选粹 | 李帅：人工智能语境下个人信息安全挑战及行政法应对

导读

互联网技术提升了信息收集、利用与共享的便捷性，而交互主体的多元化又使信息价值的流转更为广泛和深入。在以算法为主导的人工智能时代，个人信息除了承载个体的人格利益之外，还是机器决策的重要依据。特别是在人像、声音、指纹识别日益成为智能设备主流功能的当下，个人信息以前所未有的多模态形式存储于商业主体数据库中，客观上增加了信息安全风险。全面认知新时期个人信息安全的挑战、探索防范策略并从行政法角度保障公民个人信息权，应当以智能决策过程中可能的算法偏见为背景，从个人信息的内涵、外延及形态变化入手分析风险因素，将公共治理理论作为指导，探寻技术治理与法律治理的平衡点，逐步构建人工智能语境下个人信息保障的行政法规范体系。

全文约12021个字，阅读需要20分钟

一、问题的提出

科技发展促使人类迅速经历“物联网-大数据-人工智能”的社会主题变迁。不同语境下，主体的活动规则、所依托的基础资源及其产生的权利义务关系均存在差异。人工智能时代，机器自动化决策以其内嵌算法为基本规则，将源于社会生活的各类信息作为系统的初始运算资源，并在得出结果的过程中于经济、政治、文化等领域发挥多维作用，因而产生的权利义务关系具有明显的价值复合性，利益主体不可避免地呈现多元化趋势。

基于知情同意原则，与信息主体相关的信息特别是个人信息，其收集、利用、存储、共享等行为应当告知信息主体并获得其同意。传统信息模式下，作为重要信息主体的公民对于个人信息的理解在一定程度上受到“隐私”的局限，虽有学者撰文探讨二者之区别，但鲜有论及形态差异，可查有关形态的论述仅见王利明文。这种存在于法学理论范畴的关注缺失问题，一方面导致公众对个人信息可能呈现的状态认知不足，特别是在人工智能技术得到大规模发展、多模态信息识别成为日常生活组成部分之后，个人在多数情况下仅是按照系统要求不断录入生物信息，将关注侧重点放在电子设备的解锁功能上，而忽略了这种状态下的信息同样承载着重要的个人身份内容，甚至可以成为所有信息形态中收集最便捷、指向最直观的一种。另一方面则是形成了立法、执法、司法过程中相应指导思想缺位的现状，即随着个人信息侵权方式“从‘侵入性’‘干扰性’变得更为智能和隐蔽”，传统的治理思路与取证方式都受到挑战，法律对技术的依赖日益增强。囿于全球性立法的暂时缺位，美国在2017年召开“阿西洛马会议”并通过“阿西洛马人工智能原则（Asilomar AI Principles）”，其中明确将个人隐私的保护作为人工智能必须关注的一项伦理与价值问题，提出“当给予人工智能系统以分析和使用数据的能力时，人们应该拥有权力去访问、管理和控制他们产生的数据。” 

可见，法律治理与技术治理尚未同步且协调地发挥作用，这是人工智能语境下个人信息获得保障的首要制约因素。此外，在这一宏观层面之下，还存在着其他具体的影响因子，笔者将这些内容对个人信息保护的干预程度进行排序，并按照影响度从高到低的顺序进行简要罗列：互联网多模态信息与传统文字信息的特征及其保护路径的差异；机器决策算法的正当性、透明度与可监督性；对潜在风险进行预测与规制的合比例性等。

二、多模态个人信息保护的现有规制措施及相应问题

对人工智能语境下的个人信息进行保护，首先需要重点厘清三个方面的问题，即何为多模态个人信息，该领域内的相关立法情况，以及现有措施在应对新兴问题时的不足之处。这三点在逻辑上逐层深入，以介绍多模态个人信息的内涵与外延为前提，发掘人工智能时代个人信息保护工作面临的挑战，最终分析我国法律体系中有待完善的部分。

