【摘要】人工智能的发展离不开对大量个人数据的处理。只有妥当适用《个人信息保护法》中的目的限制原则和有关个人知情权、决定权的规则,才能有效保障人工智能安全发展。目的限制原则包括“两肢”,一是处理目的自身的限制,二是处理目的对处理方式的限制。目的限制原则与人工智能发展之间有紧张关系,面临适用困境。该原则丧失实效,既会造成最小必要原则等多项原则难以适用,又不利于个人知情权、决定权的行使,还易致使个人数据交易欠缺自愿性、公平性。我国目的限制原则采用“宽进严出”模式,个人数据处理者不必将人工智能发展和应用中对个人数据的每一步处理活动加以披露,而是应分别披露训练机器学习模型、制作用户标签和画像、提供个性化服务等不同处理目的、处理方式,并揭示其各自风险。经由人工智能制作用户标签和画像的,属于个人数据处理活动。该处理活动只有同时包含体现公平价值的设计,才具有充分的合理性。此外,还应构建程序性规则以保障个人能够以集体的方式行使个人对标签、画像享有的有限决定权。
【中文关键字】人工智能;个人数据;目的限制原则;数据画像;个人信息保护
近年来,我国高度重视推动人工智能发展。2023年7月24日,中共中央政治局会议提出,“促进人工智能安全发展”。[1]2023年8月15日起施行的《生成式人工智能服务管理暂行办法》第3条强调“国家坚持发展和安全并重、促进创新和依法治理相结合的原则”,该办法对生成式人工智能的安全风险作出专门调整。2023年6月,国际计算机学会通过了《关于开发、部署和应用生成式人工智能技术的若干原则》,将个人数据保护列为一项主要原则。[2]新一代人工智能的发展需要利用海量个人数据,[3]个人数据安全是人工智能安全发展下的重要课题。
个人数据是人工智能的“燃料”,有关个人数据保护和利用的法律从源头上影响人工智能行业的发展。[4]若严格适用个人数据保护相关法律,可能阻碍人工智能的发展。围绕如何适用目的限制原则和最小必要原则,学界便产生分歧。有学者指出,无论在欧盟还是在我国,目的限制原则与必要原则的规定使得数据很难被用于人工智能训练,因为除了极少数专门采集的个人数据,绝大部分个人数据被收集时,其目的都只和消费等个人目的相关。[5]有学者则认为,生成式人工智能的算法模型运行时,其技术发展诉求不能成为违规利用个人数据的理由,不能过度收集和处理个人数据,应适用最小必要原则使个人权益受到的限制尽量处于最低水平。[6]可见,学界对人工智能快速发展背景下个人数据保护基本原则如何适用存在不同观点。
在人工智能发展实践中,个人数据保护的基本原则和具体规则尚未得到全面遵循,个人信息权益也未受到充分保护。大力投入人工智能技术开发的腾讯,在其《微信隐私保护指引》介绍了大规模个人信息处理的情况。该文件第1.34条规定:“我们可能将通过某些功能所收集的信息用于我们的其他服务。例如,我们可能将你在使用我们某一功能或服务时我们收集的信息,在另一功能或服务中用于向你或你的好友提供特定内容,包括但不限于展示广告(你可以通过‘我—设置—个人信息与权限—个性化广告管理’管理微信为你提供的个性化广告)。”[7]此处关于处理目的、处理方式的描述十分抽象难懂。该规定列出的主要示例是,“基于特征标签进行间接人群画像并提供更加精准和个性化的服务和内容”。制作特征标签、进行人群画像和提供个性化服务等活动被压缩在一条示例之中,处理目的就落脚于个性化推荐。如此一来,前面的活动似乎仅仅是个性化推荐的一部分,用户可以通过个性化广告服务的管理进行自主选择,其个人信息权益似乎已经得到周全照顾。然而,即使用户关闭了微信中的个性化广告服务,其个人信息仍会被大规模收集和加工,其标签和画像仍然会被制作,个人决定权的行使范围十分有限。
其实,训练机器学习模型、制作标签和画像、个性化推荐是三项不同的活动。三者并非在技术上必然同时发生,而是人工智能商业化应用的不同步骤,各个步骤对个人权益有不同的影响,个人可以行使的权利范围也有所不同。实践中已经暴露出的问题包括:其一,个人数据处理目的透明度低,机器学习训练、制作标签和画像等基本上被掩盖在个性化推荐这一目的之下,仅仅作为个性化推荐的前置条件被提及,不具有明确性;其二,制作标签和画像等处理目的合理性不充分,基本上依附于个性化推荐的合理性,而未显示出其自身的合理性;其三,在人工智能商业化应用中,用户很难获知其标签究竟包括什么、是否准确,也很难修改。用户即使拒绝个性化推荐,也无力影响企业对标签、画像的制作。总之,无论是《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第6条中的目的限制原则,还是该法有关个人知情权、个人决定权的规则,在实践中尚未得到全面遵循,进而未彰显出其本应具有的增加人工智能透明性、可解释性和保障个人自主决定权的功效。
《个人信息保护法》是有关个人数据保护和利用的基础性法律。该法生效后,以人工智能大模型为代表的人工智能发展浪潮迎面而来。该法的适用不仅在理论上存有分歧,在实践中也面临较大挑战。有必要研究该法规定的目的限制原则能否、如何有效适用于人工智能发展活动,该法规定的个人知情权规则、个人决定权规则能否、如何适用于个人标签、画像的制作活动。
一、人工智能发展中个人数据保护的困境
在人工智能发展中,个人数据保护的困境主要体现在两个方面,一是目的限制原则及相关原则的适用陷入困境,难以发挥实际功效;二是个人信息权益的实现面临较大困境,个人知情权规则、个人决定权规则在个人标签、画像制作过程中未得到有效适用。
(一)目的限制原则适用面临的困境
目的限制原则是国内外个人数据保护法普遍接受的基本原则。在20世纪70年代美国行政部门提出的公平信息实践原则中,区分目的特定原则(purpose specification)与使用限制原则(use limitation)。在经济合作与发展组织(以下简称经合组织)《隐私保护和个人数据跨境流通指南》(1980年发布,2013年修正)[8]和欧洲《有关个人数据自动化处理中个人保护的公约》(以下简称《108号公约》)[9]中,同样区分目的特定原则与使用限制原则。欧盟2016年《通用数据保护条例》[10]将目的限制与使用限制统一作出规定。在欧盟法中,目的限制原则包括两部分内容:一是收集目的必须特定、明确和正当;二是使用不得与上述目的不相兼容,从而确立了目的限制原则的所谓“两肢”。
