【《人工智能时代信息隐私权法律保护的域外经验及启示分析》9200字】

PAGE13人工智能时代信息隐私权法律保护的域外经验及启示分析目录TOC\o"1-3"\h\u4947人工智能时代信息隐私权法律保护的域外经验及启示分析 127248第一节世界主要国家法律保护模式 15324一、美国“大隐私权“法律保护模式 110125二、欧盟“大个人信息”法律保护模式 45884三、英国综合法律保护模式 531248第二节域外模式对我国的启示 7861一、构建完善的信息隐私权立法体系 715302二、平衡信息流通和隐私保护的利益关系 8第一节世界主要国家法律保护模式从世界范围内看，最早对信息隐私权进行立法保护的是美国和欧盟。由于立法价值理念不同，美国和欧盟根据自身国情形成了各具特色的个人信息隐私权保护模式。除美国和欧盟外，英国关于信息隐私权保护的研究和立法也有着悠久的历史传统，风格与美欧相比也别具一格。一、美国“大隐私权“法律保护模式每个国家都有自己的价值体系，在美国，信息流通自由和言论发表自由的价值地位高于其他任何价值。由于信息隐私属于私人领域的范畴，在信息市场中对信息隐私进行自由贸易的行为、个人与企业之间在信息流通过程中所产生的利益关系无需国家通过立法予以规制，市场自身即可进行调节，此外也不需要通过其他外力方式对个人信息处理与市场的运作发展进行干预。孔令杰.：《个人资料隐私的法律保护》，武汉：武汉大学出版社，2009年，第312页。因此，美国法立法规制的价值理念表现为优先保障经济发展，同时兼顾个人隐私保护。在20世纪60年代，互联网技术以一日千里的速度迅猛发展，而通过侵害个人信息从而造成个人隐私被侵犯的现象也随之显著增加，信息隐私也因此成为了美国隐私权保护的核心内容，美国也在实践中逐渐形成了“大隐私权”的保护模式，即通过加强隐私权保护来对个人信息予以保护，在实践中不断通过完善孔令杰.：《个人资料隐私的法律保护》，武汉：武汉大学出版社，2009年，第312页。郑志峰：《人工智能时代的隐私保护》，载《法律科学(西北政法大学学报)》，2019年第2期，第54页。齐爱民：《美国信息隐私立法透析》，载《时代法学》，2005年第2期，第112页。（一）公领域的分散立法美国在公领域的立法方式体现为未采取制定统一的法律予以保护信息隐私权，是典型的分散立法模式。美国的隐私法体系是由狭义的联邦和州法律所构成的复杂拼凑。这些隐私法通常可分为三类：第一类是重形式的法律，侧重于规范信息收集或流通形式，如《电话消费者保护法》《反垃圾邮件法》《计算机欺诈和滥用法》等；第二类是重内容的法律，如《公平信用报告法》《健康保险携带和责任法》《金融现代化法》等；三是旨在保护儿童等特殊群体的法律，如《儿童在线隐私保护法》。自上世纪六七十年代以来，美国颁布的与信息隐私权保护有关的法律主要有:（1)1966年出台的《信息自由法》，适用于所有政府的记录；(2)1970年《公平信用报告法》颁布，规范的对象是信用机构和个人信用信息的使用者；(3)1974年美国《隐私权法》出台，这是美国最核心的信息隐私权保护法；（4）1991年颁布《电话消费者保护法》，这是美国国会为平衡“个人隐私、公共利益以及言论和商业自由”而做出的努力；（5）1996年《健康保险携带和责任法》与《个人可识别健康信息隐私标准》旨在规范管理一类特殊的数据，即患者的健康信息；（6）1998年通过的《儿童在线隐私保护法》，旨在保护相对弱势的特殊信息主体——儿童；（7）2003年《反垃圾邮件法》是第一部就商业电子邮件通信而制定国家标准的法律，该法涵盖了所有的商业邮件，被定义为“以商业广告或商业产品或服务的促销为主要目的的所有电子邮件”；（8）随着人工智能技术在国际上的深入发展和广泛运用，美国于2011年出台了《国际网络空间战略》，用以协调信息隐私权保护与人工智能技术发展之间的矛盾；（9）2013年，美国修改了2000年制定的《儿童在线隐私保护法》，扩大了个人信息的范围，界定了争议最热门的数据保留和删除权（被遗忘权）等术语。（二）私领域的行业自律对私领域的信息隐私权保护，美国所采取的模式是行业自律。