智媒体时代数据隐私侵权的法律规制研究

2022-12-06张天然

网络安全技术与应用 2022年2期

◆张天然

智媒体时代数据隐私侵权的法律规制研究

◆张天然

（华东政法大学（松江）上海 201620）

随着机器学习、大数据、云计算以及传感器等技术的发展，人工智能技术正逐步渗透到人类生产、生活的各个方面。AI人工智能技术在传播领域的应用，重塑信息传播的内容生产与分发渠道。传感器的不断进化，使得公民处于全方位“数字监控”中；算法能力的不断提升，助长了对公民隐私数据的非法应用与分析，此外，海量个人数据通过社交化的网络“病毒式”传播，加剧了公民数据隐私侵权风险。我国可以引入“数字遗忘权”加强保护，同时选择适合我国国情的立法模式，加强数据隐私保护的前瞻性立法，进一步提升政府数据隐私保护的执法效率。因此，依法规制人工智能数据隐私侵权行为，对于保护公民合法权益，维护数据信息安全，具有很强的现实意义。

数据隐私；侵权；法律规制

2017年3月，全球最大的社交网站Facebook爆出数据泄露丑闻，Facebook承认将5000万用户数据泄露给剑桥数据分析公司，而该数据分析机构将用户数据用人工智能进行算法分析，通过数据建模，完成用户画像，在总统大选期间进行竞选信息的精准投放，从而达到影响甚至操控大选的目的。此次数据泄露事件，引发了公众对于个人数据隐私保护的关注。在人工智能技术背景下，公民数据隐私存在何种侵权风险，加强数据隐私保护存在哪些现实困境，以及从法律规制层面如何管控好数据隐私传播、维护好公民数据信息安全、完善侵权救济，本文将就这些问题做一探讨。

1 人工智能数据隐私侵权

1.1 智能传播与数据隐私安全的博弈

智能传播的核心特点是万物皆媒，即所有智能终端、智能机器在某种意义上都会被媒体化。随着传感器种类和数量不断增多，用户被迫分享的身体、情感、行为、环境等相关数据日益增多[1]。人工智能技术逐步变革传播领域，从内容的生产、流通分发以及信息反馈都产生了一些新特征。一方面，机器人新闻写作已开始取代专业新闻采编人员，其原理是利用计算机算法程序对搜集和输入的数据信息进行分析处理，再按照预设的新闻稿模型，输出一篇完整的新闻稿件，即利用人工智能（AI）实现大数据的聚合重构，实现机器自动化新闻生产。另一方面，建立在多渠道收集的用户大数据基础之上，利用算法机制进行大数据分析，充分洞察用户偏好及个性化需求，从而为用户智能化推荐个性化内容产品。综上，智能传播即以大数据的收集为基础，算法程序为手段，以实现内容传播自动化、智能化、个性化。诚然，人工智能技术大幅提升了传播效率和质量，丰富了用户体验，也被应用于解决例如安全分析、广告欺诈等问题。但是，技术始终是一把双刃剑，人工智能技术在便利于民的同时也给不法分子以可乘之机。

人工智能（AI）系统本身往往存在安全漏洞。当下大部分的AI应用系统都建立在主流AI框架基础上，而框架本身及AI系统的软件部分实际上存在安全漏洞。利用这些安全漏洞，不法分子将会侵犯公众在设备终端与云端的隐私数据，从而影响公民个人信息安全。以智能电视为例，语音识别和人脸识别技术让电视机不再仅仅是单独的家电，而将会成为家庭交互终端的入口。但人工智能电视仍然会存在类似安全漏洞未修复、配置不当、越权操作等信息安全问题。不法分子能远程获取root权限，远程劫持电视设备，并进行开关摄像头、安装恶意应用、收集用户隐私生活信息等操作，这将造成用户隐私泄露或财产损失。更有甚者，攻击者还可以通过网络设备去控制智能家居的温度，或者更改家庭中设置的智能安防，从而造成人身安全和家庭财产。