《个人信息保护法》第6条内容丰富,国内学者针对目的限制原则的内涵及其与最小必要原则的关系提出不同意见。有的认为,该法第6条规定的目的原则相当于欧盟法上的目的限制原则和数据最小化原则。[11]有的认为,该法第6条第1款规定了目的限制原则的三个层次,第2款关于数据最小化原则的规定则是目的限制原则与必要原则在个人信息收集环节的体现。[12]有的认为,该法第6条确立了目的限定原则,是比例原则中适当性与必要性原则的混合。[13]还有的认为,该法第6条第1款规定了目的性原则与必要性原则。[14]总之,多数意见认为,《个人信息保护法》第6条第1款是目的限制原则的主要依据,且该款规定与最小必要原则有密切联系。本文认为,一方面,应采用“两肢法”界定目的限制原则;另一方面,应区分目的限制原则与最小必要原则。目的限制原则包括两方面内容,一是处理目的自身的限制,即处理目的必须明确、合理;二是处理目的对处理方式的限制,即处理方式与处理目的必须直接相关。至于《个人信息保护法》第6条中有关“采取对个人权益影响最小的方式”“收集限于最小范围”等规定,属于对处理方式所作的具体要求,虽然需要结合处理目的来加以判断,但明显具有相对独立性,适宜将其作为最小必要原则的内容。[15]
如前所述,互联网企业发布的隐私政策大多会对个人信息处理目的予以介绍,但是有关处理目的的介绍往往层次不清、易生歧义。在司法实践中,有的人民法院在围绕个人数据处理行为是否符合法律规定进行审理时,尚未根据目的限制原则进行说理。在“陈某诉北京百度网讯科技有限公司个人信息保护纠纷案”[16]中,百度公司既经营搜索引擎,又经营贴吧,搜索引擎中有关搜索记录的个人信息被用在贴吧产品中,用于个性化推荐。该案焦点问题之一是,上述有关搜索记录信息的处理是否符合法律规定。人民法院认为,“一个公司基于其开发产品而获得的用户信息属于公司重要资产,其有权在合理限度内在其其他产品中积极使用。同时,百度公司就百度平台产品设置了综合性的隐私政策平台,对于搜索记录这类仅反映用户一般偏好的信息而言,将其迁移至关联产品中予以使用的行为并未超出一般社会认知的合理期待,即未超出对用户信息的合理使用限度”。[17]其实,搜索记录中很可能包含个人不希望在社交中为他人所知悉的兴趣、需求,如果可以不经过个人同意,便用于其他产品之中,尤其是应用到具有社交属性的场景中,可能超出公众的合理期待。搜索记录被广泛商业化应用,可能直接威胁个人隐私的核心领域。人民法院在处理这类纠纷时,应当充分认识并发挥目的限制原则的功效。[18]根据目的限制原则的指引,处理这类纠纷的应然路径是先查明企业在处理搜索记录信息时是否将个人信息处理目的予以明确化,再判断该处理目的是否具有充分的合理性,最后判断将搜索记录用于其他产品中并开展个性化推荐是否为实现该处理目的所必需。
目的限制原则缺少实际功效的根源,在于其与人工智能发展之间具有深层次的紧张关系。传统个人数据保护法的主要宗旨是限制个人数据的处理,并使其对数据主体透明。为此,需要使个人数据处理的各个单独阶段对数据主体保持透明,并获得数据主体的同意。[19]目的限制原则、最小必要原则、透明原则等均是以此理念为基础,协力促使上述目标实现。
人工智能的快速发展却给上述目标的实现带来严峻挑战。现代意义上的人工智能(artificial intelligence,简称 AI)诞生于1956年的达特茅斯人工智能大会,人工智能研究和应用的主要目的是,让人造的机器能开展本来只有依靠人之智慧才能开展的活动。[20]人工智能主流模型有二,一种是符号主义或者经典逻辑,又被称为老好人人工智能(Good Old-Fashioned AI),机器根据人编写好的特定处理规则处理特定问题;另一种是联结主义或者人工神经网络,人并未事先编写特定处理规则,而主要由机器根据训练的数据自行发现特定处理规则。[21]近年来,计算机、互联网等技术迅速发展,联结主义风头正盛。[22]算力、算法、数据成为人工智能蓬勃发展的主要推动力量。在三者之中,数据是算法的燃料,因为只有依靠海量数据,才能训练算法,从而发展更高级的人工智能。成功的大型互联网企业都会运用智能技术从海量个人数据中“挖掘知识”,以满足客户的个性化需要。不过,计算机技术专家早已指出,数据挖掘是数据收集之后典型的二次性目的(secondary purpose);由于从数据中挖掘知识具有“探索性质”(exploratory nature),所以几乎不可能事先知道什么该挖掘,什么不该挖掘。[23]当前人工智能发展的主流模式之一是机器学习,在无监督学习的情况下,即使是开发机器学习的程序员也难以理解人工智能获得结果的全部过程;依法规范每一步数据处理的想法与这种“黑箱”的现实格格不入。[24]如果将每一次数据收集、每一步数据处理都按照目的限制原则的要求予以披露,并获得个人的同意,会给人工智能发展带来巨大的成本乃至不确定性。有意见认为,严格适用目的限制原则不利于对个人数据的利用。[25]有意见甚至认为,在人工智能时代应当削弱甚至放弃目的限制原则,因为这一原则以及传统的个人数据保护理念起源于20世纪70年代,已经无法对人工智能技术进步作出充分回应。[26]