行业自律，是指由行业内部来制定本行业的行为标准，为本行业的隐私保护提供示范规则。美国崇尚自由，自由是其国家和民族的一种文化，体现在信息隐私权保护方面则是更加青睐于行业自律，以此来促进行业的自由竞争和繁荣。美国的行业自律又被称为指导性立法主义，特指在私领域依靠自律机制来保护公民的信息隐私权。美国的行业自律自律制度主要包括：（1）非强制性的行业指导意见。这是美国业界广为认可的自律方式，是由自律组织所制定的、该组织成员必须遵守的、保护用户个人信息的行业指导原则，具体包括了三个方面，第一是企业收集信息时要提前告知用户；第二是企业处理相关信息要公开化；第三是企业要尽到相应的社会责任。（2）网络隐私认证计划。该计划根据企业关于信息隐私保护的情况是否符合所属行业的标准，据此来发放信息安全认证标志，此认证标志会增强用户对企业的信任，从而保证用户可以放心提交自己的信息，是企业商业信誉的一种体现。(3)安全港模式。安全港模式是美国和欧盟在双方对信息隐私采取不同保护方式下，产生矛盾的一种协调，其实质是欧盟向美国地区输入信息的桥梁。欧盟根据“安全港”可以在美国享受同等待遇，促进二者之间的交流和合作。美国于1997年探索建立行业自律保护方式，自1997年至2007年间迅速发展壮大，形成了今日美国特色的行业自律机制。（三）人工智能时代美国的法律应对随着人工智能技术的进一步发展，美国为了应对隐私危机，在立法上也做出了回应。2015年，美国颁布《消费者隐私权法案》（CPBR），为消费者在购物时所留下的个人信息做了进一步规定和保护。该法以场景理论为基础，以增强用户控制权为补充，辅之以风险评估为手段的法律架构，创新性地跳出了过去以“知情-同意”规则为框架的个人信息保护。2018年，美国加利福尼亚州通过《加州消费者隐私法》(CCPA)，该法赋予消费者更多的与信息隐私权有关的权利。这部法律是美国迄今为止通过的最广泛、最全面的隐私法，对美国境内其他州的立法，甚至对联邦隐私立法都产生了及其重要的影响。但是CCPA仍不是一部个人信息基本权利的法律，而是一部着重处理企业与消费者之间关系的法律。CCPA赋予信息主体以知情权、访问权和删除权，主要强化信息主体对自身信息的控制和决定。叶名怡：《个人信息的侵权法保护》，载《法学研究》，2018年第4期，第20页。该法还赋予消费者四项与其个人信息隐私权相关的基本权利：第一，了解企业收集了哪些关于他们的个人信息以及这些信息是如何使用的权利；第二，有权根据“选择-退出”规则，以退出出售其个人信息的企业；第三，有权要求企业对与自身有关的个人信息进行删除；第四，他们根据该法行使其隐私权的同时，仍拥有从企业获得同等服务和价格的权利。2018年，加利福尼亚州通过了《互联设备安全法》，该法于2020年1月1日正式生效，其法律保护的对象领域得到了扩张，立法范围从互联网领域延伸到了人机共生的物联网领域。叶名怡：《个人信息的侵权法保护》，载《法学研究》，2018年第4期，第20页。综上所述，美国在公领域的分散立法立法模式，对特殊群体和特定领域的隐私权都给予了保护，如《健康保险责任和携带法》明确将健康医疗信息规定为法律需要保护的隐私利益，《儿童在线隐私保护法》将儿童这一特殊的、脆弱的群体作为信息隐私权的优先保护对象，施加更多的责任和义务给信息控制者，以实现对儿童等特殊群体的倾斜保护，这对我国立法亦有积极影响，提供了相关的立法思路。行业自律作为美国信息隐私权保护的特色，也成为美国信息隐私权保护领域中不可替代的角色，其与立法相结合也会产生更强大的保护作用，但就整体效果而言，行业自律并不能给个人信息隐私权带来一个安全的环境。总体而言，美国的信息隐私权法律保护模式对推动人工智能产业发展极其有利，能够减轻企业负担、激励企业进行创新。二、欧盟“大个人信息”法律保护模式相比于美国的立法者倾向于强调个人信息的自由流通和保持最低限度的政府监管，欧洲的重点历来是将个人隐私作为一项基本人权来保护，因此欧盟所形成的法律保护模式可称为“大个人信息”，即以统一立法为原则，通过制定以“个人信息”等相关名称为名的法律，并将隐私作为个人信息的价值之一予以规定，从而将信息隐私权纳入到个人信息保护之中。（一）欧盟个人信息保护法历程1970年，世界上第一部关于个人数据保护的法律——德国《数据保护法》出台。1981年，欧盟颁布《108法案》，