1.2 大数据技术与数据隐私侵权

在大数据的收集过程中，相关技术手段往往会对用户的隐私权造成侵犯，例如网站抓取用户上网痕迹，推送广告、一些APP强制性获取个人信息等。2013年，“国内cookie隐私第一案”中朱烨诉百度网讯公司利用cookie技术收集其个人数据信息，并在其不知情的情况下为商业盈利目的使用，侵犯其隐私权；还有facebook数据泄露事件等，这些频发的数据隐私侵权事件，使得个人数据隐私保护日益受到公众关注。

首先，大数据技术对个人数据的全面收集与分析，使得公民个人数据隐私近乎“透明化”。大数据技术的出现和流行让民众隐私无时无处不被追踪，人类进入隐私透明时代[2]。无论是从企业还是个人的角度，大数据对于个人数据隐私的侵犯似乎是不可避免的趋势。从企业角度看，百度等搜索引擎在利用大数据进行科学预测时，不会事先询问用户是否允许使用其检索、浏览痕迹；今日头条等聚合新闻客户端在进行个性化新闻推送的时候，也不会在征求用户同意的前提下对用户使用社交网络留下的相关痕迹进行分析与预测。个别数据本无法造成隐私侵权，但如果一个企业或机构对于用户个人数据不加以节制地挖掘分析，则在算法程序作用下，得出的预测和结论往往使得用户隐私形同“裸奔”。并且，人们在体验人工智能的便利的同时，通常需要提供个人信息进行验证。这些隐私信息数据可能通过不正当渠道被售卖[3]。比如，你的购物记录、外卖平台上的个人信息、微博的关注等个人信息数据，存在被打包售卖的风险，企业利用这些数据则可以有针对性进行广告营销活动，大幅提高广告宣传效度和销售率。值得注意的是，这个过程完全是用户个体所不知情、没有得到授权的行为。这意味着用户的数据隐私已然受到侵犯，如果数据被滥用、被非法使用必然会造成更大的危害。

其次，公民个人数据隐私保护意识的欠缺，也是助长了数据使用者对于用户数据的非法挖掘及使用，造成隐私权受到侵犯。李彦宏在一次会议上谈到，中国人愿意用隐私换便捷。作为百度的掌门人抛出这一言论，不会是空穴来风。用户愿意将个人数据分享给企业使用，将会给企业带来收益，作为让渡个人信息数据的回报，企业也会给用户提供更加个性化的需求，例如定制化的新闻产品推送。当前，我们处在一个“分享”的时代，人们习惯于从互联网上获取信息，同时更喜欢即刻将信息分享到微博、朋友圈。海量的个人数据在网络上传播，甚至共享，这势必持续威胁用户个人隐私。

总之，一方面，智能传播离不开大数据的支撑，而大数据的建立又必然要搜集海量用户个人数据；另一方面，用户缺乏大数据背景下的数据隐私保护意识，习惯于享受大数据带来的便利，对于个人数据隐私传播的危害性缺乏清醒认识，往往只有当切身利益受到损害时，才意识到危害性，听之任之的态度也给了数据使用者侵权的可能性。

2 数据隐私保护的现实困境

2.1 数据隐私的边界

明确数据隐私的边界，是进行数据隐私保护的前提条件。隐私，顾名思义，就是公众不愿公开或者需要隐蔽的个人信息。沃伦（SamuelWarren）和布兰戴斯（Louis Brandeis）早在1980年就在《哈佛法律评论》期刊发表《隐私与权利》一文中，将隐私界定为“不受干涉”或“免于侵害”的“独处”的权利[4]。我国学者王利明、杨立新等所著的《人格权法》中，将隐私权的主体界定为自然人，内容界定为个人信息、私人活动和私人领域。诚然，隐私的概念边界是不断变化的，由于电子技术、生物技术、计算机技术及其他各种高新技术的广泛使用，隐私则因超地域性从封闭渐趋开放，身体隐私、空间隐私拓展到信息隐私，静态隐私逐渐转变为动态隐私[5]。数据隐私的概念边界其实并不清晰。首先，个人数据信息包括隐私和公开信息部分，而在大数据条件下，公开的数据信息不但有在算法作用下造成隐私侵权的风险，即便是可公开的个人数据信息被泄露、贩卖，也会导致公众隐私权被侵犯，这部分会导致实际隐私侵权的数据理应认定为数据隐私。此外，受到全方位数字化监控的用户网络空间，包括浏览痕迹、搜索记录等可供分析预测个人行为的个人数据，在大数据时代也应是数据隐私的一部分，应当受到相关保护。

