11月21日,在2024年世界互联网大会乌镇峰会期间,人工智能时代的网络法治论坛围绕人工智能时代的个人信息与数据制度进行深入探讨,引发关注。事实上,如何在人工智能时代构建有效的个人信息与数据制度、如何回应社会相关关切、如何借鉴国际先进经验等,正成为一个重要话题。
个人信息和数据安全问题引发关注
近年来,人工智能呈现出深度学习、跨界融合、人机协同、群智开放、自主操控等新特征,成为新一轮科技革命和产业变革的重要驱动力。然而,在人工智能飞速发展的同时,个人信息和数据安全问题也越来越引发社会关切。
南开大学法学院副院长、中国新一代人工智能发展战略研究院特约研究员陈兵分析,在人工智能的训练过程中需要海量的数据,当用户在使用过程中授权其使用相关资料,人工智能便会爬取其大量数据信息,其中包含了大量敏感信息。如果没有建立数据安全保障措施,容易造成信息泄露风险,导致数据的滥用,违反相关法律法规和合规要求,同时降低人们对于人工智能的可信度,不利于行业未来的健康发展。
南京师范大学法学院教授梁志文表示,人工智能技术应用中的个人数据处理是以用户同意为前提,但是在现实中,这种“同意”往往流于形式,并且传统的个人数据保护的匿名化处理在实际操作中仍存在困境。
东南大学法学院教授李川认为,在人工智能飞速发展的场域下,不仅知情同意的基本规范存在无法判断的失灵问题,个人信息非法转移、过度处理、不当篡改利用等问题都难以被当前的个人信息保护规范有效解决,从而出现一些个人信息的保护困境。
“如果一味追求人工智能发展的速度,而忽视信息保护等方面可能存在的风险,将可能导致中国人工智能相关业态难以真正实现健康持续的发展。”陈兵说。
坚持发展与规范并举
从2023年初ChatGPT惊艳问世,到2024年初Sora再次引起全球关注,人工智能技术发展的脚步日益加快。
据《中国新一代人工智能科技产业发展报告2024》显示,目前中国人工智能企业数量已经超过4400家,并构建起包括智能芯片、大模型、基础架构和操作系统、工具链、深度学习平台和应用技术在内的人工智能技术体系、产业创新生态和企业联盟。而在人工智能应用领域,中国人工智能已被广泛应用于包括智慧城市、智能制造、智慧农业、智能教育、智能医疗、AI for science在内的20多个细分领域。
同时,越来越多人认识到,人工智能各类活动应保护隐私安全,充分尊重个人信息知情、同意等权利,保障个人隐私与数据安全,不得损害个人合法数据权益。人工智能发展需“立规矩”,也成为一个重要共识。
“未来,需要坚持发展与规范并举,加快推动中国人工智能高质量发展。”陈兵分析,就数据制度而言,有必要推动建立面向人工智能的集成数据共享、数据交易和交换以及数据云服务等多种数据服务的数据基础设施,统筹利用大数据基础设施,科学合理保障个人数据安全与隐私保护,也为人工智能研发和广泛应用提供海量数据支撑。
西南政法大学人工智能法学院院长陈亮认为,在人工智能时代,个人信息与数据承载多重价值。除了作为隐私、数据自决以及人格尊严等传统价值的载体之外,个人信息与数据还是人工智能的血脉,对人工智能研发、部署和使用具有基础性意义。全球范围内的个人信息与数据制度,往往侧重个人信息与数据的传统价值及其保护,忽略了数据作为新兴生产要素的重大价值及其保护。未来的个人信息与数据制度的设计,应在平衡传统权利保护与新兴技术创新之间的冲突的前提下,通过相应技术手段的研发与法律规范的设计,在不侵害个人隐私、数据自决以及人格尊严的同时,规范个人信息与数据的采集、存储、交易、训练等涉数行为,助力人工智能研发、部署和使用。
李川表示,传统个人信息赋权保护模式未能考量人工智能场域下处理个人信息的复杂程度与治理困难,因而存在规范保护模式转型的必要性。而在确立人工智能场域下个人信息保护的规范模式与路径时,需要根据人工智能的运行规律与生成特征,充分考量其处理个人信息的自主性、交互性、动态性特质,才能在技术与规范的平衡中实现对个人信息的有效保护,解决现有个人信息规范失灵的问题。