这是世界范围内第一个涉及个人数据保护的国际公约，对欧盟境内个人数据保护方面的立法产生了最为直接的影响，由于欧盟成员国数量不断增加，该公约对世界范围的个人信息保护立法也产生了重大影响。随着社会环境的大变革，当初制定的法律已经不能适应社会日新月异的发展，于是《数据保护指令》应运而生，该法确立了合法、透明、保密和安全等原则，具有里程碑式的意义。但是由于欧盟成员国在将该指令的内容转化为自己国内法的过程中，存在着许多不同的选择和不同的解释，且如今所面临的许多人工智能技术挑战在那个时候并不存在，因此指令在实施过程中产生了很多矛盾和冲突。刘云：《刘云：《欧洲个人信息保护法的发展历程及其改革创新》，载《暨南学报》，2017年第2期，第74页。（二）人工智能时代欧盟的法律应对面对人工智能时代对信息隐私权的冲击和挑战，欧盟在立法上做出了回应。2018年5月25日，历经三年的讨论和商议，欧盟《一般数据保护条例》（GDPR）正式实施。毫无疑问，这部法律将改变所有人的游戏规则。该法案是欧盟在人工智能时代为把握机遇，而在欧盟内部为个人数据所提供的高标准统一保护，它可以直接转为成员国的国内法而得以生效运用。除了在欧盟地区内的国家外，其他国家境内若有公司收集欧盟地区用户的个人数据，就必须遵守此项规定。GDPR也因此成为个人数据保护的国际化标准，被称为世界史范围内最严的数据保护法，该法做出了如下创新：第一，规定了广泛的个人数据范围，几乎涵盖各行各业的个人数据。第二，对数据主体赋权。例如，GDPR通过赋予数据主体以访问权、更正权、删除权（被遗忘权）以及数据可携权，给予数据主体控制和支配个人数据的广泛权利，充分保障个人信息隐私权。在人工智能时代，用户个人和人工智能企业处于不平等的地位，作为信息获益方的企业与其承担的义务和责任并不相称，但隐私风险的承担却落在了处于弱势的个人身上。在这种现实情况下，知情同意权、删除权（被遗忘权）和数据可携权等权利，在防范个人信息被任意收集、处理和使用方面，具有举足轻重的意义。第三，《一般数据保护条例》对数据主体赋予免于信息自动化处理的权利，此举既可以避免人工智能算法黑箱的歧视，也能促进程序正义。《一般数据保护条例》就“数字画像”作出了规定，明确要求企业在处理可以分析出用户个人特定方面的数据时必须取得用户的同意。此外，GDPR还规定了与一般个人信息相区分的敏感个人信息，以列举式的方式规定“有且仅有七种必须保护的个人敏感信息”，GDPR规定的个人敏感信息包括种族或民族背景信息、政治观念、宗教或哲学信仰信息、基因信息、生物识别信息，以及个人健康、性生活或性取向信息。禁止企业对敏感个人信息进行自动化处理。第22条第4款规定，禁止企业对用户的敏感个人信息进行自动化决策，以防止人工智能算法对个人的歧视。第四，《一般数据保护条例》第25条的规定，正式确立了隐私设计原则，实现了隐私设计理念的法律化。欧盟《一般数据保护条例》从个人对数据的自决权出发，对人工智能产品的设计和技术发展产生最为直接的GDPR规定的个人敏感信息包括种族或民族背景信息、政治观念、宗教或哲学信仰信息、基因信息、生物识别信息，以及个人健康、性生活或性取向信息。汪庆华：《人工智能的法律规制路径:一个框架性讨论》，载《现代法学》，2019年第2期，第62页。总体而言，欧盟秉承着法律是国家强制力和权威象征的理念，对信息隐私权的保护依然是高标准和严格的，构建了一套比较系统、完备的信息隐私权法律保护体系，其立法水平遥遥领先世界上许多国家和地区。但信息流通与信息隐私权保护是一枚硬币的两面，欧盟在保护基本人权的情况下，也会阻碍信息流通，不利于人工智能产业的进一步发展与创新。三、英国综合法律保护模式英国信息隐私权保护既采用行业自律，也兼采国内统一立法，相当于吸收了美国、欧盟模式的特色。在立法方面，英国信息隐私权保护以隐私立法为起点，1961年曼克诺富特大法官首次提出《隐私权法》，英国上院多数票通过该法，但最终因“合理的公共利益”无法清晰界定而没有得到继续发展。