人工智能是否正挑战着数据安全?
本文作者张云燕,为金诚同达律师事务所高级合伙人,本文为第八届瑞中法律协会全球论坛-《数据保护与国家安全论坛》的会议投稿。本文原题为:人工智能与数据安全的矛盾统一。
人工智能与数据安全的矛盾统一
一、大数据如何成就人工智能
21世界 20年代,人工智能飞速发展,它已经逐渐浸入我们日常生活的方方面面。出行无需再带钱包,一个手机就可 以付款、买票、住宿、导航,“通行天下”;脸部智能识别 可以解锁密码,进入私人数据领域;就连近期爆发的COVID-19 也可以通过数据追踪立即分辨和发现可能感染的人群。这些生活的巨大便利,很大程度上依赖“大数据”的技术发展和人工智能的体现。
大数据发展带来了企业和经济的腾飞,百度、腾讯和阿里三家公司在其中尤为耀眼。三者以大数据为基础,往不同的方向发展,掌控着当代技术、电商、游戏和社交等不同的领域。其中,在疫情期间,阿里及时推出了“健康码”,它是以真实数据为基础,由市民或返工返岗人员自行上网申报, 并经后台审核生成属于个人的二维码,作为其在本地区出入通行的电子凭证。随后,全国也推出了全国版健康码,它是借鉴浙江等地方推行的健康码模式而打造的。阿里的健康码在疫情期间无疑起到了非常重要的作用。海通证券表示,“健康码的应用和推行,本质上是充分显现了数据资产的重要价值,中国除了工程师红利,更有大数据红利,这次疫情将是中国大数据红利的开始。”而此次杭州健康码在疫情中的应用,是通过对以往存储的海量冷数据的提取、打通、处理和分析,来实现健康码应用的高效应用和快速落地。海通证券判断,“政府冷数据的价值变现将是未来重要趋势,重视政府数据入口、冷数据存储、挖掘、分析、以及应用的产业链需求。”由此可见,未来大数据的应用需求不仅局限于民用日常生活,也会延伸到政府数据监控和变现。
《新时间简史》一书中提到,“比如 AI中的“深度学习”(机器学习的内容之一),实际上是个老话题,如今很时髦的原因,主要是因为信息技术的发展让搜集“大数据”成为可能,机器训练有了足够多的样本。诸如阿尔法狗的棋步算法、洛天依的声音合成,以及无人驾驶、人脸识别、网页搜索等等高级应用中用到的神秘兮兮的“深度学习”“增强学 习”,乃至最具潜力的“对抗学习”及其对应的“深度神经网络”“卷积神经网络”“对抗神经网络”等,都与大数据有关。”
大数据的发展即是对海量数据进行收集、整合、分析后, 通过算法实现价值创造的最大化。其中第一步就是完成海量 信息的收集。在日常生活环境中,信息往往来自于对每个用 户日常行为数据的记录。如许多app平台都会使用的个性化推送功能,就是基于对用户使用习惯的记录和分析来实现的。只有积累了足够多的数据样本,才能准确地作出定向分析, 达到提高生活和工作效率的目的。
那么,除了享受上述大数据带来的高效和便利,我们作为法律工作者也注意到信息的收集过程中存在着不小的法律隐患。政府监管、数据分析以及机器替代后,从法律的角度 可以想到生活便利涉及到的金融安全和个人隐私保护,政府监管公权力和私权力之间的平衡,数据归类分析涉及的知识产权,机器替代涉及的人伦和劳动延伸制度等。我们希望以此文进行一个概括的分析和探讨。
二、人工智能何以侵犯数据安全
人工智能的定义为:“任何感知环境并采取最大化成功实现目标机会的行动的设备”1,重点在于扩展人的智能,帮助人类处理更为复杂的事物。也有学者将人工智能定义为“一个能够正确解释外部数据,并能在这些数据中学习,并通过此类学习,来实现特定的目标和任务”。2只有以足够丰富的数据集为样本进行深度学习,才能避免其在自动化决策时出现决策偏差或歧视,从而更好地为用户提供精准服务。由此可见,人工智能与大数据密不可分,单从诞生而言,人工智能就是大数据下的产物,人工智能离不开大数据的喂养,没有大数据支撑不足以产出合格的人工智能。