然而,目的限制原则在个人数据保护法中处于“基石”地位,其他原则大多奠定在目的限制原则这一基础之上。如果严重削弱甚至放弃目的限制原则,那么最小必要原则、透明原则、质量原则等诸多原则也会难以适用,从而出现个人数据保护多项原则一并失效的后果。其一,目的原则丧失功效造成最小必要原则适用困难。在目的限制原则丧失实际功效的情况下,处理目的往往不明确、不特定。如此一来,就难以判断处理方式是否与处理目的直接相关,也无从判断收集范围是否最小化、给个人权益造成的不利影响是否最小化。[27]其二,目的限制原则丧失功效意味着透明原则未被遵循。根据《个人信息保护法》第7条规定,个人信息处理者应向个人告知处理目的、处理方式等,只有目的本身足够“透明”,满足个人充分知情之需,才能符合透明原则的要求。目的限制原则丧失功效意味着透明原则根本未得到贯彻。其三,目的限制原则丧失功效造成质量原则适用困难。《个人信息保护法》第8条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”在个人信息处理目的不明确的情况下,其所需要的个人信息的准确度、完整度也难以确定。只有将处理目的明确揭示出来,才能基于该目的判断所收集的数据是否足够准确、足够完整,是否已经及时更新。总之,个人数据保护的各原则之间虽然重心有所不同,但彼此关联紧密,抛弃目的限制原则或者放任其丧失实际功效,将造成个人数据保护的诸多原则均无法发挥作用。
(二)个人信息权益实现面临的困境
《个人信息保护法》第44条规定,个人对其个人信息处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。知情权、决定权是个人在个人信息处理活动中的“基础性、概括性”权利。[28]知情是决定的前提,决定是知情的目的。告知规则、查阅复制规则、解释说明规则等主要体现了知情权的要求,更正补充规则、删除规则、可携带规则等主要体现了决定权的要求。这些规则中的具体权利具有工具性、手段性特点,其功能是帮助实现个人的自我决定,维护人格自主发展。自我决定是民法和宪法中的一般原则,自我决定原则是私法自治的组成部分,在意思表示瑕疵等领域有十分广泛的体现。[29]不过,私法自治中“永恒存在的是权力配置不均衡时常会危及私法自治的矛盾”。[30]在一方当事人的自主决定权被事实上剥夺时,就需要通过强制性规定来加强对该方当事人的保护,以矫正权力配置不均衡。向个人赋予个人信息相关各项权利,就是为了帮助实现个人自主决定。
个人信息权益本质上是一种维护自主决定的人格权益。[31]一方面,个人信息相关各项权利有宪法上的加持,能够对国家产生效力。[32]另一方面,个人信息权益具有民事权益属性,能够对私人产生效力。当处理个人信息的企业未依法履行告知义务、更正义务、删除义务等义务时,个人可依据《个人信息保护法》第50条第2款诉请人民法院判决该企业履行上述行为义务。
依据《个人信息保护法》第14条第1款,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人知情权规则具有基础地位,知情权的有效实现是个人行使其他权利的前提。
然而,在有关人工智能发展的个人数据处理中,并非所有企业都向个人清楚告知了处理目的、处理方式以及相关风险。有的智能产品企业在披露其处理个人语音数据的目的时往往采用比较模糊的表述,让人难以理解其处理方式,也难以获知个人权益遭受侵犯的风险。百度对话式人工智能操作系统隐私政策中提到,其会利用“语音信息进行模型训练”,如果用户参加所谓“语音交互改进计划”,机器会“额外收集您在唤醒设备的过程中所产生的不超过10秒的语音信息(截至设备被唤醒),并且与您发出的语音指令一起用于模型训练,同时会在您结束交互后等待更长的时间(例如0.5秒)。”[33]然而,该隐私政策并未清楚告知其基于训练模型处理个人数据的范围多大、风险如何。第一,所谓“额外收集您在唤醒设备的过程中所产生的不超过10秒的语音信息(截至设备被唤醒)”时间范围不清晰。只要智能设备周围出现语音聊天,就可能被识别为处在唤醒设备的“过程”中,设备便会持续不断收集若干段语音信息,从而构成对语音数据的大范围收集以及对隐私的侵犯。第二,“结束交互”的时间也不清晰,很多用户在结束与智能设备的交流之后并不会明确发出关机指令,这就会出现虽然用户认为交互已经结束,但是设备仍在持续不断收集语音数据的情形。第三,结束交互后等待的时间范围也不清晰。在该隐私政策中,0.5秒仅是一个示例,而不是其承诺的最长等待时间。即使在交互结束之后,设备也可能等待更长的时间以收集数据。可见,由于语音数据收集范围的不确定,人工智能活动可能存在超范围收集个人数据乃至侵犯隐私的风险。
同样常见的是,企业没有根据个人数据的类型、处理方式,保障个人行使决定权。人工智能容易受到偏见的影响,为减少或消除歧视,须慎重制作用户标签,因为标签是影响预测质量和预测偏见的关键因素,仔细选择标签可以让我们在最大限度降低风险的同时享受算法预测的好处。[34]企业在利用个人数据添加特征标签、制作用户画像时,应谨慎考察标签能否客观、公平地反映个人的特征,给个人以查询、更正、删除部分个人特征标签的机会。但在实践中,个人基本没有机会查询标签和画像,更没有机会行使决定权。例如,建设银行很早便开发智慧银行,“将个人客户画像标签归纳为七大类:基础信息、信用与风险、金融行为、非金融行为、联系情况、渠道特征、客户分析,共计2229种标签”,[35]而用户通过建设银行应用程序中“我的画像”只能查询到极少的标签。
个人信息权益难以实现,还会造成个人数据交易缺乏自愿性和公平性。如果个人对交易目的、交易标的物等内容不知情,甚至存在误解,个人在参与数据流通交易时必然缺少真正的自愿,也难以保障个人数据交易的公平性。在实践中,大规模个人数据处理目的经常被表述为“提升用户体验”“改善服务质量”。在交易关系中,显然无法将“接受服务”认定为个人所付出的代价,而只能将其理解为个人所获得的利益。实际上,个人数据本身便是发展人工智能的燃料,只有借助这些燃料,企业才有可能改善机器学习模型、算法。当个人同意企业处理大规模个人数据,从而帮助企业训练机器学习模型、改善商业决策时,个人所提供的对价并非财产,而是劳务。原因是,个人同意企业处理的个人数据并非小规模数据,而是不间断产生的大规模数据,大规模个人数据的实时提供具有人身专属性,该活动与人格尊严的距离很近,故不适合将个人持续提供大规模个人数据定性为个人提供财产,而适合将其定性为个人提供劳务。[36]只有将大规模个人数据处理的主要目的——利用海量数据训练机器学习模型、制作用户标签和画像等予以单独披露,才能揭示上述交易目的和交易性质。