（一）多模态个人信息识别背景下的个人信息特征

互联网时代初期，网络信息采集途径较为单一，用户在数量、活动参与度及行为复杂性等方面也都处于较低水平，因而网站运营者收集到的个人信息仅限于最为基础的姓名、住址、联系电话等。在当时信息数据库尚未建立、数据挖掘技术仍不发达的背景下，这些简单的信息仅供明确的收集者使用，且使用目的、具体的使用方式亦能够为信息主体所知。但进入人工智能时代后，科技的发展一方面丰富了信息价值，使参与者的物理活动轨迹甚至行为习惯等都具备了可供挖掘的多维内涵，例如用户的日常活动轨迹、消费购物倾向等；另一方面则拓宽了采集信息的形态范围，使生物信息的在线录入成为可能，并在一定程度上使其具备“密钥”性质，成为安全识别依据，以“刷脸打卡”、指纹开锁等为例。如表1所示，个人信息“多模态性”的主要特点在于：信息的外在表现形式、识别技术、信息的收集与记录媒介以及信息重复利用的方式均表现出较高的灵活性，从而使监督和管理面临更多难题。

表1 多模态个人信息特征汇总

在此背景下，如下三类主体成为最主要的信息收集和保管者，即“政府、大众传媒以及商业主体”。[5]这些主体采用面部、指纹或者声音识别的方式辅助日常工作，在实现自动化考勤、密码便捷化的同时，却也使个人信息逐渐形成“上线容易”且“在线持久”的特征。三类数据库下收集者和子库数量的增加，信息提取过程的简洁，个人信息主体保护意识薄弱、对生物信息的敏感度偏低从而导致同意授权极易获取等现象，使得多模态个人信息保护面临较传统个人信息而言更为严峻的挑战。

（二）现行个人信息保护规范梳理

1. 国内立法

对当前现行有效的立法规范进行统计，是研究特定问题法治化程度的有效方式之一。因而在分析我国个人信息安全现状时，汇总整合当前个人信息保护领域内的法律规范，一方面可以了解国家对待个人信息问题的态度，另一方面也有助于分析相应信息安全问题存在解决困境的原因。截至2018年12月31日，在我国现行有效的中央层级法律法规中，提及“个人信息”一词的共计1326部，最早的一部颁布于1990年。其中，高达75%的文件颁布实施时间都集中于2012-2018年。在这些规范文件中，部门规章的占比程度最高，且总数已达918部，表明个人信息行为表现出一定的实时性和变动性，并且与社会发展进程紧密相连，因而需要由内容灵活度较高的规章加以调整和规范。此外，在2018年，个人信息立法规范的种类中首次出现了监察法规，即由国家监察委员会联合最高人民法院、最高人民检察院以及公安部、外交部共同制定的《关于敦促职务犯罪案件境外在逃人员投案自首的公告》。这表明国家对个人信息的监管范畴实现了进一步拓展，力度也有所加强。

从个人信息保护的整个立法体系来看，自2012年发布《全国人大常委会关于加强网络信息保护的决定》开始，国家立法机关及有关部门制定了大量与个人信息保护相关的法律法规、司法解释与国家标准，共同构筑了中国个人信息保护的法律体系。其中，对实践产生重要指导意义的主要有2016年颁布的《网络安全法》《移动互联网应用程序信息服务管理规定》，2018年颁布的《电子商务法》，以及同年由公安部网络安全保卫局发布的《互联网个人信息安全保护指引（征求意见稿）》。然而在具体内容上，几部法律法规（含征求意见稿）虽然对新时期的个人信息保护工作给予了一定的指导和保障，但不可否认其中仍然存在有待完善之处：第一，对算法技术可能造成的个人信息侵害认知不全面，因而规范条文中确实了相应算法规制的内容；第二，公法规制行为和私法调节行为之间的配合有待进一步增强，公私协力保障个人信息的制度体系仍需不断完善。

2. 国际公约

人类社会进入互联网时代以来，网络信息的高融合度与快速流转性促使各个国家、地区以及相应国际组织开始密切关注信息安全问题。1980年，经济合作与发展组织（Organization for Economic Cooperation and Development，简称“OECD”）制定《OECD隐私指引》，将个人隐私的保护列为重点工作内容。此后，类似的规定诸如1990年联合国《计算机化个人数据文档条例指南》，2013年经济合作与发展组织《OECD隐私指引（修订）》，亚太经济合作组织（Asia-Pacific Economic Cooperation，简称“APEC”）2015年修订的《APEC隐私框架》等相继颁布，并以个人信息的跨境流动为主要调整内容。

