人工智能时代个人信息保护立法完善研究

陈杨 洪文霞

摘要：人工智能时代个人信息价值巨大，同时个人信息被过度采集和非法共享的现象也层出不穷，公民会面临着个人信息时刻遭受暴露的风险。在我国个人信息保护的立法实践中，存在着诸如法律规范缺乏系统性、相关法律规定不明确、立法缺乏可操作性等弊端，这不利于增强公民的维权意识，同时会放纵个人信息侵权事件的发生。因此，针对上述弊端，应当要采取赋予人工智能主体资格、推进人工智能个人信息保护专门立法等举措来为被侵权者提供救济，從而切实推进个人信息保护的立法进程。

关键词：人工智能时代;个人信息;立法完善

一、人工智能时代个人信息的概况

（一）个人信息的属性分析

对于“个人信息”的界定，我国多部法律规范性文件中均有提及，并且学界也无较大争议，即个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别个人身份的各种信息。[1]从这个定义中，我们不难发现个人信息的基本属性：

第一，个人信息的主体是自然人，而非法人。因为个人信息承载着一般人格利益和隐私利益，而法人是不具备人格利益的。因此，法人不能成为个人信息的主体。

第二，个人信息具有识别性。它可以直接或间接识别，也可以单独或联合识别。但需要注

意的是，这里的识别并不是指识别范围的大小，而是指识别信息主体的可能程度，即能在多大程度上将网络上的个人信息与现实中的人相匹配。

第三，个人信息兼具有人格和财产双重属性。目前学界对于“个人信息”的概念界定都偏向于将其定性为人身属性。但笔者认为，目前网络诈骗案件频发，不能否认有一部分的案件受害人是因为个人信息泄露从而导致被骗，此时受害人遭受的不仅仅是个人利益的损失，同时也是财产利益的损失。因此，人格权保护固然是重点，但财产权依附于人格权而产生，二者都应当受到法律保护。目前，司法实践中，对于侵犯公民个人信息的判决仍倾向于判断是否侵犯其隐私权，受害方也并没有要求财产属性损害的赔偿，个人信息的财产属性并没有在实践中予以运用，这一方面使得公民个人信息得不到完整保护，另一方面会放纵加害方的违法犯罪行为，不利于维护社会稳定。

（二）个人信息与个人隐私的关系。

实践中，大家往往会将个人信息和个人隐私混同，但其实二者是包含关系，个人信息的外延更广泛，它既包括个人隐私，也包括人格尊严等一般人格利益。个人信息权是一种综合性的权利，既具有人格属性也具有财产属性;而个人隐私权则单纯指一种精神性人格权，往往和人格尊严有关。目前对于个人信息的保护基本还停留在隐私权保护的语境下。个人信息包括搜集、存储、分析等多个阶段，当前谈到的隐私权侵犯主要关注的是隐私是否被非法披露，这样对侵犯个人信息的行为进行规制难免会有所疏漏。倘若想要保护民众个人居住的安宁，想要避免个人信息不被非法利用，应当要对所有的个人信息进行全方位的法律保护。

（三）基于数据隐私的法律规制实践

二、人工智能的出现对个人信息保护的挑战

基于人工智能的应用具有多方位、跨领域的特点，可以从三个层次来分析人工智能对个人信息的挑战：

（一）个人信息被过度收集和非法共享

（二）个人信息的匿名化保护失效

随着人工智能技术的发展和应用，大量的数据更容易被获得和被关联，处于匿名信息阶段的时代一去不复返，取而代之的是，“抽象的人”被还原成“特定的人”。计算机通过特殊算法会对公民个人信息进行比对和分析，将个人信息和信息的主人一一配对，这样会促进信息的二次利用。当然，此处提及的二次利用特指非法营利中的二次利用。人工智能技术的发展日趋成熟，比如，2022年美国开发出一套机器学习算法，将特定的人脸打上马赛克，神经网络仍然可以通过图像或者视频而探知隐藏的个人信息，这一科技成果会加剧个人对自己信息被他人操控的恐慌。[4]需要注意的是，人工智能的发展也离不开区块链的运用，倘若未来将区块链技术也应用在个人信息保护方面，即使不点击识别选项，也无法去掉网页中包含的个人信息，这会造成民众极大的不安全感，会时刻担心个人信息被窃取进而遭受信息暴露的风险。

（三）个人信息的“告知同意”规则失效

如今，随着网络生活的全面发展，几乎所有线下能完成的操作线上都能完成，这也是民众更加依赖网络的一大原因。网络服务提供者会在用户不知情的情况下对个人信息进行收集，这里往往是故意进行个人信息收集。尽管互联网中会有“告知同意”规则，但是现代社会大多都是快餐式生活，为了追求快捷，大家往往都会忽视互联网中的隐私保护条款。在注册账号时，面对以小号字体出现的隐私条款，我们都会习惯性的点击“同意”选项，但其实并没有仔细阅读其中的隐私保护条款，直至出现问题才想起有隐私条款的存在，不得不说，这是广大网民的