二、人工智能发展中目的限制原则的灵活适用
《个人信息保护法》有关目的限制原则的规定采用“宽进严出”模式,这一模式有助于容纳人工智能发展的需要,同时要求将人工智能相关目的全面披露。只要对目的限制原则予以灵活适用,便有助于在保护个人信息权益与促进人工智能发展之间实现平衡。
(一)“宽进严出”模式下应明确披露人工智能各层处理目的
在欧盟法中,目的限制原则实行“严进宽出”模式。[37]所谓“严进”,是指处理目的必须具有特定性,无论处理何种类型的个人数据,处理目的都必须具体、特定。所谓“宽出”,是指对处理方式与处理目的的关联性采用“相兼容”(compatible)标准。至于是否“相兼容”,需要在具体案件中进行判断。2022年10月20日,欧盟法院在 C-77/21号判决[38]中指出,个人数据控制者、处理者应当确保最初收集个人数据的目的与进一步处理的目的之间存在具体、合理和足够紧密的联系,并且确保进一步的处理不会偏离数据主体对进一步使用其数据的合理期待。
与之形成对照的是,我国目的限制原则实行“宽进严出”模式。《个人信息保护法》第6条第1款只要求处理目的明确、合理,而未要求“目的特定”。结合该法第28条第2款[39]进行体系解释,特定性并不是目的限制原则的一般性要求,而只是对敏感个人信息的特别要求。同时,在处理方式的相关性方面,该法第6条第1款规定了“直接相关”,从而仅包括与处理目的具有高度紧密联系的处理方式。处理方式与处理目的越疏远,越难以被初始目的所涵盖,对个人信息的后续处理越容易被认定为是出于另外的目的,此时只能交由目的变更规则来调整。可见,我国目的限制原则允许目的具有一定的宽泛性,而在处理方式与处理目的之间的关联性上,强调关联的直接性、高度紧密性。
在“宽进严出”模式下,处理目的特定性要求有所缓和,处理者可以将具有较大弹性的内容纳入其明确表示的处理目的中。不过,处理方式与处理目的之间的“直接相关性”意味着,必须将处理目的尽可能全面、完整地披露出来。如果披露不够全面、完整,那么后续处理行为即使是技术上、商业上通常所需要的,也可能因为欠缺与处理目的之间的“直接相关性”而缺乏合法性基础。
在人工智能发展和应用中,训练机器学习模型、制作标签和画像均是有相对独立性的活动,两者虽然与个性化推荐紧密相关,但是并不能被纳入后者之中。即使用户拒绝接受个性化推荐服务,其个人数据也已经被用于训练机器学习模型,其用户标签和画像也往往已经被制作完成,而且会被持续用于与其他用户数据进行关联分析,进而程度不同地影响到自身。在处理目的不够明确、内容不够完整的情况下,人工智能处理个人数据的活动便“不易察觉”“不可干预”。
按照目的明确之要求,人工智能各层次处理目的必须以通俗易懂的方式清楚表达、解释出来。而且,目的的明确最迟不得晚于个人数据收集活动发生之时。明确性要求是为了确保目的在其意义或者意图层面不模糊、不易生歧义,不带来理解上的疑问或者困难。[40]明确性的判断主体不是个人数据处理者,而是个人数据处理的所有相关主体。只有处理目的具有明确性,才有助于透明性、可预期性的实现,才有助于避免或者减少数据主体的期待与个人数据控制者的期待之间产生不一致。[41]经合组织《隐私保护和个人数据跨境流通指南》指出,“明确化”的方式灵活多样,无论采取何种方式都必须满足“有质量”和“一致性”的要求。[42]企业在基于发展人工智能的目的处理个人数据时,如果对处理目的的内容没有完整披露,或者所表达的内容层次混乱、充满歧义,其便可能违反明确性要求,需要承担不利的法律后果。
在违反目的明确要求的情况下,个人数据处理者不能按照其主观意愿或者单方解释结论来决定其处理目的。必须重新解释其表达出来的处理目的,对其真实的处理目的加以实质审查。此时,应当适用或类推适用格式条款规则中的不利解释规则。[43]亦即,当出现两种以上有关处理目的的解释结论时,应当采用对个人数据处理者不利的解释结论。例如,在涉及人工智能发展的隐私政策中,有的企业将训练机器学习模型等隐含在个性化推荐目的之后。由此可能有两种解释结论:(1)只有为了实现个性化推荐,机器学习模型训练才是符合处理目的的;(2)无论是否为了实现个性化推荐,机器学习模型训练本身便当然符合处理目的。鉴于存在不同解释结论,一般应采取不利于隐私政策格式条款提供方的解释结论。
(二)只有满足目的合理性要求才能实现“智能向善”
目的限制原则还要求处理目的具有合理性或正当性。欧盟《通用数据保护条例》第5条第1款 b 项规定处理目的必须是正当的(legitimate),该正当性是指符合所有可适用的数据保护法以及其他可适用的法律。换言之,“正当”是广义上的合法,是指符合所有成文法、判例法,既包括具体规则,又包括法律原则。伴随科学技术的发展、社会经济的进步,正当性的内涵也会发生改变。[44]
我国《个人信息保护法》第6条第1款中的处理目的合理性与欧盟法上的正当性相似。要判断合理性,必须在具体的法律关系中,综合考虑个案中的全部情形,权衡各种相互冲突的利益,得出妥当结论。结合《个人信息保护法》第13条第1款第2项以下规定来说,只要具备一些重要的合法性基础,就可以同时满足形式合法和实质正当的要求。比如,紧急情况下为保护个人的生命健康处理其个人信息的,处理目的具有充分的合理性。又如,为了增进企业与其客户之间的商业联系处理个人信息的,处理目的也可谓具有一定合理性。不过,如果收集个人信息是为了挖掘出可能有用的知识,其合理性便不够充分,需要添加其他因素以补强合理性。
发展人工智能的目的是否具有充分的合理性?对此无法简单地作出肯定回答。人工智能带来的既有机遇,也有挑战和风险。如果从企业的角度来看,为增强市场预测能力、高效反馈能力而发展人工智能,无可非议。但在提高预测能力、改善商业决策的过程中,人工智能也可能带来侵害个人隐私、生成虚假信息等风险。近来,世界主要国家提出在全球治理中应坚持“智能向善”(AI for good)的宗旨。[45]无论是训练机器学习模型,还是制作用户标签,其本身尚不符合实质正当性的要求,也就是说,其并非当然是一件“好事”。只有在发展人工智能过程中加入体现利益平衡和伦理道德的设计,才能使人工智能活动成为一项具有实质正当性的活动。在人工智能商业化应用中,如果其主要目的是通过制作标签和画像给用户分组,那么,只有在该目的同时包含追求公平等价值时,处理目的才有较充分的合理性。