因此，英国并没有像美国一样通过丰富隐私内核来保护信息隐私权，而是转向欧盟模式——通过制定与个人信息保护有关的法律以达到信息隐私权保护的立法目的，其立法集大成者为《数据保护法》。此外，判例法和信息官制度也是英国信息隐私权法律保护体系的重要组成部分。（一）统一立法保护与美国立法公私分治保护信息隐私权不同，英国与欧盟保持一致，采取公私领域一体化的立法模式。1984年英国出台《数据保护法》，此后又于1998年对该法进行修订。2018年，为配合欧盟GDPR的实施，英国再次修改《数据保护法》，该法也是英国现行有效的关于信息隐私权保护的法律。英国《数据保护法》从“信息控制者”的角度，规定保护对象为“数据”，定义为“一切可被识别的与个人有关的数据”，既包括公领域的信息，也包括私领域的信息。经过之后一系列的立法完善，英国确立了比较全面的立法原则，包括正当而合法原则、目的限定原则、数据质量与安全原则、保障数据主体权利原则等。此外，英国还通过法律确立了信息官制度。信息官，又称信息专员，2000年英国《信息公开法》规定这一职位，也即1984年《数据保护法》中所规定的数据保护专员和1998年《数据保护法》中的信息专员。信息官制度是英国为了对接欧盟在1995年《数据保护指令》中规定的“各成员国应在本国国内设置独立的公共机构，以监督指南内所保护的对象”。对于信息官的理解，可以将其类比为我国的被授权组织。有别于欧盟和美国等国家的信息隐私权法律保护模式，信息官的监督在英国信息隐私权保护中也起到了举足轻重的作用。法律对信息官的属性、任免权限及内部相关制度进行了详细的规定，以确保信息官的独立地位，保证公民信息隐私权得到有效保护。信息官并不是国家行政机关，而是以英国女王发放专利特许证明的方式来任职，是隶属于英国司法部的公共机构，其可以代表国家对违法者进行起诉。信息官通过向信息处理者下达通知，要求其提供处理信息的过程，以便审查其处理信息的合法性和合理性，对于不符合国家信息隐私权保护标准或不执行信息官命令的企业或机关，将会被依法追究其法律责任，并追加相关负责人员的个人责任。（二）行业自律与美国相似，英国也采用行业自律方式保护信息隐私权，内容主要包括：（1）信息主体的查阅请求，这也是英国信息隐私权有效保障原则的体现，督促信息处理者要合法且合理地使用信息主体的个人信息。比如员工对于公司掌握的个人信息可以提出查阅的请求，以避免将来与公司产生雇佣关系的纠纷官司时没有相应的证据而不利于胜诉；（2）信息处理者对信息主体查阅请求的进行程序，首先是查阅请求的接收，接着是处理信息，最后是回复信息主体；（3）查阅请求与第三者权利之间的矛盾，在某些时候，回复信息主体的查阅请求有可能会导致对另一个个体信息的披露，这些信息即属于“第三方信息”。这就要求信息处理者在回应信息主体的查阅请求时，要以一种小心谨慎的态度来对待并作出进一步的考虑，尽可能不透露过多的有关第三者权利的信息。（三）判例法制度判例法是普通法国家法律的重要渊源，具体到信息隐私权法律保护领域内，英国的判例法也呈现出了本国特色，英国虽然为了配合欧盟关于信息隐私权保护的法律而制订了一系列法律文件，但是基于其普通法国家的历史传统，判例法在英国信息隐私权法律保护中也发挥了重要作用，其中的典型案例——达雷特诉英国财政局案，确立了英国《个人数据保护法》保护对象的范围，即“对个人隐私造成影响的数据才是法律意义上的个人数据”。（四）人工智能时代英国的法律应对英国为应对人工智能时代的信息隐私危机，在2017年8月7日发布《英国新数据保护法案：改革计划》，该法案是英国对人工智能时代信息隐私权现实困境的回应，生效后将取代1998年制定的《数据保护法》，法案目标在于使英国成为在世界范围内的互联网领域里进行日常活动或商业活动最好、最安全的地方。法案内容的最大亮点是规定信息泄露者最高会被处以1700万英镑或者处以其全球营业额中百分之四的罚款，这也是英国为了与欧盟GDPR接轨的体现。此外，法案还对数据主体赋予了删除权（被遗忘权）、数据可携权等权利。在对未成年人隐私保护方面，法案将对网站等收集、处理信息的平台设定最低年龄门槛，即13岁及以上的儿童对其个人信息处理的同意才具法律效力；而在收集未成年人信息时的通知义务方面，要求服务商要以未成年人能够理解的方式予以通知，否则服务商不得实施对未成年人信息进行收集、处理等行为。