提到数据隐私保护，经常会联系到信息安全，通过厘清两者概念，或许对于数据隐私的概念范围能有更清晰的认识。信息安全包括对公共信息、市场信息的虚假伪造、恶意传播以及个人信息的泄露、滥用等情形的监控和防范；而大数据隐私保护则是在用户信息多次迭代运算背景下防范对用户完整隐私的过度分析和动态隐私数据的泄露和侵害[6]。数据隐私不能与个人信息隐私完全画等号，个人信息隐私指的是一些例如身份证号、电话、微信号、住址等具体的静态信息，而数据隐私则不单是这一类静态信息，而是通过大数据搭建一种结构关联的动态隐私。这种隐私不但包括传统意义上的个人信息隐私，还能够全方位展现用户性格、偏好、行为习惯等方面信息，同时利用这些信息又可以极高概率预测其未来行为的可能性，使用户几乎“透明化”，受到全方位监控，在这个过程中，用户实际在不断丧失对于个人隐私的保护。

2.2 技术霸权侵犯数据隐私

前文提到，大数据是智能传播的运行基础，想要做到个性化、定制化的内容生产，离不开各类传感器收集的海量用户数据。但是这样的数据收集有时用户并不具有自决权，而是一些平台强制性收集数据。百度李彦宏的观点，应是代表了大部分互联网企业的观点，即认为用户为了获得服务便捷，愿意让渡个人数据。其实事实并不尽然，现实情形往往是只有用户让渡个人数据才能获得平台相应的服务。比如一些移动客户端，只有用户同意勾选授权平台读取手机通讯录、相册、位置信息才能获得服务。用户为获取服务被迫让渡个人数据，实际上是平台方的技术霸权在作祟。

根据马克思主义基本原理，技术属于生产力的范畴，通过推动经济成长改变社会利益关系和利益结构，从而引发新的社会变革，这是一种必然趋势，关键在于建立一种通过技术发展来推动社会进步的良性机制，把技术的负面影响减少到最低限度[7]。当前技术的发展日新月异，随着机器自学能力的不断提升，人工智能技术的发展已经远远领先于法律，大数据技术对于数据的分析预测越发深入、精准，数据隐私在传播过程中被侵犯的技术难度不断降低。因此，加强数据隐私保护，要着力破解数据让渡与技术霸权的困境。用户让渡数据不代表隐私权的让渡，因此必须加强对平台技术霸权的管控，废除一些强制性条款，赋予用户个人数据自决权，此外要从立法层面明确公民数据隐私的内涵和外延，只有明确哪些数据是可以公开并供使用，哪些数据属于隐私部分禁止使用或者有条件的使用，才能做到于法有据，更加有效地保护用户数据隐私。

2.3 数据让渡与服务获取间的矛盾

数据隐私权的保护本质上是数据让渡和服务获取之间权力的博弈[8]。用户让渡个人数据将会有利促进平台服务，推动平台实现内容的精准化传播，用户同时获取更高更符合自己喜好的个性化服务。如果一味地强调对用户数据隐私的保护，严控数据来源，减少用户数据让渡，客观上则有可能导致智能化进程的迟滞、平台服务的落后，降低用户获取服务的质量和体验感。因此，如何平衡好保护用户数据隐私与推动人工智能发展，这是数据隐私保护存在的又一现实困境。