综上,为了保障人工智能安全发展,应将人工智能应用中各层次目的清晰披露出来。为使各层次处理目的具备足够的合理性,必须将伦理因素嵌入其中。尤其是,在标签、画像等制作过程中必须反映公认的价值观,以使其具有公平性、非歧视性,并尊重人格尊严。
三、人工智能活动及其风险的单独告知
欧洲《108号公约》委员会在2019年通过了一份指南,为人工智能发展中的数据保护等问题提供指引。对于可能影响个人和社会的人工智能应用程序,特别是用于决策作出过程的人工智能应用程序,该公约要求,在研发和采用之时必须以保护人的尊严、维护人权和基本自由为核心关切,尤须注重保护个人数据。[46]欧盟《人工智能法案》第5条规定了不可接受的人工智能实践,这些实践活动大多侵犯人的基本权利。例如,采用恶意操纵或欺骗的技术,损害人的知情决定权,使人作出给自身带来重大损害的决策。[47]只有将人工智能活动及其相关风险予以单独告知,才能保障个人知情权的实现。
第一,企业处理个人信息的目的主要体现在隐私政策、用户协议等文件中,此时不应该将训练机器学习模型、制作标签和画像等内容掩盖在“提供个性化服务”“改善服务体验”背后。训练机器学习模型、制作用户标签和画像、提供个性化服务等三方面内容分别属于三项相互独立、相互关联的活动。个人在上述三个层面所能行使的决定权也有所不同。个人依据《个人信息保护法》第24条第2款可以较为自由地拒绝个性化推荐,但只能在有限范围内对标签和画像行使决定权,也难以限制企业利用已经合法收集的个人数据训练机器学习模型。换言之,即使个人拒绝某一场景下的个性化服务,其个人数据仍然可能被用于训练机器学习模型,其用户标签和画像仍然可能生成。因此,人工智能技术发展和应用中存在不同层次的个人数据处理目的,必须通过专门方式加以告知,确保个人清楚知悉其广泛的个人数据可能被用于不同处理目的,也使个人了解是否存在不可预见乃至不可控的风险。
第二,在没有明确告知相关处理目的、处理方式的情况下,处理行为便没有获得个人的真正同意,这类处理活动便缺少合法性基础。人脸识别是人工智能的应用之一。在有的案件中,企业在安装人脸识别系统后,公示用途为“视频安全巡查”,而未告知其处理目的主要是判断消费者是属于何种类型的客户(如是否近期到访),该企业的行为构成不当使用个人信息。[48]企业在基于人工智能发展或应用目的处理个人数据时,如果未告知相关处理目的和处理方式,造成个人无法清晰认识到该处理活动的性质以及相关风险,便缺少处理个人数据的合法性基础,个人可以要求企业停止基于人工智能相关目的处理个人数据。为避免出现这种情况,制作用户标签、测算用户未来行为趋势等人工智能发展应用中的处理目的须在隐私政策中予以专门披露。此外,人工智能活动通常涉及到对敏感个人数据的处理(如智能音箱可能处理声纹数据),根据《个人信息保护法》第29条和第30条规定,应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,并获得单独同意。
第三,应当向个人告知人工智能技术发展和应用中个人数据处理的“风险”类型与内容,而非每一个处理步骤。当前,人工智能技术经常由“自我学习”(self-learning)机制驱动,在自我学习过程中即使是程序员也未必知道数据到底经过何种组合、如何被权衡和使用。中国人工智能学会发布的《中国人工智能系列白皮书——大模型技术(2023版)》指出,大模型基于深度神经网络,为黑盒模型,其工作机理仍难以理解。[49]在实践中,将个人数据处理的每一个步骤告知个人,既不现实也不必要。反之,应该对数据处理系统及其场景进行总体审视,评估其是否会带来超乎寻常的抽象危险(abstract danger),从而在保护个人数据的前提下为人工智能技术发展留下空间。[50]概言之,有必要将评估之后发现的个人数据处理相关“风险”类型与内容告知个人。
其实,面对日益复杂的算法,“透明性”与“准确性”之间并非截然对立的关系。所谓算法越准确,透明度就越低的观点,只适用于设计精确的游戏或其他类似的稳定环境,而不适用于充满不确定性的环境。有的研究人员在开发有关预测贷款违约的人工智能时,采用了易于理解的软件,并加入可视化技术,其开发的人工智能不仅透明,而且在预测贷款违约方面,与深度神经网络和其他复杂的黑盒子模型一样准确。[51]人工智能商业化应用的场景是充满不确定性的场景,未来努力的方向应该是,在金融、零售、就业等各种充满不确定性的场景中,增强人工智能对个人数据使用的透明性、可解释性,一方面,满足保护个人知情权的要求,另一方面,有助于检验人工智能是否存在偏见。
《个人信息保护法》不仅规定了个人知情权规则,还规定了个人决定权相关规则,包括更正权、补充权、删除权等。在个人数据处理过程中,个人决定权的行使容易被局限在“收集”环节。因为严格地说,处理过程中的中间数据乃至最终评价数据,未必是可以识别到特定自然人的个人数据。[52]如此一来,在人工智能应用过程中大部分个人决定权难有用武之地。然而,这种调整模式会给个人数据保护带来巨大挑战。既然人工智能有可能削弱人的自主决定,带来操纵、歧视、信息茧房等后果,就应该在一定范围内适用个人决定权规则。
四、人工智能商业化应用中个人决定权的集体行使
个人决定权主要是指个人有权选择、限制、拒绝他人处理其个人信息,具体包括对个人信息处理的同意和撤回同意、更正、删除、拒绝等权利。[53]人工智能商业化应用的主要方式是,经由机器处理海量个人数据,对不同用户添加标签、制作画像,然后针对其个人特征提供个性化服务。有疑问的是,个人是否可以拒绝企业制作标签和画像?鉴于标签和画像并非针对某个特定自然人制作,而是针对“一组”自然人制作,[54]个人能否、如何行使更正权、限制使用权等权利?