（三）个人信息潜在风险及现有措施的应对不足

从未来发展趋势看，以多模态形式存在并被收集、利用的个人信息，基于其自身特征、相关主体变化以及智能系统运行等因素给信息主体带来的风险，可能包括如下几种：

第一，信息主体本身对多模态个人信息存在了解不足与认知偏差，成为个人信息潜在风险的根源性主观因素。一方面，用户在享受智能服务的过程中提供多种样态的个人信息，更多关注的实施该行为可获得的相应对价（即商品派送、服务提供或设施共享等），而忽略了信息“在线”的潜在风险。加之智能系统可能并未向用户进行全面的解释说明，或者用户对提示性内容的敏感性较低而未给予充分重视，从而导致其信息提供行为往往基于“自愿”，更提升了权利受损后的救济难度。另一方面，以人工智能的发展现状预估其发展态势，未来的智能系统很有可能在信息主体不经意间即完成对其生物信息的提取，后续使用则多以“提供服务”为表面形态，进一步弱化了权利人对潜在不当利用情况的认知和关注。

第二，收集、利用信息的主体范围发生拓展，多模态个人信息存在被不当获取和滥用的风险。例如，多模态个人信息在当前以及未来一定时期内均以个人生物信息为主，此类生物信息以指纹为代表，曾是公安、海关等行政机关在法律特别授权的情况下方可收集的信息种类；而如今伴随人工智能产业的发展，航空公司采集并比对乘客面部信息用以“验票”，电子设备将指纹、虹膜等信息作为安全验证方式之一，将个人生物信息的收集与保存者范围拓展至商业主体。这种改变会使得经济利益因素大量涌入信息的获取和利用环节，将“绝对可定位至个人”的生物信息从行政机关“公用”转变为商业“公私兼用”且更倾向“私用”，从而不可避免地发生信息不当利用、超出信息主体同意范围的传播等现象。在此过程中，即使相关商业主体对其软硬件设计原理进行声明，表明已采用硬件隔离、非对称加密算法等技术确保用户的指纹信息不被用于预期外的用途，也无法把指纹图像从设备中提取出来，但技术处理的相对黑箱却仍然是商业行为中立性的潜在挑战。

第三，监管主体的数量和监管行为的覆盖性不及信息收集主体的拓展程度，对当前已有监管方式提出挑战。在行政机关作为个人信息特别是多模态生物信息收集主体的时代，对信息全流程的监管工作主要由该行政主体自行承担，并且基于已有的工作规程履行监管职责；而当前，收集主体身份的拓宽在很大程度上改变了信息收集行为的性质，因而传统的自我监管或内部监管已不再适应这种发展模式，不能起到客观中立的监督作用。此外，对于采集方式更丰富、技术含量更高的智能信息系统来说，相应的监管手段和工具也不应仅仅局限在法律规范形态下。针对可能发生的技术不当利用或者技术本身的异化，拓宽监管的覆盖面并促进法律监管与科技监管的协同，才是应对未来风险的可行之路。

第四，相应程序规范缺失，信息收集、利用与共享的透明度不足，原本即为少数人所掌握的算法更受公正性质疑。在数学和计算科学领域，算法（algorithm）本质上是“定义具体计算步骤的序列”，多用于数据处理和自动推理中。精确而言，算法是“一个表示为有限长度列表的有效方法”。

可见，算法作为一种技术工具，在智能系统上线运行之前便内嵌于其中，而且伴随系统的运转而经程序员不断调试，以使其适应社会需求并实现企业营利。在人工智能处于发展初期的当下，市场中各种利益交织存在，有效监管尚未形成，智能设备或智能系统的经营者出于自身效益的最大化，利用编程算法深入获取用户个人信息，导致“算法黑箱”“算法异化”的状况频发。而程序性规范的缺失，更使商业行为必要的过程性公开受到阻碍，一方面阻断了用户了解多模态个人信息收集之后的利用与共享步骤，不利于其主观保护意识的形成；另一方面则影响了用户知情权的实现，可能加剧已经存在的“大数据杀熟”现象，与公平公正交易的市场规则相违背。