此外，用户让渡的个人数据的价值与获取的服务价值之间存在落差。首先，在互联网上，数据信息具有长期存在性，加之社交化网络的病毒性传播，一旦数据隐私进入传播渠道将很难彻底消除。平台运营商在提供服务时已经通过流量及广告资源等获利，但很多平台会将掌握的大量个人数据进行售卖，侵犯用户的数据隐私。但是，用户个人在让渡部分数据时，并未意识到数据将会被二次利用甚至贩卖给其他不知名机构，此次facebook数据泄露事件正是平台将掌握的用户数据在未征求用户意见的条件下转售到了其他机构，以获取利益，究其原因本质上是消费者使用权和技术优势的不对等关系。

3 加强数据隐私传播的法律规制

如前文所述，伴随人工智能技术的迅猛发展，数据隐私的大肆传播已经造成严重的隐私侵权的危机，而我国对于数据隐私保护的法律还很滞后，存在很多问题。因此，从更好地保护公民数据隐私角度出发，依法规制人工智能数据隐私侵权行为，治理网络传播秩序，具有很强的现实意义。

3.1 引入“数字遗忘权”保护数据隐私

遗忘权最早出现于20世纪70年代，比利时和德国先后出现关于遗忘权的判例。随着网络技术发展和普及，传统的遗忘权过渡到数字遗忘权[9]。欧盟将“被遗忘权”定义为：“数据主体有权要求数据控制者永久删除有关数据主体的个人数据，有权被互联网所遗忘，除非数据的保留有合法的理由[10]。现今，随着各类传感器类似智能化穿戴设备的普及，当今人类的一切行为都将伴随着数据的输出，物物相连的物联网，让海量个人数据快速流动，更严重的问题是数据的输出并不是一个瞬时行为，输出的数据在传播的过程中，仍将持续存在并有被泄露、二次贩卖的可能，这对于数据隐私保护将是一个巨大的隐患，因此数据的传播和存储必须加以规范化。

我国目前并未对个人数据进行专门的立法保护，但是有一些法律与其相关。例如《刑法》第253条就设立了侵犯公民个人信息罪，对于违反国家有关规定，向他人出售或者提供公民个人信息，情节严重者处以刑罚，尤其对于在履行职责和提供服务的过程中获得的公民个人信息，出售或者提供给他人的，从重处罚。此外，《侵权责任法》、《关于加强网络信息保护的决定》、《互联网信息服务管理办法》等都有对个人数据直接保护的法条。《互联网信息服务管理办法》规定“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”这一条内容可以看做是“被遗忘权”的一种实践，但其仍然是对于侵权行为的一种事后救济的举措，并且在大数据时代，公民数据隐私被搜集和使用，往往是人工智能在其毫不知情的情况下进行的。因此，笔者认为一方面我们引入被遗忘权，进一步强化公民数据隐私被侵犯的司法救济权利，规范网络内容服务商数据合法使用与管理义务；另一方面，应该要保证公民个人数据传播与使用的知晓权和决定权。人工智能目前仍然是人为可控的，要在技术层面控制对于用户数据的搜集、传播、使用的范围和权限，数据使用方要履行告知并获取授权的义务，保障公民的知情权；作为公民个人则有必要履行注意的义务，并提高数据保护意识，谨慎授权数据使用。同时，网络内容服务商不能将服务输出与数据授权强制“捆绑”，公民授权与否不应影响其正常的服务获取。除了涉及社会公共利益及国家安全，公民有权自行决定相关个人数据的传播与使用。

3.2 加强数据隐私保护的前瞻性立法

在人工智能、大数据、物联网等技术飞速发展的今天，数据隐私泄露的渠道和形式不断丰富，我国相关数据保护的立法的滞后性很明显，往往是事后补救性的措施，立法缺乏前瞻性。我国对数据隐私的立法保护散见于刑法、民法典等法律部分法条以及《互联网信息服务管理办法》等行政法规、部门规章中，例如刑法中对于数据隐私方面的保护仅仅停留在原则上或精神层面，没有对数据隐私权进行明确规定，真正能够对数据发挥保护效用的，反而多是一些部门规章、地方性法规，但这些法律立法层级不高，有时还会出现下位法与上位法抵触的情况，此外，其对数据隐私的保护也往往站在部门的角度去保护隐私权，保护的隐私也主要该是与该部门、领域相关的个人数据，法律保护的范围存在很大的局限性，数据隐私保护难以真正落实。