但是人工智能的发展带来的并不仅仅是机遇和便利,相比起大数据,人工智能有很多独特的问题,对数据安全提出了新挑战。从法律角度分析,人工智能对数据安全的挑战以主体进行划分主要分为两个方面,其一,对用户个人信息安全的使用和保护,包括信息收集阶段和其后信息使用、分享等信息处理阶段。其二,对企业数据安全的使用和保护。随着技术的变革和应用,法律也随之完善。在收集阶段,依据最新颁布的《民法典》第一千零三十五条第一款第一项规定:“处理个人信息的,应当遵循合法、正当、必要原则, 不得过度处理,并符合下列条件:(一)征得该自然人或者其 监护人同意,但是法律、行政法规另有规定的除外;”,企业收集信息需要遵守“知情-同意”规则作为信息收集的合法 性基础之一。因此若未取得用户授权,又不符合但书情节, 则很可能构成侵犯个人信息的行为。
在处理阶段,即使符合用户授权前提,人工智能处理信息或数据的行为也可能构成侵权。
(一)人工智能自动化决策可能侵犯用户隐私,在大数据时代,数据是个人信息的主要表现形式,而个人信息保护更是集中于对数据的保护上,在某些互联网公司的数据处理中心,仅仅是通过收集收集用户的设备/服务使用数据,能够对用户进行“用户画像”,并进而对用户进行个性化展示型的广告精准投放。并且人工智能不仅仅是一台“储存器”, 相反它还具备深度学习的能力,具有依据预设算法进行自动化决策并优化决策。根据最新颁布的《民法典》第一千零三十四条的规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定3”。人工智能通过分析个人信息数据进行商业行为在法律上尚无明确具体的规定,从利弊两角度分析:一方面,分析用户个人数据,能够及时帮助用户解决需求;但另一方面,需注意,人工智能技术促进企业用户定制服务质量、水平的提升,但由于其强大的计算、分析能力,即使信息收集经过用户授权,也有可能通其整合功能,从碎片化信息中自动推导出超出个人授权范围的信息,甚至将触角深入用户的隐秘,从而侵犯用户隐私权。
(二)人工智能利用大数据“杀熟”,违反公平交易原则。某些平台通过人工智能利用大数据信息分析整理用户的消费习惯、消费能力等信息,使得一些“出手大方”的用户在同等条件下的同一商品比其他用户价格更高昂。在大数据时代下,这种操作将可能涉及“算法歧视”的问题。消费者专业技术知识欠缺,较难意识到自己被杀熟,与大企业相比实力悬殊,维权较难。加之,消费者无法理解智能系统分析结果的运行原理,对于消费者而言就是企业操作的“黑箱”。根据《消费者保护法》第十条的规定:“消费者享有公平交易的权利。消费者在购买商品或者接受服务时,有权获得质量保障、价格合理、计量正确等公平交易条件,有权拒绝经营者的强制交易行为”,消费者拥有公平交易权,人工智能的利用数据分析处理获得不同用户的“可接受价”来差别对待,明显侵犯了消费者的合法权益。
(三)人工智能可能导致非法获取商业秘密。人工智能对于收集信息有特定的算法,与人类相比,人工智能对数据的处理就像是人类的“日常便饭”,因此,人工智能对数据的挖掘和分析,往往能依靠数据信息得到出一些“隐秘”的商业秘密。根据《反不正当竞争法》第九条第一款第一项:“经营者不得实施下列侵犯商业秘密的行为:(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密; ”。平台方或多或少都有通过数据收集、分析、利用后获得一定的商业秘密的情况,但不应对此放任,否则未来将造成用户的极大损失。
(四)人工智能或致使降低侵犯著作权的成本。以往的网络盗版行为还需盗取者绞尽脑汁、一个个代码的敲打才能盗取某些网站上的版面、内容。但是在大数据时代下,只需开发一个数据软件,就能对一些小说文学网站、视频网站等进行复制粘贴,盗取网站上面的信息,再放置到自己的网站门户上,赚取流量获得不正当利益。根据《著作权》第四十八条第一款第一项的规定:“有下列侵权行为的...(一)未 经著作权人许可,复制、发行、表演、放映、广播、汇编、通过信息网络向公众传播其作品的,本法另有规定的除外;”。人工智能对数据的处理的能力将使得侵犯著作权等知识产权的行为更加便利、隐秘。
(五)人工智能可能产生的其他侵权行为还包括利用人工智能来获取数据进而犯罪的行为,譬如,某人利用人工智能收集的数据,进而分析出住户每月都外出一次,便趁机入室盗窃。此类行为看似与人工智能关联度并不高,但是人工智能沦为犯罪的工具,间接帮助了犯罪分子实施犯罪行为。