加快推动“人工智能立法”
2023年7月,国家互联网信息办公室联合国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局发布《生成式人工智能服务管理暂行办法》(以下简称《暂行办法》),并于2023年8月15日起施行。该《暂行办法》与《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》协同联动,被称为我国人工智能治理的“三驾马车”。
多位专家都认为,虽然这些法规一定程度上促进了我国现阶段人工智能健康发展,但仍不能较全面地涵盖人工智能所引发的包括个人信息保护与数据安全等各类问题,需要加快推动人工智能立法,对人工智能法律问题作出全面规定,衔接因人工智能技术兴起而形成的各法律间的空白地带。
事实上,早在2017年,《国务院关于印发新一代人工智能发展规划的通知》就提出人工智能立法“三步走”战略目标,其核心要义是建构完善的“人工智能法律体系”。国务院2023年度和2024年度“立法工作计划”均将“人工智能法草案”列入预备提请全国人大常委会审议草案的范围。尽管“人工智能法”未能进入正式立法计划,但立法者显然已经意识到人工智能领域体系化立法的必要性。
中国人民大学法学院教授张新宝认为,人工智能立法应当以实现体系化的立法为基本方向,以优化立法层次为当前的主要目标,统筹和协调涉及人工智能的已有规范,为人工智能领域的立法体系化提供有力的方向性的基本规则,并厘清人工智能治理的基本逻辑。同时,人工智能立法应当妥善应对国际竞争与国际合作的张力,在推动人工智能治理和国际合作上面,要倡导建立全球范围内的人工智能治理机制,支持在充分尊重各个国家政策和实践的基础上,形成具有广泛共识的全球人工智能治理框架和标准规范,推动人工智能能力建设方面的国际合作。
值得注意的是,2024年8月1日,欧盟《人工智能法案》在整个欧盟范围内生效,这也是迄今为止全球首部对人工智能进行全面监管的法案。据悉,欧盟《人工智能法案》相关规则将分阶段实施,某些规则将在该法律通过6个月后或12个月后生效,而大部分规则将于2026年8月2日开始生效。
中国社会科学院法学研究所教授姚佳分析,欧盟《人工智能法案》对个人数据的处理仍以遵循《通用数据保护条例》(GDPR)为基本原则,但同时也为了应对人工智能系统中的偏见和支持创新措施,亦有一些处理个人数据的例外。比如,在高风险人工智能系统中,尤其是对于偏见检测和纠正之时,也可以处理特殊类别的个人数据,即我们通常所说的“敏感个人信息”,但处理方式上有严格限制,比如假名化、对访问的严格控制和记录、不得传输、转移以及保存期结束即删除等较为严格的要求。另外,为了进一步支持创新,在“沙盒监管”(指先划定一个范围,对在“盒子”里面的企业,采取包容审慎的监管措施——编者注)中,为公共利益而开发、训练和测试“沙盒监管”中的特定人工智能系统,也可以处理个人数据,但同时应遵循一系列严格要求。
陈亮认为,未来,需要从我国人工智能立法素材中不断总结制度建设经验,并比较借鉴域外立法,进一步完善我国人工智能法律制度蓝图。人工智能是由数据、网络、算法等多个要素构成的有机整体,人工智能立法应着眼于人工智能全生命周期中各要素在“发展负责任人工智能”方面的具体作用,将人工智能立法体例构想为“总则篇、数据篇、网络篇、算法篇和应用篇”五篇,每篇均围绕“发展负责任人工智能”这一立法理念去进行相应的规则设计,以确保人机和谐共存。
中国政法大学数据法治研究院教授张凌寒表示,在积极参与全球治理方面,新一代人工智能技术的可持续发展不仅是技术层面的竞争,也是法治软实力的竞争。我国的人工智能立法,既应力求具备前瞻性、先进性,立足本土实践,也应具备国际视野,提出人工智能治理的中国方案,在国际竞争中发出中国声音。
文 | 沈若水