三、人工智能语境下个人信息行政法保护机制的构建

基于前文梳理的多模态个人信息现存风险及保障制度缺失等问题，理论和实践中的主要任务，都是探寻更能满足当前信息保护需求的制度及措施。以此为指导，并将新的信息模态作为考量背景，可以从个人信息保护的思路、具体制度等方面展开论述，最终立足于行政法领域，探索个人信息公法保护机制的法律化路径。

（一）新信息模态下的个人信息保护指导思想

人工智能环境下的个人信息保护需要解决前文所述的诸多“新”问题，特别是在信息模态种类拓展、范围扩大的情况下，传统的市场交易规则及行为标准都相应发生变化，因此在行政法保护的视角下，同样要转变以往常用的规制思路，以适应新形势、新业态的理念指导个人信息公法保护机制的全面构建。

一方面，应当以开放的视野和接纳的心态审视新生的多模态个人信息，具体到实际操作领域就是：首先，在进行信息定性时，要以能否根据该信息识别个人身份为标准，而不是局限于已有立法或传统工作经验中简单以信息外在表现形式为依据的做法。其次，在具体工作过程中若需处理相关信息，同样也要采用全新的判定思维和判定方式，避免发生因认定错误而侵犯个人信息权益的情况，并促进个人信息符合价值的全面实现。最后，应当重视对公众的宣传教育，增强权利主体自身的信息认知能力与信息保护意识。

另一方面，应当促进技术治理与法律治理的协同与均衡，既不能在二者之间偏废其一，也不可持技术或法律全能论思想，而是要寻找两种规制理念的平衡点，并将法律精神通过技术手段转换为机器代码，从而保障人工智能系统的合法运转。具体而言，就是要通过合理的编程行为，使智能系统内嵌算法的具体内容和运作机制都符合法律精神和原则，并且在科技水平允许的情况下，将特定法律规则以代码形式写入机器后台，实现法律的自动化执行。

（二）人工智能时代个人信息保护亟待确立的具体制度

就法律对人工智能的规制作用而言，最重要的主题涉及“自然语言、计算定理、认知模型以及专家系统四个领域”。也就是说研究行政法规制如何在人工智能环境下发挥作用，特别是在个人信息多模态化的条件下保障信息安全，需要着眼于不同场域中工作语言的差别，寻找并构建日常生活用语、法律规制用语以及计算机用语之间相互沟通的渠道，并从专家系统着手，逐步实现高科技产业中决策环节的公众参与。综上，当前需要确立的个人信息公法保护措施主要包括以下内容：

1.  多模态个人信息的识别与定性制度

结合上文所述的个人信息保护指导思想，在此可以形成更为具体和微观的制度：其一，建议制定《人工智能多模态信息指南》，梳理当前存在的各种信息形态并明确各形态信息的特征。可以将互联网或智能系统中的多模态用户个人信息进行专章规定，其中特别需要指出的是，以收集面部图像、声音、指纹等类似方式获取的能够直接确定个人身份，或者以获取运动路线、购物习惯等方式取得的能够经分析而获知个人隐私的信息内容，均属于多模态个人信息。这种外延定义上的补缺，有利于监管双方更为精准地实施相关行为，并且在一定程度上还可以为多模态个人信息保护的立法提供依据。其二，以工作规程的形式明确行政主体、商业主体及各类社会组织在用户多模态个人信息定性、使用及保护中的行为标准。此标准的确立，实际上就是多维价值权衡的结果，其确定依据主要表现为社会公共利益优先原则和私人利益之间的比例原则。