三、人工智能引发的数据安全问题之法律应对
智能生活日益便利的光鲜表象下是个人信息界限日益模 糊,由于普通人缺乏识别该类产品的能力,对潜在的威胁难以采取防范措施,个人信息安全恐怕难敌智能技术这个狡猾 的猎手。因此, 在发展智能应用的同时我们也应当重视个人信息保护的法律应对,以求更完备地将个人信息保护置于我国的法律体系中并与我国政治、经济需求相契合。基于此, 本部分对人工智能引发的数据安全问题之法律应对作如下几点建议。
(一)确立禁止还原原则
首先,应当根据敏感程度的不同将个人信息分为三个层次。第一层次为极度隐秘的个人隐私信息,如指纹、人脸识别、犯罪记录等,这类信息由于关乎到自然人的人格尊严应当给予足够的关注和保护;第二层次为个人的间接信息,这类信 息经智能分析后可定位到信息所有人个体,如消费记录、聊 天记录、行走路线等;最后一个层次为加工演绎信息,这类信息经过加工演绎成为脱敏信息,即难以精准定位到个人的信息。如电商将收集而来的大量原始数据进行分析处理,进而脱敏处理形成不同类型的数据库,数据库中的信息与原始信息主体很难建立起一一对应关系。[4] 然而,能够运用去识别技术的企业自然有能力将这类信息重新还原为可以识别定位到信息所有人个体的信息。因此,法律应当对这类信息的加工、控制者制定较为严苛的限制条款,严禁对去识别化的信息进行任意还原。
(二)规制格式条款
其次,实践中有大量企业将接受格式条款作为用户安装、使用软件的前提条件,该类格式条款通常被设置成不利于保护用户个人信息与隐私的数据共享条款,因此必须对上述格式条款进行严格规制。其一,该类数据共享形式的格式条款必须事先由相关主管部门进行形式和实质两方面的审查;其二,应当明确该类条款不能成为互联网企业之间共享用户个人信息的免责事由。[5]
(三)明晰责任主体
最后,人工智能对个人信息的收集依赖于云技术,云技术对个人信息保护的挑战在于责任主体的确定。传统的个人信息保护相关法律仅要求企业等信息的收集者承担责任,如欧盟的《一般数据保护条例》。但由于智能信息“云储存”的特点,信息收集和储存的过程由散布各地的多个服务器共同支持,即人工智能背景下的信息侵犯主体不再是单一主体,不论是信息的控制者还是处理者都有可能成为侵权主体。因此,个人信息保护相关法律应当根据不同主体给信息保护带来的不同程度之风险来具体落实各个侵权主体的责任。[6]
四、法律人工智能与人工智能法律
2017年 7月 20日,国务院印发《新一代人工智能发展规划》,其中提到,新一代人工智能发展分三步走的战略目标,到 2030年使中国人工智能理论、技术与应用总体达到世界领先水平,成为世界主要人工智能创新中心。随着人工智能上升到国家战略,法律行业也在悄悄发生变革。
(一)当前法律人工智能的成与败
在司法领域,政府大力支持大规模运用人工智能技术。最高人民法院与最高人民检察院提出了“智慧法院”与“智慧 检务”建设的行动规划,全国各地方法院也纷纷推进。目前, 人工智能技术在智慧法院建设中的运用已贯穿了立案、分案、庭审、裁判与执行等各个诉讼阶段。
在法律服务行业,人工智能技术正在法律检索、文件审阅、摘要生成、案件预测和咨询服务方面试水,并展现出优越性。例如伦敦律所 Hodge Jones & Allen 早已在利用一个“案件结果的预测模型”来评估人身伤害案件的胜诉可能性。国内牛法网于2019 年正式发布劳动合同机器人。大声法律网(Legalzoom)的客户则可以通过提交关于他的资产和处置计划等信息,获得一份遗嘱草案。科大讯飞出品的“法小飞” 则是一款智能法律咨询助手,能通过语义理解模块判断用户意图,并根据意图给出用户需要的回答;能通过深度排序模型为用户推荐最优回答;能根据法律名称、条款内容等匹配到完整法条和其它相似法条;能根据用户提供的条件,如地域、案由等,结合律师处理相似案件的数量和胜诉概率,对律师进行筛选排序。这些法律人工智能产品的出现可以减轻律师在法律检索、文件查阅等基础工作的压力,代替律师做一些简单的法律咨询服务,让律师从繁重枯燥的基础工作中解放出来,提高工作效率,也增强了法律服务行业的灵活性。
