煮酒言规 | 第062期 | 艺术家可以拒绝AI学习吗？

煮酒言规

///////////////

数据合规是一个比较新的领域，很多问题都难以通过公开渠道检索到答案。此时，实务人士间的思想碰撞、交流就显得尤为珍贵。

 • CONTENT • 

● 个性化展示是自动化决策吗

-问：个性化展示能说是自动决策的一种场景吗？我感觉这个和自动化决策还不太一样……我感觉个性化展示不是决策……35273里面也把个性化展示和系统自动化决策区分开了。我感觉个性化展示只做到了前面，评估个人情况，但没有决策……（我为啥纠结这个问题，是想细化一下不同场景下的合规满足事项）

自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

《个人信息保护法》

-答1：同问...昨天我们某版块小哥回答说基于用户自己选的兴趣爱好标签做的个性化展示。。

-答2：是自动化决策。我们管这个展示叫千人千面。顾名思义就是一千个人，一千个app的首页。

-答3：展示什么已经是一种决策了。

-答4：不是，从法律的角度，automated decision和 direct marketing下面的合规问题还是有区别。

-答5：数据局是多一个促进数据发展部门，应该不会构成新的监管。

-答6：个性化不一定是自动化决策的，看背后什么技术机制去给的，有很简单的个性化，也有很复杂的。

-答7：那么技术上怎么实现的。就是通过针对个人行为、喜好的分析，选择最适合用户，用户最容易接受，或者企业最想推销给用户的内容予以显示。这个过程人是没法干涉的，纯粹是靠代码和算法来实现。所以从普遍上看，都是自动化决策。

-追问：那什么样的个性化展示不属于自动化决策呢？

-答8：简单个性化其实不算在算法推荐类的。都不用设置开关，监管也不查的。比如三人三面。1）未注册账号的新客，纯浏览。2）注册了账号的普通用户或者一定交易额、交易量等的用户 3）大客户，购买订单很多的。

-答9：对的，不同行业场景差别还很大的，不过整体看，如果你设置了一个公开的个性化，监管不知道你背后的机制，总归还是有风险在的。

-答10：但千人三面这种倒不一定——不就是我们嘛 哈哈哈哈 哪有啥算法啊 哪有啥上来能给你做到每个人页面不一样 没那么高级。

-答11：可以参考一下WP25的Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679。

总结：个性化展示，除非仅基于所在地、性别等基础标签，进行展示或者人工确定推送内容。个人认为，原则上个性化展示属于自动化决策。

● 销户后要求出具证明

-问：如果一个客户销户了，按理来说，就要删除他的全部个人信息（如果有保存要求的，也不能做其他处理）。实务中有这么几种场景：1.客户注销后要求开具销户证明（而且是随时的，可能都销户几年了），能不能开？是不是涉及处理其个人信息？2.有些客户可能是为了薅羊毛等原因，存在反复销户、重新注册，然后参加营销活动等情况，到底能不能用客户的这些信息来进行客户风险情况的判断？尤其是，如果客户向监管部门投诉，能不能披露客户这些销户、重新注册的信息？

-答1：1. 金融账户 是有信息存储期限的。满足法律的例外。2.对于恶意账户 是可以通过封停、黑名单方式阻止。

-答2：一是，因为反洗钱、监管应对、消保应对这些因素，机构一般来说从没删除过。二是，建议部署营销专用隐私政策和同意。

总结：金融行业基本有留存的依据，开具证明重新弄一次告知同意即可。

● 个体工商户的数据是个人信息吗？

-问：请教大家一个问题，个体工商户的数据是按照企业数据来算，还是按照个人数据来看呢？民法典将个体工商户放在了自然人编，市监局的回复也是认为个体工商户本质是自然人。但我理解有的个体工商户也有雇员雇工，按照个人信息来看总觉得说不过去啊。

-答1：我觉得这个要看数据本身传递的信息吧？比如有APP是To B和To C混着的，在写隐私政策的时候就应该区分。

-答2：把个体工商户放在自然人篇是因为他责任承担的那一块，并不是个体工商户的数据就按照个人数据来看了。

-答3：目前没有定论，咨询过一些官方机构，倾向于从严认定。

-答4：说到这个，我想起来南非的POPIA好像就是小企业数据直接认定为属于个人数据。

-答5：从金融业信贷场景来看，个体工商户是属于企业信贷。所以法律定义和金融行业业务划分还是有区别的。

-答6：关于信贷场景，其实也有一点问题是，依据《企业征信机构备案管理办法》第二条“本办法所称企业征信机构，主要采集企业和事业单位等组织的信用信息，并进行整理、保存、加工和向信息使用者提供的机构。”在法律意义上，个体工商户不属于企业或事业单位，个体工商户是否属于企业征信机构的信息采集范围也有一点疑问。

-答7：这里的企业征信机构定义和实际业务处理的信息类型还有一些出入。监管部门不同，口径也是不同的。金融体系监管基本是按照业务场景来划分，目前个体工商户属于不明确的区域，同时也没有禁止性规定明确企业征信机构不能开展个体工商户信息处理。但是从个保法和网信监管的口径来看，个体工商户信息是属于个人信息的。

-答8：贷款下面，个体工商户算企业。比较典型的例子，个体工商户贷款算流贷，不算个贷。征信应该按金融监管思路走。网信爸爸暂时没有插手进来看。

-答9：附议。宏观的贷款业务统计和政策扶持（把小微企业主经营贷归入小微企业贷款）和微观的征信业务监管（究竟是在处理个人还是企业的信用信息，判断的是个人还是企业的信用）是两种不同维度的监管思路。以我有限的经历来看，北方和南方的监管，对上述问题有不同观点。