2.  相关主体的权利保障及责任监督制度

本文探讨的场域实际上包括两个维度，一是人工智能应用，二是多模态信息收集与处理。所以在相应的行政法规制及保障过程中，不同主体的行为调控就要区分维度进行。当然，这里的区分并非将人工智能系统的运转与多模态个人信息的收集绝对割裂，而是一方面关注本体论上二者的差别，另一方面将个人信息作为贯穿始终的要素，探索两种语境交织环境下的行政法保护机制。基于此，从行政法规制理论出发，可以对相关主体的权利进行如下界分：

第一，人工智能维度下，主要涉及的主体包括行政监管机构、人工智能企业以及用户。此时，不同主体的权利主要有：

（1）行政监管机构，有权要求人工智能企业运营主体按照法律规范登记备案，并要求特殊行业进行特许经营申报并获得许可；有权对人工智能企业的相关经营行为进行监管，并就违法行为实施行政强制或处罚。

（2）人工智能企业（或称人工智能项目经营者），有权在法定经营范围内自主决定算法的设定模式及具体内容；有权在用户知情同意的范围内收集、使用其提供的个人信息，并利用相关信息进行机器自主学习以提升服务效率及质量。

（3）智能产品或智能系统的用户，有权要求经营者提供明确的信息使用或共享范围，并就此范围表明个人意愿；有权对自己提供的个人信息提出修改要求，并在特定期间届满后，有权要求相关经营者删除其数据库中存储的本人个人信息。

此外，上述主体应当履行如下义务或承担相应责任：

（1）监管主体应当为人工智能企业制定，或者组织相关行业协会制定明确的工作准则，具体可以包含信息的收集与利用原则、法律规则代码化的最低标准以及智能系统运行算法的公开程度等。

（2）经营者应严格按照法律法规及工作规程的要求，将个人信息收集的范围、应用程度及共享对象的身份情况告知用户，并尊重其意愿和选择；确保人工智能系统运行过程中不出现违法违规或算法黑箱等情况。

（3）用户个人应当尽到信息真实义务，即确保向智能设备提供的个人信息准确无误，并承担因信息不实造成的服务体验不佳或其他更为严重的后果。

第二，多模态个人信息收集、利用维度下，重要参与主体除了行政监管机构之外，还有信息收集主体（与人工智能环境相结合则为人工智能企业）以及用户个人。对比前述人工智能维度，可将此种语境下不同主体的权利整合为：

（1）作为对特定产业及其参与者行为进行监督的主体，此处行政监管者的权力内容与人工智能维度下的监管者权力基本相似，主要通过市场准入、行为监管以及违法惩处等行为实现事前、事中与事后监督。

（2）信息收集主体应对被收集者（人工智能维度下即为智能设备使用者）承担渐进式地义务，即首先以醒目、明确的方式向被收集者解释说明相关信息模态的特征及属性，使其了解后续信息提供行为可能给自身权利带来的影响；其次告知信息收集之后的具体用途、重复使用方式及使用限制，以实现信息主体的知情权；再次对录入数据库的多模态个人信息定期进行维护和整理，通过严格的自查机制确保信息的存储和使用安全；最后针对信息被非法破解并不当利用所产生后的用户损失，如果前述破解行为的发生是基于收集者过错，则应当对信息主体承担责任。此处提及的告知信息用途和后续自查机制的确立，实际上都与人工智能运营主体保障算法公正性的义务相类似。

（3）信息提供主体与智能设备或智能系统的用户相同，都处于整个信息流转环节的最初始步骤，作为原始信息源所需承担的就是信息真实义务，以及按照信息收集者的合法要求提供相应信息。

3.  算法审核制度及必要的算法内容公开制度

从本质上来说，法律就是一门关涉“信息”的科学——“它向社会提供有关法律规范的信息内容”，并规制不同领域内的信息行为。而人工智能的特点在于通过复杂的后台算法使机器实现拟人行为，这种行为在各种利益交织的社会生活中应当受到法律的规制与调控。因此，使法律规范在人工智能的信息收集与利用过程中发挥作用，则主要可以通过两种途径，一是将法律所携带的信息编写为代码，通过系统自动化运行而实现法律治理效果；二是运用法律思维和法律规则对算法的设定行为及算法中包含的信息进行调整，使行为满足法定形式要件、内容符合实质法治精神。