(一)人工智能形成的用户标签、画像属于个人数据
所谓由机器贴标签,是指根据用户消费行为中的文本、图片、视频等数据,机器自动学习出用户兴趣、喜好等,并用不同的标签对用户予以分类标记。对用户标签和消费行为标签进行双向匹配,形成精细化用户画像,本质上是将不同自然人的思考模式、行为模式作出区分。需要探讨的是,对于这些标签数据、画像数据,个人能否、如何基于个人信息权益行使权利。
欧盟《通用数据保护条例》第13条至第15条、第21条至第22条等规定了个人对数据画像及相关逻辑程序的知情权、反对权。与之相比,我国《个人信息保护法》第24条第3款有关自动化决策的规定中,未详细规定个人有权要求个人信息处理者说明的对象。[55]按照立法机关工作人员的意见,说明的对象包括自动化决策使用的个人信息种类、自动化决策的基本原理和逻辑机制,以及可能对个人产生的不利影响等。[56]对于数据画像,并未包含在说明范围内,更未包含在拒绝范围之内。也就是说,《个人信息保护法》第24条第3款仅允许个人拒绝单纯基于自动化决策作出的决定,并未规定个人可以在一定范围内拒绝数据画像。
与立法中的“粗线条”设计不同,行业实践必然朝着精细化的方向探索。2022年3月1日起施行的《互联网信息服务算法推荐管理规定》第17条第2款规定,算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。2023年8月发布的国家标准《信息安全技术基于个人信息的自动化决策安全要求》(征求意见稿)第10.3条规定,在特定自动化决策中,个人信息处理者应当设立相关机制,以便个人选择或者删除用于算法推荐服务的个人特征标签。[57]上述规定有助于实现个人对“特征标签”的知情、自主选择或删除。只不过,有必要探讨其背后的法理基础和法律依据。
数据画像的目标是实现“深度个性化”“精细分组”,对消费者个人生活“360度全景式洞察”。[58]从市场营销角度看,只有不断深入探明消费者购买决策的影响因素,企业才能提供适销对路的产品或服务。基于地理的、人口的、行为的、心理的等因素对市场进行划分,是市场细分的重要工作。[59]对消费者所在位置、所属组群、惯常行为、内在心理进行探究,是企业开展市场营销必然采取的行动。制作标签、画像本质上是由机器对自然人分组,人工智能正在推动上述目标迅速实现。虽然标签和画像通常不是针对特定个人专门制作,而是针对特定群体制作,但是只有在制作标签、画像过程中适用个人决定权规则,才能够实现个人信息保护法的规范目的。
第一,由诸多特征标签组成的画像数据一般属于推断型数据。在实践中,个性化标签包括多重维度、多个类目,具体内容包括性别、居住地、年龄阶段、职业类型、婚育状况、子女年龄段、自有住房及房贷情况、银行卡数量及种类、经常旅游地、通信套餐、通勤距离等。[60]即使自然人的姓名、身份证号码等信息被删除,覆盖面广泛的标签所构成的画像也足以全面揭示出其自然状况和社会地位。个人特征的高度透明化,是人工智能深度商业化应用的结果。
欧盟《通用数据保护条例》序言第72段提到,画像活动适用该条例有关个人数据处理的规则,包括个人数据保护的各项原则。[61]这意味着,画像行为其实是个人数据处理行为。画像数据是结合了其他人的数据以及匿名化数据,经过关联之后产生的,其可用于识别特定自然人。[62]画像越精准,画像数据可识别性越强。因此,画像数据通常属于记录个人特征信息的数据。
第二,对于记录自然人个人特征信息的画像数据,尽管企业享有一定财产权益,[63]仍应该保障个人在一定范围内行使个人信息权益。商业秘密等企业财产权益与消费者人格权益之间关系的协调,完全不是新问题。[64]企业的商业秘密权益旨在排除其他经营者的不当利用行为,而不能排除个人正当行使权利;只要存在个人的在先权益,其仍然受到个人权益的限制。
对于数据画像,欧盟《通用数据保护条例》第21条、第22条等规定个人有反对权。在美国,有意见认为应该赋予个人“受到合理推断”的权利,对于具有高风险性和低可验证性的推断型数据,应该在事前告知和事后异议两个方面增强个人的权利。[65]在我国也有必要承认此类权利。在人工智能应用过程中,个人就其“如何被看待”有权发言和采取行动,这类权利体现了个人信息保护法的规范目的。
第三,从精准营销、增强用户粘性等角度看,对消费者个人形象进行全息刻画对现代企业具有重要意义。只不过,既然上述活动属于个人数据处理活动,就应当具有合理的处理目的。处理目的具有合理性不能仅基于企业的角度作出判断,还必须考虑消费者的人格权益以及社会公共利益。个人在接受各类私人服务和公共服务时,标签、画像是其受到区别对待的关键因素。用户标签、数据画像因而是数字人格、数字身份的具体表现。添加标签、制作画像不可能是纯粹技术中立的活动,而是始终牵涉到人格平等、社会公正。只有添加合理标签、制作合理画像,才可谓合理的个人数据处理活动。
(二)个人决定权的集体行使及其限度
鉴于标签、画像通常是群体型个人数据,且是企业加工后的衍生数据,个人决定权规则只能在有限范围内适用于这类数据,且在有的场合适合以集体行动的方式行使权利。
第一,在效力内容方面,个人决定权一般局限于更正权、补充权、限制使用权等,而不包括随时撤回同意、可携带权等。在适用范围方面,更正权通常适用于具有高度敏感性的标签或者画像部分,补充权通常适用于标签、画像的使用会给个人权益带来重大影响的场合,限制使用权通常适用于个人权益受损风险高的场景。在行使更正权、补充权时,个人应当对标签本身的不准确、不客观、不公平等予以说明,并根据具体情况提供必要证据。
第二,个人可以集体行使权利,要求降低画像的精细度、修改标签内容。个人要求降低画像的精细度,本质上是要求增加对特定自然人识别的难度、降低人身权益和财产权益受侵害的风险。近年来,大数据技术研发者越来越重视个人隐私保护,为保护隐私,发展出随机化方法、k-匿名和 l-多样性方法、分布式隐私保护方法等。[66]例如,将标签中的“值”从整数(如3)修改为区间(如0-5),便能够提高对隐私的保护。个人还可以借助集体行使权利,要求修改标签内容。在标签模板中,有的标签名为“贪小便宜”,标签逻辑是“近3个月内交易时采用优惠券抵扣的行为超过3次”。[67]该标签制作活动显然不是纯粹技术中立的,而是属于对消费者不妥当的评价。然而,单个个人几乎不可能就标签设计向企业施加影响。未来要推动构建平台内个人集体行使权利的机制,通过程序性规则帮助个人发现歧视性标签以及相关区别对待。只有经过集体施加反作用力,企业才会采取措施不断改善标签和画像。