通病。当个人信息被二次利用时，公民往往对此不知情，在这种潜在并且无休止的分享个人信息的情况下，民众的个人信息其实已经遭受了非法侵害。我们不可能要求所有的信息都以自己期待的方式被披露，想要确保个人信息以自己满意的方式进行披露和使用，必须要有制度保证。

三、我国个人信息保护的立法缺陷

（一）法律规范缺乏系统性

目前，我国关于个人信息保护的法律规范比较零散，尚未形成一套完整的体系。对于个人信息保护或个人隐私保护往往都是在《网络安全法》、《民法总则》中提及，并没有一部专门的法律来保障公民的个人信息安全，这一方面使得民众时刻担心个人信息被非法利用，另一方面也会导致法官在审判时“无法可依”，不管从何种层面来分析，这都不利于公民个人信息的保护。我国的立法规则是由部门主导立法，这就使得立法部分和信息化部门之间相互隔离，执法部门不知道自己的职责，行业主体就更不知道自己应该遵守何种行业法规及准则，使得法律治理滞后于信息技术的更新发展。试想，在这种适用现状下，如何期待个人信息能得到完善的保护？当前的法律无法适应急剧发展的社会现实，这必然导致法律适用现状混乱，而法律规范缺乏系统性是造成这种混乱的滥觞。因此，只有构建出一套完整的个人信息保护立法体系，才能让民众的个人信息权得到切实保障。

（二）相关法律规定不明确

在《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中，关于侦查过程中个人信息如何获得保护并没有进行规定。比如，在侦查过程中搜集个人信息是否应该告知相关权利人，获取到相应信息后是否应当将数据销毁，个人信息权遭受损害后公民个人如何获得救济等，对于这一系列问题都没有规定，留有一片法律空白。对于大部分的民众可能知悉个人

信息权应受法律保护，但其中也不乏有些民众不重视个人信息的保护，这会纵容非法收集个人信息的行为频繁发生，不利于公民维权意识的形成。再比如，在《信息公开条例》中，个人的信息于何时何地以何种目的被国家收集，公民对此毫不知情，我们是不能否认行政机关出于公共管理目的对个人信息利用的合法性，但这并不能弱化公民享有个人信息权这一事实。诸如此类相关立法的不完善，使得公民个人信息难以得到有效保护。

（三）立法缺乏可操作性

尽管我国法律中规定，在收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，并经被收集者同意。[5]可是对于“合法、正当、必要”这一原则，现行法几乎都没有给出具有可操作性的界定，大多都是进行宏观性的描述，但这种宣示性的规定导致实践适用困难，民众难以把握界限，从而催生出一系列违法行为。同时该条款中“并经被收集者同意”这一内容，对于用户如何行使同意权、哪些情况下需要行使同意权都没有明确的规定。法律的生命力在于执行，倘若法律条款中的规定都不具有实操性，那么法律的设立就形同虚设，无法发挥其应有的作用，这和立法者的初衷背道而驰。并且还有学者指出，如果按照当前的标准去测评这些企业，几乎没有企业能达到合格的标准。[6]因为这些规定过于原则性，如何进行解读完全取决于个人意志，这种检测标准不存在公平可言，很难让行业主体信服。并不是说目前对于个人信息保护没有相关立法，而是说这些立法形同虚设，因为公民不知道如何遵守，也不知道个人信息权遭受侵犯后如何救济。因此，对现有法律进行梳理，制定出具有实操性的法律规定迫在眉睫。

四、人工智能时代个人信息保护的立法思路

（一）有序推进人工智能立法，赋予人工智能主体资格。

随着人工智能数据处理能力的不断增强，人工智能具有进一步自主化的趋势。对于人工智能侵权的救济规则必须以人工智能的法律人格为前提，因此亟需推进人工智能立法，赋予人工智能法律地位。在讨论人工智能应当被赋予法律地位之后，须进一步讨论人工智能法律人格的限度，人工智能作为民事主体，具有的应当是有限的法律人格，承担的是有限责任。

将人工智能的“智商”作为是否应当赋予法律资格的标准，通过颁发人工智能资格证书的方式对人工智能进行管理。人工智能和法人的人格特点类似，其也是依据其自身特点享有有限的权利，履行有限的义务，承担有限的法律责任。需要注意的是，倘若人工智能具有完全的法律人格，则会使得其他责任主体逃避责任;如果人工智能不具有任何法律人格，那么与人工智能相关的侵权责任都将由其生产者承担，这很可能导致生产者因不想担责而怠于进行科研研发，会阻碍人工智能技术的进步。因此，赋予人工智能有限的法律人格，既是促进人工智能技术进步的有力制度，也是完善人工智能侵权责任承担的有效措施。