具体到制度构建上，就是要确立并完善信息收集、利用、存储与共享自动化算法的审核机制，以及对有关重大事项、影响多数人合法权利的算法内容进行公开。前者的理论基础是正当程序原则，即必须保证有一个身份独立的第三方，对人工智能中与用户个人信息有关的系列行为进行监督。这在智能系统原始数据、算法设定行为以及机器学习环境都存在偏见的情况下，是遏制不公正现象、扭转“数据错误决策”的有效措施。对于后者来说，公开的目的在于降低用户和智能系统之间的“信噪比”。虽然从功能论角度来看并不需要用户知悉智能设备或系统背后的运作机理，但如果因此而导致完全的“黑箱算法”，则客观上有损信息主体权益，所以还是需要以本体论的思想为指导，并通过“公开”的手段推动算法内容的合法化与合理化。就公开的具体内容，包括但不限于算法的设定背景、有重要决策意义的算法内容，前述算法内容与社会群体需求的契合程度及必要性分析等。

4.  必要的公众参与机制及公共教育制度

第一，提升公众认知程度，树立更为广泛的参与意识。当前，社会公众对“参与”的理解多局限在公共政策的制定领域，而对新兴商业主体的泛决策化行为缺乏全面认知。由于智能设备和智能服务的对象不断增加，相关商业主体实施的资源配置、广告推送等自动化决策行为的影响群体也相应扩大，这种决策的结果已经在一定时空范围内具备了广泛影响性，因而从科学民主决策的角度应当引入合适的公众参与机制。“2005年，美国联邦金融机构检查委员会（Federal Financial Institutions Examination Council）制定并发布《关于未经授权访问客户信息和客户通知的响应计划指南》，要求‘商业机构对其未经授权实施的获取并利用用户个人信息行为作出答复’”，这种商业主体与用户之间就信息获取行为的交流，可被视为公众参与机制的开端。以此为基础，建议在设备研发或程序编写的环节中增设用户意见收集与特定情况下的用户听证程序，这里的意见收集与听证，可以采用现场会议、远程视频、网络问卷等多种灵活方式进行，从而最大限度保障新型公众参与的可操作性。

第二，确立公共宣传与教育机制，减少因信息主体自身疏忽所引发的利益损失。一方面要通过多种媒介的宣传，使日益扩大的智能设备用户了解多模态个人信息的内涵及价值，并明确该信息遭到泄露或不当利用后可能带来的负面影响，从而增强信息主体自身防范意识。另一方面推广普法宣传教育，使用户了解“知情同意权”及权利的实现与维护方式，引导用户充分关注智能产品的个人信息收集条款，以减少不知情情况下的“授权”现象发生。

（三）个人信息公法保护机制的法律化途径

1.现有法律规范的完善

在国际公约范畴，根据本文第二章第二节的梳理可知，由于人工智能产业尚处于发展初期，因而人工智能中的个人信息保护问题还未在国际社会成为共识性问题，相关经济组织也仍然以20世纪90年代前后的信息指引类文件作为工作准则。

因此，从制度完善的角度出发，建议可以主要对以下两部规范进行修订与补充：

（1）对联合国《计算机化个人数据文档条例指南》进行完善，将人工智能背景下的个人信息保护纳入其中，并将个人数据的存储模式进行扩展，不再局限于传统“文档”状态，从而拓宽新时代的个人信息保护范畴。

（2）对《APEC隐私框架》的特定章节进行补充或修订，例如：基于第二章“调整范围”中规定的“个人信息”定义，将信息场域扩大至互联网及人工智能语境，同时对信息的模态进行完善和细化。此外，还建议对第三章“信息的隐私性原则”作补充规定，在第24条“信息收集的限制”条款中增加保障信息主体知情权的具体内容，例如应当以醒目的方式和不存在歧义的语言表述，告知被收集者其个人信息的实际用途、可能的传播途径以及共享范围等内容，并列明违约责任的承担方式。