如上所述，英国关于信息隐私权法律保护的模式可谓别具一格，没有局限于某种固有的保护模式，而是创造性地立足本国国情进行创新，既有强调隐私权保护的方面，又有统一的、非分散的个人信息保护法，加之独特的信息官制度与判例法的相关规制，英国的信息隐私权法律保护体系为世界其他国家的立法体系贡献了自己的智慧、提供了新的思路、开辟了新的途径。第二节域外模式对我国的启示一、构建完善的信息隐私权立法体系无论是美国的“大隐私权”保护模式，还是欧盟的“大个人信息”保护模式，亦或是英国吸收欧美各自的长处所形成的综合保护模式，它们都是根据自身基本国情和历史实践经验，并结合当下的经济社会发展情况所做出的选择，本身并没有高低之分，都是适合本国的发展道路，都深深根植于本国的法治土壤中。美国、欧盟、英国等国家对信息隐私权的研究起步较早，同时也抓住了人工智能产业发展的机遇，因此与之相关的法律也处于世界前沿领域，信息隐私权的法律保护体系也更加成熟和完善。美国虽然主要通过行业自律方式对信息隐私权进行保护，但是美国在长期的司法实践中形成了非常宽泛的隐私权范围，一旦被确认侵犯个人隐私，将面临非常严重的处罚后果。据报道，Facebook泄露事件中，企业将面临两万亿美金的处罚。欧盟通过立法赋予信息主体全面的权利类型来保护信息隐私权，英国则突出了信息主体在信息隐私权保护中的地位和主动性，信息官制度则促进了信息处理过程的透明化，并且由于信息官不属于政府机关，因此其在行使职权时可以不受到其他任何行政机关的干预，能够充分发挥保护公民信息隐私权的职能，在促进信息流通的同时，能较好保护个人信息隐私权不受到非法侵害。尽管我国在信息隐私权法律保护方面陆陆续续颁布了一些法律，但从现实情况来看，立法体系仍不够完善，不足以应对人工智能时代的信息隐私危机。一方面，我国无法通过借鉴美国模式，即不断丰富隐私权的内核来保护公民信息隐私权，因为我国信息隐私权法律保护体系尚不够完善；另一方面，我国的个人信息保护法律体系还不健全，在司法实践中仍需要出台对个人信息的解释条例，这决定了我国无法如欧盟、英国般，通过庞大而统一的个人信息法律保护体系以应对人工智能时代的隐私危机。至于行业自律模式，虽然在我国也存在着一定的基础，如2002年由互联网协会颁布的《中国互联网行业自律公约》，2018年颁布的《中国大数据行业自律公约》等。但由于行业自律本身不具有强制性效力，在我国约束的企业范围也不够广，加之行业自律本身对企业的约束（保护公民的信息隐私权）与企业自身的性质（以营利目的）天然存在矛盾，实践中很难对公民的信息隐私权起到足够的保护作用。而法律具有强制性和威慑性，这决定了法律规制相比行业自律，更能对信息隐私权起到有效保护。因此，我国需要探索适用于我国国情的信息隐私权法律保护体系。鉴于目前的立法现状，可继续沿袭分散立法模式，而这些分散领域或分散行业的法律则一起构建了具有中国特色的信息隐私权法律保护体系。随着我国《个人信息保护法》等专门法的颁布，在未来我国也可以制定更加细致的、分层次的、分行业的信息隐私权保护规范，例如，规定医疗领域的信息隐私、未成年人群体的信息隐私等，这些领域和群体都有其特殊的保护规范。而领域保护的多元化则代表着更加具体和精细的发展方向，这也是我国法律进步的体现。二、平衡信息流通和隐私保护的利益关系人工智能技术也被誉为第四次科技革命，要大力发展人工智能产业，势必要推动信息流通和信息共享。人工智能发展的基础是个人信息和算法，海量的信息被深度挖掘、重组，在创造巨大经济价值的同时，也加深了隐私危机的程度。公民的信息隐私权与信息的流通一样重要，二者之间的矛盾实质上是财产利益和人格利益之间的此消彼长。但法律的价值序列并不是一成不变的，它会随着社会变革而产生变动、平衡甚至重组。信息流通和个人信息隐私权保护都是为了保障公民基本权利的实现，二者之间存在共赢空间而不是天然的互相矛盾、排斥。事实上，财产利益和人格利益可以兼得，例如在公民肖像权保护中，财产利益和人格利益即可并存，在保护财产权益的情况下亦可对人格权益给予保障