隐私,做到法律惩戒和个人预防并举,才能防患于未然。