需要指出的是,完全拒绝标签和数据画像相当于拒绝类别化,其实就是拒绝了人工智能在商业中的应用。[68]这在现实中几乎不可能实现,也未必是值得追求的目标。很多应用程序中虽然设置了“开关”个人性化推荐的按钮,但是即使关闭个性化推荐,相关信息仍然是结合之前的用户画像,基于算法来进行推送,并非纯粹按照时间先后等自然顺序向用户发布信息。只有基于客观、公平、非歧视等原则制作标签、画像,才可谓合理的个人数据处理活动。只有将个人对标签、画像数据的有限决定权确立起来,才能促进企业在发展和应用人工智能技术时,强化个人自主决定的机制设计,进而完善人工智能发展中的风险治理。
五、结语
只要人工智能安全和发展并重的原则仍然是人工智能治理的基本原则,就应该将个人数据保护作为人工智能风险治理的主要内容之一。灵活适用个人数据保护中的目的限制原则,妥当适用个人知情权规则、决定权规则,有助于发现和应对人工智能带来的风险。特别是,人工智能的开发者和应用者应该将训练机器学习模型、制作标签和画像等不同处理目的、处理方式以及相关风险明确披露出来,这既是保护个人权益的必然要求,又是实现人工智能风险治理的必要环节。未来,根据人工智能风险的类型进行区分治理,在促进人工智能相关科学技术发展的同时,增强人工智能商业化应用中的透明性、合理性,应是贯穿人工智能立法的主线。
武腾,中央财经大学法学院教授,法学博士。
【注释】
[1] 《中共中央政治局召开会议分析研究当前经济形势和经济工作中共中央总书记习近平主持会议》,载《人民日报》2023年7月25日第1版。
[2] See Principles for the Development, Deployment, and Use of Generative AI Technologies, Association for Computing Machinery, https://www.acm.org/binaries/content/assets/public-policy/ustpc-approved-generative-ai-principles, last visited on June 10, 2024.
[3] 个人数据是指记录个人信息的数据。在人工智能语境下,不必严格区分个人数据与个人信息。
[4] 参见汪庆华:《人工智能的法律规制路径:一个框架性讨论》,载《现代法学》2019年第2期,第61页。
[5] 参见丁晓东:《论人工智能促进型的数据制度》,载《中国法律评论》2023年第6期,第178页。
[6] 参见刘艳红:《生成式人工智能的三大安全风险及法律规制——以 ChatGPT 为例》,载《东方法学》2023年第4期,第34-35页。
[7] 参见《微信隐私保护指引》(2023年11月10日更新),https://weixin.qq.com/cgi-bin/readtemplate?t=weixin_agreement&s=privacy&cc=CN,2024年5月13日访问。
[8] Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data [C(80)58/ FINAL, as amended on 11 July 2013 by C(2013)79],OECD, https://legalinstruments.oecd.org/public/doc/114/114.en.pdf, last visited on June 10, 2024.
[9] Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, The Council of Europe, https://rm.coe.int/1680078b37, last visited on June 10, 2024.
[10] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC (General Data Protection Regulation). See Official Journal of the European Union, L 119/1.
[11] 参见张新宝:《个人信息处理的基本原则》,载《中国法律评论》2021年第5期,第22页。
[12] 参见程啸:《论我国个人信息保护法的基本原则》,载《国家检察官学院学报》2021年第5期,第10-13页。
[13] 参见申卫星:《论个人信息保护与利用的平衡》,载《中国法律评论》2021年第5期,第30-31页。
[14] 参见龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第24页。
[15] 之所以区分目的限制原则与最小必要原则,主要基于以下考虑:第一,目的限制原则与最小必要原则各有侧重,前者侧重于处理目的的属性,以及目的所产生的拘束力,后者侧重于处理方式的内容,以及处理方式是否超出最小范围或者带来不合比例的后果;第二,对于目的、手段以及两者之间的关联,只有分层次考察,才便于划定处理行为的边界,才有助于准确适用法律。
[16] 参见湖北省黄冈市中级人民法院(2021)鄂11民终3136号民事判决书。
[17] 参见湖北省黄冈市中级人民法院(2021)鄂11民终3136号民事判决书。
[18] 尽管在该案审理之时《个人信息保护法》尚未生效,该案二审法院已经结合《个人信息保护法(草案)》(第二次审议稿)对涉案信息是否构成个人信息予以认定;其未认识到目的限制原则的重要作用,实属遗憾。
[19] 参见[德]尼古拉斯·马奇:《人工智能与数据保护的基本权利:为技术创新和创新保护打开大门》,李辉译,载彭诚信主编:《人工智能与法律的对话2》,上海人民出版社2020年版,第39页。
[20] 参见[英]瑞恩·艾伯特:《理性机器人:人工智能未来法治图景》,张金平、周睿隽译,上海人民出版社2021年版,第29页。
[21] 参见[英]瑞恩·艾伯特:《理性机器人:人工智能未来法治图景》,张金平、周睿隽译,上海人民出版社2021年版,第37页。
[22] 各种人工智能类型及相关流派的发展演变,参见[英]玛格丽特·博登:《 AI:人工智能的本质与未来》,孙诗惠译,中国人民大学出版社2017年版,第8-23页。
[23] See Jiawei Han & Micheline Kamber, Data Mining: Concepts and Techniques, Elsevier,2006, p.679.