因此，首先要确立适合我国国情的立法模式。立法模式在很大程度上承载着立法者的价值期望。在我国，统一立法、分散立法与行业自律相结合的“综合保护”立法模式是最佳途径[11]。应当制定统一的立法规划，尽快出台专门的个人数据保护法，其次，针对数据隐私泄露的多方主体，网络内容服务商、技术部门等都要制定相应的规制措施，防微杜渐，减少数据隐私侵权的发生。同时法律应明确规定数据隐私保护执法的具体政府职能部门，甚至可以成立专门的数据隐私保护机构。最后，要加强对行业内部的法律监管，除了事后追惩，还要加强日常监管，同时应该引导和鼓励行业内部出台从技术操作，到数据传播、分析全流程的规范化文件，加强行业自律，未来也可以将符合上位法，具有可操作性的自律条文赋予法律效力，使其成为立法的有益补充，从行业内部树立保护数据隐私的法治意识。

3.3 提升数据隐私保护执法效率

法律重在制定更重在执行。智能化媒体时代，有效保护公民数据隐私既要重视立法规制，更关键在于提升执法效率和水平。有效的执法过程，不仅是对于公民权益的保护，也会对数据信息使用者起到警示、规制行为的作用。目前，我国政府机关对于数据隐私保护的执法效率并不高，执法力度也不强，首先是政府机关还缺乏对于人工智能、大数据的了解，只是停留在对一种热门话题的朴素认识，对于大数据时代数据隐私保护缺乏足够的重视。政府部门对于数据隐私保护执法存在权责不明晰的情况，对于具体执法措施也很模糊。这样会造成发生公民数据隐私被侵犯情况，但是公民无法通过执法机关有效维权，执法部门相互推诿扯皮，没有相应政府部门对侵权事件作出回应，导致公民数据隐私受到更严重的侵犯，严重影响政府行政执法效率。

同时，政府相关部门应进一步加强数据隐私保护有关法律知识的法制宣传教育力度。一方面，通过对公众针对性的宣讲，增强公众对于自身数据隐私保护的重视程度，提高自我保护意识，要通过普法宣传，使得公众知晓如何在日常生活中保护个人数据隐私，以及当数据隐私受到侵犯时如何维权。另一方面，为提升政府部门数据隐私保护执法效率，也需加强对政府相关部门执法人员的法制宣传教育。执法者首先必须懂法，因此可以通过开设执法人员培训班等形式，对一线执法人员普及数据隐私保护的相关法律法规知识，要让执法者了解智能传播背景下数据隐私传播的规律和途径，以便在执法过程中能够有的放矢，同时也要明确执法义务与操作规程，认真履行职责，监督相关企业数据传播与使用，提升工作效率，切实维护公民数据隐私权益。

[1]袁媛.智能媒体时代用户的个人信息隐私权[J].青年记者，2018.

[2]严炜，邹盼.面向大数据技术的隐私困境思考[J].江汉论坛，2016．

[3]刘浩.人工智能时代的隐私保护问题[J].法制与社会，2018.

[4]唐凯麟，李诗悦.大数据隐私伦理问题研究[J].伦理学研究，2016.

[5]严炜，邹盼.面向大数据技术的隐私困境思考[J].江汉论坛，2016．

[6]李雨明，聂圣哥，西楠.大数据隐私侵权界定及其应对策略研究[J].图书馆工作与研究，2017.

[7]郭庆光.传播学教程[M].中国人民大学出版社，2011.

[8]姚曦，傅琳雅.让渡的无奈：网络数据开放与个人隐私权保护的博弈[J].数字营销微刊，2018.

[9]林凌.网络涉老隐私信息传播的法律规制[J].编辑学刊，2015.

[10]吴飞，傅正科.大数据与“被遗忘权”[J].浙江大学学报（人文社会科学版），2015.

[11]黄道丽，张敏.大数据背景下我国个人数据法律保护模式分析[J].中国信息安全，2015.

[12]郑戈.人工智能与法律的未来[J].探索与争鸣，2017.