-答10：从“小微贷”的实操来说，底层往往还是是在个人信贷的基础上，增加了营业执照，车辆，房产等信息的收集审核，玩的深的还引入发票，但都是增信手段，本质上就是更多评估指标的个人信贷，逾期责任也是找个人承担，几乎没听说先找企业资产再找那个个人的。嗯，真要论是否属于个人信息，我认为属于。但是是否需要跟对公的口径保持一致，或者是否会影响统计指标，或者是否会影响未来数据市场化交易，需要看新规则的确立。

总结：个人观点，个体工商户相关的数据，一定是某个自然人的个人信息。

● 艺术家可以拒绝AI学习吗

-问：有一个问题很好奇，有很多画家发声明拒绝AI学习自己的画作，我们能拒绝AI学习吗？

-答1：可以吧 AI训练数据来源的合法性。画家拒绝将自己的画作用作AI训练，不授权。

-答2：我觉得，是可以的。举个很简单的例子，爬虫与反爬协议。

-答3：这个我也在想，在这一领域之后可能会形成像反爬虫协议那样的行业惯例，只不过不具有强制性。但是就算声明了，AI照样过来学习，好像也没有什么法律依据来阻止。

-答4：不是强制性，而是协议是否具有法律效力，被“学习、使用”是否合法。是否确实能够遵守反爬协议，或者是否能够通过其他技术手段实质上完成反爬的效果。

-答5：这个应该回到著作权法合理使用的范围去做分析。其实我认为答案是相对明确的。

-答6：AI的数据源输入的合法性问题，算法治理层面+知识产权竞合的范畴了。

-答7：如果技术上做不到阻止反爬的话，迟滞的事后的价值评价体系还是难以阻挡带有进攻性的AI的。

-答8：不让用的确不能用，但偷着用了，是不是能被发现，以及发现了如何论证，就是另一个问题了。

-答9：至少在法律规范层面，将他人作品用于ai训练，无法落入现有著作权法的合理使用或者法定许可范围。著作权法的基本原则是权利人未予以授权的应该予以保留（all rights reserved模式），而不是未经许可的推定授权或放弃权利。ai训练的使用方式未经授权和如此侵权了也难以举证——这还是两个层面的问题。后者可以考虑通过举证责任配置来解决，前者则是著作权法的价值保护取向问题，大是大非啊。

-答10：我从业务的视角来看，技术上做好比较现实一点。

-答11：

1）著作权人的权利是否包括禁止学习、模仿？

2）如果包括，机器的模仿和人的模仿有什么区别？

3）在不影响人类视觉的前提下，能否通过技术手段扰乱机器视觉？

https://www.theverge.com/2023/2/6/23587393/ai-art-copyright-lawsuit-getty-images-stable-diffusion，这边有一个正在进行的诉讼。

-答12：商用目的进行模型训练或算法训练，不可能落入合理使用范畴，“避风港原则”也无法适用的。

-答13：1. 商用目的 2. 会可能减损著作权人合法权益。

-答14：很好奇，作品作为机器学习的素材，哪项知识产权权利会受到损害？谈侵权的前提是有权。

-答15：著作权的侵权判断得先找到对应的作品类型和权项，比如根本没有一个叫使用权的权利。  如果侵权的话，侵了什么权呢？合理使用和法定许可属于违法阻却事由，在进行阻却事由判断前，得先构成违法侵权，再用三步法或者四要素判断是不是构成合理使用。

-答16：在这个场景下 AI学习目的是不是可能会给权利人带来减损？

-答17：就目前看，主要是因为AI实质性替代了许多多年学习的画家，损失其实很难量化。

-答18：替代不见得，俺的设计师朋友都在积极学习使用然后提高产出呢。毕竟我目前还是工具而非替代这一派的，虽然也能预见到后续爆炸性发展和恐怖的迭代速度“实质性”实现了取代。

-答19：头部平台的主要私有数据集（比如代表性的JFT）也许尝试纾解了相关的合规问题。无论是通过差分隐私减少单张图片的影响，还是通过提供封装模型供个人微调使用，都会使得问题难以判断。对抗攻击可能实施，但不易定向实施；通过训练数据提取攻击，是值得探索的保护思路。如果只考虑图片生成，假设“私炉”很快人手一个，很难说相应原则能不能保持稳定。

总结：我也困扰，AI到处扒公开的图片学习，侵犯了著作权人的哪一项权利呢？如果找不到这项权利，又何来侵权？如果真的没有，法律也需要更新了。

● 小程序点单需要手机号吗

-问：其实我有个问题，这里面“4.扫码点单后，出现“微信一键登录”获取昵称和头像、“微信手机号一键登录”获取手机号等弹窗提示，或者买单时要求消费者提供手机号，消费者如果拒绝以上授权就无法下单。”问题在哪里？如果点单是个交互式服务，实名制认证不行么？阅读链接：“堂食”扫码点餐“强索”手机号等个人信息 部分餐饮企业被约谈限期整改 上海网信办向消费者提示八类侵害个人信息权益风险

-答1：我觉得网信办的逻辑应该是，线下点单无需收集手机号，现金支付甚至啥都可以不留下。

-答2：本身手机号，就用不上，除非是点外卖，有必要性，现场点单确实没有。

-答3：所以点不在于需不需要实名认证？支付环节实名认证了就好，点单没有必要拿手机号？

-答4：支付的实名制是在微信侧做得，通过openid确定用户身份。无聊的同学可以看看微信支付的技术文档。实现方式和交互流程，甚至源代码示例都有。

总结：所以简单说，微信本身的用户就已经完成了实名制，关联到openid，点单操作会调用openid，所以也就不需要额外的收集其他信息了。

 • END •