（二）推进个人信息保护专门立法，细化个人信息保护条款。

1.明确个人信息范围

公民有权对自己的个人信息进行自主决定，倘若个人信息的所有者允许商家使用其信息，则会阻断违法性。当前司法实践中對信息自决权尚未充分利用，因此可以通过学说论证和司法实务案例，对信息自决权的内容进行补充。例如，个人信息的收集及使用情况均须告知权利主体并征得其同意，立法应当进一步细化知情同意原则，不得采用隐蔽手段或以间接方式收集个人信息，否则构成侵权。同时，还可以运用负面清单模式，个人信息的范围比较广泛，那么可以从反面规定哪些信息不属于此处提及的个人信息，进一步对个人信息的保护范围进行规范，明确信息主体的权利与义务，避免公民的个人信息权遭受侵害。

2.提高信息控制者的注意义务

在现代科技社会中，往往是各种电子商务公司掌握着大量的电子信息数据。因此为了预防个人信息数据被侵犯，应当要求信息控制者提高管理技术，并加强防护措施。针对这一问题，笔者建议加强数据匿名化。在对个人信息进行收集和使用的过程中，应去除个人信息身份标识，使其无法识别特定个人。生成匿名信息后，应向用户公示匿名信息包含的信息类别。由于电子商务公司等信息控制者对于其掌握的个人信息数据具有监管保护义务，并且其在侵害个人信息案件中通常会获得利益。因此，应当提高信息控制者对该类案件的民事赔偿责任，构成犯罪的依法追究刑事责任，同时可以追究具有法律人格的人工智能之法律责任。

（三）建立专门的人工智能行政监管机制，确保个人信息保的实施。

在对个人信息保护专门立法时，应当建立专门的人工智能行政监管机制，确保人工智能系统在使用个人信息时能够得到足够的管控，具体来说，该监管机制的运行应当包含以下四点：

（四）构建完善的侵权保障体系，确定个人信息受损的责任承担。

1.构建人工智能侵犯个人信息的行为规则

（1）责任主体的认定

在人工智能未被赋予法律人格时，人工智能产品类似于普通电子产品，其侵权责任类似于产品责任，具体构成要件和责任承担参照《侵权责任法》中关于产品侵权的相关规定。另外，由于人工智能的特殊性，人工智能产品实施侵犯个人信息行为后，应当区分是产品缺陷还是算法数据存在问题，根据不同原因追究相应的责任主体。

尽管人工智能产品的自主性越来越强，但其运行依旧是依赖于最原始的算法。当具有有限人格的人工智能产品侵犯他利时，参与人工智能发明、授权和使用过程中的所有主体都需要承担相应的法律责任。此种做法有助于督促人工智能系统的所有参与者自觉履行安全性义务，并为人工智能的安全提供正面导向。

（2）免责事由的适用

人工智能在某些情况下亦存在免责事由：第一，受害人过错。该情形主要包括通过自愿贩卖个人信息进行牟利而致害的情形，这种情况下发生危险即存在受害人过错;第二，其他原因。这通常是指受害人故意、第三人原因等。该类情况下，个人信息遭受的损害应当由真正的责任人承担。

（3）举证责任

尽管我国采取“谁主张，谁举证”的举证原则，但由于对智能产品侵犯个人信息的举证在技术方面要求过高，将举证责任完全归于受害者明显不公。因此，可由受害者承担其个人信息遭受损害的初步证据，再由生产者自证其不具有侵权的过错，免责事由举证则由生产者承担。

2.提供便捷的救济途径

由于个人信息数据泄露的受害者数量巨大，其要获得救济的成本较高，对此可以参照《民事诉讼法》第55条关于环境公益诉讼的规定。当信息主体的合法权益受到侵害需提起诉讼时，可以委托具有专业知识经验的特定组织或机构进行代理，这样能够更好的保护信息主体的合法权益。人工智能侵犯个人信息的事件时有发生，因此要重视对受害人的救济，若被害人在损害中得不到合理的救济势必会导致公众对人工智能产品缺乏信心，这种信任的缺乏会打击生产者

的积极性。因此，不管从何种角度说，都应当建立起完善的个人信息侵权救济体系。

3.确立新型责任保险机制

人工智能产品侵犯个人信息已经成为常态，为了更好的保护信息主体的权益，立法可以参照机动车交通事故责任强制保险的规定，要求人工智能的购买者必须为其人工智能产品购买个人信息强制险。个人信息强制险制度的存在一方面能够及时弥补受害者损失，使其得到较为全面的救济，另一方面也在一定程度上减轻购买者的责任，不至于因承担过宽责任而缩小人工智能产品的市场，这样有助于人工智能科技创新的发展。