然而人工智能虽然使信息收集、存储、分析的成本显著降低,但律师行业似乎并不买账?2020年 3月 4日,当年一举拿下 6500万美元B轮融资的法律科技传奇公司Atrium正式宣布关闭。这家成立不到三年,旨在希望用科技改变传统法律服务的创新公司,关闭的主要原因竟然是未能找到比传统律师事务所更好的盈利模式。新兴事物进入一个行业需要经历质疑、认同、接纳并使用的阶段。特别是中国的法律服务市场还很年轻,行业整体发展水平不均衡,专业壁垒也更高。过去几年,也曾出现过各种创新产品和服务组织帮助律师工作进行技术升级,然而并未全面流行。法律科技不是简单地替代律师,而是为律师提高效率以减少成本,提高质量以提升费用,当前市面上的产品存在界面不够简洁、功能不够智能等缺陷,缺乏好的用户体验。法律人工智能产品要想在法律服务行业大规模应用,除了需要慢慢突破给行业一个适应期,更需要反思自身,在磨合中改进产品,
(二)人工智能技术呼唤法律规制
人工智能载体究竟是不是法律主体?人工智能生成的内 容是否属于著作权法保护下的作品?此外,人工智能技术的出现使信息搜集与个人隐私的矛盾日益凸显。人工智能+” 的不断探索对法律规制提出了现实要求。“凡事预则立,不预则废”。我们欣喜于新技术的产生,但也要正视其对人类行为方式带来的变化。
当前,人工智能的发展仍然处于弱人工智能阶段,更多政策是倾向于促进产业发展的,人工智能技术尚未很好地反映到我国立法中,仅在电子商务、数据安全和智能投顾领域的立法中有个别条款分别涉及。比如《电子商务法》第 18条规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其推销商品或服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。规章层级的《数据安全管理办法》(征求意见稿)7对算法进行了相应的规制。欧盟出台的《一般数据保护条例》或许也可以供我们借鉴,其抓住了人工智能建立在算法和算力的基础上的特点,着眼数据安全,通过通过访问权、修改权、删除权、可携带权等具体权利的规定确立了个人数据决定权,从源头上规制了人工智能技术的使用。
现阶段如果想要规制,笔者认为当务之急是修改现有的法律法规,分类指导,使得法律法规能够兼容大数据和人工智能技术在具体领域和场景中的应用,比如调整《道路交通安 全法》以兼容无人驾驶技术。无论是法律人工智能还是人工 智能法律,都在呼唤大批既懂技术又精通法律的复合型人才,这样才能让人工智能技术深入运用于法律行业,让立法跟上人工智能技术发展的脚步。
注释
[1] POOLED,MACKWORTHA,GOEBELR.Computationalintelligence:Alogicalapproach[M].Oxford: Oxford University Press,1998: 1.
[2] KAPLANA,HAENLEINM.Siri,siriinmyhand,whosthefairestintheland?Ontheinterpretations, illustrationsandimplicationsofartificialintelligence[J].BusinessHorizons,2018,62( 1):15
—25.
[3] 如:《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》等
[4] 张平:《大数据时代个人信息保护的立法选择》,《北京大学学报(哲学社会科学版)》,2017 年 5月第 54 卷第 3 期。
[5] 王利明:《数据共享与个人信息保护》,《现代法学》,2019 年 1 月第 41 卷第 1 期。
[6] 丁晓东:《大数据与人工智能时代的个人信息立法——论科技对信息隐私的挑战》,《北京航空航天大学学报(社会科学版)》,2020年 5 月第 33 卷第 3 期。
[7] 《数据安全管理办法》(征求意见稿)第 24 条规定,“网络运营者利用大数据和人工智能等技术,通过算法自动合成的新闻信息、博文、帖子、评论等,应当以显著方式表明‘合成’字样。”