国内法律规范方面，一是建议对《政府信息公开条例》中的“个人隐私”豁免事项进行完善，明确在人工智能背景下，行政监管主体对待多模态个人信息所应持有的态度，即不应受传统模式下多数个人信息均不公开的思路限制，而要全面认知当前多模态个人信息的复合价值，综合个人信息主体、信息的收集与利用主体等多维参与者的权利作出公开与否的决策，或依此判定商业运营者的收集与利用行为是否侵犯了用户个人信息权。二是建议在《网络安全法》第四章中增加相应条文内容：“人工智能企业的经营者或者人工智能产品的制造者在产品设计、运行、销售的过程中，应当以合理获取、合法利用以及充分保障公民个人信息为原则。严格控制人工智能系统对个人信息的获取与利用限度，并定期监督机器学习对个人信息的利用情况。前述主体实施调控、监督等行为时，应当以用户知情同意的范围为标准，既不过度阻遏人工智能技术的发展与发挥作用，又最大限度地保障公民个人信息安全。”

2.  新规范的创设建议

除了对现有法律法规进行完善之外，还应当就已有规范调控范围之外的新生问题开展新的立法工作。当然，立法一方面要以满足社会发展需求为目标，另一方面也应当坚持必要性原则，因此对于人工智能语境下的多模态个人信息保护，建议制定的新法主要为《个人信息保护法》和《人工智能产业规制条例》。

第一，以人大立法的形式制定并颁布《个人信息保护法》。首先，将2017年两会代表提交的《中华人民共和国个人信息保护法（草案）》作为基础，确立 “个人生物识别信息”的法定公民个人信息地位，进而引入“多模态信息”概念并作开放性立法，为今后多模态个人信息种类的不断增加提供可能。其次，明确不同主体收集利用个人信息的程序性规范，避免人为暗箱操作或者机器算法偏见，使信息主体的知情权得以实现。最后，制定详细的责任承担机制，特别针对互联网和人工智能产品中存在的信息安全问题，将多模态个人信息的不当获取、不合理利用与盗用、特定期间届满后的不删除等确定为违法行为，并明确相应的责任承担方式。

第二，制定行政法规层级的《人工智能产业规制条例》。这里未直接采用人大立法，主要考虑的因素在于：一方面，人工智能产业尚处于发展初期，可变性较强，所以先以“条例”形式规制集中性问题，并为新型政策进入法规留有空间，进而在规范体系趋于成熟时再上升为法律，是提升规制灵活性与科学性的有效方法。另一方面，人工智能领域中的各项行为对专业技术有较高要求，单纯从法律治理的角度并不足以妥善解决已有问题，所以，应当授权行政主体立法，利用其在部门性执法过程中积累的经验，并充分调动相关行政主体的共同参与，可以更有针对性地制定法律规范。具体来说，《条例》的内容应当包括但不限于：人工智能产业的内涵与外延，人工智能领域各主体的权利义务，行政主体的规制原则和规制方式，法律责任等。对于其中与个人信息保护相关的部分，建议明确新时期个人信息的定义及形态，将决定权、访问权、更正权、删除权、可遗忘权等确定为公民个人信息权的具体内容，并明确人工智能运营主体基于自身的虚假宣传或算法设定等行为，侵犯公民相关权利之行为的法律责任，从而在尊重人类“心性”的基础上发挥人工智能的“智性”，促进真正意义上的“人机和谐”。 

————————

本文作者：李帅，北京外国语大学法学院讲师。

-推荐阅读-

《法理——法哲学、法学方法论与人工智能》杂志第7卷稿约

选粹 | 秦锋砺：法学如何成为一门科学

选粹 | 赵英男：追寻科学性的当代中国法学：动因、路径与反思

选粹 | 亚历山大·佩岑尼克 著、杨贝 译：法学研究与科学的增长

选粹 | 阿尔瓦罗·努涅斯·巴奎罗 著、李赛珍 译：法律科学的五种模式

选粹 | 奥古斯丁·斯奎拉 著、曾立城 译：法律科学及其对司法的影响

选粹｜思享｜域外｜写作｜学界

欢迎关注法理杂志

赐稿邮箱

ratiojuriswechat@126.com

法理杂志官方“有赞”书籍商铺

长按识别二维码

挑选精品好书