[24] 参见[德]尼古拉斯·马奇:《人工智能与数据保护的基本权利:为技术创新和创新保护打开大门》,李辉译,载彭诚信主编:《人工智能与法律的对话2》,上海人民出版社2020年版,第40页。
[25] 参见朱荣荣:《个人信息保护“目的限制原则”的反思与重构——以〈个人信息保护法〉第6条为中心》,载《财经法学》2022年第1期,第18页。
[26] 参见[德]尼古拉斯·马奇:《人工智能与数据保护的基本权利:为技术创新和创新保护打开大门》,李辉译,载彭诚信主编:《人工智能与法律的对话2》,上海人民出版社2020年版,第41页。
[27] 参见武腾:《最小必要原则在平台处理个人信息实践中的适用》,载《法学研究》2021年第6期,第74页。
[28] 参见杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第113页。
[29] 参见[德]托马斯·M.J.默勒斯:《法学方法论》(全本·第6版),杜志浩译,北京大学出版社2022年版,第511页。
[30] [德]维尔纳·弗卢梅:《法律行为论》,迟颖译,法律出版社2013年版,第11页。
[31] 有意见认为,个人信息权利体系包括指向个人信息初次分配秩序的个人信息决定权和指向个人信息交换处理秩序的知情权、携带权。参见萧鑫:《个人信息权的分析与建构》,载《法学研究》2023年第6期,第73页。
[32] 参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第115页。
[33] 参见《DuerOS 隐私政策》(2024年3月22日更新),https://xiaodu.baidu.com/webssr/protocol?id=e02b4c0b-79f8-4cf1-a2ff-1b2aca3c40a2,2024年5月13日访问。
[34] 参见[美]阿杰伊·阿格拉沃尔等:《权力与预测:人工智能的颠覆性经济学》,何凯译,中信出版社2024年版,第275页。
[35] 参见刘筱攸、张雪囡:《智慧银行:两千多个标签为客户精准画像》, http://www.ccb.com/cn/ccbtoday/jhbkhb/20181009_1539072441.html,2024年5月13日访问。
[36] 参见武腾:《个人信息积极利用的类型区分与合同构造》,载《法学》2023年第6期,第70页。
[37] 参见梁泽宇:《个人信息保护中目的限制原则的解释与适用》,载《比较法研究》2018年第5期,第20页。
[38] See Document 62021CJ0077, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CJ0077, last visited on June 10,2024.
[39] 依据该款,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者才可以处理敏感个人信息。
[40] See Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, European Commission, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf, last visited on June 10, 2024.
[41] See Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, European Commission, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf, last visited on June 10, 2024.
[42] See Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, European Commission, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf, last visited on June 10, 2024.
[43] 依据《民法典》第498条第2句,对格式条款有两种以上解释的 ,应当作出不利于提供格式条款一方的解释。
[44] See Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, European Commission, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf, last visited on June 10,2024.
[45] 参见《中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明》,载《人民日报》2024年5月7日 ,第3版。
[46] See the Committee of the Convention for the Protection of Individuals with regards to Processing of Personal Data (Convention 108), Guidelines on Artificial Intelligence and Data Protection (adopted on 25 January 2019), Council of Europe, https://rm.coe.int/2018-lignesdirectrices-sur-l-intelligence-artificielle-et-la-protecti/168098e1b7, last visited on June 10, 2024.
[47] See Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/ EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act), European, Council, https://data.consilium.europa.eu/doc/document/PE-24-2024-INIT/en/pdf, last visited on June 9, 2024.
[48] 参见江苏省苏州市姑苏区人民法院(2022)苏0508民初5316号民事判决书。
[49] 参见中国人工智能学会网站,https://www.caai.cn/index.php?s=/home/article/detail/id/3172.html,2024年6月20日访问。
[50] See Ralf Poscher, Artificial Intelligence and the Right to Data Protection, https://www.cambridge.org/core/services/aop-cambridgecore/content/view/26AB000E713FBF3BDB89067C23B118F1/9781009207867c16_281-289.pdf/artificial_intelligence_and_the_right_to_data_protection.pdf, last visited on July 18,2023.
[51] 参见[德]格尔德·吉仁泽:《失控与自控》,何文忠等译,中信出版社2024年版,第169-171页。
[52] See Sandr a Wachter & B rent Mittelstadt, A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI,2019 Columbia Business Law Review 494,617(2019).
[53] 参见张新宝主编:《〈中华人民共和国个人信息保护法〉释义》,人民出版社2021年版,第351-352页;程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第332-334页。个人决定权不仅指向限制处理或拒绝他人处理个人信息的权利,更在宏观上反映着个人控制信息的理念。参见姚佳:《个人信息主体的权利体系——基于数字时代个体权利的多维观察》,载《华东政法大学学报》2022年第2期,第95-96页。
[54] 参见赵精武:《用户标签的法律性质与治理逻辑》,载《现代法学》2022年第6期,第102页。
[55] 该款规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”
[56] 参见杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第74页。
[57] 参见全国网络安全标准化技术委员会网站,https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230818163540&norm_id=20221102151633&recode_id=52619,2024年6月20日访问。
[58] See Andrew J. McClurg, A Thousand Words Are Worth a Picture: A Privacy Tort Response to Consumer Data Profiling,98 Northwestern University Law Review 63,68(2003).
[59] See Barrie Gunter, The Psychology of Consumer Profiling in a Digital Age, Routledge,2016, p.7.
[60] 参见任寅姿、季乐乐:《标签类目体系:面向业务的数据资产设计方法论》,机械工业出版社2021年版,第149-159页。
[61] See Sandra Wachter & B rent Mittelstadt, A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI,2019 Columbia Business Law Review 494,617(2019).
[62] 企业完全有能力通过添加数据,对用户画像所关联的个人进行识别,对此不乏实例。 See Andrew J. McClurg, A Thousand Words Are Worth a Picture: A Privacy Tort Response to Consumer Data Profiling,98 Northwestern University Law Review 63,83-84(2003).
[63] 参见武腾:《数据资源的合理利用与财产构造》,载《清华法学》2023年第1期,第161页。
[64] 商业秘密保护与隐私保护之间经常存在紧张关系。参见吴汉东:《知识产权法》,法律出版社2021年版,第651、656页。
[65] See Sandra Wachter & Brent Mittelstadt, A Right to Reasonable Inferences: Re-Thinking Data Protection Law in the Age of Big Data and AI, 2019 Columbia Business Law Review 494, 614 (2019).
[66] 参见[美]韩家炜等:《数据挖掘:概念与技术》,范明等译,机械工业出版社2012年版,第400页。
[67] 参见任寅姿、季乐乐:《标签类目体系:面向业务的数据资产设计方法论》,机械工业出版社2021年版,第266页。
[68] 参见[荷]马克·舒伦伯格、[荷]里克·彼得斯编:《算法社会:技术、权力和知识》,王延川、栗鹏飞译,商务印书馆2023年版,第45页。
