1.4 隐私保护相关法律与标准
近年来,用户隐私泄露问题层出不穷,人们对于隐私保护的需求也日渐高涨。与之相对地,如何构建人工智能与隐私保护两者之间的平衡关系,也成为国家法律与政策层面上重点关注的问题。2018年10月31日,习近平总书记在主持中共中央政治局关于人工智能发展现状和趋势的学习会议时曾指出,要加强人工智能发展的潜在风险研判和防范,维护人民利益和国家安全,确保人工智能安全、可靠、可控。要整合多学科力量,加强人工智能相关法律、伦理、社会问题研究,建立健全保障人工智能健康发展的法律法规、制度体系、伦理道德[12]。2019年6月17日,我国新一代人工智能治理专业委员会发布《新一代人工智能治理原则——发展负责任的人工智能》,其中包括了人工智能应尊重隐私的原则。该原则指出:“人工智能发展应尊重和保护个人隐私,充分保障个人的知情权和选择权。在个人信息的收集、存储、处理、使用等各环节应设置边界,建立规范。完善个人数据授权撤销机制,反对任何窃取、篡改、泄露和其他非法收集利用个人信息的行为。”2021年1月1日起正式施行的《中华人民共和国民法典》中进一步明确和强调了公民的隐私权:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”[13]
事实证明,野蛮粗犷式的盲目发展既不利于人们享受信息技术的美妙成果,更不利于行业的长远发展。从根源上讲,在法律和政策的层面上规范个人或企业对于用户数据的采集和使用,是为新时代大数据与人工智能行业健康发展保驾护航的重要保障。
国际上个人信息与隐私保护典型的法律模式以欧盟和美国为代表。欧盟模式以统一立法为主,全面考虑全行业领域情况制定综合性的隐私保护法律,以搭建对个人隐私多角度、全方位的制度框架。欧盟于2016年通过了《通用数据保护规范》(General Data Protection Regulation,GDPR)用于取代1995年发布的数据保护指令(DPD),该规范所涵盖的隐私数据包括用户的身份信息、网络数据、生物数据、种族、政治观点等全方位信息,并且制定了从用户个人信息采集,到信息的传输和使用直至销毁的条例,对信息的全周期隐私防护提出了明确的行为规范,被认为是当前互联网环境下个人信息隐私安全最严格、最全面的监管条例。该规范规定,对个人信息采集时,应使用“简明语言”并且遵循“最少采集”原则,不能非法采集数据,而且当完成采集信息的必要目的后,需在一定期限之内予以销毁。如果违反该规范,公司或机构可能受到高达2000万欧元的高额罚款,甚至承担刑事责任。
而美国模式以分散立法为主,以国家宪法规定的隐私权为基础,不同地区与行业对隐私安全防护进行针对性的逐一立法。例如,《金融服务现代化法案》《健康保险可移动性和责任法案》《儿童网上隐私保护法》等一些法案都是针对某一领域或群体的针对性立法。美国2020年生效的《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act,CCPA)是美国目前为止最严厉、最全面的个人隐私保护法案,该法案为消费者声明了访问权、删除权、知情权等一系列消费者隐私权利,并要求企业必须遵循相关义务。对违反隐私保护要求的企业,政府有权进行处罚。除此之外,在私人领域,美国一些行业的行为准则和民间自发机制也在隐私保护方面发挥着重要作用。
要在大数据行业实现对个人隐私全方位的保护,不但需要法律和政策的强制规定与限制,国际标准对行业的引导也必不可少。2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准,这一标准作为ISO/IEC 27001与ISO/IEC 27002的延伸标准,不但新增了特定的隐私管理要求,还为应用该标准的企业或机构提供了满足不同国家和地区的隐私保护法律法规的操作指引,帮助使用者更全面地覆盖GDPR的要求。2020年9月,由我国专家担任编辑的国际标准ISO/IEC 20547-4:2020《信息技术 大数据参考架构 第4部分:安全与隐私保护》正式发布。该标准是ISO/IEC 20547系列标准之一,从用户和功能两个角度对大数据安全与隐私保护框架进行了描述。
国内方面,2017年6月,《中华人民共和国网络安全法》(简称《网络安全法》)正式生效,该法律是中国第一部系统性提出网络空间治理的法律法规,在第四章《网络信息安全》中明确规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。2020年,GB/T 35273—2020《信息安全技术个人信息安全规范》出台,该标准依据《网络安全法》,针对个人信息面临的安全问题,划定了个人信息范围,提出了个人信息安全基本原则,规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大限度地保障个人的合法权益和社会公共利益。2021年1月1日起正式实施的《中华人民共和国民法典》中也申明了公民的隐私权,规定了涉及处理个人信息的民事责任,为公民的隐私权和个人信息提供了更加全面的法律保障。
随着大数据和信息技术的进一步发展,世界各国对于个人信息和隐私保护立法层面上的重视程度也将进一步加大,这也体现了隐私保护对于新时代和谐信息社会建设的重要意义。