人工智能 vs. 个人信息保护之“个人同意”

提示：关于人工智能的法律应对，目前国内外不少学者都率先做出不少优秀。我则从个人信息保护的视角来讨论人工智能带来的挑战，希望也能做出点贡献。但这个系列无法像以前一样连续发表，更多的是记录自己平时的一些观察和思考片段，请大家见谅。

个人信息保护的法律框架，无论是从权利视角，还是风险规制视角，个人同意都是绕不开的一个门槛。

在权利视角中，个人同意是尊重人性尊严的前提。我没同意你收集，我没有授权你这么用，我没有允许你和别人共享等等，体现了个人对关乎自己的信息乃至人格发展的自我决定（self-determination）的权利。

在风险规制视角中，个人同意是风险管理的重要一环。个人对特定的个人信息处理行为不知情、没授权，就意味着个人无法预见与处理行为相伴而生的潜在风险，遑论采取任何预防措施，因此个人无辜地处于风险之中却浑然不知。

但是我们在日常中能看到越来越多的人工智能应用对个人同意带来的严峻挑战：

AI中个人信息主体与个人信息控制者之间因果关系模糊

纵观各国，个人信息保护法律框架的一个基本假设是存在着个人信息控制者收集某个特定主体的个人信息，然后利用这些个人信息对该特定主体提供服务等，即从个人信息主体与个人信息控制者有“一来一回”的关系，或者至少有一来一回的关系。

从权利视角来说，正因为有这个一来一回的关系，所以控制者要尊重个人信息主体的信息自决权。从风险视角来说，这个一来一回决定了，个人信息主体可以决定披露哪些信息或者授权这些信息如何使用（“来”这个部分），来规制个人信息控制者能如何对个人合法权益的影响（“回”这个部分）。因此，各国的个人信息保护法律框架都存在着这么一个基本假设——存在着个人信息控制者与个人信息主体的直接互动关系。

但在AI中，这个互动关系可以不存在，同时不影响AI应用的开展。例如，许多手机上的AI助手声称，AI助手收集的个人信息绝不回传到云端，仅仅在本地处理。假设这样的承诺属实，那么，手机终端厂商或者AI助手的开发维护团队，并没有真正地（在个人信息保护法意义上的）控制该个人信息主体的个人信息。此时，个人信息控制者与个人信息主体的直接互动关系不复存在，而是个人信息主体与本地化工具的关系。

但是AI工具却又和一般工具截然不同，至少有自我学习、改进的能力。在本地终端上的同一个个人信息输入，对应不同版本的AI助手时，很可能获得不一样的结果。问题就来了：由于个人信息控制者与个人信息主体的直接互动关系不存在，因此就不存在从行为到结果的因果关系；没有因果关系，怎么规范？怎么追责？个人信息保护的法律框架还适用吗？

AI中个人同意失去了权利自决和风险规范的双重作用

如上所述，AI应用可以做到不需要回传个人信息却能同时提供服务。既然不需要回传，就不需要个人的同意。那如何训练AI算法和机器学习？许多AI服务商声称使用公开数据或可以合法购买的数据。

假设获取这些信息完全合法合规，然后让我们站在个人的角度来看这样的机制：

个人同意，规范的是基于我的个人信息来对我提供服务的行为（也就是刚才上面所说的“一来一回”的互动关系）；

现在，不需要基于我的个人信息，就能给我提供有针对性的服务，这个服务是AI算法基于处理别人的信息而生成，因此无论我同不同意，我还是被推送了这样的服务；

更可怕的是，我的同意变得毫不相关，不但因为AI算法根本不需要我的信息，更因为我没法管到别人，我不愿意同意的时候总会有人同意的。在这个意义上，个人同意失去了权利自决和风险规范的双重作用。

通过对其他人的特征、偏好、行为等的计算而形成的服务，个人只能拒绝或者退出。当这样的服务具有不可替代性时，个人只能接受。这是AI对个人同意的第二重挑战。

小结

对上述两个挑战，解决路径绝非完全抛弃“个人同意”。需要在此强调，我们一定要摒弃这种非黑即白的思维方式。相反，我们需要做的是，正确认识“个人同意”在不同场景下应当发挥的作用（或大或小），以及在不同场景下发现、设计不同的管控机制。